Steuern von Cloud-Apps mit Richtlinien

Hinweis

Wir haben Microsoft Cloud App Security umbenannt. Es wird jetzt als Microsoft Defender for Cloud Apps bezeichnet. In den kommenden Wochen aktualisieren wir die Screenshots und Anweisungen hier und in verwandten Seiten. Weitere Informationen zur Änderung finden Sie in dieser Ankündigung. Weitere Informationen zur aktuellen Umbenennung von Microsoft-Sicherheitsdiensten finden Sie im Microsoft Ignite Security-Blog.

Mit Richtlinien können Sie festlegen, wie sich Ihre Benutzer in der Cloud verhalten sollen. Sie ermöglichen Ihnen, riskantes Verhalten, Verstöße oder verdächtige Datenpunkte und Aktivitäten in Ihrer Cloudumgebung zu erkennen. Bei Bedarf können Sie Wartungsworkflows integrieren, um eine vollständige Risikominderung zu erreichen. Es gibt mehrere Typen von Richtlinien, die mit den verschiedenen Typen von Informationen korrelieren, die Sie über die Cloudumgebung sammeln möchten, und den Typen von Wartungsaktionen, die Sie möglicherweise nutzen möchten.

Wenn Sie z.B. eine Quarantänemaßnahme gegen eine Datenverletzungsbedrohung ergreifen möchten, benötigen Sie einen anderen Richtlinientyp, als wenn Sie die Verwendung einer risikoreichen Cloud-App in Ihrer Organisation blockieren möchten.

Richtlinientypen

Auf der Seite Richtlinien können verschiedene Richtlinien und Vorlagen nach Typ und Symbol unterschieden werden, um die Verfügbarkeit der einzelnen Richtlinien anzuzeigen. Die Richtlinien können auf der Registerkarte "Alle Richtlinien " oder in ihren jeweiligen Kategorieregisterkarten zusammen angezeigt werden. Die verfügbaren Richtlinien hängen von der Datenquelle ab und was Sie in Defender für Cloud Apps für Ihre Organisation aktiviert haben. Wenn Sie z.B. Cloud Discovery-Protokolle hochgeladen haben, werden Ihnen die zu Cloud Discovery gehörenden Richtlinien angezeigt.

Die folgenden Richtlinientypen können erstellt werden:

Symbol für den Richtlinientyp Richtlinientyp Category Zweck
activity policy icon. Aktivitätsrichtlinie Bedrohungserkennung Aktivitätsrichtlinien ermöglichen es Ihnen, eine vielzahl automatisierter Prozesse mithilfe der APIs des App-Anbieters zu erzwingen. Mit diesen Richtlinien können Sie bestimmte Aktivitäten überwachen, die von verschiedenen Benutzern durchgeführt werden, oder unerwartet hohe Raten eines bestimmten Aktivitätstyps verfolgen. Weitere Informationen
anomaly detection policy icon. Richtlinie zur Anomalieerkennung Bedrohungserkennung Mit Richtlinien zur Anomalieerkennung können Sie nach ungewöhnlichen Aktivitäten in Ihrer Cloud suchen. Die Erkennung basiert auf den von Ihnen festgelegten Risikofaktoren, um Sie zu warnen, wenn Ereignisse und Aktivitäten auftreten, die von der Baseline Ihrer Organisation oder von der regulären Benutzeraktivität abweichen. Weitere Informationen
OAuth app policy icon. OAuth-App-Richtlinie Bedrohungserkennung OAuth-App-Richtlinien ermöglichen Es Ihnen, zu untersuchen, welche Berechtigungen jede OAuth-App angefordert und automatisch genehmigt oder widerrufen wird. Diese sind integrierte Richtlinien, die Defender für Cloud Apps enthalten und nicht erstellt werden können. Weitere Informationen
Malware detection policy icon. Schadsoftwareerkennungsrichtlinie Bedrohungserkennung Schadsoftwareerkennungsrichtlinien ermöglichen Es Ihnen, böswillige Dateien in Ihrem Cloudspeicher zu identifizieren und diese automatisch zu genehmigen oder zu widerrufen. Dies ist eine integrierte Richtlinie, die Defender für Cloud Apps enthält und nicht erstellt werden kann. Weitere Informationen
file policy icon. Dateirichtlinie Information Protection Mit Dateirichtlinien können Sie Ihre Cloud-Apps auf angegebene Dateien oder Dateitypen (freigegeben, freigegeben mit externen Domänen) sowie Daten (proprietäre und personenbezogene Informationen, Kreditkartendaten und andere Datentypen) überprüfen und Governanceaktionen auf die Dateien anwenden (Governanceaktionen sind Cloud-App-spezifisch). Weitere Informationen
access policy icon. Zugriffsrichtlinie Bedingter Zugriff Zugriffsrichtlinien ermöglichen die Echtzeitüberwachung und das Steuern der Benutzeranmeldungen für Ihre Cloud-Apps. Weitere Informationen
session policy icon. Sitzungsrichtlinie Bedingter Zugriff Sitzungsrichtlinien bieten Ihnen Funktionen zur Echtzeitüberwachung und Steuerung von Benutzeraktivitäten in Ihren Cloud-Apps. Weitere Informationen
cloud discovery policy icon. App-Ermittlungsrichtlinie Schatten-IT Mit App Discovery-Richtlinien können Sie Warnungen festlegen, mit denen Sie benachrichtigt werden, wenn neue Apps in Ihrer Organisation erkannt werden. Weitere Informationen
anomaly detection policy icon. Richtlinie zur Anomalieerkennung von Cloud Discovery Schatten-IT Richtlinien zur Anomalieerkennung von Cloud Discovery untersuchen die Protokolle, die Sie verwenden, um Cloud-Apps zu ermitteln und auf Ungewöhnliches hin zu durchsuchen. Wenn beispielsweise ein Benutzer, der vorher nie Dropbox verwendet hat, plötzlich 600 GB hochlädt, oder wenn Sie viel mehr Transaktionen als üblich bei einer bestimmten App verzeichnen. Weitere Informationen

