Microsoft Cloud App Security 是 Microsoft CASB（雲訪問安全代理），是 Microsoft 雲安全堆棧的關鍵組件。這是一個全面的解決方案，可以幫助您的組織充分利用雲應用程序的承諾，同時通過提高對活動的可見性讓您保持控制。
它還有助於加強對跨雲應用程序（Microsoft 和第 3 方）的關鍵數據的保護。
借助有助於發現影子 IT、評估風險、執行策略、調查活動和阻止威脅的工具，您的組織可以更安全地遷移到雲，同時保持對關鍵數據的控制。

Microsoft 雲應用安全：權威指南 (2022)

Microsoft 雲應用安全如何工作？

發現

雲發現使用您的流量日誌來發現和分析正在使用的雲應用程序。您可以從防火牆和代理手動上傳日誌文件進行分析，也可以選擇自動上傳。

制裁與不制裁

MS Cloud App Security 使您能夠使用雲應用程序目錄批准/阻止組織中的應用程序。
雲應用目錄根據監管認證、行業標準和最佳實踐對雲應用的風險進行評級。
然後，您可以根據組織的需要自定義各種參數的分數和權重。
根據這些分數，Microsoft Cloud App Security 根據可能影響您的環境的 50 多個風險因素，讓您了解應用程序的風險程度。

Microsoft 雲應用安全：權威指南 (2022)

應用連接器

應用連接器利用各種雲應用提供商提供的 API，使 Microsoft Cloud App Security 雲能夠與其他雲應用集成並擴展控制和保護。這使 Microsoft 365 Cloud App Security 能夠直接從雲應用中提取信息以進行分析。
為了連接應用程序並擴展保護，應用程序管理員授權 MS Cloud App Security 訪問應用程序，然後 Cloud App Security 查詢應用程序以獲取活動日誌並掃描數據、帳戶和雲內容。
然後，Microsoft 365 Cloud App Security 可以強制執行策略、檢測威脅並提供治理操作來解決問題。

政策制定

策略允許您定義您希望用戶在雲中的行為方式。它們使您能夠檢測雲環境中的風險行為、違規或可疑數據點和活動，並在需要時集成補救流程以實現完全的風險緩解。
有多種類型的策略與您要收集的有關雲環境的不同類型的信息以及您可能要採取的補救措施的類型相關聯。

Microsoft Cloud App Security 提供什麼？

Microsoft 雲應用安全：權威指南 (2022)

發現

發現組織中正在使用哪些應用程序只是確保敏感公司數據受到保護的第一步。了解用例、識別頂級用戶以及確定與每個應用程序相關的風險都是了解組織整體風險狀況的重要組成部分。Microsoft Cloud App Security 提供有關用戶、使用模式、上傳/下載流量和事務的持續風險檢測、分析和強大報告，以便您可以立即識別異常情況。

如何創建新的發現報告？

訪問“ Microsoft Defender for Cloud Apps”門戶
在左側，選擇 Discover 和 Cloud Discovery 儀表板。

Microsoft 雲應用安全：權威指南 (2022)

接下來，選擇“創建新報告”

Microsoft 雲應用安全：權威指南 (2022)

接下來，輸入您希望的詳細信息，然後選擇“創建”

Microsoft 雲應用安全：權威指南 (2022)

注意：報告創建分析最多需要 24 小時來處理

數據控制

創建雲應用程序發現策略，讓您能夠在發現有風險、不合規或趨勢的新應用程序時收到警報。首先使用內置模板為有風險的高容量應用程序創建應用程序發現策略。如果需要，可以調整配置。

新的大容量應用程序 - 當發現每日總流量超過 500 MB 的新應用程序時發出警報
有風險的應用程序——當發現新應用程序的風險評分低於 6 並且被超過 50 名用戶使用且每日總使用量超過 50 MB 時發出警報

創建策略後，當發現具有高容量和高風險的應用程序時，您將收到通知。這將使您能夠高效且持續地監控網絡中的應用程序。

創建應用發現策略

轉到“雲應用安全門戶”
單擊“控制”，然後單擊“策略”
創建“策略”並選擇“應用發現策略”

Microsoft 雲應用安全：權威指南 (2022)

