Microsoft Cloud App Security : Le guide définitif (2022)

Vous souhaitez améliorer la protection de vos applications cloud ?

Alors vous êtes au bon endroit.

Parce qu'aujourd'hui, je vais vous montrer les techniques exactes que j'utilise pour maintenir la visibilité de mes applications cloud.

1 Qu'est-ce que Microsoft Cloud App Security ?

2 Comment fonctionne Microsoft Cloud App Security ?

2.1 Découverte

2.2 Sanction et dé-sanction

2.3 Connecteurs d'applications

2.4 Paramètre de politique

3 Que fournit Microsoft Cloud App Security ?

4 Découverte

4.1 Comment créer un nouveau rapport de découverte ?

5 Contrôle des données

5.1 Création d'une politique de découverte d'applications

6 Créer des politiques de fichiers

6.1 Comment créer une stratégie de fichier ?

7 Protection contre les menaces

7.1 Création de politiques d'activité

8 Détection des logiciels malveillants

9 Enquête et correction des alertes

9.1 Réduction des faux positifs

9.2 Applications OAuth

9.3 Gérer les applications OAuth

9.3.1 Bannir ou approuver et appliquer :

9.3.2 Révoquer l'application

9.3.3 Politiques OAuth

10 CASB pour les plateformes cloud

11 Surveillance et contrôle en temps réel

12 Portail Azure – Azure Active Directory

13 Création d'une stratégie de session

14 Licence Microsoft Cloud App Security

Qu'est-ce que Microsoft Cloud App Security ?

• Microsoft Cloud App Security est Microsoft CASB (Cloud Access Security Broker) et est un composant essentiel de la pile Microsoft Cloud Security. Il s'agit d'une solution complète qui peut aider votre organisation à tirer pleinement parti de la promesse des applications cloud tout en vous permettant de garder le contrôle grâce à une meilleure visibilité sur l'activité.
• Il permet également d'augmenter la protection des données critiques dans les applications cloud (Microsoft et tierces parties).
• Grâce à des outils qui permettent de découvrir le shadow IT, d'évaluer les risques, d'appliquer des politiques, d'enquêter sur les activités et de stopper les menaces, votre organisation peut migrer vers le cloud en toute sécurité tout en gardant le contrôle des données critiques.

Comment fonctionne Microsoft Cloud App Security ?

Découverte

La découverte du cloud utilise vos journaux de trafic pour découvrir et analyser les applications cloud utilisées. Vous pouvez télécharger manuellement les fichiers journaux pour analyse à partir de vos pare-feu et proxies, ou vous pouvez choisir le téléchargement automatique.

Sanctionner et dé-sanctionner

• MS Cloud App Security vous permet de sanctionner/bloquer les applications de votre organisation à l'aide du catalogue d'applications Cloud.
• Le catalogue d'applications cloud évalue les risques pour vos applications cloud en fonction des certifications réglementaires, des normes de l'industrie et des meilleures pratiques.
• Vous pouvez ensuite personnaliser les scores et les pondérations de divers paramètres en fonction des besoins de votre organisation.
• Sur la base de ces scores, Microsoft Cloud App Security vous permet de connaître le niveau de risque de l'application, selon plus de 50 facteurs de risque susceptibles d'affecter votre environnement.

Connecteurs d'applications

• Les connecteurs d'applications exploitent les API fournies par divers fournisseurs d'applications cloud pour permettre au cloud Microsoft Cloud App Security de s'intégrer à d'autres applications cloud et d'étendre le contrôle et la protection. Cela permet à Microsoft 365 Cloud App Security d'extraire des informations directement des applications cloud à des fins d'analyse.
• Afin de connecter une application et d'étendre la protection, l'administrateur de l'application autorise MS Cloud App Security à accéder à l'application, puis Cloud App Security interroge l'application pour les journaux d'activité et analyse les données, les comptes et le contenu du cloud.
• Microsoft 365 Cloud App Security peut ensuite appliquer des stratégies, détecter des menaces et fournir des actions de gouvernance pour résoudre les problèmes.

