Microsoft Cloud App Security: Ghidul definitiv (2022)

Doriți să îmbunătățiți protecția aplicațiilor dvs. cloud?

Atunci ești în locul potrivit.

Pentru că astăzi vă voi arăta tehnicile exacte pe care le folosesc pentru a menține vizibilitatea aplicațiilor mele cloud.

1 Ce este Microsoft Cloud App Security?

2 Cum funcționează Microsoft Cloud App Security?

2.1 Descoperire

2.2 Sancționare și nesancționare

2.3 Conectori pentru aplicații

2.4 Setarea politicii

3 Ce ​​oferă Microsoft Cloud App Security?

4 Descoperire

4.1 Cum se creează un nou raport de descoperire?

5 Controlul datelor

5.1 Crearea unei politici de descoperire a aplicațiilor

6 Creați politici de fișiere

6.1 Cum se creează o politică de fișiere?

7 Protecția împotriva amenințărilor

7.1 Crearea politicilor de activitate

8 Detectarea programelor malware

9 Investigarea și remedierea alertelor

9.1 Reducerea falselor pozitive

9.2 Aplicații OAuth

9.3 Gestionați aplicațiile OAuth

9.3.1 Interziceți sau aprobați și aplicați:

9.3.2 Revocare aplicație

9.3.3 Politici OAuth

10 CASB pentru platforme cloud

11 Monitorizare și control în timp real

12 Azure Portal – Azure Active Directory

13 Crearea unei politici de sesiune

14 Licență Microsoft Cloud App Security

Ce este Microsoft Cloud App Security?

• Microsoft Cloud App Security este Microsoft CASB (Cloud Access Security Broker) și este o componentă critică a stivei Microsoft Cloud Security. Este o soluție cuprinzătoare care vă poate ajuta organizația pe măsură ce vă deplasați pentru a profita din plin de promisiunea aplicațiilor cloud, dar vă menține controlul prin vizibilitate îmbunătățită asupra activității.
• De asemenea, ajută la creșterea protecției datelor critice în aplicațiile cloud (Microsoft și terțe părți).
• Cu instrumente care ajută la descoperirea IT-ului umbră, la evaluarea riscurilor, la aplicarea politicilor, la investigarea activităților și la oprirea amenințărilor, organizația dvs. poate trece mai sigur în cloud, menținând în același timp controlul asupra datelor critice.

Cum funcționează Microsoft Cloud App Security?

Descoperire

Cloud discovery folosește jurnalele de trafic pentru a descoperi și analiza ce aplicații cloud sunt utilizate. Puteți încărca manual fișiere jurnal pentru analiză din firewall-uri și proxy sau puteți alege încărcarea automată.

Sancționare și nesancționare

• MS Cloud App Security vă permite să sancționați/blocați aplicații din organizația dvs., folosind catalogul de aplicații Cloud.
• Catalogul de aplicații Cloud evaluează riscul pentru aplicațiile dvs. cloud pe baza certificărilor de reglementare, a standardelor din industrie și a celor mai bune practici.
• Puteți personaliza apoi scorurile și ponderile diferiților parametri la nevoile organizației dvs.
• Pe baza acestor scoruri, Microsoft Cloud App Security vă informează cât de riscantă este aplicația, în funcție de peste 50 de factori de risc care v-ar putea afecta mediul.

Conectori pentru aplicații

• Conectorii de aplicații folosesc API-urile furnizate de diverși furnizori de aplicații cloud pentru a permite cloudului Microsoft Cloud App Security să se integreze cu alte aplicații cloud și să extindă controlul și protecția. Acest lucru permite Microsoft 365 Cloud App Security să extragă informații direct din aplicațiile cloud pentru analiză.
• Pentru a conecta o aplicație și a extinde protecția, administratorul aplicației autorizează MS Cloud App Security să acceseze aplicația, iar apoi Cloud App Security interogă aplicația pentru jurnalele de activitate și scanează date, conturi și conținut din cloud.
• Microsoft 365 Cloud App Security poate apoi să impună politici, să detecteze amenințările și să ofere acțiuni de guvernanță pentru rezolvarea problemelor.

Setarea politicii

• Politicile vă permit să definiți modul în care doriți ca utilizatorii să se comporte în cloud. Acestea vă permit să detectați comportamentul riscant, încălcările sau punctele de date suspecte și activitățile din mediul dvs. cloud și, dacă este necesar, să integrați procesele de remediere pentru a obține o reducere completă a riscurilor.
• Există mai multe tipuri de politici care se corelează cu diferitele tipuri de informații pe care doriți să le adunați despre mediul dvs. cloud și cu tipurile de acțiuni de remediere pe care doriți să le luați.