為新的大容量應用程序選擇模板

Microsoft 雲應用安全：權威指南 (2022)

向下滾動並單擊“創建”

創建文件策略

文件策略是查找對您的信息保護策略的威脅的絕佳工具，例如查找用戶在您的雲中存儲敏感信息、信用卡號和第三方 ICAP 文件的位置。
借助 Cloud App Security，您不僅可以檢測到這些存儲在雲中使您容易受到攻擊的不需要的文件，而且您可以立即採取措施阻止它們並鎖定構成威脅的文件。
使用管理員隔離，您可以保護雲中的文件並修復問題，並防止將來發生洩漏。
使用文件策略檢測信息共享並掃描雲應用程序中的機密信息。

創建以下文件策略以了解您的組織內如何使用信息。

在雲中檢測到包含 PII 的文件（內置 DLP 引擎）——當我們在認可的雲應用程序中的內置數據丟失防護 (DLP) 引擎檢測到包含個人身份信息 (PII) 的文件時發出警報。
與未經授權的域共享的文件 - 當文件與未經授權的域（例如您的競爭對手）共享時發出警報。
與個人電子郵件地址共享文件 - 當文件與用戶的個人電子郵件地址共享時發出警報。

使用預設模板開始，查看匹配策略選項卡中的文件。將策略範圍限定到單個 SharePoint/OneDrive 站點，以在添加其他應用程序或站點之前了解策略的工作方式。

如何創建文件策略？

轉到“微軟 雲應用安全門戶”
單擊“控制” ，然後單擊“策略”
創建“策略”並選擇“文件策略”

Microsoft 雲應用安全：權威指南 (2022)

選擇包含在雲中檢測到的 PII 的文件的模板（內置 DLP 引擎）
將其範圍縮小到 SharePoint 和 OneDrive 和文件夾

Microsoft 雲應用安全：權威指南 (2022)

點擊創建

按照相同的步驟並使用上面提到的模板。

有關文件策略的更多信息，請點擊此鏈接。

威脅防護

權限：全局管理員、安全管理員或用戶組管理員

創建活動策略可以幫助您檢測對最終用戶或特權帳戶的惡意使用，或對可能受到破壞的會話的指示。

創建活動策略

請點擊此鏈接以了解有關活動政策的更多信息。

由單個用戶大量下載 - 此策略將使您能夠了解可能的數據洩露。默認情況下，此策略還會在 OneDrive 客戶端同步時發出警報
用戶多次嘗試登錄應用程序失敗 - 可能是暴力攻擊或帳戶被盜。
從有風險的 IP 地址登錄 - 可能被盜的帳戶。
潛在的勒索軟件活動——當用戶將可能感染勒索軟件的文件上傳到雲時發出警報。

惡意軟件檢測

此檢測可識別您的雲存儲中的惡意文件，無論它們來自您的 Microsoft 應用程序還是第三方應用程序。
Microsoft Cloud App Security 使用 Microsoft 的威脅情報來識別某些文件是否與已知的惡意軟件攻擊相關聯並具有潛在的惡意。
默認情況下禁用此內置策略。
並非每個文件都被掃描，但啟發式方法用於查找具有潛在風險的文件。檢測到文件後，您可以看到受感染文件的列表。
單擊文件抽屜中的惡意軟件文件名以打開惡意軟件報告，該報告為您提供有關文件感染的惡意軟件類型的信息。

注意：默認情況下禁用惡意軟件檢測。確保啟用它以收到有關可能受感染文件的警報。

調查和修復警報

調查並確定與警報相關的違規性質。嘗試了解這對用戶來說是嚴重的、可疑的違規行為還是異常行為。通過查看警報的描述和触發的內容以及查看類似活動來進一步調查。

如果您關閉警報，重要的是要了解它們為什麼不重要，或者它是否是誤報。如果噪音太大，請務必查看並調整觸發警報的策略。

在“ Microsoft 雲應用安全門戶”中 - 轉到“警報”

Microsoft 雲應用安全：權威指南 (2022)

