Keselamatan Apl Awan Microsoft: Panduan Definitif (2022)

Ingin meningkatkan perlindungan untuk aplikasi awan anda?

Kemudian anda berada di tempat yang betul.

Kerana hari ini saya akan menunjukkan kepada anda teknik tepat yang saya gunakan untuk mengekalkan keterlihatan apl awan saya.

1 Apakah itu Microsoft Cloud App Security?

2 Bagaimanakah Keselamatan Aplikasi Awan Microsoft Berfungsi?

2.1 Penemuan

2.2 Sanctioning dan un-sanctioning

2.3 Penyambung Apl

2.4 Penetapan Dasar

3 Apakah yang disediakan oleh Microsoft Cloud App Security?

4 Penemuan

4.1 Bagaimana untuk membuat laporan penemuan baharu?

5 Kawalan Data

5.1 Membuat Dasar Penemuan Apl

6 Buat Dasar Fail

6.1 Bagaimana untuk Mencipta Dasar Fail?

7 Perlindungan Ancaman

7.1 Mewujudkan Dasar Aktiviti

8 Pengesanan Perisian Hasad

9 Menyiasat dan Membaiki Makluman

9.1 Mengurangkan Positif Palsu

9.2 Aplikasi OAuth

9.3 Urus Apl OAuth

9.3.1 Larang atau luluskan dan aplikasikan:

9.3.2 Batalkan Apl

9.3.3 Dasar OAuth

10 CASB untuk Platform Awan

11 Pemantauan dan Kawalan Masa Nyata

12 Portal Azure – Direktori Aktif Azure

13 Mewujudkan Dasar Sesi

14 Lesen Keselamatan Aplikasi Awan Microsoft

Apakah itu Microsoft Cloud App Security?

• Microsoft Cloud App Security ialah Microsoft CASB (Cloud Access Security Broker) dan merupakan komponen penting bagi timbunan Microsoft Cloud Security. Ia merupakan penyelesaian komprehensif yang boleh membantu organisasi anda semasa anda bergerak untuk memanfaatkan sepenuhnya janji aplikasi awan tetapi mengekalkan kawalan anda melalui keterlihatan yang lebih baik ke dalam aktiviti.
• Ia juga membantu meningkatkan perlindungan data kritikal merentas aplikasi awan (Microsoft dan pihak ketiga).
• Dengan alatan yang membantu mendedahkan bayangan IT, menilai risiko, menguatkuasakan dasar, menyiasat aktiviti dan menghentikan ancaman, organisasi anda boleh beralih ke awan dengan lebih selamat sambil mengekalkan kawalan data kritikal.

Bagaimanakah Keselamatan Aplikasi Awan Microsoft Berfungsi?

Penemuan

Cloud discovery menggunakan log trafik anda untuk menemui dan menganalisis apl awan yang sedang digunakan. Anda boleh memuat naik fail log secara manual untuk analisis daripada tembok api dan proksi anda, atau anda boleh memilih muat naik automatik.

Sanctioning dan un-sanctioning

• MS Cloud App Security membolehkan anda menyekat/menyekat apl dalam organisasi anda, menggunakan katalog aplikasi Cloud.
• Katalog apl Cloud menilai risiko untuk apl awan anda berdasarkan pensijilan kawal selia, piawaian industri dan amalan terbaik.
• Anda kemudiannya boleh menyesuaikan markah dan pemberat pelbagai parameter mengikut keperluan organisasi anda.
• Berdasarkan markah ini, Microsoft Cloud App Security memberitahu anda tentang betapa berisikonya apl itu, mengikut lebih 50 faktor risiko yang mungkin menjejaskan persekitaran anda.

