Microsoft Defender for Cloud Apps (CASB) Microsoft Defender for Cloud Apps (CASB)
Referenz zu Architektur, Cloud Discovery, Richtlinien, Conditional Access App Control, App Governance, Anomalieerkennung und Automatisierung in Microsoft Defender for Cloud Apps. Reference for architecture, cloud discovery, policies, Conditional Access App Control, app governance, anomaly detection, and automation in Microsoft Defender for Cloud Apps.
35.000+
35,000+
Apps im Katalog
Apps in catalog
7
7
Policy-Typen
Policy types
Inline Proxy
Inline Proxy
Conditional Access App Control
Conditional Access App Control
API + PS
API + PS
Automatisierungspfade
Automation paths
CASB ist mehr als Discovery
CASB is more than discovery
Defender for Cloud Apps beginnt oft mit Shadow-IT-Erkennung, entfaltet den eigentlichen Mehrwert aber erst durch Sitzungssteuerung, Dateigovernance, OAuth-Überwachung und Anomalieerkennung. Defender for Cloud Apps often starts with shadow IT discovery, but its real value appears through session control, file governance, OAuth monitoring, and anomaly detection.
Inline-Kontrollen brauchen Betriebsdisziplin
Inline controls need operating discipline
Conditional Access App Control verändert Benutzerpfade in Echtzeit. Deshalb müssen Browser-Kompatibilität, Ausnahmeprozesse, User Communication und Support-Routinen vorab getestet werden. Conditional Access App Control changes user paths in real time. Browser compatibility, exception processes, user communication, and support routines must therefore be tested up front.
🧭 Architektur
🧭 Architecture
CASB, Discovery, Schutzebenen und Datenflüsse. CASB, discovery, protection layers, and data flows.
🔎 App Discovery
🔎 App discovery
Dashboard, Logquellen, MDE und Risikobewertung. Dashboard, log sources, MDE, and risk scoring.
📋 Richtlinien
📋 Policies
Alle Policy-Typen mit vollständigen Einstellungsfeldern. All policy types with complete configuration fields.
🚦 App Control
🚦 App Control
Inline-Proxy und Sitzungssteuerungen. Inline proxy and session controls.
⚙️ Automatisierung
⚙️ Automation
Governance-Log, Graph API und PowerShell. Governance log, Graph API, and PowerShell.
Architektur und Schutzmodell Architecture and protection model
Microsoft Defender for Cloud Apps vereint CASB-Funktionen für Transparenz, Richtlinienkontrolle und Schutz über SaaS-Dienste. Das Produkt deckt drei Hauptachsen ab: Cloud Discovery für Schatten-IT, Informationsschutz für Dateien und Freigaben sowie Bedrohungsschutz für Anomalien und missbräuchliche Aktivitäten. Microsoft Defender for Cloud Apps combines CASB capabilities for visibility, policy control, and protection across SaaS services. The product covers three main axes: cloud discovery for shadow IT, information protection for files and sharing, and threat protection for anomalies and abusive activity.
| Bereich Area | Beschreibung Description | Betriebshinweis Operational note |
|---|---|---|
| CASB-Steuerungsebene CASB control plane | Defender for Cloud Apps korreliert Identität, App, Aktivität, Datei und Sitzung in einer SaaS-Sicherheitsplattform. Defender for Cloud Apps correlates identity, app, activity, file, and session in one SaaS security platform. | Zentral ist das Portal in Microsoft Defender XDR; Daten kommen per API, Logupload und Inline-Proxy. The Microsoft Defender XDR portal is central; data arrives through APIs, log upload, and inline proxy. |
| Cloud Discovery Cloud Discovery | Shadow-IT wird über Firewall-, Proxy- und Endpoint-Telemetrie erkannt und in Reports, Kategorien und Risikoindikatoren aufbereitet. Shadow IT is detected through firewall, proxy, and endpoint telemetry and surfaced in reports, categories, and risk indicators. | Discovery beantwortet, welche Apps genutzt werden, von wem, wie viel Datenvolumen fließt und welches Risiko besteht. Discovery answers which apps are used, by whom, how much data moves, and what risk exists. |
| Informationsschutz Information protection | Dateirichtlinien, DLP-Treffer, Sensitivity Labels und automatische Governance-Aktionen schützen Inhalte in SaaS-Diensten. File policies, DLP hits, sensitivity labels, and automated governance actions protect content in SaaS services. | Schutz greift für Microsoft 365 und verbundene Dritt-Apps über API-basierte Kontrollen. Protection applies to Microsoft 365 and connected third-party apps through API-based controls. |
| Bedrohungsschutz Threat protection | Anomalieerkennung, Aktivitätsrichtlinien und OAuth-App-Analysen erkennen Missbrauch, Kontoübernahmen und Datenexfiltration. Anomaly detection, activity policies, and OAuth app analytics detect abuse, account takeover, and data exfiltration. | Ergebnisse können an Defender XDR, Sentinel und Ticketing weitergeleitet werden. Results can be forwarded to Defender XDR, Sentinel, and ticketing. |
| Conditional Access App Control Conditional Access App Control | Ein Reverse-Proxy steuert Browser-Sitzungen in Echtzeit und setzt Download-, Paste-, Print- und Monitor-Regeln inline durch. A reverse proxy controls browser sessions in real time and enforces inline download, paste, print, and monitor rules. | Dieses Modell ist für verwaltete und nicht verwaltete Geräte besonders relevant. This model is especially relevant for managed and unmanaged devices. |
| Governance und Automatisierung Governance and automation | Jede Governance-Aktion wird protokolliert und kann per Workflow, API oder PowerShell in Betriebsprozesse eingebunden werden. Every governance action is logged and can be integrated into operations through workflows, APIs, or PowerShell. | Wichtige Ziele sind Nachvollziehbarkeit, Eskalation, Wiederholungsschutz und Reporting. Key goals are traceability, escalation, replay protection, and reporting. |
- API-basierte Integrationen lesen Aktivitäten, Dateien und Freigaben aus verbundenen Apps aus und erlauben nachträgliche Governance. API-based integrations read activities, files, and shares from connected apps and allow post-event governance.
- Log- und Endpoint-basierte Discovery erkennt auch nicht integrierte Cloud-Dienste und liefert eine vollständige Schatten-IT-Sicht. Log- and endpoint-based discovery also detects non-integrated cloud services and provides a complete shadow IT view.
- Inline-Sitzungssteuerung ergänzt APIs um Echtzeitkontrollen während der Browser-Sitzung. Inline session control complements APIs with real-time controls during the browser session.