Risikoidentifikation

Defender für Cloud Apps hilft Ihnen, verschiedene Risiken in der Cloud zu verringern. Sie können jede Richtlinie und Warnung so konfigurieren, dass sie einem der folgenden Risiken zugeordnet ist:

  • Zugriffssteuerung: Wer greift von wo auf was zu?

    Überwachen Sie kontinuierlich das Verhalten, und erkennen Sie ungewöhnliche Aktivitäten, einschließlich Insiderangriffe und externe Angriffe mit hohem Risiko, und wenden Sie eine Richtlinie zum Warnen und Blockieren an, oder fordern Sie die Überprüfung der Identität für jede App oder eine bestimmte Aktion innerhalb einer App. Aktiviert Richtlinien lokal und zur Steuerung des mobilen Zugriffs basierend auf Benutzer, Gerät und Geografie mit undifferenziertem Blockieren und differenziertem Anzeigen, Bearbeiten und Blockieren. Erkennen Sie verdächtige Anmeldeereignisse, inklusive Fehler bei der mehrstufigen Authentifizierung, Anmeldefehler in Verbindung mit deaktivierten Konten und Identitätswechsel.

  • Kompatibilität: Werden Ihre Kompatibilitätsanforderungen verletzt?

    Katalogisieren und identifizieren Sie empfindliche oder regulierte Daten, einschließlich der Freigabe von Berechtigungen für jede Datei, gespeichert in Dateisynchronisierungsdiensten, zur Sicherstellung der Einhaltung von Vorschriften wie PCI, SOX und HIPAA.

  • Konfigurationssteuerung: Werden nicht autorisierte Änderungen an Ihrer Konfiguration vorgenommen?

    Überwachen Sie Änderungen an der Konfiguration einschließlich Manipulation mittels Remotekonfiguration.

  • Cloud Discovery: Werden neue Apps in Ihrer Organisation verwendet? Haben Sie das Problem, dass Schatten-IT-Apps verwendet werden, von denen Sie nichts wissen?

    Bewerten Sie das gesamte Risiko für die einzelnen Cloud-Apps basierend auf gesetzlichen und Branchenzertifizierungen sowie bewährten Methoden. So können Sie die Anzahl der Benutzer und Aktivitäten, das Volumen des Netzwerkdatenverkehrs und typische Nutzungszeiten für jede Cloudanwendung überwachen.

  • DLP: Werden geschützte Dateien öffentlich freigegeben? Müssen Sie Dateien unter Quarantäne stellen?

    Die lokale DLP-Integration ermöglicht die Integration und Closed-Loop-Wiederherstellung mit bestehenden lokalen DLP-Lösungen.

  • Konten mit Berechtigungen: Müssen Sie Administratorkonten überwachen?

    Aktivitätsüberwachung in Echtzeit und Melden berechtigter Benutzer und Administratoren.

  • Freigabesteuerung: Wie werden Daten in Ihrer Cloudumgebung freigegeben?

    Überprüfen Sie den Inhalt der Dateien sowie Inhalte in der Cloud und erzwingen Sie interne und externe Freigaberichtlinien. Überwachen Sie die Zusammenarbeit und erzwingen Sie Freigaberichtlinien, die z.B. verhindern, dass Dateien außerhalb Ihrer Organisation freigegeben werden.

  • Bedrohungserkennung: Gibt es verdächtige Aktivitäten, die Ihre Cloudumgebung bedrohen?

