Segurança de aplicativos em nuvem da Microsoft: o guia definitivo (2022)

Quer melhorar a proteção para seus aplicativos em nuvem?

Então você está no lugar certo.

Porque hoje vou mostrar as técnicas exatas que uso para manter a visibilidade dos meus aplicativos em nuvem.

1 O que é o Microsoft Cloud App Security?

2 Como funciona o Microsoft Cloud App Security?

2.1 Descoberta

2.2 Sanção e não-sanção

2.3 Conectores de aplicativos

2.4 Definição de Política

3 O que o Microsoft Cloud App Security oferece?

4 Descoberta

4.1 Como criar um novo relatório de descoberta?

5 Controle de Dados

5.1 Criando uma política de descoberta de aplicativos

6 Criar Políticas de Arquivo

6.1 Como criar uma política de arquivos?

7 Proteção contra ameaças

7.1 Criando Políticas de Atividade

8 Detecção de malware

9 Investigando e corrigindo alertas

9.1 Redução de falsos positivos

9.2 Aplicativos OAuth

9.3 Gerenciar aplicativos OAuth

9.3.1 Proibir ou aprovar e aplicar:

9.3.2 Revogar aplicativo

9.3.3 Políticas OAuth

10 CASB para plataformas em nuvem

11 Monitoramento e Controle em Tempo Real

12 Portal do Azure – Azure Active Directory

13 Criando uma Política de Sessão

14 Licença de segurança do aplicativo Microsoft Cloud

O que é o Microsoft Cloud App Security?

• O Microsoft Cloud App Security é o Microsoft CASB (Cloud Access Security Broker) e é um componente crítico da pilha do Microsoft Cloud Security. É uma solução abrangente que pode ajudar sua organização à medida que você se move para aproveitar ao máximo a promessa dos aplicativos em nuvem, mas mantém você no controle por meio de visibilidade aprimorada da atividade.
• Também ajuda a aumentar a proteção de dados críticos em aplicativos de nuvem (Microsoft e terceiros).
• Com ferramentas que ajudam a descobrir shadow IT, avaliar riscos, aplicar políticas, investigar atividades e interromper ameaças, sua organização pode migrar para a nuvem com mais segurança enquanto mantém o controle de dados críticos.

Como funciona o Microsoft Cloud App Security?

Descoberta

A descoberta de nuvem usa seus logs de tráfego para descobrir e analisar quais aplicativos de nuvem estão em uso. Você pode carregar manualmente os arquivos de log para análise de seus firewalls e proxies ou pode escolher o carregamento automático.

Sancionar e não sancionar

• O MS Cloud App Security permite sancionar/bloquear aplicativos em sua organização, usando o catálogo de aplicativos em nuvem.
• O catálogo de aplicativos de nuvem classifica o risco para seus aplicativos de nuvem com base em certificações regulatórias, padrões do setor e práticas recomendadas.
• Você pode então personalizar as pontuações e os pesos de vários parâmetros de acordo com as necessidades de sua organização.
• Com base nessas pontuações, o Microsoft Cloud App Security informa o grau de risco do aplicativo, de acordo com mais de 50 fatores de risco que podem afetar seu ambiente.

Conectores de aplicativos

• Os conectores de aplicativos aproveitam as APIs fornecidas por vários provedores de aplicativos em nuvem para permitir que a nuvem do Microsoft Cloud App Security se integre a outros aplicativos em nuvem e estenda o controle e a proteção. Isso permite que o Microsoft 365 Cloud App Security extraia informações diretamente dos aplicativos de nuvem para análise.
• Para conectar um aplicativo e estender a proteção, o administrador do aplicativo autoriza o MS Cloud App Security a acessar o aplicativo e, em seguida, o Cloud App Security consulta o aplicativo em busca de logs de atividades e verifica dados, contas e conteúdo de nuvem.
• O Microsoft 365 Cloud App Security pode então impor políticas, detectar ameaças e fornecer ações de governança para resolver problemas.

Configuração de política

• As políticas permitem que você defina a maneira como deseja que seus usuários se comportem na nuvem. Eles permitem que você detecte comportamentos de risco, violações ou pontos de dados suspeitos e atividades em seu ambiente de nuvem e, se necessário, integre processos de correção para obter uma mitigação completa de riscos.
• Existem vários tipos de políticas que se correlacionam com os diferentes tipos de informações que você deseja coletar sobre seu ambiente de nuvem e os tipos de ações de correção que você deseja executar.

