Tutorial: Erkennen und Verwalten von Schatten-IT in Ihrem Netzwerk

Hinweis

Wir haben Microsoft Cloud App Security umbenannt. Es wird jetzt als Microsoft Defender for Cloud Apps bezeichnet. In den kommenden Wochen werden wir die Screenshots und Anweisungen hier und auf verwandten Seiten aktualisieren. Weitere Informationen zur Änderung finden Sie in dieser Ankündigung. Weitere Informationen zur aktuellen Umbenennung von Microsoft-Sicherheitsdiensten finden Sie im Microsoft Ignite Security-Blog.

Wenn IT-Administratoren gefragt werden, wie viele Cloud-Apps von ihren Mitarbeitern verwendet werden, gehen sie im Durchschnitt von 30 bis 40 aus. Tatsächlich werden allerdings durchschnittlich mehr als 1.000 verschiedene Apps von den Mitarbeitern einer Organisation verwendet. Schatten-IT hilft Ihnen dabei, zu wissen und zu erkennen, welche Apps verwendet werden und was Ihr Risikoniveau ist. 80 % der Mitarbeiter verwenden nicht sanktionierte Apps, die niemand überprüft hat, und sind möglicherweise nicht mit Ihren Sicherheits- und Compliancerichtlinien kompatibel. Da Ihre Mitarbeiter heutzutage die Möglichkeit haben, von außerhalb Ihres Unternehmensnetzwerks auf Ihre Ressourcen und Apps zuzugreifen, reicht es nicht mehr aus, Richtlinien und Regeln für Ihre Firewalls festzulegen.

In diesem Tutorial erfahren Sie, wie Sie Cloud Discovery einsetzen können, um zu ermitteln, welche Apps verwendet werden und welche Risiken diese bergen, um Richtlinien zu konfigurieren, mit denen neue riskante Apps ermittelt werden, die verwendet werden, und um die Sanktionierung für diese Apps aufzuheben, damit sie nativ über Ihren Proxy oder Ihre Firewall blockiert werden können.

So entdecken und verwalten Sie Schatten-IT in Ihrem Netzwerk

Folgen Sie diesem Prozess, um Shadow IT Cloud Discovery in Ihrer Organisation einzuführen.

shadow IT lifecycle.

Phase 1: Ermitteln und Identifizieren von Schatten-IT

  1. Ermitteln von Schatten-IT: Führen Sie Cloud Discovery aus, um den Sicherheitsstatus Ihrer Organisation zu ermitteln und herauszufinden, welche Anwendungen in Ihrem Netzwerk verwendet werden. Weitere Informationen finden Sie unter Einrichten von Cloud Discovery. Dies kann mithilfe einer der folgenden Methoden erfolgen:

    • Steigen Sie schnell in Cloud Discovery ein – durch Integration mit Microsoft Defender für Endpunkt. Durch diese native Integration können Sie direkt Daten zum netzwerkinternen und -externen Clouddatenverkehr auf Ihren Windows 10- und Windows 11-Geräten sammeln.

    • Für die Abdeckung aller Geräte, die mit Ihrem Netzwerk verbunden sind, ist es wichtig, den Defender für Cloud Apps-Protokollsammler auf Ihren Firewalls und anderen Proxys bereitzustellen, um Daten von Ihren Endpunkten zu sammeln und sie an Defender für Cloud Apps zur Analyse zu senden.

    • Integrieren Sie Defender für Cloud Apps in Ihren Proxy. Defender für Cloud Apps werden systemintern in einige Drittanbieterproxys integriert, einschließlich Zscaler.

Da für einzelne Benutzergruppen, Regionen und Unternehmensgruppen unterschiedliche Richtlinien gelten können, sollten Sie einen dedizierten Shadow IT-Bericht für jede dieser Einheiten erstellen. Weitere Informationen finden Sie unter Docker unter Windows – lokal.

