Konfigureer Microsoft Cloud App Security vir toegang en sessiebeheer

Konfigureer Microsoft Cloud App Security vir toegang en sessiebeheer

14/11/2024

Hierdie tegniese en opvoedkundige artikel het ten doel om sekuriteitsontleders, IT-administrateurs en stelselingenieurs te lei in die opstel en gebruik van Microsoft Defender for Cloud Apps (MDCA), voorheen bekend as Microsoft Cloud App Security (MCAS), om toegang en sessiebeheer in wolktoepassings te implementeer. MDCA is 'n Cloud Access Security Broker (CASB) oplossing wat sigbaarheid, beheer oor dataverkeer en gesofistikeerde analise bied om kuberbedreigings in wolkomgewings te identifiseer en te bestry, wat 'n kritieke komponent vir die Zero Trust-strategie is [1].

Inleiding

Die groeiende aanvaarding van SaaS (sagteware as 'n diens) toepassings het talle voordele in terme van produktiwiteit en buigsaamheid meegebring, maar dit het ook nuwe sekuriteitsuitdagings ingebring. Organisasies moet verseker dat toegang tot hierdie toepassings veilig is, dat sensitiewe data nie uitgelek word nie en dat kwaadwillige aktiwiteite opgespoor en versag word. Microsoft Defender for Cloud Apps dien as 'n beheerpunt tussen gebruikers en wolktoepassings, wat organisasies in staat stel om toegang en sessies intyds te monitor en te beheer, selfs vir onbestuurde toepassings of op nie-voldoenende toestelle [2].

Hierdie praktiese gids dek voorvereistes, die integrasie van MDCA met Azure AD Conditional Access, die opstel van sessie- en toegangsbeleide, monitering van aktiwiteit en beste praktyke om 'n robuuste sekuriteitsposisie vir jou wolktoepassings te verseker. Stap-vir-stap instruksies, praktiese voorbeelde sal verskaf word sodat die leser toegang en sessiebeheer met MDCA kan implementeer en valideer, wat die sekuriteit van hul data en toepassings in die wolk op 'n outonome, professionele en betroubare manier versterk.

Waarom is Microsoft Wolk-toepassingsekuriteit noodsaaklik vir toegang en sessiebeheer?

  • Sigbaarheid en beheer: Verskaf diep sigbaarheid in die gebruik van wolktoepassings en maak korrelige beheer oor gebruikeraksies intyds moontlik.
  • Databeskerming: Help om datalekkasies, ongemagtigde aflaaie en oplaaie van sensitiewe lêers na wolktoepassings te voorkom.
  • Bedreigingopsporing: Identifiseer gedragsafwykings en verdagte aktiwiteite wat kan dui op gekompromitteerde rekeninge of bedreigings van binnekant.
  • Voldoening: Help organisasies om aan privaatheid- en sekuriteitsregulasies te voldoen, om te verseker dat data in ooreenstemming met korporatiewe beleide hanteer word.
  • Integrasie met Azure AD Conditional Access: Brei die vermoëns van Azure AD Conditional Access uit, wat intydse toegang en sessiebeleide moontlik maak.
  • Ondersteuning vir onbestuurde toepassings: Laat jou toe om beheer en beskerming uit te brei na wolktoepassings wat nie direk deur die organisasie bestuur word nie.

Voorvereistes

Om toegang en sessiebeheer met Microsoft Cloud App Security te implementeer, sal jy die volgende items benodig:

  1. Lisensiëring: Microsoft 365 E5, Enterprise Mobility + Security E5, of Microsoft Defender for Cloud Apps selfstandige lisensies [3].
  2. Administratiewe toegang: 'n Rekening met die rol van Global Administrator of Security Administrator op die Microsoft Defender XDR-portaal (https://security.microsoft.com) en die Azure-portaal (https://portal.azure.com).
  3. Azure AD Voorwaardelike Toegang: Azure AD Voorwaardelike Toegang Beleide gekonfigureer en in gebruik as MDCA integreer met hulle om sessie en toegang kontroles af te dwing [4].
  4. Wolktoepassings: Wolktoepassings (SaaS) wat jy wil beskerm. MDCA werk met enige toepassing, maar integrasie met Azure AD Conditional Access vereis omgekeerde instaanbedienertoepassing.

Stap vir stap: Konfigureer Microsoft Defender vir wolktoepassings vir toegang en sessiebeheer

Kom ons stel MDCA op om toegang en sessies tot wolktoepassings te beheer.

1. Aktiveer Wolk App Sekuriteit Integrasie

Maak eers seker dat MDCA geaktiveer en in jou omgewing geïntegreer is.

