Tutorial: Erkennen und Verwalten von Schatten-IT in Ihrem Netzwerk

Gilt für: Microsoft Cloud App Security

Wichtig

Die Produktnamen des Bedrohungsschutzes von Microsoft ändern sich. Weitere Informationen zu diesem und anderen Updates finden Sie hier. Wir werden in naher Zukunft Namen in Produkten und in der Dokumentation aktualisieren.

Wenn IT-Administratoren gefragt werden, wie viele Cloud-Apps von ihren Mitarbeitern verwendet werden, gehen sie im Durchschnitt von 30 bis 40 aus. Tatsächlich werden allerdings durchschnittlich mehr als 1.000 verschiedene Apps von den Mitarbeitern einer Organisation verwendet. Mithilfe von Shadow IT können Sie ermitteln, welche Apps verwendet werden und welche Risikostufe ihnen zugeordnet ist. 80 % der Mitarbeiter verwenden nicht sanktionierte Apps, die niemand überprüft hat und die möglicherweise nicht konform mit Ihren Sicherheits- und Compliancerichtlinien sind. Da Ihre Mitarbeiter heutzutage die Möglichkeit haben, von außerhalb Ihres Unternehmensnetzwerks auf Ihre Ressourcen und Apps zuzugreifen, reicht es nicht mehr aus, Richtlinien und Regeln für Ihre Firewalls festzulegen.

In diesem Tutorial erfahren Sie, wie Sie Cloud Discovery einsetzen können, um zu ermitteln, welche Apps verwendet werden und welche Risiken diese bergen, um Richtlinien zu konfigurieren, mit denen neue riskante Apps ermittelt werden, die verwendet werden, und um die Sanktionierung für diese Apps aufzuheben, damit sie nativ über Ihren Proxy oder Ihre Firewall blockiert werden können.

So entdecken und verwalten Sie Schatten-IT in Ihrem Netzwerk

Folgen Sie diesem Prozess, um Shadow IT Cloud Discovery in Ihrer Organisation einzuführen.

Lebenszyklus von Schatten-IT.

Phase 1: Ermitteln und Identifizieren von Schatten-IT

  1. Ermitteln von Schatten-IT: Führen Sie Cloud Discovery aus, um den Sicherheitsstatus Ihrer Organisation zu ermitteln und herauszufinden, welche Anwendungen in Ihrem Netzwerk verwendet werden. Weitere Informationen finden Sie unter Einrichten von Cloud Discovery. Dies kann mithilfe einer der folgenden Methoden erfolgen:

    • Steigen Sie schnell in Cloud Discovery ein – durch Integration mit Microsoft Defender für Endpunkt. Durch diese native Integration können Sie direkt Daten zum netzwerkinternen und -externen Clouddatenverkehr auf Ihren Windows 10- und Windows 11-Geräten sammeln.

    • Damit alle mit Ihrem Netzwerk verbundenen Geräte abgedeckt werden, müssen Sie unbedingt den Cloud App Security-Protokollsammler für Ihre Firewalls und andere Proxys bereitstellen, um Daten von Ihren Endpunkten zu erfassen und zur Analyse an Cloud App Security zu senden.

    • Integrieren Sie Cloud App Security in Ihren Proxy. Cloud App Security ist nativ in einige Drittanbieterproxys wie Zscaler integriert.

Da für einzelne Benutzergruppen, Regionen und Unternehmensgruppen unterschiedliche Richtlinien gelten können, sollten Sie einen dedizierten Shadow IT-Bericht für jede dieser Einheiten erstellen. Weitere Informationen finden Sie unter Docker unter Windows – lokal.

Sobald Cloud Discovery auf Ihrem Netzwerk ausgeführt wird, sollten Sie sich die generierten fortlaufenden Berichte und das Cloud Discovery-Dashboard ansehen, um sich einen Eindruck von den in Ihrer Organisation verwendeten Apps zu machen. Am besten filtern Sie diese Apps nach Kategorie, da nicht sanktionierte Apps häufig verwendet werden, weil sie für Arbeitsvorgänge benötigt werden, für die es keine sanktionierten Apps gibt.

