Tutorial: Erkennen und Verwalten von Schatten-IT in Ihrem NetzwerkTutorial: Discover and manage shadow IT in your network

Gilt für: Microsoft Cloud App SecurityApplies to: Microsoft Cloud App Security

Wichtig

Die Produktnamen des Bedrohungsschutzes von Microsoft ändern sich.Threat protection product names from Microsoft are changing. Weitere Informationen zu diesem und anderen Updates finden Sie hier.Read more about this and other updates here. Wir werden in naher Zukunft Namen in Produkten und in der Dokumentation aktualisieren.We'll be updating names in products and in the docs in the near future.

Wenn IT-Administratoren gefragt werden, wie viele Cloud-Apps von ihren Mitarbeitern verwendet werden, gehen sie im Durchschnitt von 30 bis 40 aus. Tatsächlich werden allerdings durchschnittlich mehr als 1.000 verschiedene Apps von den Mitarbeitern einer Organisation verwendet.When IT admins are asked how many cloud apps they think their employees use, on average they say 30 or 40, when in reality, the average is over 1,000 separate apps being used by employees in your organization. Mithilfe von Shadow IT können Sie ermitteln, welche Apps verwendet werden und welche Risikostufe ihnen zugeordnet ist.Shadow IT helps you know and identify which apps are being used and what your risk level is. 80 % der Mitarbeiter verwenden nicht sanktionierte Apps, die niemand überprüft hat und die möglicherweise nicht konform mit Ihren Sicherheits- und Compliancerichtlinien sind.80% of employees use non-sanctioned apps that no one has reviewed, and may not be compliant with your security and compliance policies. Da Ihre Mitarbeiter heutzutage die Möglichkeit haben, von außerhalb Ihres Unternehmensnetzwerks auf Ihre Ressourcen und Apps zuzugreifen, reicht es nicht mehr aus, Richtlinien und Regeln für Ihre Firewalls festzulegen.And because your employees are able to access your resources and apps from outside your corporate network, it's no longer enough to have rules and policies on your firewalls.

In diesem Tutorial erfahren Sie, wie Sie Cloud Discovery einsetzen können, um zu ermitteln, welche Apps verwendet werden und welche Risiken diese bergen, um Richtlinien zu konfigurieren, mit denen neue riskante Apps ermittelt werden, die verwendet werden, und um die Sanktionierung für diese Apps aufzuheben, damit sie nativ über Ihren Proxy oder Ihre Firewall blockiert werden können.This tutorial provides instructions for using Cloud Discovery to discover which apps are being used, explore the risk of these apps, configure policies to identify new risky apps that are being used, and to unsanction these apps in order to block them natively using your proxy or firewall appliance.

  • Ermitteln und Identifizieren von Schatten-ITDiscover and identify Shadow IT
  • Auswertung und AnalyseEvaluate and analyze
  • Verwalten Ihrer AppsManage your apps
  • Erweiterte Berichte zur Schatten-IT-ErmittlungAdvanced Shadow IT discovery reporting
  • Kontrollieren von sanktionierten AppsControl sanctioned apps

So entdecken und verwalten Sie Schatten-IT in Ihrem NetzwerkHow to discover and manage Shadow IT in your network

Folgen Sie diesem Prozess, um Shadow IT Cloud Discovery in Ihrer Organisation einzuführen.Use this process to roll out Shadow IT Cloud Discovery in your organization.