Paramètre de stratégie

• Les politiques vous permettent de définir la manière dont vous souhaitez que vos utilisateurs se comportent dans le cloud. Ils vous permettent de détecter les comportements à risque, les violations ou les points de données suspects et les activités dans votre environnement cloud et, si nécessaire, d'intégrer des processus de correction pour parvenir à une atténuation complète des risques.
• Il existe plusieurs types de politiques qui sont en corrélation avec les différents types d'informations que vous souhaitez collecter sur votre environnement cloud et les types d'actions correctives que vous souhaitez peut-être entreprendre.

Que fournit Microsoft Cloud App Security ?

Découverte

Découvrir quelles applications sont utilisées dans une organisation n'est que la première étape pour s'assurer que les données sensibles de l'entreprise sont protégées. Comprendre les cas d'utilisation, identifier les principaux utilisateurs et déterminer le risque associé à chaque application sont tous des éléments importants pour comprendre la posture de risque globale d'une organisation. Microsoft Cloud App Security fournit une détection continue des risques, des analyses et des rapports puissants sur les utilisateurs, les modèles d'utilisation, le trafic de chargement/téléchargement et les transactions afin que vous puissiez identifier immédiatement les anomalies.

Comment créer un nouveau rapport de découverte ?

• Accéder au portail « Microsoft Defender pour les applications cloud »
• Sur la gauche, sélectionnez Tableau de bord Discover et Cloud Discovery.

• Ensuite, sélectionnez « Créer un nouveau rapport »

Ensuite, entrez les détails que vous souhaitez et sélectionnez « Créer »

Remarque : L'analyse de la création d'un rapport prend jusqu'à 24 heures pour être traitée.

Contrôle des données

Créez des politiques de découverte d'applications cloud pour vous donner la possibilité d'être alerté lorsque de nouvelles applications sont découvertes qui sont à risque, non conformes ou tendance. Commencez par utiliser les modèles intégrés pour créer des politiques de découverte d'applications pour les applications à risque et à volume élevé. La configuration peut être ajustée si nécessaire.

• Nouvelle application à volume élevé - alerte lorsque de nouvelles applications sont découvertes avec un trafic quotidien total de plus de 500 Mo
• Application risquée - alerte lorsque de nouvelles applications sont découvertes avec un score de risque inférieur à 6 et qui sont utilisées par plus de 50 utilisateurs avec une utilisation quotidienne totale de plus de 50 Mo

Une fois la stratégie créée, vous serez averti lorsqu'une application à volume élevé et à haut risque est découverte. Cela vous permettra de surveiller efficacement et en continu les applications de votre réseau.

Création d'une stratégie de découverte d'applications

• Rendez-vous sur le « Portail Cloud App Security »
• Cliquez sur « Contrôle » puis sur « Politiques »
• Créez une « Politique » et choisissez « Politique de découverte d'applications »

• Sélectionnez le modèle pour une nouvelle application à volume élevé

• Faites défiler vers le bas et cliquez sur "Créer "

Créer des politiques de fichiers

• Les politiques de fichiers sont un excellent outil pour détecter les menaces à vos politiques de protection des informations, par exemple pour trouver les emplacements où les utilisateurs stockent des informations sensibles, des numéros de carte de crédit et des fichiers ICAP tiers dans votre cloud.
• Avec Cloud App Security, non seulement vous pouvez détecter ces fichiers indésirables stockés dans votre cloud qui vous rendent vulnérable, mais vous pouvez prendre des mesures immédiates pour les arrêter dans leur élan et verrouiller les fichiers qui constituent une menace.
• À l'aide de la quarantaine d'administration, vous pouvez protéger vos fichiers dans le cloud et résoudre les problèmes, ainsi qu'empêcher de futures fuites de se produire.
• Utilisez des stratégies de fichiers pour détecter le partage d'informations et rechercher des informations confidentielles dans vos applications cloud.

Créez les stratégies de fichiers suivantes pour obtenir une visibilité sur la façon dont les informations sont utilisées au sein de votre organisation.

