Konfigurieren von Microsoft Cloud App Security für Zugriffs- und Sitzungskontrolle

Konfigurieren von Microsoft Cloud App Security für Zugriffs- und Sitzungskontrolle

14.11.2024

Dieser technische und lehrreiche Artikel soll Sicherheitsanalysten, IT-Administratoren und Systemingenieuren bei der Konfiguration und Verwendung von Microsoft Defender for Cloud Apps (MDCA), früher bekannt als Microsoft Cloud App Security (MCAS), zur Implementierung der Zugriffs- und Sitzungskontrolle in Cloud-Anwendungen helfen. MDCA ist eine Cloud Access Security Broker (CASB)-Lösung, die Transparenz, Kontrolle über den Datenverkehr und ausgefeilte Analysen zur Identifizierung und Bekämpfung von Cyber-Bedrohungen in Cloud-Umgebungen bietet und eine entscheidende Komponente für die Zero-Trust-Strategie darstellt [1].

Einführung

Die zunehmende Einführung von SaaS-Anwendungen (Software as a Service) hat zahlreiche Vorteile in Bezug auf Produktivität und Flexibilität mit sich gebracht, aber auch neue Sicherheitsherausforderungen mit sich gebracht. Unternehmen müssen sicherstellen, dass der Zugriff auf diese Anwendungen sicher ist, dass sensible Daten nicht verloren gehen und dass böswillige Aktivitäten erkannt und eingedämmt werden. Microsoft Defender für Cloud-Apps fungiert als Kontrollpunkt zwischen Benutzern und Cloud-Apps und ermöglicht es Unternehmen, Zugriffe und Sitzungen in Echtzeit zu überwachen und zu steuern, selbst für nicht verwaltete Apps oder auf nicht konformen Geräten [2].

In diesem praktischen Leitfaden werden die Voraussetzungen, die Integration von MDCA in den bedingten Azure AD-Zugriff, die Konfiguration von Sitzungs- und Zugriffsrichtlinien, die Überwachung von Aktivitäten und Best Practices behandelt, um einen robusten Sicherheitsstatus für Ihre Cloud-Anwendungen sicherzustellen. Es werden Schritt-für-Schritt-Anleitungen und praktische Beispiele bereitgestellt, damit der Leser die Zugriffs- und Sitzungskontrolle mit MDCA implementieren und validieren und so die Sicherheit seiner Daten und Anwendungen in der Cloud auf autonome, professionelle und zuverlässige Weise stärken kann.

Warum ist Microsoft Cloud App Security für die Zugriffs- und Sitzungskontrolle von entscheidender Bedeutung?

  • Sichtbarkeit und Kontrolle: Bietet umfassende Einblicke in die Nutzung von Cloud-Anwendungen und ermöglicht eine detaillierte Kontrolle über Benutzeraktionen in Echtzeit.
  • Datenschutz: Verhindert Datenlecks sowie unbefugte Downloads und Uploads sensibler Dateien in Cloud-Anwendungen.
  • Bedrohungserkennung: Identifiziert Verhaltensanomalien und verdächtige Aktivitäten, die auf kompromittierte Konten oder Insider-Bedrohungen hinweisen können.
  • Compliance: Unterstützt Unternehmen bei der Einhaltung von Datenschutz- und Sicherheitsvorschriften und stellt sicher, dass Daten gemäß den Unternehmensrichtlinien behandelt werden.
  • Integration mit bedingtem Azure AD-Zugriff: Erweitert die Funktionen des bedingten Azure AD-Zugriffs und ermöglicht Zugriffs- und Sitzungsrichtlinien in Echtzeit.
  • Unterstützung für nicht verwaltete Anwendungen: Ermöglicht die Ausweitung der Kontrolle und des Schutzes auf Cloud-Anwendungen, die nicht direkt von der Organisation verwaltet werden.

