Arbeiten mit der RisikobewertungWorking with the risk score

Der Cloud-App-KatalogThe Cloud App Catalog

Der Cloud-App-Katalog gibt Ihnen einen Gesamteinblick in das, was von Cloud Discovery identifiziert wird.The Cloud App Catalog gives you a full picture of what Cloud Discovery identifies. Cloud Discovery analysiert Ihre Datenverkehrsprotokolle mit dem Cloud-App-Katalog von Cloud App Security mit über 15.000 Cloud-Apps, die basierend auf mehr als 60 Risikofaktoren eingestuft und bewertet werden, um Ihnen einen laufenden Einblick in die Cloudverwendung, die Schatten-IT und das Risiko zu bieten, das die Schatten-IT für Ihr Unternehmen darstellt.Cloud Discovery analyzes your traffic logs against Cloud App Security's cloud app catalog of over 15,000 cloud apps that are ranked and scored based on more than 60 risk factors, to provide you with ongoing visibility into cloud use, Shadow IT, and the risk Shadow IT poses into your organization. Der Cloud-App-Katalog bewertet das Risiko für Ihre Cloud-Apps basierend auf der gesetzlichen Zertifizierung, Branchenstandards und bewährten Methoden.The Cloud app catalog rates risk for your cloud apps based on regulatory certification, industry standards, and best practices. Vier ergänzende Prozesse, die im Cloud-App-Katalog ausgeführt werden, damit dieser auf dem neuesten Stand bleibt:Four complementary processes run in the Cloud app catalog to keep it up to date:

  1. Automatisierte Datenextraktion direkt aus der Cloud-App (für Attribute wie z.B. SOC 2-Kompatibilität, Vertragsbedingungen, Anmelde-URL, Datenschutzrichtlinie und Standort der Zentrale).Automated data extraction directly from the cloud app (for attributes such as SOC 2 compliance, terms of service, logon URL, privacy policy, and HQ location).
  2. Automatisierte erweiterte Datenextraktion durch die Algorithmen von Cloud App Security (für Attribute wie z.B. HTTP-Sicherheitsheader)Automated advanced data extraction for data by Cloud App Security's algorithms (for attributes such as HTTP security headers).
  3. Fortlaufende Analyse durch das Cloudanalystenteam von Cloud App Security (für Attribute wie z.B. die Verschlüsselung ruhender Daten)Continuous analysis by the Cloud App Security cloud analyst team (for attributes such as encryption at rest).
  4. Kundenbasierte Revisionsanfragen basierend auf Kundenübermittlungsanfragen für Änderungen am Cloud-App-Katalog.Customer-based revision requests, based on customer submission requests for changes to the Cloud app catalog. Alle Anfragen werden von unserem Cloudanalystenteam überprüft und basierend auf deren Ergebnissen aktualisiert.All requests are reviewed by our cloud analyst team and updated based on their findings.

Der Cloud-App-Katalog

Cloud-Apps als Lösung für die sich wandelnden Bedürfnisse werden für Unternehmenseinheiten immer beliebter.The demand by business units for cloud apps as a solution to their changing needs is growing. Mit dem Cloud-App-Katalog können Sie die Apps auswählen, die am besten zu den Sicherheitsanforderungen Ihrer Organisation passen. Außerdem können Sie so immer die aktuellsten Sicherheitsstandards erfüllen und Anfälligkeiten und Sicherheitsverletzungen behandeln.The Cloud app catalog enables you to wisely choose which apps fit your organization's security requirements, and the need to up to date with the latest security standards, vulnerabilities and breaches. Wenn Sie z.B. CRM-Apps vergleichen möchten und sicher gehen möchten, dass diese angemessen gesichert sind, können Sie die Seite des Cloud-App-Katalogs verwenden, um nach passenden Apps zu suchen: Klicken Sie auf der Seite des Cloud-App-Katalogs unter Browse by Category (Nach Kategorie durchsuchen) auf CRM.For example, if you want to compare CRM apps and make sure they are adequately secured, you can use the Cloud app catalog page to filter for relevant apps you want: In the Cloud app catalog page, under Browse by category select both CRM.

