Ermittelte Apps mit Microsoft Defender for Endpoint verwalten

Die Integration von Microsoft Defender for Cloud Apps in Microsoft Defender for Endpoint bietet eine nahtlose Lösung für Sichtbarkeit und Steuerung der Schatten-IT. Mit unserer Integration können Administrator*innen von Defender for Cloud Apps den Zugriff von Endbenutzer*innen auf Cloud-Apps blockieren, indem sie nativ Die App-Governance für Defender for Cloud Apps in den Netzwerkschutz von Microsoft Defender for Endpoint integrieren. Alternativ können Administrator*innen einen sanfteren Ansatz zur Warnung von Benutzer*innen verfolgen, die auf riskante Cloud-Apps zugreifen.

Defender for Cloud Apps verwendet das integrierte App-Tag Nicht genehmigt, das sowohl auf den Cloud Discovery- als auch auf der Cloud-App-Katalogseite verfügbar ist, um Cloud-Apps als unzulässig zu kennzeichnen. Indem Sie die Integration mit Defender for Endpoint aktivieren, können Sie den Zugriff auf nicht genehmigte Apps mit einem einzigen Klick im Defender for Cloud Apps-Portal nahtlos blockieren.

Apps, die in Defender for Cloud Apps als nicht genehmigt gekennzeichnet sind, werden automatisch mit Defender for Endpoint synchronisiert. Genauer gesagt werden die von diesen nicht genehmigten Apps verwendeten Domänen an Endpunktgeräte weitergeleitet, die von Microsoft Defender Antivirus innerhalb der Netzwerkschutz-SLA blockiert werden.

Hinweis

Die Zeitlatenz zum Blockieren einer App über Defender for Endpoint beträgt bis zu drei Stunden ab dem Moment, in dem Sie die App in Defender for Cloud Apps als nicht genehmigt festgelegt haben, bis die App im Gerät blockiert wird. Dies ist darauf zurückzuführen, dass die Synchronisierung der von Defender for Cloud Apps sanktionierten bzw. nicht sanktionierten Apps mit Defender for Endpoint bis zu eine Stunde dauert und die Übertragung der Richtlinie auf die Geräte, um die App zu blockieren, sobald der Indikator in Defender for Endpoint erstellt wurde, bis zu zwei Stunden dauert.

Voraussetzungen

Aktivieren der Blockierung von Cloud-Apps mit Defender für Endpunkt

Führen Sie die folgenden Schritte aus, um die Zugriffssteuerung für Cloud-Apps zu aktivieren:

  1. Wählen Sie im Microsoft Defender-Portal die Option Einstellungen. Wählen Sie dann Cloud-Apps. Wählen Sie unter Cloud Discovery die Option Microsoft Defender for Endpoint und anschließend App-Zugriff erzwingen.

    Screenshot showing how to enable blocking with Defender for Endpoint.

    Hinweis

    Es kann bis zu 30 Minuten dauern, bis die Einstellung wirksam wird.

  2. Gehen Sie in Microsoft Defender XDR zu Einstellungen>Endpunkte>Erweiterte Features, und wählen Sie dann Benutzerdefinierte Netzwerkindikatoren. Informationen zu Netzwerkindikatoren finden Sie unter Erstellen von Indikatoren für IPs und URLs/Domänen.

    Auf diese Weise können Sie die Netzwerkschutzfunktionen von Microsoft Defender Antivirus nutzen, um den Zugriff auf einen vordefinierten Satz von URLs mithilfe von Defender for Cloud Apps zu blockieren, indem Sie App-Tags manuell bestimmten Apps zuweisen oder eine automatische App-Ermittlungsrichtlinie verwenden.

    Screenshot showing how to enable custom network indicators in Defender for Endpoint.

