Opstel van Microsoft Cloud App Security (MCAS) vir SaaS-bestuur

Opstel van Microsoft Cloud App Security (MCAS) vir SaaS-bestuur

07/01/2024

Hierdie tegniese en opvoedkundige artikel het ten doel om sekuriteitsontleders, IT-administrateurs en stelselingenieurs te lei in die opstel en gebruik van Microsoft Cloud App Security (MCAS), nou deel van Microsoft Defender for Cloud Apps (MDCA), vir die bestuur van SaaS (sagteware as 'n diens) toepassings. MDCA is 'n omvattende Cloud Access Security Broker (CASB) oplossing wat sigbaarheid, databeheer en bedreigingsbeskerming vir jou wolktoepassings bied, wat help om sekuriteit en voldoening te verseker in 'n steeds groeiende wolkomgewing [1].

Inleiding

Die massa-aanneming van SaaS-toepassings het talle produktiwiteitsvoordele meegebring, maar dit het ook nuwe sekuriteitsuitdagings ingebring. Organisasies verloor dikwels sigbaarheid en beheer oor data wat gestoor en gedeel word oor wolktoepassings, wat skep wat bekend staan ​​as "Shadow IT." Daarbenewens is die beskerming teen intydse bedreigings en die versekering van voldoening vir hierdie toepassings kompleks. Microsoft Defender for Cloud Apps spreek hierdie uitdagings aan deur maatskappye in staat te stel om die gebruik van wolktoepassings te ontdek en te beheer, sensitiewe data te beskerm en abnormale gedrag op te spoor wat op bedreigings kan dui [2].

Hierdie praktiese gids sal die opstel van MDCA dek, van die ontdekking van Shadow IT en die koppeling van toepassings tot die skep van toegang-, sessie-, aktiwiteit- en anomalie-opsporingsbeleide. Stap-vir-stap instruksies, konfigurasievoorbeelde en valideringsmetodes sal verskaf word sodat die leser 'n robuuste SaaS-bestuurstrategie kan implementeer, hul data en gebruikers in wolktoepassings kan beskerm en hul organisasie se sekuriteitsposisie kan versterk.

Hoekom is Microsoft Cloud App Security van kardinale belang?

  • Shadow IT Discovery: Identifiseer alle wolktoepassings wat in jou organisasie gebruik word, beoordeel hul risiko's en laat jou toe om dit te beheer.
  • Databeskerming: Voorkom die uitkring van vertroulike data en verseker voldoening aan DLP (Data Loss Prevention)-beleide in wolktoepassings.
  • Toegangs- en sessiekontroles: Laat jou toe om korrelige toegangskontroles af te dwing en intydse sessieaktiwiteite vir gekoppelde toepassings te monitor.
  • Bedreigingsopsporing: Gebruik gedragsanalise en masjienleer om abnormale aktiwiteite en kuberbedreigings in wolktoepassings op te spoor.
  • Aansoekbestuur: Help om toepassingstoestemmings, gebruikersaktiwiteite en sekuriteitinstellings vir SaaS-toepassings te bestuur.
  • Integrasie met Microsoft 365 Defender: Korreleer MDCA-seine met ander Defender-oplossings vir 'n verenigde siening van voorvalle.

Voorvereistes

Om Microsoft Cloud App Security te implementeer, sal jy die volgende items benodig:

  1. Lisensiëring: 'n Lisensie wat Microsoft Defender for Cloud Apps insluit (bv. Microsoft 365 E5, Microsoft 365 E5 Security, Enterprise Mobility + Security E5, of 'n MDCA-selfstandige lisensie) [3].
  2. Administratiewe toegang: 'n Rekening met die rol van Global Administrator, Security Administrator of Cloud App Security Administrator in die Microsoft 365 Defender-portaal (https://security.microsoft.com).
  3. Logboekbronne (vir Shadow IT): Firewall en proxy-logboeke vir Shadow IT-ontdekking. Vir dieper integrasie, API-verbindings vir spesifieke SaaS-toepassings (bv. Office 365, Salesforce, Box).
  4. Microsoft Defender vir eindpunt (opsioneel, maar aanbeveel): Vir dieper Shadow IT-ontdekking en toepassingsbeheer op bestuurde toestelle.

