Microsoft Cloud App Security: de definitieve gids (2022)

Wilt u de bescherming van uw cloudapplicaties verbeteren?

Dan ben je hier aan het juiste adres.

Want vandaag ga ik je de exacte technieken laten zien die ik gebruik om de zichtbaarheid van mijn cloud-apps te behouden.

1 Wat is Microsoft Cloud App Security?

2 Hoe werkt Microsoft Cloud App Security?

2.1 Ontdekking

2.2 Sanctioneren en niet-sanctioneren

2.3 App-connectoren

2.4 Beleidsinstelling

3 Wat biedt Microsoft Cloud App Security?

4 ontdekking

4.1 Hoe maak ik een nieuw ontdekkingsrapport aan?

5 Gegevensbeheer

5.1 Een app-ontdekkingsbeleid maken

6 Bestandsbeleid maken

6.1 Hoe maak je een bestandsbeleid aan?

7 Bescherming tegen bedreigingen

7.1 Activiteitsbeleid maken

8 Malwaredetectie

9 Onderzoeken en oplossen van waarschuwingen

9.1 Het verminderen van valse positieven

9.2 OAuth-toepassingen

9.3 OAuth-apps beheren

9.3.1 Ban of goedkeuren en app:

9.3.2 App intrekken

9.3.3 OAuth-beleid

10 CASB voor cloudplatforms

11 Realtime bewaking en controle

12 Azure Portal – Azure Active Directory

13 Een sessiebeleid maken

14 Microsoft Cloud App Security-licentie

Wat is Microsoft Cloud App Security?

• Microsoft Cloud App Security is Microsoft CASB (Cloud Access Security Broker) en is een essentieel onderdeel van de Microsoft Cloud Security-stack. Het is een uitgebreide oplossing die uw organisatie kan helpen bij uw verhuizing om de belofte van cloud-applicaties ten volle te benutten, maar houdt u in controle door beter inzicht in de activiteit.
• Het helpt ook de bescherming van kritieke gegevens in cloudtoepassingen (Microsoft en 3e partijen) te verbeteren.
• Met tools die helpen schaduw-IT te ontdekken, risico's te beoordelen, beleid af te dwingen, activiteiten te onderzoeken en bedreigingen te stoppen, kan uw organisatie veiliger overstappen naar de cloud terwijl de controle over kritieke gegevens behouden blijft.

Hoe werkt Microsoft Cloud App Security?

Ontdekking

Cloud discovery gebruikt uw verkeerslogboeken om te ontdekken en analyseren welke cloud-apps in gebruik zijn. U kunt logbestanden handmatig uploaden voor analyse vanuit uw firewalls en proxy's, of u kunt kiezen voor automatisch uploaden.

Sanctioneren en niet-sanctioneren

• Met MS Cloud App Security kunt u apps in uw organisatie sanctioneren/blokkeren met behulp van de Cloud app-catalogus.
• De Cloud-app-catalogus beoordeelt het risico voor uw cloud-apps op basis van wettelijke certificeringen, industriestandaarden en best practices.
• Vervolgens kunt u de scores en de gewichten van verschillende parameters aanpassen aan de behoeften van uw organisatie.
• Op basis van deze scores laat Microsoft Cloud App Security u weten hoe riskant de app is, volgens meer dan 50 risicofactoren die van invloed kunnen zijn op uw omgeving.

App-connectoren

• App-connectoren maken gebruik van API's die worden geleverd door verschillende cloud-app-providers om de Microsoft Cloud App Security-cloud in staat te stellen te integreren met andere cloud-apps en controle en bescherming uit te breiden. Hierdoor kan Microsoft 365 Cloud App Security informatie rechtstreeks uit cloud-apps halen voor analyse.
• Om een ​​app te verbinden en de bescherming uit te breiden, geeft de app-beheerder MS Cloud App Security toegang tot de app, waarna Cloud App Security de app vraagt ​​naar activiteitenlogboeken en gegevens, accounts en cloudinhoud scant.
• Microsoft 365 Cloud App Security kan vervolgens beleid afdwingen, bedreigingen detecteren en beheeracties bieden voor het oplossen van problemen.