Cloud Discovery und App Discovery Dashboard Cloud discovery and app discovery dashboard
Cloud Discovery ist das Discovery-Modul von Defender for Cloud Apps. Es wertet Netzwerk- oder Endpoint-Telemetrie aus, ordnet Verbindungen Cloud-Apps zu und verknüpft diese mit Katalogdaten, Risikoscores und Governance-Status. Cloud discovery is the discovery module of Defender for Cloud Apps. It evaluates network or endpoint telemetry, maps connections to cloud apps, and enriches them with catalog data, risk scores, and governance state.
| Baustein Building block | Details Details | Betriebswert Operational value |
|---|---|---|
| Cloud Discovery Dashboard Cloud Discovery dashboard | Zeigt Top-Apps, Kategorien, Benutzer, IPs, Uploads, Downloads, Sanktionierungsstatus und Trenddaten. Shows top apps, categories, users, IPs, uploads, downloads, sanction status, and trend data. | Nutze Dashboards für Management, detailiere Reports für Security Operations und App Governance. Use dashboards for management and detailed reports for security operations and app governance. |
| Log Collector Log collector | Virtuelle oder physische Kollektoren empfangen Firewall- und Proxy-Logs von vielen Herstellern. Virtual or physical collectors ingest firewall and proxy logs from many vendors. | Geeignet für zentrale Netzausgänge, Filialen und Hybrid-Szenarien ohne Agentenpflicht. Useful for central egress points, branches, and hybrid scenarios without mandatory agents. |
| Defender for Endpoint Integration Defender for Endpoint integration | MDE liefert Cloud-App-Nutzung direkt vom Endpunkt und schließt Lücken bei verschlüsseltem oder mobilem Traffic. MDE sends cloud app usage directly from the endpoint and closes gaps for encrypted or mobile traffic. | Besonders wertvoll für Remote Work, Split Tunnel und Geräte außerhalb des Perimeters. Especially valuable for remote work, split tunnel, and devices outside the perimeter. |
| Snapshot Reports Snapshot reports | Einmaliger Upload historischer Protokolle zur schnellen Bestandsaufnahme, Bewertung oder Pilotphase. One-time upload of historical logs for a quick assessment, evaluation, or pilot phase. | Gut für Mergers, Due Diligence, Ausnahmeanalysen und initiale Schatten-IT-Erkennung. Good for mergers, due diligence, exception analysis, and initial shadow IT discovery. |
| Continuous Reports Continuous reports | Fortlaufende Logverarbeitung erzeugt Trenddaten, Top-Talkers, App-Nutzung nach Benutzergruppen und Governance-Trigger. Continuous log processing creates trend data, top talkers, app usage by user groups, and governance triggers. | Damit lassen sich KPIs und Richtlinien regelmäßig nachhalten. This enables regular KPI and policy tracking. |
| App Catalog App catalog | Der Katalog bewertet mehr als 35.000 Cloud-Apps anhand von Compliance-, Security- und Betriebsmerkmalen. The catalog rates more than 35,000 cloud apps based on compliance, security, and operational signals. | Filtere nach Kategorie, Risiko, Zertifizierungen, Hosting, Verschlüsselung und SSO-Unterstützung. Filter by category, risk, certifications, hosting, encryption, and SSO support. |
| Risk Scoring Risk scoring | Risikoscores berücksichtigen Zertifizierungen, Ruhestatus, Verschlüsselung, Auditierbarkeit, Admin-Features und Branchenmerkmale. Risk scores consider certifications, at-rest controls, encryption, auditability, admin features, and industry indicators. | Definiere Schwellwerte für Sanktionierung, Review oder Eskalation an Enterprise Architecture. Define thresholds for sanction, review, or escalation to enterprise architecture. |
Discovery-Reports können als einmalige Snapshot-Auswertung oder als kontinuierlicher Bericht betrieben werden. Snapshots sind ideal für Erstanalysen; kontinuierliche Reports eignen sich für KPIs, Sanktionierung und Trendüberwachung. Discovery reports can run as one-time snapshot assessments or continuous reports. Snapshots are ideal for first assessments; continuous reports fit KPIs, sanctioning, and trend monitoring.
Policy-Typen in Defender for Cloud Apps Policy types in Defender for Cloud Apps
Defender for Cloud Apps kennt sieben Policy-Typen. Sie unterscheiden sich nach Datenquelle, Auslösezeitpunkt und möglichen Governance-Aktionen. Die Matrix unten dient als Einordnung, die folgenden Abschnitte listen die vollständigen Einstellungsfelder je Typ auf. Defender for Cloud Apps has seven policy types. They differ by data source, trigger time, and available governance actions. The matrix below provides orientation, and the following sections list the complete configuration fields for each type.
| Policy-Typ Policy type | Primärer Zweck Primary purpose | Typischer Einsatz Typical use |
|---|---|---|
| Zugriffsrichtlinie Access policy | Steuert den Zugriff auf überwachte Apps nach Benutzer-, Geräte- und Netzwerkmerkmalen. Controls access to monitored apps by user, device, and network characteristics. | Typisch für unmanaged Geräte, Partnerzugriff und riskante Standorte. Typical for unmanaged devices, partner access, and risky locations. |
| Sitzungsrichtlinie Session policy | Setzt Inline-Kontrollen in aktiven Browsersitzungen durch. Enforces inline controls in active browser sessions. | Verwendet Conditional Access App Control als Proxy-Schicht. Uses Conditional Access App Control as the proxy layer. |
| Aktivitätsrichtlinie Activity policy | Prüft API- und Audit-Aktivitäten auf Verstöße, Volumen oder verbotene Aktionen. Inspects API and audit activities for violations, unusual volume, or forbidden actions. | Geeignet für Download-Serien, Freigaben, Admin-Aktionen und OAuth-Missbrauch. Suited for download bursts, sharing, admin actions, and OAuth abuse. |
| Dateirichtlinie File policy | Durchsucht Dateien nach Freigaben, Klassifizierung, DLP-Mustern und Labeln. Scans files for sharing posture, classification, DLP patterns, and labels. | Unterstützt Governance wie Quarantäne, Labeling und Berechtigungsänderung. Supports governance such as quarantine, labeling, and permission change. |
| Anomalieerkennungsrichtlinie Anomaly detection policy | Erkennt verhaltensbasierte Ausreißer mit Microsoft-Analytik und Baselines. Detects behavior-based outliers with Microsoft analytics and baselines. | Die Policy-Typen werden meist aus Templates aktiviert und feinjustiert. Policy types are usually enabled from templates and then tuned. |
| App-Discovery-Richtlinie App discovery policy | Leitet Maßnahmen aus Discovery-Daten ab, etwa Sanktionierung oder Alarme bei riskanten Apps. Derives actions from discovery data such as sanctioning or alerts for risky apps. | Verknüpft Traffic, Benutzer und App-Klassifikation. Links traffic, users, and app classification. |
| OAuth-App-Richtlinie OAuth app policy | Bewertet Einwilligungen, Berechtigungen, Publisher-Vertrauen und App-Verhalten. Evaluates consents, permissions, publisher trust, and app behavior. | Ein Kernbaustein für App Governance und Entra-Consent-Prozesse. A core building block for app governance and Entra consent processes. |
Zugriffsrichtlinien Access policies
Access Policies bestimmen, wer unter welchen Bedingungen auf überwachte Apps zugreifen darf oder in Inline-Kontrollen umgeleitet wird. Access policies determine who may access monitored apps under which conditions or be redirected into inline controls.
