Freigeben über

Steuerung von Cloud-Apps mit Richtlinien

  • Artikel

Mit Richtlinien können Sie definieren, wie sich Ihre Benutzer in der Cloud verhalten sollen. Sie ermöglichen es Ihnen, riskantes Verhalten, Verletzungen oder verdächtige Datenpunkte und Aktivitäten in Ihrer Cloudumgebung zu erkennen. Bei Bedarf können Sie Fehlerbehebungsabläufe integrieren, um eine vollkommen Risikominderung zu erreichen. Es gibt mehrere Richtlinientypen, die sich auf die verschiedenen Arten von Informationen, die Sie über Ihre Cloudumgebung sammeln möchten, und die Arten von Fehlerbehebungsmaßnahmen, die Sie möglicherweise ergreifen möchten, beziehen.

Wenn Sie beispielsweise eine Bedrohung durch eine Datenverletzung unter Quarantäne stellen möchten, benötigen Sie eine andere Art von Richtlinie als wenn Sie eine riskante Cloud-App für die Verwendung in Ihrer Organisation sperren möchten.

Richtlinientypen

Wenn Sie sich die Seite Richtlinienverwaltung ansehen, können die verschiedenen Richtlinien und Vorlagen nach Typ und Symbol unterschieden werden, um zu sehen, welche Richtlinien verfügbar sind. Die Richtlinien können zusammen auf der Registerkarte Alle Richtlinien oder auf den jeweiligen Kategorie-Registerkarten angezeigt werden. Die verfügbaren Richtlinien hängen von der Datenquelle ab und davon, was Sie in Defender for Cloud Apps für Ihre organization aktiviert haben. Wenn Sie beispielsweise Cloud Discovery-Protokolle hochgeladen haben, werden die Richtlinien zur CloudErmittlung angezeigt.

Die folgenden Richtlinientypen können erstellt werden:

Symbol "Richtlinientyp" Richtlinientyp Kategorie Verwendung
Aktivitätsrichtliniensymbol. Aktivitätsrichtlinie Bedrohungserkennung Mit Aktivitätsrichtlinien können Sie eine Vielzahl von automatisierten Prozessen mithilfe der APIs des App-Anbieters erzwingen. Diese Richtlinien ermöglichen es Ihnen, bestimmte Aktivitäten verschiedener Benutzer zu überwachen oder unerwartet hohe Raten einer bestimmten Art von Aktivität zu verfolgen. Weitere Informationen
Symbol für die Richtlinie zur Anomalieerkennung. Anomalieerkennungsrichtlinie Bedrohungserkennung Richtlinien zur Anomalieerkennung ermöglichen es Ihnen, nach ungewöhnlichen Aktivitäten in Ihrer Cloud zu suchen. Die Erkennung basiert auf den Risikofaktoren, die Sie festgelegt haben, um Sie zu alarmieren, wenn etwas passiert, das sich von der Basislinie Ihrer Organisation oder von der normalen Aktivität des Benutzers unterscheidet. Weitere Informationen
OAuth-App-Richtliniensymbol. OAuth-App-Richtlinie Bedrohungserkennung Mit OAuth-App-Richtlinien können Sie untersuchen, welche Berechtigungen jede OAuth-App angefordert hat, und sie automatisch genehmigen oder widerrufen. Dies sind integrierte Richtlinien, die im Lieferumfang von Defender for Cloud Apps enthalten sind und nicht erstellt werden können. Weitere Informationen
Symbol für die Richtlinie zur Erkennung von Schadsoftware. Schadsoftwareerkennungsrichtlinie Bedrohungserkennung Richtlinien zur Erkennung von Schadsoftware ermöglichen es Ihnen, schädliche Dateien in Ihrem Cloudspeicher zu identifizieren und diese automatisch zu genehmigen oder zu widerrufen. Dies ist eine integrierte Richtlinie, die im Lieferumfang von Defender for Cloud Apps ist und nicht erstellt werden kann. Weitere Informationen
Dateirichtliniensymbol. Dateirichtlinie Information Protection Mit Dateirichtlinien können Sie Ihre Cloud-Apps auf bestimmte Dateien oder Dateitypen (freigegeben, für externe Domänen freigegeben), Daten (proprietäre Informationen, personenbezogene Daten, Gutschriften Karte Informationen und andere Arten von Daten) überprüfen und Governanceaktionen auf die Dateien anwenden (Governanceaktionen sind cloud-appspezifisch). Weitere Informationen
Zugriffsrichtliniensymbol. Zugriffsrichtlinie Bedingter Zugriff Zugriffsrichtlinien bieten Ihnen Echtzeitüberwachung und Kontrolle über Benutzeranmeldungen bei Ihren Cloud-Apps. Weitere Informationen
Sitzungsrichtliniensymbol. Sitzungsrichtlinie Bedingter Zugriff Sitzungsrichtlinien bieten Ihnen Überwachung und Kontrolle über Benutzeraktivitäten in Ihren Cloud-Apps in Echtzeit. Weitere Informationen
Symbol für die Cloud Discovery-Richtlinie. App-Ermittlungsrichtlinie Schatten-IT Mit App-Ermittlungsrichtlinien können Sie Benachrichtigungen festlegen, die Sie benachrichtigen, wenn neue Apps in Ihrer Organisation erkannt werden. Weitere Informationen
Symbol für die Richtlinie zur Anomalieerkennung. Cloud Discovery-Richtlinie zur Anomalieerkennung Schatten-IT Richtlinien zur Erkennung von Cloud Discovery-Anomalien sehen sich die Protokolle an, die Sie zum Ermitteln von Cloud-Apps verwenden, und suchen sie nach ungewöhnlichen Ereignissen. Zum Beispiel, wenn ein Benutzer, der Dropbox noch nie verwendet hat, plötzlich 600 GB auf Dropbox hochlädt, oder wenn es in einer bestimmten App viel mehr Transaktionen als üblich gibt. Weitere Informationen