Beleidsinstelling

• Met beleidsregels kunt u bepalen hoe u wilt dat uw gebruikers zich in de cloud gedragen. Ze stellen u in staat om risicovol gedrag, overtredingen of verdachte datapunten en activiteiten in uw cloudomgeving te detecteren en, indien nodig, herstelprocessen te integreren om volledige risicobeperking te bereiken.
• Er zijn meerdere soorten beleidsregels die verband houden met de verschillende soorten informatie die u wilt verzamelen over uw cloudomgeving en de soorten herstelacties die u mogelijk wilt ondernemen.

Wat biedt Microsoft Cloud App Security?

Ontdekking

Ontdekken welke applicaties in een organisatie in gebruik zijn, is slechts de eerste stap om ervoor te zorgen dat gevoelige bedrijfsgegevens worden beschermd. Het begrijpen van gebruiksscenario's, het identificeren van topgebruikers en het bepalen van het risico dat aan elke toepassing is verbonden, zijn allemaal belangrijke componenten om de algemene risicohouding van een organisatie te begrijpen. Microsoft Cloud App Security biedt doorlopende risicodetectie, analyse en krachtige rapportage over gebruikers, gebruikspatronen, upload-/downloadverkeer en transacties, zodat u afwijkingen meteen kunt identificeren.

Hoe maak je een nieuw ontdekkingsrapport aan?

• Toegang tot de " Microsoft Defender voor Cloud Apps" -portal
• Selecteer aan de linkerkant Discover en Cloud Discovery-dashboard.

• Selecteer vervolgens " Maak een nieuw rapport "

Voer vervolgens de gewenste details in en selecteer " Aanmaken "

Opmerking : de analyse van het maken van rapporten duurt maximaal 24 uur om te verwerken

Gegevensbeheer

Maak beleid voor het ontdekken van cloud-apps om u de mogelijkheid te geven om gewaarschuwd te worden wanneer nieuwe apps worden ontdekt die ofwel riskant, niet-compatibel of trending zijn. Begin met het gebruik van de ingebouwde sjablonen om app-detectiebeleid te maken voor risicovolle apps met een hoog volume. De configuratie kan indien nodig worden aangepast.

• Nieuwe app met groot volume – waarschuwingen wanneer nieuwe apps worden ontdekt met een totaal dagelijks verkeer van meer dan 500 MB
• Riskante app - waarschuwingen wanneer nieuwe apps worden ontdekt met een risicoscore lager dan 6 en die worden gebruikt door meer dan 50 gebruikers met een totaal dagelijks gebruik van meer dan 50 MB

Zodra het beleid is gemaakt, ontvangt u een melding wanneer een toepassing met een hoog volume en een hoog risico wordt ontdekt. Hiermee kunt u applicaties in uw netwerk efficiënt en continu monitoren.

Een app-ontdekkingsbeleid maken

• Ga naar de " Cloud App Security Portal "
• Klik op " Besturing" en vervolgens op "Beleid "
• Maak "Beleid" en kies "App Discovery-beleid "

• Selecteer de sjabloon voor een Nieuwe app voor hoog volume

• Scroll naar beneden en klik op "Maken "

Bestandsbeleid maken

• Bestandsbeleid is een geweldig hulpmiddel voor het opsporen van bedreigingen voor uw informatiebeveiligingsbeleid, bijvoorbeeld het vinden van locaties waar gebruikers gevoelige informatie, creditcardnummers en ICAP-bestanden van derden in uw cloud opslaan.
• Met Cloud App Security kunt u niet alleen deze ongewenste bestanden detecteren die in uw cloud zijn opgeslagen en u kwetsbaar maken, maar u kunt ook onmiddellijk actie ondernemen om ze te stoppen en de bestanden die een bedreiging vormen, te vergrendelen.
• Met behulp van beheerdersquarantaine kunt u uw bestanden in de cloud beschermen, problemen oplossen en toekomstige lekken voorkomen.
• Gebruik bestandsbeleid om het delen van informatie te detecteren en te scannen op vertrouwelijke informatie in uw cloudtoepassingen.

