Microsoft Cloud App Security: la guida definitiva (2022)

Vuoi migliorare la protezione per le tue applicazioni cloud?

Allora sei nel posto giusto.

Perché oggi ti mostrerò le tecniche esatte che utilizzo per mantenere la visibilità delle mie app cloud.

1 Che cos'è Microsoft Cloud App Security?

2 Come funziona la sicurezza delle app Microsoft Cloud?

2.1 Scoperta

2.2 Sanzione e non sanzione

2.3 Connettori per app

2.4 Impostazione della politica

3 Cosa offre la sicurezza delle app cloud Microsoft?

4 Scoperta

4.1 Come creare un nuovo report di individuazione?

5 Controllo dei dati

5.1 Creazione di una policy di rilevamento delle app

6 Creare criteri di file

6.1 Come creare una politica di file?

7 Protezione dalle minacce

7.1 Creazione di criteri di attività

8 Rilevamento malware

9 Avvisi di indagine e correzione

9.1 Ridurre i falsi positivi

9.2 Applicazioni OAuth

9.3 Gestire le app OAuth

9.3.1 Ban o approva e app:

9.3.2 Revoca dell'app

9.3.3 Politiche OAuth

10 CASB per piattaforme cloud

11 Monitoraggio e controllo in tempo reale

12 Portale di Azure – Azure Active Directory

13 Creazione di una politica di sessione

14 Licenza di sicurezza dell'app Microsoft Cloud

Che cos'è Microsoft Cloud App Security?

• Microsoft Cloud App Security è Microsoft CASB (Cloud Access Security Broker) ed è un componente critico dello stack Microsoft Cloud Security. È una soluzione completa che può aiutare la tua organizzazione mentre ti muovi per sfruttare appieno la promessa delle applicazioni cloud, ma ti mantiene il controllo grazie a una migliore visibilità dell'attività.
• Aiuta anche ad aumentare la protezione dei dati critici nelle applicazioni cloud (Microsoft e terze parti).
• Con strumenti che aiutano a scoprire lo shadow IT, valutare i rischi, applicare policy, indagare sulle attività e bloccare le minacce, la tua organizzazione può passare al cloud in modo più sicuro mantenendo il controllo dei dati critici.

Come funziona la sicurezza delle app cloud Microsoft?

Scoperta

Il rilevamento del cloud utilizza i registri del traffico per scoprire e analizzare quali app cloud sono in uso. Puoi caricare manualmente i file di registro per l'analisi dai tuoi firewall e proxy, oppure puoi scegliere il caricamento automatico.

Sanzioni e non sanzioni

• MS Cloud App Security ti consente di sanzionare/bloccare le app nella tua organizzazione, utilizzando il catalogo delle app cloud.
• Il catalogo delle app cloud valuta i rischi per le tue app cloud in base a certificazioni normative, standard di settore e best practice.
• È quindi possibile personalizzare i punteggi e i pesi dei vari parametri in base alle esigenze della propria organizzazione.
• Sulla base di questi punteggi, Microsoft Cloud App Security ti consente di sapere quanto è rischiosa l'app, in base a oltre 50 fattori di rischio che potrebbero influire sul tuo ambiente.

Connettori per app

• I connettori delle app sfruttano le API fornite da vari provider di app cloud per consentire al cloud Microsoft Cloud App Security di integrarsi con altre app cloud ed estendere il controllo e la protezione. Ciò consente a Microsoft 365 Cloud App Security di estrarre le informazioni direttamente dalle app cloud per l'analisi.
• Per connettere un'app ed estendere la protezione, l'amministratore dell'app autorizza MS Cloud App Security ad accedere all'app, quindi Cloud App Security interroga l'app per i registri delle attività ed esegue la scansione di dati, account e contenuto cloud.
• Microsoft 365 Cloud App Security può quindi applicare criteri, rilevare le minacce e fornire azioni di governance per la risoluzione dei problemi.

Impostazione della politica

• I criteri ti consentono di definire il modo in cui desideri che i tuoi utenti si comportino nel cloud. Consentono di rilevare comportamenti rischiosi, violazioni o punti dati sospetti e attività nell'ambiente cloud e, se necessario, di integrare i processi di riparazione per ottenere una completa mitigazione del rischio.
• Esistono diversi tipi di criteri correlati ai diversi tipi di informazioni che si desidera raccogliere sul proprio ambiente cloud e ai tipi di azioni correttive che si desidera intraprendere.