Identifizieren des Risikos

Defender for Cloud Apps hilft Ihnen, verschiedene Risiken in der Cloud abzuschwächen. Sie können jede Richtlinie und jeden Alarm so konfigurieren, dass sie mit einem der folgenden Risiken verbunden sind:

  • Zugriffskontrolle: Wer greift woher auf was zu?

    Überwachen Sie kontinuierlich das Verhalten und erkennen Sie anomale Aktivitäten, einschließlich hoch riskanter Insider- und externer Angriffe, und wenden Sie eine Richtlinie an, um die Identitätsüberprüfung für jede App oder bestimmte Aktion innerhalb einer App zu warnen, zu blockieren oder zu erfordern. Ermöglicht Richtlinien zur Kontrolle des Zugriffs vor Ort und auf mobilen Geräten auf der Grundlage von Benutzer, Gerät und Region mit grober Sperrung und granularer Anzeige, Bearbeitung und Sperrung. Erkennen Sie verdächtige Anmeldeereignisse, einschließlich Multi-Factor Authentication-Fehlern, Deaktivierten Kontoanmeldungsfehlern und Identitätswechselereignissen.

  • Beachtung: Werden Ihre Complianceanforderungen verletzt?

    Katalogisieren und Identifizieren vertraulicher oder regulierter Daten, einschließlich Freigabeberechtigungen für jede Datei, die in Dateisynchronisierungsdiensten gespeichert sind, um die Einhaltung von Vorschriften wie PCI, SOX und HIPAA sicherzustellen

  • Konfigurationssteuerung: Werden nicht autorisierte Änderungen an Ihrer Konfiguration vorgenommen?

    Überwachen Sie Konfigurationsänderungen, einschließlich der Manipulation der Fernkonfiguration.

  • Cloud Discovery: Werden neue Apps in Ihrem organization verwendet? Haben Sie ein Problem mit Schatten-IT Apps, die verwendet werden und von denen Sie nichts wissen?

    Bewerten Sie das Gesamtrisiko für jede Cloud-App auf der Grundlage von gesetzlichen und branchenspezifischen Zertifizierungen und bewährten Methoden. Ermöglicht Ihnen die Überwachung der Anzahl der Benutzer, der Aktivitäten, des Verkehrsaufkommens und der typischen Nutzungszeiten für jede Cloud-Anwendung.

  • DLP: Werden proprietäre Dateien öffentlich freigegeben? Müssen Sie Dateien unter Quarantäne stellen?

    Die Integration von On-Premises DLP bietet Integration und geschlossene Abhilfemaßnahmen mit bestehenden On-Premises DLP-Lösungen.

  • Privilegierte Konten: Müssen Sie Administratorkonten überwachen?

    Überwachung der Aktivitäten von privilegierten Benutzern und Administratoren in Echtzeit und Erstellung von Berichten.

  • Freigabesteuerung: Wie werden Daten in Ihrer Cloudumgebung freigegeben?

    Überprüfen Sie den Inhalt von Dateien und Inhalten in der Cloud und setzen Sie interne und externe Richtlinien zur Freigabe durch. Überwachen Sie die Zusammenarbeit und setzen Sie Freigaberichtlinien durch, z.B. die Sperrung von Dateien für die Freigabe außerhalb Ihrer Organisation.

  • Bedrohungserkennung: Gibt es verdächtige Aktivitäten, die Ihre Cloudumgebung bedrohen?