O que o Microsoft Cloud App Security fornece?

Descoberta

Descobrir quais aplicativos estão em uso em uma organização é apenas o primeiro passo para garantir que os dados corporativos confidenciais estejam protegidos. Compreender os casos de uso, identificar os principais usuários e determinar o risco associado a cada aplicativo são componentes importantes para entender a postura geral de risco de uma organização. O Microsoft Cloud App Security fornece detecção de risco contínua, análise e relatórios avançados sobre usuários, padrões de uso, tráfego de upload/download e transações para que você possa identificar anomalias imediatamente.

Como criar um novo relatório de descoberta?

• Acesse o portal “ Microsoft Defender for Cloud Apps”
• À esquerda, selecione o painel Discover e Cloud Discovery.

• Em seguida, selecione “ Criar um novo relatório ”

Em seguida, insira os detalhes que você deseja e selecione “ Criar ”

Observação : a análise de criação de relatório leva até 24 horas para ser processada

Controle de dados

Crie políticas de descoberta de aplicativos na nuvem para permitir que você seja alertado quando novos aplicativos forem descobertos que sejam arriscados, não compatíveis ou em alta. Comece usando os modelos integrados para criar políticas de descoberta de aplicativos para aplicativos arriscados e de alto volume. A configuração pode ser ajustada se necessário.

• Novo aplicativo de alto volume – alertas quando novos aplicativos são descobertos com tráfego diário total de mais de 500 MB
• Aplicativo arriscado – alerta quando novos aplicativos são descobertos com pontuação de risco menor que 6 e que é usado por mais de 50 usuários com uso diário total de mais de 50 MB

Depois que a política for criada, você será notificado quando um aplicativo com alto volume e alto risco for descoberto. Isso permitirá que você monitore de forma eficiente e contínua os aplicativos em sua rede.

Como criar uma política de descoberta de aplicativos

• Acesse o " Portal de segurança de aplicativos em nuvem "
• Clique em “ Controle” e depois em “Políticas ”
• Crie "Política" e escolha "Política de descoberta de aplicativos "

• Selecione o modelo para um novo aplicativo de alto volume

• Role para baixo e clique em "Criar "

Criar políticas de arquivo

• As políticas de arquivos são uma ótima ferramenta para encontrar ameaças às suas políticas de proteção de informações, por exemplo, encontrar locais onde os usuários armazenam informações confidenciais, números de cartão de crédito e arquivos ICAP de terceiros em sua nuvem.
• Com o Cloud App Security, você não apenas pode detectar esses arquivos indesejados armazenados em sua nuvem que o deixam vulnerável, mas também pode tomar medidas imediatas para detê-los e bloquear os arquivos que representam uma ameaça.
• Usando a quarentena de administrador, você pode proteger seus arquivos na nuvem e corrigir problemas, além de evitar que vazamentos futuros ocorram.
• Use políticas de arquivo para detectar o compartilhamento de informações e verificar informações confidenciais em seus aplicativos de nuvem.

Crie as seguintes políticas de arquivo para obter visibilidade sobre como as informações estão sendo usadas em sua organização.

• Um arquivo contendo PII detectado na nuvem (mecanismo DLP integrado) – alerta quando um arquivo contendo informações de identificação pessoal (PII) é detectado por nosso mecanismo integrado de prevenção contra perda de dados (DLP) em um aplicativo de nuvem sancionado.
• Arquivos compartilhados com domínios não autorizados – alerta quando o arquivo é compartilhado com um domínio não autorizado (como seu concorrente).
• Arquivo compartilhado com endereços de e-mail pessoais – alerta quando um arquivo é compartilhado com o endereço de e-mail pessoal de um usuário.

Use modelos predefinidos para iniciar, revise os arquivos na guia de políticas correspondentes. Políticas de escopo para um único site do SharePoint/OneDrive para entender como as políticas estão funcionando antes de adicionar aplicativos ou sites adicionais.

Como criar uma política de arquivos?

