Die Enterprise Mobility and Security-Angebote von Microsoft sind zusätzliche Sicherheitsdienste, die zur Kontrolle, Prüfung und zum Schutz der Daten und Benutzer in den Microsoft-Produkten Azure und Office 365 erworben werden können.
Wenn Sie ein Unternehmen sind, das sich um Datenschutzverletzungen, Ransomware oder Insider-Risiken sorgt, würden Sie Ihre Azure (E3) Basislizenz sehr wahrscheinlich auf die etwas teurere, aber lohnenswerte E5 Lizenz erweitern.
Hinweis: Es handelt sich zwar um eine Unterscheidung auf Lizenzebene und nicht um eine technische, aber die unten aufgeführten EMS E5-Funktionen sind dieselben, die Sie von Azure AD Premium P2 erhalten.
Um direkt auf den Punkt zu kommen: Wenn Sie als Unternehmen groß genug sind, um eine echte IT-Abteilung zu haben, und nicht nach dem Motto arbeiten „Julie in der Buchhaltung kennt sich gut mit Computern aus, so dass sie diese Dinge in ihrer Freizeit erledigt”, dann werden Ihnen die grundlegenden Sicherheits- und Verwaltungsoptionen von Office 365 nicht genügen.
So erhalten Sie detaillierte Berichte über Dateien in Office 365, E-Mails und Active Directory-Berechtigungen
Wenn Sie es gewohnt sind, einen detaillierten Einblick in Ihre Dateifreigaben, E-Mail- und Active Directory-Berechtigungen und -Aktivitäten zu haben (wie es bei Varonis-Kunden der Fall ist), werden Sie von den (fehlenden) Sicherheitsfunktionen der Basislizenz von Office 365 schockiert sein.
Die folgenden Funktionslisten sollen Ihnen einen möglichst klaren Überblick über die nativen Funktionen des Microsoft Office 365-Sicherheitstools, die für die jeweilige Lizenzstufe verfügbar sind, bieten. Die unterschiedlichen Funktionen werden tatsächlich durch eine Reihe verschiedener Anwendungen und Dienste ausgeführt, die in den verschiedenen Ebenen enthalten sind. Deshalb schwankt auch das Ausmaß ihrer Kohäsion und der Abdeckung, die mit ihnen erzielt wird.
Die zusätzlichen Funktionen von Varonis (siehe unten) sollten Sie insbesondere dann in Erwägung ziehen, wenn Daten sowohl in der Cloud als auch in lokalen Systemen sichern müssen.
NICHT in der Basislizenz enthaltene E3-Funktionen (ProPlus und E1)
Single-Sign-On
- SSO für Office 365 und Azure-Dienste
- Möglichkeit zur Entwicklung von Apps zum Nutzen des SSO
Erweiterte Sicherheitsberichte
- Audits und Benachrichtigungen
e-Discovery
- Daten in den Office 365-Speichern des Unternehmens suchen, speichern und exportieren
DLP
- Aufheben von Zugriffsberechtigungen
- Verhindern der unbeabsichtigten Freigabe sensibler Daten
- Anzeigen von auf Richtlinien abgestimmten DLP-Berichten
Nicht in E3 enthaltene E5-Funktionen
Risikoorientierter bedingter Zugriff
- Beschränkung des Datenzugriffs nach Standort, Gerät, Benutzerstatus und Empfindlichkeit der Anwendung.