| Einstellung Setting | Beschreibung Description | Empfehlung Recommendation |
|---|---|---|
| Name und Beschreibung Name and description | Eindeutiger Richtlinienname, Business-Kontext und Ticket- oder Owner-Bezug. Unique policy name, business context, and ticket or owner reference. | Verwende Namensstandards mit Scope, Aktion und Ausnahmehinweis. Use naming standards with scope, action, and exception hints. |
| Apps und App-Tags Apps and app tags | Auswahl einzelner Apps oder App-Sammlungen wie sanctionierte, unsanktionierte oder benutzerdefinierte Tags. Select individual apps or app sets such as sanctioned, unsanctioned, or custom tags. | Tags reduzieren Pflegeaufwand bei vielen SaaS-Diensten. Tags reduce upkeep when many SaaS services exist. |
| Benutzer und Gruppen Users and groups | Scope für alle Benutzer, ausgewählte Gruppen, Administratoren oder Gäste. Scope for all users, selected groups, administrators, or guests. | Nutze Ausschlussgruppen für Break-Glass und Servicekonten. Use exclusion groups for break-glass and service accounts. |
| Gerätestatus Device posture | Unterscheidung nach verwalteten, konformen oder unbekannten Geräten. Differentiate managed, compliant, or unknown devices. | Wesentlich für BYOD- und Partner-Szenarien. Critical for BYOD and partner scenarios. |
| Netzwerk und IP-Tags Network and IP tags | Filter nach internen, riskanten, anonymen oder geografischen Standorten. Filter by internal, risky, anonymous, or geographic locations. | Kombiniere mit Named Locations in Conditional Access. Combine with named locations in Conditional Access. |
| Steuerungsmodus Control mode | Zugriff überwachen, blockieren oder an Session Control weiterleiten. Monitor access, block it, or route it to session control. | Monitoring zuerst einsetzen, danach erzwingende Kontrollen aktivieren. Start with monitoring before enabling enforcing controls. |
| Benachrichtigungen Notifications | E-Mail, tägliche Zusammenfassung, SIEM-Weiterleitung oder Portal-Alert. Email, daily summary, SIEM forwarding, or portal alert. | Schweregrade und Ownership direkt definieren. Define severity and ownership directly. |
| Richtlinienreihenfolge Policy precedence | Spezifische Regeln müssen vor generischen Catch-All-Regeln bewertet werden. Specific rules must be evaluated before generic catch-all rules. | Dokumentiere Prioritäten und Konfliktauflösung. Document priorities and conflict resolution. |
| Ausnahmen Exceptions | Temporäre Ausnahmen für Pilotgruppen, Geschäftsreisen oder Incident Response. Temporary exceptions for pilot groups, business travel, or incident response. | Jede Ausnahme braucht Ablaufdatum und Review-Termin. Every exception needs an expiration date and review date. |
Sitzungsrichtlinien Session policies
Session Policies setzen während der aktiven Browser-Sitzung Echtzeitkontrollen durch und sind das Herzstück von Conditional Access App Control. Session policies enforce real-time controls during the active browser session and are the heart of Conditional Access App Control.
| Einstellung Setting | Beschreibung Description | Empfehlung Recommendation |
|---|---|---|
| Sitzungstyp Session type | Monitor-Sitzung, Steuerungssitzung oder nur Protokollierung. Monitoring session, control session, or logging only. | Wähle je nach Risiko und geschäftlicher Toleranz. Choose according to risk and business tolerance. |
| App-Ziel App target | Microsoft 365, unterstützte Drittanbieter oder benutzerdefinierte Apps. Microsoft 365, supported third parties, or custom apps. | Custom Apps erfordern saubere URL- und Domänenanalyse. Custom apps require careful URL and domain analysis. |
| Benutzer- und Gruppenscope User and group scope | Bestimmt, welche Personen durch den Proxy gehen. Determines which people traverse the proxy. | Admins und Externe werden oft zuerst priorisiert. Admins and external users are often prioritized first. |
| Gerätekontext Device context | Managed versus unmanaged, Gerätezertifikat, Browserzustand oder Device Tag. Managed versus unmanaged, device certificate, browser state, or device tag. | Mit Conditional Access und Intune abstimmen. Align with Conditional Access and Intune. |
| Inhaltskontrollen Content controls | DLP-Prüfung, Dateiinspektion, Labelprüfung, Regex und Sensitive Info Types. DLP inspection, file inspection, label checks, regex, and sensitive info types. | Schutzkontrollen sollten performancebewusst getestet werden. Protection controls should be tested with performance in mind. |
| Download-Aktion Download action | Download blockieren, Download schützen oder nur überwachen. Block download, protect download, or monitor only. | Protect Download bindet meist Verschlüsselung oder Sensitivity Labels ein. Protect download usually ties into encryption or sensitivity labels. |
| Interaktionskontrollen Interaction controls | Ausschneiden, Kopieren, Einfügen und Drucken blockieren oder protokollieren. Block or log cut, copy, paste, and print. | Geeignet für nicht verwaltete Geräte und Daten mit hohem Schutzbedarf. Useful for unmanaged devices and highly sensitive data. |
| Watermarks und Monitoring Watermarks and monitoring | Session Monitoring, Echtzeitwarnungen und sichtbare Wasserzeichen als Abschreckung. Session monitoring, real-time alerts, and visible watermarks as deterrents. | Besonders hilfreich bei Drittparteizugriff. Especially helpful for third-party access. |
| Blockseite und Benutzerhinweis Block page and user guidance | Benutzertext erklärt den Grund der Kontrolle und alternative Wege. User text explains why the control fired and what alternative path exists. | Gute UX reduziert Helpdesk-Aufkommen. Good UX reduces help desk volume. |
| Protokollierung und Alarmierung Logging and alerting | Jede Inline-Aktion wird mit Benutzer, App, Datei und Control-Ereignis festgehalten. Every inline action is recorded with user, app, file, and control event. | Sende kritische Verstöße an SOC und Data Protection Office. Send critical violations to the SOC and data protection office. |
Aktivitätsrichtlinien Activity policies
Activity Policies prüfen API- und Audit-Ereignisse nach Verstößen, Datenmengen oder ungewöhnlichem Verhalten. Activity policies inspect API and audit events for violations, data volume, or unusual behavior.