• Acesse o " Portal de segurança do aplicativo Microsoft Cloud "
• Clique em “ Controle e depois em “Políticas ”
• Crie " Política e escolha " Política de arquivo "

• Selecione o modelo para um arquivo contendo PII detectado na nuvem (mecanismo DLP integrado)
• Escopo para baixo para SharePoint e OneDrive & Folder

• Clique em criar

Siga os mesmos passos e use os modelos mencionados acima.

Para obter informações adicionais sobre políticas de arquivo, siga este link .

Proteção contra ameaças

Permissões : Administrador Global, Administrador de Segurança ou Administrador de Grupo de Usuários

A criação de uma política de atividade pode ajudá-lo a detectar o uso mal-intencionado de um usuário final ou conta privilegiada ou uma indicação de uma possível sessão comprometida.

Criando políticas de atividade

Siga este link para saber mais sobre as políticas de atividade.

• Download em massa por um único usuário – esta política lhe dará visibilidade sobre possível exfiltração de dados. Por padrão, essa política também alertará sobre as sincronizações do cliente OneDrive
• Várias tentativas de logon de usuário com falha em um aplicativo – possível ataque de força bruta ou conta comprometida.
• Faça login de um endereço IP arriscado – possível conta comprometida.
• Potencial atividade de ransomware – alerta quando um usuário carrega arquivos na nuvem que podem estar infectados com ransomware.

Detecção de malware

• Essa detecção identifica arquivos maliciosos em seu armazenamento em nuvem, sejam eles de seus aplicativos da Microsoft ou aplicativos de terceiros.
• O Microsoft Cloud App Security usa a inteligência de ameaças da Microsoft para reconhecer se determinados arquivos estão associados a ataques de malware conhecidos e são potencialmente maliciosos.
• Essa política integrada está desabilitada por padrão.
• Nem todos os arquivos são verificados, mas a heurística é usada para procurar arquivos potencialmente arriscados. Depois que os arquivos são detectados, você pode ver uma lista de arquivos infectados.
• Clique no nome do arquivo de malware na gaveta de arquivos para abrir um relatório de malware que fornece informações sobre o tipo de malware com o qual o arquivo está infectado.

Observação : a detecção de malware está desabilitada por padrão. Certifique-se de habilitá-lo para ser alertado sobre possíveis arquivos infectados.

Investigando e corrigindo alertas

Investigue e determine a natureza da violação associada ao alerta. Tente entender se é uma violação séria, questionável ou comportamento anômalo para o usuário. Investigue ainda mais observando a descrição do alerta e o que foi acionado, além de observar atividades semelhantes.

Se você descartar alertas, é importante entender por que eles não têm importância ou se é um falso positivo. Se houver muito ruído entrando, certifique-se de revisar e ajustar a política que aciona o alerta.

• No “ Microsoft Cloud App Security Portal ” – Vá para “Alertas ”

• Clique em um Alerta que você gostaria de investigar. Neste exemplo, estamos investigando um único usuário que teve várias tentativas de login com falha, o que pode ser um sinal de força bruta e uma identidade comprometida.
• Leia a descrição do alerta e observe os detalhes fornecidos para ver se algo parece suspeito.
• Vemos que este usuário é um administrador e teve mais de 12 logins com falha. Há uma chance de que um invasor esteja tentando comprometer essa conta.

• Clique em ' Ver todas as atividades do usuário ' para visualizar as atividades deste usuário para obter informações adicionais sobre seu processo de investigação.

• Se olharmos para as imagens capturadas, podemos ver que ele é um administrador cuja conta foi comprometida. Podemos chegar a essa conclusão ao ver que ele teve vários logins com falha de um endereço IP TOR e tentou exfiltrar dados por seu alerta de download em massa.
• Agora que temos informações suficientes para inferir que o alerta é verdadeiro. Podemos resolver o alerta pelas opções disponíveis para nós. Nesse caso, a melhor abordagem seria suspender o usuário, pois sua conta está comprometida.

• Clique em Resolver e escreva como você resolveu o alerta

Reduzindo falsos positivos

As políticas de detecção de anomalias são acionadas quando são comportamentos incomuns executados pelos usuários em seu ambiente. O Microsoft Cloud App Security tem um período de aprendizado em que usa análise comportamental de entidade, bem como aprendizado de máquina para entender o comportamento “ normal ” de seus usuários. Use o controle deslizante de sensibilidade para decidir a sensibilidade dessa política, além de definir o escopo de políticas específicas apenas para um determinado grupo.