  1. Ermitteln der Risikostufen Ihrer Apps: Verwenden Sie den Cloud-App-Katalog von Cloud App Security, um mehr über die Risiken zu erfahren, die jede ermittelte App mit sich bringt. Der Risikokatalog von Cloud App Security umfasst mehr als 16.000 Apps, die anhand von mehr als 80 Risikofaktoren bewertet werden. Die Risikofaktoren umfassen einerseits allgemeine Informationen zur App (wo befindet sich der Hauptsitz des App-Anbieters und wer ist der Herausgeber), andererseits aber auch Sicherheitsmaßnahmen und Kontrollen (Unterstützung der Verschlüsselung im Ruhezustand und Überwachungsprotokolle zur Benutzeraktivität). Weitere Informationen finden Sie unter Arbeiten mit Risikobewertungen.

    • Klicken Sie im Cloud App Security-Portal unter Ermitteln auf Ermittelte Apps. Filtern Sie in der Liste der ermittelten Apps in Ihrer Organisation nach den Risikofaktoren, die Ihnen bedenklich scheinen. Beispielsweise können Sie alle Apps mit einer Risikobewertung unter 8 herausfiltern.

    • Sie können einen Drilldown für die App ausführen, um mehr über deren Compliance zu erfahren, indem Sie erst auf den Namen der App und anschließend auf die Registerkarte Info klicken, um Details zu den Sicherheitsrisikofaktoren der App abzurufen.

Phase 2: Auswertung und Analyse

  1. Bewerten der Compliance: Überprüfen Sie, ob die Apps konform mit den Unternehmensstandards sind, z. B. mit HIPAA, SOC 2 oder der DSGVO.

    • Klicken Sie im Cloud App Security-Portal unter Ermitteln auf Ermittelte Apps. Filtern Sie in der Liste der ermittelten Apps in Ihrer Organisation nach den Risikofaktoren hinsichtlich der Compliance, die Ihnen bedenklich erscheinen. Verwenden Sie beispielsweise die vorgeschlagene Abfrage, um nicht konforme Apps herauszufiltern.

    • Sie können einen Drilldown für die App ausführen, um mehr über deren Konformität zu erfahren, indem Sie auf den Namen der App und anschließend auf die Registerkarte Info klicken, um Details zu den Konformitätsrisikofaktoren der App anzuzeigen.

    Tipp

    Sie erhalten eine Benachrichtigung, wenn eine ermittelte App mit einer kürzlich veröffentlichten Sicherheitsverletzung in Verbindung steht. Hierfür wird die integrierte Warnung App-Sicherheitsverletzung ermittelt verwendet. Untersuchen Sie alle Benutzer, IP-Adressen und Geräte, die in den letzten 90 Tagen auf die betroffene App zugegriffen haben, und wenden Sie entsprechende Maßnahmen an.

  2. Analysieren der Nutzung: Wenn Sie dann überprüft haben, ob die App in Ihrem Unternehmen verwendet werden darf, sollten Sie ermitteln, wer sie verwendet und wofür. Wenn sie nur sporadisch in Ihrer Organisation verwendet wird, müssen Sie möglicherweise keine weiteren Maßnahmen ergreifen. Wenn sie aber vermehrt verwendet wird, sollten Sie sich benachrichtigen lassen, damit Sie entscheiden können, ob die App blockiert werden soll.