Stap vir stap: Konfigureer Microsoft Security vir Wolk Apps

Kom ons ondersoek die opstel van MDCA vir SaaS-bestuur.

1. Toegang tot die Microsoft 365 Defender Portal

  1. Maak jou blaaier oop en navigeer na https://security.microsoft.com.
  2. Meld aan met 'n rekening wat die nodige toestemmings het.
  3. Kies Wolkprogramme in die linkernavigasiepaneel.

2. Application Discovery (Shadow IT)

Toepassingontdekking is die eerste stap om sigbaarheid in SaaS-gebruik in jou organisasie te verkry.

  1. Kies Ontdekking > Logboekfoto's of Logboekversamelaars in die MDCA-linkernavigasiepaneel.

  2. ** Log Snapshots**: Vir vinnige assessering, kan jy firewall- of proxy-verkeerslogboeke met die hand laai.

    • Klik Create Log Snapshot en volg die instruksies om 'n log-lêer op te laai.

  3. Logboekversamelaars: Vir deurlopende, outomatiese ontdekking, stel 'n loginsamelaar in jou omgewing op.

    • Klik Voeg logversamelaar by en volg die instruksies om die versamelaar te konfigureer (gewoonlik 'n virtuele masjien of houer wat logs na MDCA aanstuur).

  4. Defender for Endpoint Integration: As jy Defender for Endpoint het, word Shadow IT-ontdekking outomaties geaktiveer, wat wolktoepassingsgebruikdata direk vanaf eindpunte verskaf.

  5. Gaan na data-insameling na Ontdekking > Ontdekte toepassings om die lys wolktoepassings, hul risikovlakke en gebruikstatistieke te sien.

3. Koppel toepassings (API-koppelaars)

Vir dieper bestuur en beskerming, koppel SaaS-toepassings direk via API's.

  1. Kies Instellings > Toepassingverbindings in die MDCA-linkernavigasiepaneel.
  2. Klik + Koppel 'n toepassing.
  3. Kies die toepassing wat jy wil koppel (bv: Office 365, Salesforce, Box).
  4. Volg die spesifieke instruksies vir elke aansoek om die nodige toestemmings te verleen. Dit behels gewoonlik om as die aansoekadministrateur aan te meld en MDCA te magtig.

4. Skep van toegang en sessiebeleide

Toegang- en sessiebeleide laat jou toe om gebruikerstoegang en -aktiwiteite intyds te beheer.

  1. Kies Beheer > Beleide in die MDCA linkernavigasiepaneel.
  2. Klik Skep beleid > Toegangsbeleid of Sessiebeleid.

Voorbeeld: Sessiebeleid om aflaai van sensitiewe data te blokkeer

Hierdie beleid kan verhoed dat gebruikers sensitiewe lêers van 'n SaaS-toepassing aflaai wanneer hulle toegang tot hulle verkry vanaf 'n onbestuurde toestel.

  1. ** Soort beleid**: Sessiebeleid.
  2. Naam: Blokkeer aflaai van sensitiewe data na onbestuurde toestel.
  3. Erns: Hoog.
  4. Kategorie: Voorkoming van dataverlies.
  5. Aktiwiteitfilters: Stel die voorwaardes op:
    • Toepassings: Kies die teiken SaaS-toepassing (bv. SharePoint Online).
    • Gebruikers: Kies teikengebruikers of groepe.
    • Toestel: Kies Toestelhandelsmerk = Nie ondersteun nie of Nie hibriede Azure AD aangesluit nie.
    • Aktiwiteittipe: Laai af.
    • Inhoudinspeksie: Stel op om vertroulike data op te spoor (bv. Kredietkaartnommer, CPF).
  6. Aksies: Kies Blok (vir aflaaie) en Monitor.
  7. Klik Skep.

