Configuration de Microsoft Cloud App Security (MCAS) pour la gouvernance SaaS

Configuration de Microsoft Cloud App Security (MCAS) pour la gouvernance SaaS

01/07/2024

Cet article technique et pédagogique vise à guider les analystes de sécurité, les administrateurs informatiques et les ingénieurs système dans la configuration et l'utilisation de Microsoft Cloud App Security (MCAS), qui fait désormais partie de Microsoft Defender for Cloud Apps (MDCA), pour la gouvernance des applications SaaS (Software as a Service). MDCA est une solution complète Cloud Access Security Broker (CASB) qui offre visibilité, contrôle des données et protection contre les menaces pour vos applications cloud, contribuant ainsi à garantir la sécurité et la conformité dans un environnement cloud en constante expansion [1].

Présentation

L'adoption massive des applications SaaS a apporté de nombreux avantages en matière de productivité, mais elle a également introduit de nouveaux défis en matière de sécurité. Les organisations perdent souvent la visibilité et le contrôle sur les données stockées et partagées dans les applications cloud, créant ce que l'on appelle le « Shadow IT ». De plus, se protéger contre les menaces en temps réel et assurer la conformité de ces applications est complexe. Microsoft Defender pour les applications cloud répond à ces défis en permettant aux entreprises de découvrir et de contrôler l'utilisation des applications cloud, de protéger les données sensibles et de détecter les comportements anormaux pouvant indiquer des menaces [2].

Ce guide pratique couvrira la mise en place de MDCA, depuis la découverte du Shadow IT et la connexion des applications jusqu'à la création de politiques d'accès, de session, d'activité et de détection d'anomalies. Des instructions étape par étape, des exemples de configuration et des méthodes de validation seront fournis afin que le lecteur puisse mettre en œuvre une stratégie de gouvernance SaaS robuste, protégeant ses données et ses utilisateurs dans les applications cloud et renforçant la posture de sécurité de son organisation.

Pourquoi la sécurité des applications Microsoft Cloud est-elle cruciale ?

  • Shadow IT Discovery : identifie toutes les applications cloud utilisées dans votre organisation, évalue leurs risques et vous permet de les contrôler.
  • Protection des données : empêche l'exfiltration de données confidentielles et garantit la conformité aux politiques DLP (Data Loss Prevention) dans les applications cloud.
  • Contrôles d'accès et de session : vous permet d'appliquer des contrôles d'accès granulaires et de surveiller les activités de session en temps réel pour les applications connectées.
  • Détection des menaces : utilise l'analyse comportementale et l'apprentissage automatique pour détecter les activités anormales et les cybermenaces dans les applications cloud.
  • Gouvernance des applications : aide à gérer les autorisations des applications, les activités des utilisateurs et les paramètres de sécurité des applications SaaS.
  • Intégration avec Microsoft 365 Defender : corrèle les signaux MDCA avec d'autres solutions Defender pour une vue unifiée des incidents.

Prérequis

Pour implémenter Microsoft Cloud App Security, vous aurez besoin des éléments suivants :

  1. Licence : une licence qui inclut Microsoft Defender pour les applications cloud (par exemple, Microsoft 365 E5, Microsoft 365 E5 Security, Enterprise Mobility + Security E5 ou une licence autonome MDCA) [3].
  2. Accès administrateur : un compte avec le rôle « Administrateur global », « Administrateur de sécurité » ou « Administrateur de sécurité des applications Cloud » dans le portail Microsoft 365 Defender (https://security.microsoft.com).
  3. Sources de journaux (pour le Shadow IT) : journaux de pare-feu et de proxy pour la découverte du Shadow IT. Pour une intégration plus approfondie, des connecteurs API pour des applications SaaS spécifiques (par exemple Office 365, Salesforce, Box).
  4. Microsoft Defender for Endpoint (Facultatif, mais recommandé) : Pour une découverte plus approfondie du Shadow IT et un contrôle des applications sur les appareils gérés.

Étape par étape : configuration de la sécurité Microsoft pour les applications cloud

Explorons la configuration de MDCA pour la gouvernance SaaS.

1. Accès au portail Microsoft 365 Defender

  1. Ouvrez votre navigateur et accédez à « https://security.microsoft.com ».
  2. Connectez-vous avec un compte disposant des autorisations nécessaires.
  3. Dans le volet de navigation de gauche, sélectionnez Applications Cloud.

2. Découverte d'applications (Shadow IT)

La découverte d'applications est la première étape pour obtenir une visibilité sur l'utilisation du SaaS dans votre organisation.

  1. Dans le volet de navigation de gauche du MDCA, sélectionnez Découverte > Log Snapshots ou Log Collectors.

  2. Instantanés du journal : pour une évaluation rapide, vous pouvez charger manuellement les journaux de trafic du pare-feu ou du proxy.

    • Cliquez sur Créer un instantané du journal et suivez les instructions pour télécharger un fichier journal.