Cosa offre la sicurezza delle app cloud Microsoft?

Scoperta

Scoprire quali applicazioni sono in uso in un'organizzazione è solo il primo passo per assicurarsi che i dati aziendali sensibili siano protetti. Comprendere i casi d'uso, identificare i principali utenti e determinare il rischio associato a ciascuna applicazione sono tutti componenti importanti per comprendere la posizione di rischio complessiva di un'organizzazione. Microsoft Cloud App Security offre rilevamento continuo dei rischi, analisi e report avanzati su utenti, modelli di utilizzo, traffico di caricamento/scaricamento e transazioni in modo da poter identificare immediatamente le anomalie.

Come creare un nuovo rapporto di scoperta?

• Accedi al portale " Microsoft Defender for Cloud Apps".
• A sinistra, seleziona Dashboard Discover e Cloud Discovery.

• Quindi, seleziona " Crea un nuovo rapporto "

Successivamente, inserisci i dettagli che desideri e seleziona " Crea "

Nota : l'elaborazione dell'analisi della creazione del rapporto richiede fino a 24 ore

Controllo dei dati

Crea criteri di rilevamento delle app cloud per darti la possibilità di essere avvisato quando vengono scoperte nuove app rischiose, non conformi o di tendenza. Inizia usando i modelli integrati per creare criteri di individuazione delle app per app rischiose e ad alto volume. La configurazione può essere modificata se necessario.

• Nuova app ad alto volume: avvisi quando vengono scoperte nuove app con un traffico giornaliero totale superiore a 500 MB
• App rischiosa: avvisi quando vengono scoperte nuove app con punteggio di rischio inferiore a 6 e utilizzata da più di 50 utenti con un utilizzo giornaliero totale di oltre 50 MB

Una volta creata la politica, riceverai una notifica quando viene rilevata un'applicazione con volume elevato e rischio elevato. Ciò ti consentirà di monitorare in modo efficiente e continuo le applicazioni nella tua rete.

Creazione di una policy di rilevamento delle app

• Vai al “ Portale di sicurezza delle app cloud ”
• Clicca su “ Controllo” e poi “Politiche ”
• Crea "Normativa" e seleziona "Normativa App Discovery "

• Seleziona il modello per una Nuova app ad alto volume

• Scorri verso il basso e fai clic su "Crea "

Crea criteri di file

• Le policy dei file sono un ottimo strumento per individuare le minacce alle policy di protezione delle informazioni, ad esempio per trovare posizioni in cui gli utenti archiviano informazioni riservate, numeri di carte di credito e file ICAP di terze parti nel cloud.
• Con Cloud App Security, non solo puoi rilevare questi file indesiderati archiviati nel cloud che ti rendono vulnerabile, ma puoi agire immediatamente per fermarli e bloccare i file che rappresentano una minaccia.
• Utilizzando la quarantena amministrativa, puoi proteggere i tuoi file nel cloud e risolvere i problemi, oltre a prevenire future perdite.
• Utilizza le policy dei file per rilevare la condivisione delle informazioni e scansionare le informazioni riservate nelle tue applicazioni cloud.

Crea i seguenti criteri di file per ottenere visibilità su come le informazioni vengono utilizzate all'interno della tua organizzazione.

• Un file contenente informazioni personali rilevate nel cloud (motore DLP integrato): avvisa quando un file contenente informazioni di identificazione personale (PII) viene rilevato dal nostro motore integrato di prevenzione della perdita di dati (DLP) in un'app cloud autorizzata.
• File condivisi con domini non autorizzati: avvisa quando il file è condiviso con un dominio non autorizzato (come il tuo concorrente).
• File condiviso con indirizzi e-mail personali: avviso quando un file viene condiviso con l'indirizzo e-mail personale di un utente.

Usa i modelli preimpostati per iniziare, rivedere i file nella scheda delle politiche corrispondenti. Definire l'ambito dei criteri in un singolo sito di SharePoint/OneDrive per comprendere come funzionano i criteri prima di aggiungere ulteriori applicazioni o siti.

Come creare una politica di file?

• Vai al " Portale Microsoft Cloud App Security "
• Clicca su “ Controllo e poi su “Politiche ”
• Crea " Politica e seleziona " Politica file "

• Seleziona il modello per un File contenente PII rilevati nel cloud (motore DLP integrato)
• Scorri fino a SharePoint e OneDrive e cartelle

• Fare clic su Crea

Segui gli stessi passaggi e utilizza i modelli sopra menzionati.

