Konfigurieren Sie Dateirichtlinien in Microsoft Defender for Cloud Apps
- 8 Minuten
Mit Richtlinien können Sie definieren, wie sich Ihre Benutzer in der Cloud verhalten sollen. Sie ermöglichen es Ihnen, riskantes Verhalten, Verletzungen oder verdächtige Datenpunkte und Aktivitäten in Ihrer Cloudumgebung zu erkennen. Bei Bedarf können Sie Fehlerbehebungsabläufe integrieren, um eine vollkommen Risikominderung zu erreichen. Es gibt mehrere Arten von Richtlinien, die mit den verschiedenen Arten von Informationen korrelieren, die ein organization über seine Cloudumgebung sammeln kann. Die Richtlinien enthalten auch die Arten von Wartungsaktionen, die ein organization ausführen kann.
Angenommen, es liegt eine Datenverletzungsgefahr vor, die Sie unter Quarantäne stellen möchten. Der Richtlinientyp für dieses Szenario unterscheidet sich von dem Richtlinientyp, der Benutzer an der Verwendung einer riskanten Cloud-App hindert.
Microsoft Defender for Cloud Apps können jeden Dateityp basierend auf mehr als 20 Metadatenfiltern (z. B. Zugriffsebene, Dateityp usw.) überwachen. Die Microsoft Defender for Cloud Apps-Engine kombiniert die folgenden drei Aspekte unter jeder Richtlinie:
Scannen von Inhalten auf der Grundlage vordefinierter Vorlagen oder benutzerdefinierter Ausdrücke.
Kontextfilter, einschließlich:
- Benutzerrollen
- Dateimetadaten
- Freigabeebene
- Organisationsgruppenintegration
- Zusammenarbeitskontext
- Weitere anpassbare Attribute
Automatisierte Aktionen für Governance und Abhilfemaßnahmen.
Hinweis
Die erste ausgelöste Richtlinie garantiert die einzige Governanceaktion, die das System anwendet. Wenn beispielsweise eine Dateirichtlinie bereits eine vertrauliche Bezeichnung auf eine Datei angewandt hat, kann eine zweite Dateirichtlinie keine weitere vertrauliche Bezeichnung auf diese Datei anwenden. Weitere Informationen finden Sie unter Steuerung.
Sobald eine Organisation eine Richtlinie aktiviert hat, wird diese kontinuierlich angewendet:
- Überprüft die Cloudumgebung des organization.
- Identifiziert Dateien, die mit den vom organization konfigurierten Inhalts- und Kontextfiltern übereinstimmen.
- Wendet die angeforderten automatisierten Aktionen an.
Dateirichtlinien erkennen und beheben alle Verstöße für ruhende Informationen oder wenn Benutzer neue Inhalte erstellen. Administratoren können Richtlinien mithilfe von Echtzeitwarnungen oder konsolengenerierten Berichten überwachen.
Richtlinientypen
Auf der Seite Richtlinie im Microsoft Defender for Cloud Apps-Portal werden die verschiedenen Richtlinien und Vorlagen angezeigt. Sie können sie nach Typ unterscheiden, um leicht zu erkennen, welche Richtlinien verfügbar sind. Die Richtlinien werden zusammen auf der Registerkarte Alle Richtlinien oder in den entsprechenden Kategorieregisterkarten angezeigt. Die verfügbaren Richtlinien hängen von der Datenquelle ab und davon, was Sie in Microsoft Defender for Cloud Apps für Ihre organization aktiviert haben. Wenn Sie beispielsweise Cloud Discovery-Protokolle hochgeladen haben, zeigt das System die Richtlinien im Zusammenhang mit Cloud Discovery an.