Ce oferă Microsoft Cloud App Security?

Descoperire

Descoperirea aplicațiilor utilizate în cadrul unei organizații este doar primul pas pentru a vă asigura că datele corporative sensibile sunt protejate. Înțelegerea cazurilor de utilizare, identificarea utilizatorilor de top și determinarea riscului asociat fiecărei aplicații sunt toate componente importante pentru înțelegerea poziției generale de risc a unei organizații. Microsoft Cloud App Security oferă detectarea continuă a riscurilor, analize și raportare puternică asupra utilizatorilor, modelelor de utilizare, traficului de încărcare/descărcare și tranzacții, astfel încât să puteți identifica imediat anomaliile.

Cum se creează un nou raport de descoperire?

• Accesați portalul „ Microsoft Defender for Cloud Apps”.
• În stânga, selectați Descoperiți și tabloul de bord Discovery Cloud.

• Apoi, selectați „ Creați un nou raport ”

Apoi, introduceți detaliile dorite și selectați „ Creare ”

Notă : Procesarea analizei pentru crearea rapoartelor durează până la 24 de ore

Controlul datelor

Creați politici de descoperire a aplicațiilor în cloud pentru a vă oferi posibilitatea de a primi alerte atunci când sunt descoperite aplicații noi care sunt fie riscante, neconforme sau în tendințe. Începeți prin a utiliza șabloanele încorporate pentru a crea politici de descoperire a aplicațiilor pentru aplicații riscante și cu volum mare. Configurația poate fi ajustată dacă este necesar.

• Nouă aplicație cu volum mare – alertează când sunt descoperite aplicații noi care au un trafic zilnic total de peste 500 MB
• Aplicație riscantă – alertează când sunt descoperite aplicații noi cu un scor de risc mai mic de 6 și care este folosită de mai mult de 50 de utilizatori cu o utilizare zilnică totală de peste 50 MB

Odată ce politica este creată, veți fi notificat când este descoperită o aplicație cu volum mare și risc ridicat. Acest lucru vă va permite să monitorizați eficient și continuu aplicațiile din rețeaua dvs.

Crearea unei politici de descoperire a aplicațiilor

• Accesați „ Portalul de securitate pentru aplicații în cloud ”
• Faceți clic pe „ Control” și apoi pe „Politici ”
• Creați „Politică” și alegeți „Politica de descoperire a aplicațiilor ”

• Selectați șablonul pentru o nouă aplicație cu volum mare

• Derulați în jos și faceți clic pe „Creați ”

Creați politici de fișiere

• Politicile de fișiere sunt un instrument excelent pentru a găsi amenințări la adresa politicilor dvs. de protecție a informațiilor, de exemplu găsirea de locații în care utilizatorii stochează informații sensibile, numere de card de credit și fișiere ICAP de la terți în cloud.
• Cu Cloud App Security, nu numai că puteți detecta aceste fișiere nedorite stocate în cloud care vă fac vulnerabil, dar puteți lua măsuri imediate pentru a le opri și a bloca fișierele care reprezintă o amenințare.
• Folosind carantina administrativă, vă puteți proteja fișierele din cloud și puteți remedia problemele, precum și să preveniți scurgerile viitoare.
• Utilizați politicile de fișiere pentru a detecta partajarea informațiilor și pentru a căuta informații confidențiale în aplicațiile dvs. cloud.

Creați următoarele politici de fișiere pentru a obține vizibilitate asupra modului în care informațiile sunt utilizate în organizația dvs.

• Un fișier care conține PII detectat în cloud (motor DLP încorporat) – alertează când un fișier care conține informații de identificare personală (PII) este detectat de motorul nostru de prevenire a pierderii datelor (DLP) într-o aplicație cloud sancționată.
• Fișiere partajate cu domenii neautorizate – alertează când fișierul este partajat cu un domeniu neautorizat (cum ar fi concurentul).
• Fișier partajat cu adrese de e-mail personale – alertează când un fișier este partajat cu adresa de e-mail personală a unui utilizator.

Utilizați șabloane prestabilite pentru a începe, a examina fișierele din fila Politici potrivite. Aplicați politicile la un singur site SharePoint/OneDrive pentru a înțelege cum funcționează politicile înainte de a adăuga aplicații sau site-uri suplimentare.

Cum se creează o politică de fișiere?

• Accesați „ Microsoft Cloud App Security Portal ”
• Faceți clic pe „ Control și apoi pe „Politici ”
• Creați „ Politică și alegeți „ Politica fișierelor ”

• Selectați șablonul pentru un fișier care conține PII detectat în cloud (motor DLP încorporat)
• Acoperiți-l până la SharePoint și OneDrive și Folder

• Faceți clic pe creați

Urmați aceiași pași și utilizați șabloanele menționate mai sus.

