Konfigurace zabezpečení Microsoft Cloud App Security (MCAS) pro správu SaaS

Konfigurace zabezpečení Microsoft Cloud App Security (MCAS) pro správu SaaS

07/01/2024

Tento technický a vzdělávací článek má za cíl vést bezpečnostní analytiky, IT administrátory a systémové inženýry při konfiguraci a používání Microsoft Cloud App Security (MCAS), nyní součásti Microsoft Defender for Cloud Apps (MDCA), pro správu aplikací SaaS (Software as a Service). MDCA je komplexní řešení Cloud Access Security Broker (CASB), které poskytuje viditelnost, kontrolu dat a ochranu před hrozbami pro vaše cloudové aplikace a pomáhá zajistit bezpečnost a shodu ve stále se rozšiřujícím cloudovém prostředí [1].

Úvod

Hromadné přijetí aplikací SaaS přineslo řadu výhod produktivity, ale také přineslo nové bezpečnostní výzvy. Organizace často ztrácejí přehled a kontrolu nad daty, která jsou uložena a sdílena v cloudových aplikacích, čímž vzniká to, co je známé jako „Shadow IT“. Kromě toho je komplexní ochrana před hrozbami v reálném čase a zajištění souladu s těmito aplikacemi. Microsoft Defender for Cloud Apps tyto výzvy řeší tím, že společnostem umožňuje zjišťovat a kontrolovat používání cloudových aplikací, chránit citlivá data a detekovat neobvyklé chování, které by mohlo naznačovat hrozby [2].

Tento praktický průvodce pokryje nastavení MDCA, od objevování Shadow IT a připojení aplikací až po vytváření zásad přístupu, relace, aktivity a detekce anomálií. Budou poskytnuty podrobné pokyny, příklady konfigurace a metody ověřování, aby čtenář mohl implementovat robustní strategii správy SaaS, chránit svá data a uživatele v cloudových aplikacích a posilovat bezpečnostní pozici své organizace.

Proč je zabezpečení Microsoft Cloud App Security klíčové?

  • Shadow IT Discovery: Identifikuje všechny cloudové aplikace používané ve vaší organizaci, vyhodnocuje jejich rizika a umožňuje vám je ovládat.
  • Ochrana dat: Zabraňuje exfiltraci důvěrných dat a zajišťuje soulad se zásadami DLP (Data Loss Prevention) v cloudových aplikacích.
  • Ovládání přístupu a relací: Umožňuje vynutit podrobné řízení přístupu a sledovat aktivity relací v reálném čase pro připojené aplikace.
  • Detekce hrozeb: Používá analýzu chování a strojové učení k detekci anomálních aktivit a kybernetických hrozeb v cloudových aplikacích.
  • Application Governance: Pomáhá spravovat oprávnění aplikací, aktivity uživatelů a nastavení zabezpečení pro aplikace SaaS.
  • Integrace s Microsoft 365 Defender: Propojuje signály MDCA s jinými řešeními Defender pro jednotný pohled na incidenty.

Předpoklady

K implementaci zabezpečení Microsoft Cloud App Security budete potřebovat následující položky:

  1. Licencování: Licence, která zahrnuje Microsoft Defender pro cloudové aplikace (např. Microsoft 365 E5, Microsoft 365 E5 Security, Enterprise Mobility + Security E5 nebo samostatná licence MDCA) [3].
  2. Administrativní přístup: Účet s rolí Globální správce, Správce zabezpečení nebo Administrátor zabezpečení cloudových aplikací na portálu Microsoft 365 Defender (https://security.microsoft.com).
  3. Zdroje protokolů (pro Shadow IT): Firewall a protokoly proxy pro vyhledávání Shadow IT. Pro hlubší integraci, API konektory pro konkrétní SaaS aplikace (např. Office 365, Salesforce, Box).
  4. Microsoft Defender for Endpoint (Volitelné, ale doporučené): Pro hlubší zjišťování Shadow IT a kontrolu aplikací na spravovaných zařízeních.

Krok za krokem: Konfigurace zabezpečení Microsoft pro cloudové aplikace

Pojďme prozkoumat nastavení MDCA pro správu SaaS.

1. Přístup k portálu Microsoft 365 Defender Portal

  1. Otevřete prohlížeč a přejděte na https://security.microsoft.com.
  2. Přihlaste se pomocí účtu, který má potřebná oprávnění.
  3. V levém navigačním panelu vyberte Cloudové aplikace.

2. Zjišťování aplikací (Shadow IT)

Zjišťování aplikací je prvním krokem k získání viditelnosti o používání SaaS ve vaší organizaci.

  1. V levém navigačním panelu MDCA vyberte Discovery > Log Snapshots nebo Log Collectors.

  2. Snímky protokolu: Pro rychlé posouzení, můžete načíst protokoly provozu brány firewall nebo proxy ručně.

    • Klikněte na Vytvořit snímek protokolu a podle pokynů nahrajte soubor protokolu.

  3. Sběrače protokolů: Pro nepřetržité automatické zjišťování nakonfigurujte ve svém prostředí sběrač protokolů.

    • Klikněte na Add Log Collector a podle pokynů nakonfigurujte kolektor (obvykle virtuální počítač nebo kontejner, který přeposílá protokoly do MDCA).

  4. Defender for Endpoint Integration: Pokud máte Defender for Endpoint, automaticky se aktivuje Shadow IT discovery a poskytuje data o využití cloudových aplikací přímo z koncových bodů.

  5. Po shromáždění dat přejděte na Discovery > Discovered Applications a zobrazte seznam cloudových aplikací, jejich úrovně rizika a statistiky využití.

3. Připojování aplikací (konektory API)

Pro hlubší správu a ochranu připojte aplikace SaaS přímo přes rozhraní API.

  1. V levém navigačním panelu MDCA vyberte Nastavení > Konektory aplikací.
  2. Klikněte na + Připojit aplikaci.
  3. Vyberte aplikaci, kterou chcete připojit (např.: Office 365, Salesforce, Box).
  4. Postupujte podle specifických pokynů pro každou aplikaci a udělte potřebná oprávnění. To obvykle zahrnuje přihlášení jako správce aplikace a autorizaci MDCA.

4. Vytváření zásad přístupu a relace

Zásady přístupu a relace vám umožňují řídit přístup a aktivity uživatelů v reálném čase.

  1. V levém navigačním panelu MDCA vyberte Control > Policies.
  2. Klikněte na Vytvořit zásady > Zásady přístupu nebo Zásady relace.

Příklad: Zásady relace pro blokování stahování citlivých dat

Tato zásada může uživatelům zabránit ve stahování citlivých souborů z aplikace SaaS, když k nim přistupují z nespravovaného zařízení.

  1. Typ zásady: „Zásady relace“.
  2. Název: Blokovat stahování citlivých dat do nespravovaného zařízení.
  3. Závažnost: „Vysoká“.
  4. Kategorie: Prevence ztráty dat.
  5. Filtry aktivity: Nakonfigurujte podmínky:
    • Aplikace: Vyberte cílovou aplikaci SaaS (např. SharePoint Online).
    • Uživatelé: Vyberte cílové uživatele nebo skupiny.
    • Zařízení: Vyberte „Značka zařízení“ = „Nepodporováno“ nebo „Není připojeno k hybridní Azure AD“.
    • Typ aktivity: Stáhnout.
    • Kontrola obsahu: Nakonfigurujte tak, aby zjišťovala důvěrná data (např. Číslo kreditní karty, CPF).
  6. Akce: Vyberte Blokovat (pro stahování) a Monitorovat.
  7. Klikněte na Vytvořit.

5. Vytváření zásad činnosti

Zásady aktivity vám umožňují zjišťovat a ovládat konkrétní akce uživatelů v připojených aplikacích.

  1. V levém navigačním panelu MDCA vyberte Control > Policies.
  2. Klikněte na Vytvořit zásady > Zásady činnosti.
  3. Název: Upozornění na hromadné mazání souborů na OneDrive.
  4. Závažnost: „Střední“.
  5. Kategorie: Detekce hrozeb.
  6. Filtry aktivity: Nakonfigurujte podmínky:
    • Aplikace: OneDrive pro firmy.
    • Typ aktivity: Smazat soubor.
    • Počet aktivit: Větší než 10 (v období 5 minut).
  7. Akce: Vyberte Generovat upozornění a Odeslat upozornění e-mailem správcům.
  8. Klikněte na Vytvořit.

6. Vytváření zásad detekce anomálií

Zásady detekce anomálií používají strojové učení k identifikaci neobvyklého chování, které by mohlo naznačovat útok.

  1. V levém navigačním panelu MDCA vyberte Control > Policies.
  2. Klikněte na Vytvořit zásady > Zásady detekce anomálií.
  3. MDCA nabízí několik předdefinovaných zásad anomálií (např. „Neobvyklá aktivita stahování souborů“, „Přihlašovací aktivita z podezřelé IP adresy“, „Přihlašovací aktivita ze země/oblasti, ke které se zřídka přistupuje“).
  4. Můžete povolit a upravit nastavení těchto zásad.

Validace a testování

Ověření implementace MDCA je zásadní pro zajištění toho, aby zásady fungovaly podle očekávání.

1. Testování zásad relace a přístupu

  1. Simulujte scénář: Zkuste přistupovat k aplikaci SaaS (např. SharePoint Online) z nespravovaného zařízení nebo místníhoJsem nespolehlivý.
  2. Pokuste se provést akci omezenou zásadou (např. stažení důvěrného souboru).
  3. Ověřte, že politika relace blokuje akci a zobrazuje upozornění pro uživatele.

2. Kontrola upozornění na aktivitu a anomálií

  1. Simulace aktivity: V testovacím prostředí spusťte aktivitu, kterou jste nakonfigurovali pro generování výstrahy (např. rychlé smazání více souborů na OneDrive).
  2. Počkejte několik minut.
  3. Na portálu Microsoft 365 Defender přejděte na Incidenty a výstrahy > Výstrahy.
  4. Filtrujte podle Service = Microsoft Defender for Cloud Apps a zkontrolujte, zda byla výstraha vygenerována.

3. Kontrola protokolu činností

Protokol činnosti MDCA zaznamenává všechny akce zjištěné v připojených aplikacích.

  1. V levém navigačním panelu MDCA vyberte Logs > Activity Log.
  2. Filtrujte podle uživatele, aplikace nebo typu aktivity, abyste ověřili, že jsou zaznamenávány očekávané akce a jsou aplikovány zásady.

Bezpečnostní tipy a doporučené postupy

  • Začněte s viditelností: Před implementací přísných kontrol upřednostněte zjišťování ve stínu IT, abyste porozuměli prostředí cloudových aplikací vaší organizace.
  • Postupná implementace: Začněte se zásadami v režimu „Monitor“ nebo „Pouze audit“, abyste pochopili dopad a upravili se před použitím blokovacích akcí.
  • Plná integrace: Integrujte MDCA s Microsoft Defender for Endpoint, abyste zlepšili zjišťování stínů IT a ochranu koncových bodů.
  • Komplexní zásady: Vytvářejte zásady, které pokrývají přístup, relace, aktivitu a detekci anomálií pro vícevrstvou ochranu.
  • Klasifikace dat: Použijte Microsoft Information Protection (MIP) ke klasifikaci a označení citlivých dat a použijte tato označení v zásadách MDCA DLP.
  • Vzdělávání uživatelů: Komunikujte s uživateli o zásadách MDCA a důležitosti používání schválených a bezpečných aplikací pro podniková data.
  • Nepřetržité hodnocení: Pravidelně kontrolujte a upravujte zásady MDCA, aby se přizpůsobily změnám v používání aplikací, prostředí hrozeb a požadavkům na shodu.

Běžné odstraňování problémů

  • Aplikace se při zjišťování nezobrazují: Ověřte, zda se správně načítají protokoly brány firewall/proxy nebo zda je aktivní integrace s aplikací Defender for Endpoint. Ujistěte se, že je zachycován relevantní provoz.
  • Konektory aplikací se nezdaří: Zkontrolujte oprávnění udělená MDCA v aplikaci SaaS. Zkontrolujte protokoly připojení v MDCA, zda neobsahují chybové zprávy. Možná budete muset znovu autorizovat konektor.
  • Zásady se neuplatňují: Ověřte, že je zásada povolena a že se na uživatele a aplikaci vztahují. Zkontrolujte filtry aktivit, abyste se ujistili, že jsou splněny podmínky. U zásad relace zajistěte, aby byl provoz směrován přes proxy pro řízení podmíněného přístupu MDCA.
  • Falešně pozitivní údaje: Upravte citlivost zásad detekce anomálií nebo přidejte vyloučení pro legitimní aktivitu. U zásad aktivity upřesněte filtry, aby byly konkrétnější.
  • Problémy s výkonem: Použití proxy pro podmíněný přístup může způsobit malé zpoždění. Monitorujte výkon a v případě potřeby optimalizujte zásady.

Závěr

Microsoft Defender for Cloud Apps (MDCA) je nepostradatelným nástrojem pro jakoukoli organizaci, která chce chránit svá data a uživatele v prostředí aplikací SaaS. Tím, že poskytuje přehled o Shadow IT, granulární řízení přístupu a relací a pokročilou detekci hrozeb, umožňuje MDCA podnikům efektivně rozšířit svou pozici zabezpečení na cloud. Pečlivá implementace zásad MDCA v kombinaci s osvědčenými postupy správy SaaS a integrací s dalšími řešeními Microsoft 365 Defender výrazně posiluje kybernetickou odolnost vaší organizace. S touto praktickou příručkou budou odborníci na zabezpečení schopni konfigurovat a spravovat MDCA, aby zajistili, že jejich cloudové aplikace budou bezpečné, kompatibilní a pod kontrolou.

Reference:

[1] Microsoft Learn. Co je Microsoft Defender pro cloudové aplikace?. Dostupné na: https://learn.microsoft.com/pt-br/defender-cloud-apps/what-is-defender-for-cloud-apps [2] Microsoft Learn. Objev Shadow IT. Dostupné na: https://learn.microsoft.com/pt-br/defender-cloud-apps/shadow-it-discovery [3] Microsoft Learn. Požadavky na licencování aplikace Microsoft Defender for Cloud Apps. Dostupné na: [https://learn.microsoft.com/pt-br/defender-cloud-apps/what-is-defender-for-cloud-apps#licensing-requirements](https://learn.microsoft.com/pt-br/defender-cloud-apps/what-is-defender-for-cloud-apps#licensing-requirements