Configurando o Microsoft Cloud App Security (MCAS) para Governança de SaaS

Configurando o Microsoft Cloud App Security (MCAS) para Governança de SaaS

01/07/2024

Este artigo técnico e educativo tem como objetivo guiar analistas de segurança, administradores de TI e engenheiros de sistemas na configuração e utilização do Microsoft Cloud App Security (MCAS), agora parte do Microsoft Defender for Cloud Apps (MDCA), para a governança de aplicações SaaS (Software as a Service). O MDCA é uma solução abrangente de Cloud Access Security Broker (CASB) que oferece visibilidade, controle de dados e proteção contra ameaças para seus aplicativos em nuvem, ajudando a garantir a segurança e a conformidade em um ambiente de nuvem em constante expansão [1].

Introdução

A adoção massiva de aplicativos SaaS trouxe inúmeros benefícios para a produtividade, mas também introduziu novos desafios de segurança. As organizações frequentemente perdem a visibilidade e o controle sobre os dados que são armazenados e compartilhados em aplicativos de nuvem, criando o que é conhecido como "Shadow IT". Além disso, a proteção contra ameaças em tempo real e a garantia de conformidade para esses aplicativos são complexas. O Microsoft Defender for Cloud Apps aborda esses desafios, permitindo que as empresas descubram e controlem o uso de aplicativos em nuvem, protejam dados confidenciais e detectem comportamentos anômalos que possam indicar ameaças [2].

Este guia prático abordará a configuração do MDCA, desde a descoberta de Shadow IT e a conexão de aplicativos até a criação de políticas de acesso, sessão, atividade e detecção de anomalias. Serão fornecidas instruções passo a passo, exemplos de configurações e métodos de validação para que o leitor possa implementar uma estratégia robusta de governança de SaaS, protegendo seus dados e usuários em aplicativos de nuvem e fortalecendo a postura de segurança de sua organização.

Por que o Microsoft Defender for Cloud Apps é crucial?

  • Descoberta de Shadow IT: Identifica todos os aplicativos em nuvem em uso na sua organização, avalia seus riscos e permite controlá-los.
  • Proteção de Dados: Impede a exfiltração de dados confidenciais e garante a conformidade com políticas de DLP (Data Loss Prevention) em aplicativos em nuvem.
  • Controles de Acesso e Sessão: Permite impor controles de acesso granular e monitorar atividades de sessão em tempo real para aplicativos conectados.
  • Detecção de Ameaças: Utiliza análise comportamental e aprendizado de máquina para detectar atividades anômalas e ameaças cibernéticas em aplicativos em nuvem.
  • Governança de Aplicativos: Ajuda a gerenciar permissões de aplicativos, atividades de usuários e configurações de segurança para aplicativos SaaS.
  • Integração com Microsoft 365 Defender: Correlaciona sinais do MDCA com outras soluções Defender para uma visão unificada de incidentes.

Pré-requisitos

Para implementar o Microsoft Defender for Cloud Apps, você precisará dos seguintes itens:

  1. Licenciamento: Uma licença que inclua o Microsoft Defender for Cloud Apps (ex: Microsoft 365 E5, Microsoft 365 E5 Security, Enterprise Mobility + Security E5, ou uma licença autônoma do MDCA) [3].
  2. Acesso Administrativo: Uma conta com a função de Administrador Global, Administrador de Segurança ou Administrador do Defender for Cloud Apps no portal do Microsoft 365 Defender (https://security.microsoft.com).
  3. Fontes de Log (para Shadow IT): Logs de firewall e proxy para descoberta de Shadow IT. Para integração mais profunda, conectores de API para aplicativos SaaS específicos (ex: Office 365, Salesforce, Box).
  4. Microsoft Defender for Endpoint (Opcional, mas recomendado): Para uma descoberta de Shadow IT mais aprofundada e controle de aplicativos em dispositivos gerenciados.

Passo a Passo: Configurando o Microsoft Defender for Cloud Apps

Vamos explorar a configuração do MDCA para governança de SaaS.

1. Acessando o Portal do Microsoft 365 Defender

  1. Abra seu navegador e navegue até https://security.microsoft.com.
  2. Faça login com uma conta que tenha as permissões necessárias.
  3. No painel de navegação esquerdo, selecione Cloud Apps.

2. Descoberta de Aplicativos (Shadow IT)

A descoberta de aplicativos é o primeiro passo para obter visibilidade sobre o uso de SaaS na sua organização.

  1. No painel de navegação esquerdo do MDCA, selecione Descoberta > Instantâneos de log ou Coletores de log.

  2. Instantâneos de log: Para uma avaliação rápida, você pode carregar logs de tráfego de firewall ou proxy manualmente.

    • Clique em Criar instantâneo de log e siga as instruções para carregar um arquivo de log.

  3. Coletores de log: Para descoberta contínua e automatizada, configure um coletor de log no seu ambiente.

    • Clique em Adicionar coletor de log e siga as instruções para configurar o coletor (geralmente uma máquina virtual ou contêiner que encaminha logs para o MDCA).

  4. Integração com Defender for Endpoint: Se você tiver o Defender for Endpoint, a descoberta de Shadow IT é ativada automaticamente, fornecendo dados de uso de aplicativos em nuvem diretamente dos endpoints.

  5. Após a coleta de dados, vá para Descoberta > Aplicativos descobertos para ver a lista de aplicativos em nuvem, seus níveis de risco e estatísticas de uso.

3. Conectando Aplicativos (Conectores de API)

Para governança e proteção mais profundas, conecte aplicativos SaaS diretamente via APIs.

  1. No painel de navegação esquerdo do MDCA, selecione Configurações > Conectores de aplicativos.
  2. Clique em + Conectar um aplicativo.
  3. Selecione o aplicativo que você deseja conectar (ex: Office 365, Salesforce, Box).
  4. Siga as instruções específicas para cada aplicativo para conceder as permissões necessárias. Isso geralmente envolve fazer login como administrador do aplicativo e autorizar o MDCA.

4. Criando Políticas de Acesso e Sessão

As políticas de acesso e sessão permitem controlar o acesso e as atividades do usuário em tempo real.

  1. No painel de navegação esquerdo do MDCA, selecione Controle > Políticas.
  2. Clique em Criar política > Política de acesso ou Política de sessão.

Exemplo: Política de Sessão para Bloquear Download de Dados Confidenciais

Esta política pode impedir que usuários baixem arquivos confidenciais de um aplicativo SaaS quando acessam de um dispositivo não gerenciado.

  1. Tipo de política: Política de sessão.
  2. Nome: Bloquear Download de Dados Confidenciais em Dispositivo Não Gerenciado.
  3. Severidade: Alta.
  4. Categoria: Prevenção de perda de dados.
  5. Filtros de atividade: Configure as condições:
    • Aplicativos: Selecione o aplicativo SaaS alvo (ex: SharePoint Online).
    • Usuários: Selecione os usuários ou grupos alvo.
    • Dispositivo: Selecione Marca de dispositivo = Não compatível ou Não ingressado no Azure AD Híbrido.
    • Tipo de atividade: Download.
    • Inspeção de conteúdo: Configure para detectar dados confidenciais (ex: Número de Cartão de Crédito, CPF).
  6. Ações: Selecione Bloquear (para downloads) e Monitorar.
  7. Clique em Criar.

5. Criando Políticas de Atividade

As políticas de atividade permitem detectar e controlar ações específicas do usuário em aplicativos conectados.

  1. No painel de navegação esquerdo do MDCA, selecione Controle > Políticas.
  2. Clique em Criar política > Política de atividade.
  3. Nome: Alerta sobre Exclusão em Massa de Arquivos no OneDrive.
  4. Severidade: Média.
  5. Categoria: Detecção de ameaças.
  6. Filtros de atividade: Configure as condições:
    • Aplicativos: OneDrive for Business.
    • Tipo de atividade: Excluir arquivo.
    • Contagem de atividades: Maior que 10 (em um período de 5 minutos).
  7. Ações: Selecione Gerar alerta e Enviar alerta por e-mail para administradores.
  8. Clique em Criar.

6. Criando Políticas de Detecção de Anomalias

As políticas de detecção de anomalias utilizam aprendizado de máquina para identificar comportamentos incomuns que podem indicar um ataque.

  1. No painel de navegação esquerdo do MDCA, selecione Controle > Políticas.
  2. Clique em Criar política > Política de detecção de anomalias.
  3. O MDCA oferece várias políticas de anomalia pré-definidas (ex: Atividade incomum de download de arquivo, Atividade de logon de um endereço IP suspeito, Atividade de logon de um país/região raramente acessado).
  4. Você pode habilitar e ajustar as configurações dessas políticas.

Validação e Teste

Validar a implementação do MDCA é crucial para garantir que as políticas funcionem conforme o esperado.

1. Testando Políticas de Sessão e Acesso

  1. Simule o cenário: Tente acessar um aplicativo SaaS (ex: SharePoint Online) de um dispositivo não gerenciado ou de um local não confiável.
  2. Tente realizar a ação restrita pela política (ex: baixar um arquivo confidencial).
  3. Verifique se a política de sessão bloqueia a ação e exibe uma notificação ao usuário.

