> For the complete documentation index, see [llms.txt](https://agents.glueckkanja.com/llms.txt). Markdown versions of documentation pages are available by appending `.md` to page URLs; this page is available as [Markdown](https://agents.glueckkanja.com/de/agents/cloud-app-activity-profiler/overview.md).

# Übersicht

> **SCU-Kostenschätzung**\
> Dieser Agent verbraucht typischerweise **0,1 – 0,8 SCUs pro Analyseausführung**, abhängig von der Anzahl der erkannten Domänen, der Anreicherungstiefe und dem Lookback-Fenster. Größere Mandanten mit umfangreicher SaaS-Nutzung oder tiefer Threat-Intelligence-Korrelation können mehr SCUs verbrauchen.

### Einführung

**Cloud App Activity Profiler** hilft Organisationen, ihre SaaS-Landschaft zu kontrollieren, indem neue oder stark genutzte Cloud-Anwendungen, die in den Aktivitätsdaten von Microsoft Defender for Cloud Apps beobachtet werden, automatisch erkannt, profiliert und hinsichtlich ihres Risikos bewertet werden.

Der Agent korreliert Aktivitätstelemetrie, Alarmbelege und Threat Intelligence, um eine einheitliche, evidenzbasierte Domänenrisikobewertung zu erstellen. Jede erkannte Domäne erhält eine Governance-Empfehlung, **ZULASSEN**, **ÜBERWACHEN**, oder **BLOCKIEREN,** zusammen mit einem kurzen, wiederholbaren operativen Playbook für konsistente Entscheidungen in Ihrem Sicherheitsteam.

<figure><img src="/files/73e1b1a1928853806b3c3793790f965fe1a8ae27" alt=""><figcaption></figcaption></figure>

<div><figure><img src="/files/73e1b1a1928853806b3c3793790f965fe1a8ae27" alt=""><figcaption></figcaption></figure> <figure><img src="/files/131f0ef817147036421c4356867cd528054e9a34" alt=""><figcaption></figcaption></figure> <figure><img src="/files/5c121266d5e142cfb1e901ac1e0280a6603ade4c" alt=""><figcaption></figcaption></figure> <figure><img src="/files/6629bbbcfff8af5ec65a492edea261914129d2df" alt=""><figcaption></figcaption></figure></div>

***

### Was er tut

* Erkennt automatisch neu beobachtete SaaS-Domänen mit hohem Volumen
* Korreliert Aktivitäts- und Alarmdaten, um risikoreiche oder verdächtige Domänen sichtbar zu machen
* Ergänzt Erkenntnisse mit Threat-Intelligence-Indikatoren und Reputationskennzeichen
* Berechnet zusammengesetzte Domänen-Risikoscores und weist Governance-Maßnahmen zu
* Erstellt ein strukturiertes operatives Playbook für konsistente wöchentliche Abläufe
* Identifiziert Lücken in der Anreicherung und Telemetrieabdeckung zur Verbesserung

***

### Anwendungsfälle

#### 1. **Erkennung von Shadow IT und nicht genehmigter SaaS**

Neue Domänen können ohne formale Prüfung oder Richtlinienabdeckung in Ihrer Umgebung erscheinen. Der Agent scannt kontinuierlich Cloud-App-Aktivitäten, um aufkommende SaaS-Dienste zu erkennen, und markiert sie für die Governance-Bewertung. So helfen Sie dabei, Shadow IT zu identifizieren, bevor sie zu einem Sicherheitsproblem wird.

#### 2. **Korrelation von Exfiltration und Upload-Spitzen**

Große Daten-Uploads deuten häufig auf mögliche Exfiltrationsversuche hin. Der Agent korreliert automatisch Uploads mit hohem Volumen mit zugehörigen Warnungen und Domänenreputationen und liefert Analysten ein vollständiges, kontextbezogenes Bild des Risikos.

#### 3. **Priorisierung von Governance-Maßnahmen**

Anstelle allgemeiner Listen erkannter Apps liefert der Agent klare, umsetzbare Empfehlungen. Domänen werden in ZULASSEN, ÜBERWACHEN oder BLOCKIEREN eingeteilt, unterstützt durch transparente Begründungen und Nachweise.

#### 4. **Optimierung wöchentlicher Governance-Reviews**

Sicherheits- und Compliance-Teams verbringen oft Stunden mit der Prüfung neuer SaaS-Aktivitäten. Der Agent erstellt ein kompaktes wöchentliches Playbook, das neue Erkenntnisse, Risikostufen und empfohlene Maßnahmen zusammenfasst und so den Prüfaufwand reduziert und gleichzeitig die Konsistenz verbessert.

#### 5. **Verbesserung der Bedrohungstransparenz und Telemetrieabdeckung**

Indem fehlende Anreicherungsdaten oder nicht überwachte Quellen hervorgehoben werden, liefert der Agent konkrete Hinweise, wie die Transparenz über Cloud-App-Ereignisse, Alarme und Threat Intelligence hinweg verbessert werden kann.

***

### Warum Cloud App Activity Profiler?

#### Probleme, die er löst

* Shadow- oder nicht genehmigte SaaS-Domänen erscheinen ohne Prüfung oder Durchsetzung von Richtlinien
* Große Uploads fehlen Korrelation und Kontext aus mehreren Quellen
* Lücken in der Threat-Intelligence-Abdeckung verschleiern das Domänenrisiko
* Manuelle Triage über Telemetriequellen hinweg ist langsam und inkonsistent
* Fragmentierte Daten verhindern zeitnahe Governance-Entscheidungen

#### Ihre Vorteile

* Kontinuierliche Erkennung und Klassifizierung neuer SaaS-Domänen
* Konsolidierte Erkenntnisse, die Aktivität, Alarme und Bedrohungsdaten kombinieren
* Klare Governance-Empfehlungen (ZULASSEN / ÜBERWACHEN / BLOCKIEREN) mit Begründung
* Transparente Analyse von Anreicherungslücken zur Unterstützung von Telemetrieverbesserungen
* Konsistentes wöchentliches operatives Playbook, das Entscheidungsprozesse standardisiert

***

### So funktioniert es

#### Was eingeht

* Cloud-App-Aktivitätsprotokolle (Domänenentdeckung, Upload-Volumen, Exfiltrations-Heuristiken)
* Sicherheitsalarme und Alarmbelege mit zugehörigen Taktiken und Indikatoren
* Threat-Intelligence-Indikatoren für Domänenreputation und Kategorisierung
* (Optional) Verzeichnis- und Benutzerdaten zur Normalisierung und Zählung von Benutzeraktivitäten

#### Was er tut

* Erkennt neue SaaS-Domänen und solche mit hohem Volumen aus Cloud-App-Aktivitäten
* Korreliert Domänendaten mit Alarmen und Threat-Intelligence-Signalen
* Berechnet zusammengesetzte Domänen-Risikoscores und klassifiziert sie in Risikobänder (Grün, Gelb, Rot)
* Erstellt Governance-Empfehlungen für Entscheidungen zu ZULASSEN, ÜBERWACHEN oder BLOCKIEREN
* Erstellt ein 7-Tage-Operational-Playbook für die kontinuierliche Governance-Überwachung

#### Was Sie erhalten

* Zusammenfassung für die Geschäftsleitung mit den wichtigsten Trends und Erkenntnissen
* Priorisierte Domänenliste mit Risikobändern (Grün, Gelb, Rot)
* Evidenzbasierte Governance-Maßnahmen mit Begründung und Kontext
* Zusammenfassung der Anreicherungslücken zur Verbesserung der Telemetriesichtbarkeit
* Kurzes operatives Playbook mit empfohlenen nächsten Schritten und Prüffrequenz


---

# Agent Instructions
This documentation is published with GitBook. GitBook is the documentation platform designed so that both humans and AI agents can read, navigate, and reason over technical content effectively. Learn more at gitbook.com.

## Querying This Documentation
If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.

Perform an HTTP GET request on the current page URL with the `ask` query parameter:

```
GET https://agents.glueckkanja.com/de/agents/cloud-app-activity-profiler/overview.md?ask=<question>
```

The question should be specific, self-contained, and written in natural language.
The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.

Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.