Zum Microsoft Defender gehört der Microsoft Defender für Cloud-Apps. Der Defender für Cloud Apps ist derselbe wie das mittlerweile obsolete Microsoft Cloud App Security Tool. Der Defender ist ein CASB. CASB bedeutet Cloud Access Security Broker. Damit können Cyberbedrohungen identifiziert, analysiert und bekämpft werden.
Wofür benötigt es den Cloud Defender?
Der Schritt in die Cloud ist für Unternehmen mit Chancen und Risiken verbunden. Diese umfassen zum Beispiel die Sicherheit von Daten oder Programmen. Mit dem Defender für Cloud Apps entsteht die Möglichkeit, flexibel zu sein, sowohl in Bezug auf den Arbeitsplatz der Mitarbeiter als auch das Speichern von Daten und Programmen.
Der Defender für Cloud Apps überwacht hier, dass das Zusammenspiel von Benutzer und Cloud-Ressource reibungslos und sicher abläuft. Zudem trägt er dazu bei, dass Sicherheitslecks präventiv verhindert werden können.
Allgemeine Funktionen
Der Defender für Cloud Apps besteht aus vier Säulen: Sichtbarkeit, Datensicherheit, Bedrohungsschutz und Compliance.
Der Defender für Cloud Apps erkennt alle Cloud-Dienste, die in Ihrem Unternehmen verwendet werden. Hierdurch kann der Defender jedem Dienst eine Risikostufe zuweisen. Diese Funktion gehört zur Säule “Sichtbarkeit“. Ebenso gehört dazu, dass der CASB jeden Benutzer und jede App von Drittanbietern kennt und identifizieren kann. Hierbei wertet der Defender Datenverkehrsprotokolle aus, um über alle Apps und Devices genügend Kenntnis zu haben. Dadurch besitzen Sie eine maximale Informationsbasis, wodurch Sie Ihre IT besser verstehen und Schatten-IT minimieren können. Das zur Unterstützung genutzte Cloud Discover-Dashboard finden Sie unter Microsoft 365 Defender > Cloud-Apps > Cloud-Erkennung. Hier sehen Sie alle Apps, Ressourcen, IP-Adressen, Benutzer und Geräte. Alle soeben genannten Themen können Sie einzeln per Registerkarte auswählen.
Da jeder Benutzer und jede App mit Daten interagiert, ist es unabdinglich, für diese Daten Sicherheit zu gewährleisten. Hierfür ist die Herangehensweise sehr ähnlich wie bei Sichtbarkeit. So muss der Defender alle Daten kennen und identifizieren können, bevor er mit kritischen Daten gesondert umgehen kann. Hier wäre eine Möglichkeit, dass bei solchen Daten ein Vertraulichkeitshinweis erscheint. Dies kann über unterschiedliche Klassifizierungsstufen durchgeführt werden.
Um sich vor Bedrohungen zu schützen, muss der Zugriff in den Cloud-basierte Unternehmensteil kontrolliert werden. Darüber hinaus analysiert der Defender das Verhalten der Benutzer. Eine sogenannte User Behavior Analytics, kurz UEBA. Durch diese UEBA können Sicherheitsrisiken und menschliche Fehlverhalten erkannt werden. Insgesamt mildert der Defender dadurch auch das Risiko von Malware.
Berichte, Dashboards und weitere Informationen sind Teil des Compliance-Parts des Defender. Hierbei tragen all diese Daten dazu bei, einen Überblick über die Cloudsicherheit bereitzustellen und den Erfolg des Defender zu gewährleisten.
9 Schritte im Defender
Um mit dem Defender für Cloud Apps zu starten, müssen Sie nur neun Schritte gehen.
Schritt 1: Voraussetzungen
Grundvoraussetzung ist, dass jeder Benutzer eine Lizenz hat, die durch den Cloud-Defender geschützt wird. Adminrechte über alle Cloud-Apps haben 3 Rollen im Unternehmen. Diese wären der globale Administrator, der Sicherheitsadministrator im Azure Active Directory und der Sicherheitsadministrator in Office 365. Als Person mit einer dieser drei Rollen sollten Sie bereits eine E-Mail erhalten haben. Innerhalb dieser Mail ist ein Link, welcher Sie auf das Defender für Cloud Apps-Portal führt. Um hierbei sicherzustellen, dass das Portal richtig funktioniert, müssen Sie entweder die neuste Version von Microsoft Edge, Google Chrome, Mozilla Firefox oder Apple Safari verwenden.