Verwenden Sie anschließend die Filter Erweitert und legen Sie folgende Einstellungen fest: den Faktor für Konformitätsrisiko > SOC 2 auf TRUE, den Faktor für Konformitätsrisiko > ISO 27001 auf TRUE, den Faktor für Sicherheitsrisiko > Verschlüsselung für ruhende Daten auf TRUE, den Faktor für Sicherheitsrisiko > Verschlüsselung für ruhende Daten auf TRUE, den Faktor für Sicherheitsrisiko > Überwachungspfad für Administratoren auf TRUE und den Faktor für Sicherheitsrisiko > Überwachungspfad für Benutzer auf TRUE.Then, use the Advanced filters and set Compliance risk factor > SOC 2 equals True; Compliance risk factor > ISO 27001 equals True; Security risk factor > Data at rest encryption equals True; Security risk factor > Data at rest encryption equals True; Security risk factor > Admin audit trail equals True and Security risk factor > User audit trail equals True.

Filter im Cloud-App-Katalog

Nachdem die Ergebnisse gefiltert wurden, können Sie sich die relevanten Apps anschauen und diejenige aussuchen, die am besten zu Ihren Bedürfnissen passt.After the results are filtered, you can review the relevant apps and find the one that best fits your needs.

Filter im Cloud-App-KatalogCloud App Catalog filters

Es gibt sowohl einfache als auch erweiterte Filter im Cloud-App-Katalog.There are basic and advanced Cloud App Catalog filters. Für einen komplexen Filter können Sie die erweiterte Option verwenden, die Folgendes enthält:To achieve a complex filter use the advanced option which includes all of the following:

  • App-Tags: Mit Tags können Sie den Cloud-App-Katalog anpassen.App tags: Tags enable you to customize the Cloud App Catalog. Sie können sich zwischen Sanktioniert und Nicht sanktioniert entscheiden, oder Sie können benutzerdefinierte App-Tags erstellen.You can select from either Sanctioned, Unsanctioned or you can create custom tags for apps. Diese Tags können dann als Filter verwendet werden, um die spezifischen App-Typen ausführlicher untersuchen zu können.These tags can then be used as filters for deeper diving into specific types of apps that you want to investigate.
  • Apps und Domänen: Damit können Sie nach bestimmten Apps oder nach Apps, die in einer bestimmten Domäne verwendet werden, suchen.Apps and domains: Enables you to search for specific apps or apps used in specific domains.
  • Kategorien: Mit dem Filter „Kategorien“, der sich links auf der Seite befindet, können Sie nach App-Typen anhand von App-Kategorien suchen, z.B. nach Apps von sozialen Netzwerken, Cloudspeicher-Apps usw. Sie können gleichzeitig mehrere Kategorien auswählen und zusätzlich dazu einfache oder erweiterte Filter anwenden.Categories: The categories filter, which is located on the left of the page, enables you to search for types of apps according to app categories, for example Social network apps, Cloud storage apps, etc. You can select multiple categories at a time, or a single category, and then apply the basic and advanced filters on top of these.
  • Faktor für Konformitätsrisiko: Damit können Sie nach bestimmten Standards, Zertifizierungen oder Konformitäten suchen, denen die App möglicherweise entspricht (HIPAA, ISO 27001, SOC 2, PCI-DSS usw.).Compliance risk factor: Lets you search for a specific standards, certification and compliances that the app may comply with (HIPAA, ISO 27001, SOC 2, PCI-DSS, etc.).
  • Allgemeine Risikofaktoren: Damit können Sie nach allgemeinen Risikofaktoren suchen, wie z.B. nach der Beliebtheit beim Kunden, dem Gebietsschema des Rechenzentrums usw.General risk factor: Lets you search for general risk factors such as Consumer popularity, Data center locale, etc.
  • Risikobewertung: Damit können Sie Apps nach Risikobewertung filtern, sodass Sie sich z.B. auf die Überprüfung von beispielsweise Apps mit hohem Risiko konzentrieren können.Risk score: Lets you filter apps by risk score so that you can focus on, for example, reviewing only very risky apps.
  • Faktor für Sicherheitsrisiko: Damit können Sie auf Grundlage von bestimmten Sicherheitsmaßnahmen filtern (wie z.B. die Verschlüsselung im Ruhezustand, die mehrstufige Authentifizierung usw.).Security risk factor: Enables you to filter based on specific security measures (such as Encryption at rest, multi-factor authentication, etc.).