| Einstellung Setting | Beschreibung Description | Empfehlung Recommendation |
|---|---|---|
| Aktivitätstypen Activity types | Downloads, Uploads, Teilen, Admin-Änderungen, Löschungen, OAuth-Zustimmungen oder Login-Ereignisse. Downloads, uploads, sharing, admin changes, deletions, OAuth consents, or login events. | Mit Templates starten und dann verfeinern. Start from templates and then refine. |
| App-Filter App filters | Scope auf einzelne Cloud-Apps, App-Kategorien oder Sanktionierungsstatus. Scope to individual cloud apps, app categories, or sanction status. | Kombiniere Discovery- und API-Apps nur mit klarem Zielbild. Combine discovery and API apps only with a clear objective. |
| Benutzerfilter User filters | Alle Benutzer, privilegierte Benutzer, Gäste, Länder, Gruppen oder VIPs. All users, privileged users, guests, countries, groups, or VIPs. | VIP- und Admin-Scope separat behandeln. Treat VIP and admin scopes separately. |
| Schwellwerte Thresholds | Anzahl Aktionen, Datenvolumen, Zeitraum und Wiederholungslogik. Action count, data volume, time window, and repetition logic. | Schwellwerte mit Baseline und Business-Zeiten abgleichen. Align thresholds to baselines and business hours. |
| Kontextfilter Context filters | IP-Tags, Gerätekontext, Dateibesitz, Freigabestatus, URL oder Sessiontyp. IP tags, device context, file ownership, sharing state, URL, or session type. | Vermeide unnötig breite Catch-All-Policys. Avoid unnecessarily broad catch-all policies. |
| Schweregrad Severity | Informational bis High, abhängig von Datenart und Benutzerrolle. Informational through high depending on data type and user role. | Severity beeinflusst SOC-Priorisierung. Severity influences SOC prioritization. |
| Governance-Aktion Governance action | Benutzer sperren, Benachrichtigen, App widerrufen, Datei in Quarantäne verschieben oder externe Freigaben entfernen. Suspend user, notify, revoke app, move file to quarantine, or remove external sharing. | Nur Aktionen aktivieren, die App-seitig unterstützt und getestet sind. Enable only app-supported and tested actions. |
| Alarmweiterleitung Alert routing | Defender XDR, Sentinel, E-Mail, Ticketing, Webhooks oder SOAR. Defender XDR, Sentinel, email, ticketing, webhooks, or SOAR. | Besitzerkreis und Eskalationspfad im Voraus festlegen. Define ownership and escalation path in advance. |
| Ausschlüsse und Dämpfung Exclusions and dampening | Servicekonten, Synchronisationsjobs, genehmigte Bulk-Prozesse und Suppression Windows. Service accounts, sync jobs, approved bulk processes, and suppression windows. | Ohne Dämpfung drohen Alert-Floods. Without dampening, alert floods are likely. |
Dateirichtlinien File policies
File Policies durchsuchen Dateien und Freigaben und koppeln sie an DLP, Labeling und Governance-Aktionen. File policies scan files and sharing posture and tie them to DLP, labeling, and governance actions.
| Einstellung Setting | Beschreibung Description | Empfehlung Recommendation |
|---|---|---|
| Dateiquellen File sources | OneDrive, SharePoint, Teams, Exchange-Anhänge und unterstützte Dritt-Clouds. OneDrive, SharePoint, Teams, Exchange attachments, and supported third-party clouds. | Prüfe je Workload API-Abdeckung und Latenz. Check workload API coverage and latency. |
| Besitz und Freigabe Ownership and sharing | Dateibesitzer, interne oder externe Freigabe, öffentliche Links und Freigabeebene. File owner, internal or external sharing, public links, and permission level. | Öffentliche oder anonyme Links separat bewerten. Assess public or anonymous links separately. |
| Inhaltsprüfung Content inspection | DLP-Ausdrücke, reguläre Ausdrücke, Dateitypen, Erweiterungen und Dateigröße. DLP expressions, regular expressions, file types, extensions, and file size. | Pilotiere Dateiprüfung mit repräsentativen Samples. Pilot file inspection with representative samples. |
| Label- und Verschlüsselungsstatus Label and encryption state | AIP- oder Purview-Sensitivity-Labels, Verschlüsselung und Klassifizierung. AIP or Purview sensitivity labels, encryption, and classification. | Labels eignen sich als Policy-Bedingung und Governance-Ziel. Labels work both as policy conditions and governance targets. |
| Governance-Aktionen Governance actions | Externe Benutzer entfernen, Datei privat setzen, Quarantäne, Label anwenden oder Freigabe stoppen. Remove external users, make the file private, quarantine it, apply a label, or stop sharing. | Jede Aktion mit Fachbereich und Legal abstimmen. Align every action with business and legal stakeholders. |
| User Notification User notification | Dateibesitzer, Manager oder SOC per E-Mail und Portal benachrichtigen. Notify file owners, managers, or the SOC by email and in the portal. | Texte mit Self-Service-Hinweisen versehen. Include self-service guidance in message text. |
| Revisionsfenster Review window | Alte Dateien, neu erstellte Dateien oder nur zuletzt geänderte Inhalte. Old files, newly created files, or only recently modified content. | Wähle Scans je Datenlebenszyklus. Choose scans based on the data lifecycle. |
| DLP-Integration DLP integration | Nutzung von Sensitivity Labels, SITs und bereits etablierten Purview-DLP-Kontrollen. Use sensitivity labels, SITs, and already established Purview DLP controls. | Wiederverwendung reduziert Regelduplikate. Reuse reduces rule duplication. |
| Ausnahmen Exceptions | Sichere Bibliotheken, Backup-Bereiche, Servicekonten und Testdaten. Safe libraries, backup areas, service accounts, and test data. | Ausnahmen zeitlich begrenzen und dokumentieren. Time-box and document exceptions. |
Anomalieerkennungsrichtlinien Anomaly detection policies
Anomaly Policies basieren auf Microsoft-Analytik, Nutzerbaselines und bekannten Angriffsmustern. Anomaly policies are based on Microsoft analytics, user baselines, and known attack patterns.
