Erstellen von Microsoft Defender for Cloud Apps-Aktivitätsrichtlinien.

Mit Aktivitätsrichtlinien können Sie über die APIs des App-Anbieters eine Vielzahl von automatisierten Prozessen durchsetzen. Mit diesen Richtlinien können Sie bestimmte Aktivitäten überwachen, die von verschiedenen Benutzern durchgeführt werden, oder unerwartet hohe Raten eines bestimmten Aktivitätstyps verfolgen.

Nachdem Sie eine Aktivitätserkennungsrichtlinie festgelegt haben, beginnt diese mit der Generierung von Warnungen. Warnungen werden nur für Aktivitäten generiert, die nach der Erstellung der Richtlinie aufgetreten sind.

Hinweis

  • Richtlinien, die mehr als 200.000 Übereinstimmungen pro Tag auslösen, oder 100.000 Übereinstimmungen pro drei Stunden werden möglicherweise automatisch deaktiviert. Sie können versuchen, Richtlinien zu verfeinern, indem Sie zusätzliche Filter hinzufügen oder wenn Sie Richtlinien für Berichtszwecke verwenden, sie stattdessen als Abfragen speichern.
  • Es kann bis zu 15 Minuten dauern, bis eine neue Richtlinie für die Bereitstellung eingerichtet wird.

Benutzerdefinierte Warnungen

Mit Aktivitätsrichtlinien können Sie benutzerdefinierte Warnungen senden oder Aktionen ausführen werden, wenn bestimmte Benutzeraktivitäten erkannt werden. Sie möchten beispielsweise jedes Mal informiert werden, wenn eine der folgenden Aktionen stattfindet:

  • Ein Benutzer versucht sich anzumelden und scheitert 70 Mal in einer Minute
  • Ein Benutzer lädt 7.000 Dateien herunter
  • Ein Benutzer ist von einem unbekannten Land/einer unbekannten Region angemeldet

Sie können festlegen, dass Aktivitätswarnungen an Sie selbst oder an den Benutzer gesendet werden, wenn diese Ereignisse eintreten. Sie können den Benutzer sogar sperren, bis Sie die untersucht haben, was passiert ist.

Um eine neue Richtlinie für die Aktivität zu erstellen, führen Sie die folgenden Schritte aus:

  1. Gehen Sie im Microsoft Defender Portal unter Cloud Apps zu Richtlinien und wählen Sie dann Richtlinienverwaltung aus. Wählen Sie dann die Registerkarte Bedrohungserkennungen aus.

  2. Klicken Sie auf Richtlinie erstellen, und wählen Sie Aktivitätsrichtlinie.

    Erstellen einer Richtlinie für die Bedrohungserkennung.

  3. Benennen Sie die Richtlinie, und geben Sie eine Beschreibung an. Die Richtlinie kann auch auf einer Vorlage basieren. Weitere Informationen zu Richtlinienvorlagen finden Sie unter Control cloud apps with policies (Steuern von Cloud-Apps mit Richtlinien).

  4. Um festzulegen, welche Aktionen oder sonstige Metriken diese Richtlinie auslösen, arbeiten Sie mit den Aktivitätsfiltern.

    Um sicherzustellen, dass Sie nur Ergebnisse einschließen, bei denen das angegebene Filterfeld einen Wert aufweist, empfehlen wir, dasselbe Feld erneut mithilfe des Festgelegten Tests hinzuzufügen. Wenn das Filtern nach Standort beispielsweise keiner angegebenen Liste von Ländern/Regionen entspricht, fügen Sie auch einen Filter für Standort festgelegt hinzu. Sie können auch eine Vorschau der Filterergebnisse anzeigen, indem Sie Ergebnisse bearbeiten und voranzeigen auswählen. Zum Beispiel:

    Screenshot der Filtereinstellungen, die anzeigen, dass das Standortfeld festgelegt ist.

    Wenn ein Filter auf nicht gleich festgelegt ist und das Attribut für das Ereignis nicht vorhanden ist, wird das Ereignis nicht herausgefiltert. Wenn beispielsweise nach „Device Tag entspricht nicht Microsoft Entra hybrid joined“ gefiltert wird, werden keine Ereignisse herausgefiltert, die kein Device-Tag enthalten, auch wenn das Gerät mit Microsoft Entra verbunden ist.

    Wenn es sich um einen Gastbenutzer handelt, kann es vorkommen, dass der Filter Benutzer aus Gruppe das Konto nicht anhand seiner Domäne erkennt. Um sicherzustellen, dass alle Gastbenutzer eingeschlossen sind, verwenden Sie als Gruppe Externe Benutzer, wenn dies Ihren Anforderungen hinsichtlich der Richtlinie entspricht.