Voraussetzungen

Um die Zugriffs- und Sitzungskontrolle mit Microsoft Cloud App Security zu implementieren, benötigen Sie die folgenden Elemente:

  1. Lizenzierung: Einzelplatzlizenzen für Microsoft 365 E5, Enterprise Mobility + Security E5 oder Microsoft Defender für Cloud Apps [3].
  2. Administratorzugriff: Ein Konto mit der Rolle „Globaler Administrator“ oder „Sicherheitsadministrator“ auf dem Microsoft Defender XDR-Portal („https://security.microsoft.com“) und dem Azure-Portal („https://portal.azure.com“).
  3. Bedingter Azure AD-Zugriff: Azure AD-Richtlinien für bedingten Zugriff konfiguriert und verwendet, da MDCA in sie integriert wird, um Sitzungs- und Zugriffskontrollen durchzusetzen [4].
  4. Cloud-Anwendungen: Cloud-Anwendungen (SaaS), die Sie schützen möchten. MDCA funktioniert mit jeder Anwendung, aber die Integration mit Azure AD Conditional Access erfordert die Bereitstellung einer Reverse-Proxy-Anwendung.

Schritt für Schritt: Konfigurieren von Microsoft Defender für Cloud-Apps für Zugriffs- und Sitzungssteuerung

Lassen Sie uns MDCA konfigurieren, um den Zugriff und die Sitzungen auf Cloud-Anwendungen zu steuern.

1. Aktivieren der Cloud App Security-Integration

Stellen Sie zunächst sicher, dass MDCA aktiviert und in Ihre Umgebung integriert ist.

  1. Öffnen Sie Ihren Browser und navigieren Sie zum Microsoft Defender XDR-Portal: „https://security.microsoft.com“.
  2. Melden Sie sich mit einem Konto an, das über die erforderlichen Berechtigungen verfügt.
  3. Wählen Sie im linken Navigationsbereich ConfAbbildungen > Endpunkte.
  4. Scrollen Sie nach unten und wählen Sie Erweiterte Funktionen.
  5. Stellen Sie sicher, dass die Funktion Microsoft Defender für Cloud Apps aktiviert ist.

2. Konfigurieren einer Azure AD-Richtlinie für bedingten Zugriff für die Sitzungssteuerung

Bevor MDCA Sitzungskontrollen anwenden kann, muss der Datenverkehr über den MDCA-Proxy für bedingten Zugriff weitergeleitet werden. Dies erfolgt durch die Konfiguration einer Azure AD-Richtlinie für bedingten Zugriff.

  1. Öffnen Sie Ihren Browser und navigieren Sie zum Azure-Portal: „https://portal.azure.com“.
  2. Geben Sie im oberen Suchfeld „Azure Active Directory“ ein und wählen Sie es aus den Ergebnissen aus.
  3. Wählen Sie im linken Navigationsbereich Sicherheit > Bedingter Zugriff.
  4. Klicken Sie auf „+Neue Richtlinie“.
  5. Name: Geben Sie der Richtlinie einen aussagekräftigen Namen (z. B. „MDCA-Sitzungssteuerung für SharePoint Online“).

  6. Identität von Benutzern oder Workloads:

    • Wählen Sie unter „Einschließen“ „Alle Benutzer“ oder bestimmte Gruppen aus, die Sie ansprechen möchten.
    • Fügen Sie unter „Ausschließen“ alle Benutzer oder Gruppen hinzu, die von dieser Richtlinie ausgenommen werden sollen (z. B. Dienstkonten, Notfalladministratoren).

  7. Cloud-Anwendungen oder -Aktionen:

    • Wählen Sie unter „Einschließen“ die Option „Anwendungen auswählen“ und suchen Sie nach der Cloud-Anwendung, die Sie schützen möchten (z. B. „SharePoint Online“).

  8. Bedingungen: Konfigurieren Sie die Bedingungen entsprechend Ihren Anforderungen (z. B. „Standorte“, damit der Zugriff von bestimmten IPs erfolgen muss, „Geräte“, damit das Gerät kompatibel sein muss).

  9. Sitzungssteuerung:

    • Wählen Sie „Bedingte Anwendungszugriffskontrolle verwenden“.
    • Wählen Sie im Dropdown-Menü „Benutzerdefinierte Richtlinie verwenden“.

  10. Richtlinie aktivieren: Auf „Ein“ setzen.

  11. Klicken Sie auf Erstellen.

    • Erklärung: Diese Richtlinie leitet den Datenverkehr über den MDCA-Proxy an SharePoint Online um, sodass MDCA Sitzungsrichtlinien in Echtzeit anwenden kann.

3. Konfigurieren von Sitzungsrichtlinien in Microsoft Cloud App Security

Da der Datenverkehr nun weitergeleitet wird, können Sie in MDCA Sitzungsrichtlinien erstellen, um zu steuern, was Benutzer tun können.