    • Klicken Sie im Cloud App Security-Portal unter Ermitteln auf Ermittelte Apps, und führen Sie dann einen Drilldown aus, indem Sie auf die App klicken, die Sie überprüfen möchten. Auf der Registerkarte Use (Verwendung) erhalten Sie Informationen dazu, wie viele aktive Benutzer die App verwenden und wie viel Datenverkehr dadurch generiert wird. Dadurch erhalten Sie einen umfassenden Einblick in die Verwendung der App. Wenn Sie anschließend erfahren möchten, welche Benutzer die App verwenden, können Sie einen weiteren Drilldown ausführen, indem Sie auf Aktive Benutzer gesamt klicken. In diesem Schritt erhalten Sie wichtige Informationen. Wenn Sie beispielsweise herausfinden, dass alle Benutzer einer bestimmten App in der Marketingabteilung arbeiten, kann es sein, dass diese App für bestimmte Unternehmensprozesse von Bedeutung ist. Wenn diese App aber ein Risiko darstellt, sollten Sie mit der Abteilung zusammen nach einer Alternative suchen, bevor Sie sie blockieren.

    • Gewinnen Sie beim Untersuchen der Verwendung von ermittelten Apps noch weitere Erkenntnisse. Zeigen Sie Unterdomänen und Ressourcen an, um mehr über bestimmte Aktivitäten, den Datenzugriff und die Ressourcennutzung in Ihren Clouddiensten zu erfahren. Weitere Informationen finden Sie unter Details zu ermittelten Apps und Ermitteln von Ressourcen und benutzerdefinierten Apps.

  3. Suche nach alternativen Apps: Verwenden Sie den Cloud-App-Katalog, um sicherere Apps zu identifizieren, die ähnliche Geschäftsfunktionen wie die erkannten risikobehafteten Apps erreichen, aber die Richtlinien Ihrer Organisation einhalten. Sie können dazu die erweiterten Filter verwenden, um Apps in derselben Kategorie zu finden, die mit den verschiedenen Sicherheitskontrollen übereinstimmen.

Phase 3: Verwalten Ihrer Apps

  • Verwalten von Cloud-Apps: Cloud App Security unterstützt Sie beim Verwalten der App-Nutzung in Ihrer Organisation. Nachdem Sie die verschiedenen in Ihrer Organisation verwendeten Muster und Verhalten identifiziert haben, können Sie neue benutzerdefinierte App-Markierungen erstellen, um die einzelnen Apps entsprechend Ihrem Status im Unternehmen oder ihrer geschäftlichen Begründung zu klassifizieren. Diese Markierungen können dann zur genauen Überwachung verwendet werden, also z. B. zum Ermitteln von hohem Datenverkehr im Zusammenhang mit Apps, die als riskante Cloudspeicher-Apps eingestuft wurden. Sie können diese App-Markierungen unter Cloud Discovery settings (Cloud Discovery-Einstellungen) > App-Markierungen verwalten. Anschließend können Sie sie verwenden, um die Cloud Discovery-Seiten zu filtern und Richtlinien zu erstellen.

  • Verwalten von ermittelten Apps mithilfe des Azure AD-Katalogs: Cloud App Security nutzt auch die native Integration in Azure AD (Azure Active Directory), um Ihnen die Verwaltung Ihrer ermittelten Apps im Azure AD-Katalog zu ermöglichen. Bei Apps, die bereits im Azure AD-Katalog vorhanden sind, können Sie das Feature „Einmaliges Anmelden“ anwenden und die App über Azure AD verwalten. Wählen Sie zu diesem Zweck in der Zeile, in der die relevante App angezeigt wird, die drei Punkte am Ende der Zeile aus, und klicken Sie dann auf App mit Azure AD verwalten.

    Verwalten von Apps im Azure AD-Katalog.

  • Ständige Überwachung: Nachdem Sie die Apps gründlich untersucht haben, sollten Sie Richtlinien festlegen, um die Apps zu überwachen und bei Bedarf zu kontrollieren.