In der folgenden Tabelle werden die Richtlinientypen beschrieben, die Organisationen erstellen können.
| Richtlinientyp | Kategorie | Verwendung |
|---|---|---|
| Aktivitätsrichtlinie | Bedrohungserkennung | Mit Aktivitätsrichtlinien können Organisationen eine breite Palette automatisierter Prozesse unter Verwendung der APIs von App-Anbietern durchsetzen. Diese Richtlinien ermöglichen es Ihnen, bestimmte Aktivitäten verschiedener Benutzer zu überwachen oder unerwartet hohe Raten einer bestimmten Art von Aktivität zu verfolgen. Weitere Informationen. |
| Anomalieerkennungsrichtlinie | Bedrohungserkennung | Richtlinien zur Erkennung von Anomalien ermöglichen es einer Organisation, nach ungewöhnlichen Aktivitäten in ihrer Cloud zu suchen. Die Erkennung basiert auf den von Ihnen festgelegten Risikofaktoren. Diese Risikofaktoren benachrichtigen Sie, wenn etwas passiert, das sich von der Baseline Ihrer organization oder von der regulären Aktivität des Benutzers unterscheidet. Weitere Informationen. |
| OAuth-App-Richtlinie | Bedrohungserkennung | OAuth-App-Richtlinien ermöglichen es einem organization zu untersuchen, welche Berechtigungen jede OAuth-App angefordert hat, und diese dann automatisch zu genehmigen oder zu widerrufen. Diese integrierten Richtlinien enthalten Defender for Cloud Apps. Weitere Informationen. |
| Schadsoftwareerkennungsrichtlinie | Bedrohungserkennung | Richtlinien zur Erkennung von Malware ermöglichen es einer Organisation, bösartige Dateien auf ihrem Cloud-Speicherplatz zu identifizieren und diese dann automatisch zu genehmigen oder zu widerrufen. Diese integrierte Richtlinie enthält Defender for Cloud Apps. Weitere Informationen. |
| Dateirichtlinie | Information Protection | Dateirichtlinien ermöglichen es einem organization, seine Cloud-Apps auf Folgendes zu überprüfen: – angegebene Dateien oder Dateitypen, z. B. freigegeben und für externe Domänen freigegeben. - Daten wie proprietäre Informationen, personenbezogene Daten, Kredit- Karte Informationen und andere Arten von Daten. Dateirichtlinien können dann Governanceaktionen auf die Dateien anwenden (Governanceaktionen sind cloud-app-spezifisch). Weitere Informationen. |
| Zugriffsrichtlinie | Bedingter Zugriff | Zugriffsrichtlinien ermöglichen einer Organisation die Überwachung und Kontrolle von Benutzeranmeldungen bei ihren Cloud Apps in Echtzeit. Weitere Informationen. |
| Sitzungsrichtlinie | Bedingter Zugriff | Sitzungsrichtlinien ermöglichen einer Organisation die Überwachung und Kontrolle der Benutzeraktivitäten in ihren Cloud Apps in Echtzeit. Weitere Informationen. |
| App-Ermittlungsrichtlinie | Schatten-IT | App-Ermittlungsrichtlinien ermöglichen es einem organization, Warnungen festzulegen, die ihn benachrichtigen, wenn Cloud Discovery neue Apps erkennt. Weitere Informationen. |
| Anomalieerkennungsrichtlinie für Cloud Discovery | Schatten-IT | Richtlinien zur Erkennung von Anomalien bei Cloud Discovery untersuchen die Protokolle, die eine Organisation zur Erkennung von Cloud Apps verwendet, und suchen nach ungewöhnlichen Vorkommnissen. Zum Beispiel, wenn ein Benutzer, der Dropbox noch nie verwendet hat, plötzlich 600 GB auf Dropbox hochlädt, oder wenn es in einer bestimmten App viel mehr Transaktionen als üblich gibt. Weitere Informationen. |
Identifizieren des Risikos
Defender for Cloud Apps hilft Organisationen dabei, verschiedene Risiken in der Cloud zu minimieren. Sie können alle Richtlinien und Warnungen so konfigurieren, dass sie einem der in der folgenden Tabelle aufgeführten Risiken zugeordnet werden.
