Verwalten und Reagieren auf Warnungen in Microsoft Defender für Cloud-Apps

  • 3 Minuten

Warnungen sind die Einstiegspunkte für Organisationen, um ihre Cloudumgebungen genauer zu verstehen. Basierend auf den Informationen, die sie aus Warnungen sammeln, möchten Organisationen möglicherweise neue Richtlinien basierend auf dem, was sie finden, erstellen. Angenommen, Sie stellen fest, dass sich ein Administrator von Grönland aus angemeldet hat, obwohl sich niemand in Ihrem organization zuvor von Grönland aus angemeldet. Sie können eine Richtlinie erstellen, die ein Konto automatisch aussetzt, wenn es von jemandem verwendet wird, um sich von diesem Standort aus anzumelden.

Überwachen von Warnungen

Es empfiehlt sich, alle Ihre Warnungen zu überprüfen und sie als Tools zum Ändern Ihrer Richtlinien zu verwenden. Wenn harmlose Ereignisse als Verstöße gegen vorhandene Richtlinien betrachtet werden, verfeinern Sie Ihre Richtlinien, sodass Sie weniger unnötige Warnungen erhalten.

  1. Wählen Sie im Microsoft Defender-Portal im linken Navigationsbereich Incidents & Warnungen aus, um die Gruppe zu erweitern, und wählen Sie dann Warnungen aus.
  2. Wählen Sie auf der Seite Warnungen in der Menüleiste Filter hinzufügen aus.
  3. Wählen Sie im angezeigten Menü Filter hinzufügen alle Filter aus, die für Ihre aktuelle Untersuchung spezifisch sind, und wählen Sie dann Hinzufügen aus. Wählen Sie die Filter aus, die vollständigen Einblick in verdächtige Aktivitäten oder Verstöße gegen Ihre eingerichteten Richtlinien bieten. Sie haben beispielsweise folgende Möglichkeiten:

    1. Wählen Sie die Option Dienst/Erkennungsquellen und dann Hinzufügen aus.

    2. Wählen Sie auf der Seite Warnungen die Option Dienst/Erkennungsquellen: Beliebiger Filter in der Menüleiste aus.

    3. Wählen Sie im angezeigten Menü Dienst/ErkennungsquellenMicrosoft Defender for Cloud Apps Dienst und dann Anwenden aus, um warnungen im Zusammenhang mit den Cloud-Apps Ihrer organization anzuzeigen.

      Screenshot der Seite

      Screenshot der Seite

Die angezeigten Warnungen können Ihnen helfen, den Sicherheitsstatus zu schützen, den Sie für Ihre Cloudumgebung definiert haben. Für jede Warnung müssen Sie die Art der Verletzung und die erforderliche Reaktion untersuchen und ermitteln.

  • Sie können die Warnungen nach Warnungstyp oder Schweregrad filtern, um zuerst die wichtigsten zu verarbeiten.
  • Wählen Sie eine bestimmte Warnung. Je nachdem, um welche Art von Warnung es sich handelt, sehen Sie verschiedene Aktionen, die Sie ausführen können, bevor Sie die Warnungen auflösen.
  • Sie können basierend auf einer App filtern. Bei den aufgeführten Apps handelt es sich um Apps, für die Microsoft Defender for Cloud Apps Aktivitäten erkannt haben.
  • Es gibt drei Arten von Verstößen, die Sie beim Untersuchen von Warnungen behandeln müssen:
    • Schwerwiegende Verstöße. Sofortige Antwort erforderlich. Dazu gehören:
      • Bei einer Warnung zu verdächtigen Aktivitäten möchten Sie das Konto anhalten, bis der Benutzer sein Kennwort ändert.
      • Bei einem Datenleck möchten Sie die Berechtigungen einschränken oder die Datei unter Quarantäne stellen.
      • Wenn Cloud Discover eine neue App erkennt, möchten Sie den Zugriff auf den Dienst auf Ihrem Proxy oder Ihrer Firewall blockieren.
    • Fragliche Verstöße. Weitere Untersuchung erforderlich. Dazu gehören:
      • Sie können sich bezüglich der Art der Aktivität an den Benutzer oder den Vorgesetzten des Benutzers wenden.
      • Lassen Sie die Aktivität geöffnet, bis Sie weitere Informationen haben.
    • Autorisierte Verstöße oder anomales Verhalten. Kann sich aus legitimer Verwendung ergeben.
      • Sie können die Warnung schließen.