Lebenszyklus von Schatten-IT

Phase 1: Ermitteln und Identifizieren von Schatten-ITPhase 1: Discover and identify Shadow IT

  1. Ermitteln von Schatten-IT: Führen Sie Cloud Discovery aus, um den Sicherheitsstatus Ihrer Organisation zu ermitteln und herauszufinden, welche Anwendungen in Ihrem Netzwerk verwendet werden.Discover Shadow IT: Identify your organization's security posture by running Cloud Discovery in your organization to see what's actually happening in your network. Weitere Informationen finden Sie unter Einrichten von Cloud Discovery.For more information, see Set up cloud discovery. Dies kann mithilfe einer der folgenden Methoden erfolgen:This can be done using any of the following methods:

    • Steigen Sie schnell in Cloud Discovery ein – durch Integration mit Microsoft Defender ATP.Get up and running quickly with Cloud Discovery by integrating with Microsoft Defender ATP. Durch diese native Integration können Sie direkt netzwerkinterne und -externe Daten zum Clouddatenverkehr auf Ihren Windows 10-Geräten sammeln.This native integration enables you to immediately start collecting data on cloud traffic across your Windows 10 devices, on and off your network.

    • Damit alle mit Ihrem Netzwerk verbundenen Geräte abgedeckt werden, müssen Sie unbedingt den Cloud App Security-Protokollsammler für Ihre Firewalls und andere Proxys bereitstellen, um Daten von Ihren Endpunkten zu erfassen und zur Analyse an Cloud App Security zu senden.For coverage on all devices connected to your network, it's important to deploy the Cloud App Security log collector on your firewalls and other proxies to collect data from your endpoints and send it to Cloud App Security for analysis.

    • Integrieren Sie Cloud App Security in Ihren Proxy.Integrate Cloud App Security with your proxy. Cloud App Security ist nativ in einige Drittanbieterproxys wie Zscaler integriert.Cloud App Security natively integrates with some third-party proxies, including Zscaler.

Da für einzelne Benutzergruppen, Regionen und Unternehmensgruppen unterschiedliche Richtlinien gelten können, sollten Sie einen dedizierten Shadow IT-Bericht für jede dieser Einheiten erstellen.Because policies are different across user groups, regions and business groups, you might want to create a dedicated Shadow IT report for each of these units. Weitere Informationen finden Sie unter Docker unter Windows – lokal.For more information, see Docker on Windows on-premises.

Sobald Cloud Discovery auf Ihrem Netzwerk ausgeführt wird, sollten Sie sich die generierten fortlaufenden Berichte und das Cloud Discovery-Dashboard ansehen, um sich einen Eindruck von den in Ihrer Organisation verwendeten Apps zu machen.Now that Cloud Discovery is running on your network, look at the continuous reports that are generated and look at the Cloud Discovery dashboard to get a full picture of what apps are being used in your organization. Am besten filtern Sie diese Apps nach Kategorie, da nicht sanktionierte Apps häufig verwendet werden, weil sie für Arbeitsvorgänge benötigt werden, für die es keine sanktionierten Apps gibt.It's a good idea to look at them by category, because you will often find that non-sanctioned apps are being used for legitimate work-related purposes that were not addressed by a sanctioned app.

  1. Ermitteln der Risikostufen Ihrer Apps: Verwenden Sie den Cloud-App-Katalog von Cloud App Security, um mehr über die Risiken zu erfahren, die jede ermittelte App mit sich bringt.Identify the risk levels of your apps: Use the Cloud App Security cloud app catalog to dive deeper into the risks that are involved with each discovered app. Der Risikokatalog von Cloud App Security umfasst mehr als 16.000 Apps, die anhand von mehr als 80 Risikofaktoren bewertet werden.Cloud App Security's risk catalog includes over 16,000 apps that are assessed using over 80 risk factors. Die Risikofaktoren umfassen einerseits allgemeine Informationen zur App (wo befindet sich der Hauptsitz des App-Anbieters und wer ist der Herausgeber), andererseits aber auch Sicherheitsmaßnahmen und Kontrollen (Unterstützung der Verschlüsselung im Ruhezustand und Überwachungsprotokolle zur Benutzeraktivität).The risk factors start from general information about the app (where are the app's headquarters, who is the publisher), and through security measures and controls (support for encryption at rest, provides an audit log of user activity). Weitere Informationen finden Sie unter Arbeiten mit Risikobewertungen.For more information, see Working with risk score,

    • Klicken Sie im Cloud App Security-Portal unter Ermitteln auf Ermittelte Apps.In the Cloud App Security portal, under Discover, click Discovered apps. Filtern Sie in der Liste der ermittelten Apps in Ihrer Organisation nach den Risikofaktoren, die Ihnen bedenklich scheinen.Filter the list of apps discovered in your organization by the risk factors you are concerned about. Beispielsweise können Sie alle Apps mit einer Risikobewertung unter 8 herausfiltern.For example, you can use the Advanced filters to find all apps with a risk score lower than 8.