    Empfangen Sie Echtzeitbenachrichtigungen über alle Richtlinienverletzungen oder Aktivitätsschwellenwerte per SMS oder E-Mail. Durch Anwenden von Maschinellen Lernalgorithmen können Sie Defender für Cloud Apps Verhalten erkennen, das darauf hinweisen kann, dass ein Benutzer Daten falsch verwendet.

Risikokontrolle

Kontrollieren Sie mit diesem Prozess Risiken mit Richtlinien:

  1. Erstellen Sie eine Richtlinie aus einer Vorlage oder einer Abfrage.

  2. Optimieren Sie die Richtlinie, um die erwarteten Ergebnisse zu erzielen.

  3. Fügen Sie automatisierte Aktionen hinzu, um auf Risiken zu reagieren und sie automatisch zu beheben.

Erstellen einer Richtlinie

Sie können entweder die Defender für Cloud Apps-Richtlinienvorlagen als Basis für alle Ihre Richtlinien verwenden oder Richtlinien aus einer Abfrage erstellen.

Richtlinienvorlagen helfen Ihnen, die richtigen Filter und Konfigurationen festzulegen, die erforderlich sind, um bestimmte interessante Ereignisse in Ihrer Umgebung zu erkennen. Die Vorlagen enthalten Richtlinien aller Typen und können auf verschiedene Dienste angewendet werden.

Führen Sie die folgenden Schritte aus, um eine Richtlinie aus einer Richtlinienvorlage zu erstellen:

  1. Klicken Sie in der Konsole auf Steuerung, gefolgt von Vorlagen.

    Create the policy from a template.

  2. Klicken Sie auf das Pluszeichen (+) rechts neben der Zeile der Vorlage, die Sie verwenden möchten. Eine Seite zur Richtlinienerstellung wird geöffnet, welche die vordefinierte Konfiguration der Vorlage enthält.

  3. Ändern Sie die Vorlage für die benutzerdefinierte Richtlinie nach Bedarf. Alle Eigenschaften und Felder dieser neuen Richtlinie auf Vorlagenbasis können nach Bedarf geändert werden.

    Hinweis

    Enthält bei verwendung der Richtlinienfilter nur Suchvorgänge nach vollständigen Wörtern – getrennt durch Kommas, Punkte, Leerzeichen oder Unterstriche. Suchen Sie beispielsweise nach malware oder virus, wird „virus_malware_file.exe“ gefunden, „malwarevirusfile.exe“ hingegen nicht. Wenn Sie nach malware.exesuchen, finden Sie ALLE Dateien mit schadsoftware oder exe im Dateinamen, während Sie nach "malware.exe" (mit den Anführungszeichen) suchen, finden Sie nur Dateien, die genau "malware.exe" enthalten.
    Euqals sucht nur nach der vollständigen Zeichenfolge. Suchen Sie z.B. nach malware.exe, finden Sie zwar „malware.exe“, aber nicht „malware.exe.txt“.

  4. Nach dem Erstellen der neuen Richtlinie auf Vorlagenbasis wird in der Richtlinienvorlagen-Tabelle in der Spalte Verknüpfte Richtlinien eine Verknüpfung zu der neuen Richtlinie neben der Vorlage angezeigt, aus der die Richtlinie erstellt wurde. Sie können aus jeder Vorlage beliebig viele Richtlinien erstellen, die alle zu der Originalvorlage verknüpft sein werden. Durch Verknüpfungen können Sie alle aus derselben Vorlage erstellten Richtlinien verfolgen.

Alternativ können Sie eine Richtlinie während der Untersuchung erstellen. Wenn Sie das Aktivitätsprotokoll, die Dateien oder Konten untersuchen und einen Drilldown ausführen, um nach etwas Bestimmtem zu suchen, können Sie jederzeit auf der Grundlage der Ergebnisse Ihrer Untersuchung eine neue Richtlinie erstellen.

Wenn Sie beispielsweise das Aktivitätsprotokoll betrachten und eine Administratoraktivität außerhalb der IP-Adressen Ihres Büros anzeigen.

Um eine Richtlinie auf der Grundlage der Ergebnisse der Untersuchung zu erstellen, führen Sie die folgende Schritte aus:

  1. Klicken Sie in der Konsole auf Untersuchen und dann auf Aktivitätsprotokoll, Dateien oder Konten.

  2. Verwenden Sie die Filter am oberen Rand der Seite, um die Suchergebnisse auf den verdächtigen Bereich einzuschränken. Beispiel: Klicken Sie auf der Seite „Aktivitätsprotokoll“ auf Activity type (Aktivitätstyp), und wählen Sie unter „Azure operation“ (Azure-Vorgang) Write Administrators (Schreibvorgang durch Administratoren) aus. Wählen Sie dann unter IP-Adresse die Option Kategorie aus, und legen Sie den Wert so fest, dass er keine IP-Adressen enthalten darf, die Sie für bekannte Domänen erstellt haben, z.B. Ihre Administratoradresse, Unternehmensadresse und VPN-IP-Adresse.