Sobald Cloud Discovery auf Ihrem Netzwerk ausgeführt wird, sollten Sie sich die generierten fortlaufenden Berichte und das Cloud Discovery-Dashboard ansehen, um sich einen Eindruck von den in Ihrer Organisation verwendeten Apps zu machen. Es empfiehlt sich, sie nach Kategorie zu betrachten, da Sie häufig feststellen, dass nicht sanktionierte Apps für legitime arbeitsbezogene Zwecke verwendet werden, die nicht von einer sanktionierten App behandelt wurden.

  1. Identifizieren Sie die Risikostufen Ihrer Apps: Verwenden Sie den Katalog Defender für Cloud Apps, um tiefer in die Risiken einzutauchen, die mit jeder entdeckten App verbunden sind. Der Defender für Cloud App-Katalog umfasst über 25.000 Apps, die mit über 80 Risikofaktoren bewertet werden. Die Risikofaktoren umfassen einerseits allgemeine Informationen zur App (wo befindet sich der Hauptsitz des App-Anbieters und wer ist der Herausgeber), andererseits aber auch Sicherheitsmaßnahmen und Kontrollen (Unterstützung der Verschlüsselung im Ruhezustand und Überwachungsprotokolle zur Benutzeraktivität). Weitere Informationen finden Sie unter Arbeiten mit Risikobewertungen.

    • Wählen Sie im Portal Defender für Cloud Apps unter "Entdecken" die Option "Ermittelte Apps" aus. Filtern Sie die Liste der Apps, die in Ihrer Organisation ermittelt werden, nach den Risikofaktoren, die Sie betreffen. Beispielsweise können Sie alle Apps mit einer Risikobewertung unter 8 herausfiltern.

    • Sie können einen Drilldown in der App ausführen, um mehr über die Compliance zu erfahren, indem Sie den App-Namen auswählen und dann die Registerkarte "Info " auswählen, um Details zu den Sicherheitsrisikofaktoren der App anzuzeigen.

Phase 2: Auswertung und Analyse

  1. Bewerten der Compliance: Überprüfen Sie, ob die Apps konform mit den Unternehmensstandards sind, z. B. mit HIPAA, SOC 2 oder der DSGVO.

    • Wählen Sie im Defender für Cloud Apps-Portal unter "Entdecken" die Option "Ermittelte Apps" aus. Filtern Sie die Liste der Apps, die in Ihrer Organisation ermittelt werden, nach den Compliance-Risikofaktoren, über die Sie besorgt sind. Verwenden Sie beispielsweise die vorgeschlagene Abfrage, um nicht konforme Apps herauszufiltern.

    • Sie können einen Drilldown in der App ausführen, um mehr über die Compliance zu erfahren, indem Sie den App-Namen auswählen und dann die Registerkarte "Info " auswählen, um Details zu den Compliance-Risikofaktoren der App anzuzeigen.

    Tipp

    Sie erhalten eine Benachrichtigung, wenn eine ermittelte App mit einer kürzlich veröffentlichten Sicherheitsverletzung in Verbindung steht. Hierfür wird die integrierte Warnung App-Sicherheitsverletzung ermittelt verwendet. Untersuchen Sie alle Benutzer, IP-Adressen und Geräte, die in den letzten 90 Tagen auf die betroffene App zugegriffen haben, und wenden Sie entsprechende Maßnahmen an.

  2. Analysieren der Nutzung: Wenn Sie dann überprüft haben, ob die App in Ihrem Unternehmen verwendet werden darf, sollten Sie ermitteln, wer sie verwendet und wofür. Wenn sie nur sporadisch in Ihrer Organisation verwendet wird, müssen Sie möglicherweise keine weiteren Maßnahmen ergreifen. Wenn sie aber vermehrt verwendet wird, sollten Sie sich benachrichtigen lassen, damit Sie entscheiden können, ob die App blockiert werden soll.