    • Sie können einen Drilldown für die App ausführen, um mehr über deren Compliance zu erfahren, indem Sie erst auf den Namen der App und anschließend auf die Registerkarte Info klicken, um Details zu den Sicherheitsrisikofaktoren der App abzurufen.You can drill down into the app to understand more about its compliance by clicking the app name and then clicking the Info tab to see details about the app's security risk factors.

Phase 2: Auswertung und AnalysePhase 2: Evaluate and analyze

  1. Bewerten der Compliance: Überprüfen Sie, ob die Apps konform mit den Unternehmensstandards sind, z. B. mit HIPAA, SOC 2 oder der DSGVO.Evaluate compliance: Check whether the apps are certified as compliant with your organization's standards, such as HIPAA, SOC2, GDPR.

    • Klicken Sie im Cloud App Security-Portal unter Ermitteln auf Ermittelte Apps.In the Cloud App Security portal, under Discover, click Discovered apps. Filtern Sie in der Liste der ermittelten Apps in Ihrer Organisation nach den Risikofaktoren hinsichtlich der Compliance, die Ihnen bedenklich erscheinen.Filter the list of apps discovered in your organization by the compliance risk factors you are concerned about. Verwenden Sie beispielsweise die vorgeschlagene Abfrage, um nicht konforme Apps herauszufiltern.For example, use the suggested query to filter out non-compliant apps.

    • Sie können einen Drilldown für die App ausführen, um mehr über deren Konformität zu erfahren, indem Sie auf den Namen der App und anschließend auf die Registerkarte Info klicken, um Details zu den Konformitätsrisikofaktoren der App anzuzeigen.You can drill down into the app to understand more about its compliance by clicking the app name and then clicking the Info tab to see details about the app's compliance risk factors.

    Tipp

    Sie erhalten eine Benachrichtigung, wenn eine ermittelte App mit einer kürzlich veröffentlichten Sicherheitsverletzung in Verbindung steht. Hierfür wird die integrierte Warnung App-Sicherheitsverletzung ermittelt verwendet.Get notified when a discovered app is associated with a recently published security breach using the built-in Discovered app security breach alert. Untersuchen Sie alle Benutzer, IP-Adressen und Geräte, die in den letzten 90 Tagen auf die betroffene App zugegriffen haben, und wenden Sie entsprechende Maßnahmen an.Investigate all users, IP addresses, and devices accessing the breached app in the last 90 days, and apply relevant controls.

  2. Analysieren der Nutzung: Wenn Sie dann überprüft haben, ob die App in Ihrem Unternehmen verwendet werden darf, sollten Sie ermitteln, wer sie verwendet und wofür.Analyze usage: Now that you know whether or not you want the app to be used in your organization, you want to investigate how and who is using it. Wenn sie nur sporadisch in Ihrer Organisation verwendet wird, müssen Sie möglicherweise keine weiteren Maßnahmen ergreifen. Wenn sie aber vermehrt verwendet wird, sollten Sie sich benachrichtigen lassen, damit Sie entscheiden können, ob die App blockiert werden soll.If it's only used in a limited way in your organization maybe it's ok, but maybe if the use is growing you want to be notified about it so you can decide if you want to block the app.

