Configurazione di Microsoft Cloud App Security (MCAS) per la governance SaaS

Configurazione di Microsoft Cloud App Security (MCAS) per la governance SaaS

01/07/2024

Questo articolo tecnico ed educativo ha lo scopo di guidare analisti della sicurezza, amministratori IT e ingegneri di sistema nella configurazione e nell'utilizzo di Microsoft Cloud App Security (MCAS), ora parte di Microsoft Defender for Cloud Apps (MDCA), per la governance delle applicazioni SaaS (Software as a Service). MDCA è una soluzione completa Cloud Access Security Broker (CASB) che fornisce visibilità, controllo dei dati e protezione dalle minacce per le applicazioni cloud, contribuendo a garantire sicurezza e conformità in un ambiente cloud in continua espansione [1].

Introduzione

L’adozione di massa delle applicazioni SaaS ha portato numerosi vantaggi in termini di produttività, ma ha anche introdotto nuove sfide in termini di sicurezza. Le organizzazioni spesso perdono visibilità e controllo sui dati archiviati e condivisi tra le applicazioni cloud, creando ciò che è noto come "Shadow IT". Inoltre, la protezione dalle minacce in tempo reale e la garanzia della conformità per queste applicazioni sono complesse. Microsoft Defender for Cloud Apps affronta queste sfide consentendo alle aziende di scoprire e controllare l'uso delle app cloud, proteggere i dati sensibili e rilevare comportamenti anomali che potrebbero indicare minacce [2].

Questa guida pratica riguarderà la configurazione dell'MDCA, dalla scoperta dello Shadow IT e la connessione delle applicazioni alla creazione di policy di accesso, sessione, attività e rilevamento di anomalie. Verranno fornite istruzioni dettagliate, esempi di configurazione e metodi di convalida in modo che il lettore possa implementare una solida strategia di governance SaaS, proteggendo i propri dati e utenti nelle applicazioni cloud e rafforzando il livello di sicurezza della propria organizzazione.

Perché Microsoft Cloud App Security è fondamentale?

  • Shadow IT Discovery: identifica tutte le applicazioni cloud in uso nella tua organizzazione, ne valuta i rischi e ti consente di controllarli.
  • Protezione dei dati: impedisce l'esfiltrazione di dati riservati e garantisce la conformità alle policy DLP (Data Loss Prevention) nelle applicazioni cloud.
  • Controlli di accesso e sessione: consente di applicare controlli di accesso granulari e monitorare le attività di sessione in tempo reale per le applicazioni connesse.
  • Rilevamento delle minacce: utilizza l'analisi comportamentale e l'apprendimento automatico per rilevare attività anomale e minacce informatiche nelle applicazioni cloud.
  • Governance delle applicazioni: aiuta a gestire le autorizzazioni delle applicazioni, le attività degli utenti e le impostazioni di sicurezza per le applicazioni SaaS.
  • Integrazione con Microsoft 365 Defender: correla i segnali MDCA con altre soluzioni Defender per una visione unificata degli incidenti.

Prerequisiti

Per implementare Microsoft Cloud App Security, saranno necessari i seguenti elementi:

  1. Licenza: una licenza che include Microsoft Defender per app cloud (ad esempio, Microsoft 365 E5, Microsoft 365 E5 Security, Enterprise Mobility + Security E5 o una licenza MDCA standalone) [3].
  2. Accesso amministrativo: un account con il ruolo di "Amministratore globale", "Amministratore della sicurezza" o "Amministratore della sicurezza delle app cloud" nel portale Microsoft 365 Defender (https://security.microsoft.com).
  3. Sorgenti log (per Shadow IT): log firewall e proxy per il rilevamento Shadow IT. Per un'integrazione più profonda, connettori API per applicazioni SaaS specifiche (ad esempio Office 365, Salesforce, Box).
  4. Microsoft Defender for Endpoint (facoltativo, ma consigliato): per un rilevamento più approfondito dello Shadow IT e un controllo delle applicazioni sui dispositivi gestiti.

Passo dopo passo: configurazione di Microsoft Security per le app cloud

Esploriamo la configurazione di MDCA per la governance SaaS.

1. Accesso al portale Microsoft 365 Defender

  1. Apri il browser e vai a "https://security.microsoft.com".
  2. Accedi con un account che disponga delle autorizzazioni necessarie.
  3. Nel riquadro di navigazione a sinistra, seleziona App cloud.

2. Individuazione delle applicazioni (Shadow IT)

L'individuazione delle applicazioni è il primo passo per ottenere visibilità sull'utilizzo di SaaS nella tua organizzazione.

  1. Nel riquadro di navigazione sinistro di MDCA, selezionare Individuazione > Istantanee log o Collettori log.

  2. Registra istantanee: per una valutazione rapida, è possibile caricare manualmente i registri del traffico del firewall o del proxy.