    Create file from investigation.

  3. Klicken Sie in der oberen rechten Ecke der Konsole auf Neue Richtlinie aus Suche.

    New policy from search button.

  4. Eine Seite zum Erstellen von Richtlinien wird geöffnet, die die Filter enthält, die Sie bei der Untersuchung verwendet haben.

  5. Ändern Sie die Vorlage für die benutzerdefinierte Richtlinie nach Bedarf. Alle Eigenschaften und Felder dieser neuen Richtlinie auf Untersuchungsbasis können nach Bedarf geändert werden.

    Hinweis

    Enthält bei verwendung der Richtlinienfilter nur Suchvorgänge nach vollständigen Wörtern – getrennt durch Kommas, Punkte, Leerzeichen oder Unterstriche. Suchen Sie beispielsweise nach malware oder virus, wird „virus_malware_file.exe“ gefunden, „malwarevirusfile.exe“ hingegen nicht.
    Euqals sucht nur nach der vollständigen Zeichenfolge. Suchen Sie z.B. nach malware.exe, finden Sie zwar „malware.exe“, aber nicht „malware.exe.txt“.

    create activity policy from investigation.

    Hinweis

    Weitere Informationen zum Festlegen der Felder für die Richtlinie finden Sie in der entsprechenden Richtliniendokumentation:

    Benutzeraktivitätsrichtlinien

    Datenschutzrichtlinien

    Cloud Discovery-Richtlinien

Fügen Sie automatisierte Aktionen hinzu, um auf Risiken zu reagieren und sie automatisch zu beheben

Eine Liste der in Apps verfügbaren Governanceaktionen finden Sie unter Steuern verbundener Apps.

Sie können die Richtlinie auch so einstellen, dass Sie Ihnen eine Warnung via E-Mail oder SMS schickt, wenn Übereinstimmungen erkannt werden.

Navigieren Sie zu Anpassen des Portals, um Ihre Benachrichtungseinstellungen festzulegen

Hinweis

Es können pro Telefonnummer und pro Tag maximal zehn Warnungen per SMS gesendet werden. Der Tag wird gemäß der UTC-Zeitzone berechnet.

Aktivieren und Deaktivieren von Richtlinien

Nachdem Sie eine Richtlinie erstellt haben, können Sie diese aktivieren oder deaktivieren. Wenn Sie eine Richtlinie deaktivieren, müssen Sie sie zum Anhalten nicht löschen, nachdem Sie sie erstellt haben. Wenn Sie die Richtlinie aus irgendeinem Grund anhalten möchten, deaktivieren Sie diese stattdessen, bis Sie sie wieder aktivieren möchten.

  • Klicken Sie zum Aktivieren einer Richtlinie auf der Seite Richtlinie auf die drei Punkte am Zeilenende der Richtlinie, die Sie aktivieren möchten. Wählen Sie Aktivieren aus.

    Enable policy.

  • Klicken Sie zum Deaktivieren einer Richtlinie auf der Seite Richtlinie auf die drei Punkte am Zeilenende der Richtlinie, die Sie deaktivieren möchten. Wählen Sie Deaktivieren aus.

    Disable policy.

Eine neue Richtlinie wird standardmäßig aktiviert, nachdem Sie sie erstellt haben.

Übersichtsbericht "Richtlinien"

Defender für Cloud Apps können Sie einen Richtlinienübersichtsbericht exportieren, der aggregierte Warnungsmetriken pro Richtlinie anzeigt, damit Sie Ihre Richtlinien überwachen, verstehen und anpassen können, um Ihre Organisation besser zu schützen.

Führen Sie zum Exportieren eines Protokolls die folgenden Schritte aus:

  1. Klicken Sie auf der Seite "Richtlinien " auf die Schaltfläche "Exportieren ".

  2. Geben Sie den erforderlichen Zeitraum an.

  3. Klicken Sie auf Exportieren. Dies kann einige Zeit dauern.

So laden Sie den exportierten Bericht herunter:

  1. Navigieren Sie zu Einstellungen > Exportierte Berichte, nachdem der Bericht fertig ist.

  2. Wählen Sie in der Tabelle den relevanten Bericht aus der Liste der Richtlinienübersicht aus , und klicken Sie auf "Herunterladen".

    download button.

Nächste Schritte

Wenn Probleme auftreten, helfen wir Ihnen gerne weiter. Öffnen Sie ein Supportticket, um Hilfe oder Support für Ihr Produktproblem anzufordern.