Pentru informații suplimentare despre politicile de fișiere, urmați acest link .

Protecția împotriva amenințărilor

Permisiuni : Administrator global, Administrator de securitate sau Administrator de grup de utilizatori

Crearea unei politici de activitate vă poate ajuta să detectați utilizarea rău intenționată a unui utilizator final sau a unui cont privilegiat sau o indicație a unei posibile sesiuni compromise.

Crearea politicilor de activitate

Urmați acest link pentru a afla mai multe despre politicile de activitate.

• Descărcare în masă de către un singur utilizator – această politică vă va oferi vizibilitate cu privire la posibila exfiltrare a datelor. În mod implicit, această politică va alerta și cu privire la sincronizările clientului OneDrive
• Mai multe încercări eșuate de conectare a utilizatorului la o aplicație – posibil atac de forță brută sau cont compromis.
• Conectați-vă de la o adresă IP riscantă - posibil cont compromis.
• Activitate potențială de ransomware – alertează când un utilizator încarcă fișiere în cloud care ar putea fi infectate cu ransomware.

Detectarea programelor malware

• Această detectare identifică fișierele rău intenționate din stocarea dvs. în cloud, indiferent dacă provin din aplicațiile dvs. Microsoft sau din aplicațiile terțe.
• Microsoft Cloud App Security folosește informațiile despre amenințări ale Microsoft pentru a recunoaște dacă anumite fișiere sunt asociate cu atacuri malware cunoscute și sunt potențial rău intenționate.
• Această politică încorporată este dezactivată implicit.
• Nu fiecare fișier este scanat, dar euristica este folosită pentru a căuta fișiere care sunt potențial riscante. După ce fișierele sunt detectate, puteți vedea o listă de fișiere infectate.
• Faceți clic pe numele fișierului malware din sertarul de fișiere pentru a deschide un raport de malware care vă oferă informații despre acel tip de malware cu care fișierul este infectat.

Notă : Detectarea programelor malware este dezactivată în mod implicit. Asigurați-vă că îl activați pentru a fi alertat cu privire la posibilele fișiere infectate.

Investigarea și remedierea alertelor

Investigați și determinați natura încălcării asociate cu alerta. Încercați să înțelegeți dacă este o încălcare gravă, discutabilă sau un comportament anormal pentru utilizator. Investigați în continuare uitându-vă la descrierea alertei și a ceea ce a declanșat, precum și la activități similare.

Dacă respingeți alertele, este important să înțelegeți de ce nu au nicio importanță sau dacă este un fals pozitiv. Dacă intră prea mult zgomot, asigurați-vă că revizuiți și ajustați politica care declanșează alerta.

• În „ Portalul de securitate pentru aplicații Microsoft Cloud ” – Accesați „Alerte ”

• Faceți clic pe o alertă pe care doriți să o investigați. În acest exemplu, investigăm un singur utilizator care a avut mai multe încercări eșuate de conectare, ceea ce ar putea fi un semn de forță brută și o identitate compromisă.
• Citiți descrierea alertei și uitați-vă la detaliile furnizate pentru a vedea dacă ceva pare suspect.
• Vedem că acest utilizator este un administrator și a avut peste 12 conectări eșuate. Există șansa ca un atacator să încerce să compromită acest cont.

• Faceți clic pe „ Vizualizați toată activitatea utilizatorului ” pentru a vedea activitățile acestui utilizator pentru informații suplimentare pentru procesul dumneavoastră de investigație.

• Dacă ne uităm la imaginile capturate, putem vedea că este un administrator al cărui cont a fost compromis. Putem ajunge la această concluzie văzând că a avut mai multe conectări eșuate de la o adresă IP TOR și a încercat să exfiltreze datele prin alerta sa de descărcare în masă.
• Acum că avem suficiente informații pentru a deduce că alerta este adevărată. Putem rezolva alerta prin opțiunile disponibile. În acest caz, cea mai bună abordare ar fi suspendarea utilizatorului, deoarece contul său este compromis.

• Faceți clic pe Rezolvare și scrieți cum ați rezolvat alerta

Reducerea falselor pozitive

Politicile de detectare a anomaliilor sunt declanșate atunci când sunt comportamente neobișnuite efectuate de utilizatorii din mediul dumneavoastră. Microsoft Cloud App Security are o perioadă de învățare în care utilizează analiza comportamentală a entităților, precum și învățarea automată pentru a înțelege comportamentul „ normal ” al utilizatorilor dvs. Utilizați glisorul de sensibilitate pentru a decide sensibilitatea politicii respective, pe lângă stabilirea politicilor specifice numai pentru un anumit grup.

De exemplu, pentru a reduce numărul de false pozitive în cadrul alertei de călătorie imposibilă, puteți seta glisorul de sensibilitate la scăzut. Dacă aveți utilizatori în organizația dvs. care sunt deseori călători corporativi, îi puteți adăuga la un grup de utilizatori și puteți selecta acel grup în domeniul de aplicare al politicii.

Adăugați adresa IP corporativă și intervalele VPN , veți vedea mai puține alerte în legătură cu călătoriile imposibile și țările rare.

Faceți clic pe Setări urmat de intervale de adrese IP
Denumiți intervalul
Introduceți intervalul de adrese IP
Selectați o categorie
Adăugați o etichetă pentru a eticheta anumite activități din acest interval

Aplicații OAuth

Acestea sunt aplicațiile instalate de utilizatorii de afaceri din organizația dvs. solicită permisiunea de a accesa informațiile și datele utilizatorului și de a se conecta în numele utilizatorului în alte aplicații cloud, cum ar fi Microsoft 365, G Suite și Salesforce. Când utilizatorii instalează aceste aplicații, deseori fac clic pe Accept, fără a examina îndeaproape detaliile din solicitare, inclusiv acordarea de permisiuni pentru aplicație.

Veți avea capacitatea de a interzice și de a revoca accesul la aceste aplicații.

Mulți utilizatori acordă acces la conturile lor corporative Microsoft 365, G-Suite și Salesforce atunci când încearcă să acceseze o aplicație OAuth. Problema care apare este că IT-ul nu a avut, de obicei, nicio vizibilitate asupra acestor aplicații sau care este nivelul de risc asociat. Cloud App Security vă oferă posibilitatea de a descoperi aplicațiile OAuth pe care utilizatorii dvs. le-au instalat și ce cont corporativ îl folosesc pentru a se conecta. Odată ce descoperiți ce aplicații OAuth sunt folosite de care cont, puteți permite sau interzice accesul în portal.

Gestionați aplicațiile OAuth

Pagina OAuth conține informații despre aplicațiile la care utilizatorii dvs. acordă acces folosind acreditările lor corporative Microsoft 365, Salesforce și G-Suite.

Interzice sau aproba și aplicație:

• Accesați „ Microsoft Cloud App Security Portal ” -> Faceți clic pe „ Investigați” -> Faceți clic pe „OAuth Apps ”
• Faceți clic pe „ Application Drawer” pentru a vedea informații suplimentare despre fiecare aplicație și permisiunea care a fost acordată
• Puteți interzice sau aproba aplicația făcând clic pe pictograma de aprobare sau de interzicere

Notă : Dacă decideți să interziceți o aplicație, puteți notifica utilizatorul că aplicația pe care a instalat-o și i-au oferit permisiuni este interzisă și puteți adăuga un mesaj de notificare personalizat.

Revocați aplicația

Această funcționalitate este disponibilă numai pentru aplicațiile conectate G-Suite și Salesforce.

• Pe pagina de aplicații OAuth -> faceți clic pe cele trei puncte din partea dreaptă a rândului aplicației
• Faceți clic pe Revocare aplicație

Politici OAuth

Politicile OAuth vă informează când este descoperită o aplicație OAuth care îndeplinește criteriile specifice.

Urmați acest link pentru instrucțiuni pentru a crea politici pentru aplicații OAuth.

CASB pentru platforme cloud

Permisiuni : Administrator global

Notă : Rolul Azure AD Global nu oferă automat utilizatorilor privilegiați acces la abonamentele Azure.

Creșteți permisiunile utilizatorilor privilegiați pentru a vă adăuga abonamentele Azure - după ce adăugați abonamentele asigurați-vă că dezactivați elevația.

Pentru a vă îmbunătăți postura de securitate în cloud, adăugați abonamentele dvs. Azure în Cloud App Security; integrarea cu Azure Security Center vă va anunța când lipsesc configurații și controale de securitate. Veți putea să identificați anomaliile din mediul dvs. și să vă orientați către portalul Azure Security pentru a aplica aceste recomandări și a rezolva vulnerabilitățile.

Pentru a afla mai multe despre integrarea cu Azure Security Center, faceți clic aici .

Monitorizare și control în timp real

Permisiuni : Administrator de securitate sau Administrator global

• Controlul aplicației cu acces condiționat utilizează o arhitectură proxy inversă și este integrat în mod unic cu Accesul condiționat (CA) de la Azure AD.
• Accesul condiționat Azure AD vă permite să aplicați controale de acces la aplicațiile organizației dvs. în funcție de anumite condiții.
• Condițiile definesc „cine” (de exemplu, un utilizator sau un grup de utilizatori), „ce” (care aplicații cloud) și „unde” (care locații și rețele) se aplică o politică de acces condiționat.
• După ce ați determinat condițiile, puteți direcționa utilizatorii către MS Cloud App Security, unde puteți proteja datele cu Controlul aplicației cu acces condiționat prin aplicarea controalelor de acces și de sesiune.
• Controlul aplicației cu acces condiționat permite accesul la aplicația utilizatorului și sesiunile să fie monitorizate și controlate în timp real, pe baza politicilor de acces și de sesiune.
• Politicile de acces sunt utilizate pentru PC și dispozitivele mobile, iar politicile de sesiune sunt folosite pentru sesiunile de browser.

Politicile de acces și sesiune vă oferă următoarele capabilități:

• Blocați la descărcare
• Protejați la descărcare
• Preveniți copierea/printarea documentelor
• Monitorizați sesiunile cu încredere scăzută
• Blocare acces
• Creați modul numai pentru citire
• Restricționați sesiunile utilizatorilor din rețeaua non-corporativă
• Blocați încărcarea

Azure Portal – Azure Active Directory

• Accesați „ Azure Active Directory ” (AAD) sub „ Protejare” , faceți clic pe „ Acces condiționat ”

• Creați o politică în AAD pentru a activa aplicațiile condiționate
• Atribuiți un grup de utilizatori de testare și atribuiți o aplicație Cloud (SharePoint sau o aplicație terță care este configurată SSO) pentru a începe în timpul testării
• Faceți clic pe Sesiune și faceți clic pe „ Utilizați controlul aplicației pentru acces condiționat ”
• Selectați „ Utilizați politica personalizată ”, care va direcționa sesiunea prin Portalul de securitate pentru aplicații Microsoft Cloud

• Odată ce ați creat politica, asigurați-vă că vă deconectați de la fiecare aplicație configurată și vă conectați din nou.
• Conectați-vă din nou la portalul CAS, accesați Setări și faceți clic pe Controlul aplicației pentru acces condiționat

• Aplicațiile configurate ar trebui să apară în portal ca aplicații de control al aplicațiilor cu acces condiționat.

Crearea unei politici de sesiune

Vom crea o politică de sesiune folosind un șablon pentru a monitoriza toate activitățile pentru a începe.

Creați politici suplimentare folosind șabloanele prestabilite pentru a testa diferitele controale disponibile.

• Accesați „ Portalul de securitate pentru aplicații în cloud ”
• Faceți clic pe „ Control” și apoi pe „Politici ”
• Creați „Politică ” și alegeți „ Politica de sesiune ”

• Selectați șablonul pentru a monitoriza toate activitățile

• Faceți clic pe Creare

Licență Microsoft Cloud App Security

Prețul pentru licențele comerciale pentru Microsoft Cloud App Security variază în funcție de program, regiune și tip de acord. În canalul Direct, există prețuri de listă de sine stătătoare ERP. Vă rugăm să vedeți detalii despre configurațiile de preț aici . În plus, dacă clienții doresc să utilizeze caracteristica de control al aplicației cu acces condiționat din Microsoft Cloud App Security, trebuie să aibă, de asemenea, cel puțin o licență Azure Active Directory Premium P1 (AAD P1) pentru toți utilizatorii pe care intenționează să îi activeze pentru această caracteristică.

Planurile de licențiere disponibile clienților guvernamentali din SUA care includ Microsoft Cloud App Security sunt descrise în tabelele de licențiere de mai jos. Detalii suplimentare pot fi găsite în descrierile noastre de licențiere și preț:

• Microsoft 365 Guvernul SUA
• Microsoft 365 Government
• Enterprise Mobility + Security pentru Guvernul SUA

La sfârșit, ar trebui să înțelegeți protecția informațiilor, monitorizarea în timp real și capacitățile de protecție împotriva amenințărilor ale Microsoft 365 Cloud App Security.

Acum aș dori să aud de la tine:

Ce strategie din postarea de azi vei încerca mai întâi? Sau poate nu am menționat unul dintre sfaturile tale preferate de securitate pentru aplicația cloud.

Oricum ar fi, anunțați-mă lăsând un comentariu mai jos chiar acum.

Doriți să vă îmbunătățiți experiența Exchange Online pentru o productivitate mai bună? Consultați sfaturile și trucurile menționate aici .