    • Fai clic su Crea istantanea del registro e segui le istruzioni per caricare un file di registro.

  3. Raccoglitori di log: per un rilevamento continuo e automatizzato, configura un raccoglitore di log nel tuo ambiente.

    • Fai clic su Aggiungi raccoglitore log e segui le istruzioni per configurare il raccoglitore (solitamente una macchina virtuale o un contenitore che inoltra i log a MDCA).

  4. Integrazione di Defender for Endpoint: se disponi di Defender for Endpoint, il rilevamento Shadow IT viene abilitato automaticamente, fornendo dati sull'utilizzo delle app cloud direttamente dagli endpoint.

  5. Dopo la raccolta dei dati, vai su Individuazione > Applicazioni rilevate per visualizzare l'elenco delle applicazioni cloud, i relativi livelli di rischio e le statistiche di utilizzo.

3. Connessione delle applicazioni (connettori API)

Per una governance e una protezione più approfondite, connetti le applicazioni SaaS direttamente tramite API.

  1. Nel riquadro di navigazione sinistro di MDCA, seleziona Impostazioni > Connettori applicazioni.
  2. Fare clic su + Connetti un'applicazione.
  3. Seleziona l'applicazione che desideri connettere (es: Office 365, Salesforce, Box).
  4. Seguire le istruzioni specifiche di ciascuna applicazione per concedere le autorizzazioni necessarie. Di solito ciò comporta l'accesso come amministratore dell'applicazione e l'autorizzazione di MDCA.

4. Creazione di policy di accesso e di sessione

Le policy di accesso e di sessione consentono di controllare l'accesso e le attività degli utenti in tempo reale.

  1. Nel riquadro di navigazione sinistro di MDCA, selezionare Control > Criteri.
  2. Fare clic su Crea policy > Policy di accesso o Policy di sessione.

Esempio: policy di sessione per bloccare il download di dati sensibili

Questo criterio può impedire agli utenti di scaricare file sensibili da un'applicazione SaaS quando vi accedono da un dispositivo non gestito.

  1. Tipo di policy: "Politica di sessione".
  2. Nome: "Blocca download di dati sensibili su dispositivo non gestito".
  3. Gravità: "Alta".
  4. Categoria: "Prevenzione della perdita di dati".
  5. Filtri attività: configura le condizioni:
    • Applicazioni: seleziona l'applicazione SaaS di destinazione (ad esempio "SharePoint Online").
    • Utenti: seleziona gli utenti o i gruppi di destinazione.
    • Dispositivo: seleziona "Marca dispositivo" = "Non supportato" o "Non ibrido aggiunto ad Azure AD".
    • Tipo di attività: Download.
    • Ispezione contenuto: configura per rilevare dati riservati (ad es. "Numero di carta di credito", "CPF").
  6. Azioni: seleziona "Blocca" (per i download) e "Monitor".
  7. Fare clic su Crea.

5. Creazione di politiche di attività

I criteri di attività consentono di rilevare e controllare azioni specifiche degli utenti nelle app connesse.

  1. Nel riquadro di navigazione sinistro di MDCA, selezionare Control > Criteri.
  2. Fare clic su Crea policy > Policy attività.
  3. Nome: "Avviso eliminazione di massa di file su OneDrive".
  4. Gravità: "Media".
  5. Categoria: "Rilevamento delle minacce".
  6. Filtri attività: configura le condizioni:
    • Applicazioni: "OneDrive for Business".
    • Tipo di attività: Elimina file.
    • Conteggio attività: "Maggiore di" "10" (in un periodo di "5" minuti).
  7. Azioni: seleziona "Genera avviso" e "Invia avviso e-mail" agli amministratori.
  8. Fare clic su Crea.

6. Creazione di policy di rilevamento delle anomalie

Le policy di rilevamento delle anomalie utilizzano l'apprendimento automatico per identificare comportamenti insoliti che potrebbero indicare un attacco.

  1. Nel riquadro di navigazione sinistro di MDCA, selezionare Control > Criteri.
  2. Fare clic su Crea policy > Policy di rilevamento anomalie.
  3. MDCA offre diverse policy di anomalia predefinite (ad esempio "Attività insolita di download di file", "Attività di accesso da un indirizzo IP sospetto", "Attività di accesso da un paese/regione a cui si accede raramente").
  4. È possibile abilitare e modificare le impostazioni per questi criteri.

Convalida e test

La convalida dell’implementazione dell’MDCA è fondamentale per garantire che le politiche funzionino come previsto.

1. Sessione di test e politiche di accesso

  1. Simula lo scenario: prova ad accedere a un'applicazione SaaS (ad esempio SharePoint Online) da un dispositivo non gestito o da un dispositivo localeinaffidabile.
  2. Provare a eseguire l'azione limitata dalla policy (ad esempio scaricare un file riservato).
  3. Verificare che la policy di sessione blocchi l'azione e visualizzi una notifica all'utente.