• Un fichier contenant des PII détecté dans le cloud (moteur DLP intégré) - alerte lorsqu'un fichier contenant des informations personnellement identifiables (PII) est détecté par notre moteur intégré de prévention des pertes de données (DLP) dans une application cloud sanctionnée.
• Fichiers partagés avec des domaines non autorisés - alerte lorsque le fichier est partagé avec un domaine non autorisé (tel que votre concurrent).
• Fichier partagé avec des adresses e-mail personnelles - alerte lorsqu'un fichier est partagé avec l'adresse e-mail personnelle d'un utilisateur.

Utilisez des modèles prédéfinis pour commencer, examinez les fichiers dans l'onglet des politiques correspondantes. Étendez les stratégies à un seul site SharePoint/OneDrive pour comprendre le fonctionnement des stratégies avant d'ajouter des applications ou des sites supplémentaires.

Comment créer une politique de fichier ?

• Accédez au « Portail Microsoft Cloud App Security »
• Cliquez sur « Contrôle » , puis sur « Politiques »
• Créez " Politique et choisissez" Politique de fichier "

• Sélectionnez le modèle pour un fichier contenant des PII détecté dans le cloud (moteur DLP intégré)
• Étendez-le jusqu'à SharePoint et OneDrive & Folder

• Cliquez sur créer

Suivez les mêmes étapes et utilisez les modèles mentionnés ci-dessus.

Pour plus d'informations sur les stratégies de fichiers, suivez ce lien .

Protection contre les menaces

Autorisations : administrateur global, administrateur de sécurité ou administrateur de groupe d'utilisateurs

La création d'une politique d'activité peut vous aider à détecter une utilisation malveillante d'un utilisateur final ou d'un compte privilégié ou une indication d'une éventuelle session compromise.

Création de politiques d'activité

Suivez ce lien pour en savoir plus sur les politiques d'activité.

• Téléchargement en masse par un seul utilisateur - cette politique vous donnera une visibilité sur une éventuelle exfiltration de données. Par défaut, cette politique alertera également sur les synchronisations du client OneDrive
• Plusieurs tentatives de connexion utilisateur infructueuses à une application - attaque par force brute possible ou compte compromis.
• Connectez-vous à partir d'une adresse IP à risque - compte potentiellement compromis.
• Activité potentielle de ransomware - alerte lorsqu'un utilisateur télécharge des fichiers sur le cloud qui pourraient être infectés par un ransomware.

Détection des logiciels malveillants

• Cette détection identifie les fichiers malveillants dans votre stockage cloud, qu'ils proviennent de vos applications Microsoft ou d'applications tierces.
• Microsoft Cloud App Security utilise les renseignements sur les menaces de Microsoft pour déterminer si certains fichiers sont associés à des attaques de logiciels malveillants connus et sont potentiellement malveillants.
• Cette stratégie intégrée est désactivée par défaut.
• Tous les fichiers ne sont pas analysés, mais des heuristiques sont utilisées pour rechercher des fichiers potentiellement dangereux. Une fois les fichiers détectés, vous pouvez alors voir une liste des fichiers infectés.
• Cliquez sur le nom du fichier de malware dans le tiroir de fichiers pour ouvrir un rapport de malware qui vous fournit des informations sur le type de malware par lequel le fichier est infecté.

Remarque : La détection des logiciels malveillants est désactivée par défaut. Assurez-vous de l'activer pour être alerté des éventuels fichiers infectés.

Enquête et correction des alertes

Enquêtez et déterminez la nature de la violation associée à l'alerte. Essayez de comprendre s'il s'agit d'une violation grave et douteuse ou d'un comportement anormal de la part de l'utilisateur. Poursuivez votre enquête en examinant la description de l'alerte et ce qui l'a déclenchée, ainsi qu'en examinant des activités similaires.

Si vous ignorez les alertes, il est important de comprendre pourquoi elles n'ont aucune importance ou s'il s'agit d'un faux positif. S'il y a trop de bruit entrant, assurez-vous de revoir et d'ajuster la politique déclenchant l'alerte.

