Konfigurieren von Microsoft Cloud App Security (MCAS) für SaaS Governance

Konfigurieren von Microsoft Cloud App Security (MCAS) für SaaS Governance

01.07.2024

Dieser technische und lehrreiche Artikel soll Sicherheitsanalysten, IT-Administratoren und Systemingenieuren bei der Konfiguration und Verwendung von Microsoft Cloud App Security (MCAS), jetzt Teil von Microsoft Defender for Cloud Apps (MDCA), für die Governance von SaaS-Anwendungen (Software as a Service) helfen. MDCA ist eine umfassende CASB-Lösung (Cloud Access Security Broker), die Transparenz, Datenkontrolle und Bedrohungsschutz für Ihre Cloud-Anwendungen bietet und dabei hilft, Sicherheit und Compliance in einer ständig wachsenden Cloud-Umgebung zu gewährleisten [1].

Einführung

Die Masseneinführung von SaaS-Anwendungen hat zahlreiche Produktivitätsvorteile mit sich gebracht, aber auch neue Sicherheitsherausforderungen mit sich gebracht. Unternehmen verlieren häufig die Transparenz und Kontrolle über Daten, die in Cloud-Anwendungen gespeichert und gemeinsam genutzt werden, wodurch eine sogenannte „Schatten-IT“ entsteht. Darüber hinaus ist der Schutz vor Echtzeitbedrohungen und die Sicherstellung der Compliance für diese Anwendungen komplex. Microsoft Defender für Cloud Apps begegnet diesen Herausforderungen, indem es Unternehmen ermöglicht, die Nutzung von Cloud-Apps zu erkennen und zu kontrollieren, sensible Daten zu schützen und anomales Verhalten zu erkennen, das auf Bedrohungen hinweisen könnte [2].

Dieser praktische Leitfaden behandelt die Einrichtung von MDCA, von der Erkennung von Schatten-IT und der Verbindung von Anwendungen bis hin zur Erstellung von Zugriffs-, Sitzungs-, Aktivitäts- und Anomalieerkennungsrichtlinien. Es werden Schritt-für-Schritt-Anleitungen, Konfigurationsbeispiele und Validierungsmethoden bereitgestellt, damit der Leser eine robuste SaaS-Governance-Strategie implementieren kann, seine Daten und Benutzer in Cloud-Anwendungen schützt und die Sicherheitslage seines Unternehmens stärkt.

Warum ist Microsoft Cloud App Security so wichtig?

  • Shadow IT Discovery: Identifiziert alle in Ihrem Unternehmen verwendeten Cloud-Anwendungen, bewertet deren Risiken und ermöglicht Ihnen deren Kontrolle.
  • Datenschutz: Verhindert die Exfiltration vertraulicher Daten und stellt die Einhaltung von DLP-Richtlinien (Data Loss Prevention) in Cloud-Anwendungen sicher.
  • Zugriffs- und Sitzungskontrollen: Ermöglicht die Durchsetzung detaillierter Zugriffskontrollen und die Überwachung von Sitzungsaktivitäten in Echtzeit für verbundene Anwendungen.
  • Bedrohungserkennung: Verwendet Verhaltensanalyse und maschinelles Lernen, um anomale Aktivitäten und Cyber-Bedrohungen in Cloud-Anwendungen zu erkennen.
  • Application Governance: Hilft bei der Verwaltung von Anwendungsberechtigungen, Benutzeraktivitäten und Sicherheitseinstellungen für SaaS-Anwendungen.
  • Integration mit Microsoft 365 Defender: Korreliert MDCA-Signale mit anderen Defender-Lösungen für eine einheitliche Sicht auf Vorfälle.

Voraussetzungen

Um Microsoft Cloud App Security zu implementieren, benötigen Sie die folgenden Elemente:

  1. Lizenzierung: Eine Lizenz, die Microsoft Defender für Cloud Apps umfasst (z. B. Microsoft 365 E5, Microsoft 365 E5 Security, Enterprise Mobility + Security E5 oder eine eigenständige MDCA-Lizenz) [3].
  2. Administratorzugriff: Ein Konto mit der Rolle „Globaler Administrator“, „Sicherheitsadministrator“ oder „Cloud App Security Administrator“ im Microsoft 365 Defender-Portal („https://security.microsoft.com“).
  3. Protokollquellen (für Schatten-IT): Firewall- und Proxy-Protokolle für die Schatten-IT-Erkennung. Für eine tiefere Integration API-Konnektoren für bestimmte SaaS-Anwendungen (z. B. Office 365, Salesforce, Box).
  4. Microsoft Defender für Endpoint (optional, aber empfohlen): Für eine tiefere Schatten-IT-Erkennung und Anwendungskontrolle auf verwalteten Geräten.

Schritt für Schritt: Konfigurieren von Microsoft Security für Cloud-Apps

Sehen wir uns die Einrichtung von MDCA für die SaaS-Governance an.

1. Zugriff auf das Microsoft 365 Defender-Portal

  1. Öffnen Sie Ihren Browser und navigieren Sie zu „https://security.microsoft.com“.
  2. Melden Sie sich mit einem Konto an, das über die erforderlichen Berechtigungen verfügt.
  3. Wählen Sie im linken Navigationsbereich Cloud Apps aus.

2. Anwendungserkennung (Shadow IT)

Die Anwendungserkennung ist der erste Schritt, um Einblick in die SaaS-Nutzung in Ihrem Unternehmen zu erhalten.

  1. Wählen Sie im linken MDCA-Navigationsbereich Erkennung > Protokoll-Snapshots oder Protokollsammler aus.

  2. Protokoll-Snapshots: Zur schnellen Beurteilungkönnen Sie Firewall- oder Proxy-Verkehrsprotokolle manuell laden.

    • Klicken Sie auf Protokoll-Snapshot erstellen und befolgen Sie die Anweisungen zum Hochladen einer Protokolldatei.

  3. Protokollsammler: Konfigurieren Sie für eine kontinuierliche, automatisierte Erkennung einen Protokollsammler in Ihrer Umgebung.

    • Klicken Sie auf Protokoll-Collector hinzufügen und befolgen Sie die Anweisungen zum Konfigurieren des Collectors (normalerweise eine virtuelle Maschine oder ein Container, der Protokolle an MDCA weiterleitet).

  4. Defender for Endpoint-Integration: Wenn Sie Defender for Endpoint haben, ist die Shadow-IT-Erkennung automatisch aktiviert und stellt Cloud-App-Nutzungsdaten direkt von Endpunkten bereit.

  5. Gehen Sie nach der Datenerfassung zu Erkennung > Erkannte Anwendungen, um die Liste der Cloud-Anwendungen, ihre Risikostufen und Nutzungsstatistiken anzuzeigen.

3. Anwendungen verbinden (API-Konnektoren)

Für eine umfassendere Governance und besseren Schutz verbinden Sie SaaS-Anwendungen direkt über APIs.

  1. Wählen Sie im linken MDCA-Navigationsbereich Einstellungen > Anwendungskonnektoren aus.
  2. Klicken Sie auf +Anwendung verbinden.
  3. Wählen Sie die Anwendung aus, die Sie verbinden möchten (z. B. „Office 365“, „Salesforce“, „Box“).
  4. Befolgen Sie die spezifischen Anweisungen für jede Anwendung, um die erforderlichen Berechtigungen zu erteilen. Dies erfordert normalerweise die Anmeldung als Anwendungsadministrator und die Autorisierung von MDCA.

4. Erstellen von Zugriffs- und Sitzungsrichtlinien

Mit Zugriffs- und Sitzungsrichtlinien können Sie Benutzerzugriffe und -aktivitäten in Echtzeit steuern.

  1. Wählen Sie im linken MDCA-Navigationsbereich Kontrolle > Richtlinien aus.
  2. Klicken Sie auf Richtlinie erstellen > Zugriffsrichtlinie oder Sitzungsrichtlinie.

Beispiel: Sitzungsrichtlinie zum Blockieren des Downloads sensibler Daten

Diese Richtlinie kann verhindern, dass Benutzer vertrauliche Dateien aus einer SaaS-Anwendung herunterladen, wenn sie von einem nicht verwalteten Gerät darauf zugreifen.

  1. Richtlinientyp: „Sitzungsrichtlinie“.
  2. Name: „Herunterladen sensibler Daten auf nicht verwaltetes Gerät blockieren“.
  3. Schweregrad: „Hoch“.
  4. Kategorie: „Verhinderung von Datenverlust“.
  5. Aktivitätsfilter: Konfigurieren Sie die Bedingungen:
    • Anwendungen: Wählen Sie die SaaS-Zielanwendung aus (z. B. „SharePoint Online“).
    • Benutzer: Wählen Sie Zielbenutzer oder -gruppen aus.
    • Gerät: Wählen Sie „Gerätemarke“ = „Nicht unterstützt“ oder „Nicht in Hybrid Azure AD eingebunden“.
    • Aktivitätstyp: „Herunterladen“.
    • Inhaltsinspektion: Konfigurieren Sie, um vertrauliche Daten zu erkennen (z. B. „Kreditkartennummer“, „CPF“).
  6. Aktionen: Wählen Sie „Blockieren“ (für Downloads) und „Überwachen“.
  7. Klicken Sie auf Erstellen.