Wenn Sie eine Warnung schließen, ist es hilfreich, wenn Sie Feedback dazu senden, warum Sie die Warnung schließen. Das Microsoft Defender for Cloud Apps-Team verwendet dieses Feedback als Hinweis auf die Genauigkeit der Warnung. Außerdem werden diese Informationen verwendet, um unsere Machine Learning-Modelle für zukünftige Warnungen zu optimieren. Wenn Sie das Kontrollkästchen Es ist in Ordnung, mich über diese Warnung zu kontaktieren , aktivieren, kann microsoft Sie in ausgewählten Fällen kontaktieren, um weitere Informationen zu erhalten.

Sie können die folgenden Richtlinien befolgen, um zu entscheiden, wie die Warnung kategorisiert werden soll:

  • Wenn eine legitime Aktivität die Warnung ausgelöst hat und es sich nicht um ein Sicherheitsproblem handelt, kann es sich um einen der folgenden Typen handeln:
    • Gutartig positiv. Die Warnung ist korrekt, aber die Aktivität ist legitim. Sie können die Warnung schließen und den Grund auf Ist-Schweregrad niedriger oder Nicht interessant festlegen.
    • Falsch positiv. Die Warnung ist ungenau. Schließen Sie die Warnung, und legen Sie den Grund fest, Warnung ist ungenau.
  • Wenn eine Aktivität die Warnung ausgelöst hat und es sich um ein Sicherheitsproblem handelt, lautet die Warnung:
    • Wahr positiv. Wenn sich die Warnung auf ein tatsächliches risikobehaftetes Ereignis bezieht, das ein Insider oder Außenstehenden entweder böswillig oder unbeabsichtigt begangen hat, sollten Sie das Ereignis auf Auflösen festlegen, nachdem der organization alle geeigneten Aktionen zum Beheben des Ereignisses abgeschlossen hat.
  • Wenn zu viel Rauschen vorhanden ist, um die Dringlichkeit und Genauigkeit einer Warnung zu bestimmen, schließen Sie sie, und legen Sie den Grund auf Zu viele ähnliche Warnungen fest.

Alarmtypen

Die folgende Tabelle enthält eine Liste der Warnungstypen und empfiehlt, wie ein organization diese beheben kann.

Alarmtyp Beschreibung Empfohlene Auflösung
Aktivitätsrichtlinienverletzung Diese Art von Warnung ist das Ergebnis einer von Ihnen erstellten Richtlinie. Um diese Art von Warnung massenhaft zu verwenden, empfiehlt Microsoft, dass Organisationen im Richtliniencenter arbeiten, um sie zu entschärfen.

Optimieren Sie die Richtlinie, um verrauschte Entitäten auszuschließen, indem Sie weitere Filter und präzisere Steuerelemente hinzufügen.

Diese Warnung ist eine garantierte Warnung, wenn die Richtlinie korrekt ist. Daher handelt es sich um einen Verstoß, den Sie sofort beenden möchten. Sie sollten erwägen, der Richtlinie eine automatische Korrektur hinzuzufügen.
Dateirichtlinienverletzung Diese Art von Warnung ist das Ergebnis einer von Ihnen erstellten Richtlinie. Um diese Art von Warnung massenhaft zu verwenden, empfiehlt Microsoft, dass Organisationen im Richtliniencenter arbeiten, um sie zu entschärfen.

Optimieren Sie die Richtlinie, um verrauschte Entitäten auszuschließen, indem Sie weitere Filter und präzisere Steuerelemente hinzufügen.