• Dans le « Microsoft Cloud App Security Portal » – Allez dans « Alertes »

• Cliquez sur une alerte que vous souhaitez enquêter. Dans cet exemple, nous enquêtons sur un seul utilisateur qui a eu plusieurs tentatives de connexion infructueuses, ce qui pourrait être un signe de force brute et une identité compromise.
• Lisez la description de l'alerte et examinez les détails fournis pour voir si quelque chose semble suspect.
• Nous voyons que cet utilisateur est un administrateur et a eu plus de 12 échecs de connexion. Il est possible qu'un attaquant tente de compromettre ce compte.

• Cliquez sur " Afficher toutes les activités de l'utilisateur " pour afficher les activités de cet utilisateur et obtenir des informations supplémentaires pour votre processus d'enquête.

• Si nous regardons les images capturées, nous pouvons voir qu'il s'agit d'un administrateur dont le compte a été compromis. Nous sommes en mesure de tirer cette conclusion en voyant qu'il a eu plusieurs échecs de connexion à partir d'une adresse IP TOR et a tenté d'exfiltrer des données par son alerte de téléchargement en masse.
• Maintenant que nous avons suffisamment d'informations pour déduire que l'alerte est vraie. Nous pouvons résoudre l'alerte par les options qui s'offrent à nous. Dans ce cas, la meilleure approche serait de suspendre l'utilisateur puisque son compte est compromis.

• Cliquez sur Résoudre et écrivez comment vous avez résolu l'alerte

Réduire les faux positifs

Les politiques de détection d'anomalies sont déclenchées lorsqu'il s'agit de comportements inhabituels effectués par les utilisateurs de votre environnement. Microsoft Cloud App Security a une période d'apprentissage où il utilise l'analyse comportementale des entités ainsi que l'apprentissage automatique pour comprendre le comportement « normal » de vos utilisateurs. Utilisez le curseur de sensibilité pour décider de la sensibilité de cette stratégie en plus de définir des stratégies spécifiques pour un groupe donné uniquement.

Par exemple, pour réduire le nombre de faux positifs dans l'alerte de voyage impossible, vous pouvez régler le curseur de sensibilité sur faible. Si vous avez des utilisateurs dans votre organisation qui sont des voyageurs d'affaires fréquents, vous pouvez les ajouter à un groupe d'utilisateurs et sélectionner ce groupe dans la portée de la politique.

Ajoutez votre adresse IP d'entreprise et vos plages VPN , vous verrez moins d'alertes concernant les voyages impossibles et les pays peu fréquents.

Cliquez sur Paramètres suivi des plages d'adresses IP
Nommez la plage
Saisissez la plage d'adresses IP
Sélectionnez une catégorie
Ajoutez une balise pour baliser des activités spécifiques à partir de cette plage

Applications OAuth

Il s'agit des applications installées par les utilisateurs professionnels dans votre organisation qui demandent l'autorisation d'accéder aux informations et aux données de l'utilisateur et de se connecter au nom de l'utilisateur dans d'autres applications cloud, telles que Microsoft 365, G Suite et Salesforce. Lorsque les utilisateurs installent ces applications, ils cliquent souvent sur Accepter sans examiner attentivement les détails de l'invite, y compris l'octroi d'autorisations à l'application.

Vous aurez la possibilité d'interdire et de révoquer l'accès à ces applications.

Many users grant access to their Microsoft 365, G-Suite and Salesforce corporate accounts when trying to access an OAuth application. The issue arises is that IT has usually had no visibility into these applications or what the risk level associated is. Cloud App Security gives you the capability to discover the OAuth applications your users have installed and which corporate account they’re using to login. Once you discover which OAuth apps are being used by which account, you can allow or ban access right in the portal.

Manage OAuth Apps

The OAuth page contains information regarding which applications your users are granting access to using their corporate Microsoft 365, Salesforce and G-Suite credentials.

Ban or approve and app:

• Go to the “Microsoft Cloud App Security Portal” -> Click on “Investigate” -> Click on “OAuth Apps“
• Click on the “App Drawer” to view additional information on each application and the permission that was granted
• You can ban or approve the app by clicking either the approve or ban icon

Note: If you decide to ban an app, you can notify the user that the app they installed and provided permissions to is banned and can add a custom notification message.