    • Klicken Sie im Cloud App Security-Portal unter Ermitteln auf Ermittelte Apps, und führen Sie dann einen Drilldown aus, indem Sie auf die App klicken, die Sie überprüfen möchten.In the Cloud App Security portal, under Discover, click Discovered apps and then drill down by clicking on the specific app you want to investigate. Auf der Registerkarte Use (Verwendung) erhalten Sie Informationen dazu, wie viele aktive Benutzer die App verwenden und wie viel Datenverkehr dadurch generiert wird.The Use tab lets you know how many active users are using the app and how much traffic it's generating. Dadurch erhalten Sie einen umfassenden Einblick in die Verwendung der App.This can already give you a pretty good picture of what's happening with the app. Wenn Sie anschließend erfahren möchten, welche Benutzer die App verwenden, können Sie einen weiteren Drilldown ausführen, indem Sie auf Aktive Benutzer gesamt klicken.Then, if you want to see who, specifically, is using the app, you can drill down further by clicking Total active users. In diesem Schritt erhalten Sie wichtige Informationen. Wenn Sie beispielsweise herausfinden, dass alle Benutzer einer bestimmten App in der Marketingabteilung arbeiten, kann es sein, dass diese App für bestimmte Unternehmensprozesse von Bedeutung ist. Wenn diese App aber ein Risiko darstellt, sollten Sie mit der Abteilung zusammen nach einer Alternative suchen, bevor Sie sie blockieren.This important step can give you pertinent information, for example, if you discover that all the users of a specific app are from the Marketing department, it's possible that there's a business need for this app, and if it's risky you should talk to them about an alternative before blocking it.

    • Gewinnen Sie beim Untersuchen der Verwendung von ermittelten Apps noch weitere Erkenntnisse.Dive even deeper when investigating use of discovered apps. Zeigen Sie Unterdomänen und Ressourcen an, um mehr über bestimmte Aktivitäten, den Datenzugriff und die Ressourcennutzung in Ihren Clouddiensten zu erfahren.View subdomains and resources to learn about specific activities, data access, and resource usage in your cloud services. Weitere Informationen finden Sie unter Details zu ermittelten Apps und Ermitteln von Ressourcen und benutzerdefinierten Apps.For more information, see Deep dive into Discovered apps and Discover resources and custom apps.

  3. Suche nach alternativen Apps: Verwenden Sie den Cloud-App-Katalog, um sicherere Apps zu identifizieren, die ähnliche Geschäftsfunktionen wie die erkannten risikobehafteten Apps erreichen, aber die Richtlinien Ihrer Organisation einhalten.Identify alternative apps: Use the cloud app catalog to identify safer apps that achieve similar business functionality as the detected risky apps, but do comply with your organization's policy. Sie können dazu die erweiterten Filter verwenden, um Apps in derselben Kategorie zu finden, die mit den verschiedenen Sicherheitskontrollen übereinstimmen.You can do this by using the advanced filters to find apps in the same category that meet with your different security controls.

Phase 3: Verwalten Ihrer AppsPhase 3: Manage your apps

  • Verwalten von Cloud-Apps: Cloud App Security unterstützt Sie beim Verwalten der App-Nutzung in Ihrer Organisation.Manage cloud apps: Cloud App Security helps you with the process for managing app use in your organization. Nachdem Sie die verschiedenen in Ihrer Organisation verwendeten Muster und Verhalten identifiziert haben, können Sie neue benutzerdefinierte App-Markierungen erstellen, um die einzelnen Apps entsprechend Ihrem Status im Unternehmen oder ihrer geschäftlichen Begründung zu klassifizieren.After you identified the different patterns and behaviors used in your organization, you can create new custom app tags in order to classify each app according to its business status or justification. Diese Markierungen können dann zur genauen Überwachung verwendet werden, also z. B. zum Ermitteln von hohem Datenverkehr im Zusammenhang mit Apps, die als riskante Cloudspeicher-Apps eingestuft wurden.These tags can be then used for specific monitoring purposes, for example, identify high traffic that is going to apps that are tagged as risky cloud storage apps. Sie können diese App-Markierungen unter Cloud Discovery settings (Cloud Discovery-Einstellungen) > App-Markierungen verwalten.App tags can be managed under Cloud Discovery settings > App tags. Anschließend können Sie sie verwenden, um die Cloud Discovery-Seiten zu filtern und Richtlinien zu erstellen.These tags can then be used later for filtering in the Cloud Discovery pages and creating policies using them.

