Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
In diesem Artikel werden die täglichen operativen Aktivitäten aufgeführt, die Sie mit Defender for Cloud Apps ausführen sollten.
Überprüfen von Warnungen und Vorfällen
Warnungen und Vorfälle sind zwei der wichtigsten Punkte, die Ihr SOC-Team (Security Operations) täglich überprüfen sollte.
Selektieren Sie Incidents und Warnungen regelmäßig aus der Incidentwarteschlange in Microsoft Defender XDR, wobei Warnungen mit hohem und mittlerem Schweregrad priorisiert werden.
Wenn Sie mit einem SIEM-System arbeiten, ist Ihr SIEM-System in der Regel die erste Anlaufstelle für die Selektierung. SIEM-Systeme bieten mehr Kontext mit zusätzlichen Protokollen und SOAR-Funktionen. Verwenden Sie dann Microsoft Defender XDR für ein tieferes Verständnis einer Warnung oder eines Incidents Zeitleiste.
Selektieren Ihrer Vorfälle aus Microsoft Defender XDR
Wo: Wählen Sie in Microsoft Defender XDR Incidents & Warnungen aus.
Persona: SOC-Analysten
Beim Selektieren von Vorfällen:
Filtern Sie im incident Dashboard nach den folgenden Elementen:
Filter Werte Status Neu, In Bearbeitung Schweregrad Hoch, Mittel, Niedrig Dienstquelle Lassen Sie alle Dienstquellen aktiviert. Wenn alle Dienstquellen überprüft werden, sollten Warnungen mit der höchsten Genauigkeit und Korrelation über andere Microsoft XDR-Workloads hinweg aufgelistet werden. Wählen Sie Defender for Cloud Apps aus, um Elemente anzuzeigen, die speziell aus Defender for Cloud Apps stammen. Wählen Sie die einzelnen Incidents aus, um alle Details zu überprüfen. Überprüfen Sie alle Registerkarten im Incident, im Aktivitätsprotokoll und bei der erweiterten Suche.
Wählen Sie auf der Registerkarte Beweis und Antwort des Vorfalls jedes Beweiselement aus. Wählen Sie das Optionsmenü >Untersuchen und dann nach Bedarf Aktivitätsprotokoll oder Gehe zur Suche aus .
Selektieren Sie Ihre Incidents. Wählen Sie für jeden Incident die Option Incident verwalten und dann eine der folgenden Optionen aus:
- Richtig positiv
- Falsch positiv
- Information, erwartete Aktivität
Geben Sie für echte Warnungen den Behandlungstyp an, damit Ihr Sicherheitsteam Bedrohungsmuster erkennen und Ihre organization vor Risiken schützen kann.
Wenn Sie bereit sind, ihre aktive Untersuchung zu starten, weisen Sie den Incident einem Benutzer zu, und aktualisieren Sie den Incident status in In Bearbeitung.
Wenn der Incident behoben ist, beheben Sie ihn, um alle verknüpften und zugehörigen aktiven Warnungen aufzulösen.
Weitere Informationen finden Sie unter:
- Priorisieren von Vorfällen in Microsoft Defender XDR
- Untersuchen von Warnungen in Microsoft Defender XDR
- Playbook zur Reaktion auf Vorfälle
- Untersuchen von Anomalieerkennungswarnungen
- Verwalten von App-Governancewarnungen
- Untersuchen von Bedrohungserkennungswarnungen
Selektieren Ihrer Incidents aus Ihrem SIEM-System
Persona: SOC-Analysten
Voraussetzungen: Sie müssen mit einem SIEM-System verbunden sein, und es wird empfohlen, Microsoft Sentinel zu integrieren. Weitere Informationen finden Sie unter:
- Microsoft Sentinel-Integration (Vorschau)
- Verbinden von Daten von Microsoft Defender XDR mit Microsoft Sentinel
- Generische SIEM-Integration
Durch die Integration von Microsoft Defender XDR in Microsoft Sentinel können Sie alle Microsoft Defender XDR Incidents in Microsoft Sentinel streamen und zwischen beiden Portalen synchronisieren. Microsoft Defender XDR Incidents in Microsoft Sentinel alle zugehörigen Warnungen, Entitäten und relevanten Informationen enthalten, sodass genügend Kontext für die Selektierung und die Ausführung einer vorläufigen Untersuchung bereitgestellt wird.