Per ulteriori informazioni sui criteri dei file, seguire questo collegamento .

Protezione dalle minacce

Autorizzazioni : amministratore globale, amministratore della sicurezza o amministratore del gruppo utenti

La creazione di un criterio di attività può aiutarti a rilevare l'uso dannoso di un utente finale o di un account privilegiato o un'indicazione di una possibile sessione compromessa.

Creazione di criteri di attività

Segui questo link per saperne di più sulle politiche di attività.

• Download di massa da parte di un singolo utente: questa politica ti darà visibilità sulla possibile esfiltrazione dei dati. Per impostazione predefinita, questo criterio avviserà anche sulle sincronizzazioni del client OneDrive
• Più tentativi di accesso utente non riusciti a un'app: possibile attacco di forza bruta o account compromesso.
• Accedi da un indirizzo IP rischioso – possibile account compromesso.
• Potenziale attività ransomware: avviso quando un utente carica file sul cloud che potrebbero essere infettati da ransomware.

Rilevamento malware

• Questo rilevamento identifica i file dannosi nel tuo spazio di archiviazione cloud, indipendentemente dal fatto che provengano dalle tue app Microsoft o da app di terze parti.
• Microsoft Cloud App Security utilizza l'intelligence sulle minacce di Microsoft per riconoscere se determinati file sono associati ad attacchi di malware noti e sono potenzialmente dannosi.
• Questo criterio integrato è disabilitato per impostazione predefinita.
• Non tutti i file vengono scansionati, ma l'euristica viene utilizzata per cercare file potenzialmente rischiosi. Dopo che i file sono stati rilevati, è quindi possibile visualizzare un elenco di file infetti.
• Fare clic sul nome del file del malware nel cassetto dei file per aprire un rapporto sul malware che fornisce informazioni sul tipo di malware da cui è infetto il file.

Nota : il rilevamento del malware è disabilitato per impostazione predefinita. Assicurati di abilitarlo per ricevere avvisi su possibili file infetti.

Avvisi di indagine e correzione

Indagare e determinare la natura della violazione associata all'avviso. Cerca di capire se si tratta di una violazione grave, discutibile o di un comportamento anomalo per l'utente. Indagare ulteriormente esaminando la descrizione dell'avviso e ciò che è stato attivato, nonché osservando attività simili.

Se ignori gli avvisi, è importante capire perché non hanno importanza o se si tratta di un falso positivo. Se c'è troppo rumore in arrivo, assicurati di rivedere e ottimizzare la politica che attiva l'avviso.

• Nel “ Portale Microsoft Cloud App Security ” – Vai su “Avvisi ”

• Fai clic su un avviso su cui desideri indagare. In questo esempio, stiamo esaminando un singolo utente che ha avuto più tentativi di accesso non riusciti che potrebbero essere un segno di forza bruta e un'identità compromessa.
• Leggi la descrizione dell'avviso e guarda i dettagli forniti per vedere se qualcosa sembra sospetto.
• Vediamo che questo utente è un amministratore e ha avuto oltre 12 accessi non riusciti. È possibile che un utente malintenzionato stia tentando di compromettere questo account.

• Fare clic su " Visualizza tutte le attività dell'utente " per visualizzare le attività di questo utente e ottenere ulteriori informazioni per il processo di indagine.

• Se osserviamo le immagini acquisite, possiamo vedere che è un amministratore il cui account è stato compromesso. Siamo in grado di trarre questa conclusione vedendo che aveva più accessi non riusciti da un indirizzo IP TOR e ha cercato di esfiltrare i dati tramite il suo avviso di download di massa.
• Ora che abbiamo informazioni sufficienti per dedurre che l'avviso è vero. Possiamo risolvere l'avviso in base alle opzioni a nostra disposizione. In questo caso, l'approccio migliore sarebbe sospendere l'utente poiché il suo account è compromesso.

• Clicca su Risolvi e scrivi come hai risolto l'avviso

Ridurre i falsi positivi

I criteri di rilevamento delle anomalie vengono attivati ​​quando si tratta di comportamenti insoliti eseguiti dagli utenti nell'ambiente. Microsoft Cloud App Security prevede un periodo di apprendimento in cui utilizza l'analisi comportamentale delle entità e l'apprendimento automatico per comprendere il comportamento " normale " degli utenti. Utilizzare il dispositivo di scorrimento della sensibilità per decidere la sensibilità di tale criterio oltre a definire l'ambito di criteri specifici solo per un determinato gruppo.