Como exemplo, para reduzir o número de falsos positivos no alerta de viagem impossível, você pode definir o controle deslizante de sensibilidade para baixo. Se você tiver usuários em sua organização que são viajantes corporativos frequentes, você pode adicioná-los a um grupo de usuários e selecionar esse grupo no escopo da política.

Adicione seu endereço IP corporativo e intervalos de VPN , você verá menos alertas em relação a viagens impossíveis e países pouco frequentes.

Clique em Configurações seguido de intervalos de endereços IP
Nomeie o intervalo
Insira o intervalo de endereços IP
Selecione uma categoria
Adicione uma tag para marcar atividades específicas desse intervalo

Aplicativos OAuth

Esses são os aplicativos instalados por usuários corporativos em sua organização solicitam permissão para acessar informações e dados do usuário e entrar em nome do usuário em outros aplicativos de nuvem, como Microsoft 365, G Suite e Salesforce. Quando os usuários instalam esses aplicativos, eles geralmente clicam em aceitar sem analisar de perto os detalhes no prompt, incluindo a concessão de permissões ao aplicativo.

Você terá a capacidade de banir e revogar o acesso a esses aplicativos.

Muitos usuários concedem acesso às suas contas corporativas do Microsoft 365, G-Suite e Salesforce ao tentar acessar um aplicativo OAuth. O problema que surge é que a TI geralmente não tem visibilidade desses aplicativos ou qual é o nível de risco associado. O Cloud App Security oferece a capacidade de descobrir os aplicativos OAuth que seus usuários instalaram e qual conta corporativa eles estão usando para fazer login. Depois de descobrir quais aplicativos OAuth estão sendo usados ​​por qual conta, você pode permitir ou banir o acesso diretamente no portal.

Gerenciar aplicativos OAuth

A página OAuth contém informações sobre quais aplicativos seus usuários estão concedendo acesso usando suas credenciais corporativas do Microsoft 365, Salesforce e G-Suite.

Banir ou aprovar e app:

• Vá para o “ Microsoft Cloud App Security Portal ” -> Clique em “ Investigar” -> Clique em “OAuth Apps ”
• Clique no “ App Drawer” para visualizar informações adicionais sobre cada aplicativo e a permissão que foi concedida
• Você pode banir ou aprovar o aplicativo clicando no ícone aprovar ou banir

Observação : se você decidir banir um aplicativo, poderá notificar o usuário de que o aplicativo que ele instalou e concedeu permissão foi banido e pode adicionar uma mensagem de notificação personalizada.

Revogar aplicativo

Essa funcionalidade está disponível apenas para aplicativos conectados ao G-Suite e Salesforce.

• Na página de aplicativos OAuth -> clique nos três pontos à direita da linha do aplicativo
• Clique em Revogar aplicativo

Políticas OAuth

As políticas OAuth notificam você quando um aplicativo OAuth é descoberto que atende aos critérios específicos.

Siga este link sobre instruções para criar políticas de aplicativo OAuth.

CASB para plataformas de nuvem

Permissões : Administrador global

Observação : a função global do Azure AD não fornece automaticamente aos usuários privilegiados acesso às assinaturas do Azure.

Eleve permissões para usuários privilegiados para adicionar suas assinaturas do Azure – depois de adicionar as assinaturas, certifique-se de desabilitar a elevação.

Para melhorar sua postura de segurança na nuvem, adicione suas assinaturas do Azure ao Cloud App Security; a integração com a Central de Segurança do Azure irá notificá-lo quando houver configurações e controles de segurança ausentes. Você poderá identificar anomalias em seu ambiente e dinamizar para o portal de segurança do Azure para aplicar essas recomendações e solucionar vulnerabilidades.

Para saber mais sobre a integração com a Central de Segurança do Azure clique aqui .