| Einstellung Setting | Beschreibung Description | Empfehlung Recommendation |
|---|---|---|
| Anomalietyp Anomaly type | Template wie Impossible Travel, Anonymous IP oder Unusual Download. Template such as impossible travel, anonymous IP, or unusual download. | Jede Anomalie hat eigenes Tuning-Verhalten. Every anomaly has its own tuning behavior. |
| Baseline und Lernphase Baseline and learning phase | Microsoft erstellt Nutzer- und Mandantenbaselines aus Telemetrie und Historie. Microsoft builds user and tenant baselines from telemetry and history. | Frühe Warnungen kritisch prüfen, aber nicht sofort verwerfen. Review early alerts carefully but do not dismiss them prematurely. |
| Benutzer- und Gruppenfilter User and group filters | Bestimmte Populationen wie Gäste, VIPs, Admins oder Hochrisikobenutzer. Specific populations such as guests, VIPs, admins, or high-risk users. | Sondergruppen separat behandeln. Handle special groups separately. |
| Schweregrad und Eskalation Severity and escalation | Schweregrad plus Incident- oder Ticket-Weiterleitung. Severity plus incident or ticket routing. | Nutze abgestufte Eskalationen nach Kritikalität. Use graded escalation by criticality. |
| Suppressionsfenster Suppression window | Verhindert wiederholte Alarme bei derselben Beobachtung. Prevents repeated alerts for the same observation. | Reduziert Analystenrauschen deutlich. Greatly reduces analyst noise. |
| Ausschlüsse Exclusions | Bekannte Reisehubs, VPN-Egress-Punkte, Security-Scanner oder Testkonten. Known travel hubs, VPN egress points, security scanners, or test accounts. | Exclusions regelmäßig reviewen. Review exclusions regularly. |
| Alert Enrichment Alert enrichment | User-, Gerät-, App- und Standortkontext zur schnelleren Untersuchung. User, device, app, and location context for faster investigation. | Enrichment entscheidet oft über Response-Geschwindigkeit. Enrichment often determines response speed. |
| Automatische Maßnahmen Automatic actions | Optional alarmieren, sperren, Ticket erzeugen oder Benutzerkontakt auslösen. Optionally alert, block, create a ticket, or start user outreach. | Automatik nur bei ausgereiftem Tuning einsetzen. Use automation only when tuning is mature. |
App-Discovery-Richtlinien App discovery policies
App Discovery Policies leiten Sanktionierung und Alarme direkt aus Discovery-Daten ab. App discovery policies drive sanctioning and alerts directly from discovery data.
| Einstellung Setting | Beschreibung Description | Empfehlung Recommendation |
|---|---|---|
| Berichtsquelle Report source | Snapshot, kontinuierlicher Report, Log Collector oder MDE. Snapshot, continuous report, log collector, or MDE. | Mehrere Quellen lassen sich vergleichen und zusammenführen. Multiple sources can be compared and merged. |
| Traffic-Schwelle Traffic threshold | Bandbreite, Sessionanzahl, Benutzeranzahl oder Upload-Volumen. Bandwidth, session count, user count, or upload volume. | Schwellenwerte je Standort definieren. Define thresholds per location. |
| Risikoscore-Bedingung Risk score condition | Apps oberhalb oder unterhalb definierter Risikogrenzen markieren. Mark apps above or below defined risk boundaries. | Verknüpfe Score mit Governance-Status. Tie score to governance state. |
| Kategorien und Tags Categories and tags | Business-, Collaboration-, Storage- oder AI-App-Kategorien sowie eigene Tags. Business, collaboration, storage, or AI app categories and custom tags. | Tags helfen bei erlaubten Alternativen. Tags help when mapping approved alternatives. |
| Sanktionierungsaktion Sanction action | App sanktionieren, unsanktionieren oder für Review markieren. Sanction, unsanction, or mark the app for review. | Netzwerk-, Endpoint- und Proxy-Teams einbinden. Engage network, endpoint, and proxy teams. |
| Alarmierung Alerting | Hoher Risikoscore, unbekannte App-Kategorie oder sprunghaftes Wachstum. High risk score, unknown app category, or sudden growth. | Leite kritische Funde an Architecture und Procurement weiter. Route critical findings to architecture and procurement. |
| Benutzer- und IP-Scope User and IP scope | Abteilungen, Standorte, Externe oder einzelne Offices. Departments, locations, external users, or specific offices. | Pilotiert Einführung und Governance-Change. Supports piloting and governance change. |
| Zeitfenster Time window | Täglich, wöchentlich oder monatlich für Review-Reports. Daily, weekly, or monthly for review reports. | Das Zeitfenster bestimmt Trendglättung und Eskalationsgeschwindigkeit. The time window determines smoothing and escalation speed. |
OAuth-App-Richtlinien OAuth app policies
OAuth App Policies überwachen Einwilligungen, Berechtigungen und riskantes App-Verhalten. OAuth app policies monitor consents, permissions, and risky app behavior.
| Einstellung Setting | Beschreibung Description | Empfehlung Recommendation |
|---|---|---|
| Anwendungs-Scope Application scope | Alle OAuth-Apps, ausgewählte Publisher, App-Tags oder verbundene M365-Apps. All OAuth apps, selected publishers, app tags, or connected M365 apps. | Beginne mit High-Impact-Apps und Admin-Consents. Start with high-impact apps and admin consents. |
| Berechtigungen Permissions | Graph-Scopes, delegierte Berechtigungen, Anwendungsscoping und Offlinezugriff. Graph scopes, delegated permissions, application scopes, and offline access. | Hohes Risiko bei Mail.Read, Files.ReadWrite.All oder Directory.ReadWrite.All. High risk exists for Mail.Read, Files.ReadWrite.All, or Directory.ReadWrite.All. |
| Publisher-Vertrauen Publisher trust | Verified Publisher, Zertifikate, Einwilligungsherkunft und Tenant-Consent. Verified publisher, certificates, consent origin, and tenant consent. | Unverifizierte Publisher priorisieren. Prioritize unverified publishers. |
| Nutzungsverhalten Usage behavior | Anzahl Benutzer, Datenvolumen, ungewöhnliche API-Muster, Inaktivität oder neue Aktivität. User count, data volume, unusual API patterns, inactivity, or new activity. | Verhalten liefert oft stärkeres Signal als der Berechtigungstext allein. Behavior often provides a stronger signal than the permission text alone. |
| Risk Score Risk score | Eigene Schwerebewertung aus Permissions, Publisher und Nutzung. Custom severity evaluation from permissions, publisher, and usage. | Kombiniere technische und fachliche Kritikalität. Combine technical and business criticality. |
| Governance-Aktion Governance action | App deaktivieren, Einwilligung widerrufen, Benutzer informieren oder Investigation anstoßen. Disable the app, revoke consent, notify the user, or start an investigation. | Widerruf immer mit Anwendungsowner abstimmen. Always coordinate revocation with the app owner. |
| Alerts und Policies Alerts and policies | Alarm bei neuem Hochrisiko-App-Consent, übermäßigen Datenzugriffen oder Dormant-App-Aktivität. Alert on new high-risk app consent, excessive data access, or dormant app activity. | SOC und IAM sollten gemeinsame Runbooks haben. The SOC and IAM teams should share runbooks. |
| Ausnahmen und Review Exceptions and review | Bekannte Admin-Tools, Migrationsapps oder integrationskritische LOB-Apps. Known admin tools, migration apps, or integration-critical line-of-business apps. | Ausnahmen nur befristet und mit Owner. Grant exceptions only with time limits and named owners. |
Conditional Access App Control Conditional Access App Control
Conditional Access App Control erweitert Entra Conditional Access um eine Inline-Proxy-Schicht für Browser-Sitzungen. Dadurch lassen sich riskante Interaktionen nicht nur erkennen, sondern in Echtzeit beeinflussen. Conditional Access App Control extends Entra Conditional Access with an inline proxy layer for browser sessions. This makes it possible not only to detect risky interactions but to influence them in real time.