Penyambung Apl

• Penyambung apl memanfaatkan API yang disediakan oleh pelbagai penyedia apl awan untuk membolehkan awan Keselamatan Apl Awan Microsoft berintegrasi dengan apl awan lain dan meluaskan kawalan dan perlindungan. Ini membolehkan Microsoft 365 Cloud App Security mengeluarkan maklumat terus daripada apl awan untuk analisis.
• Untuk menyambungkan apl dan melanjutkan perlindungan, pentadbir apl membenarkan MS Cloud App Security untuk mengakses apl, dan kemudian Cloud App Security menanyakan apl untuk log aktiviti dan mengimbas data, akaun dan kandungan awan.
• Microsoft 365 Cloud App Security kemudiannya boleh menguatkuasakan dasar, mengesan ancaman dan menyediakan tindakan tadbir urus untuk menyelesaikan isu.

Penetapan Dasar

• Dasar membolehkan anda menentukan cara anda mahu pengguna anda berkelakuan dalam awan. Ia membolehkan anda mengesan tingkah laku berisiko, pelanggaran atau titik data yang mencurigakan dan aktiviti dalam persekitaran awan anda, dan, jika perlu, untuk menyepadukan proses pemulihan untuk mencapai pengurangan risiko yang lengkap.
• Terdapat berbilang jenis dasar yang berkait dengan pelbagai jenis maklumat yang ingin anda kumpulkan tentang persekitaran awan anda dan jenis tindakan pemulihan yang mungkin anda ingin lakukan.

Apakah yang disediakan oleh Microsoft Cloud App Security?

Penemuan

Menemui aplikasi yang sedang digunakan di seluruh organisasi hanyalah langkah pertama dalam memastikan data korporat yang sensitif dilindungi. Memahami kes penggunaan, mengenal pasti pengguna teratas dan menentukan risiko yang dikaitkan dengan setiap aplikasi adalah semua komponen penting untuk memahami postur risiko keseluruhan organisasi. Microsoft Cloud App Security menyediakan pengesanan risiko berterusan, analitik dan pelaporan yang berkuasa tentang pengguna, corak penggunaan, muat naik/muat turun trafik dan transaksi supaya anda boleh mengenal pasti anomali dengan segera.

Bagaimana untuk membuat laporan penemuan baharu?

• Akses portal " Microsoft Defender for Cloud Apps" .
• Di sebelah kiri, pilih Discover dan Cloud Discovery papan pemuka.

• Seterusnya, pilih " Buat laporan baharu "

Seterusnya, masukkan butiran yang anda mahu dan pilih " Cipta "

Nota : Analisis pembuatan laporan mengambil masa sehingga 24 jam untuk diproses

Kawalan Data

Buat dasar penemuan apl awan untuk memberi anda keupayaan untuk dimaklumkan apabila apl baharu ditemui sama ada berisiko, tidak patuh atau arah aliran. Mulakan dengan menggunakan templat terbina dalam untuk membuat dasar penemuan apl untuk apl berisiko dan volum tinggi. Konfigurasi boleh dilaraskan jika perlu.

• Apl volum tinggi baharu – makluman apabila apl baharu ditemui yang mempunyai jumlah trafik harian melebihi 500 MB
• Apl berisiko – makluman apabila apl baharu ditemui dengan skor risiko lebih rendah daripada 6 dan yang digunakan oleh lebih daripada 50 pengguna dengan jumlah penggunaan harian melebihi 50 MB

Setelah dasar dibuat, anda akan dimaklumkan apabila aplikasi dengan volum tinggi dan berisiko tinggi ditemui. Ini akan membolehkan anda memantau aplikasi dalam rangkaian anda dengan cekap dan berterusan.

Membuat Dasar Penemuan Apl

• Pergi ke " Portal Keselamatan Apl Awan "
• Klik pada " Kawalan" dan kemudian "Dasar "
• Buat "Dasar" dan pilih "Dasar Penemuan Apl "

• Pilih templat untuk apl volum tinggi baharu

• Tatal ke bawah dan klik "Buat "

Buat Dasar Fail

• Dasar fail ialah alat yang hebat untuk mencari ancaman kepada dasar perlindungan maklumat anda, contohnya mencari lokasi tempat pengguna menyimpan maklumat sensitif, nombor kad kredit dan fail ICAP pihak ketiga dalam awan anda.
• Dengan Cloud App Security, anda bukan sahaja dapat mengesan fail yang tidak diingini ini yang disimpan dalam awan anda yang menyebabkan anda terdedah, tetapi anda boleh mengambil tindakan segera untuk menghalangnya daripada mengikuti jejak mereka dan mengunci fail yang menimbulkan ancaman.
• Menggunakan kuarantin Pentadbiran, anda boleh melindungi fail anda dalam awan dan menyelesaikan masalah, serta mengelakkan kebocoran pada masa hadapan daripada berlaku.
• Gunakan dasar fail untuk mengesan perkongsian maklumat dan mengimbas maklumat sulit dalam aplikasi awan anda.