    Erhalten Sie per E-Mail Echtzeitbenachrichtigungen für Richtlinienverletzungen oder Aktivitätsschwellenwerte. Durch die Anwendung von Algorithmen des maschinellen Lernens können Sie mit Defender for Cloud Apps Verhaltensweisen erkennen, die auf einen Datenmissbrauch durch einen Benutzer hinweisen könnten.

So steuern Sie Risiken

Führen Sie diesen Prozess aus, um das Risiko mit Richtlinien zu steuern:

  1. Erstellen Sie eine Richtlinie aus einer Vorlage oder einer Abfrage.

  2. Optimieren Sie die Richtlinie, um die erwarteten Ergebnisse zu erzielen.

  3. Fügen Sie automatisierte Aktionen hinzu, um automatisch auf Risiken zu reagieren und diese zu beheben.

Richtlinie erstellen

Sie können entweder die Defender for Cloud Apps Richtlinienvorlagen als Grundlage für alle Ihre Richtlinien verwenden oder Richtlinien aus einer Abfrage erstellen.

Mithilfe von Richtlinienvorlagen können Sie die richtigen Filter und Konfigurationen festlegen, die erforderlich sind, um bestimmte Ereignisse zu erkennen, die in Ihrer Umgebung von Interesse sind. Die Vorlagen enthalten Richtlinien aller Typen und können auf verschiedene Dienste angewendet werden.

Führen Sie die folgenden Schritte aus, um eine Richtlinie aus Richtlinienvorlagen zu erstellen:

  1. Navigieren Sie im Microsoft Defender-Portal unter Cloud-Apps zu Richtlinien ->Richtlinienvorlagen.

    Erstellen Sie die Richtlinie aus einer Vorlage.

  2. Wählen Sie das Pluszeichen (+) ganz rechts in der Zeile der Vorlage aus, die Sie verwenden möchten. Eine Seite richtlinie erstellen wird mit der vordefinierten Konfiguration der Vorlage geöffnet.

  3. Ändern Sie die Vorlage nach Bedarf für Ihre benutzerdefinierte Richtlinie. Jede Eigenschaft und jedes Feld dieser neuen vorlagenbasierten Richtlinie kann entsprechend Ihren Anforderungen geändert werden.

    Hinweis

    Bei Verwendung der Richtlinienfilter sucht Contains nur nach vollständigen Wörtern – getrennt durch Kommas, Punkte, Leerzeichen oder Unterstriche. Wenn Sie beispielsweise nach Schadsoftware oder Viren suchen, findet sie virus_malware_file.exe aber nicht malwarevirusfile.exe. Wenn Sie nach malware.exesuchen, finden Sie ALLE Dateien mit Schadsoftware oder exe im Dateinamen, während Sie nach "malware.exe" (mit den Anführungszeichen) suchen, nur Dateien finden, die genau "malware.exe" enthalten.
    Equals sucht nur nach der vollständigen Zeichenfolge, z. B. wenn Sie nach malware.exe es findet malware.exe, aber nicht malware.exe.txt.

  4. Nachdem Sie die neue vorlagenbasierte Richtlinie erstellt haben, wird in der Spalte Verknüpfte Richtlinien in der Richtlinienvorlagentabelle neben der Vorlage, aus der die Richtlinie erstellt wurde, ein Link zu der neuen Richtlinie angezeigt. Sie können beliebig viele Richtlinien aus jeder Vorlage erstellen, die alle mit der ursprünglichen Vorlage verknüpft werden. Mithilfe von Verknüpfungen können Sie alle Richtlinien nachverfolgen, die mit derselben Vorlage erstellt wurden.

Alternativ können Sie während der Untersuchung eine Richtlinie erstellen. Wenn Sie das Aktivitätsprotokoll, Dateien oder Identitäten untersuchen und einen Drilldown ausführen, um nach einem bestimmten Element zu suchen, können Sie jederzeit eine neue Richtlinie basierend auf den Ergebnissen Ihrer Untersuchung erstellen.

Sie können z. B. eins erstellen, wenn Sie das Aktivitätsprotokoll betrachten und eine Administratoraktivität von außerhalb der IP-Adressen Ihres Büros sehen.

Führen Sie die folgenden Schritte aus, um eine Richtlinie basierend auf den Untersuchungsergebnissen zu erstellen:

  1. Navigieren Sie im Microsoft Defender-Portal zu einer der folgenden Optionen:

    • Cloud-Apps –>Aktivitätsprotokoll
    • Cloud-Apps ->Files
    • Assets –>Identitäten

  2. Verwenden Sie die Filter oben auf der Seite, um die Suchergebnisse auf den verdächtigen Bereich zu beschränken. Wählen Sie beispielsweise auf der Seite Aktivitätsprotokoll die Option Administrative Aktivität und dann True aus. Wählen Sie dann unter IP-Adressedie Option Kategorie aus, und legen Sie den Wert so fest, dass keine IP-Adresskategorien enthalten sind, die Sie für Ihre erkannten Domänen erstellt haben, z. B. Für Ihre Administrator-, Unternehmens- und VPN-IP-Adressen.