| Schritt Step | Architekturdetail Architecture detail | Worauf achten What to watch |
|---|---|---|
| Conditional Access Signal Conditional Access signal | Eine Entra-Conditional-Access-Richtlinie leitet eine Browser-Sitzung an App Control um. An Entra Conditional Access policy forwards a browser session to app control. | Häufige Bedingung ist ein nicht verwaltetes Gerät oder externer Zugriff. A common condition is an unmanaged device or external access. |
| Inline Reverse Proxy Inline reverse proxy | Die Sitzung läuft über Microsofts Proxy, der Inhalte und Benutzeraktionen in Echtzeit auswertet. The session traverses Microsoft’s proxy, which evaluates content and user actions in real time. | Nur Browser-Sitzungen sind für Inline Controls geeignet. Only browser sessions are suitable for inline controls. |
| Session Inspection Session inspection | Datei-, Text- und Ereignisprüfung entscheidet, ob Aktionen zugelassen, überwacht oder blockiert werden. File, text, and event inspection decides whether actions are allowed, monitored, or blocked. | Leistung, Browserkompatibilität und Datenschutzhinweise prüfen. Check performance, browser compatibility, and privacy notices. |
| User Experience User experience | Benutzer sehen Wasserzeichen, Blockseiten oder geschützte Downloads je Richtlinie. Users see watermarks, block pages, or protected downloads depending on policy. | Erkläre Self-Service und Supportpfad direkt in den Meldungen. Explain self-service and support paths directly in the messages. |
| Telemetry and Alerts Telemetry and alerts | Inline-Ereignisse werden als Aktivitäten, Alarme und Governance-Einträge protokolliert. Inline events are logged as activities, alerts, and governance entries. | Diese Daten speisen SOC, Insider-Risk und Auditprozesse. Those data feed SOC, insider risk, and audit processes. |
| Custom Apps Custom apps | Eigene Geschäftsanwendungen können für Session Control onboarded werden, wenn URL- und Header-Verhalten kompatibel ist. Custom business applications can be onboarded for session control when URL and header behavior are compatible. | Pilot, Browser-Matrix und Fallback-Pfad sind Pflicht. Pilots, browser matrices, and fallback paths are mandatory. |
Sitzungssteuerungen in Echtzeit Real-time session controls
| Kontrolle Control | Funktion Function | Hinweis Note |
|---|---|---|
| Download blockieren Block download | Verhindert den Download vollständig, typischerweise auf nicht verwalteten Geräten. Stops downloading entirely, typically on unmanaged devices. | Maximaler Schutz, aber hoher User Impact. Maximum protection, but high user impact. |
| Download schützen Protect download | Erlaubt nur einen geschützten Download mit Verschlüsselung, Label oder Endpoint-Schutz. Allows only a protected download with encryption, labeling, or endpoint protection. | Geeignet für Partnerzugriff mit kontrollierter Nachnutzung. Useful for partner access with controlled reuse. |
| Überwachen Monitor | Lässt die Aktion zu, protokolliert sie aber mit hohem Detailgrad. Allows the action but records it with high detail. | Sinnvoll für Pilot- und Ausnahmephasen. Useful for pilot and exception phases. |
| Ausschneiden/Kopieren/Einfügen steuern Control cut/copy/paste | Blockiert oder überwacht das Kopieren sensibler Inhalte aus dem Browser. Blocks or monitors copying sensitive content from the browser. | Reduziert unmittelbare Datenabflüsse, kann aber UX stark beeinflussen. Reduces immediate data exfiltration but can strongly affect UX. |
| Drucken steuern Control printing | Blockiert oder überwacht Druckaktionen auf nicht vertrauenswürdigen Geräten. Blocks or monitors print actions on untrusted devices. | Wichtig bei Finanz-, HR- und Entwicklungsdaten. Important for finance, HR, and engineering data. |
| Wasserzeichen und Kontextbanner Watermarks and context banners | Kennzeichnet die Sitzung sichtbar und erhöht Abschreckung sowie Nachvollziehbarkeit. Visibly marks the session and improves deterrence and traceability. | Niedriger Impact, oft guter Einstieg. Low impact and often a good starting point. |
Benutzerdefinierte Apps Custom apps
| Aspekt Aspect | Anforderung Requirement | Praxis Practice |
|---|---|---|
| URL-Muster URL patterns | Alle relevanten Hostnamen, Redirects und Pfade müssen sauber definiert sein. All relevant hostnames, redirects, and paths must be defined cleanly. | Besonders wichtig bei Multi-Domain-Apps. Especially important for multi-domain apps. |
| Authentifizierungsfluss Authentication flow | SAML, OpenID Connect und Cookie-Verhalten müssen mit Proxying kompatibel sein. SAML, OpenID Connect, and cookie behavior must be compatible with proxying. | Teste IdP-initiierte und SP-initiierte Logins. Test IdP-initiated and SP-initiated logins. |
| Header und Downloadtypen Headers and download types | Datei-Downloads, Content-Type und Browser-Header müssen korrekt interpretiert werden. File downloads, content type, and browser headers must be interpreted correctly. | Unbekannte Header frühzeitig analysieren. Analyze unknown headers early. |
| Fallback und Ausnahmeprozess Fallback and exception process | Wenn eine App nicht kompatibel ist, braucht es Bypass-, Support- und Change-Prozesse. If an app is not compatible, bypass, support, and change processes are required. | Produktivsetzung erst nach UAT und Betriebsfreigabe. Move to production only after UAT and operations sign-off. |
Dateirichtlinien, DLP und Labels File policies, DLP, and labels
File Policies sind die Verbindung zwischen CASB und Data Protection. Sie erkennen falsch geteilte, unklassifizierte oder sensibel klassifizierte Inhalte und erzwingen bei Bedarf Governance in SaaS-Diensten. File policies are the bridge between the CASB and data protection. They detect wrongly shared, unclassified, or sensitively classified content and enforce governance in SaaS services when needed.