Cipta dasar fail berikut untuk mendapatkan keterlihatan tentang cara maklumat digunakan dalam organisasi anda.

• Fail yang mengandungi PII dikesan dalam awan (enjin DLP terbina dalam) – makluman apabila fail yang mengandungi maklumat pengenalan peribadi (PII) dikesan oleh enjin pencegahan kehilangan data (DLP) terbina dalam kami dalam apl awan yang dibenarkan.
• Fail dikongsi dengan domain yang tidak dibenarkan – maklumkan apabila fail dikongsi dengan domain yang tidak dibenarkan (seperti pesaing anda).
• Fail dikongsi dengan alamat e-mel peribadi – maklumkan apabila fail dikongsi dengan alamat e-mel peribadi pengguna.

Gunakan templat pratetap untuk memulakan, semak fail dalam tab dasar yang dipadankan. Dasar skop ke tapak SharePoint/OneDrive tunggal untuk memahami cara dasar tersebut berfungsi sebelum menambah aplikasi atau tapak tambahan.

Bagaimana untuk Membuat Dasar Fail?

• Pergi ke " Portal Keselamatan Aplikasi Awan Microsoft "
• Klik pada " Kawalan dan kemudian "Dasar "
• Buat " Dasar dan pilih " Dasar Fail "

• Pilih templat untuk Fail yang mengandungi PII yang dikesan dalam awan (enjin DLP terbina dalam)
• Skopnya ke bawah ke SharePoint dan OneDrive & Folder

• Klik buat

Ikuti langkah yang sama dan gunakan templat yang dinyatakan di atas.

Untuk maklumat tambahan tentang dasar fail, ikuti pautan ini .

Perlindungan Ancaman

Kebenaran : Pentadbir Global, Pentadbir Keselamatan atau Pentadbir Kumpulan Pengguna

Membuat dasar aktiviti boleh membantu anda mengesan penggunaan berniat jahat ke atas pengguna akhir atau akaun istimewa atau petunjuk kemungkinan sesi terjejas.

Mencipta Dasar Aktiviti

Ikuti pautan ini untuk mengetahui lebih lanjut tentang dasar aktiviti.

• Muat turun beramai-ramai oleh seorang pengguna – dasar ini akan memberi anda keterlihatan kepada kemungkinan exfiltration data. Secara lalai, dasar ini juga akan memaklumkan tentang penyegerakan klien OneDrive
• Berbilang percubaan log masuk pengguna yang gagal ke apl – kemungkinan serangan brute force atau akaun terjejas.
• Log masuk dari Alamat IP yang berisiko – kemungkinan akaun terjejas.
• Potensi aktiviti perisian tebusan – amaran apabila pengguna memuat naik fail ke awan yang mungkin dijangkiti perisian tebusan.

Pengesanan Perisian Hasad

• Pengesanan ini mengenal pasti fail berniat jahat dalam storan awan anda, sama ada ia daripada apl Microsoft anda atau apl pihak ketiga.
• Microsoft Cloud App Security menggunakan perisikan ancaman Microsoft untuk mengenali sama ada fail tertentu dikaitkan dengan serangan perisian hasad yang diketahui dan berpotensi berniat jahat.
• Dasar terbina dalam ini dilumpuhkan secara lalai.
• Tidak setiap fail diimbas, tetapi heuristik digunakan untuk mencari fail yang berpotensi berisiko. Selepas fail dikesan, anda kemudian boleh melihat senarai fail yang Dijangkiti.
• Klik pada nama fail perisian hasad dalam laci fail untuk membuka laporan perisian hasad yang memberikan anda maklumat tentang jenis perisian hasad yang dijangkiti fail tersebut.