2. Verificando Alertas de Atividade e Anomalias

  1. Simule a atividade: Em um ambiente de teste, execute a atividade que você configurou para gerar um alerta (ex: exclua vários arquivos no OneDrive rapidamente).
  2. Aguarde alguns minutos.
  3. No portal do Microsoft 365 Defender, vá para Incidentes e alertas > Alertas.
  4. Filtre por Serviço = Microsoft Defender for Cloud Apps e verifique se o alerta foi gerado.

3. Revisando o Log de Atividades

O log de atividades do MDCA registra todas as ações detectadas em aplicativos conectados.

  1. No painel de navegação esquerdo do MDCA, selecione Logs > Log de atividades.
  2. Filtre por usuário, aplicativo ou tipo de atividade para verificar se as ações esperadas estão sendo registradas e se as políticas foram aplicadas.

Dicas de Segurança e Melhores Práticas

  • Comece com Visibilidade: Priorize a descoberta de Shadow IT para entender o cenário de aplicativos em nuvem da sua organização antes de implementar controles rígidos.
  • Implementação Gradual: Comece com políticas em modo de Monitorar ou Somente auditoria para entender o impacto e ajustar antes de aplicar ações de bloqueio.
  • Integração Completa: Integre o MDCA com o Microsoft Defender for Endpoint para aprimorar a descoberta de Shadow IT e a proteção de endpoint.
  • Políticas Abrangentes: Crie políticas que cubram acesso, sessão, atividade e detecção de anomalias para uma proteção em várias camadas.
  • Classificação de Dados: Utilize o Microsoft Information Protection (MIP) para classificar e rotular dados confidenciais, e use esses rótulos nas políticas de DLP do MDCA.
  • Educação do Usuário: Comunique aos usuários sobre as políticas do MDCA e a importância de usar aplicativos aprovados e seguros para dados corporativos.
  • Revisão Contínua: Revise e ajuste as políticas do MDCA regularmente para se adaptar às mudanças no uso de aplicativos, no cenário de ameaças e nos requisitos de conformidade.

Troubleshooting Comum

  • Aplicativos não aparecem na descoberta: Verifique se os logs de firewall/proxy estão sendo carregados corretamente ou se a integração com o Defender for Endpoint está ativa. Certifique-se de que o tráfego relevante está sendo capturado.
  • Conectores de aplicativos falham: Verifique as permissões concedidas ao MDCA no aplicativo SaaS. Verifique os logs de conexão no MDCA para mensagens de erro. Pode ser necessário reautorizar o conector.
  • Políticas não são aplicadas: Verifique se a política está ativada e se o usuário e o aplicativo estão no escopo da política. Verifique os filtros de atividade para garantir que as condições estão sendo atendidas. Para políticas de sessão, certifique-se de que o tráfego está sendo roteado através do proxy de controle de acesso condicional do MDCA.
  • Falsos Positivos: Ajuste a sensibilidade das políticas de detecção de anomalias ou adicione exclusões para atividades legítimas. Para políticas de atividade, refine os filtros para ser mais específico.
  • Problemas de Desempenho: O uso do proxy de controle de acesso condicional pode introduzir uma pequena latência. Monitore o desempenho e otimize as políticas, se necessário.

Conclusão

O Microsoft Defender for Cloud Apps (MDCA) é uma ferramenta indispensável para qualquer organização que busca proteger seus dados e usuários em ambientes de aplicativos SaaS. Ao fornecer visibilidade sobre Shadow IT, controles granulares de acesso e sessão, e detecção avançada de ameaças, o MDCA permite que as empresas estendam sua postura de segurança para a nuvem de forma eficaz. A implementação cuidadosa das políticas do MDCA, combinada com as melhores práticas de governança de SaaS e a integração com outras soluções Microsoft 365 Defender, fortalece significativamente a resiliência cibernética da organização. Com este guia prático, os profissionais de segurança estarão aptos a configurar e gerenciar o MDCA para garantir que seus aplicativos em nuvem sejam seguros, em conformidade e sob controle.

Referências:

[1] Microsoft Learn. O que é o Microsoft Defender for Cloud Apps?. Disponível em: https://learn.microsoft.com/pt-br/defender-cloud-apps/what-is-defender-for-cloud-apps [2] Microsoft Learn. Descoberta de Shadow IT. Disponível em: https://learn.microsoft.com/pt-br/defender-cloud-apps/shadow-it-discovery [3] Microsoft Learn. Requisitos de licenciamento do Microsoft Defender for Cloud Apps. Disponível em: https://learn.microsoft.com/pt-br/defender-cloud-apps/what-is-defender-for-cloud-apps#licensing-requirements