Sobald Microsoft Sentinel, bleiben Vorfälle mit Microsoft Defender XDR synchronisiert, sodass Sie die Features beider Portale in Ihrer Untersuchung verwenden können.
- Stellen Sie beim Installieren des Datenconnectors von Microsoft Sentinel für Microsoft Defender XDR sicher, dass Sie die Option Microsoft Defender for Cloud Apps einschließen.
- Erwägen Sie die Verwendung einer Streaming-API zum Senden von Daten an einen Event Hub, wo sie über einen beliebigen Partner-SIEM mit einem Event Hub-Connector genutzt oder in Azure Storage platziert werden können.
Weitere Informationen finden Sie unter:
- Microsoft Defender XDR Integration mit Microsoft Sentinel
- Navigieren und Untersuchen von Vorfällen in Microsoft Sentinel
- Erstellen von benutzerdefinierten Analyseregeln zum Erkennen von Bedrohungen
Überprüfen von Bedrohungserkennungsdaten
Wo: Wählen Sie im Microsoft Defender-Portal Folgendes aus:
- Incidents & Warnungen
- Richtlinien für > Cloud-Apps > Richtlinienverwaltung > Bedrohungserkennung
- Oauth-Apps für Cloud-Apps >
Persona: Sicherheitsadministratoren und SOC-Analysten
Bei der Bedrohungserkennung von Cloud-Apps konzentrieren sich viele SOC-Analysten auf ihre täglichen Aktivitäten und identifizieren Benutzer mit hohem Risiko, die ungewöhnliches Verhalten zeigen.
Defender for Cloud Apps Bedrohungserkennung verwendet Microsoft Threat Intelligence- und Sicherheitsforschungsdaten. Warnungen sind in Microsoft Defender XDR verfügbar und sollten regelmäßig selektiert werden.
Wenn Sicherheitsadministratoren und SOC-Analysten mit Warnungen umgehen, behandeln sie die folgenden Haupttypen von Bedrohungserkennungsrichtlinien:
- Aktivitätsrichtlinien
- Anomalieerkennungsrichtlinien
- OAuth-Richtlinien und App-Governance-Richtlinien
Persona: Sicherheitsadministrator
Stellen Sie sicher, dass Sie die für Ihre organization erforderlichen Bedrohungsschutzrichtlinien erstellen, einschließlich der Behandlung aller Erforderlichen.
Überprüfen der Anwendungsgovernance
Wo: Wählen Sie im Microsoft Defender-Portal Folgendes aus:
- Incidents & Warnungen
- Incidents & Warnungen/App-Governance
Persona: SOC-Analysten
App-Governance bietet umfassende Transparenz und Kontrolle über OAuth-Apps. App-Governance hilft dabei, immer anspruchsvollere Kampagnen zu bekämpfen, die die lokal und in Cloudinfrastrukturen bereitgestellten Apps ausnutzen und einen Ausgangspunkt für die Rechteausweitung, laterale Verschiebung und Datenexfiltration schaffen.
App-Governance wird zusammen mit Defender for Cloud Apps bereitgestellt. Warnungen sind auch in Microsoft Defender XDR verfügbar und sollten regelmäßig selektiert werden.