Nota : Pengesanan perisian hasad dilumpuhkan secara lalai. Pastikan untuk membolehkannya dimaklumkan mengenai kemungkinan fail yang dijangkiti.

Menyiasat dan Membaiki Makluman

Siasat dan tentukan sifat pelanggaran yang berkaitan dengan amaran. Cuba fahami sama ada ia merupakan pelanggaran yang serius, boleh dipersoalkan atau tingkah laku anomali bagi pengguna. Siasat lebih lanjut dengan melihat huraian amaran dan perkara yang dicetuskan serta melihat aktiviti yang serupa.

Jika anda mengetepikan makluman, adalah penting untuk memahami sebab ia tidak penting atau jika ia adalah positif palsu. Jika terlalu banyak bunyi yang masuk, pastikan anda menyemak dan menala dasar yang mencetuskan amaran.

• Dalam " Portal Keselamatan Aplikasi Awan Microsoft " - Pergi ke "Makluman "

• Klik pada Makluman yang anda ingin siasat. Dalam contoh ini, kami sedang menyiasat seorang pengguna yang mempunyai beberapa percubaan log masuk yang gagal yang boleh menjadi tanda kekerasan dan identiti yang terjejas.
• Baca huraian amaran dan lihat butiran yang diberikan untuk melihat sama ada apa-apa yang kelihatan mencurigakan.
• Kami melihat bahawa pengguna ini adalah pentadbir dan telah mempunyai lebih 12 log masuk yang gagal. Terdapat kemungkinan penyerang cuba menjejaskan akaun ini.

• Klik pada ' Lihat semua aktiviti pengguna ' untuk melihat aktiviti oleh pengguna ini untuk mendapatkan maklumat tambahan untuk proses penyiasatan anda.

• Jika kita melihat imej yang ditangkap, kita dapat melihat bahawa dia seorang pentadbir yang akaunnya telah terjejas. Kami dapat membuat kesimpulan itu dengan melihat bahawa dia mempunyai berbilang log masuk yang gagal daripada alamat IP TOR dan cuba mengeksfiltrasi data melalui amaran muat turun besar-besarannya.
• Sekarang kita mempunyai maklumat yang mencukupi untuk membuat kesimpulan bahawa amaran itu adalah benar. Kami boleh menyelesaikan makluman dengan pilihan yang tersedia untuk kami. Dalam kes ini, pendekatan terbaik ialah menggantung pengguna kerana akaunnya terjejas.

• Klik pada Selesaikan dan tulis tentang cara anda menyelesaikan makluman

Mengurangkan Positif Palsu

Dasar pengesanan anomali dicetuskan apabila ia merupakan tingkah laku luar biasa yang dilakukan oleh pengguna dalam persekitaran anda. Microsoft Cloud App Security mempunyai tempoh pembelajaran di mana ia menggunakan analisis tingkah laku entiti serta pembelajaran mesin untuk memahami gelagat " biasa " pengguna anda. Gunakan peluncur sensitiviti untuk menentukan sensitiviti dasar tersebut selain daripada skop dasar khusus untuk kumpulan tertentu sahaja.

Sebagai contoh, untuk mengurangkan bilangan positif palsu dalam amaran perjalanan mustahil anda boleh menetapkan peluncur sensitiviti kepada rendah. Jika anda mempunyai pengguna dalam organisasi anda yang sering mengembara korporat, anda boleh menambahkan mereka pada kumpulan pengguna dan memilih kumpulan itu dalam skop dasar.

Tambahkan alamat IP korporat dan julat VPN anda, anda akan melihat lebih sedikit makluman berkaitan dengan perjalanan mustahil dan negara yang jarang berlaku.