Ad esempio, per ridurre il numero di falsi positivi all'interno dell'avviso di viaggio impossibile è possibile impostare il dispositivo di scorrimento della sensibilità su un valore basso. Se nella tua organizzazione sono presenti utenti che viaggiano frequentemente per lavoro, puoi aggiungerli a un gruppo di utenti e selezionare quel gruppo nell'ambito della policy.

Aggiungi il tuo indirizzo IP aziendale e gli intervalli VPN , vedrai meno avvisi in relazione a viaggi impossibili e paesi poco frequenti.

Fai clic su Impostazioni seguito da Intervalli di indirizzi IP
Assegna un nome all'intervallo
Inserisci l'intervallo di indirizzi IP
Seleziona una categoria
Aggiungi un tag per contrassegnare attività specifiche da questo intervallo

Applicazioni OAuth

Si tratta delle applicazioni installate dagli utenti aziendali nell'organizzazione che richiedono l'autorizzazione per accedere alle informazioni e ai dati dell'utente e accedere per conto dell'utente in altre app cloud, come Microsoft 365, G Suite e Salesforce. Quando gli utenti installano queste app, spesso fanno clic su Accetta senza esaminare attentamente i dettagli nella richiesta, inclusa la concessione delle autorizzazioni all'app.

Avrai la possibilità di vietare e revocare l'accesso a queste app.

Molti utenti concedono l'accesso ai propri account aziendali Microsoft 365, G-Suite e Salesforce quando tentano di accedere a un'applicazione OAuth. Il problema che sorge è che l'IT di solito non ha avuto visibilità su queste applicazioni o sul livello di rischio associato. Cloud App Security ti dà la possibilità di scoprire le applicazioni OAuth che i tuoi utenti hanno installato e quale account aziendale stanno usando per accedere. Dopo aver scoperto quali app OAuth vengono utilizzate da quale account, puoi consentire o vietare l'accesso direttamente nel portale.

Gestisci le app OAuth

La pagina OAuth contiene informazioni sulle applicazioni a cui gli utenti stanno concedendo l'accesso utilizzando le credenziali aziendali di Microsoft 365, Salesforce e G-Suite.

Ban o approva e app:

• Vai al " Portale Microsoft Cloud App Security " -> Fai clic su " Indaga" -> Fai clic su " App OAuth "
• Fare clic su " App Drawer" per visualizzare ulteriori informazioni su ciascuna applicazione e sull'autorizzazione concessa
• Puoi vietare o approvare l'app facendo clic sull'icona di approvazione o di divieto

Nota : se decidi di escludere un'app, puoi notificare all'utente che l'app che ha installato e a cui ha fornito le autorizzazioni è stata esclusa e puoi aggiungere un messaggio di notifica personalizzato.

Revoca app

Questa funzionalità è disponibile solo per le applicazioni connesse a G-Suite e Salesforce.

• Nella pagina delle app OAuth -> fai clic sui tre punti all'estrema destra della riga dell'app
• Fare clic su Revoca app

Politiche OAuth

I criteri OAuth ti avvisano quando viene rilevata un'app OAuth che soddisfa i criteri specifici.

Segui questo link sulle indicazioni per creare criteri per le app OAuth.

CASB per piattaforme cloud

Autorizzazioni : amministratore globale

Nota : il ruolo globale di Azure AD non fornisce automaticamente agli utenti con privilegi l'accesso alle sottoscrizioni di Azure.

Eleva le autorizzazioni agli utenti privilegiati per aggiungere le tue sottoscrizioni di Azure: dopo aver aggiunto le sottoscrizioni, assicurati di disabilitare l'elevazione.

Per migliorare la tua posizione di sicurezza nel cloud, aggiungi i tuoi abbonamenti Azure in Cloud App Security; l'integrazione con il Centro sicurezza di Azure ti avviserà quando mancano configurazioni e controlli di sicurezza. Potrai identificare le anomalie nel tuo ambiente e passare al portale di sicurezza di Azure per applicare questi consigli e risolvere le vulnerabilità.

Per saperne di più sull'integrazione con il Centro sicurezza di Azure fare clic qui .