| Thema Topic | Umsetzung Implementation | Nutzen Benefit |
|---|---|---|
| DLP-Integration DLP integration | Defender for Cloud Apps kann dieselben Sensitivity Labels, SITs und DLP-Konzepte wie Purview wiederverwenden. Defender for Cloud Apps can reuse the same sensitivity labels, SITs, and DLP concepts as Purview. | So bleiben Klassifizierungslogik und Betriebsmodell konsistent. This keeps classification logic and the operating model consistent. |
| AIP- und Purview-Labels AIP and Purview labels | Dateien lassen sich auf Labelstatus prüfen und bei Bedarf mit Governance-Aktionen neu labeln. Files can be checked for label state and relabeled through governance actions when required. | Labels verbinden SaaS-Schutz mit Office-Desktop- und Endpoint-Kontrollen. Labels connect SaaS protection with Office desktop and endpoint controls. |
| Quarantäne und Privatsetzen Quarantine and make private | Kritische Dateien können in Quarantäne verschoben oder externe Freigaben entfernt werden. Critical files can be moved to quarantine or have external sharing removed. | Vorab definieren, wie Business Owner benachrichtigt werden. Define in advance how business owners are notified. |
| Externe Benutzer entfernen Remove external users | Bei Fehlfreigaben werden Gast- oder Partnerberechtigungen direkt entzogen. Guest or partner permissions are removed directly when shares are incorrect. | Diese Aktion ist für Incident Response sehr wertvoll. This action is highly valuable for incident response. |
| Governance-Kette Governance chain | Alarm, Owner-Benachrichtigung, Aktion, Review und Lessons Learned gehören zusammen. Alert, owner notification, action, review, and lessons learned belong together. | Ohne Governance-Kette bleiben Policies reaktiv. Without a governance chain, policies remain reactive. |
Governance nur mit sauberem Rückkanal aktivieren
Only enable governance with a clean feedback loop
Wenn Dateien automatisch privat gesetzt oder externe Benutzer entfernt werden, braucht der Fachbereich eine schnelle Rückmeldung mit Ticket, Besitzerinfo und Wiederherstellungspfad. When files are automatically made private or external users are removed, the business needs fast feedback with ticketing, owner information, and a recovery path.
OAuth-App-Governance OAuth app governance
OAuth-Apps stellen ein eigenes Risiko dar, weil sie dauerhaft auf Daten zugreifen können, ohne dass jede Aktion eine neue Benutzerinteraktion auslöst. Defender for Cloud Apps und App Governance helfen, überprivilegierte oder missbräuchliche Apps sichtbar zu machen. OAuth apps create their own risk because they can access data continuously without requiring new user interaction for every action. Defender for Cloud Apps and App Governance help make over-privileged or abusive apps visible.
| Phase Phase | Vorgehen Approach | Warum wichtig Why it matters |
|---|---|---|
| Initiale Sichtung Initial triage | Prüfe Berechtigungen, Publisher, erste Erteilung, betroffene Benutzer und Nutzungstrend. Review permissions, publisher, first grant, impacted users, and usage trend. | Ziel ist die schnelle Trennung von legitimer Integration und Missbrauch. The goal is to quickly separate legitimate integration from abuse. |
| Kontextanreicherung Context enrichment | Verbinde App-Daten mit Entra Sign-ins, Consent Logs, Defender Alerts und Data Access Events. Link app data with Entra sign-ins, consent logs, Defender alerts, and data access events. | Kontext entscheidet über Priorität und Eigentümerfindung. Context determines priority and owner discovery. |
| App Governance Alerts App governance alerts | Warnungen umfassen überprivilegierte Apps, anomales Datenvolumen, Dormant-App-Aktivität und ungewöhnliche Nutzerzahl. Alerts include over-privileged apps, anomalous data volume, dormant app activity, and unusual user counts. | Runbooks sollten pro Alert-Typ definiert sein. Runbooks should exist for each alert type. |
| App Governance Policies App governance policies | Policies setzen Schwellwerte für App-Wachstum, Dateizugriff, Mailzugriff oder neue Admin-Consents. Policies set thresholds for app growth, file access, mail access, or new admin consents. | Policies eignen sich gut für abgestufte Eskalation. Policies are well suited for tiered escalation. |
| Remediation Remediation | Einwilligung widerrufen, App deaktivieren, Benutzerkontakt herstellen oder Ausnahme dokumentieren. Revoke consent, disable the app, contact the user, or document an exception. | Remediation muss Business-Auswirkungen berücksichtigen. Remediation must consider business impact. |
Anomalieerkennung und Angriffsszenarien Anomaly detection and attack scenarios
Anomaliepolicys liefern häufig die ersten Hinweise auf Kontenübernahmen, Datenabfluss oder fehlgeleitete Automatisierung. Sie sollten immer mit Identitätssignalen, Geräte- und Netzwerkdaten korreliert werden. Anomaly policies often provide the first clues of account takeover, data exfiltration, or broken automation. They should always be correlated with identity signals and device and network data.