  3. Collecteurs de journaux : pour une découverte continue et automatisée, configurez un collecteur de journaux dans votre environnement.

    • Cliquez sur Ajouter un collecteur de journaux et suivez les instructions pour configurer le collecteur (généralement une machine virtuelle ou un conteneur qui transmet les journaux à MDCA).

  4. Defender for Endpoint Integration : si vous disposez de Defender for Endpoint, la découverte Shadow IT est automatiquement activée, fournissant des données d'utilisation des applications cloud directement à partir des points de terminaison.

  5. Après la collecte des données, accédez à Découverte > Applications découvertes pour voir la liste des applications cloud, leurs niveaux de risque et les statistiques d'utilisation.

3. Connexion d'applications (connecteurs API)

Pour une gouvernance et une protection plus approfondies, connectez les applications SaaS directement via des API.

  1. Dans le volet de navigation de gauche du MDCA, sélectionnez Paramètres > Application Connectors.
  2. Cliquez sur + Connecter une application.
  3. Sélectionnez l'application que vous souhaitez connecter (ex : Office 365, Salesforce, Box).
  4. Suivez les instructions spécifiques à chaque application pour accorder les autorisations nécessaires. Cela implique généralement de se connecter en tant qu'administrateur de l'application et d'autoriser MDCA.

4. Création de politiques d'accès et de session

Les politiques d'accès et de session vous permettent de contrôler l'accès et les activités des utilisateurs en temps réel.

  1. Dans le volet de navigation de gauche du MDCA, sélectionnez Contrôle > Politiques.
  2. Cliquez sur Créer une stratégie > Politique d'accès ou Politique de session.

Exemple : stratégie de session pour bloquer le téléchargement de données sensibles

Cette stratégie peut empêcher les utilisateurs de télécharger des fichiers sensibles à partir d'une application SaaS lorsqu'ils y accèdent à partir d'un appareil non géré.

  1. Type de politique : « Politique de session ».
  2. Nom : « Bloquer le téléchargement de données sensibles sur un appareil non géré ».
  3. Gravité : « Élevée ».
  4. Catégorie : « Prévention de la perte de données ».
  5. Filtres d'activité : Configurez les conditions :
    • Applications : sélectionnez l'application SaaS cible (par exemple « SharePoint Online »).
    • Utilisateurs : sélectionnez les utilisateurs ou les groupes cibles.
    • Périphérique : sélectionnez « Marque de l'appareil » = « Non pris en charge » ou « Non hybride Azure AD rejoint ».
    • Type d'activité : Télécharger.
    • Inspection du contenu : configurez pour détecter les données confidentielles (par exemple, « numéro de carte de crédit », « CPF ).
  6. Actions : sélectionnez « Bloquer » (pour les téléchargements) et « Surveiller ».
  7. Cliquez sur Créer.

5. Création de politiques d'activité

Les stratégies d'activité vous permettent de détecter et de contrôler les actions spécifiques des utilisateurs dans les applications connectées.

  1. Dans le volet de navigation de gauche du MDCA, sélectionnez Contrôle > Politiques.
  2. Cliquez sur Créer une stratégie > Politique d'activité.
  3. Nom : « Alerte de suppression massive de fichiers sur OneDrive ».
  4. Gravité : « Moyenne ».
  5. Catégorie : « Détection des menaces ».
  6. Filtres d'activité : Configurez les conditions :
    • Applications : « OneDrive Entreprise ».
    • Type d'activité : Supprimer le fichier.
    • Nombre d'activités : « Supérieur à  « 10 » (sur une période de « 5 minutes).
  7. Actions : sélectionnez « Générer une alerte » et « Envoyer une alerte par e-mail » aux administrateurs.
  8. Cliquez sur Créer.

6. Création de politiques de détection d'anomalies

Les politiques de détection des anomalies utilisent l’apprentissage automatique pour identifier les comportements inhabituels pouvant indiquer une attaque.

  1. Dans le volet de navigation de gauche du MDCA, sélectionnez Contrôle > Politiques.
  2. Cliquez sur Créer une stratégie > Politique de détection d'anomalies.
  3. MDCA propose plusieurs politiques d'anomalie prédéfinies (par exemple « Activité de téléchargement de fichiers inhabituelle », « Activité de connexion à partir d'une adresse IP suspecte », « Activité de connexion à partir d'un pays/région rarement consulté »).
  4. Vous pouvez activer et ajuster les paramètres de ces stratégies.

Validation et tests

La validation de la mise en œuvre du MDCA est cruciale pour garantir que les politiques fonctionnent comme prévu.

1. Session de test et politiques d'accès

  1. Simulez le scénario : essayez d'accéder à une application SaaS (par exemple SharePoint Online) à partir d'un appareil non géré ou d'un serveur local.Je ne suis pas fiable.
  2. Essayez d'effectuer l'action restreinte par la stratégie (par exemple, télécharger un fichier confidentiel).
  3. Vérifiez que la stratégie de session bloque l'action et affiche une notification à l'utilisateur.