    Erstellen Sie eine Datei aus der Untersuchung.

  3. Wählen Sie unter der Abfrage die Option Neue Richtlinie aus der Suche aus.

    Schaltfläche

  4. Eine Seite richtlinie erstellen wird geöffnet, die die Filter enthält, die Sie in Ihrer Untersuchung verwendet haben.

  5. Ändern Sie die Vorlage nach Bedarf für Ihre benutzerdefinierte Richtlinie. Jede Eigenschaft und jedes Feld dieser neuen untersuchungsbasierten Richtlinie kann entsprechend Ihren Anforderungen geändert werden.

    Hinweis

    Bei Verwendung der Richtlinienfilter sucht Contains nur nach vollständigen Wörtern – getrennt durch Kommas, Punkte, Leerzeichen oder Unterstriche. Wenn Sie beispielsweise nach Schadsoftware oder Viren suchen, findet sie virus_malware_file.exe aber nicht malwarevirusfile.exe.
    Equals sucht nur nach der vollständigen Zeichenfolge, z. B. wenn Sie nach malware.exe es findet malware.exe, aber nicht malware.exe.txt.

    Erstellen sie eine Aktivitätsrichtlinie aus der Untersuchung.

    Hinweis

    Weitere Informationen zum Festlegen der Richtlinienfelder finden Sie in der entsprechenden Richtliniendokumentation:

    Benutzeraktivitätsrichtlinien

    Datenschutzrichtlinien

    Cloud Discovery-Richtlinien

Hinzufügen automatisierter Aktionen zum automatischen Reagieren und Beheben von Risiken

Eine Liste der verfügbaren Governanceaktionen pro App finden Sie unter Steuern verbundener Apps.

Sie können die Richtlinie auch so festlegen, dass Ihnen eine Warnung per E-Mail gesendet wird, wenn Übereinstimmungen erkannt werden.

Um Ihre Benachrichtigungseinstellungen festzulegen, wechseln Sie zu Email Benachrichtigungseinstellungen.

Aktivieren und Deaktivieren von Richtlinien

Nachdem Sie eine Richtlinie erstellt haben, können Sie sie aktivieren oder deaktivieren. Das Deaktivieren vermeidet die Notwendigkeit, eine Richtlinie zu löschen, nachdem Sie sie erstellt haben, um sie zu beenden. Wenn Sie die Richtlinie aus irgendeinem Grund beenden möchten, deaktivieren Sie sie stattdessen, bis Sie sie erneut aktivieren möchten.

  • Um eine Richtlinie zu aktivieren, wählen Sie auf der Seite Richtlinie die drei Punkte am Ende der Zeile der Richtlinie aus, die Sie aktivieren möchten. Wählen Sie Aktivieren aus.

    Richtlinie aktivieren.

  • Um eine Richtlinie zu deaktivieren, wählen Sie auf der Seite Richtlinie die drei Punkte am Ende der Zeile der Richtlinie aus, die Sie deaktivieren möchten. Wählen Sie Deaktivieren aus.

    Richtlinie deaktivieren.

Nachdem Sie eine neue Richtlinie erstellt haben, ist sie standardmäßig aktiviert.

Übersichtsbericht zu Richtlinien

Defender for Cloud Apps können Sie einen Richtlinienübersichtsbericht exportieren, der aggregierte Warnungsmetriken pro Richtlinie anzeigt, damit Sie Ihre Richtlinien überwachen, verstehen und anpassen können, um Ihre organization besser zu schützen.

Führen Sie die folgenden Schritte aus, um ein Protokoll zu exportieren:

  1. Wählen Sie auf der Seite Richtlinien die Schaltfläche Exportieren aus.

  2. Geben Sie den erforderlichen Zeitbereich an.

  3. Klicken Sie auf Exportieren. Dieser Vorgang kann einige Zeit in Anspruch nehmen.

So laden Sie den exportierten Bericht herunter:

  1. Nachdem der Bericht bereit ist, wechseln Sie im Microsoft Defender Portal zu Berichte und dann zu Cloud-Apps –>Exportierte Berichte.

  2. Wählen Sie in der Tabelle den relevanten Bericht und dann Herunterladen aus.

    Schaltfläche zum Herunterladen.

Nächste Schritte

Bewährte Methoden zum Schutz Ihrer organization

Wenn Probleme auftreten, helfen wir Ihnen gerne weiter. Um Unterstützung oder Support für Ihr Produktproblem zu erhalten, öffnen Sie bitte ein Supportticket.