Weitere Informationen finden Sie unter:
- Ermittlungswarnungen
- Untersuchen vordefinierter App-Richtlinienwarnungen
- Untersuchen und Beheben riskanter OAuth-Apps
Übersichtsseite zur App-Governance überprüfen
Wo: Wählen Sie im Microsoft Defender-Portal Folgendes aus:
- Incidents & Warnungen
- Übersicht über App-Governance > in Cloud-Apps >
Persona: SOC-Analysten und Sicherheitsadministrator
Es wird empfohlen, eine schnelle, tägliche Bewertung des Compliancestatus Ihrer Apps und Incidents durchzuführen. Überprüfen Sie beispielsweise die folgenden Details:
- Die Anzahl von über- oder hoch privilegierten Apps
- Apps mit einem nicht überprüften Herausgeber
- Datennutzung für Dienste und Ressourcen, auf die über Graph-API zugegriffen wurde
- Die Anzahl der Apps, die auf Daten mit den häufigsten Vertraulichkeitsbezeichnungen zugegriffen haben
- Die Anzahl der Apps, die auf Daten mit und ohne Vertraulichkeitsbezeichnungen in Microsoft 365-Diensten zugegriffen haben
- Übersicht über App-Governance-bezogene Incidents
Basierend auf den von Ihnen überprüften Daten können Sie neue App-Governancerichtlinien erstellen oder anpassen.
Weitere Informationen finden Sie unter:
- Anzeigen und Verwalten von Vorfällen und Warnungen
- Anzeigen ihrer App-Details mit App-Governance
- Erstellen von App-Richtlinien in App-Governance.
Überprüfen von OAuth-App-Daten
Wo: Wählen Sie im Microsoft Defender-Portal Folgendes aus:
- Incidents & Warnungen
- Cloud-Apps > App-Governance > Microsoft 365
Es wird empfohlen, ihre Liste der OAuth-fähigen Apps täglich zusammen mit relevanten App-Metadaten und Nutzungsdaten zu überprüfen. Wählen Sie eine App aus, um tiefere Einblicke und Informationen anzuzeigen.
App-Governance verwendet Machine Learning-basierte Erkennungsalgorithmen, um anomales App-Verhalten in Ihrem Microsoft Defender XDR Mandanten zu erkennen, und generiert Warnungen, die Sie anzeigen, untersuchen und auflösen können. Über diese integrierte Erkennungsfunktion hinaus können Sie eine Reihe von Standardrichtlinienvorlagen verwenden oder eigene App-Richtlinien erstellen, die andere Warnungen generieren.
Weitere Informationen finden Sie unter:
- Anzeigen und Verwalten von Vorfällen und Warnungen
- Anzeigen ihrer App-Details mit App-Governance
- Abrufen detaillierter Informationen zu einer App
Erstellen und Verwalten von App-Governancerichtlinien
Wo: Wählen Sie im Microsoft Defender-PortalCloud-Apps > App-Governancerichtlinien > aus.
Persona: Sicherheitsadministratoren
Es wird empfohlen, dass Sie Ihre OAuth-Apps täglich auf regelmäßige detaillierte Sichtbarkeit und Kontrolle überprüfen. Generieren von Warnungen basierend auf Machine Learning-Algorithmen und Erstellen von App-Richtlinien für App-Governance.
Weitere Informationen finden Sie unter:
Überprüfen der App-Steuerung für bedingten Zugriff
Wo: Wählen Sie im Microsoft Defender-Portal Folgendes aus:
- Incidents & Warnungen
- Richtlinien für > Cloud-Apps > Richtlinienverwaltung > bedingter Zugriff
Um die App-Steuerung für bedingten Zugriff zu konfigurieren, wählen Sie Einstellungen > Cloud-Apps > App-Steuerung für bedingten Zugriff aus.
Persona: Sicherheitsadministrator
Die App-Steuerung für bedingten Zugriff bietet Ihnen die Möglichkeit, den Zugriff auf Benutzer-Apps und Sitzungen basierend auf Zugriffs- und Sitzungsrichtlinien in Echtzeit zu überwachen und zu steuern.
Generierte Warnungen sind in Microsoft Defender XDR verfügbar und sollten regelmäßig selektiert werden.