  5. Wählen Sie unter Filter für die Richtlinie erstellen aus, wann eine Richtlinienverletzung ausgelöst wird. Wählen Sie die Auslösung aus, wenn eine einzelne Aktivität mit den Filtern übereinstimmt oder nur dann, wenn eine bestimmte Anzahl von wiederholten Aktivitäten erkannt wird.

    • Wenn Sie Wiederholte Aktivität ausgewählt haben, können Sie In einer einzelnen App festlegen. Durch diese Einstellung wird nur dann eine Richtlinienübereinstimmung ausgelöst, wenn die wiederholten Aktivitäten in derselben App auftreten. Fünf Downloads innerhalb von 30 Minuten aus Box lösen beispielsweise eine Richtlinienübereinstimmung aus.
  6. Konfigurieren Sie die Aktionen, die durchgeführt werden sollten, wenn eine Übereinstimmung gefunden wird.

Betrachten Sie diese Beispiele:

  • Mehrere fehlerhafte Anmeldungen

    Sie können Richtlinien so festlegen, dass Sie eine Warnung erhalten, wenn eine große Anzahl von fehlgeschlagenen Anmeldungen innerhalb eines kurzen Zeitraums auftritt. Um eine derartige Richtlinie zu konfigurieren, wählen Sie den entsprechenden Aktivitätsfilter auf der Seite Neue Aktivitätsrichtlinie aus.

    Konfigurieren Sie unterhalb des Felds Aktivitätsfilter die Parameter, für die die Warnung ausgelöst wird.

    Beispiel für die Richtlinie „Mehrere fehlerhafte Anmeldeversuche“.

  • Hohe Downloadrate

    Sie können Ihre Richtlinie so festlegen, dass Sie eine Warnung erhalten, wenn ein unerwartetes oder uncharakteristisches Maß an Downloadaktivität auftritt. Um eine derartige Richtlinie zu konfigurieren, wählen Sie unter den Rate-Parametern die Parameter aus, die die Warnung auslösen sollen.

    Beispiel für eine hohe Downloadrate.

Aktivitätsrichtlinienreferenz

Dieser Abschnitt enthält die Referenzdetails zu Richtlinien und bietet Erklärungen zu jedem Richtlinientyp und den Feldern, die für jede Richtlinie konfiguriert werden können.

Ein Aktivitätsrichtlinie ist eine API-basierte Richtlinie, die es Ihnen ermöglicht, die Aktivitäten Ihrer Organisation in der Cloud zu überwachen. Die Richtlinie berücksichtigt über 20 Dateimetadatenfilter einschließlich Gerätetyp und Standort. Anhand der Richtlinienergebnisse können Benachrichtigungen generiert werden, und Benutzer können für die Cloud-App gesperrt werden. Jede Richtlinie besteht aus folgenden Teilen:

  • Aktivitätsfilter: Ermöglichen Ihnen anhand von Metadaten das Festlegen genauer Bedingungen.

  • Parameter für Aktivitätsübereinstimmung – Ermöglichen Ihnen, einen Schwellenwert für die Häufigkeit festzulegen, mit der festgestellt wird, ob eine Aktivität mit der Richtlinie übereinstimmt. Geben Sie die Anzahl der wiederholten Aktivitäten an, die erforderlich ist, um mit der Richtlinie übereinzustimmen. Legen Sie beispielsweise eine Richtlinie fest, die Sie warnt, wenn ein Benutzer 10 erfolglose Anmeldeversuche in einem Zeitraum von 2 Minuten ausführt. Die Einstellung Parameter für Aktivitätsübereinstimmung löst standardmäßig eine Übereinstimmung für jede einzelne Aktivität aus, die allen Aktivitätsfiltern entspricht.

    • Mit Wiederholte Aktivität können Sie die Anzahl der wiederholten Aktivitäten und die Dauer des Zeitraums, in dem die Aktivitäten gezählt werden, festlegen. Sie können auch festlegen, dass alle Aktivitäten von demselben Benutzer und in derselben Cloud-App durchgeführt werden sollen.
  • Aktionen – Die Richtlinie stellt einen Satz von Governanceaktionen bereit, die automatisch angewendet werden können, wenn Verstöße erkannt werden.

Nächste Schritte

Wenn Probleme auftreten, helfen wir Ihnen. Um Unterstützung oder Support für Ihr Produktproblem zu erhalten, öffnen Sie bitte ein Supportticket.