Blockieren von Apps für bestimmte Gerätegruppen

Führen Sie die folgenden Schritte aus, um die Verwendung für bestimmte Gerätegruppen zu blockieren:

  1. Wählen Sie im Microsoft Defender-Portal die Option Einstellungen. Wählen Sie dann Cloud-Apps. Wählen Sie anschließend unter Cloud Discovery die Option App-Tags aus und gehen Sie zur Registerkarte Angepasste Profile.

  2. Wählen Sie Profil hinzufügen. Das Profil legt die Entitäten fest, für die das Blockieren/Zulassen von Apps gilt.

  3. Geben Sie einen beschreibenden Profilnamen und eine Beschreibung an.

  4. Wählen Sie aus, ob das Profil einschließend oder ausschließend sein soll.

    • Einschließen: Nur die eingeschlossene Gruppe von Entitäten wird von der Zugriffserzwingung betroffen sein. Beispielsweise ist für das Profil myContoso die Option Einschließen für Gerätegruppen A und B festgelegt. Das Blockieren von App Y mit dem Profil myContoso blockiert den App-Zugriff nur für die Gruppen A und B.

    • Ausschließen: Die ausgeschlossene Gruppe von Entitäten wird von der Zugriffserzwingung nicht beeinflusst. Beispielsweise ist für das Profil myContoso die Option Ausschließen für Gerätegruppen A und B festgelegt. Das Blockieren von App Y mit dem Profil myContoso blockiert den App-Zugriff für die gesamte Organisation mit Ausnahme der Gruppen A und B.

  5. Wählen Sie die relevanten Gerätegruppen für das Profil aus. Die aufgeführten Gerätegruppen werden von Microsoft Defender for Endpoint abgerufen. Weitere Informationen finden Sie unter Erstellen einer Gerätegruppe.

  6. Wählen Sie Speichern.

    Scoped profiles.

Um eine App zu blockieren, führen Sie die folgenden Schritte aus:

  1. Gehen Sie im Microsoft Defender-Portal unter Cloud-Apps zu Cloud Discovery und rufen Sie die Registerkarte Ermittelte Apps auf.

  2. Wählen Sie die App aus, die blockiert werden soll.

  3. Markieren Sie die App als nicht genehmigt.

    Unsanction an app.

  4. Wählen Sie Speichern, um alle Geräte in Ihrer Organisation zu blockieren. Wenn Sie bestimmte Gerätegruppen in Ihren Organisationen blockieren möchten, wählen Sie die Option Profil auswählen, um Gruppen in die Blockierung einzubeziehen oder von ihr auszuschließen. Wählen Sie dann das Profil für die App-Blockierung und anschließend Speichern.

    Choose a profile to unsanction an app with.

Hinweis

  • Die Erzwingungsmöglichkeit basiert auf den benutzerdefinierten URL-Indikatoren von Defender for Endpoint.
  • Alle Organisationsbereiche, die manuell für Indikatoren festgelegt wurden, die von Defender for Cloud Apps vor der Veröffentlichung dieses Features erstellt wurden, werden von Defender for Cloud Apps außer Kraft gesetzt. Die erforderliche Bereichsdefinition sollte über Defender for Cloud Apps mithilfe der bereichsbezogenen Profile festgelegt werden.
  • Um ein ausgewähltes Bereichsprofil aus einer nicht genehmigten App zu entfernen, entfernen Sie das Tag „nicht genehmigt“, und markieren Sie die App dann erneut mit dem erforderlichen Bereichsprofil.
  • Nachdem die App-Domains mit dem relevanten Tag oder/und der Bereichsdefinition gekennzeichnet sind, kann es bis zu zwei Stunden dauern, bis sie propagiert und auf den Endpunktgeräten aktualisiert werden.
  • Wenn eine App als überwacht markiert ist, wird die Option zum Anwenden eines bereichsbezogenen Profils nur angezeigt, wenn die integrierte Win10-Endpunktbenutzer-Datenquelle in den letzten 30 Tagen daten konsistent empfangen hat.