Maak het volgende bestandsbeleid om inzicht te krijgen in hoe informatie binnen uw organisatie wordt gebruikt.

• Een bestand met PII gedetecteerd in de cloud (ingebouwde DLP-engine) - waarschuwing wanneer een bestand met persoonlijk identificeerbare informatie (PII) wordt gedetecteerd door onze ingebouwde dataverliespreventie-engine (DLP) in een goedgekeurde cloud-app.
• Bestanden gedeeld met niet-geautoriseerde domeinen – waarschuwing wanneer het bestand wordt gedeeld met een niet-geautoriseerd domein (zoals uw concurrent).
• Bestand gedeeld met persoonlijke e-mailadressen – waarschuwing wanneer een bestand wordt gedeeld met het persoonlijke e-mailadres van een gebruiker.

Gebruik vooraf ingestelde sjablonen om te beginnen, bekijk bestanden op het tabblad Overeenkomend beleid. Bereik beleidsregels voor een enkele SharePoint/OneDrive-site om te begrijpen hoe de beleidsregels werken voordat u extra toepassingen of sites toevoegt.

Hoe maak je een bestandsbeleid aan?

• Ga naar de " Microsoft Cloud App Security Portal "
• Klik op " Controle en vervolgens op "Beleid "
• Maak " Beleid en kies " Bestandsbeleid "

• Selecteer de sjabloon voor een bestand met PII die in de cloud is gedetecteerd (ingebouwde DLP-engine)
• Bereik het tot naar SharePoint en OneDrive & Folder

• Klik op maken

Volg dezelfde stappen en gebruik de hierboven genoemde sjablonen.

Volg deze link voor meer informatie over bestandsbeleid .

Bescherming tegen bedreigingen

Machtigingen : globale beheerder, beveiligingsbeheerder of gebruikersgroepbeheerder

Door een activiteitenbeleid te maken, kunt u kwaadwillig gebruik van een eindgebruikers- of geprivilegieerd account of een indicatie van een mogelijk gecompromitteerde sessie detecteren.

Activiteitsbeleid maken

Volg deze link voor meer informatie over het activiteitenbeleid.

• Massaal downloaden door een enkele gebruiker - dit beleid geeft u inzicht in mogelijke gegevensexfiltratie. Dit beleid waarschuwt standaard ook voor OneDrive-clientsynchronisaties
• Meerdere mislukte gebruikersaanmeldingspogingen bij een app - mogelijke brute force-aanval of gecompromitteerd account.
• Log in vanaf een riskant IP-adres - mogelijk gecompromitteerd account.
• Potentiële ransomware-activiteit – waarschuwing wanneer een gebruiker bestanden uploadt naar de cloud die mogelijk zijn geïnfecteerd met ransomware.

Malwaredetectie

• Deze detectie identificeert schadelijke bestanden in uw cloudopslag, of ze nu afkomstig zijn van uw Microsoft-apps of apps van derden.
• Microsoft Cloud App Security gebruikt de bedreigingsinformatie van micro soft om te herkennen of bepaalde bestanden zijn gekoppeld aan bekende malware-aanvallen en mogelijk kwaadaardig zijn.
• Dit ingebouwde beleid is standaard uitgeschakeld.
• Niet elk bestand wordt gescand, maar heuristieken worden gebruikt om te zoeken naar bestanden die potentieel risicovol zijn. Nadat bestanden zijn gedetecteerd, ziet u een lijst met geïnfecteerde bestanden.
• Klik op de naam van het malwarebestand in de bestandslade om een ​​malwarerapport te openen dat u informatie geeft over het type malware waarmee het bestand is geïnfecteerd.

Opmerking : Malwaredetectie is standaard uitgeschakeld. Zorg ervoor dat u het inschakelt om gewaarschuwd te worden voor mogelijk geïnfecteerde bestanden.