| Risikofaktoren | Was sollten Sie beachten? | Beschreibung |
|---|---|---|
| Zugriffssteuerung | Wer greift von wo aus auf was zu? | Überwachen Sie kontinuierlich das Verhalten und erkennen Sie anomale Aktivitäten, einschließlich hochriskanter Insider- und externer Angriffe. Sie können dann eine Richtlinie anwenden, um eine App oder eine bestimmte Aktion innerhalb einer App zu warnen, zu blockieren oder eine Identitätsprüfung zu verlangen. Ermöglicht Richtlinien zur Kontrolle des Zugriffs vor Ort und auf mobilen Geräten auf der Grundlage von Benutzer, Gerät und Region mit grober Sperrung und granularer Anzeige, Bearbeitung und Sperrung. Erkennen Sie verdächtige Anmeldeereignisse, einschließlich Fehlern bei der Multi-Faktor-Authentifizierung, Fehlern bei der Anmeldung von deaktivierten Konten und Identitätsdiebstahl-Ereignissen. |
| Compliance | Werden Ihre Compliance-Anforderungen nicht eingehalten? | Katalogisieren und identifizieren Sie vertrauliche oder regulierte Daten, die in Dateisynchronisierungsdiensten gespeichert sind, z. B. Freigabeberechtigungen für jede Datei. Dadurch wird die Einhaltung von Vorschriften wie PCI, SOX und HIPAA sichergestellt. |
| Konfigurationssteuerung | Wurden nicht autorisierte Änderungen an Ihrer Konfiguration vorgenommen? | Überwachen Sie Konfigurationsänderungen, einschließlich der Manipulation der Fernkonfiguration. |
| Cloud Discovery | Werden neue Apps in Ihrem organization verwendet? | Haben Benutzer Schatten-IT-Apps verwendet, die Ihnen nicht bekannt sind? Bewerten Sie das Gesamtrisiko für jede Cloud-App auf der Grundlage von gesetzlichen und branchenspezifischen Zertifizierungen und bewährten Methoden. Ermöglicht Ihnen die Überwachung der Anzahl der Benutzer, der Aktivitäten, des Verkehrsaufkommens und der typischen Nutzungszeiten für jede Cloud-Anwendung. |
| DLP | Werden proprietäre Dateien öffentlich freigegeben? | Müssen Sie Dateien unter Quarantäne stellen? Die Integration von On-Premises DLP bietet Integration und geschlossene Abhilfemaßnahmen mit bestehenden On-Premises DLP-Lösungen. |
| Privilegierte Konten | Müssen Sie Administratorkonten überwachen? | Überwachung der Aktivitäten von privilegierten Benutzern und Administratoren in Echtzeit und Erstellung von Berichten. |
| Freigabesteuerelement | Wie werden Daten in Ihrer Cloudumgebung freigegeben? | Überprüfen Sie den Inhalt von Dateien und Inhalten in der Cloud und setzen Sie interne und externe Richtlinien zur Freigabe durch. Überwachen Sie die Zusammenarbeit, und erzwingen Sie Freigaberichtlinien, z. B. das Blockieren, dass Benutzer Dateien außerhalb ihrer organization freigeben. |
| Bedrohungserkennung | Gibt es verdächtige Aktivitäten, die Ihre Cloud-Umgebung bedrohen? | Erhalten Sie Echtzeit-Benachrichtigungen über jeden Verstoß gegen Richtlinien oder Aktivitätsschwellenwerte per SMS oder E-Mail. Durch die Anwendung von Algorithmen des maschinellen Lernens können Sie mit Defender for Cloud Apps Verhaltensweisen erkennen, die auf einen Datenmissbrauch durch einen Benutzer hinweisen könnten. |
Beispiele für verschiedene Richtlinien für Dateien
In den folgenden Beispielen werden verschiedene Dateirichtlinien beschrieben, die Organisationen erstellen können:
- Öffentlich zugängliche Dateien. Erhalten Sie eine Warnung zu allen öffentlich freigegebenen Dateien in Ihrer Cloud, indem Sie alle Dateien auswählen, deren Freigabeebene auf Öffentlich festgelegt ist.