2. Controllo degli avvisi di attività e delle anomalie

  1. Simula l'attività: in un ambiente di test, esegui l'attività configurata per generare un avviso (ad esempio, elimina rapidamente più file in OneDrive).
  2. Attendi qualche minuto.
  3. Nel portale Microsoft 365 Defender, vai a Incidenti e avvisi > Avvisi.
  4. Filtra per "Servizio" = "Microsoft Defender for Cloud Apps" e controlla se l'avviso è stato generato.

3. Revisione del registro delle attività

Il registro delle attività MDCA registra tutte le azioni rilevate nelle applicazioni connesse.

  1. Nel riquadro di navigazione sinistro di MDCA, selezionare Registri > Registro attività.
  2. Filtra per utente, applicazione o tipo di attività per verificare che le azioni previste vengano registrate e che i criteri vengano applicati.

Suggerimenti e best practice per la sicurezza

  • Inizia con la visibilità: dai priorità all'individuazione dello Shadow IT per comprendere il panorama delle applicazioni cloud della tua organizzazione prima di implementare controlli rigorosi.
  • Implementazione graduale: inizia con le policy in modalità "Monitor" o "Solo controllo" per comprendere l'impatto e apportare modifiche prima di applicare azioni di blocco.
  • Integrazione completa: integra MDCA con Microsoft Defender per endpoint per migliorare il rilevamento dello Shadow IT e la protezione degli endpoint.
  • Policy complete: crea policy che coprano il rilevamento di accesso, sessione, attività e anomalie per una protezione multilivello.
  • Classificazione dei dati: utilizza Microsoft Information Protection (MIP) per classificare ed etichettare i dati sensibili e utilizzare queste etichette nei criteri DLP MDCA.
  • Formazione degli utenti: comunicare agli utenti le politiche MDCA e l'importanza di utilizzare applicazioni approvate e sicure per i dati aziendali.
  • Revisione continua: rivedi e adatta regolarmente le policy MDCA per adattarle ai cambiamenti nell'utilizzo delle applicazioni, al panorama delle minacce e ai requisiti di conformità.

Risoluzione dei problemi comuni

  • App non visualizzate nel rilevamento: verificare che i registri firewall/proxy vengano caricati correttamente o che l'integrazione con Defender per Endpoint sia attiva. Assicurati che venga catturato il traffico pertinente.
  • I connettori dell'applicazione non riescono: controlla le autorizzazioni concesse a MDCA sull'applicazione SaaS. Controllare i registri di connessione in MDCA per i messaggi di errore. Potrebbe essere necessario autorizzare nuovamente il connettore.
  • I criteri non vengono applicati: verificare che il criterio sia abilitato e che l'utente e l'applicazione rientrino nell'ambito del criterio. Controlla i filtri delle attività per assicurarti che le condizioni siano soddisfatte. Per le policy di sessione, assicurati che il traffico venga instradato attraverso il proxy di controllo dell'accesso condizionale MDCA.
  • Falsi positivi: regola la sensibilità dei criteri di rilevamento delle anomalie o aggiungi esclusioni per attività legittime. Per i criteri di attività, perfezionare i filtri per essere più specifici.
  • Problemi di prestazioni: l'utilizzo del proxy di controllo dell'accesso condizionato può introdurre una piccola quantità di latenza. Monitora le prestazioni e ottimizza le policy, se necessario.

Conclusione

Microsoft Defender for Cloud Apps (MDCA) è uno strumento indispensabile per qualsiasi organizzazione che desidera proteggere i propri dati e utenti negli ambienti applicativi SaaS. Fornendo visibilità sullo Shadow IT, controlli granulari di accesso e sessione e rilevamento avanzato delle minacce, MDCA consente alle aziende di estendere in modo efficace il proprio livello di sicurezza al cloud. Un'attenta implementazione delle policy MDCA, combinata con le best practice di governance SaaS e l'integrazione con altre soluzioni Microsoft 365 Defender, rafforza in modo significativo la resilienza informatica della tua organizzazione. Con questa guida pratica, i professionisti della sicurezza saranno in grado di configurare e gestire MDCA per garantire che le loro applicazioni cloud siano sicure, conformi e sotto controllo.

Riferimenti:

[1]Microsoft Learn. Che cos'è Microsoft Defender per app cloud?. Disponibile su: https://learn.microsoft.com/pt-br/defender-cloud-apps/what-is-defender-for-cloud-apps [2]Microsoft Learn. Scoperta dello Shadow IT. Disponibile su: https://learn.microsoft.com/pt-br/defender-cloud-apps/shadow-it-discovery [3]Microsoft Learn. Requisiti di licenza per Microsoft Defender per app cloud. Disponibile all'indirizzo: https://learn.microsoft.com/pt-br/defender-cloud-apps/what-is-defender-for-cloud-apps#licensing-requirements