Schritt 2: Zugriff auf das Portal
Im Microsoft 365 Admin Center können Sie nun auf unter “Alle anzeigen” den Abschnitt “Sicherheit” öffnen. Daraufhin öffnet sich der Microsoft 365 Defender. Am unteren linken Ende der Navigationsleiste finden sie die weiteren Ressourcen. Wenn Sie diesen auswählen, können Sie den Microsoft Defender für Cloud-Apps öffnen.
Schritt 3: App-Connector
Sie starten nun damit, einen Überblick all Ihrer Apps aufzubauen. Dazu verbinden Sie die Apps im App-Connector. Diesen finden und Sie im Einstellungszahnrad. Dort klicken Sie auf das Plus, um eine App auszuwählen und schließlich hinzuzufügen. Nun folgen Sie den Konfigurationsschritten. Wenn dieser Prozess mit allen Apps abgeschlossen ist, nutzen Sie sofort einen Vorteil des Defenders. Alle Apps sind für Sie sichtbar, Sie haben weitreichende Informationen zu Ihren Apps und sehen, welche Konten mit den Apps interagieren.
Schritt 4: Informationsschutz
Nun können Sie im jetzigen vierten Schritt die Informationen innerhalb Ihrer Dateien schützen. Dazu müssen Sie Ihre Dateien überwachen. Um die Datenüberwachung zu aktivieren, navigieren sie unter den Einstellungen, über “Information Protection” zur Option Dateien. Daraufhin können Sie unter “Purview Information Protection” Richtlinien festlegen, die den Ansprüchen des gewünschten Sicherheitsniveaus für Dateien entsprechen.
Schritt 5: App-Schutz
Nachdem Sie Richtlinien für Daten erstellt haben, folgen nun diese für Apps. Dazu navigieren Sie unter “Steuerung” zu Vorlagen. Dort erstellen Sie anhand der von Ihnen gewählten Vorlage eine neue Richtlinie. Die Vorlage sollte wieder, wie bei den Daten auch, dem Sicherheitsniveau entsprechen, welches Sie wünschen.
Schritt 6: Cloud Discovery
Cloud Discovery ist uns ja bereits bekannt. Nun aber, aktivieren wir dieses Tool. Dazu müssen Sie Defender für Endpoints integrieren. Hierzu gehen Sie im M365 Defender unter Einstellungen zu Endpunkte. Dort wählen Sie unter “Allgemein” den Punkt “Erweiterte Features” aus. Nun können Sie den Regler bei dem Defender für Cloud-Apps auf “Ein” stellen und die Änderung übernehmen. Wenn Sie Zscaler verwenden, muss dieser in Cloud Apps integriert sein. Nun können Sie die fortlaufende Berichterstattung durch Cloud Discovery in den Einstellungen hinterlegen. Hierbei navigieren Sie über den Punkt “Automatische Protokollupload” zu den Datenquellen. Dort können Sie nun Ihre Quellen hinzufügen.
Schritt 7: Restriktionen für Katalog-Apps
Sie können Katalog-Apps zunächst mit dem Azure AD einschränken. Dazu stehen Ihnen Steuerelemente zur Verfügung. Darüber hinaus können Sie den bedingten Zugriff in den Einstellungen aktivieren.
Schritt 8: Personalisierungen
Nun können Sie Informationen über ihre Organisation hinzufügen. In den E-Mail-Einstellungen kann die Identität des Absenders, also Adresse und angezeigter Name angegeben werden. Eine E-Mail-Vorlage können Sie unter E-Mail-Design hochladen. Wenn Sie zu wenig oder zu viele Benachrichtigungen erhalten, können Sie unter “Benutzereinstellungen > Benachrichtigungen” die Anzahl entsprechend verändern. Ebenfalls können Sie die Risikobewertung für die Apps des Cloud Discovery personalisieren. Damit kann priorisiert werden, welche Risiken relevanter sind als andere. Dazu wechseln Sie in den Einstellungen des Cloud Discovery zu “Bewertungsmetriken”.
Schritt 9: Daten strukturieren
Wenn Sie nun abschließend mehr Struktur und Kontrolle haben wollen, können Sie dies durch zwei Einstellungen umsetzen. In den Cloud Discovery-Einstellungen können Sie IP-Adressbereiche festlegen. Darauffolgend geben Sie für jeden Bereich weitere Details, den Standort, die Tags und die Kategorie an. Um auch auf höherer Ebenen Struktur zu haben, fügen sie in den Einstellungen weitere Domänen hinzu. Dazu navigieren Sie zu dem Punkt “Informationen zur Organisation”.