Standardmäßig sind keine Zugriffs- oder Sitzungsrichtlinien bereitgestellt, und daher sind keine zugehörigen Warnungen verfügbar. Sie können eine beliebige Web-App integrieren, um mit Zugriffs- und Sitzungssteuerungen zu arbeiten, Microsoft Entra ID Apps automatisch integriert werden. Es wird empfohlen, Sitzungs- und Zugriffsrichtlinien nach Bedarf für Ihre organization zu erstellen.
Weitere Informationen finden Sie unter:
- Anzeigen und Verwalten von Vorfällen und Warnungen
- Schützen von Apps mit Microsoft Defender for Cloud Apps App-Steuerung für bedingten Zugriff
- Blockieren von und Schützen vor dem Download vertraulicher Daten auf nicht verwaltete oder riskante Geräte
- Sichern der Zusammenarbeit mit externen Benutzern durch Erzwingen von Sitzungskontrollen in Echtzeit
Persona: SOC-Administrator
Es wird empfohlen, dass Sie die Warnungen zur App-Steuerung für bedingten Zugriff täglich und das Aktivitätsprotokoll überprüfen. Filtern Sie Aktivitätsprotokolle nach Quelle, Zugriffssteuerung und Sitzungssteuerung.
Weitere Informationen finden Sie unter Überprüfen von Warnungen und Vorfällen.
Überprüfen der Schatten-IT – Cloud Discovery
Wo: Wählen Sie im Microsoft Defender-Portal Folgendes aus:
- Incidents & Warnungen
- Cloud-Apps > Cloud Discovery/Cloud-App-Katalog
- Richtlinien für > Cloud-Apps > Richtlinienverwaltung > Schatten-IT
Persona: Sicherheitsadministratoren
Defender für Cloud-Apps analysiert Ihre Datenverkehrsprotokolle anhand des Cloud-Apps-Katalogs von über 31.000 Cloud-Apps. Apps werden basierend auf mehr als 90 Risikofaktoren bewertet und bewertet, um einen kontinuierlichen Einblick in die Cloudnutzung, die Schatten-IT und die Risiken zu bieten, die die Schatten-IT für Ihre organization darstellt.
Warnungen im Zusammenhang mit Cloud Discovery sind in Microsoft Defender XDR verfügbar und sollten regelmäßig selektiert werden.
Erstellen Sie App-Ermittlungsrichtlinien, um Warnungen zu erstellen und neu ermittelte Apps basierend auf bestimmten Bedingungen wie Risikobewertungen, Kategorien und App-Verhaltensweisen wie täglichem Datenverkehr und heruntergeladenen Daten zu kennzeichnen.
Tipp
Es wird empfohlen, Defender for Cloud Apps in Microsoft Defender for Endpoint zu integrieren, um Cloud-Apps außerhalb Ihres Unternehmensnetzwerks oder sicherer Gateways zu ermitteln und Governanceaktionen auf Ihre Endpunkte anzuwenden.
Weitere Informationen finden Sie unter:
- Anzeigen und Verwalten von Vorfällen und Warnungen
- Cloud Discovery-Richtlinien
- Erstellen von Cloud Discovery-Richtlinien
- Einrichten von Cloud Discovery
- Ermitteln und Bewerten von Cloud-Apps
Persona: Sicherheits- und Complianceadministratoren, SOC-Analysten
Wenn Sie über eine große Anzahl von ermittelten Apps verfügen, sollten Sie die Filteroptionen verwenden, um mehr über Ihre ermittelten Apps zu erfahren.
Weitere Informationen finden Sie unter Filter und Abfragen für ermittelte Apps in Microsoft Defender for Cloud Apps.
Überprüfen der Cloud Discovery-Dashboard
Wo: Wählen Sie im Microsoft Defender-PortalCloud-Apps > Cloud discovery > Dashboard aus.
Persona: Sicherheits- und Complianceadministratoren, SOC-Analysten
Es wird empfohlen, Ihre Cloud Discovery-Dashboard täglich zu überprüfen. Die Cloud Discovery-Dashboard soll Ihnen einen besseren Einblick in die Verwendung von Cloud-Apps in Ihrem organization bieten. Auf einen Blick erhalten Sie einen Überblick über die Kinder der verwendeten Apps, Ihre offenen Warnungen und die Risikostufen von Apps in Ihrem organization.