ÄnderungsvorschlagSuggesting a change

Wenn Sie in Ihrer Umgebung eine neue App finden, die von Cloud App Security noch nicht bewertet wurde, oder einen neuen Risikofaktor, eine Aktualisierung einer Bewertung, oder veraltete App-Daten, können Sie ein Überprüfung der App anfordern:If you find a new app in your environment that hasn't been scored by Cloud App Security, a new risk factor, or a score update, or app data that is outdated, you can request a review of the app:

So können Sie eine neue App vorschlagen:To suggest a new app:

  1. Klicken Sie oben auf der Seite Ermittelte Apps auf die drei Auslassungspunkte, und klicken Sie dann auf Neue App vorschlagen.At the top of the Discovered apps page, click the three dots and then select Suggest new app.

Vorschlagen einer App für Cloud App Security

  1. Machen Sie im Popupfenster Neue Cloud-App vorschlagen genauere Angaben zur neuen App, einschließlich des Namens und der App-Domäne.In the Suggest new cloud app popup, fill in details about the new app including the name and domain of the app.

Vorschlagen eines App-Popupfensters für Cloud App Security

  1. Es wird empfohlen, dass Kontrollkästchen zu aktivieren, damit Analysten von Cloud App Security mit Ihnen in Kontakt treten können, falls weitere Informationen zur App benötigt werden, und damit Sie benachrichtigt werden können, wenn die Analyse abgeschlossen ist.We recommend selecting the checkbox to enable Cloud App Security analysts to contact you in case additional information about the app is needed, and so that you can be updated when the analysis is complete.

So können Sie einen Risikofaktor, eine Bewertung oder App-Daten aktualisieren:To update a risk factor, score, or update app data:

  1. Klicken Sie auf der Seite Cloud-App-Katalog in der Zeile der App, die Sie aktualisieren möchten, auf die drei Auslassungspunkte am Ende der Zeile, und klicken Sie dann auf Bewertungsupdate anfordern.In the Cloud App Catalog page, in the app row you want to update, click the three dots at the end of the row and select Request score update.

Bewertungsupdate anfordern

  1. Wählen Sie im Popupfenster Verbesserung vorschlagen, ob Sie ein Bewertungsupdate anfordern, einen neuen Risikofaktor vorschlagen oder App-Daten aktualisieren möchten.In the Suggest an improvement popup, select whether you want to request a score update, suggest a new risk factor or update app data.

Vorschlagen einer Verbesserung für Cloud App Security

  1. Es wird empfohlen, dass Kontrollkästchen zu aktivieren, damit Analysten von Cloud App Security mit Ihnen in Kontakt treten können, falls weitere Informationen zur App benötigt werden, und damit Sie benachrichtigt werden können, wenn die Analyse abgeschlossen ist.We recommend selecting the checkbox to enable Cloud App Security analysts to contact you in case additional information about the app is needed, and so that you can be updated when the analysis is complete.