Waarschuwingen onderzoeken en herstellen

Onderzoek en bepaal de aard van de overtreding die verband houdt met de waarschuwing. Probeer te begrijpen of het een ernstige, twijfelachtige overtreding of abnormaal gedrag voor de gebruiker is. Onderzoek verder door te kijken naar de beschrijving van de waarschuwing en wat de aanleiding was, evenals door vergelijkbare activiteiten te bekijken.

Als u waarschuwingen negeert, is het belangrijk om te begrijpen waarom ze niet belangrijk zijn of dat het een vals positief is. Als er te veel ruis binnenkomt, moet u het beleid dat de waarschuwing activeert, doornemen en afstemmen.

• In de " Microsoft Cloud App Security Portal " - Ga naar " Waarschuwingen "

• Klik op een melding die je wilt onderzoeken. In dit voorbeeld onderzoeken we een enkele gebruiker die meerdere mislukte inlogpogingen heeft gehad, wat een teken kan zijn van brute kracht en een gecompromitteerde identiteit.
• Lees de beschrijving van de waarschuwing en bekijk de verstrekte details om te zien of er iets verdachts uitziet.
• We zien dat deze gebruiker een beheerder is en meer dan 12 mislukte aanmeldingen heeft gehad. De kans bestaat dat een aanvaller dit account probeert te compromitteren.

• Klik op ' Bekijk alle gebruikersactiviteit ' om de activiteiten van deze gebruiker te bekijken voor aanvullende informatie voor uw onderzoeksproces.

• Als we naar de vastgelegde afbeeldingen kijken, kunnen we zien dat hij een beheerder is wiens account is gehackt. We kunnen die conclusie trekken door te zien dat hij meerdere mislukte aanmeldingen had vanaf een TOR IP-adres en probeerde gegevens te exfiltreren door zijn massale downloadwaarschuwing.
• Nu we genoeg informatie hebben om te concluderen dat de waarschuwing waar is. We kunnen de waarschuwing oplossen door de opties die voor ons beschikbaar zijn. In dit geval zou de beste aanpak zijn om de gebruiker op te schorten omdat zijn account is gecompromitteerd.

• Klik op Oplossen en schrijf op hoe je de waarschuwing hebt opgelost

Valse positieven verminderen

Beleid voor afwijkingsdetectie wordt geactiveerd wanneer het ongebruikelijk gedrag is dat wordt uitgevoerd door de gebruikers in uw omgeving. Microsoft Cloud App Security heeft een leerperiode waarin het gebruikmaakt van gedragsanalyses van entiteiten en machine learning om het " normale " gedrag van uw gebruikers te begrijpen. Gebruik de gevoeligheidsschuifregelaar om de gevoeligheid van dat beleid te bepalen, naast het bereik van specifiek beleid voor alleen een bepaalde groep.

Om bijvoorbeeld het aantal valse positieven binnen de onmogelijke reiswaarschuwing te verminderen, kunt u de gevoeligheidsschuifregelaar op laag zetten. Als u gebruikers in uw organisatie heeft die frequente zakenreizigers zijn, kunt u ze toevoegen aan een gebruikersgroep en die groep selecteren in het kader van het beleid.

Voeg uw zakelijke IP-adres en VPN-bereiken toe, u zult minder waarschuwingen zien met betrekking tot onmogelijk reizen en een zeldzaam land.

Klik op Instellingen gevolgd door IP-adresbereiken Geef het bereik een
naam
Voer het IP-adresbereik in
Selecteer een categorie
Voeg een tag toe om specifieke activiteiten uit dit bereik te taggen

OAuth-toepassingen

Dit zijn de applicaties die door zakelijke gebruikers in uw organisatie zijn geïnstalleerd en toestemming vragen voor toegang tot gebruikersinformatie en -gegevens en namens de gebruiker inloggen in andere cloud-apps, zoals Microsoft 365, G Suite en Salesforce. Wanneer gebruikers deze apps installeren, klikken ze vaak op accepteren zonder de details in de prompt nauwkeurig te bekijken, inclusief het verlenen van machtigingen aan de app.