  • Verwalten von ermittelten Apps mithilfe des Azure AD-Katalogs: Cloud App Security nutzt auch die native Integration in Azure AD (Azure Active Directory), um Ihnen die Verwaltung Ihrer ermittelten Apps im Azure AD-Katalog zu ermöglichen.Manage discovered apps using Azure Active Directory (Azure AD) Gallery: Cloud App Security also leverages its native integration with Azure AD to enable you to manage your discovered apps in Azure AD Gallery. Bei Apps, die bereits im Azure AD-Katalog vorhanden sind, können Sie das Feature „Einmaliges Anmelden“ anwenden und die App über Azure AD verwalten.For apps that already appear in the Azure AD Gallery, you can apply single sign-on and manage the app with Azure AD. Wählen Sie zu diesem Zweck in der Zeile, in der die relevante App angezeigt wird, die drei Punkte am Ende der Zeile aus, und klicken Sie dann auf App mit Azure AD verwalten.To do so, on the row where the relevant app appears, choose the three dots at the end of the row, and then choose Manage app with Azure AD.

    Verwalten von Apps im Azure AD-Katalog

  • Ständige Überwachung: Nachdem Sie die Apps gründlich untersucht haben, sollten Sie Richtlinien festlegen, um die Apps zu überwachen und bei Bedarf zu kontrollieren.Continuous monitoring: Now that you have thoroughly investigated the apps, you might want to set policies that monitor the apps and provide control where needed.

Dann sollten Sie Richtlinien erstellen, damit Sie automatisch benachrichtigt werden, wenn ein Risikofall auftritt.Now it's time to create policies so you can be automatically alerted when something happens that you're concerned about. Sie sollten beispielsweise eine App-Ermittlungsrichtlinie erstellen, die Sie darüber informiert, wenn die Anzahl der Downloads oder der Datenverkehr einer App ansteigt.For example, you might want to create an App discovery policy that lets you know when there is a spike in downloads or traffic from an app you're concerned about. Dazu aktivieren Sie die Richtlinien Anormales Verhalten bei ermittelten Benutzern, Complianceprüfung für Cloudspeicher-Apps und Neue riskante App.To achieve this, you should enable Anomalous behavior in discovered users policy, Cloud storage app compliance check, and New risky app. Sie sollten außerdem in der Richtlinie festlegen, dass Sie per E-Mail oder SMS benachrichtigt werden.You should also set the policy to notify you by email or text message. Weitere Informationen finden Sie unter Richtlinienvorlagenreferenz. Erfahren Sie zudem mehr über Cloud Discovery-Richtlinien, und konfigurieren Sie App Discovery-Richtlinien.For more information, see policy template reference, more about Cloud Discovery policies and Configure App discovery policies.

Auf der Seite „Warnungen“ finden Sie Informationen zu Warnungen zur App-Ermittlung. Außerdem können Sie den Filter Richtlinientyp verwenden.Look at the alerts page and use the Policy type filter to look at app discovery alerts. Für Apps, die mit Ihren App-Ermittlungsrichtlinien übereinstimmen, wird empfohlen, eine erweiterte Untersuchung durchzuführen, um mehr über die geschäftliche Begründung zu erfahren, mit der die App verwendet wird. Dies kann beispielsweise durch Kontaktieren der Benutzer der App geschehen.For apps that were matched by your app discovery policies, it is recommended that you do an advanced investigation to learn more about the business justification for using the app, for example, by contacting the users of the app. Wiederholen Sie dann die Schritte für Phase 2, um das Risiko der App zu bewerten.Then, repeat the steps in Phase 2 to evaluate the risk of the app. Legen Sie dann die nächsten Schritte für die Anwendung fest: Möchten Sie sie für die Zukunft freigeben oder blockieren, wenn das nächste Mal ein Benutzer auf diese zugreift? Wenn Letzteres der Fall ist, sollten Sie die App als „Nicht sanktioniert“ markieren, damit sie über Ihre Firewall, Ihren Proxy oder ein sicheres Webgateway blockiert werden kann.Then determine next steps for the application, whether you approve use of it in the future or want to block it the next time a user accesses it, in which case you should tag it as unsanctioned so it can be blocked using your firewall, proxy, or secure web gateway. Weitere Informationen finden Sie unter Integration mit Microsoft Defender ATP, Integration in Zscaler, Integration in ibosssund Exportieren eines Blockskripts zum Steuern ermittelter Apps.For more information, see Integrate with Microsoft Defender ATP, Integrate with Zscaler, Integrate with iboss, and Export a block script to govern discovered apps.

Phase 4: Erweiterte Berichte zur Schatten-IT-ErmittlungPhase 4: Advanced Shadow IT discovery reporting

Zusätzlich zu den in Cloud App Security verfügbaren Berichtsoptionen können Sie Cloud Discovery-Protokolle in Azure Sentinel integrieren, um weitere Untersuchungen und Analysen durchzuführen.In addition to the reporting options available in Cloud App Security, you can integrate Cloud Discovery logs into Azure Sentinel for further investigation and analysis. Sobald sich die Daten in Azure Sentinel befinden, können Sie diese in Dashboards anzeigen, Abfragen mithilfe der Kusto-Abfragesprache ausführen, Abfragen nach Microsoft Power BI exportieren, andere Quellen integrieren und benutzerdefinierte Warnungen erstellen.Once the data is in Azure Sentinel, you can view it in dashboards, run queries using Kusto query language, export queries to Microsoft Power BI, integrate with other sources, and create custom alerts. Weitere Informationen finden Sie unter Azure Sentinel-Integration.For more information, see Azure Sentinel integration.

Phase 5: Kontrollieren von sanktionierten AppsPhase 5: Control sanctioned apps

  1. Um die App-Steuerung über APIs zu aktivieren, verbinden Sie Apps über die API für kontinuierliche Überwachung.To enable app control via APIs, connect apps via API for continuous monitoring.

  2. Schützen Sie die Apps mithilfe der App-Steuerung für bedingten Zugriff.Protect apps using Conditional Access App Control.

Cloud-Apps werden naturgemäß täglich aktualisiert, und es kommen regelmäßig neue Apps hinzu.The nature of cloud apps means that they are updated daily and new apps appear all the time. Aus diesem Grund verwenden Ihre Mitarbeiter ständig neue Apps, und es ist wichtig, dass Sie Ihre Richtlinien nachverfolgen, prüfen und aktualisieren. Außerdem sollten Sie im Blick behalten, welche Apps Ihre Benutzer verwenden sowie Nutzungs- und Verhaltensmuster analysieren.Because of this, employees are continuously using new apps and it's important to keep tracking and reviewing and updating your policies, checking which apps your users are using, as well as their usage and behavior patterns. Auf dem Cloud Discovery-Dashboard erfahren Sie, welche neuen Apps verwendet werden, und wenn Sie die in diesem Artikel beschriebenen Anweisungen befolgen, stellen Sie sicher, dass Ihre Organisation und Ihre Daten geschützt sind.You can always go to the Cloud Discovery dashboard and see what new apps are being used, and follow the instructions in this article again to make sure your organization and your data are protected.

Weitere InformationenSee Also

Wenn Probleme auftreten, helfen wir Ihnen gerne weiter.If you run into any problems, we're here to help. Öffnen Sie ein Supportticket, um Hilfe oder Support für Ihr Produktproblem anzufordern.To get assistance or support for your product issue, please open a support ticket.