Monitoramento e controle em tempo real

Permissões : Administrador de segurança ou Administrador global

• O controle de aplicativos de acesso condicional utiliza uma arquitetura de proxy reverso e é integrado exclusivamente ao Acesso Condicional (CA) do Azure AD.
• O Acesso Condicional do Azure AD permite que você imponha controles de acesso aos aplicativos da sua organização com base em determinadas condições.
• As condições definem o 'quem' (por exemplo, um usuário ou grupo de usuários), o 'o quê' (quais aplicativos de nuvem) e o 'onde' (quais locais e redes) uma política de acesso condicional é aplicada.
• Depois de determinar as condições, você pode rotear usuários para o MS Cloud App Security, onde você pode proteger dados com o Controle de Aplicativo de Acesso Condicional aplicando controles de acesso e sessão.
• O controle de aplicativo de acesso condicional permite que o acesso e as sessões do aplicativo do usuário sejam monitorados e controlados em tempo real com base nas políticas de acesso e sessão.
• As políticas de acesso são usadas para PC e dispositivos móveis e as políticas de sessão são usadas para sessões do navegador.

As políticas de acesso e sessão oferecem os seguintes recursos:

• Bloquear no download
• Proteger no download
• Impedir a cópia/impressão de documentos
• Monitore sessões de baixa confiança
• Bloquear acesso
• Criar modo somente leitura
• Restringir sessões de usuários de redes não corporativas
• Bloquear upload

Portal do Azure – Azure Active Directory

• Vá para “ Azure Active Directory ” (AAD) em “ Proteger” , clique em “ Acesso Condicional ”

• Crie uma política no AAD para habilitar aplicativos condicionais
• Atribua um grupo de usuários de teste e atribua um aplicativo de nuvem (SharePoint ou aplicativo de terceiros configurado por SSO) para começar durante o teste
• Clique em Sessão e clique em “ Usar controle de aplicativo de acesso condicional ”
• Selecione “ Usar política personalizada ” que encaminhará a sessão através do Portal de Segurança do Aplicativo Microsoft Cloud

• Depois de criar a política, certifique-se de sair de cada aplicativo configurado e fazer login novamente.
• Faça login novamente no portal do CAS, vá em Configurações e clique em Controle de aplicativo de acesso condicional

• Os aplicativos configurados devem aparecer no portal como aplicativos de controle de aplicativos de acesso condicional.

Criando uma política de sessão

Estaremos criando uma política de sessão usando um modelo para monitorar todas as atividades para começar.

Crie políticas adicionais usando os modelos predefinidos para testar os diferentes controles disponíveis.

• Acesse o " Portal de segurança de aplicativos em nuvem "
• Clique em “ Controle” e depois em “Políticas ”
• Crie “Policy ” e escolha “ Session Policy ”

• Selecione o modelo para monitorar todas as atividades

• Clique em Criar

Licença de segurança do aplicativo Microsoft Cloud

O preço das licenças comerciais do Microsoft Cloud App Security varia de acordo com o programa, região e tipo de contrato. No canal Direto, há preços de tabela autônomos do ERP. Por favor, veja detalhes sobre as configurações de preços aqui . Além disso, se os clientes quiserem usar o recurso Controle de Aplicativo de Acesso Condicional do Microsoft Cloud App Security, eles também deverão ter pelo menos uma licença do Azure Active Directory Premium P1 (AAD P1) para todos os usuários que pretendem habilitar para esse recurso.

Os planos de licenciamento disponíveis para clientes do governo dos EUA que incluem o Microsoft Cloud App Security são descritos nas tabelas de licenciamento abaixo. Detalhes adicionais podem ser encontrados em nossas descrições de licenciamento e preços:

• Microsoft 365 Governo dos EUA
• Governo do Microsoft 365
• Mobilidade empresarial + segurança para o governo dos EUA

No final disso, você deve ter uma compreensão sobre os recursos de proteção de informações, monitoramento em tempo real e proteção contra ameaças do Microsoft 365 Cloud App Security.

Agora eu gostaria de ouvir de você:

Qual estratégia do post de hoje você vai tentar primeiro? Ou talvez eu não tenha mencionado uma de suas dicas de segurança de aplicativos de nuvem favoritas.

De qualquer forma, deixe-me saber deixando um comentário abaixo agora.

Quer melhorar sua experiência no Exchange Online para uma melhor produtividade? Confira as dicas e truques mencionados aqui .