- Beschränken des Starts von Kiosk-Anwendungen auf bestimmte Arbeitsplätze
- Blockieren des Zugriffs auf BI Apps von außen
- Erzwingen der Ausführung von Web-Anwendungen auf der Hardware des Unternehmens
- Erkennen von verdächtigen Zugriffsmustern beim Datenzugriff mit Hilfe maschinellen Lernens
- Nutzen von größeren Azure-Touchpoints für die Risikoerkennung (Brut-Force-Angriffe)
- Identifizieren abnormaler Muster beim Datenzugriff, die auf Malware hinweisen
- Kontextbasierte Multi-Faktor-Authentifizierung
- Auslösen von MFA-Abfragen beim Ändern von Daten (Aktualisieren von E-Mail/Passwort) in einer App, aber keine Abfrage beim Anzeigen der Daten
- Auslösen von MFA-Abfragen auf Session-Basis / regelmäßiger Basis (einmal pro Woche)
Verwaltung privilegierter Accounts
- Verbesserter Überblick über Benutzer, denen bevorrechtigte und Admin-Rollen für Azure-Ressourcen und Azure AD zugewiesen wurden
- Überblick über die Personen, die Änderungen an Ihrer Infrastruktur vornehmen können
- Benutzer mit sekundengenauem On-Demand-Admin-Zugang
- Gewähren und Widerrufen von Admin-Berechtigungen für bestimmte Workflows
- Benachrichtigungen bei der Gewährung von Administratorrechten
- Erfahren Sie, wenn zum Beispiel ein neuer Admin um 2:30 Uhr an einem Samstag eingerichtet wird
- Rollenspezifische Genehmigungsanforderungen für Admins
- Lassen Sie die Gewährung neuer Admin-Berechtigungen durch den CTO/Leiter der IT genehmigen
- Gewährung von Admin-Berechtigungen prüfen und verfolgen
- Prüfungen der Admin-Rolle
- Verfolgen Sie, welche Veränderungen in der Admin-Gruppe insgesamt erfolgt sind
Datenklassifizierung
- Daten ihrer Sensibilität entsprechend klassifizieren und kennzeichnen
- Daten in potenziell gefährdeten Dateien erkennen
- Durchsetzen eines sensibilitätsabhängigen Schutzes mit Kennzeichnungen im gesamten Unternehmen
- Bei der Interaktion unterschiedlicher Systeme mit den Daten können Sie je nach Klassifizierungskennzeichen z. B. den Zugriff beschränken oder MFA-Abfragen auslösen.
Auf Microsoft Cloud Apps bezogener Schutz
- Überwachen der Nutzung von SAAS-Apps in Ihrem Netzwerk
- Blockieren von SAAS-Apps aus der Schatten-IT
- Hinzufügen/Löschen von SAAS-Apps erzwingen
- Nutzung von Cloud-Apps nach Benutzer, Gerät und Standort einschränken
- Potenziell schwache Apps besser sichern
So sichern Sie Ihren Wechsel zu Office365 Security Varonis ab
Der Wechsel von einer lokalen Lösung in eine hybride Umgebung mit Office365 ist immer schwierig. Sie können sich das Leben erleichtern, indem Sie Varonis die folgenden Dinge tun lassen:
- Bereinigen der vorhandenen Benutzerkonten
- Einfrieren der aktuellen Berechtigungs- und Freigabestrategie bei Dateien
- Überspringen von veralteten und verwaisten Daten beim Verschieben in die Cloud
- Verschieben von sensiblen Daten in die Quarantäne
Nach dem Wechsel können Sie mit Varonis Ihre lokalen Ressourcen und Ihre Office365-Ressourcen in einer einheitlichen Ansicht anzeigen lassen. Ohne diese Fähigkeit ist es ohne manuelles Zusammenflicken der Protokolle fast unmöglich, laterale Bewegungen durch Ihre Umgebung zu verfolgen. Dadurch erhöht sich Ihre Reaktionszeit bei potenziellen Datenschutzverletzungen oder anderen Sicherheitsereignissen signifikant.
Durchsetzen eines Privilegienmodells auf Basis der minimalen Rechtevergabe
- Verwaltung von Berechtigungen durch Dateneigentümer einführen
- Zuteilung von Berechtigungen auf Grundlage der Nutzung in der Vergangenheit
- Modellieren von Berechtigungsstrukturen vor deren Anwendung
- Bidirektionelle Darstellung von Berechtigungen und Berechtigungsquellen
Erkennung
- Verschaffen Sie sich Transparenz mit Berechtigungsdarstellungen
- Erkennen Sie, wer für was verantwortlich ist
- Granulare Definition von Regeln und Benachrichtigungen
- Erkennen des Verhaltens von Benutzerkonten (Benutzer, Admins und VIPs verhalten sich natürlich unterschiedlich)
Aufsichtsrecht
- Regulierungsbehörden ist es gleichgültig, wo Sie Ihre Daten ablegen – weshalb Sie sowohl die Cloud als auch lokale Speicherorte abdecken müssen.
Fangen Sie an, Office 365 zu schützen
Wenn Sie wissen möchten, wo Ihre Dateiberechtigungen angreifbar sind, wo Ihre sensiblen Daten liegen und welcher Administrator, der vor drei Jahren gekündigt hat, noch Zugriff auf Ihr Netzwerk hat, sollten Sie sich eine kostenlose Risikobeurteilung von Varonis sichern.