Je hebt de mogelijkheid om de toegang tot deze apps te verbieden en in te trekken.

Veel gebruikers verlenen toegang tot hun Microsoft 365-, G-Suite- en Salesforce-bedrijfsaccounts wanneer ze proberen toegang te krijgen tot een OAuth-toepassing. Het probleem doet zich voor dat IT meestal geen zicht heeft op deze applicaties of wat het bijbehorende risiconiveau is. Cloud App Security biedt u de mogelijkheid om te ontdekken welke OAuth-toepassingen uw gebruikers hebben geïnstalleerd en met welk bedrijfsaccount ze inloggen. Zodra u ontdekt welke OAuth-apps door welk account worden gebruikt, kunt u de toegang rechtstreeks in de portal toestaan ​​of verbieden.

OAuth-apps beheren

De OAuth-pagina bevat informatie over tot welke applicaties uw gebruikers toegang verlenen met hun zakelijke Microsoft 365-, Salesforce- en G-Suite-referenties.

Ban of keur goed en app:

• Ga naar de “ Microsoft Cloud App Security Portal ” -> Klik op “ Onderzoeken” -> Klik op “OAuth Apps ”
• Klik op de " App-lade" om aanvullende informatie over elke toepassing en de verleende toestemming te bekijken
• U kunt de app verbannen of goedkeuren door op het pictogram Goedkeuren of Verbannen te klikken

Opmerking : als je besluit een app te verbieden, kun je de gebruiker laten weten dat de app die hij heeft geïnstalleerd en waarvoor hij toestemming heeft gegeven, is verbannen en een aangepast meldingsbericht toevoegen.

App intrekken

Deze functionaliteit is alleen beschikbaar voor G-Suite en Salesforce verbonden applicaties.

• Op de OAuth-apps-pagina -> klik op de drie stippen helemaal rechts van de app-rij
• Klik op app intrekken

OAuth-beleid

OAuth-beleid stelt u op de hoogte wanneer een OAuth-app wordt ontdekt die aan de specifieke criteria voldoet.

Volg deze link voor instructies om OAuth-app-beleid te maken.

CASB voor cloudplatforms

Machtigingen : Globale beheerder

Opmerking : de globale rol van Azure AD biedt niet automatisch bevoorrechte gebruikers toegang tot Azure-abonnementen.

Verhoog machtigingen voor bevoorrechte gebruikers om uw Azure-abonnementen toe te voegen. Nadat u de abonnementen hebt toegevoegd, moet u ervoor zorgen dat u de verhoging uitschakelt.

Om uw cloudbeveiligingshouding te verbeteren, voegt u uw Azure-abonnementen toe aan Cloud App Security; de integratie met Azure Security Center zal u op de hoogte stellen wanneer er configuraties en beveiligingscontroles ontbreken. U kunt afwijkingen in uw omgeving identificeren en naar de Azure Security Portal draaien om deze aanbevelingen toe te passen en kwetsbaarheden op te lossen.

Klik hier voor meer informatie over de integratie met Azure Security Center .

Realtime bewaking en controle

Machtigingen : Beveiligingsbeheerder of Globale beheerder

• App-beheer voor voorwaardelijke toegang maakt gebruik van een omgekeerde proxy-architectuur en is uniek geïntegreerd met de voorwaardelijke toegang (CA) van Azure AD.
• Met voorwaardelijke toegang van Azure AD kunt u toegangsbeheer op de apps van uw organisatie afdwingen op basis van bepaalde voorwaarden.
• De voorwaarden definiëren het 'wie' (bijvoorbeeld een gebruiker of groep gebruikers), het 'wat' (welke cloud-apps) en het 'waar' (welke locaties en netwerken) een voorwaardelijke toegangsbeleid wordt toegepast.
• Nadat u de voorwaarden hebt bepaald, kunt u gebruikers doorsturen naar de MS Cloud App Security waar u gegevens kunt beveiligen met Conditional Access App Control door toegangs- en sessiecontroles toe te passen.
• Met app-beheer met voorwaardelijke toegang kunnen gebruikersapp-toegang en -sessies in realtime worden bewaakt en beheerd op basis van toegangs- en sessiebeleid.
• Toegangsbeleid wordt gebruikt voor pc en mobiele apparaten en sessiebeleid wordt gebruikt voor browsersessies.

