تكوين Microsoft Cloud App Security (MCAS) لإدارة SaaS

تكوين Microsoft Cloud App Security (MCAS) لإدارة SaaS

01/07/2024

تهدف هذه المقالة الفنية والتعليمية إلى توجيه محللي الأمان ومسؤولي تكنولوجيا المعلومات ومهندسي الأنظمة في تكوين واستخدام Microsoft Cloud App Security (MCAS)، وهو الآن جزء من Microsoft Defender for Cloud Apps (MDCA)، لإدارة تطبيقات SaaS (البرامج كخدمة). MDCA هو حل شامل لوسيط أمان الوصول إلى السحابة (CASB) يوفر الرؤية والتحكم في البيانات والحماية من التهديدات لتطبيقاتك السحابية، مما يساعد على ضمان الأمان والامتثال في بيئة سحابية دائمة التوسع [1].

مقدمة

أدى الاعتماد الشامل لتطبيقات SaaS إلى تحقيق العديد من الفوائد الإنتاجية، ولكنه قدم أيضًا تحديات أمنية جديدة. غالبًا ما تفقد المؤسسات الرؤية والتحكم في البيانات التي يتم تخزينها ومشاركتها عبر التطبيقات السحابية، مما يؤدي إلى إنشاء ما يعرف باسم "Shadow IT". بالإضافة إلى ذلك، تعد الحماية من التهديدات في الوقت الفعلي وضمان الامتثال لهذه التطبيقات أمرًا معقدًا. يعالج Microsoft Defender for Cloud Apps هذه التحديات من خلال تمكين الشركات من اكتشاف استخدام التطبيقات السحابية والتحكم فيها، وحماية البيانات الحساسة، واكتشاف السلوكيات الشاذة التي قد تشير إلى التهديدات [2].

سيغطي هذا الدليل العملي إعداد MDCA، بدءًا من اكتشاف Shadow IT وتوصيل التطبيقات وحتى إنشاء سياسات الوصول والجلسة والنشاط والكشف عن الحالات الشاذة. سيتم توفير تعليمات خطوة بخطوة وأمثلة التكوين وطرق التحقق حتى يتمكن القارئ من تنفيذ إستراتيجية حوكمة SaaS قوية، وحماية بياناته ومستخدميه في التطبيقات السحابية وتعزيز الوضع الأمني ​​لمؤسستهم.

ما سبب أهمية أمان تطبيقات Microsoft Cloud؟

  • Shadow IT Discovery: يحدد جميع التطبيقات السحابية المستخدمة في مؤسستك ويقيم مخاطرها ويسمح لك بالتحكم فيها.
  • حماية البيانات: يمنع تسرب البيانات السرية ويضمن الامتثال لسياسات DLP (منع فقدان البيانات) في التطبيقات السحابية.
  • عناصر التحكم في الوصول والجلسة: تتيح لك فرض عناصر التحكم في الوصول الدقيقة ومراقبة أنشطة الجلسة في الوقت الفعلي للتطبيقات المتصلة.
  • الكشف عن التهديدات: يستخدم التحليل السلوكي والتعلم الآلي لاكتشاف الأنشطة الشاذة والتهديدات الإلكترونية في التطبيقات السحابية.
  • إدارة التطبيقات: تساعد في إدارة أذونات التطبيق وأنشطة المستخدم وإعدادات الأمان لتطبيقات SaaS.
  • التكامل مع Microsoft 365 Defender: يربط إشارات MDCA مع حلول Defender الأخرى للحصول على عرض موحد للحوادث.

المتطلبات الأساسية

لتنفيذ Microsoft Cloud App Security، ستحتاج إلى العناصر التالية:

  1. الترخيص: ترخيص يتضمن Microsoft Defender لتطبيقات Cloud (على سبيل المثال، Microsoft 365 E5، أو Microsoft 365 E5 Security، أو Enterprise Mobility + Security E5، أو ترخيص MDCA المستقل) [3].
  2. الوصول الإداري: حساب بدور المسؤول العام أو مسؤول الأمان أو مسؤول أمان تطبيق السحابة في بوابة Microsoft 365 Defender (https://security.microsoft.com).
  3. ** مصادر السجل (لـ Shadow IT) **: سجلات جدار الحماية والوكيل لاكتشاف Shadow IT. لتحقيق تكامل أعمق، موصلات API لتطبيقات SaaS محددة (مثل Office 365 وSalesforce وBox).
  4. Microsoft Defender for Endpoint (اختياري، لكن موصى به): لاكتشاف Shadow IT بشكل أعمق والتحكم في التطبيقات على الأجهزة المُدارة.