5. Aktivitätsrichtlinien erstellen

Mit Aktivitätsrichtlinien können Sie bestimmte Benutzeraktionen in verbundenen Apps erkennen und steuern.

  1. Wählen Sie im linken MDCA-Navigationsbereich Kontrolle > Richtlinien aus.
  2. Klicken Sie auf Richtlinie erstellen > Aktivitätsrichtlinie.
  3. Name: „Massenlöschung von Dateien auf OneDrive“.
  4. Schweregrad: „Mittel“.
  5. Kategorie: „Bedrohungserkennung“.
  6. Aktivitätsfilter: Konfigurieren Sie die Bedingungen:
    • Anwendungen: „OneDrive for Business“.
    • Aktivitätstyp: „Datei löschen“.
    • Aktivitätsanzahl: „Größer als“ „10“ (in einem Zeitraum von „5“ Minuten).
  7. Aktionen: Wählen Sie „Benachrichtigung generieren“ und „E-Mail-Benachrichtigung senden“ an Administratoren.
  8. Klicken Sie auf Erstellen.

6. Erstellen von Richtlinien zur Anomalieerkennung

Anomalieerkennungsrichtlinien nutzen maschinelles Lernen, um ungewöhnliches Verhalten zu identifizieren, das auf einen Angriff hinweisen könnte.

  1. Wählen Sie im linken MDCA-Navigationsbereich Kontrolle > Richtlinien aus.
  2. Klicken Sie auf Richtlinie erstellen > Richtlinie zur Anomalieerkennung.
  3. MDCA bietet mehrere vordefinierte Anomalierichtlinien (z. B. „Ungewöhnliche Datei-Download-Aktivität“, „Anmeldeaktivität von einer verdächtigen IP-Adresse“, „Anmeldeaktivität von einem Land/einer Region, auf die selten zugegriffen wird“).
  4. Sie können die Einstellungen für diese Richtlinien aktivieren und anpassen.

Validierung und Tests

Die Validierung der MDCA-Implementierung ist von entscheidender Bedeutung, um sicherzustellen, dass Richtlinien wie erwartet funktionieren.

1. Testsitzungs- und Zugriffsrichtlinien

  1. Simulieren Sie das Szenario: Versuchen Sie, von einem nicht verwalteten Gerät oder einem lokalen Gerät aus auf eine SaaS-Anwendung (z. B. SharePoint Online) zuzugreifenIch bin unzuverlässig.
  2. Versuchen Sie, die durch die Richtlinie eingeschränkte Aktion auszuführen (z. B. das Herunterladen einer vertraulichen Datei).
  3. Stellen Sie sicher, dass die Sitzungsrichtlinie die Aktion blockiert und dem Benutzer eine Benachrichtigung anzeigt.

2. Überprüfen von Aktivitätswarnungen und Anomalien

  1. Simulieren Sie die Aktivität: Führen Sie in einer Testumgebung die Aktivität aus, die Sie konfiguriert haben, um eine Warnung zu generieren (z. B. schnell mehrere Dateien in OneDrive löschen).
  2. Warten Sie einige Minuten.
  3. Gehen Sie im Microsoft 365 Defender-Portal zu Vorfälle und Warnungen > Warnungen.
  4. Filtern Sie nach „Dienst“ = „Microsoft Defender für Cloud Apps“ und prüfen Sie, ob die Warnung generiert wurde.

3. Überprüfen des Aktivitätsprotokolls

Das MDCA-Aktivitätsprotokoll zeichnet alle in verbundenen Anwendungen erkannten Aktionen auf.

  1. Wählen Sie im linken Navigationsbereich von MDCA Protokolle > Aktivitätsprotokoll aus.
  2. Filtern Sie nach Benutzer, Anwendung oder Aktivitätstyp, um zu überprüfen, ob erwartete Aktionen aufgezeichnet und Richtlinien angewendet werden.

Sicherheitstipps und Best Practices

  • Beginnen Sie mit Sichtbarkeit: Priorisieren Sie die Schatten-IT-Erkennung, um die Cloud-Anwendungslandschaft Ihres Unternehmens zu verstehen, bevor Sie strenge Kontrollen implementieren.
  • Schrittweise Implementierung: Beginnen Sie mit Richtlinien im „Überwachen“- oder „Nur-Audit“-Modus, um die Auswirkungen zu verstehen und anzupassen, bevor Sie Blockierungsmaßnahmen anwenden.
  • Vollständige Integration: Integrieren Sie MDCA mit Microsoft Defender for Endpoint, um die Erkennung von Schatten-IT und den Endpunktschutz zu verbessern.
  • Umfassende Richtlinien: Erstellen Sie Richtlinien, die Zugriff, Sitzung, Aktivität und Anomalieerkennung abdecken, um einen mehrschichtigen Schutz zu gewährleisten.
  • Datenklassifizierung: Verwenden Sie Microsoft Information Protection (MIP), um vertrauliche Daten zu klassifizieren und zu kennzeichnen, und verwenden Sie diese Bezeichnungen in MDCA-DLP-Richtlinien.
  • Benutzerschulung: Informieren Sie Benutzer über MDCA-Richtlinien und die Bedeutung der Verwendung genehmigter und sicherer Anwendungen für Unternehmensdaten.
  • Kontinuierliche Überprüfung: Überprüfen und passen Sie MDCA-Richtlinien regelmäßig an, um sie an Änderungen in der Anwendungsnutzung, der Bedrohungslandschaft und Compliance-Anforderungen anzupassen.

Allgemeine Fehlerbehebung

  • Apps werden nicht in der Erkennung angezeigt: Stellen Sie sicher, dass Firewall-/Proxyprotokolle ordnungsgemäß geladen werden oder dass die Integration mit Defender für Endpunkt aktiv ist. Stellen Sie sicher, dass relevanter Datenverkehr erfasst wird.
  • Anwendungskonnektoren schlagen fehl: Überprüfen Sie die Berechtigungen, die MDCA für die SaaS-Anwendung erteilt wurden. Überprüfen Sie die Verbindungsprotokolle in MDCA auf Fehlermeldungen. Möglicherweise müssen Sie den Connector erneut autorisieren.
  • Richtlinien werden nicht angewendet: Stellen Sie sicher, dass die Richtlinie aktiviert ist und dass sich der Benutzer und die Anwendung im Geltungsbereich der Richtlinie befinden. Überprüfen Sie die Aktivitätsfilter, um sicherzustellen, dass die Bedingungen erfüllt sind. Stellen Sie bei Sitzungsrichtlinien sicher, dass der Datenverkehr über den MDCA-Proxy für die bedingte Zugriffskontrolle weitergeleitet wird.
  • False Positives: Passen Sie die Empfindlichkeit der Anomalieerkennungsrichtlinien an oder fügen Sie Ausschlüsse für legitime Aktivitäten hinzu. Verfeinern Sie die Filter für Aktivitätsrichtlinien, um sie spezifischer zu gestalten.
  • Leistungsprobleme: Die Verwendung des Proxys für die bedingte Zugriffskontrolle kann zu einer geringen Latenz führen. Überwachen Sie die Leistung und optimieren Sie bei Bedarf Richtlinien.

Fazit

Microsoft Defender for Cloud Apps (MDCA) ist ein unverzichtbares Tool für jede Organisation, die ihre Daten und Benutzer in SaaS-Anwendungsumgebungen schützen möchte. Durch die Bereitstellung von Einblicken in die Schatten-IT, granulare Zugriffs- und Sitzungskontrollen sowie eine erweiterte Bedrohungserkennung ermöglicht MDCA Unternehmen, ihre Sicherheitslage effektiv auf die Cloud auszudehnen. Durch die sorgfältige Umsetzung der MDCA-Richtlinien, kombiniert mit Best Practices für die SaaS-Governance und der Integration mit anderen Microsoft 365 Defender-Lösungen, wird die Cyber-Resilienz Ihres Unternehmens erheblich gestärkt. Mit diesem praktischen Leitfaden können Sicherheitsexperten MDCA konfigurieren und verwalten, um sicherzustellen, dass ihre Cloud-Anwendungen sicher, konform und unter Kontrolle sind.

Referenzen:

[1] Microsoft Learn. Was ist Microsoft Defender für Cloud Apps?. Verfügbar unter: https://learn.microsoft.com/pt-br/defender-cloud-apps/what-is-defender-for-cloud-apps [2] Microsoft Learn. Entdeckung der Schatten-IT. Verfügbar unter: https://learn.microsoft.com/pt-br/defender-cloud-apps/shadow-it-discovery [3] Microsoft Learn. Lizenzanforderungen für Microsoft Defender für Cloud Apps. Verfügbar unter: https://learn.microsoft.com/pt-br/defender-cloud-apps/what-is-defender-for-cloud-apps#licensing-requirements