- Öffentlich freigegebener Dateiname enthält den Namen der Organisation. Erhalten Sie eine Benachrichtigung zu jeder Datei, die den Namen Ihrer organization enthält, die jemand öffentlich freigegeben hat.
- Freigabe für externe Domänen. Erhalten Sie eine Benachrichtigung über jede Datei, die für Konten freigegeben ist, die bestimmten externen Domänen gehören. Zum Beispiel Dateien, die für die Domäne eines Konkurrenten freigegeben sind. Wählen Sie die externe Domäne, für die Sie die Freigabe einschränken möchten.
- Freigegebene Dateien in Quarantäne stellen, die während des letzten Zeitraums nicht geändert wurden. Erhalten Sie eine Benachrichtigung über freigegebene Dateien, die in letzter Zeit von niemandem geändert wurden, um sie unter Quarantäne zu stellen oder auszuwählen, ob eine automatische Aktion durchgeführt werden soll. Schließen Sie alle privaten Dateien aus, die Benutzer während eines angegebenen Datumsbereichs nicht geändert haben. Bei Google Workspace können Sie auswählen, ob diese Dateien unter Quarantäne gestellt werden sollen, indem Sie das Kontrollkästchen „Quarantäne-Datei“ auf der Seite zur Erstellung der Richtlinie verwenden.
- Freigabe für nicht autorisierte Benutzer. Erhalten Sie eine Benachrichtigung über Dateien, die von einer nicht autorisierten Gruppe von Benutzern in Ihrer Organisation freigegeben wurden. Wählen Sie die Benutzer aus, für die die Freigabe nicht autorisiert ist.
- Dateierweiterung „Vertraulich“. Erhalten Sie eine Warnung zu verfügbar gemachten Dateien mit bestimmten Erweiterungen. Wählen Sie die spezifische Erweiterung (z.B. crt für Zertifikate) oder den Dateinamen und schließen Sie die Dateien mit privater Freigabe aus.
Erstellen Sie eine neue Richtlinie
Führen Sie die folgenden Schritte aus, um eine neue Richtlinie zu erstellen:
- Wählen Sie im Microsoft Defender for Cloud Apps-Portal im Navigationsbereich die Option Steuerung und dann Richtlinien aus.
- Auf der Seite Richtlinien wird standardmäßig die Registerkarte Alle Richtlinien angezeigt. Wählen Sie die Registerkarte Informationsschutz aus.
- Wählen Sie auf der Registerkarte Informationsschutz in der Menüleiste +Richtlinie erstellen aus. Wählen Sie im angezeigten Dropdown-Menü die Option Dateirichtlinie aus.
- Auf der Seite Dateirichtlinie erstellen sollten Sie die folgenden Informationen für die Richtlinie konfigurieren:
- Richtlinienvorlage. Verwenden Sie dieses Feld, wenn Sie Ihre Richtlinie auf einer Vorlage basieren möchten. Wählen Sie dieses Feld aus, um die Liste der vordefinierten Vorlagen anzuzeigen, und wählen Sie dann die entsprechende Vorlage aus. Wenn Sie eine benutzerdefinierte Richtlinie erstellen möchten, wählen Sie Keine Vorlage. Weitere Informationen zu Richtlinienvorlagen finden Sie unter Steuern von Cloud-Apps mit Richtlinien.
- Name der Richtlinie. Weisen Sie der Richtlinie einen Namen zu.
- Richtlinienschweregrad. Wenn Sie Defender for Cloud Apps festlegen, um Ihnen Benachrichtigungen zu Richtlinienüberstimmungen für einen bestimmten Richtlinienschweregrad zu senden, bestimmt diese Stufe, ob die Übereinstimmungen der Richtlinie eine Benachrichtigung auslösen.