Klik pada Tetapan diikuti dengan julat Alamat IP
Namakan julat
Masukkan julat alamat IP
Pilih Kategori
Tambah tag untuk menandakan aktiviti khusus daripada julat ini

Aplikasi OAuth

Ini ialah aplikasi yang dipasang oleh pengguna perniagaan dalam organisasi anda meminta kebenaran untuk mengakses maklumat dan data pengguna serta log masuk bagi pihak pengguna dalam apl awan lain, seperti Microsoft 365, G Suite dan Salesforce. Apabila pengguna memasang apl ini, mereka sering mengklik terima tanpa menyemak butiran dalam gesaan, termasuk memberikan kebenaran kepada apl itu.

Anda akan mempunyai keupayaan untuk melarang dan membatalkan akses kepada apl ini.

Ramai pengguna memberikan akses kepada akaun korporat Microsoft 365, G-Suite dan Salesforce mereka apabila cuba mengakses aplikasi OAuth. Isu yang timbul ialah IT biasanya tidak mempunyai keterlihatan ke dalam aplikasi ini atau tahap risiko yang dikaitkan. Cloud App Security memberi anda keupayaan untuk menemui aplikasi OAuth yang telah dipasang oleh pengguna anda dan akaun korporat yang mereka gunakan untuk log masuk. Sebaik sahaja anda menemui apl OAuth yang sedang digunakan oleh akaun mana, anda boleh membenarkan atau melarang akses terus dalam portal.

Urus Apl OAuth

Halaman OAuth mengandungi maklumat mengenai aplikasi yang pengguna anda berikan akses kepada menggunakan bukti kelayakan Microsoft 365, Salesforce dan G-Suite korporat mereka.

Larang atau luluskan dan apl:

• Pergi ke " Portal Keselamatan Aplikasi Awan Microsoft " -> Klik pada " Siasat " -> Klik pada " Apl OAuth "
• Klik pada " App Drawer" untuk melihat maklumat tambahan pada setiap permohonan dan kebenaran yang diberikan
• Anda boleh melarang atau meluluskan apl dengan mengklik sama ada ikon meluluskan atau larangan

Nota : Jika anda memutuskan untuk mengharamkan apl, anda boleh memberitahu pengguna bahawa apl yang mereka pasang dan berikan kebenaran telah diharamkan dan boleh menambah mesej pemberitahuan tersuai.

Batalkan Apl

Fungsi ini hanya tersedia untuk aplikasi bersambung G-Suite dan Salesforce.

• Pada halaman apl OAuth -> klik pada tiga titik di sebelah kanan baris apl
• Klik pada Batalkan apl

Dasar OAuth

Dasar OAuth memberitahu anda apabila apl OAuth ditemui yang memenuhi kriteria tertentu.

Ikut pautan ini tentang arahan untuk membuat dasar apl OAuth.

CASB untuk Platform Awan

Kebenaran : Pentadbir Global

Nota : Peranan Azure AD Global tidak secara automatik memberikan pengguna istimewa akses kepada langganan Azure.

Tingkatkan kebenaran kepada pengguna istimewa untuk menambah langganan Azure anda – selepas anda menambah langganan pastikan anda melumpuhkan ketinggian.

Untuk meningkatkan postur keselamatan awan anda, tambahkan langganan azure anda ke dalam Cloud App Security; penyepaduan dengan Pusat Keselamatan Azure akan memberitahu anda apabila tiada konfigurasi dan kawalan keselamatan. Anda akan dapat mengenal pasti anomali dalam persekitaran anda dan berputar ke portal Azure Security untuk menggunakan pengesyoran ini dan menyelesaikan kelemahan.

Untuk mengetahui lebih lanjut mengenai penyepaduan dengan Pusat Keselamatan Azure klik di sini .

Pemantauan dan Kawalan Masa Nyata

Kebenaran : Pentadbir Keselamatan atau Pentadbir Global

• Kawalan aplikasi akses bersyarat menggunakan seni bina proksi terbalik dan disepadukan secara unik dengan Akses Bersyarat (CA) Azure AD.
• Akses Bersyarat Azure AD membolehkan anda menguatkuasakan kawalan akses pada apl organisasi anda berdasarkan syarat tertentu.
• The conditions define the ‘who’ (for example a user, or group of users), the ‘what’ (which cloud apps) and the ‘where’ (which locations and networks) a conditional access policy is applied to.
• After you’ve determined the conditions, you can route users to the MS Cloud App Security where you can protect data with Conditional Access App Control by applying access and session controls.
• Conditional access app control enables user app access and sessions to be monitored and controlled in real time based on access and session policies.
• Access policies are used for PC and mobile devices and session policies are used for browser sessions.