Anpassen der RisikobewertungCustomizing the risk score

Cloud Discovery stellt Ihnen wichtige Daten in Bezug auf die Vertrauenswürdigkeit und Zuverlässigkeit der Cloud-Apps bereit, die in der gesamten Umgebung verwendet werden.Cloud Discovery provides you with important data regarding the credibility and reliability of the cloud apps that are used across the environment. Im Portal wird jede ermittelte App zusammen mit einer Gesamtbewertung angezeigt, die die Einstufung der Reife dieser speziellen App zur Verwendung für Unternehmen von Cloud App Security darstellt.Within the portal, each discovered app is displayed along with a total score, representing Cloud App Security's assessment of this particular app's maturity of use for enterprises. Die Gesamtbewertung einer bestimmten App ist ein gewichteter Durchschnitt dieser drei Teilbewertungen im Zusammenhang mit den drei Unterkategorien, die Cloud App Security bei der Bewertung der Zuverlässigkeit berücksichtigt:The total score of any given app is a weighted average of three sub-scores relating to the three sub-categories which Cloud App Security considers when assessing reliability:

  • Allgemein – Diese Kategorie bezieht sich auf die grundlegenden Fakten über das Unternehmen, das die App produziert, einschließlich ihrer Domäne, des Gründungsjahrs und der Beliebtheit.General - This category refers to basic facts about the company that produces the app, including its domain, founding year and popularity. Diese Felder sollen die Stabilität des Unternehmens auf der grundlegendsten Ebene darstellen.These fields are meant to portray the company's stability on the most basic level.

  • Sicherheit – Die Sicherheitskategorie berücksichtigt alle Standards im Umgang mit der physischen Sicherheit der Daten, die von der ermittelten App angewandt werden.Security - The security category takes into account all standards dealing with the physical security of the data utilized by the discovered app. Dies beinhaltet Felder wie die mehrstufige Authentifizierung, Verschlüsselung, Klassifizierung von Daten und Datenbesitz.This includes fields such as multi-factor authentication, encryption, data classification and data ownership.

  • Kompatibilität – Diese Kategorie zeigt, welche allgemein bewährten Kompatibilitätsstandards von dem Unternehmen eingehalten werden, das die Anwendung produziert.Compliance - This category displays which common best-practice compliance standards are upheld by the company that produces the app. Die Liste der Spezifikationen enthält Standards wie HIPAA, CSA und PCI-DSS.The list of specifications includes standards such as HIPAA, CSA and PCI-DSS.

Jede Kategorie umfasst viele spezifische Eigenschaften.Each of the categories is comprised of many specific properties. Gemäß unseres Bewertungsalgorithmus erhält jede Eigenschaft je nach Wert eine vorläufige Bewertung zwischen 0 und 10.According to our scoring algorithm, each property receives a preliminary score between 0 and 10, depending on the value. TRUE/FALSE-Werte erhalten dementsprechend 10 oder 0, während kontinuierliche Eigenschaften wie das Alter der Domäne einen bestimmten Wert innerhalb des Spektrums erhalten.True/False values will receive 10 or 0 accordingly, whereas continuous properties such as domain age will receive a certain value within the spectrum. Das Ergebnis jeder Eigenschaft wird anhand aller anderen vorhandenen Felder in der Kategorie gewichtet, um die Teilbewertung der Kategorie zu erstellen.The score of each property is weighted against all other existing fields in the category, to create the category's sub-score. Wenn Sie auf eine nicht bewertete App treffen, handelt es sich in der Regel um eine App, die nicht bewertet wird, weil ihre Eigenschaften unbekannt sind.If you encounter an unscored app, it usually indicates an app whose properties are unknown and is therefore unscored.

Es ist wichtig, dass Sie sich ein wenig Zeit nehmen, die Standardeinstellungen für die Gewichtung in der Cloud Discovery-Bewertungskonfiguration zu überprüfen und zu ändern.It is important to take a minute to review and modify the default weights given to the Cloud Discovery score configuration. Standardmäßig erhalten alle verschiedenen bewerteten Parameter die gleich Gewichtung.By default, all the various parameters evaluated are given an equal weight. Wenn bestimmte Parameter für Ihre Organisation mehr oder weniger wichtig sind, müssen Sie sie wie folgt ändern:If there are certain parameters that are more or less important to your organization, it's important to change them as follows:

  1. Wählen Sie im Portal unter dem Einstellungensymbol Cloud Discovery-Einstellungen.In the portal, under the settings icon, select Cloud Discovery settings.

