Erstellen von Cloud Discovery-Richtlinien

Sie können ebenfalls App-Ermittlungsrichtlinien erstellen, die Sie darauf aufmerksam machen, wenn neue Apps ermittelt wurden. Defender for Cloud Apps durchsucht zudem alle Protokolle in Cloud Discovery auf Anomalien.

Erstellen einer App Discovery-Richtlinie

Mit Ermittlungsrichtlinien können Sie Warnungen festlegen, mit denen Sie benachrichtigt werden, wenn neue Apps in Ihrer Organisation erkannt werden.

  1. Wählen Sie im Microsoft Defender-Portal unter Cloud-Apps die Option Richtlinien –>Richtlinienverwaltung. Wählen Sie dann die Registerkarte Schatten-IT.

  2. Wählen Sie Richtlinie erstellen, und anschließend die Richtlinie App-Ermittlung.

    Create a Cloud Discovery policy.

  3. Versehen Sie Ihre Richtlinie mit einem Namen und einer Beschreibung. Bei Bedarf stehen Vorlagen zur Verfügung. Weitere Informationen zu Richtlinienvorlagen finden Sie unter Steuern von Cloud-Apps mit Richtlinien.

  4. Legen Sie für den Schweregrad der Richtlinie fest.

  5. Um festzulegen, welche ermittelten Apps diese Richtlinie auslösen, fügen Sie Filter hinzu.

  6. Sie können einen Schwellenwert dafür festlegen, wie sensibel die Richtlinie sein soll. Aktivieren Sie Richtlinienübereinstimmung auslösen, wenn alle der folgenden Ereignisse am selben Tag eintreten. Sie können Kriterien festlegen, die die App täglich übersteigen muss, um der Richtlinie zu entsprechen. Wählen Sie eine der folgenden Kriterien aus:

    • Täglicher Datenverkehr
    • Heruntergeladene Daten
    • Anzahl von IP-Adressen
    • Anzahl von Transaktionen
    • Anzahl der Benutzer
    • Hochgeladene Daten
  7. Legen Sie unter Warnungen ein Limit für tägliche Warnungen fest. Wählen Sie aus, ob die Benachrichtigung als E-Mail gesendet wird. Geben Sie anschließend nach Bedarf E-Mail-Adressen an.

    • Wenn Sie Save alert settings as the default for your organization (Warnungseinstellungen als Standardeinstellungen für Ihre Organisation speichern) aktivieren, können zukünftige Richtlinien diese Einstellung ebenfalls verwenden.
    • Wenn bereits eine Standardeinstellung vorhanden ist, können Sie Use your organization's default settings (Standardeinstellungen Ihrer Organisation verwenden) auswählen.
  8. Wählen Sie Governanceaktionen aus, die angewendet werden sollen, wenn eine App mit dieser Richtlinie übereinstimmt. Richtlinien können somit als Genehmigt, Nicht genehmigt, Überwacht oder mit einem benutzerdefinierten Tag gekennzeichnet werden.

  9. Klicken Sie auf Erstellen.

Hinweis

  • Neu erstellte Ermittlungsrichtlinien (oder Richtlinien mit aktualisierten fortlaufenden Berichten) lösen eine Warnung einmal in 90 Tagen pro App pro fortlaufendem Bericht aus, unabhängig davon, ob es vorhandene Warnungen für dieselbe App gibt. Wenn Sie beispielsweise eine Richtlinie zum Ermitteln neuer beliebter Apps erstellen, kann dies zusätzliche Warnungen für Apps auslösen, die bereits erkannt und gemeldet wurden.
  • Daten aus Momentaufnahmeberichten lösen keine Warnungen in App-Ermittlungsrichtlinien aus.

