Configurando o Microsoft Defender for Cloud Apps para Controle de Acesso e Sessão

Configurando o Microsoft Defender for Cloud Apps para Controle de Acesso e Sessão

14/11/2024

Este artigo técnico e educativo tem como objetivo guiar analistas de segurança, administradores de TI e engenheiros de sistemas na configuração e utilização do Microsoft Defender for Cloud Apps (MDCA), anteriormente conhecido como Microsoft Cloud App Security (MCAS), para implementar controle de acesso e sessão em aplicativos de nuvem. O MDCA é uma solução Cloud Access Security Broker (CASB) que oferece visibilidade, controle sobre o tráfego de dados e análises sofisticadas para identificar e combater ameaças cibernéticas em ambientes de nuvem, sendo um componente crítico para a estratégia Zero Trust [1].

Introdução

A crescente adoção de aplicativos SaaS (Software as a Service) trouxe inúmeros benefícios em termos de produtividade e flexibilidade, mas também introduziu novos desafios de segurança. As organizações precisam garantir que o acesso a esses aplicativos seja seguro, que os dados confidenciais não sejam vazados e que atividades maliciosas sejam detectadas e mitigadas. O Microsoft Defender for Cloud Apps atua como um ponto de controle entre os usuários e os aplicativos de nuvem, permitindo que as organizações monitorem e controlem o acesso e as sessões em tempo real, mesmo para aplicativos não gerenciados ou em dispositivos não conformes [2].

Este guia prático abordará os pré-requisitos, a integração do MDCA com o Acesso Condicional do Azure AD, a configuração de políticas de sessão e acesso, o monitoramento de atividades e as melhores práticas para garantir uma postura de segurança robusta para seus aplicativos de nuvem. Serão fornecidas instruções passo a passo, exemplos práticos e para que o leitor possa implementar e validar o controle de acesso e sessão com o MDCA, fortalecendo a segurança de seus dados e aplicativos na nuvem de forma autônoma, profissional e confiável.

Por que o Microsoft Defender for Cloud Apps é crucial para Controle de Acesso e Sessão?

  • Visibilidade e Controle: Oferece visibilidade profunda sobre o uso de aplicativos em nuvem e permite o controle granular sobre as ações dos usuários em tempo real.
  • Proteção de Dados: Ajuda a prevenir vazamento de dados, downloads não autorizados e uploads de arquivos confidenciais para aplicativos de nuvem.
  • Detecção de Ameaças: Identifica anomalias de comportamento e atividades suspeitas que podem indicar contas comprometidas ou ameaças internas.
  • Conformidade: Ajuda as organizações a cumprir regulamentações de privacidade e segurança, garantindo que os dados sejam tratados de acordo com as políticas corporativas.
  • Integração com Azure AD Conditional Access: Estende as capacidades do Acesso Condicional do Azure AD, permitindo políticas de sessão e acesso em tempo real.
  • Suporte a Aplicativos Não Gerenciados: Permite estender o controle e a proteção a aplicativos de nuvem que não são gerenciados diretamente pela organização.

Pré-requisitos

Para implementar o controle de acesso e sessão com o Microsoft Defender for Cloud Apps, você precisará dos seguintes itens:

  1. Licenciamento: Licenças do Microsoft 365 E5, Enterprise Mobility + Security E5, ou licenças autônomas do Microsoft Defender for Cloud Apps [3].
  2. Acesso Administrativo: Uma conta com a função de Administrador Global ou Administrador de Segurança no portal do Microsoft Defender XDR (https://security.microsoft.com) e no portal do Azure (https://portal.azure.com).
  3. Azure AD Conditional Access: Políticas de Acesso Condicional do Azure AD configuradas e em uso, pois o MDCA se integra a elas para aplicar controles de sessão e acesso [4].
  4. Aplicativos de Nuvem: Aplicativos de nuvem (SaaS) que você deseja proteger. O MDCA funciona com qualquer aplicativo, mas a integração com o Acesso Condicional do Azure AD requer a implantação de aplicativos com proxy reverso.