Toegangs- en sessiebeleid biedt u de volgende mogelijkheden:

• Blokkeren bij downloaden
• Beschermen bij downloaden
• Voorkomen dat documenten kopiëren/afdrukken
• Sessies met weinig vertrouwen volgen
• Toegang blokkeren
• Alleen-lezen modus maken
• Gebruikerssessies van niet-zakelijk netwerk beperken
• Uploaden blokkeren

Azure Portal – Azure Active Directory

• Ga naar " Azure Active Directory " (AAD) onder " Protect " , klik op " Conditional Access "

• Maak een beleid binnen AAD om voorwaardelijke apps in te schakelen
• Wijs een testgebruikersgroep toe en wijs één Cloud-app toe (SharePoint-app of app van derden die SSO heeft geconfigureerd) om tijdens het testen aan de slag te gaan
• Klik op Session en klik op " Use Conditional Access App Control "
• Selecteer " Aangepast beleid gebruiken " waarmee de sessie door de Microsoft Cloud App Security Portal wordt geleid

• Nadat u het beleid heeft gemaakt, moet u zich afmelden bij elke geconfigureerde app en weer inloggen.
• Log opnieuw in op de CAS-portal, ga naar Instellingen en klik op App-beheer voor voorwaardelijke toegang

• De geconfigureerde toepassingen moeten in de portal worden weergegeven als apps voor app-beheer met voorwaardelijke toegang.

Een sessiebeleid maken

We zullen een sessiebeleid maken met behulp van een sjabloon om alle activiteiten te controleren om aan de slag te gaan.

Maak extra beleid met behulp van de vooraf ingestelde sjablonen om de verschillende beschikbare besturingselementen te testen.

• Ga naar de " Cloud App Security Portal "
• Klik op " Besturing" en vervolgens op "Beleid "
• Maak "Beleid " en kies " Sessiebeleid "

• Selecteer de sjabloon om alle activiteiten te controleren

• Klik op Maken

Microsoft Cloud App Security-licentie

De prijs voor commerciële licenties voor Microsoft Cloud App Security varieert per programma, regio en overeenkomsttype. In het Direct-kanaal zijn er ERP standalone catalogusprijzen. Bekijk hier details over de prijsconfiguraties . Als klanten bovendien de functie App-beheer voor voorwaardelijke toegang van Microsoft Cloud App Security willen gebruiken, moeten ze ook minimaal een Azure Active Directory Premium P1 (AAD P1)-licentie hebben voor alle gebruikers die ze voor deze functie willen inschakelen.

Licentieplannen die beschikbaar zijn voor klanten van de Amerikaanse overheid die Microsoft Cloud App Security omvatten, worden beschreven in de onderstaande licentietabellen. Aanvullende details zijn te vinden in onze licentie- en prijsbeschrijvingen:

• Microsoft 365 Amerikaanse overheid
• Microsoft 365 Overheid
• Enterprise Mobility + Security voor de Amerikaanse overheid

Aan het einde hiervan moet u inzicht hebben in de mogelijkheden voor informatiebeveiliging, realtime monitoring en bedreigingsbeveiliging van Microsoft 365 Cloud App Security.

Nu hoor ik graag van je:

Welke strategie uit de post van vandaag ga je als eerste proberen? Of misschien heb ik een van je favoriete beveiligingstips voor cloud-apps niet genoemd.

Laat het me hoe dan ook weten door hieronder een reactie achter te laten.

Wilt u uw Exchange Online-ervaring verbeteren voor een betere productiviteit? Bekijk de tips en trucs die hier worden genoemd .