Revoke App

This functionality is only available for G-Suite and Salesforce connected applications.

• On the OAuth apps page -> click on the three dots to the very right of the app row
• Click on Revoke app

OAuth Policies

OAuth policies notify you when an OAuth app is discovered that meets the specific criteria.

Follow this link on directions to create OAuth app policies.

CASB for Cloud Platforms

Permissions: Global Admin

Note: The Azure AD Global role doesn’t automatically provide privileged users with access to Azure subscriptions.

Elevate permissions to privileged users to add your Azure subscriptions – after you add the subscriptions make sure to disable the elevation.

To improve your cloud security posture, add your azure subscriptions into Cloud App Security; the integration with Azure Security Center will notify you when there are missing configurations and security controls. You’ll be able to identify anomalies in your environment and pivot to the Azure Security portal to apply these recommendations and solve for vulnerabilities.

To learn more about the integration with Azure Security Center click here.

Real-Time Monitoring and Control

Permissions: Security Admin or Global Admin

• Conditional access app control utilizes a reverse proxy architecture and is uniquely integrated with Azure AD’s Conditional Access (CA).
• Azure AD Conditional Access allows you to enforce access controls on your organization’s apps based on certain conditions.
• The conditions define the ‘who’ (for example a user, or group of users), the ‘what’ (which cloud apps) and the ‘where’ (which locations and networks) a conditional access policy is applied to.
• After you’ve determined the conditions, you can route users to the MS Cloud App Security where you can protect data with Conditional Access App Control by applying access and session controls.
• Conditional access app control enables user app access and sessions to be monitored and controlled in real time based on access and session policies.
• Access policies are used for PC and mobile devices and session policies are used for browser sessions.

Access and Session policies give you the following capabilities:

• Block on download
• Protect on download
• Prevent documents copy/print
• Monitor low-trust sessions
• Block Access
• Create read-only mode
• Restrict user sessions from non-corporate network
• Block upload

Azure Portal – Azure Active Directory

• Go to “Azure Active Directory” (AAD) under “Protect”, click on “Conditional Access“

• Create a Policy within AAD to enable Conditional Apps
• Assign a test user group and assign one Cloud App (SharePoint or 3rd party app that’s SSO configured) to get started during testing
• Click on Session and click on “Use Conditional Access App Control”
• Select “Use custom policy” which will route the session through the Microsoft Cloud App Security Portal

• Once you created the policy, make sure to log out of each configured app and log back in.
• Log back into the CAS portal, go into Settings and click on Conditional Access App Control

• The configured applications should show up in the portal as Conditional Access App Control apps.

Creating a Session Policy

We’ll be creating a session policy using a template to monitor all activities to get started.

Create additional policies using the preset templates to test the different controls available.

• Go to the “Cloud App Security Portal“
• Click on “Control” and then “Policies“
• Create “Policy” and pick “Session Policy“

• Select the template to Monitor all activities

• Click Create

Microsoft Cloud App Security License

The price for commercial licenses for Microsoft Cloud App Security varies by program, region and agreement type. In the Direct channel, there are ERP standalone list prices. Please see details on the pricing configurations here. Additionally, if customers want to use the Conditional Access App Control feature of Microsoft Cloud App Security, they must also have at least an Azure Active Directory Premium P1 (AAD P1) license for all users they intend to enable for this feature.

Licensing plans available to US government customers that include Microsoft Cloud App Security are described in the licensing tables below. Additional details can be found in our licensing and pricing descriptions:

• Microsoft 365 US Government
• Microsoft 365 Government
• Enterprise Mobility + Security for US Government

At the end of this, you should have an understanding about information protection, real-time monitoring and threat protection capabilities of Microsoft 365 Cloud App Security.

Now I’d like to hear from you:

Which strategy from today’s post are you going to try first? Or maybe I didn’t mention one of your favorite cloud app security tips.

Either way, let me know by leaving a comment below right now.

Want to improve your Exchange Online experience for better productivity? Check out the tips and tricks mentioned here.