- Kategorie. Verknüpfen Sie die Richtlinie mit der am besten geeigneten Risikoart. Dieses Feld ist nur informativ. Das System kann das Risiko entsprechend der Kategorie, für die Sie die Richtlinie erstellt haben, vorab auswählen. Standardmäßig legt das System die Kategorie Dateirichtlinien auf DLP fest, obwohl Sie bei Bedarf einen anderen Wert auswählen können.
- Beschreibung. Geben Sie eine optionale Beschreibung der Richtlinie ein.
-
Dateien, die auf alle der folgenden Punkte zutreffen (Filter). Erstellen Sie einen Filter für die Dateien, auf die diese Richtlinie reagiert, um festzulegen, welche ermittelten Apps diese Richtlinie auslösen. Grenzen Sie die Richtlinienfilter ein, bis Sie eine genaue Anzahl von Dateien festgelegt haben, auf die Sie reagieren möchten. Seien Sie so restriktiv wie möglich, um Fehlalarme zu vermeiden. Wenn Sie zum Beispiel öffentliche Berechtigungen entfernen möchten, denken Sie daran, den Filter Öffentlich hinzuzufügen. Oder, wenn Sie einen externen Benutzer entfernen möchten, verwenden Sie den Filter „Extern“. Wenn Sie einen Richtlinienfilter verwenden, sucht die Contains-Klausel nur nach vollständigen Wörtern, die Sie durch Kommas, Punkte, Leerzeichen oder Unterstriche trennen müssen. Beispiel:
- Wenn Sie nach den Worten „Malware“ oder „Virus“ suchen:
- Es findet virus_malware_file.exe.
- Die Datei malwarevirusfile.exe wird nicht gefunden.
- Wenn Sie nach malware.exe suchen:
- Findet es ALLE Dateien, die entweder malware oder exe im Dateinamen enthalten.
- Wenn Sie nach „malware.exe“ (mit den Anführungszeichen) suchen:
- Es werden nur Dateien gefunden, die genau "malware.exe" (einschließlich der Anführungszeichen) enthalten. Ist gleich sucht nur nach der vollständigen Zeichenkette. Wenn Sie beispielsweise nach malware.exe suchen, wird malware.exe gefunden, aber nicht malware.exe.txt.
- Wenn Sie nach den Worten „Malware“ oder „Virus“ suchen:
- Anwenden auf. Wählen Sie für diesen Filter entweder alle Dateien, alle Dateien außer ausgewählten Ordnern oder ausgewählte Ordner aus. Sie können Ihre Richtlinie für alle Dateien in der App oder in bestimmten Ordnern durchsetzen. Das System leitet Sie zur Anmeldung bei der Cloud-App um und fügt dann die relevanten Ordner hinzu.
- Benutzergruppen auswählen. Wählen Sie entweder alle Dateibesitzer, Dateibesitzer aus ausgewählten Benutzergruppen oder alle Dateibesitzer unter Ausschluss der ausgewählten Gruppen. Wählen Sie dann die relevanten Benutzergruppen aus, um zu bestimmen, welche Benutzer und Gruppen in die Richtlinie einbezogen werden sollen.
-
Inspektionsmethode. Sie können entweder die integrierte DLP- oder die Datenklassifizierungsdienste-Methode auswählen.
Datenklassifizierungsdienste ist die empfohlene Methode. Nachdem Sie die Inhaltsüberprüfung aktiviert haben, haben Sie folgende Möglichkeiten:
- Wählen Sie aus, ob Sie voreingestellte Ausdrücke verwenden oder nach anderen benutzerdefinierten Ausdrücken suchen möchten.
- Geben Sie einen regulären Ausdruck an, um eine Datei aus den Ergebnissen auszuschließen. Diese Option ist sehr nützlich, wenn Sie einen inneren Standard für Klassifizierungsschlüsselwörter haben, den Sie von der Richtlinie ausschließen möchten.