Monitoraggio e controllo in tempo reale

Autorizzazioni : amministratore della sicurezza o amministratore globale

• Il controllo dell'app di accesso condizionale utilizza un'architettura proxy inverso ed è integrato in modo univoco con l'accesso condizionale (CA) di Azure AD.
• L'accesso condizionale di Azure AD consente di applicare i controlli di accesso alle app dell'organizzazione in base a determinate condizioni.
• Le condizioni definiscono il "chi" (ad esempio un utente o un gruppo di utenti), il "cosa" (quali app cloud) e il "dove" (quali posizioni e reti) viene applicato un criterio di accesso condizionato.
• Dopo aver determinato le condizioni, puoi indirizzare gli utenti a MS Cloud App Security, dove puoi proteggere i dati con il controllo dell'app di accesso condizionale applicando i controlli di accesso e di sessione.
• Il controllo dell'app di accesso condizionale consente di monitorare e controllare l'accesso e le sessioni dell'app utente in tempo reale in base ai criteri di accesso e sessione.
• I criteri di accesso vengono utilizzati per PC e dispositivi mobili e i criteri di sessione vengono utilizzati per le sessioni del browser.

I criteri di accesso e sessione offrono le seguenti funzionalità:

• Blocca al download
• Proteggi al download
• Impedisci la copia/stampa dei documenti
• Monitora le sessioni a bassa affidabilità
• Blocca l'accesso
• Crea modalità di sola lettura
• Limita le sessioni utente dalla rete non aziendale
• Blocca il caricamento

Portale di Azure: Azure Active Directory

• Vai su " Azure Active Directory " (AAD) sotto " Proteggi " , fai clic su " Accesso condizionale "

• Crea un criterio all'interno di AAD per abilitare le app condizionali
• Assegna un gruppo di utenti di test e assegna un'app cloud (SharePoint o app di terze parti configurata SSO) per iniziare durante il test
• Fare clic su Sessione e fare clic su " Usa controllo app di accesso condizionale "
• Seleziona " Usa criteri personalizzati " che indirizzerà la sessione tramite il Portale di sicurezza delle app Microsoft Cloud

• Dopo aver creato il criterio, assicurati di disconnettersi da ciascuna app configurata e di accedere nuovamente.
• Accedi nuovamente al portale CAS, vai in Impostazioni e fai clic su Controllo app di accesso condizionale

• Le applicazioni configurate dovrebbero essere visualizzate nel portale come app di controllo app di accesso condizionale.

Creazione di una politica di sessione

Creeremo una policy di sessione utilizzando un modello per monitorare tutte le attività per iniziare.

Crea criteri aggiuntivi utilizzando i modelli preimpostati per testare i diversi controlli disponibili.

• Vai al “ Portale di sicurezza delle app cloud ”
• Clicca su “ Controllo” e poi “Politiche ”
• Crea "Politica " e seleziona " Politica di sessione "

• Seleziona il modello per monitorare tutte le attività

• Fare clic su Crea

Licenza di sicurezza dell'app Microsoft Cloud

Il prezzo delle licenze commerciali per Microsoft Cloud App Security varia in base al programma, all'area geografica e al tipo di contratto. Nel canale Direct ci sono i prezzi di listino standalone ERP. Si prega di vedere i dettagli sulle configurazioni dei prezzi qui . Inoltre, se i clienti desiderano utilizzare la funzionalità Controllo app di accesso condizionale di Microsoft Cloud App Security, devono disporre anche di almeno una licenza di Azure Active Directory Premium P1 (AAD P1) per tutti gli utenti che intendono abilitare per questa funzionalità.

I piani di licenza disponibili per i clienti del governo degli Stati Uniti che includono Microsoft Cloud App Security sono descritti nelle tabelle delle licenze seguenti. Ulteriori dettagli possono essere trovati nelle nostre descrizioni delle licenze e dei prezzi:

• Microsoft 365 governo degli Stati Uniti
• Governo Microsoft 365
• Enterprise Mobility + Security per il governo degli Stati Uniti

Al termine, dovresti avere una conoscenza della protezione delle informazioni, del monitoraggio in tempo reale e delle funzionalità di protezione dalle minacce di Microsoft 365 Cloud App Security.

Ora vorrei sentirti:

Quale strategia del post di oggi proverai per prima? O forse non ho menzionato uno dei tuoi suggerimenti per la sicurezza delle app cloud preferiti.

In ogni caso, fammi sapere lasciando un commento qui sotto in questo momento.

Vuoi migliorare la tua esperienza di Exchange Online per una maggiore produttività? Dai un'occhiata ai suggerimenti e ai trucchi menzionati qui .