خطوة بخطوة: تكوين Microsoft Security للتطبيقات السحابية

دعنا نستكشف إعداد MDCA لحوكمة SaaS.

1. الوصول إلى بوابة Microsoft 365 Defender

  1. افتح المتصفح الخاص بك وانتقل إلى https://security.microsoft.com.
  2. قم بتسجيل الدخول باستخدام حساب لديه الأذونات اللازمة.
  3. في جزء التنقل الأيمن، حدد Cloud Apps.

2. اكتشاف التطبيقات (Shadow IT)

يعد اكتشاف التطبيق هو الخطوة الأولى للحصول على رؤية حول استخدام SaaS في مؤسستك.

  1. في جزء التنقل الأيسر لـ MDCA، حدد الاكتشاف > لقطات السجل أو جامعي السجلات.

  2. لقطات السجل: للتقييم السريع، يمكنك تحميل سجلات حركة مرور جدار الحماية أو الوكيل يدويًا.

    • انقر فوق إنشاء لقطة للسجل واتبع التعليمات لتحميل ملف السجل.

  3. أدوات تجميع السجلات: للاكتشاف المستمر والآلي، قم بتكوين أداة تجميع السجلات في بيئتك.

    • انقر فوق إضافة أداة تجميع السجلات واتبع الإرشادات لتكوين أداة التجميع (عادةً ما تكون جهازًا افتراضيًا أو حاوية تقوم بإعادة توجيه السجلات إلى MDCA).

  4. Defender for Endpoint Integration: إذا كان لديك Defender for Endpoint، فسيتم تمكين اكتشاف Shadow IT تلقائيًا، مما يوفر بيانات استخدام التطبيق السحابي مباشرة من نقاط النهاية.

  5. بعد جمع البيانات، انتقل إلى الاكتشاف > التطبيقات المكتشفة للاطلاع على قائمة التطبيقات السحابية ومستويات المخاطر الخاصة بها وإحصائيات الاستخدام.

3. توصيل التطبيقات (موصلات API)

للحصول على حوكمة وحماية أعمق، قم بتوصيل تطبيقات SaaS مباشرة عبر واجهات برمجة التطبيقات.

  1. في جزء التنقل الأيسر لـ MDCA، حدد الإعدادات > موصلات التطبيق.
  2. انقر فوق *** توصيل تطبيق **.
  3. حدد التطبيق الذي تريد الاتصال به (على سبيل المثال: Office 365، Salesforce، Box).
  4. اتبع التعليمات المحددة لكل تطبيق لمنح الأذونات اللازمة. يتضمن هذا عادةً تسجيل الدخول كمسؤول التطبيق وتخويل MDCA.

4. إنشاء سياسات الوصول والجلسة

تسمح لك سياسات الوصول والجلسة بالتحكم في وصول المستخدم وأنشطته في الوقت الفعلي.

  1. في جزء التنقل الأيسر لـ MDCA، حدد التحكم > السياسات.
  2. انقر فوق إنشاء سياسة > سياسة الوصول أو سياسة الجلسة.

مثال: سياسة الجلسة لمنع تنزيل البيانات الحساسة

يمكن أن تمنع هذه السياسة المستخدمين من تنزيل الملفات الحساسة من تطبيق SaaS عند الوصول إليها من جهاز غير مُدار.

  1. نوع السياسة: `سياسة الجلسة'.
  2. الاسم: حظر تنزيل البيانات الحساسة إلى جهاز غير مُدار.
  3. الخطورة: عالية.
  4. الفئة: منع فقدان البيانات.
  5. مرشحات النشاط: ضبط الشروط:
    • التطبيقات: حدد تطبيق SaaS المستهدف (على سبيل المثال، SharePoint Online).
    • المستخدمون: حدد المستخدمين أو المجموعات المستهدفة.
    • الجهاز: حدد العلامة التجارية للجهاز = غير مدعوم أو لم يتم الانضمام إلى Azure AD المختلط.
    • نوع النشاط: تنزيل.
    • فحص المحتوى: قم بالتهيئة لاكتشاف البيانات السرية (على سبيل المثال، رقم بطاقة الائتمان، CPF).
  6. الإجراءات: حدد "حظر" (للتنزيلات) و"مراقب".
  7. انقر إنشاء.

5. إنشاء سياسات النشاط

تتيح لك سياسات النشاط اكتشاف إجراءات المستخدم المحددة والتحكم فيها في التطبيقات المتصلة.

  1. في جزء التنقل الأيسر لـ MDCA، حدد التحكم > السياسات.
  2. انقر فوق إنشاء سياسة > سياسة النشاط.
  3. الاسم: تنبيه الحذف الجماعي للملفات على OneDrive.
  4. الخطورة: متوسطة.
  5. الفئة: اكتشاف التهديدات.
  6. مرشحات النشاط: ضبط الشروط:
    • التطبيقات: OneDrive for Business.
    • نوع النشاط: حذف ملف.
    • عدد الأنشطة: أكبر من 10 (في فترة 5 دقائق).
  7. الإجراءات: حدد "إنشاء تنبيه" و"إرسال تنبيه عبر البريد الإلكتروني" إلى المسؤولين.
  8. انقر إنشاء.

6. إنشاء سياسات الكشف عن الحالات الشاذة

تستخدم سياسات الكشف عن الحالات الشاذة التعلم الآلي لتحديد السلوك غير المعتاد الذي قد يشير إلى وقوع هجوم.

  1. في جزء التنقل الأيسر لـ MDCA، حدد التحكم > السياسات.
  2. انقر على إنشاء سياسة > سياسة اكتشاف الحالات الشاذة.
  3. يقدم MDCA العديد من سياسات الحالات الشاذة المحددة مسبقًا (على سبيل المثال، نشاط تنزيل ملف غير عادي، نشاط تسجيل الدخول من عنوان IP مريب، نشاط تسجيل الدخول من بلد/منطقة نادرًا ما يتم الوصول إليها).
  4. يمكنك تمكين وضبط إعدادات هذه السياسات.

التحقق والاختبار

يعد التحقق من صحة تنفيذ MDCA أمرًا بالغ الأهمية لضمان عمل السياسات كما هو متوقع.

1. اختبار الجلسة وسياسات الوصول

  1. محاكاة السيناريو: حاول الوصول إلى تطبيق SaaS (مثل SharePoint Online) من جهاز غير مُدار أو جهاز محليلا يمكن الاعتماد عليها.
  2. حاول تنفيذ الإجراء المحظور بموجب السياسة (مثل تنزيل ملف سري).
  3. تحقق من أن سياسة الجلسة تحظر الإجراء وتعرض إشعارًا للمستخدم.

2. التحقق من تنبيهات النشاط والشذوذات

  1. محاكاة النشاط: في بيئة اختبار، قم بتشغيل النشاط الذي قمت بتكوينه لإنشاء تنبيه (على سبيل المثال، حذف ملفات متعددة بسرعة في OneDrive).
  2. انتظر بضع دقائق.
  3. في مدخل Microsoft 365 Defender، انتقل إلى الحوادث والتنبيهات > التنبيهات.
  4. قم بالتصفية حسب الخدمة = Microsoft Defender for Cloud Apps وتحقق من إنشاء التنبيه.

3. مراجعة سجل النشاط

يسجل سجل نشاط MDCA جميع الإجراءات المكتشفة في التطبيقات المتصلة.

  1. في جزء التنقل الأيسر لـ MDCA، حدد السجلات > سجل الأنشطة.
  2. قم بالتصفية حسب المستخدم أو التطبيق أو نوع النشاط للتحقق من تسجيل الإجراءات المتوقعة وتطبيق السياسات.