Dann sollten Sie Richtlinien erstellen, damit Sie automatisch benachrichtigt werden, wenn ein Risikofall auftritt. Sie sollten beispielsweise eine App-Ermittlungsrichtlinie erstellen, die Sie darüber informiert, wenn die Anzahl der Downloads oder der Datenverkehr einer App ansteigt. Dazu aktivieren Sie die Richtlinien Anormales Verhalten bei ermittelten Benutzern, Complianceprüfung für Cloudspeicher-Apps und Neue riskante App. Sie sollten außerdem in der Richtlinie festlegen, dass Sie per E-Mail oder SMS benachrichtigt werden. Weitere Informationen finden Sie unter Richtlinienvorlagenreferenz. Erfahren Sie zudem mehr über Cloud Discovery-Richtlinien, und konfigurieren Sie App Discovery-Richtlinien.

Auf der Seite „Warnungen“ finden Sie Informationen zu Warnungen zur App-Ermittlung. Außerdem können Sie den Filter Richtlinientyp verwenden. Für Apps, die mit Ihren App-Ermittlungsrichtlinien übereinstimmen, wird empfohlen, eine erweiterte Untersuchung durchzuführen, um mehr über die geschäftliche Begründung zu erfahren, mit der die App verwendet wird. Dies kann beispielsweise durch Kontaktieren der Benutzer der App geschehen. Wiederholen Sie dann die Schritte für Phase 2, um das Risiko der App zu bewerten. Legen Sie dann die nächsten Schritte für die Anwendung fest: Möchten Sie sie für die Zukunft freigeben oder blockieren, wenn das nächste Mal ein Benutzer auf diese zugreift? Wenn Letzteres der Fall ist, sollten Sie die App als „Nicht sanktioniert“ markieren, damit sie über Ihre Firewall, Ihren Proxy oder ein sicheres Webgateway blockiert werden kann. Weitere Informationen finden Sie unter Integration mit Microsoft Defender für Endpunkt, Integration in Zscaler, Integration in ibosssund Exportieren eines Blockskripts zum Steuern ermittelter Apps.

Phase 4: Erweiterte Berichte zur Schatten-IT-Ermittlung

Zusätzlich zu den in Cloud App Security verfügbaren Berichtsoptionen können Sie Cloud Discovery-Protokolle in Azure Sentinel integrieren, um weitere Untersuchungen und Analysen durchzuführen. Sobald sich die Daten in Azure Sentinel befinden, können Sie diese in Dashboards anzeigen, Abfragen mithilfe der Kusto-Abfragesprache ausführen, Abfragen nach Microsoft Power BI exportieren, andere Quellen integrieren und benutzerdefinierte Warnungen erstellen. Weitere Informationen finden Sie unter Azure Sentinel-Integration.

Phase 5: Kontrollieren von sanktionierten Apps

  1. Um die App-Steuerung über APIs zu aktivieren, verbinden Sie Apps über die API für kontinuierliche Überwachung.

  2. Schützen Sie die Apps mithilfe der App-Steuerung für bedingten Zugriff.

Cloud-Apps werden naturgemäß täglich aktualisiert, und es kommen regelmäßig neue Apps hinzu. Aus diesem Grund verwenden Ihre Mitarbeiter ständig neue Apps, und es ist wichtig, dass Sie Ihre Richtlinien nachverfolgen, prüfen und aktualisieren. Außerdem sollten Sie im Blick behalten, welche Apps Ihre Benutzer verwenden sowie Nutzungs- und Verhaltensmuster analysieren. Auf dem Cloud Discovery-Dashboard erfahren Sie, welche neuen Apps verwendet werden, und wenn Sie die in diesem Artikel beschriebenen Anweisungen befolgen, stellen Sie sicher, dass Ihre Organisation und Ihre Daten geschützt sind.

Nächste Schritte

Wenn Probleme auftreten, helfen wir Ihnen gerne weiter. Öffnen Sie ein Supportticket, um Hilfe oder Support für Ihr Produktproblem anzufordern.

Weitere Informationen