    • Wählen Sie im Defender für Cloud-Portal "Apps" unter "Entdecken" die Option "Ermittelte Apps" aus, und drilldownen Sie dann, indem Sie die bestimmte App auswählen, die Sie untersuchen möchten. Auf der Registerkarte Use (Verwendung) erhalten Sie Informationen dazu, wie viele aktive Benutzer die App verwenden und wie viel Datenverkehr dadurch generiert wird. Dies kann Ihnen bereits ein gutes Bild darüber geben, was mit der App passiert. Wenn Sie dann sehen möchten, wer speziell die App verwendet, können Sie einen Drilldown weiter ausführen, indem Sie " Aktive Benutzer insgesamt" auswählen. In diesem Schritt erhalten Sie wichtige Informationen. Wenn Sie beispielsweise herausfinden, dass alle Benutzer einer bestimmten App in der Marketingabteilung arbeiten, kann es sein, dass diese App für bestimmte Unternehmensprozesse von Bedeutung ist. Wenn diese App aber ein Risiko darstellt, sollten Sie mit der Abteilung zusammen nach einer Alternative suchen, bevor Sie sie blockieren.

    • Gewinnen Sie beim Untersuchen der Verwendung von ermittelten Apps noch weitere Erkenntnisse. Zeigen Sie Unterdomänen und Ressourcen an, um mehr über bestimmte Aktivitäten, den Datenzugriff und die Ressourcennutzung in Ihren Clouddiensten zu erfahren. Weitere Informationen finden Sie unter Details zu ermittelten Apps und Ermitteln von Ressourcen und benutzerdefinierten Apps.

  3. Identifizieren Sie alternative Apps: Verwenden Sie den Cloud-App-Katalog, um sicherere Apps zu identifizieren, die ähnliche Geschäftsfunktionen wie die erkannten riskanten Apps erzielen, aber die Richtlinie Ihrer Organisation einhalten. Sie können dazu die erweiterten Filter verwenden, um Apps in derselben Kategorie zu finden, die mit den verschiedenen Sicherheitskontrollen übereinstimmen.

Phase 3: Verwalten Ihrer Apps

  • Verwalten von Cloud-Apps: Defender für Cloud Apps helfen Ihnen bei der Verwaltung der App-Verwendung in Ihrer Organisation. Nachdem Sie die verschiedenen in Ihrer Organisation verwendeten Muster und Verhalten identifiziert haben, können Sie neue benutzerdefinierte App-Markierungen erstellen, um die einzelnen Apps entsprechend Ihrem Status im Unternehmen oder ihrer geschäftlichen Begründung zu klassifizieren. Diese Markierungen können dann zur genauen Überwachung verwendet werden, also z. B. zum Ermitteln von hohem Datenverkehr im Zusammenhang mit Apps, die als riskante Cloudspeicher-Apps eingestuft wurden. Sie können diese App-Markierungen unter Cloud Discovery settings (Cloud Discovery-Einstellungen) >App-Markierungen verwalten. Anschließend können Sie sie verwenden, um die Cloud Discovery-Seiten zu filtern und Richtlinien zu erstellen.

  • Verwalten Sie ermittelte Apps mithilfe des katalogs Azure Active Directory (Azure AD): Defender für Cloud Apps verwendet auch die native Integration mit Azure AD, damit Sie Ihre ermittelten Apps in Azure AD Katalog verwalten können. Bei Apps, die bereits im Azure AD-Katalog vorhanden sind, können Sie das Feature „Einmaliges Anmelden“ anwenden und die App über Azure AD verwalten. Wählen Sie zu diesem Zweck in der Zeile, in der die relevante App angezeigt wird, die drei Punkte am Ende der Zeile aus, und klicken Sie dann auf App mit Azure AD verwalten.

    manage app in azure ad gallery.

  • Kontinuierliche Überwachung: Nachdem Sie die Apps gründlich untersucht haben, möchten Sie möglicherweise Richtlinien festlegen, die die Apps überwachen und bei Bedarf Kontrolle bereitstellen.