| Erkennung Detection | Was erkannt wird What is detected | Analysehinweis Analysis note |
|---|---|---|
| Impossible Travel Impossible travel | Erkennt Anmeldungen aus geografisch unmöglichen Bewegungsmustern. Detects sign-ins from geographically impossible movement patterns. | Prüfe VPN, Mobilität und Token-Reuse vor Eskalation. Check VPN, mobility, and token reuse before escalation. |
| Infrequent Country Infrequent country | Alarmiert bei Aktivitäten aus Ländern, die für Benutzer oder Tenant untypisch sind. Alerts on activity from countries unusual for the user or tenant. | Kombiniere mit Named Locations und Reiserichtlinien. Combine with named locations and travel policies. |
| Anonymous IP Address Anonymous IP address | Markiert Zugriff über TOR, bekannte Anonymisierungsdienste oder verdächtige Proxies. Flags access through TOR, known anonymizers, or suspicious proxies. | Ein häufiger Indikator für Credential-Stuffing oder Takedown-Versuche. A common indicator for credential stuffing or takedown attempts. |
| Password Spray Password spray | Korrelierte Fehlanmeldungen deuten auf breit angelegte Angriffsmuster. Correlated failed sign-ins indicate broad attack patterns. | Mit Entra ID Protection und Smart Lockout zusammendenken. Consider together with Entra ID Protection and smart lockout. |
| Unusual Download Unusual download | Warnt bei atypisch hohem Download-Volumen oder Datenzugriff. Warns on atypically large download volume or data access. | Wichtig für Insider Risk und Exfiltration. Important for insider risk and exfiltration. |
| Ransomware Activity Ransomware activity | Sucht nach verschlüsselungsartigen Dateioperationen, Massenänderungen oder Löschmustern. Looks for encryption-like file operations, mass modifications, or deletion patterns. | Schnelle Isolation und Wiederherstellung vorbereiten. Prepare rapid isolation and recovery. |
| Mass Sharing Mass sharing | Erkennt plötzliche Freigaben großer Dateimengen oder Bibliotheken. Detects sudden sharing of large numbers of files or libraries. | Häufig relevant bei kompromittierten Konten. Often relevant for compromised accounts. |
| Malware Detection Correlation Malware detection correlation | Verbindet SaaS-Aktivität mit bekannten Malware- oder Phishing-Indikatoren. Links SaaS activity with known malware or phishing indicators. | Verstärkt die Priorisierung im SOC. Strengthens prioritization in the SOC. |
Governance-Log, APIs und PowerShell Governance log, APIs, and PowerShell
Governance-Aktionen sind nur dann belastbar, wenn sie nachweisbar, wiederholbar und integrierbar sind. Deshalb sind Governance-Log, API-Zugriffe und PowerShell-Skripte fester Bestandteil jedes Betriebsmodells. Governance actions are reliable only when they are traceable, repeatable, and integrable. That is why the governance log, API access, and PowerShell scripts are mandatory parts of every operating model.
| Governance-Log-Feld Governance log field | Bedeutung Meaning | Einsatz Use |
|---|---|---|
| Zeitstempel und Aktion Timestamp and action | Wann wurde welche Governance-Maßnahme ausgelöst und abgeschlossen? When was which governance action triggered and completed? | Zeitinformationen sind wichtig für Forensik und SLA-Messung. Time data are important for forensics and SLA measurement. |
| Ausführender Kontext Actor context | Policy, Analyst, automatischer Workflow oder API-Client. Policy, analyst, automated workflow, or API client. | So lässt sich Verantwortlichkeit sauber trennen. This cleanly separates responsibility. |
| Zielobjekt Target object | Benutzer, Datei, App, Sitzung oder App-Entdeckungseintrag. User, file, app, session, or app discovery entry. | Das Zielobjekt bestimmt den Folgeprozess. The target object determines the follow-up process. |
| Status und Fehlertext Status and error text | Erfolgreich, fehlgeschlagen, ausstehend oder zurückgerollt mit technischer Meldung. Successful, failed, pending, or rolled back with the technical message. | Fehler helfen bei Wiederholungslogik. Errors help define retry logic. |
| Review und Audit Review and audit | Governance-Logs werden für Audits, Post-Incident-Reviews und KPI-Reporting genutzt. Governance logs are used for audits, post-incident reviews, and KPI reporting. | Eine saubere Aufbewahrung ist Pflicht. Clean retention is mandatory. |
| Schnittstelle Interface | Typische Nutzung Typical use | Kommentar Comment |
|---|---|---|
| Microsoft Graph Security API Microsoft Graph Security API | Nutze Sicherheitsendpunkte für Incidents, Alerts und korrelierte Cloud-App-Signale in Defender XDR. Use security endpoints for incidents, alerts, and correlated cloud app signals in Defender XDR. | Geeignet für SIEM-Integration, Dashboards und Case-Management. Suitable for SIEM integration, dashboards, and case management. |
| Defender for Cloud Apps REST API Defender for Cloud Apps REST API | Tenant-spezifische Cloud-App-Security-Endpunkte liefern Discovery-, Files-, Alerts- und Governance-Daten. Tenant-specific cloud app security endpoints return discovery, file, alert, and governance data. | Diese API ist häufig tiefer für MCAS-spezifische Automationen. This API is often deeper for MCAS-specific automations. |
| Power Automate und Logic Apps Power Automate and Logic Apps | APIs und Webhooks können in Genehmigungs-, Ticket- und Quarantäne-Workflows eingebunden werden. APIs and webhooks can plug into approval, ticket, and quarantine workflows. | Ideal für standardisierte Reaktionsketten. Ideal for standardized response chains. |
PowerShell
PowerShell
Connect-MgGraph -Scopes "SecurityEvents.Read.All"
$incidents = Invoke-MgGraphRequest -Method GET -Uri "https://graph.microsoft.com/v1.0/security/incidents"
$incidents.value | Where-Object { $_.title -match "Cloud App|OAuth|Session" } | Select-Object id,title,severity,status
Connect-MgGraph -Scopes "SecurityEvents.Read.All"
$incidents = Invoke-MgGraphRequest -Method GET -Uri "https://graph.microsoft.com/v1.0/security/incidents"
$incidents.value | Where-Object { $_.title -match "Cloud App|OAuth|Session" } | Select-Object id,title,severity,status
PowerShell
PowerShell
# Tenant-spezifische Defender-for-Cloud-Apps-API
$token = "<MCAS-API-TOKEN>"
$headers = @{ Authorization = "Token $token" }
Invoke-RestMethod -Method GET -Headers $headers -Uri "https://contoso.portal.cloudappsecurity.com/api/v1/alerts/"
# Tenant-specific Defender for Cloud Apps API
$token = "<MCAS-API-TOKEN>"
$headers = @{ Authorization = "Token $token" }
Invoke-RestMethod -Method GET -Headers $headers -Uri "https://contoso.portal.cloudappsecurity.com/api/v1/alerts/"
Betriebsempfehlungen Operational recommendations
- Beginne mit Discovery und Monitoring, bevor du blockierende Session- oder Governance-Aktionen global einschaltest. Start with discovery and monitoring before turning on blocking session or governance actions globally.
- Pflege App-Tags, Ausnahmen, Owner-Zuordnungen und Reviewer genauso diszipliniert wie Conditional-Access-Richtlinien. Maintain app tags, exceptions, owner mappings, and reviewers with the same discipline as Conditional Access policies.
- Verbinde Defender for Cloud Apps mit Defender XDR, Sentinel, Purview und Entra Identity Protection für ein vollständiges Signalbild. Connect Defender for Cloud Apps with Defender XDR, Sentinel, Purview, and Entra ID Protection for a complete signal picture.
- Miss nicht nur Alarme, sondern auch Governance-Durchlaufzeiten, Fehlerraten, Ausnahmealter und Business-Auswirkungen. Measure not just alerts, but also governance lead times, failure rates, exception age, and business impact.