  1. Navigieren Sie zurück zum Microsoft Defender XDR-Portal: „https://security.microsoft.com“.
  2. Wählen Sie im linken Navigationsbereich Cloud Apps > Richtlinien > Richtlinienverwaltung aus.

  3. Klicken Sie auf der Registerkarte „Bedingter Zugriff“ auf „+ Richtlinie erstellen“ > „Sitzungsrichtlinie“.

  4. Richtlinienname: Geben Sie einen Namen ein (z. B. „SharePoint-Online-Download blockieren“).

  5. Beschreibung: Geben Sie eine klare Beschreibung des Zwecks der Richtlinie an.
  6. Schweregradtyp: Definieren Sie den Schweregrad (z. B. „Hoch“).
  7. Kategorie: Wählen Sie eine Kategorie aus (z. B. „Verhinderung von Datenverlust“).

  8. Aktivitätsfilter:

    • Aktivitäten: Wählen Sie „Herunterladen“.
    • Anwendungen: Wählen Sie „SharePoint Online“.
    • Gerät: Wählen Sie „Geräte-Tag“ und dann „Nicht verwaltet“ (um Downloads auf nicht verwalteten Geräten zu blockieren).
    • Benutzer: Geben Sie die Benutzer oder Gruppen an, für die diese Richtlinie gilt.

  9. Aktionen:

    • Wählen Sie „Blockieren“.
    • Optional können Sie „Testen“ auswählen, um die Aktivität ohne Blockierung zu überwachen, oder „Mit Proxy steuern“, um Downloads, jedoch mit Inspektion oder Kennzeichnung, zuzulassen.

  10. Konfigurieren Sie Benachrichtigungen und Governance nach Bedarf.

  11. Klicken Sie auf Erstellen.

    • Erklärung: Diese Richtlinie blockiert SharePoint Online-Downloads für Benutzer, die über nicht verwaltete Geräte darauf zugreifen, dank der MDCA-Proxy-Umleitung durch die Azure AD-Richtlinie für bedingten Zugriff.

4. Konfigurieren von Zugriffsrichtlinien in Microsoft Cloud App Security

Zugriffsrichtlinien in MDCA steuern den Zugriff auf Cloud-Anwendungen basierend auf verschiedenen Kriterien wie Standort, Gerät, IP usw.

  1. Wählen Sie im Microsoft Defender XDR-Portal Cloud Apps > Richtlinien > Richtlinienverwaltung aus.

  2. Klicken Sie auf der Registerkarte „Bedingter Zugriff“ auf „+ Richtlinie erstellen“ > „Zugriffsrichtlinie“.

  3. Richtlinienname: Geben Sie einen Namen ein (z. B. „Zugriff aus riskantem Land blockieren“).

  4. Beschreibung: Geben Sie eine klare Beschreibung an.
  5. Schweregradtyp: Legen Sie den Schweregrad fest.
  6. Kategorie: Wählen Sie eine Kategorie aus (z. B. „Zugriffskontrolle“).

  7. Aktivitätsfilter:

    • Aktivitäten: Wählen Sie „Zugriff“.
    • Anwendungen: Wählen Sie die App ausCloud-Anwendung (z. B. „Alle Cloud-Anwendungen“).
    • Standorte: Wählen Sie „IP-Adress-Tag“ und dann „Risikoländer“ oder erstellen Sie ein neues IP-Tag für bestimmte Länder, die Sie blockieren möchten.

  8. Aktionen:

    • Wählen Sie „Blockieren“.

  9. Konfigurieren Sie Benachrichtigungen und Governance nach Bedarf.

  10. Klicken Sie auf Erstellen.

    • Erklärung: Diese Richtlinie blockiert den Zugriff auf alle Cloud-Anwendungen für Benutzer, die versuchen, eine Verbindung aus Ländern herzustellen, die als gefährdet gelten.

5. Überwachungsaktivitäten und Warnungen

MDCA bietet robuste Tools zur Überwachung und Untersuchung von Benutzeraktivitäten und Warnungen.

  1. Wählen Sie im Microsoft Defender XDR-Portal Cloud-Apps > Aktivitätsprotokolle aus.

    • Hier können Sie alle von MDCA erkannten Aktivitäten anzeigen, nach Benutzer, Anwendung, Aktivitätsart usw. filtern.

  2. Wählen Sie im linken Navigationsbereich Vorfälle und Warnungen > Warnungen aus.

    • Hier sehen Sie alle Warnungen, die durch die von Ihnen konfigurierten Richtlinien generiert werden, sowie Warnungen zur Erkennung von Anomalien.

Validierung und Tests

Es ist wichtig, konfigurierte Richtlinien zu validieren, um sicherzustellen, dass sie wie erwartet funktionieren.

1. Testen der Sitzungsrichtlinie (Download blockieren)

  1. Verwenden Sie ein Gerät, das nicht als „Verwaltet“ oder „Unterstützt“ gekennzeichnet ist (z. B. ein PC oder ein mobiles Gerät ohne Intune).
  2. Melden Sie sich bei Ihrem Microsoft 365-Konto an und versuchen Sie, auf SharePoint Online zuzugreifen.

  3. Versuchen Sie, eine Datei von SharePoint Online herunterzuladen.

    • Erwartetes Ergebnis: Der Download sollte blockiert werden und eine benutzerdefinierte MDCA-Meldung sollte erscheinen, die besagt, dass die Aktion aufgrund von Organisationsrichtlinien blockiert wurde.

  4. Überprüfen Sie die „Aktivitätsprotokolle“ und „Warnungen“ im MDCA-Portal, um zu bestätigen, dass die Sitzungsrichtlinie ausgelöst und eine Warnung generiert wurde.

2. Testen der Zugriffsrichtlinie (Zugriff aus riskantem Land blockieren)

  1. Verwenden Sie ein VPN oder einen Proxy, um eine Verbindung aus einem Land zu simulieren, das Sie als „Risikoland“ konfiguriert haben.

  2. Versuchen Sie, auf eine beliebige Cloud-Anwendung zuzugreifen (z. B. Outlook Web Access, SharePoint Online).

    • Erwartetes Ergebnis: Der Zugriff sollte blockiert werden und eine benutzerdefinierte MDCA-Meldung sollte erscheinen, die besagt, dass der Zugriff aufgrund von Organisationsrichtlinien verweigert wurde.

  3. Überprüfen Sie die „Aktivitätsprotokolle“ und „Warnungen“ im MDCA-Portal, um zu bestätigen, dass die Zugriffsrichtlinie ausgelöst und eine Warnung generiert wurde.

Sicherheitstipps und Best Practices

  • Beginnen Sie mit der Überwachung: Beginnen Sie bei der Implementierung neuer Richtlinien mit der Aktion „Überwachen“ oder „Testen“, um die Auswirkungen zu verstehen, bevor Sie die Aktionen „Blockieren“ oder „Mit Proxy steuern“ anwenden.
  • Benutzerschulung: Informieren Sie Benutzer klar und deutlich über Sicherheitsrichtlinien und warum bestimmte Aktionen blockiert werden. Dies trägt dazu bei, Frustrationen zu reduzieren und die Compliance zu erhöhen.
  • Richtliniengranularität: Erstellen Sie granulare Sitzungs- und Zugriffsrichtlinien für verschiedene Benutzergruppen, Anwendungen und Risikoszenarien. Vermeiden Sie zu weit gefasste Richtlinien, die sich auf die Produktivität auswirken könnten.
  • Integration mit anderen Lösungen: Nutzen Sie die MDCA-Integration mit anderen Microsoft-Lösungen (Defender for Endpoint, Azure AD Identity Protection, Microsoft Sentinel) für eine umfassendere Sicherheitsansicht.
  • Periodische Überprüfung: Überprüfen und passen Sie Ihre MDCA-Richtlinien regelmäßig an, um sie an sich ändernde Bedrohungen, Geschäftsanforderungen und die Einführung neuer Cloud-Anwendungen anzupassen.
  • Proxy-Einstellungen: Verstehen Sie, wie der MDCA-Proxy für bedingten Zugriff funktioniert und welche Auswirkungen er auf die Benutzererfahrung und Anwendungskompatibilität hat.
  • Geräteverwaltung: Kombinieren Sie MDCA mit Microsoft Intune, um die Gerätekonformität zu verwalten und strengere Richtlinien auf nicht verwaltete Geräte anzuwenden.