Passo a Passo: Configurando o Microsoft Defender for Cloud Apps para Controle de Acesso e Sessão

Vamos configurar o MDCA para controlar o acesso e as sessões em aplicativos de nuvem.

1. Habilitando a Integração do Defender for Cloud Apps

Primeiro, certifique-se de que o MDCA está habilitado e integrado ao seu ambiente.

  1. Abra seu navegador e navegue até o portal do Microsoft Defender XDR: https://security.microsoft.com.
  2. Faça login com uma conta que tenha as permissões necessárias.
  3. No painel de navegação esquerdo, selecione Configurações > Endpoints.
  4. Role para baixo e selecione Recursos avançados.
  5. Certifique-se de que o recurso Microsoft Defender for Cloud Apps esteja Ativado.

2. Configurando uma Política de Acesso Condicional do Azure AD para Controle de Sessão

Para que o MDCA possa aplicar controles de sessão, o tráfego deve ser roteado através do proxy de acesso condicional do MDCA. Isso é feito configurando uma política de Acesso Condicional do Azure AD.

  1. Abra seu navegador e navegue até o portal do Azure: https://portal.azure.com.
  2. No campo de pesquisa superior, digite Azure Active Directory e selecione-o nos resultados.
  3. No painel de navegação esquerdo, selecione Segurança > Acesso Condicional.
  4. Clique em + Nova política.
  5. Nome: Dê um nome significativo à política (ex: Controle de Sessão MDCA para SharePoint Online).

  6. Usuários ou cargas de trabalho de identidade:

    • Em Incluir, selecione Todos os usuários ou grupos específicos que você deseja direcionar.
    • Em Excluir, adicione quaisquer usuários ou grupos que devem ser isentos desta política (ex: contas de serviço, administradores de emergência).

  7. Aplicativos ou ações de nuvem:

    • Em Incluir, selecione Selecionar aplicativos e procure pelo aplicativo de nuvem que você deseja proteger (ex: SharePoint Online).

  8. Condições: Configure as condições conforme sua necessidade (ex: Locais para exigir que o acesso venha de IPs específicos, Dispositivos para exigir que o dispositivo seja compatível).

  9. Controles de sessão:

    • Selecione Usar controle de acesso de aplicativo condicional.
    • No menu suspenso, escolha Usar política personalizada.

  10. Habilitar política: Defina como Ativado.

  11. Clique em Criar.

    • Explicação: Esta política redirecionará o tráfego para o SharePoint Online através do proxy do MDCA, permitindo que o MDCA aplique políticas de sessão em tempo real.

3. Configurando Políticas de Sessão no Microsoft Defender for Cloud Apps

Agora que o tráfego está sendo roteado, você pode criar políticas de sessão no MDCA para controlar o que os usuários podem fazer.

  1. Navegue de volta para o portal do Microsoft Defender XDR: https://security.microsoft.com.
  2. No painel de navegação esquerdo, selecione Cloud Apps > Políticas > Gerenciamento de políticas.

  3. Na guia Acesso Condicional, clique em + Criar política > Política de sessão.

  4. Nome da política: Dê um nome (ex: Bloquear Download SharePoint Online).

  5. Descrição: Forneça uma descrição clara da finalidade da política.
  6. Tipo de gravidade: Defina a gravidade (ex: Alta).
  7. Categoria: Selecione uma categoria (ex: Prevenção de perda de dados).

  8. Filtros de atividade:

    • Atividades: Selecione Download.
    • Aplicativos: Selecione SharePoint Online.
    • Dispositivo: Selecione Tag de dispositivo e escolha Não gerenciado (para bloquear downloads em dispositivos não gerenciados).
    • Usuários: Especifique os usuários ou grupos aos quais esta política se aplica.

  9. Ações:

    • Selecione Bloquear.
    • Opcionalmente, você pode selecionar Testar para monitorar a atividade sem bloquear, ou Controlar com o proxy para permitir downloads, mas com inspeção ou rotulagem.

  10. Configure Alertas e Governança conforme necessário.

  11. Clique em Criar.

    • Explicação: Esta política bloqueará downloads do SharePoint Online para usuários que acessam de dispositivos não gerenciados, graças ao redirecionamento via proxy do MDCA pela política de Acesso Condicional do Azure AD.

4. Configurando Políticas de Acesso no Microsoft Defender for Cloud Apps

As políticas de acesso no MDCA controlam o acesso a aplicativos de nuvem com base em vários critérios, como localização, dispositivo, IP, etc.

  1. No portal do Microsoft Defender XDR, selecione Cloud Apps > Políticas > Gerenciamento de políticas.

  2. Na guia Acesso Condicional, clique em + Criar política > Política de acesso.

  3. Nome da política: Dê um nome (ex: Bloquear Acesso de País de Risco).

  4. Descrição: Forneça uma descrição clara.
  5. Tipo de gravidade: Defina a gravidade.
  6. Categoria: Selecione uma categoria (ex: Controle de acesso).

  7. Filtros de atividade:

    • Atividades: Selecione Acesso.
    • Aplicativos: Selecione o aplicativo de nuvem (ex: Todos os aplicativos de nuvem).
    • Locais: Selecione IP address tag e escolha Países de risco ou crie uma nova tag de IP para países específicos que você deseja bloquear.

  8. Ações:

    • Selecione Bloquear.

  9. Configure Alertas e Governança conforme necessário.

  10. Clique em Criar.

    • Explicação: Esta política bloqueará o acesso a todos os aplicativos de nuvem para usuários que tentam se conectar de países considerados de risco.

5. Monitorando Atividades e Alertas

O MDCA fornece ferramentas robustas para monitorar e investigar atividades de usuários e alertas.

  1. No portal do Microsoft Defender XDR, selecione Cloud Apps > Logs de atividade.

    • Aqui você pode visualizar todas as atividades detectadas pelo MDCA, filtrar por usuário, aplicativo, tipo de atividade, etc.

  2. No painel de navegação esquerdo, selecione Incidentes e alertas > Alertas.

    • Aqui você verá todos os alertas gerados pelas políticas que você configurou, bem como alertas de detecção de anomalias.

Validação e Teste

É fundamental validar as políticas configuradas para garantir que funcionam conforme o esperado.

1. Testando a Política de Sessão (Bloquear Download)

  1. Use um dispositivo que não esteja marcado como Gerenciado ou Compatível (ex: um computador pessoal ou um dispositivo móvel sem Intune).
  2. Faça login em sua conta do Microsoft 365 e tente acessar o SharePoint Online.

  3. Tente baixar um arquivo do SharePoint Online.

    • Resultado Esperado: O download deve ser bloqueado, e uma mensagem personalizada do MDCA deve aparecer informando que a ação foi bloqueada devido à política da organização.

  4. Verifique os Logs de atividade e Alertas no portal do MDCA para confirmar que a política de sessão foi acionada e que um alerta foi gerado.

2. Testando a Política de Acesso (Bloquear Acesso de País de Risco)

  1. Use uma VPN ou proxy para simular uma conexão de um país que você configurou como País de risco.

  2. Tente acessar qualquer aplicativo de nuvem (ex: Outlook Web Access, SharePoint Online).

    • Resultado Esperado: O acesso deve ser bloqueado, e uma mensagem personalizada do MDCA deve aparecer informando que o acesso foi negado devido à política da organização.

  3. Verifique os Logs de atividade e Alertas no portal do MDCA para confirmar que a política de acesso foi acionada e que um alerta foi gerado.

Dicas de Segurança e Melhores Práticas

  • Comece com Monitoramento: Ao implementar novas políticas, comece com a ação Monitorar ou Testar para entender o impacto antes de aplicar ações de Bloquear ou Controlar com o proxy.
  • Educação do Usuário: Comunique claramente aos usuários sobre as políticas de segurança e o motivo de certas ações serem bloqueadas. Isso ajuda a reduzir a frustração e a aumentar a conformidade.
  • Granularidade das Políticas: Crie políticas de sessão e acesso granulares para diferentes grupos de usuários, aplicativos e cenários de risco. Evite políticas muito amplas que possam impactar a produtividade.
  • Integração com Outras Soluções: Aproveite a integração do MDCA com outras soluções Microsoft (Defender for Endpoint, Azure AD Identity Protection, Microsoft Sentinel) para uma visão de segurança mais abrangente.
  • Revisão Periódica: Revise e ajuste suas políticas de MDCA regularmente para se adaptar às mudanças nas ameaças, nos requisitos de negócios e na adoção de novos aplicativos de nuvem.
  • Configurações de Proxy: Entenda como o proxy de acesso condicional do MDCA funciona e os impactos na experiência do usuário e na compatibilidade de aplicativos.
  • Gerenciamento de Dispositivos: Combine o MDCA com o Microsoft Intune para gerenciar a conformidade dos dispositivos e aplicar políticas mais rigorosas a dispositivos não gerenciados.

Troubleshooting Comum

  • Políticas de sessão/acesso não estão sendo aplicadas: Verifique se a política de Acesso Condicional do Azure AD está configurada corretamente para rotear o tráfego através do MDCA (Usar controle de acesso de aplicativo condicional). Certifique-se de que o aplicativo de nuvem está incluído na política.
  • Usuários são bloqueados indevidamente: Revise os filtros de atividade e as condições nas políticas de sessão e acesso do MDCA. Verifique se há exclusões necessárias na política de Acesso Condicional do Azure AD. Verifique os logs de atividade para entender qual política está sendo acionada.
  • Desempenho lento ou problemas de compatibilidade: O roteamento via proxy do MDCA pode introduzir uma pequena latência. Verifique a conectividade de rede e as configurações de proxy. Alguns aplicativos podem ter problemas de compatibilidade com o proxy. Consulte a documentação da Microsoft para problemas conhecidos.
  • Alertas falsos positivos: Ajuste as condições e a sensibilidade das políticas para reduzir alertas irrelevantes. Use o modo Monitorar ou Testar para refinar as políticas antes de aplicá-las em modo de bloqueio.
  • Aplicativos não aparecem no MDCA: Certifique-se de que o aplicativo de nuvem está sendo usado ativamente e que o MDCA está configurado para descobrir aplicativos. Para aplicativos com proxy reverso, verifique a configuração do Acesso Condicional do Azure AD.

Conclusão

O Microsoft Defender for Cloud Apps é uma ferramenta indispensável para qualquer organização que busca proteger seus dados e usuários em um mundo centrado na nuvem. Ao implementar controles de acesso e sessão, o MDCA permite que as equipes de segurança imponham políticas granulares em tempo real, mitigando riscos de vazamento de dados, acesso não autorizado e atividades maliciosas em aplicativos SaaS. A integração com o Acesso Condicional do Azure AD cria uma poderosa sinergia, estendendo a segurança Zero Trust para a camada de aplicativo. Com este guia prático, os profissionais de segurança estarão bem equipados para configurar, validar e gerenciar o Microsoft Defender for Cloud Apps, garantindo um ambiente de nuvem mais seguro e em conformidade para suas organizações.

Referências:

[1] Microsoft Learn. O que é o Microsoft Defender for Cloud Apps?. Disponível em: https://learn.microsoft.com/pt-br/defender-cloud-apps/what-is-defender-for-cloud-apps [2] Microsoft Learn. Controle de Aplicativos de Acesso Condicional do Microsoft Defender for Cloud Apps. Disponível em: https://learn.microsoft.com/pt-br/defender-cloud-apps/proxy-intro-aad [3] Microsoft Learn. Licenciamento do Microsoft Defender for Cloud Apps. Disponível em: https://learn.microsoft.com/pt-br/defender-cloud-apps/licensing [4] Microsoft Learn. Configurar políticas de Acesso Condicional para o Controle de Aplicativos de Acesso Condicional. Disponível em: https://learn.microsoft.com/pt-br/defender-cloud-apps/conditional-access-app-control-how-to-overview [5] Microsoft Learn. Criar políticas de sessão do Microsoft Defender for Cloud Apps. Disponível em: https://learn.microsoft.com/pt-br/defender-cloud-apps/session-policy-aad [6] Microsoft Learn. Criar políticas de acesso do Microsoft Defender for Cloud Apps. Disponível em: https://learn.microsoft.com/pt-br/defender-cloud-apps/access-policy-aad