Dann sollten Sie Richtlinien erstellen, damit Sie automatisch benachrichtigt werden, wenn ein Risikofall auftritt. Sie können beispielsweise eine App-Ermittlungsrichtlinie erstellen, die Ihnen mitteilen kann, wann ein Anstieg der Downloads oder der Datenverkehr von einer App vorliegt, die Sie beunruhigt haben. Dazu aktivieren Sie die Richtlinien Anormales Verhalten bei ermittelten Benutzern, Complianceprüfung für Cloudspeicher-Apps und Neue riskante App. Sie sollten außerdem in der Richtlinie festlegen, dass Sie per E-Mail oder SMS benachrichtigt werden. Weitere Informationen finden Sie unter Richtlinienvorlagenreferenz, weitere Informationen zu Cloud Discovery-Richtlinien und Konfigurieren von App-Ermittlungsrichtlinien.

Auf der Seite „Warnungen“ finden Sie Informationen zu Warnungen zur App-Ermittlung. Außerdem können Sie den Filter Richtlinientyp verwenden. Für Apps, die von Ihren App-Ermittlungsrichtlinien abgeglichen wurden, empfiehlt es sich, eine erweiterte Untersuchung durchzuführen, um mehr über die geschäftliche Begründung für die Verwendung der App zu erfahren, z. B. durch Kontakt mit den Benutzern der App. Wiederholen Sie dann die Schritte für Phase 2, um das Risiko der App zu bewerten. Legen Sie dann die nächsten Schritte für die Anwendung fest: Möchten Sie sie für die Zukunft freigeben oder blockieren, wenn das nächste Mal ein Benutzer auf diese zugreift? Wenn Letzteres der Fall ist, sollten Sie die App als „Nicht sanktioniert“ markieren, damit sie über Ihre Firewall, Ihren Proxy oder ein sicheres Webgateway blockiert werden kann. Weitere Informationen finden Sie unter Integration in Microsoft Defender für Endpunkt, Integration in Zscaler, Integration iniboss und Blockieren von Apps durch Exportieren eines Blockskripts.

Phase 4: Erweiterte Berichte zur Schatten-IT-Ermittlung

Zusätzlich zu den in Defender für Cloud Apps verfügbaren Berichterstellungsoptionen können Sie Cloud Discovery-Protokolle in Microsoft Sentinel integrieren, um weitere Untersuchungen und Analysen durchzuführen. Sobald sich die Daten in Microsoft Sentinel befinden, können Sie sie in Dashboards anzeigen, Abfragen mit Kusto Abfragesprache ausführen, Abfragen in Microsoft Power BI exportieren, in andere Quellen integrieren und benutzerdefinierte Warnungen erstellen. Weitere Informationen finden Sie in der Microsoft Sentinel-Integration.

Phase 5: Kontrollieren von sanktionierten Apps

  1. Um die App-Steuerung über APIs zu aktivieren, verbinden Sie Apps über die API für kontinuierliche Überwachung.

  2. Schützen Sie die Apps mithilfe der App-Steuerung für bedingten Zugriff.

Die Art von Cloud-Apps bedeutet, dass sie täglich aktualisiert werden und neue Apps immer angezeigt werden. Aus diesem Gründen verwenden Mitarbeiter kontinuierlich neue Apps und es ist wichtig, Ihre Richtlinien zu verfolgen und zu überprüfen und zu aktualisieren, zu überprüfen, welche Apps Ihre Benutzer verwenden, sowie ihre Nutzungs- und Verhaltensmuster. Auf dem Cloud Discovery-Dashboard erfahren Sie, welche neuen Apps verwendet werden, und wenn Sie die in diesem Artikel beschriebenen Anweisungen befolgen, stellen Sie sicher, dass Ihre Organisation und Ihre Daten geschützt sind.

Nächste Schritte

Wenn Probleme auftreten, helfen wir Ihnen gerne weiter. Öffnen Sie ein Supportticket, um Hilfe oder Support für Ihr Produktproblem anzufordern.

Erfahren Sie mehr