單擊您要調查的警報。在此示例中，我們正在調查一個用戶多次登錄嘗試失敗，這可能是暴力破解和身份受損的跡象。
閱讀警報的描述並查看提供的詳細信息，看看是否有任何可疑之處。
我們看到這個用戶是管理員並且有超過 12 次失敗的登錄。攻擊者有可能試圖破壞此帳戶。

Microsoft 雲應用安全：權威指南 (2022)

單擊“查看所有用戶活動”以查看此用戶的活動，以獲取有關您的調查過程的更多信息。

Microsoft 雲應用安全：權威指南 (2022)

如果我們查看捕獲的圖像，我們可以看到他是一個帳戶已被盜用的管理員。我們可以通過看到他從一個 TOR IP 地址多次登錄失敗並試圖通過他的海量下載警報竊取數據來得出這個結論。
現在我們有足夠的信息來推斷警報是真實的。我們可以通過我們可用的選項來解決警報。在這種情況下，最好的方法是暫停用戶，因為他的帳戶已被盜用。

Microsoft 雲應用安全：權威指南 (2022)

單擊解決並寫下您如何解決警報

Microsoft 雲應用安全：權威指南 (2022)

減少誤報

當異常檢測策略是您環境中的用戶執行的異常行為時觸發。Microsoft Cloud App Security 有一個學習期，它使用實體行為分析和機器學習來了解用戶的“正常”行為。除了僅針對給定組確定特定策略的範圍之外，還可以使用敏感度滑塊來確定該策略的敏感度。

Microsoft 雲應用安全：權威指南 (2022)

例如，要減少不可能旅行警報中誤報的數量，您可以將靈敏度滑塊設置為低。如果您的組織中有經常出差的用戶，您可以將他們添加到用戶組並在策略範圍內選擇該組。

添加您的公司 IP 地址和 VPN 範圍，您將看到更少的與不可能旅行和罕見國家相關的警報。

單擊設置，然後單擊 IP 地址範圍
命名範圍
輸入 IP 地址範圍
選擇類別
添加標籤以標記此範圍內的特定活動

OAuth 應用程序

這些是您組織中的業務用戶安裝的應用程序，請求訪問用戶信息和數據的權限，並代表用戶在其他雲應用程序中登錄，例如 Microsoft 365、G Suite 和 Salesforce。當用戶安裝這些應用程序時，他們通常在沒有仔細查看提示中的詳細信息（包括授予應用程序權限）的情況下單擊接受。

您將能夠禁止和撤銷對這些應用程序的訪問。

許多用戶在嘗試訪問 OAuth 應用程序時授予對其 Microsoft 365、G-Suite 和 Salesforce 公司帳戶的訪問權限。出現的問題是 IT 通常無法了解這些應用程序或相關的風險級別是什麼。Cloud App Security 使您能夠發現用戶已安裝的 OAuth 應用程序以及他們用於登錄的公司帳戶。一旦您發現哪個帳戶正在使用哪些 OAuth 應用程序，您就可以在門戶中允許或禁止訪問權限。

管理 OAuth 應用程序

OAuth 頁麵包含有關您的用戶使用其公司 Microsoft 365、Salesforce 和 G-Suite 憑據授予訪問權限的應用程序的信息。

禁止或批准和應用：

轉到“ Microsoft Cloud App Security Portal ” -> 點擊“ Investigate” -> 點擊“OAuth Apps ”
單擊“應用程序抽屜”以查看有關每個應用程序的附加信息以及授予的權限
您可以通過單擊批准或禁止圖標來禁止或批准該應用程序

Microsoft 雲應用安全：權威指南 (2022)

注意：如果您決定禁止某個應用，您可以通知用戶他們安裝並提供權限的應用已被禁止，並且可以添加自定義通知消息。

撤銷應用

此功能僅適用於 G-Suite 和 Salesforce 連接的應用程序。

在 OAuth 應用程序頁面上 -> 單擊應用程序行最右側的三個點
點擊撤銷應用

Microsoft 雲應用安全：權威指南 (2022)