Informieren von Benutzer*innen beim Zugriff auf riskante Apps

Administrator*innen haben die Möglichkeit, Benutzer*innen zu warnen, wenn sie auf riskante Apps zugreifen. Anstatt Benutzer*innen zu blockieren, erhalten sie eine Meldung mit einem benutzerdefinierten Umleitungslink zu einer Unternehmensseite mit Apps, die zur Verwendung genehmigt wurden. Die Meldung bietet Benutzer*innen die Option, die Warnung zu umgehen und zur App zu gelangen. Administrator*innen können auch die Anzahl der Benutzer*innen überwachen, die die Warnmeldung umgehen.

Defender for Cloud Apps verwendet das integrierte App-Tag Überwacht, um Cloud-Apps als riskant zu kennzeichnen. Das Tag ist auf den Seiten Cloud Discovery und Cloud-App-Katalog verfügbar. Indem Sie die Integration mit Defender for Endpoint aktivieren, können Sie Benutzer*innen vor dem Zugriff auf überwachte Apps mit einem einzigen Klick im Defender for Cloud Apps-Portal nahtlos warnen.

Apps, die als Überwacht gekennzeichnet sind, werden automatisch mit den benutzerdefinierten URL-Indikatoren von Defender for Endpoint synchronisiert, in der Regel innerhalb weniger Minuten. Genauer gesagt werden die von diesen überwachten Apps verwendeten Domänen an Endpunktgeräte weitergeleitet, um über Microsoft Defender Antivirus innerhalb der Netzwerkschutz-SLA eine Warnmeldung bereitzustellen.

Einrichten der benutzerdefinierten Umleitungs-URL für die Warnmeldung

Führen Sie die folgenden Schritte aus, um eine benutzerdefinierte URL zu konfigurieren, die auf eine Unternehmenswebseite verweist, auf der Sie Mitarbeiter*innen darüber informieren können, warum sie gewarnt wurden, und eine Liste mit alternativen genehmigten Apps bereitstellen, die der Risikoakzeptanz Ihrer Organisation entsprechen oder bereits von der Organisation verwaltet werden.

  1. Wählen Sie im Microsoft Defender-Portal die Option Einstellungen. Wählen Sie dann Cloud-Apps. Wählen Sie unter Cloud Discovery die Option Microsoft Defender for Endpoint.

  2. Geben Sie im Feld Benachrichtigungs-URL Ihre URL ein.

    Screenshot showing how to configure notification URL.

Einrichten der Dauer der Benutzerumgehung

Da Benutzer*innen die Warnmeldung umgehen können, können Sie die folgenden Schritte ausführen, um die Dauer der Umgehung zu konfigurieren. Sobald die Dauer abgelaufen ist, erhalten die Benutzer*innen beim nächsten Zugriff auf die überwachte App eine Warnmeldung.

  1. Wählen Sie im Microsoft Defender-Portal die Option Einstellungen. Wählen Sie dann Cloud-Apps. Wählen Sie unter Cloud Discovery die Option Microsoft Defender for Endpoint.

  2. Geben Sie im Feld Dauer der Umgehung die Dauer (Stunden) der Benutzerumgehung ein.

    Screenshot showing how to configure bypass duration.

Überwachen angewendeter App-Steuerelemente

Nachdem Steuerelemente angewendet wurden, können Sie App-Nutzungsmuster mithilfe der folgenden Schritte überwachen, indem Sie die angewendeten Steuerelemente (Zugriff, Blockierung, Umgehung) verwenden.

  1. Gehen Sie im Microsoft Defender-Portal unter Cloud-Apps zu Cloud Discovery und dann zur Registerkarte Ermittelte Apps. Verwenden Sie die Filter, um die relevante überwachte App zu finden.
  2. Wählen Sie den Namen der App aus, um angewendete App-Steuerelemente auf der Übersicht der App anzuzeigen.

Nächste Schritte

Sollten Sie Probleme haben, helfen wir Ihnen gerne weiter. Um Unterstützung oder Support für Ihr Produktproblem zu erhalten, öffnen Sie bitte ein Supportticket.