Auf der Cloud Discovery-Dashboard:
Verwenden Sie die Widgets oben auf der Seite, um ihre allgemeine Cloud-App-Nutzung zu verstehen.
Filtern Sie die Dashboard Diagramme, um je nach Interesse bestimmte Ansichten zu generieren. Zum Beispiel:
- Machen Sie sich mit den wichtigsten Kategorien von Apps vertraut, die in Ihrer Organisation verwendet werden, insbesondere für sanktionierte Apps.
- Überprüfen Sie die Risikobewertungen für Ihre ermittelten Apps.
- Filtern Sie Ansichten, um Ihre wichtigsten Apps in bestimmten Kategorien anzuzeigen.
- Zeigen Sie die wichtigsten Benutzer und IP-Adressen an, um die Benutzer zu identifizieren, die die meisten Benutzer von Cloud-Apps in Ihrem organization sind.
- Zeigen Sie App-Daten auf einer Weltkarte an, um zu verstehen, wie sich ermittelte Apps nach geografischem Standort verbreiten.
Nachdem Sie die Liste der ermittelten Apps in Ihrer Umgebung überprüft haben, empfehlen wir Ihnen, Ihre Umgebung zu schützen, indem Sie sichere Apps (sanktionierte Apps) genehmigen, unerwünschte Apps (nicht sanktionierte Apps) verbieten oder benutzerdefinierte Tags anwenden.
Sie können auch proaktiv Tags überprüfen und auf die im Cloud-App-Katalog verfügbaren Apps anwenden, bevor sie in Ihrer Umgebung erkannt werden. Um Ihnen bei der Steuerung dieser Anwendungen zu helfen, erstellen Sie relevante Cloud Discovery-Richtlinien, die durch bestimmte Tags ausgelöst werden.
Weitere Informationen finden Sie unter:
Tipp
Je nach Umgebungskonfiguration können Sie von der nahtlosen und automatisierten Blockierung oder sogar von den Von Microsoft Defender for Endpoint bereitgestellten Warn- und Aufklärungsfunktionen profitieren. Weitere Informationen finden Sie unter Integrieren von Microsoft Defender for Endpoint in Microsoft Defender for Cloud Apps.
Überprüfen des Informationsschutzes
Wo: Wählen Sie im Microsoft Defender-Portal Folgendes aus:
- Incidents & Warnungen
- Cloud-Apps-Dateien >
- Cloud-Apps > Richtlinien > Richtlinienverwaltung > Informationsschutz
Persona: Sicherheits- und Complianceadministratoren, SOC-Analysten
Defender for Cloud Apps Dateirichtlinien und -warnungen ermöglichen es Ihnen, eine Vielzahl von automatisierten Prozessen zu erzwingen. Erstellen Sie Richtlinien zum Schutz von Informationen, einschließlich kontinuierlicher Konformitätsüberprüfungen, rechtlicher eDiscovery-Aufgaben und Schutz vor Datenverlust (Data Loss Protection, DLP) für vertrauliche Inhalte, die öffentlich freigegeben werden.
Zusätzlich zum Selektieren von Warnungen und Vorfällen empfehlen wir, dass Ihre SOC-Teams zusätzliche proaktive Aktionen und Abfragen ausführen. Überprüfen Sie auf der Seite Cloud-Apps-Dateien > die folgenden Fragen:
- Wie viele Dateien werden öffentlich freigegeben, damit jeder ohne Link darauf zugreifen kann?
- Für welche Partner geben Sie Dateien mithilfe der ausgehenden Freigabe frei?
- Haben Dateien vertrauliche Namen?
- Werden dateien für die persönliches Konto einer anderen Person freigegeben?
Verwenden Sie die Ergebnisse dieser Abfragen, um vorhandene Dateirichtlinien anzupassen oder neue Richtlinien zu erstellen.
Weitere Informationen finden Sie unter: