Microsoft Cloud App Security: полное руководство (2022 г.)

Хотите улучшить защиту своих облачных приложений?

Тогда вы находитесь в правильном месте.

Потому что сегодня я собираюсь показать вам точные методы, которые я использую для обеспечения видимости своих облачных приложений.

1 Что такое Microsoft Cloud App Security?

2 Как работает Microsoft Cloud App Security?

2.1 Открытие

2.2 Санкции и снятие санкций

2.3 Соединители приложений

2.4 Настройка политики

3 Что обеспечивает Microsoft Cloud App Security?

4 Открытие

4.1 Как создать новый отчет об обнаружении?

5 Управление данными

5.1 Создание политики обнаружения приложений

6 Создание файловых политик

6.1 Как создать файловую политику?

7 Защита от угроз

7.1 Создание политик активности

8 Обнаружение вредоносных программ

9 Исследование и исправление предупреждений

9.1 Сокращение ложных срабатываний

9.2 Приложения OAuth

9.3 Управление приложениями OAuth

9.3.1 Запретить или одобрить и применить:

9.3.2 Отзыв приложения

9.3.3 Политики OAuth

10 CASB для облачных платформ

11 Мониторинг и управление в реальном времени

12 Портал Azure — Azure Active Directory

13 Создание политики сеанса

14 Лицензия Microsoft Cloud App Security

Что такое Microsoft Cloud App Security?

• Microsoft Cloud App Security — это Microsoft CASB (брокер безопасности облачного доступа), который является важным компонентом стека Microsoft Cloud Security. Это комплексное решение, которое поможет вашей организации во время переезда в полной мере воспользоваться преимуществами облачных приложений, но при этом позволит вам контролировать ситуацию за счет улучшенного контроля активности.
• Это также помогает повысить уровень защиты критически важных данных в облачных приложениях (Microsoft и сторонних производителей).
• С помощью инструментов, помогающих выявлять теневые ИТ-ресурсы, оценивать риски, применять политики, исследовать действия и предотвращать угрозы, ваша организация может более безопасно перейти в облако, сохраняя при этом контроль над критически важными данными.

Как работает Microsoft Cloud App Security?

Открытие

Облачное обнаружение использует ваши журналы трафика для обнаружения и анализа используемых облачных приложений. Вы можете вручную загрузить файлы журналов для анализа с ваших брандмауэров и прокси-серверов или выбрать автоматическую загрузку.

Санкции и снятие санкций

• MS Cloud App Security позволяет вам санкционировать/блокировать приложения в вашей организации, используя каталог облачных приложений.
• Каталог облачных приложений оценивает риски для ваших облачных приложений на основе нормативных сертификатов, отраслевых стандартов и передового опыта.
• Затем вы можете настроить оценки и веса различных параметров в соответствии с потребностями вашей организации.
• Основываясь на этих оценках, Microsoft Cloud App Security позволяет узнать, насколько рискованно приложение в соответствии с более чем 50 факторами риска, которые могут повлиять на вашу среду.

Коннекторы приложений

• Соединители приложений используют API-интерфейсы, предоставляемые различными поставщиками облачных приложений, чтобы позволить облаку Microsoft Cloud App Security интегрироваться с другими облачными приложениями и расширить контроль и защиту. Это позволяет Microsoft 365 Cloud App Security извлекать информацию непосредственно из облачных приложений для анализа.
• Чтобы подключить приложение и расширить защиту, администратор приложения разрешает MS Cloud App Security получить доступ к приложению, а затем Cloud App Security запрашивает у приложения журналы активности и сканирует данные, учетные записи и облачный контент.
• Затем Microsoft 365 Cloud App Security может применять политики, обнаруживать угрозы и предлагать действия по управлению для решения проблем.

Настройка политики

• Политики позволяют вам определить, как ваши пользователи должны вести себя в облаке. Они позволяют обнаруживать рискованное поведение, нарушения или подозрительные точки данных, а также действия в вашей облачной среде и, при необходимости, интегрировать процессы исправления для полного снижения рисков.
• Существует несколько типов политик, которые соотносятся с различными типами информации, которую вы хотите собрать об облачной среде, и типами действий по исправлению, которые вы можете предпринять.