5. Skep aktiwiteitsbeleide

Aktiwiteitbeleide laat jou spesifieke gebruikerhandelinge in gekoppelde programme opspoor en beheer.

  1. Kies Beheer > Beleide in die MDCA linkernavigasiepaneel.
  2. Klik Skep beleid > Aktiwiteitsbeleid.
  3. Naam: Massale uitvee van lêers waarskuwing op OneDrive.
  4. Erns: Medium.
  5. Kategorie: Bedreigingsopsporing.
  6. Aktiwiteitfilters: Stel die voorwaardes op:
    • Toepassings: OneDrive for Business.
    • Aktiwiteittipe: Vee lêer uit.
    • Aktiwiteittelling: Groter as 10 (in 'n tydperk van 5 minute).
  7. Optrede: Kies Genereer waarskuwing en Stuur e-poswaarskuwing aan administrateurs.
  8. Klik Skep.

6. Skep Anomalie Detection Beleide

Anomalie-opsporingsbeleide gebruik masjienleer om ongewone gedrag te identifiseer wat 'n aanval kan aandui.

  1. Kies Beheer > Beleide in die MDCA linkernavigasiepaneel.
  2. Klik Skep beleid > Beleid vir die opsporing van afwykings.
  3. MDCA bied verskeie vooraf gedefinieerde afwykingsbeleide (bv. Ongewone lêeraflaaiaktiwiteit, Aanmeldaktiwiteit vanaf 'n verdagte IP-adres, Aanmeldaktiwiteit vanaf 'n land/streek wat selde toegang verkry word).
  4. Jy kan die instellings vir hierdie beleide aktiveer en aanpas.

Bekragtiging en toetsing

Die validering van MDCA-implementering is van kardinale belang om te verseker dat beleide werk soos verwag.

1. Toetssessie en toegangsbeleide

  1. Simuleer die scenario: Probeer toegang tot 'n SaaS-toepassing (bv. SharePoint Online) vanaf 'n onbestuurde toestel of 'n plaaslikeEk is onbetroubaar.
  2. Probeer om die aksie uit te voer wat deur die beleid beperk word (bv. die aflaai van 'n vertroulike lêer).
  3. Verifieer dat die sessiebeleid die aksie blokkeer en 'n kennisgewing aan die gebruiker vertoon.

2. Kontroleer aktiwiteitwaarskuwings en afwykings

  1. Simuleer die aktiwiteit: In 'n toetsomgewing, voer die aktiwiteit uit wat jy gekonfigureer het om 'n waarskuwing te genereer (vee byvoorbeeld vinnig verskeie lêers in OneDrive uit).
  2. Wag 'n paar minute.
  3. In die Microsoft 365 Defender-portaal, gaan na Insidente en waarskuwings > Alerts.
  4. Filter volgens Diens = Microsoft Defender for Cloud Apps en kyk of die waarskuwing gegenereer is.

3. Hersiening van die Aktiwiteitslogboek

Die MDCA-aktiwiteitslogboek teken alle handelinge aan wat in gekoppelde toepassings bespeur word.

  1. Kies Logs > Activity Log in die MDCA linkernavigasiepaneel.
  2. Filter volgens gebruiker, toepassing of aktiwiteittipe om te verifieer dat verwagte handelinge aangeteken word en beleide toegepas word.