  1. Maak jou blaaier oop en navigeer na die Microsoft Defender XDR-portaal: https://security.microsoft.com.
  2. Meld aan met 'n rekening wat die nodige toestemmings het.
  3. In die linkernavigasievenster, kies Configurasies > Eindpunte.
  4. Rollees af en kies Gevorderde kenmerke.
  5. Maak seker dat die Microsoft Defender for Cloud Apps-kenmerk Aan is.

2. Opstel van 'n Azure AD-voorwaardelike toegangsbeleid vir sessiebeheer

Voordat MDCA sessiekontroles kan toepas, moet verkeer deur die MDCA voorwaardelike toegang-instaanbediener herlei word. Dit word gedoen deur 'n Azure AD Conditional Access-beleid op te stel.

  1. Maak jou blaaier oop en navigeer na die Azure-portaal: https://portal.azure.com.
  2. In die boonste soekveld, tik Azure Active Directory en kies dit uit die resultate.
  3. Kies Sekuriteit > Voorwaardelike Toegang in die linkernavigasiepaneel.
  4. Klik +Nuwe beleid.
  5. Naam: Gee die beleid 'n betekenisvolle naam (bv. MDCA Sessiebeheer vir SharePoint Online).

  6. Identiteitsgebruikers of werkladings:

    • Onder Sluit in, kies Alle gebruikers of spesifieke groepe wat jy wil teiken.
    • Voeg onder Sluit uit enige gebruikers of groepe by wat van hierdie beleid vrygestel moet word (bv. diensrekeninge, noodadministrateurs).

  7. Wolktoepassings of aksies:

    • Onder Sluit in, kies Kies toepassings en soek die wolktoepassing wat jy wil beskerm (bv.: SharePoint Online).

  8. Voorwaardes: Stel die voorwaardes op volgens jou behoefte (bv. Liggings om toegang te vereis om vanaf spesifieke IP's te kom, Toestelle om te vereis dat die toestel versoenbaar is).

  9. Sessiekontroles:

    • Kies Gebruik voorwaardelike toepassingstoegangsbeheer.
    • Kies Gebruik pasgemaakte beleid in die aftreklys.

  10. Aktiveer beleid: Stel op Aan.

  11. Klik Skep.

    • Verduideliking: Hierdie beleid sal verkeer na SharePoint Online herlei deur die MDCA-instaanbediener, wat MDCA in staat stel om sessiebeleide intyds toe te pas.

3. Opstel van sessiebeleide in Microsoft Cloud App Security

Noudat die verkeer herlei word, kan jy sessiebeleide in MDCA skep om te beheer wat gebruikers kan doen.

  1. Navigeer terug na die Microsoft Defender XDR-portaal: https://security.microsoft.com.
  2. Kies in die linkernavigasiepaneel Wolkprogramme > Beleide > Beleidbestuur.

  3. Op die Voorwaardelike Toegang-oortjie, klik + Skep beleid > Sessiebeleid.

  4. Beleidnaam: Gee dit 'n naam (byvoorbeeld: Blokkeer SharePoint Online Download).

  5. Beskrywing: Verskaf 'n duidelike beskrywing van die doel van die polis.
  6. Ernstipe: Definieer die erns (byvoorbeeld: Hoog).
  7. Kategorie: Kies 'n kategorie (byvoorbeeld: Voorkoming van dataverlies).

  8. Aktiwiteitfilters:

    • Aktiwiteite: Kies Laai af.
    • Toepassings: Kies SharePoint Online.
    • Toestel: Kies Toestelmerker en kies Onbestuurde (om aflaaie op onbestuurde toestelle te blokkeer).
    • Gebruikers: Spesifiseer die gebruikers of groepe waarop hierdie beleid van toepassing is.

  9. Handelinge:

    • Kies Blokkeer.
    • Opsioneel kan jy 'Toets' kies om aktiwiteit te monitor sonder om te blokkeer, of 'Beheer met proxy' om aflaaie toe te laat, maar met inspeksie of etikettering.

  10. Stel Alerts en Governance op soos nodig.

  11. Klik Skep.

    • Verduideliking: Hierdie beleid sal SharePoint Online-aflaaie blokkeer vir gebruikers wat toegang verkry vanaf onbestuurde toestelle, danksy MDCA-instaanbediener-herleiding deur die Azure AD-beleid vir voorwaardelike toegang.

4. Opstel van toegangsbeleide in Microsoft Cloud App Security

Toegangsbeleide in MDCA beheer toegang tot wolktoepassings gebaseer op verskeie kriteria soos ligging, toestel, IP, ens.