Access and Session policies give you the following capabilities:

• Block on download
• Protect on download
• Prevent documents copy/print
• Monitor low-trust sessions
• Sekat Akses
• Cipta mod baca sahaja
• Hadkan sesi pengguna daripada rangkaian bukan korporat
• Sekat muat naik

Portal Azure – Direktori Aktif Azure

• Pergi ke “ Azure Active Directory ” (AAD) di bawah “ Protect ” , klik pada “ Conditional Access “

• Buat Dasar dalam AAD untuk mendayakan Apl Bersyarat
• Tetapkan kumpulan pengguna ujian dan tetapkan satu Apl Awan (SharePoint atau apl pihak ketiga yang dikonfigurasikan SSO) untuk bermula semasa ujian
• Klik pada Sesi dan klik pada " Gunakan Kawalan Apl Akses Bersyarat "
• Pilih " Gunakan dasar tersuai " yang akan menghalakan sesi melalui Portal Keselamatan Apl Awan Microsoft

• Sebaik sahaja anda membuat dasar, pastikan anda log keluar daripada setiap apl yang dikonfigurasikan dan log masuk semula.
• Log masuk semula ke portal CAS, pergi ke Tetapan dan klik pada Kawalan Apl Akses Bersyarat

• Aplikasi yang dikonfigurasikan harus dipaparkan dalam portal sebagai aplikasi Kawalan Apl Akses Bersyarat.

Mencipta Dasar Sesi

Kami akan membuat dasar sesi menggunakan templat untuk memantau semua aktiviti untuk bermula.

Buat dasar tambahan menggunakan templat pratetap untuk menguji kawalan berbeza yang tersedia.

• Pergi ke " Portal Keselamatan Apl Awan "
• Klik pada " Kawalan" dan kemudian "Dasar "
• Buat "Dasar " dan pilih " Dasar Sesi "

• Pilih templat untuk Memantau semua aktiviti

• Klik Buat

Lesen Keselamatan Apl Microsoft Cloud

Harga untuk lesen komersial untuk Microsoft Cloud App Security berbeza mengikut program, wilayah dan jenis perjanjian. Dalam saluran Langsung, terdapat harga senarai kendiri ERP. Sila lihat butiran tentang konfigurasi harga di sini . Selain itu, jika pelanggan ingin menggunakan ciri Kawalan Apl Akses Bersyarat bagi Microsoft Cloud App Security, mereka juga mesti mempunyai sekurang-kurangnya lesen Azure Active Directory Premium P1 (AAD P1) untuk semua pengguna yang mereka ingin dayakan untuk ciri ini.

Pelan pelesenan tersedia untuk pelanggan kerajaan AS yang termasuk Microsoft Cloud App Security diterangkan dalam jadual pelesenan di bawah. Butiran tambahan boleh didapati dalam pelesenan dan perihalan harga kami:

• Microsoft 365 Kerajaan AS
• Kerajaan Microsoft 365
• Mobiliti Perusahaan + Keselamatan untuk Kerajaan AS

Pada akhir ini, anda harus mempunyai pemahaman tentang perlindungan maklumat, pemantauan masa nyata dan keupayaan perlindungan ancaman Microsoft 365 Cloud App Security.

Sekarang saya ingin mendengar daripada anda:

Strategi manakah daripada siaran hari ini yang akan anda cuba dahulu? Atau mungkin saya tidak menyebut salah satu petua keselamatan aplikasi awan kegemaran anda.

Walau apa pun, beritahu saya dengan meninggalkan ulasan di bawah sekarang.

Ingin meningkatkan pengalaman Exchange Online anda untuk produktiviti yang lebih baik? Semak petua dan petua yang dinyatakan di sini .