  2. Verschieben Sie unter Bewertungsmetrik konfigurieren den Regler für Wichtigkeit, um die Gewichtung des Felds oder der Risikokategorie in Ignoriert, Niedrig, Mittel, Hoch oder Sehr hoch zu ändern.Under Configure score metric, slide the Importance to change the weight of the field or the risk category to Ignored, Low, Medium, High or Very High.

  3. Darüber hinaus können Sie festlegen, ob bestimmte Werte in der Bewertungsberechnung entweder nicht verfügbar oder nicht anwendbar sind.In addition, you can set whether certain values are either not available or not applicable in the score calculation. Wenn einbezogen, leisten „Nicht zutreffend“-Werte einen negativen Beitrag zum berechneten Wert.When included, N/A values have a negative contribution to the calculated score.

Ergebnisscore

Alle Informationen dazu, wie unsere Risikobewertungen gestapelt werden, sind im Cloud App Security-Portal verfügbar.All the information needed in order to understand how our risk scores are stacking up is available in the Cloud App Security portal. Verwenden Sie zum besseren Verständnis der Gewichtung des Risikofaktors in bestimmten Risikokategorien die „i“-Schaltfläche rechts neben den einzelnen Feldnamen im App-Profil).To better understand a risk factor’s weight in specific risk category, use the “i” button to the right of each field name in the app’s profile). Dies bietet Informationen dazu, wie genau Cloud App Security einen bestimmten Risikofaktor bewertet.This provides information about how exactly Cloud App Security scores a specific risk factor. Das Ergebnis ist der Wert des Risikofaktors auf einer Skala von 1 bis 10 plus seine Gewichtung in der Risikokategorie:The score is the value of the risk factor on a scale of 1-10 + its weight in the risk category:

Risikoberechnung

Navigieren Sie mit dem Mauszeiger zur Bewertung der Risikokategorie, um eine Gewichtung der Risikokategorie in einer App-Gesamtbewertung zu verstehen:In order to understand a risk category's weight in an app’s total score, hover over the risk category score:

Gewichtung der Risikokategorie

Überschreiben der RisikobewertungOverriding the risk score

Sie können die Risikobewertung einer App überschreiben, ohne zu verändern, wie sie gewichtet wird, damit Sie schnelle Ergebnisse für Ihre Organisation erhalten.You can override the risk score of an app without changing the way it is weighted so that you get immediate results for your organization. Wenn z.B. die Risikobewertung einer LOB-App, die Sie verwenden, 8 beträgt und sie von Ihrer Organisation sanktioniert und abgelehnt wird, sollten Sie die Risikobewertung in 10 ändern.For example, if the risk score of an LOB app you use is 8 and it is sanctioned and encouraged by your organization, you might want to change the risk score to 10.

Um die Risikobewertung zu überschreiben klicken Sie in der Tabelle Ermittelte Apps oder im Cloud-App-Katalog auf die drei Auslassungspunkte rechts von jeder App, und klicken Sie auf Risikobewertung überschreiben.To override the risk score, in the Discovered apps table or in the Cloud app catalog, click the three dots to the right of any app and select Override risk score.

risikobewertung von ermittelten apps in cloud app security überschreiben

Nachdem Sie die Bewertung überschrieben haben, können Sie App-Notizen hinzufügen, um anderen Administratoren zu erklären, weshalb Sie die Bewertung der App geändert haben.After you update the score, you can include app notes to make your business justification for modifying this app score clear to other administrators.

Außerdem können Sie Notizen hinzufügen, um eine Erklärung zu den Änderungen für jemanden, der die App überprüft, zu geben.You can also add notes to make the justification of the change clear when anyone reviews the app.

Weitere InformationenSee Also

Tägliche Aktivitäten zum Schutz Ihrer CloudumgebungDaily activities to protect your cloud environment

Premier-Kunden können Cloud App Security auch direkt im Premier-Portal auswählen.Premier customers can also choose Cloud App Security directly from the Premier Portal.