OAuth 策略

當發現符合特定條件的 OAuth 應用程序時，OAuth 策略會通知您。

按照此鏈接的說明創建 OAuth 應用程序策略。

雲平台的 CASB

權限：全局管理員

注意：Azure AD 全局角色不會自動為特權用戶提供對 Azure 訂閱的訪問權限。

提升特權用戶的權限以添加您的 Azure 訂閱 - 添加訂閱後，請確保禁用提升。

要改善您的雲安全狀況，請將您的 Azure 訂閱添加到 Cloud App Security；與 Azure 安全中心的集成將在缺少配置和安全控制時通知您。你將能夠識別環境中的異常並轉向 Azure 安全門戶以應用這些建議並解決漏洞。

要了解有關與 Azure 安全中心集成的更多信息，請單擊此處。

實時監控

權限：安全管理員或全局管理員

Microsoft 雲應用安全：權威指南 (2022)

條件訪問應用程序控制利用反向代理體系結構，並與 Azure AD 的條件訪問 (CA) 進行了獨特集成。
Azure AD 條件訪問允許你根據特定條件對組織的應用實施訪問控制。
條件定義了條件訪問策略應用到的“誰”（例如用戶或用戶組）、“什麼”（哪些雲應用程序）和“哪裡”（哪些位置和網絡）。
確定條件後，您可以將用戶路由到 MS Cloud App Security，您可以在其中通過應用訪問和會話控制使用條件訪問應用控制來保護數據。
條件訪問應用程序控制允許根據訪問和會話策略實時監控和控制用戶應用程序訪問和會話。
訪問策略用於 PC 和移動設備，會話策略用於瀏覽器會話。

訪問和會話策略為您提供以下功能：

阻止下載
下載時保護
防止文件複製/打印
監控低信任會話
阻止訪問
創建只讀模式
限制來自非公司網絡的用戶會話
阻止上傳

Azure 門戶 - Azure Active Directory

轉到“保護”下的“ Azure Active Directory ”（AAD），單擊“條件訪問”

Microsoft 雲應用安全：權威指南 (2022)

在 AAD 中創建策略以啟用條件應用程序
分配一個測試用戶組並分配一個雲應用程序（SharePoint 或配置了 SSO 的第 3 方應用程序）以在測試期間開始
單擊會話，然後單擊“使用條件訪問應用程序控制”
選擇“使用自定義策略”，它將通過 Microsoft Cloud App Security 門戶路由會話

創建策略後，請確保註銷每個配置的應用程序並重新登錄。
重新登錄 CAS 門戶，進入設置並單擊條件訪問應用程序控制

Microsoft 雲應用安全：權威指南 (2022)

配置的應用程序應在門戶中顯示為條件訪問應用程序控制應用程序。

Microsoft 雲應用安全：權威指南 (2022)

創建會話策略

我們將使用模板創建會話策略來監控所有活動以開始。

使用預設模板創建其他策略以測試可用的不同控件。

轉到“雲應用安全門戶”
單擊“控制”，然後單擊“策略”
創建“策略”並選擇“會話策略”

Microsoft 雲應用安全：權威指南 (2022)

選擇模板以監控所有活動

Microsoft 雲應用安全：權威指南 (2022)

單擊創建

Microsoft 雲應用安全：權威指南 (2022)

微軟雲應用安全許可證

Microsoft Cloud App Security 商業許可證的價格因計劃、地區和協議類型而異。在 Direct 渠道中，有 ERP 獨立清單價格。請在此處查看定價配置的詳細信息。此外，如果客戶想要使用 Microsoft Cloud App Security 的條件訪問應用程序控制功能，他們還必須為他們打算為此功能啟用的所有用戶至少擁有一個 Azure Active Directory Premium P1 (AAD P1) 許可證。

以下許可表中介紹了適用於美國政府客戶的許可計劃，其中包括 Microsoft Cloud App Security。其他詳細信息可在我們的許可和定價說明中找到：

最後，您應該對 Microsoft 365 雲應用安全的信息保護、實時監控和威脅防護能力有所了解。

現在我想听聽你的意見：

您將首先嘗試今天帖子中的哪種策略？或者，也許我沒有提到您最喜歡的雲應用程序安全提示之一。

無論哪種方式，請立即在下面發表評論讓我知道。

想要改善您的 Exchange Online 體驗以提高工作效率嗎？查看此處提到的提示和技巧。