- Legen Sie die Mindestanzahl von Inhaltsverstößen fest, die Sie abgleichen möchten, bevor das System die Datei als Verstoß betrachtet. Sie können z. B. 10 auswählen, wenn das System Sie über Dateien mit mindestens 10 Gutschriften Karte Im Inhalt gefundenen Nummern benachrichtigt werden soll.
- Heben Sie die Maskierung der letzten vier Zeichen einer Übereinstimmung auf. Wenn das System Inhalte mit dem ausgewählten Ausdruck abgleicht, ersetzt es den verletzten Text durch "X"-Zeichen. Standardmäßig maskiert das System Verstöße und zeigt sie in ihrem Kontext an. Dabei werden vor und nach dem Verstoß 100 Zeichen angezeigt. Sie ersetzt Zahlen im Kontext des Ausdrucks durch "#"-Zeichen und speichert sie niemals in Defender for Cloud Apps. Sie können die Option zum Aufheben der Maskierung der letzten vier Zeichen eines Verstoßes auswählen, um die Maskierung der letzten vier Zeichen der Verletzung aufzuheben. Sie müssen festlegen, welche Datentypen der reguläre Ausdruck durchsucht: Inhalt, Metadaten und/oder Dateinamen. Standardmäßig durchsucht es den Inhalt und die Metadaten.
- Governanceaktionen. Wählen Sie die Aktion aus, die Defender for Cloud Apps ausführen soll, wenn das System eine Übereinstimmung erkennt.
- Nachdem Sie Ihre Richtlinie erstellt haben, können Sie sie auf der Registerkarte Dateirichtlinie anzeigen. Sie können eine Richtlinie jederzeit bearbeiten, ihre Filter kalibrieren oder die automatisierten Aktionen ändern.
Wenn Sie eine neue Richtlinie erstellen, aktiviert das System diese automatisch. Daher beginnt es sofort mit dem Scannen Ihrer Cloud-Dateien. Seien Sie besonders vorsichtig, wenn Sie Governance-Aktionen festlegen. Unsachgemäß festgelegte Aktionen können zum unwiderruflichen Verlust der Berechtigungen für den Zugriff auf Ihre Dateien führen.
Microsoft empfiehlt, dass Sie mehrere Suchfelder verwenden, um die Filter einzugrenzen. Auf diese Weise wird die Liste der Dateien auf genau die Dateien eingegrenzt, die Sie bearbeiten möchten. Je detaillierter die Filter sind, desto besser. Als Orientierungshilfe können Sie die Schaltfläche Ergebnisse bearbeiten und in der Vorschau anzeigen im Bereich Filter verwenden.
Dateirichtlinien-Übereinstimmungen sind Dateien, von denen das System vermutet, dass sie gegen die Richtlinie verstoßen könnten. Um diese Dateien anzuzeigen:
- Wählen Sie im Navigationsbereich von Microsoft Defender for Cloud Apps die Option Steuerung und dann Richtlinien aus.
- Wählen Sie auf der Seite Richtlinien im Abschnitt Filter oben auf der Seite den Filter Typ aus, um die Liste der Richtlinientypen anzuzeigen. Wählen Sie den entsprechenden Typ.
- Um weitere Informationen zu den Übereinstimmungen einer bestimmten Richtlinie zu erhalten, wählen Sie die Richtlinie aus.
- Das System zeigt die "Jetzt übereinstimmenden" Dateien für die Richtlinie an. Wählen Sie die Registerkarte Verlauf aus, um die Dateien der letzten sechs Monate anzuzeigen, die der Richtlinie entsprechen.
Wissenscheck
Wählen Sie für jede der folgenden Fragen die beste Antwort aus.
Überprüfen Sie Ihre Kenntnisse
Feedback
War diese Seite hilfreich?
No
Benötigen Sie Hilfe zu diesem Thema?
Möchten Sie versuchen, Ask Learn zu verwenden, um Sie durch dieses Thema zu klären oder zu leiten?