Wenn Sie z.B. risikoreiche Hosting-Apps in der Cloudumgebung ermitteln möchten, legen Sie Ihre Richtlinie wie folgt fest:

Legen Sie die Richtlinienfilter so fest, dass alle Dienste ermittelt werden, die zur Kategorie Hostingdienste gehören und eine Risikobewertung von 1 aufweisen, die angibt, dass diese hoch riskant sind.

Legen Sie die Schwellenwerte fest, die eine Warnung für eine bestimmte ermittelte App am unteren Rand auslösen sollen. Sie können beispielsweise nur dann eine Warnung anzeigen lassen, wenn über 100 Benutzer in der Umgebung die App verwendet und eine bestimmte Menge an Daten vom Dienst heruntergeladen haben. Darüber hinaus können Sie das Limit für tägliche Warnungen festlegen, die Sie empfangen möchten.

app discovery policy example.

Anomalieerkennung durch Cloud Discovery

Defender for Cloud Apps durchsucht alle Protokolle in Cloud Discovery auf Anomalien. Wenn beispielsweise ein Benutzer, der vorher nie Dropbox verwendet hat, plötzlich 600 GB hochlädt, oder wenn Sie viel mehr Transaktionen als üblich bei einer bestimmten App verzeichnen. Die Richtlinie zur Anomalieerkennung ist standardmäßig aktiviert. Es ist nicht erforderlich, eine neue Richtlinie für diesen Zweck zu erstellen. Sie können jedoch in der Standardrichtlinie einstellen, für welche Arten von Anomalien Warnungen angezeigt werden sollen.

  1. Wählen Sie im Microsoft Defender-Portal unter Cloud-Apps die Option Richtlinien –>Richtlinienverwaltung. Wählen Sie dann die Registerkarte Schatten-IT.

  2. Wählen Sie Richtlinie erstellen und Richtlinie zur Cloud Discovery-Anomalieerkennung.

    cloud discovery anomaly detection policy menu.

  3. Versehen Sie Ihre Richtlinie mit einem Namen und einer Beschreibung. Bei Bedarf stehen Vorlagen zur Verfügung. Weitere Informationen zu Richtlinienvorlagen finden Sie unter Steuern von Cloud-Apps mit Richtlinien.

  4. Um festzulegen, welche ermittelten Apps diese Richtlinie auslösen, wählen Sie Filter Hinzufügen.

    Die Filter können Sie aus Dropdownlisten auswählen. Wählen Sie Filter hinzufügen aus, um einen Filter hinzuzufügen. Wählen Sie das „X“, um einen Filter zu entfernen.

  5. Wählen Sie unter Anwenden auf aus, ob die Richtlinie für Alle fortlaufenden Berichte oder Bestimmte fortlaufende Berichte gelten soll. Wählen Sie aus, ob die Richtlinie für Benutzer, IP-Adressen oder beides gelten soll.

  6. Wählen Sie die Daten aus, bei denen die anomale Aktivität aufgetreten ist, um die Warnung unter Nur Warnungen für verdächtige Aktivitäten auslösen, die nach diesem Datum stattfinden auszulösen.

  7. Legen Sie unter Warnungen ein Limit für tägliche Warnungen fest. Wählen Sie aus, ob die Benachrichtigung als E-Mail gesendet wird. Geben Sie anschließend nach Bedarf E-Mail-Adressen an.

    • Wenn Sie Save alert settings as the default for your organization (Warnungseinstellungen als Standardeinstellungen für Ihre Organisation speichern) aktivieren, können zukünftige Richtlinien diese Einstellung ebenfalls verwenden.
    • Wenn bereits eine Standardeinstellung vorhanden ist, können Sie Use your organization's default settings (Standardeinstellungen Ihrer Organisation verwenden) auswählen.
  8. Klicken Sie auf Erstellen.

    new discovery anomaly policy.

Nächste Schritte

Sollten Sie Probleme haben, helfen wir Ihnen gerne weiter. Um Unterstützung oder Support für Ihr Produktproblem zu erhalten, öffnen Sie bitte ein Supportticket.