Diese Warnung ist eine garantierte Warnung, wenn die Richtlinie korrekt ist. Daher handelt es sich um einen Verstoß, den Sie sofort beenden möchten. Sie sollten erwägen, der Richtlinie eine automatische Korrektur hinzuzufügen.
Kompromittiertes Konto Microsoft Defender for Cloud Apps löst diese Warnung aus, wenn ein kompromittiertes Konto identifiziert wird Ein kompromittiertes Konto bedeutet, dass es eine hohe Wahrscheinlichkeit gibt, dass jemand das Konto nicht autorisiert verwendet hat. Microsoft empfiehlt Organisationen, kompromittierte Konten auszusetzen, bis sie die Benutzer erreichen und überprüfen können, ob sie diejenigen waren, die ihre Kennwörter geändert haben.
Inaktives Konto Microsoft Defender for Cloud Apps löst diese Warnung aus, wenn in den letzten 60 Tagen niemand ein Konto in einer der verbundenen Cloud-Apps des organization verwendet hat. Wenden Sie sich an den Benutzer und den Vorgesetzten des Benutzers, um festzustellen, ob das Konto noch aktiv ist. Andernfalls setzen Sie den Benutzer aus, und beenden Sie die Lizenz für die App.
Neuer Administrator-Benutzer Benachrichtigt Sie über Änderungen an Ihren privilegierten Konten für verbundene Apps. Vergewissern Sie sich, dass ein Benutzer die neuen Administratorberechtigungen benötigt. Wenn dies nicht der Fall ist, empfehlen Sie, Administratorrechte zu widerrufen, um die Gefährdung zu verringern.
Neuer Administrator-Standort Benachrichtigt Sie über Änderungen an Ihren privilegierten Konten für verbundene Apps. Vergewissern Sie sich, dass die Anmeldung von diesem anomalen Standort aus legitim war. Andernfalls empfiehlt es sich, Administratorberechtigungen zu widerrufen oder das Konto zu sperren, um die Offenlegung zu verringern.
Neuer Speicherort Eine informative Benachrichtigung über den Zugriff auf eine verbundene App von einem neuen Standort aus. Microsoft Defender for Cloud Apps löst diese Warnung nur einmal pro Land/Region aus. Untersuchen Sie die Aktivität des jeweiligen Benutzers.
Neu ermittelter Dienst Diese Warnung ist eine Warnung zur Schatten-IT. Cloud Discovery hat eine neue App erkannt. Für sanktionierte Apps:

1. Bewerten Sie das Risiko des Diensts basierend auf dem App-Katalog.

2. Führen Sie einen Drilldown in die Aktivität aus, um Nutzungsmuster und Verbreitung zu verstehen.

3. Entscheiden Sie, ob die App sanktioniert oder die Sanktionierung aufgehoben werden soll.

Für nicht sanktionierte Apps:

1. Möglicherweise möchten Sie die Verwendung in Ihrem Proxy oder ihrer Firewall blockieren.

2. Wenn Sie über eine nicht sanktionierte App und eine sanktionierte App in derselben Kategorie verfügen, können Sie eine Liste der Benutzer der nicht sanktionierten App exportieren. Kontaktieren Sie dann die Benutzer, um sie auf die sanktionierte App zu migrieren.
Verdächtige Aktivität Diese Warnung informiert Sie darüber, dass Microsoft Defender for Cloud Apps anomale Aktivitäten erkennt, die nicht den erwarteten Aktivitäten oder Benutzern im organization entsprechen. Untersuchen Sie das Verhalten, und bestätigen Sie es mit dem Benutzer.

Diese Art von Warnung ist ein hervorragender Ausgangspunkt, um mehr über Ihre Umgebung zu erfahren und neue Richtlinien mit diesen Warnungen zu erstellen. Angenommen, jemand lädt plötzlich eine große Datenmenge in eine Ihrer verbundenen Apps hoch. Sie können eine Regel festlegen, um diese Art von anomales Verhalten zu steuern.
Verwendung eines persönlichen Kontos Diese Warnung informiert Sie darüber, dass ein neues persönliches Konto Zugriff auf Ressourcen in Ihren verbundenen Apps hat. Entfernen Sie die Zusammenarbeiten des Benutzers im externen Konto.