Что обеспечивает Microsoft Cloud App Security?

Открытие

Обнаружение того, какие приложения используются в организации, — это только первый шаг к обеспечению защиты конфиденциальных корпоративных данных. Понимание вариантов использования, выявление основных пользователей и определение риска, связанного с каждым приложением, — все это важные компоненты для понимания общей степени риска организации. Microsoft Cloud App Security обеспечивает постоянное обнаружение рисков, аналитику и мощные отчеты о пользователях, схемах использования, трафике загрузки/выгрузки и транзакциях, чтобы вы могли сразу выявлять аномалии.

Как создать новый отчет об обнаружении?

• Доступ к порталу Microsoft Defender для облачных приложений .
• Слева выберите панель мониторинга Discover and Cloud Discovery.

• Далее выберите « Создать новый отчет » .

Затем введите нужные данные и выберите « Создать » .

Примечание . Анализ создания отчета занимает до 24 часов.

Контроль данных

Создавайте политики обнаружения облачных приложений, чтобы вы могли получать оповещения при обнаружении новых приложений, которые являются либо рискованными, либо несовместимыми, либо популярными. Начните с использования встроенных шаблонов для создания политик обнаружения приложений для рискованных приложений и приложений с большими объемами. При необходимости конфигурация может быть изменена.

• Новое крупномасштабное приложение — предупреждает об обнаружении новых приложений с общим ежедневным трафиком более 500 МБ.
• Рискованное приложение — предупреждает, когда обнаруживаются новые приложения с оценкой риска ниже 6, которые используются более чем 50 пользователями с общим ежедневным использованием более 50 МБ.

После создания политики вы получите уведомление при обнаружении приложения с большим объемом и высоким риском. Это позволит вам эффективно и непрерывно отслеживать приложения в вашей сети.

Создание политики обнаружения приложений

• Перейдите на « Портал безопасности облачных приложений »
• Нажмите « Управление» , а затем «Политики » .
• Создайте «Политику» и выберите «Политика обнаружения приложений » .

• Выберите шаблон для нового приложения большого объема

• Прокрутите вниз и нажмите «Создать »

Создание файловых политик

• Файловые политики — отличный инструмент для поиска угроз для ваших политик защиты информации, например для поиска мест, где пользователи хранят конфиденциальную информацию, номера кредитных карт и сторонние файлы ICAP в вашем облаке.
• С помощью Cloud App Security вы можете не только обнаружить эти нежелательные файлы, хранящиеся в вашем облаке, которые делают вас уязвимыми, но и принять незамедлительные меры, чтобы остановить их и заблокировать файлы, представляющие угрозу.
• Используя административный карантин, вы можете защитить свои файлы в облаке и устранить проблемы, а также предотвратить будущие утечки.
• Используйте файловые политики для обнаружения обмена информацией и сканирования конфиденциальной информации в ваших облачных приложениях.

Создайте следующие политики файлов, чтобы получить представление о том, как информация используется в вашей организации.

• Файл, содержащий PII, обнаружен в облаке (встроенный механизм DLP) — оповещение, когда файл, содержащий личную информацию (PII), обнаруживается нашим встроенным механизмом предотвращения потери данных (DLP) в санкционированном облачном приложении.
• Файлы, совместно используемые с неавторизованными доменами — оповещение, когда файл передается с неавторизованного домена (например, вашего конкурента).
• Файл предоставлен совместно с личными адресами электронной почты — оповещение, когда файл передается с личного адреса электронной почты пользователя.

Используйте предустановленные шаблоны для запуска, просматривайте файлы на вкладке совпадающих политик. Примените политики к одному сайту SharePoint/OneDrive, чтобы понять, как работают политики, прежде чем добавлять дополнительные приложения или сайты.

Как создать файловую политику?

• Перейдите на « Портал безопасности облачных приложений Microsoft » .
• Нажмите « Управление », а затем «Политики » .
• Создайте « Политику » и выберите « Файловая политика » .

• Выберите шаблон для файла, содержащего PII, обнаруженного в облаке (встроенный механизм DLP).
• Ограничьте его до SharePoint, OneDrive и папки.