2. Vérification des alertes d'activité et des anomalies

  1. Simulez l'activité : dans un environnement de test, exécutez l'activité que vous avez configurée pour générer une alerte (par exemple, supprimer rapidement plusieurs fichiers dans OneDrive).
  2. Attendez quelques minutes.
  3. Dans le portail Microsoft 365 Defender, accédez à Incidents et alertes > Alertes.
  4. Filtrez par « Service » = « Microsoft Defender for Cloud Apps » et vérifiez si l'alerte a été générée.

3. Examen du journal d'activité

Le journal d'activité MDCA enregistre toutes les actions détectées dans les applications connectées.

  1. Dans le volet de navigation de gauche du MDCA, sélectionnez Journaux > Journal d'activité.
  2. Filtrez par utilisateur, application ou type d'activité pour vérifier que les actions attendues sont enregistrées et que les stratégies sont appliquées.

Conseils de sécurité et bonnes pratiques

  • Commencez par la visibilité : donnez la priorité à la découverte du Shadow IT pour comprendre le paysage des applications cloud de votre organisation avant de mettre en œuvre des contrôles stricts.
  • Mise en œuvre progressive : commencez par les politiques en mode « Surveillance » ou « Audit uniquement » pour comprendre l'impact et les ajuster avant d'appliquer des actions de blocage.
  • Intégration complète : intégrez MDCA à Microsoft Defender for Endpoint pour améliorer la découverte du Shadow IT et la protection des points de terminaison.
  • Politiques complètes : créez des politiques qui couvrent la détection des accès, des sessions, des activités et des anomalies pour une protection multicouche.
  • Classification des données : utilisez Microsoft Information Protection (MIP) pour classer et étiqueter les données sensibles, et utilisez ces étiquettes dans les stratégies MDCA DLP.
  • Éducation des utilisateurs : communiquez aux utilisateurs les politiques MDCA et l'importance d'utiliser des applications approuvées et sécurisées pour les données d'entreprise.
  • Révision continue : examinez et ajustez régulièrement les politiques MDCA pour vous adapter aux changements dans l'utilisation des applications, au paysage des menaces et aux exigences de conformité.

Dépannage courant

  • Les applications n'apparaissent pas dans la découverte : vérifiez que les journaux de pare-feu/proxy se chargent correctement ou que l'intégration avec Defender pour Endpoint est active. Assurez-vous que le trafic pertinent est capturé.
  • Les connecteurs d'application échouent : vérifiez les autorisations accordées à MDCA sur l'application SaaS. Vérifiez les journaux de connexion dans MDCA pour les messages d'erreur. Vous devrez peut-être réautoriser le connecteur.
  • Les stratégies ne sont pas appliquées : vérifiez que la stratégie est activée et que l'utilisateur et l'application sont dans la portée de la stratégie. Vérifiez les filtres d’activité pour vous assurer que les conditions sont remplies. Pour les stratégies de session, assurez-vous que le trafic est acheminé via le proxy de contrôle d’accès conditionnel MDCA.
  • Faux positifs : ajustez la sensibilité des politiques de détection des anomalies ou ajoutez des exclusions pour les activités légitimes. Pour les stratégies d’activité, affinez les filtres pour être plus spécifiques.
  • Problèmes de performances : l'utilisation du proxy de contrôle d'accès conditionnel peut introduire une légère latence. Surveillez les performances et optimisez les politiques si nécessaire.

Conclusion

Microsoft Defender for Cloud Apps (MDCA) est un outil indispensable pour toute organisation cherchant à protéger ses données et ses utilisateurs dans des environnements d'applications SaaS. En offrant une visibilité sur le Shadow IT, des contrôles granulaires d'accès et de session et une détection avancée des menaces, MDCA permet aux entreprises d'étendre efficacement leur posture de sécurité au cloud. La mise en œuvre minutieuse des politiques MDCA, combinée aux meilleures pratiques de gouvernance SaaS et à l'intégration avec d'autres solutions Microsoft 365 Defender, renforce considérablement la cyber-résilience de votre organisation. Grâce à ce guide pratique, les professionnels de la sécurité seront en mesure de configurer et de gérer MDCA pour garantir que leurs applications cloud sont sécurisées, conformes et sous contrôle.

Références :

[1] Microsoft Apprendre. Qu'est-ce que Microsoft Defender pour les applications cloud ?. Disponible sur : https://learn.microsoft.com/pt-br/defender-cloud-apps/what-is-defender-for-cloud-apps [2] Microsoft Apprendre. Découverte du Shadow IT. Disponible sur : https://learn.microsoft.com/pt-br/defender-cloud-apps/shadow-it-discovery [3] Microsoft Apprendre. Exigences de licence Microsoft Defender pour Cloud Apps. Disponible sur : https://learn.microsoft.com/pt-br/defender-cloud-apps/what-is-defender-for-cloud-apps#licensing-requirements