  1. In die Microsoft Defender XDR-portaal, kies Wolkprogramme > Beleide > Beleidbestuur.

  2. Op die Voorwaardelike Toegang-oortjie, klik + Skep beleid > Toegangsbeleid.

  3. Beleidnaam: Gee dit 'n naam (bv: Blokkeer toegang vanaf riskante land).

  4. Beskrywing: Verskaf 'n duidelike beskrywing.
  5. Ernstipe: Stel die erns.
  6. Kategorie: Kies 'n kategorie (byvoorbeeld: Toegangsbeheer).

  7. Aktiwiteitfilters:

    • Aktiwiteite: Kies Toegang.
    • Toepassings: Kies die toepassingwolktoepassing (bv. 'Alle wolktoepassings').
    • Liggings: Kies IP-adresmerker en kies Risikolande of skep 'n nuwe IP-etiket vir spesifieke lande wat jy wil blokkeer.

  8. Handelinge:

    • Kies Blokkeer.

  9. Stel Alerts en Governance op soos nodig.

  10. Klik Skep.

    • Verduideliking: Hierdie beleid sal toegang tot alle wolktoepassings blokkeer vir gebruikers wat probeer koppel van lande wat in gevaar geag word.

5. Monitering van aktiwiteite en waarskuwings

MDCA bied robuuste gereedskap vir die monitering en ondersoek van gebruikersaktiwiteit en waarskuwings.

  1. In die Microsoft Defender XDR-portaal, kies Wolkprogramme > Aktiwiteitloglêers.

    • Hier kan u alle aktiwiteite sien wat deur MDCA opgespoor word, filter volgens gebruiker, toepassing, tipe aktiwiteit, ens.

  2. In die linkernavigasiepaneel, kies Insidente en waarskuwings > Waarskuwings.

    • Hier sal jy alle waarskuwings sien wat gegenereer word deur die beleide wat jy opgestel het, sowel as waarskuwings vir anomalie-opsporing.

Bekragtiging en toetsing

Dit is van kritieke belang om gekonfigureerde beleide te bekragtig om te verseker dat hulle werk soos verwag.

1. Toets die sessiebeleid (blokaflaai)

  1. Gebruik 'n toestel wat nie as 'Bestuur' of 'Ondersteun' gemerk is nie (bv. 'n persoonlike rekenaar of 'n mobiele toestel sonder Intune).
  2. Meld aan by jou Microsoft 365-rekening en probeer toegang tot SharePoint Online kry.

  3. Probeer om 'n lêer van SharePoint Online af te laai.

    • Verwagte resultaat: Die aflaai moet geblokkeer word, en 'n pasgemaakte MDCA-boodskap moet verskyn wat sê dat die aksie geblokkeer is as gevolg van organisasiebeleid.

  4. Gaan die Activity Logs en Alerts in die MDCA-portaal na om te bevestig dat die sessiebeleid geaktiveer is en dat 'n waarskuwing gegenereer is.

2. Toets die toegangsbeleid (blokkeer toegang vanaf riskante land)

  1. Gebruik 'n Skynprivaatnetwerk of instaanbediener om 'n verbinding te simuleer vanaf 'n land wat jy as 'n 'Risikoland' opgestel het.

  2. Probeer toegang verkry tot enige wolktoepassing (bv. Outlook Web Access, SharePoint Online).

    • Verwagte resultaat: Toegang moet geblokkeer word, en 'n pasgemaakte MDCA-boodskap moet verskyn wat verklaar dat toegang geweier is weens organisasiebeleid.

  3. Gaan die Activity Logs en Alerts in die MDCA-portaal na om te bevestig dat die toegangsbeleid geaktiveer is en dat 'n waarskuwing gegenereer is.

Sekuriteitswenke en beste praktyke

  • Begin met Monitering: Wanneer jy nuwe beleide implementeer, begin met die Monitor of Toets-aksie om die impak te verstaan voordat jy Blokkeer of Beheer met instaanbediener-aksies toepas.
  • Gebruikersopvoeding: Kommunikeer duidelik met gebruikers oor sekuriteitsbeleide en hoekom sekere handelinge geblokkeer word. Dit help om frustrasie te verminder en nakoming te verhoog.
  • Beleidgranulariteit: Skep korrelige sessie- en toegangsbeleide vir verskillende gebruikersgroepe, toepassings en risikoscenario's. Vermy te breë beleide wat produktiwiteit kan beïnvloed.
  • Integrasie met ander oplossings: Maak gebruik van MDCA-integrasie met ander Microsoft-oplossings (Defender for Endpoint, Azure AD Identity Protection, Microsoft Sentinel) vir 'n meer omvattende sekuriteitsaansig.
  • Periodiese oorsig: Hersien en pas jou MDCA-beleide gereeld aan om aan te pas by veranderende bedreigings, besigheidsvereistes en die aanvaarding van nuwe wolktoepassings.
  • Proxy-instellings: Verstaan ​​hoe die MDCA-instaanbediener vir voorwaardelike toegang werk en die impak op gebruikerservaring en toepassingversoenbaarheid.
  • Toestelbestuur: Kombineer MDCA met Microsoft Intune om toestelvoldoening te bestuur en pas strenger beleide toe op onbestuurde toestelle.