• Нажмите создать

Выполните те же шаги и используйте шаблоны, упомянутые выше.

Для получения дополнительной информации о файловых политиках перейдите по этой ссылке .

Защита от угроз

Разрешения : глобальный администратор, администратор безопасности или администратор группы пользователей.

Создание политики активности может помочь вам обнаружить злонамеренное использование учетной записи конечного пользователя или привилегированной учетной записи или указание на возможный скомпрометированный сеанс.

Создание политик активности

Перейдите по этой ссылке , чтобы узнать больше о политиках активности.

• Массовая загрузка одним пользователем — эта политика даст вам представление о возможной утечке данных. По умолчанию эта политика также будет предупреждать о синхронизации клиента OneDrive.
• Многократные неудачные попытки входа пользователя в приложение — возможная атака методом перебора или скомпрометированная учетная запись.
• Вход с опасного IP-адреса — возможная скомпрометированная учетная запись.
• Потенциальная активность программы-вымогателя — оповещение, когда пользователь загружает в облако файлы, которые могут быть заражены программой-вымогателем.

Обнаружение вредоносных программ

• Это обнаружение идентифицирует вредоносные файлы в вашем облачном хранилище, будь то из ваших приложений Microsoft или сторонних приложений.
• Microsoft Cloud App Security использует аналитику угроз Майкрософт, чтобы определить, связаны ли определенные файлы с известными атаками вредоносного ПО и являются ли они потенциально вредоносными.
• Эта встроенная политика по умолчанию отключена.
• Не каждый файл сканируется, но для поиска потенциально опасных файлов используются эвристики. После обнаружения файлов вы можете увидеть список зараженных файлов.
• Щелкните имя файла вредоносного ПО в панели файлов, чтобы открыть отчет о вредоносном ПО, в котором содержится информация о типе вредоносного ПО, которым заражен файл.

Примечание . Обнаружение вредоносных программ по умолчанию отключено. Обязательно включите его, чтобы получать предупреждения о возможных зараженных файлах.

Исследование и исправление предупреждений

Расследовать и определить характер нарушения, связанного с предупреждением. Попытайтесь понять, является ли это серьезным, сомнительным нарушением или аномальным поведением пользователя. Проведите дальнейшее расследование, изучив описание оповещения и то, что сработало, а также просмотрев аналогичные действия.

Если вы отклоняете оповещения, важно понять, почему они не имеют значения или это ложное срабатывание. Если поступает слишком много шума, обязательно проверьте и настройте политику, вызывающую оповещение.

• На « Портале безопасности облачных приложений Microsoft » — перейдите в «Оповещения » .

• Нажмите на предупреждение, которое вы хотите изучить. В этом примере мы исследуем одного пользователя, у которого было несколько неудачных попыток входа в систему, что может быть признаком грубой силы и скомпрометированной личности.
• Прочтите описание предупреждения и просмотрите предоставленные детали, чтобы увидеть, не выглядит ли что-то подозрительным.
• Мы видим, что этот пользователь является администратором и имеет более 12 неудачных входов в систему. Есть вероятность, что злоумышленник пытается скомпрометировать эту учетную запись.

• Нажмите « Просмотреть все действия пользователя », чтобы просмотреть действия этого пользователя и получить дополнительную информацию для процесса расследования.

• Если мы посмотрим на захваченные изображения, мы увидим, что это администратор, чья учетная запись была скомпрометирована. Мы можем сделать такой вывод, увидев, что у него было несколько неудачных входов в систему с IP-адреса TOR, и он пытался эксфильтровать данные с помощью предупреждения о массовой загрузке.
• Теперь, когда у нас достаточно информации, чтобы сделать вывод, что предупреждение верно. Мы можем устранить предупреждение с помощью доступных нам опций. В этом случае лучшим подходом будет приостановить действие пользователя, так как его учетная запись скомпрометирована.

• Нажмите «Решить» и напишите, как вы разрешили предупреждение.