نصائح أمنية وأفضل الممارسات

  • البدء بالرؤية: قم بإعطاء الأولوية لاكتشاف Shadow IT لفهم مشهد التطبيقات السحابية لمؤسستك قبل تنفيذ ضوابط صارمة.
  • التنفيذ التدريجي: ابدأ بالسياسات في وضع "المراقبة" أو "التدقيق فقط" لفهم التأثير وضبطه قبل تطبيق إجراءات الحظر.
  • التكامل الكامل: دمج MDCA مع Microsoft Defender لنقطة النهاية لتحسين اكتشاف Shadow IT وحماية نقطة النهاية.
  • السياسات الشاملة: قم بإنشاء سياسات تغطي الوصول والجلسة والنشاط والكشف عن الحالات الشاذة لحماية متعددة الطبقات.
  • تصنيف البيانات: استخدم حماية المعلومات من Microsoft (MIP) لتصنيف البيانات الحساسة وتصنيفها، واستخدم هذه التصنيفات في سياسات MDCA DLP.
  • تعليم المستخدم: تواصل مع المستخدمين حول سياسات MDCA وأهمية استخدام التطبيقات المعتمدة والآمنة لبيانات الشركة.
  • المراجعة المستمرة: قم بمراجعة سياسات MDCA وتعديلها بانتظام للتكيف مع التغييرات في استخدام التطبيقات ومشهد التهديدات ومتطلبات الامتثال.

استكشاف الأخطاء وإصلاحها الشائعة

  • لا تظهر التطبيقات في الاكتشاف: تأكد من تحميل سجلات جدار الحماية/الوكيل بشكل صحيح أو أن التكامل مع Defender for Endpoint نشط. تأكد من التقاط حركة المرور ذات الصلة.
  • فشل موصلات التطبيق: تحقق من الأذونات الممنوحة لـ MDCA على تطبيق SaaS. تحقق من سجلات الاتصال في MDCA بحثًا عن رسائل الخطأ. قد تحتاج إلى إعادة تخويل الموصل.
  • لم يتم تطبيق السياسات: تأكد من تمكين السياسة وأن المستخدم والتطبيق يقعان في نطاق السياسة. تحقق من مرشحات النشاط للتأكد من استيفاء الشروط. بالنسبة لسياسات الجلسة، تأكد من توجيه حركة المرور عبر وكيل التحكم بالوصول المشروط MDCA.
  • الإيجابيات الزائفة: اضبط حساسية سياسات الكشف عن الحالات الشاذة أو أضف استثناءات للنشاط المشروع. بالنسبة لسياسات النشاط، قم بتحسين عوامل التصفية لتكون أكثر تحديدًا.
  • مشكلات الأداء: قد يؤدي استخدام وكيل التحكم في الوصول المشروط إلى حدوث قدر صغير من زمن الوصول. مراقبة الأداء وتحسين السياسات إذا لزم الأمر.

الخلاصة

يعد Microsoft Defender for Cloud Apps (MDCA) أداة لا غنى عنها لأي مؤسسة تتطلع إلى حماية بياناتها ومستخدميها في بيئات تطبيقات SaaS. من خلال توفير رؤية واضحة لتكنولوجيا المعلومات الظلية، والوصول الدقيق وعناصر التحكم في الجلسة، والكشف المتقدم عن التهديدات، يمكّن MDCA المؤسسات من توسيع وضعها الأمني ​​بشكل فعال إلى السحابة. يؤدي التنفيذ الدقيق لسياسات MDCA، جنبًا إلى جنب مع أفضل ممارسات حوكمة SaaS والتكامل مع حلول Microsoft 365 Defender الأخرى، إلى تعزيز مرونة مؤسستك على الإنترنت بشكل كبير. باستخدام هذا الدليل العملي، سيتمكن متخصصو الأمان من تكوين وإدارة MDCA لضمان أن تطبيقاتهم السحابية آمنة ومتوافقة وتحت السيطرة.

المراجع:

[1] مايكروسوفت تعلم. ما هو Microsoft Defender للتطبيقات السحابية؟. متوفر على: https://learn.microsoft.com/pt-br/defender-cloud-apps/what-is-defender-for-cloud-apps [2] مايكروسوفت تعلم. اكتشاف تكنولوجيا المعلومات الظل. متوفر على: https://learn.microsoft.com/pt-br/defender-cloud-apps/shadow-it-discovery [3] مايكروسوفت تعلم. متطلبات ترخيص Microsoft Defender لتطبيقات السحابة. متوفر على: https://learn.microsoft.com/pt-br/defender-cloud-apps/what-is-defender-for-cloud-apps#licensing-requirements