Algemene probleemoplossing

  • Sessie-/toegangsbeleide word nie toegepas nie: Verifieer dat die Azure AD-voorwaardelike toegang-beleid korrek opgestel is om verkeer deur MDCA te lei (Gebruik voorwaardelike toepassingtoegangsbeheer). Maak seker dat die wolktoepassing by die beleid ingesluit is.
  • Gebruikers word verkeerdelik geblokkeer: Gaan die aktiwiteitfilters en voorwaardes in MDCA-sessie en toegangsbeleide na. Gaan jou Azure AD voorwaardelike toegang-beleid na vir vereiste uitsluitings. Gaan aktiwiteitlogboeke naom te verstaan ​​watter beleid geaktiveer word.
  • Probleme met stadige werkverrigting of versoenbaarheid: MDCA-instaanbedienerroetering kan 'n klein hoeveelheid latensie inbring. Gaan netwerkverbinding en instaanbedienerinstellings na. Sommige toepassings kan probleme met instaanbedienerversoenbaarheid hê. Sien Microsoft-dokumentasie vir bekende probleme.
  • Vals positiewe waarskuwings: Pas polisvoorwaardes en sensitiwiteit aan om irrelevante waarskuwings te verminder. Gebruik Monitor of Toets-modus om beleide te verfyn voordat dit in blokkeermodus toegepas word.
  • Toepassings verskyn nie in MDCA: Maak seker dat die wolktoepassing aktief gebruik word en dat MDCA opgestel is om toepassings te ontdek. Vir omgekeerde proxy-toepassings, gaan jou Azure AD Conditional Access-opstelling na.

Gevolgtrekking

Microsoft Defender for Cloud Apps is 'n onontbeerlike hulpmiddel vir enige organisasie wat sy data en gebruikers in 'n wolkgesentreerde wêreld wil beskerm. Deur toegang en sessiekontroles te implementeer, stel MDCA sekuriteitspanne in staat om korrelbeleide intyds af te dwing, wat risiko's van datalekkasie, ongemagtigde toegang en kwaadwillige aktiwiteit in SaaS-toepassings verminder. Integrasie met Azure AD Conditional Access skep 'n kragtige sinergie wat Zero Trust-sekuriteit na die toepassingslaag uitbrei. Met hierdie praktiese gids sal sekuriteitspersoneel goed toegerus wees om Microsoft-sekuriteit vir wolktoepassings op te stel, te bekragtig en te bestuur, wat 'n veiliger en aanpasbare wolkomgewing vir hul organisasies verseker.

Verwysings:

[1] Microsoft Learn. Wat is Microsoft Defender for Cloud Apps?. Beskikbaar by: https://learn.microsoft.com/pt-br/defender-cloud-apps/what-is-defender-for-cloud-apps [2] Microsoft Learn. Microsoft Defender vir Cloud Apps Toepassingsbeheer vir voorwaardelike toegang. Beskikbaar by: https://learn.microsoft.com/pt-br/defender-cloud-apps/proxy-intro-aad [3] Microsoft Learn. Microsoft Defender for Cloud Apps-lisensiëring. Beskikbaar by: https://learn.microsoft.com/pt-br/defender-cloud-apps/licensing [4] Microsoft Learn. Konfigureer beleide vir voorwaardelike toegang vir toepassingsbeheer vir voorwaardelike toegang. Beskikbaar by: https://learn.microsoft.com/pt-br/defender-cloud-apps/conditional-access-app-control-how-to-overview [5] Microsoft Learn. Skep Microsoft Defender vir Cloud Apps-sessiebeleide. Beskikbaar by: https://learn.microsoft.com/pt-br/defender-cloud-apps/session-policy-aad [6] Microsoft Learn. Skep Microsoft Defender vir Cloud Apps-toegangsbeleide. Beskikbaar by: https://learn.microsoft.com/pt-br/defender-cloud-apps/access-policy-aad