Сокращение ложных срабатываний

Политики обнаружения аномалий запускаются, когда они представляют собой необычное поведение пользователей в вашей среде. У Microsoft Cloud App Security есть период обучения, когда он использует аналитику поведения объектов, а также машинное обучение, чтобы понять « нормальное » поведение ваших пользователей. Используйте ползунок чувствительности, чтобы определить чувствительность этой политики в дополнение к области действия определенных политик только для данной группы.

Например, чтобы уменьшить количество ложных срабатываний в оповещении о невозможности путешествия, можно установить ползунок чувствительности на низкое значение. Если в вашей организации есть пользователи, которые часто путешествуют по работе, вы можете добавить их в группу пользователей и выбрать эту группу в области действия политики.

Добавьте свой корпоративный IP-адрес и диапазоны VPN , и вы увидите меньше предупреждений о невозможных поездках и нечастых поездках по стране.

Нажмите «Настройки», затем «Диапазоны IP-адресов ».
Назовите диапазон.
Введите диапазон IP-адресов
. Выберите категорию.
Добавьте тег, чтобы пометить определенные действия из этого диапазона.

Приложения OAuth

Это приложения, установленные бизнес-пользователями в вашей организации, запрашивающие разрешение на доступ к пользовательской информации и данным и вход от имени пользователя в другие облачные приложения, такие как Microsoft 365, G Suite и Salesforce. Когда пользователи устанавливают эти приложения, они часто нажимают «Принять», не просматривая подробно детали в приглашении, включая предоставление разрешений для приложения.

У вас будет возможность запретить и отозвать доступ к этим приложениям.

Многие пользователи предоставляют доступ к своим корпоративным учетным записям Microsoft 365, G-Suite и Salesforce при попытке доступа к приложению OAuth. Проблема заключается в том, что ИТ-отдел обычно не имел представления об этих приложениях или о том, какой уровень риска связан с ними. Cloud App Security дает вам возможность обнаруживать приложения OAuth, которые установили ваши пользователи, и какую корпоративную учетную запись они используют для входа. Как только вы обнаружите, какие приложения OAuth используются какой учетной записью, вы можете разрешить или запретить право доступа на портале.

Управление приложениями OAuth

На странице OAuth содержится информация о том, к каким приложениям ваши пользователи предоставляют доступ, используя свои корпоративные учетные данные Microsoft 365, Salesforce и G-Suite.

Запретить или одобрить и приложение:

• Перейдите на « Портал Microsoft Cloud App Security » -> Нажмите « Исследовать» -> Нажмите «Приложения OAuth » .
• Нажмите « Ящик приложений» , чтобы просмотреть дополнительную информацию о каждом приложении и предоставленном разрешении.
• Вы можете запретить или одобрить приложение, щелкнув значок одобрения или запрета.

Примечание . Если вы решите заблокировать приложение, вы можете уведомить пользователя о том, что приложение, которое он установил и для которого предоставил разрешения, заблокировано, и можете добавить собственное уведомление.

Отозвать приложение

Эта функция доступна только для подключенных приложений G-Suite и Salesforce.

• На странице приложений OAuth -> нажмите на три точки справа от строки приложения.
• Нажмите на Отозвать приложение

Политики OAuth

Политики OAuth уведомляют вас, когда обнаруживается приложение OAuth, отвечающее определенным критериям.

Следуйте по этой ссылке , чтобы узнать, как создать политики приложений OAuth.

CASB для облачных платформ

Разрешения : глобальный администратор

Примечание . Глобальная роль Azure AD не предоставляет привилегированным пользователям доступ к подпискам Azure автоматически.

Повышайте права доступа привилегированных пользователей для добавления ваших подписок Azure. После добавления подписок обязательно отключите повышение прав.

Чтобы повысить уровень безопасности в облаке, добавьте подписки Azure в Cloud App Security; интеграция с Центром безопасности Azure уведомит вас об отсутствии конфигураций и элементов управления безопасностью. Вы сможете выявить аномалии в своей среде и перейти на портал безопасности Azure, чтобы применить эти рекомендации и устранить уязвимости.

Чтобы узнать больше об интеграции с Центром безопасности Azure, щелкните здесь .

Мониторинг и контроль в реальном времени

Разрешения : администратор безопасности или глобальный администратор

• Управление приложениями условного доступа использует архитектуру обратного прокси-сервера и уникальным образом интегрировано с условным доступом (CA) Azure AD.
• Условный доступ Azure AD позволяет применять элементы управления доступом к приложениям вашей организации на основе определенных условий.
• Условия определяют «кто» (например, пользователь или группа пользователей), «что» (какие облачные приложения) и «где» (какие местоположения и сети) применяется к политике условного доступа.
• После того, как вы определили условия, вы можете направлять пользователей в MS Cloud App Security, где вы можете защитить данные с помощью условного контроля доступа к приложениям, применяя элементы управления доступом и сеансом.
• Управление приложениями с условным доступом позволяет отслеживать и контролировать доступ и сеансы пользовательских приложений в режиме реального времени на основе политик доступа и сеансов.
• Политики доступа используются для ПК и мобильных устройств, а политики сеансов — для сеансов браузера.

Политики доступа и сеанса предоставляют следующие возможности:

• Блокировать при загрузке
• Защитить при загрузке
• Запретить копирование/печать документов
• Мониторинг сеансов с низким уровнем доверия
• Блокировать доступ
• Создать режим только для чтения
• Ограничить сеансы пользователей из некорпоративной сети
• Заблокировать загрузку

Портал Azure — Azure Active Directory

• Перейдите в « Azure Active Directory » (AAD) в разделе « Защита» , нажмите « Условный доступ » .

• Создайте политику в AAD для включения условных приложений.
• Назначьте тестовую группу пользователей и назначьте одно облачное приложение (SharePoint или стороннее приложение с настроенным единым входом) для начала работы во время тестирования.
• Нажмите «Сеанс» и нажмите « Использовать контроль приложений с условным доступом » .
• Выберите « Использовать настраиваемую политику », которая направит сеанс через портал Microsoft Cloud App Security.

• После создания политики обязательно выйдите из каждого настроенного приложения и войдите снова.
• Войдите снова на портал CAS, перейдите в «Настройки» и нажмите «Контроль приложений условного доступа».

• Настроенные приложения должны отображаться на портале как приложения для управления приложениями с условным доступом.

Создание политики сеанса

Для начала мы создадим политику сеанса, используя шаблон для мониторинга всех действий.

Создайте дополнительные политики, используя предустановленные шаблоны, чтобы протестировать различные доступные элементы управления.

• Перейдите на « Портал безопасности облачных приложений »
• Нажмите « Управление» , а затем «Политики » .
• Создайте «Политику » и выберите « Политика сеанса » .

• Выберите шаблон для мониторинга всех действий

• Нажмите Создать

Лицензия безопасности облачных приложений Майкрософт

Стоимость коммерческих лицензий Microsoft Cloud App Security зависит от программы, региона и типа соглашения. В прямом канале есть отдельные прейскурантные цены ERP. Подробнее о ценовых конфигурациях см. здесь . Кроме того, если клиенты хотят использовать функцию контроля приложений с условным доступом в Microsoft Cloud App Security, они также должны иметь по крайней мере лицензию Azure Active Directory Premium P1 (AAD P1) для всех пользователей, которым они намерены разрешить эту функцию.

Планы лицензирования, доступные для государственных заказчиков США, которые включают Microsoft Cloud App Security, описаны в таблицах лицензирования ниже. Дополнительную информацию можно найти в описаниях лицензий и цен:

• Microsoft 365 для государственных организаций США
• Microsoft 365 для государственных организаций
• Корпоративная мобильность + безопасность для правительства США

В конце этого вы должны иметь представление о защите информации, мониторинге в реальном времени и возможностях защиты от угроз в Microsoft 365 Cloud App Security.

Теперь я хотел бы услышать от вас:

Какую стратегию из сегодняшнего поста вы собираетесь попробовать в первую очередь? Или, может быть, я не упомянул один из ваших любимых советов по безопасности облачных приложений.

В любом случае, дайте мне знать, оставив комментарий ниже прямо сейчас.

Хотите улучшить работу с Exchange Online для повышения производительности? Ознакомьтесь с советами и рекомендациями, упомянутыми здесь .