Allgemeine Fehlerbehebung

  • Sitzungs-/Zugriffsrichtlinien werden nicht angewendet: Stellen Sie sicher, dass die Azure AD-Richtlinie für bedingten Zugriff richtig konfiguriert ist, um Datenverkehr über MDCA weiterzuleiten („Bedingte Anwendungszugriffskontrolle verwenden“). Stellen Sie sicher, dass die Cloud-Anwendung in der Richtlinie enthalten ist.
  • Benutzer werden fälschlicherweise blockiert: Überprüfen Sie die Aktivitätsfilter und -bedingungen in den MDCA-Sitzungs- und Zugriffsrichtlinien. Überprüfen Sie Ihre Azure AD-Richtlinie für bedingten Zugriff auf erforderliche Ausschlüsse. Überprüfen Sie die AktivitätsprotokolleEs ist einfacher zu verstehen, welche Richtlinie ausgelöst wird.
  • Langsame Leistung oder Kompatibilitätsprobleme: Das MDCA-Proxy-Routing kann zu einer geringen Latenz führen. Überprüfen Sie die Netzwerkkonnektivität und Proxy-Einstellungen. Bei einigen Anwendungen können Probleme mit der Proxy-Kompatibilität auftreten. Informationen zu bekannten Problemen finden Sie in der Microsoft-Dokumentation.
  • Falsch-positive Warnungen: Passen Sie die Richtlinienbedingungen und die Empfindlichkeit an, um irrelevante Warnungen zu reduzieren. Verwenden Sie den „Überwachen“- oder „Test“-Modus, um Richtlinien zu verfeinern, bevor Sie sie im Blockierungsmodus anwenden.
  • Anwendungen werden nicht in MDCA angezeigt: Stellen Sie sicher, dass die Cloud-Anwendung aktiv verwendet wird und dass MDCA für die Erkennung von Anwendungen konfiguriert ist. Überprüfen Sie für Reverse-Proxy-Anwendungen Ihre Azure AD Conditional Access-Konfiguration.

Fazit

Microsoft Defender für Cloud Apps ist ein unverzichtbares Tool für jedes Unternehmen, das seine Daten und Benutzer in einer cloudzentrierten Welt schützen möchte. Durch die Implementierung von Zugriffs- und Sitzungskontrollen ermöglicht MDCA Sicherheitsteams, detaillierte Richtlinien in Echtzeit durchzusetzen und so das Risiko von Datenlecks, unbefugtem Zugriff und böswilligen Aktivitäten in SaaS-Anwendungen zu mindern. Durch die Integration mit Azure AD Conditional Access entsteht eine leistungsstarke Synergie, die die Zero-Trust-Sicherheit auf die Anwendungsebene ausdehnt. Mit diesem praktischen Leitfaden sind Sicherheitsexperten bestens gerüstet, um Microsoft Security für Cloud-Apps zu konfigurieren, zu validieren und zu verwalten und so eine sicherere und konformere Cloud-Umgebung für ihre Organisationen zu gewährleisten.

Referenzen:

[1] Microsoft Learn. Was ist Microsoft Defender für Cloud Apps?. Verfügbar unter: https://learn.microsoft.com/pt-br/defender-cloud-apps/what-is-defender-for-cloud-apps [2] Microsoft Learn. Microsoft Defender für Cloud Apps Conditional Access App Control. Verfügbar unter: https://learn.microsoft.com/pt-br/defender-cloud-apps/proxy-intro-aad [3] Microsoft Learn. Microsoft Defender für Cloud-Apps-Lizenzierung. Verfügbar unter: https://learn.microsoft.com/pt-br/defender-cloud-apps/licensing [4] Microsoft Learn. Konfigurieren Sie Richtlinien für bedingten Zugriff für die Anwendungssteuerung für bedingten Zugriff. Verfügbar unter: https://learn.microsoft.com/pt-br/defender-cloud-apps/conditional-access-app-control-how-to-overview [5] Microsoft Learn. Erstellen Sie Sitzungsrichtlinien für Microsoft Defender für Cloud Apps. Verfügbar unter: https://learn.microsoft.com/pt-br/defender-cloud-apps/session-policy-aad [6] Microsoft Learn. Erstellen Sie Microsoft Defender für Cloud Apps-Zugriffsrichtlinien. Verfügbar unter: https://learn.microsoft.com/pt-br/defender-cloud-apps/access-policy-aad