Sekuriteitswenke en beste praktyke

  • Begin met sigbaarheid: Prioritiseer Shadow IT-ontdekking om jou organisasie se wolktoepassingslandskap te verstaan voordat jy streng beheermaatreëls implementeer.
  • Geleidelike Implementering: Begin met beleide in Monitor of Oudit Only-modus om die impak te verstaan ​​en aan te pas voordat blokkeerhandelinge toegepas word.
  • Volledige integrasie: Integreer MDCA met Microsoft Defender for Endpoint om Shadow IT-ontdekking en eindpuntbeskerming te verbeter.
  • Omvattende beleide: Skep beleide wat toegang, sessie, aktiwiteit en anomalie-opsporing dek vir meerlaagse beskerming.
  • Dataklassifikasie: Gebruik Microsoft Information Protection (MIP) om sensitiewe data te klassifiseer en te etiketteer, en gebruik hierdie etikette in MDCA DLP-beleide.
  • Gebruikersopvoeding: Kommunikeer met gebruikers oor MDCA-beleide en die belangrikheid van die gebruik van goedgekeurde en veilige toepassings vir korporatiewe data.
  • Deurlopende hersiening: Hersien en pas MDCA-beleide gereeld aan om aan te pas by veranderinge in toepassingsgebruik, die bedreigingslandskap en voldoeningsvereistes.

Algemene probleemoplossing

  • Toepassings verskyn nie in ontdekking: Verifieer dat firewall/instaanbedienerloglêers korrek laai of dat integrasie met Defender for Endpoint aktief is. Maak seker dat relevante verkeer vasgelê word.
  • Toepassingsverbindings misluk: Gaan toestemmings wat aan MDCA verleen is op die SaaS-toepassing na. Gaan die verbindinglogboeke in MDCA na vir foutboodskappe. Jy sal dalk die koppelaar moet hergoedkeur.
  • Beleide word nie toegepas nie: Verifieer dat die beleid geaktiveer is en dat die gebruiker en toepassing binne die omvang van die beleid is. Gaan die aktiwiteitfilters na om te verseker dat daar aan die voorwaardes voldoen word. Vir sessiebeleide, maak seker dat verkeer deur die MDCA-voorwaardelike toegangsbeheer-instaanbediener gelei word.
  • Vals Positiewe: Pas die sensitiwiteit van afwykingsbespeuringsbeleide aan of voeg uitsluitings by vir wettige aktiwiteit. Vir aktiwiteitsbeleide, verfyn die filters om meer spesifiek te wees.
  • Prestasie-kwessies: Die gebruik van die voorwaardelike toegangsbeheer-instaanbediener kan 'n klein hoeveelheid latensie veroorsaak. Monitor prestasie en optimaliseer beleide indien nodig.

Gevolgtrekking

Microsoft Defender for Cloud Apps (MDCA) is 'n onontbeerlike hulpmiddel vir enige organisasie wat hul data en gebruikers in SaaS-toepassingsomgewings wil beskerm. Deur sigbaarheid in Shadow IT, granulêre toegang en sessiekontroles en gevorderde bedreigingsopsporing te verskaf, stel MDCA ondernemings in staat om hul sekuriteitsposisie effektief na die wolk uit te brei. Versigtige implementering van MDCA-beleide, gekombineer met SaaS-bestuur-beste praktyke en integrasie met ander Microsoft 365 Defender-oplossings, versterk jou organisasie se kuberveerkragtigheid aansienlik. Met hierdie praktiese gids sal sekuriteitswerkers MDCA kan opstel en bestuur om te verseker dat hul wolktoepassings veilig, voldoen en in beheer is.

Verwysings:

[1] Microsoft Learn. Wat is Microsoft Defender for Cloud Apps?. Beskikbaar by: https://learn.microsoft.com/pt-br/defender-cloud-apps/what-is-defender-for-cloud-apps [2] Microsoft Learn. Ontdekking van Shadow IT. Beskikbaar by: https://learn.microsoft.com/pt-br/defender-cloud-apps/shadow-it-discovery [3] Microsoft Learn. Microsoft Defender for Cloud Apps-lisensievereistes. Beskikbaar by: https://learn.microsoft.com/pt-br/defender-cloud-apps/what-is-defender-for-cloud-apps#licensing-requirements