Microsoft Cloud App Security (MCAS) configureren voor SaaS-governance

Microsoft Cloud App Security (MCAS) configureren voor SaaS-governance

01-07-2024

Dit technische en educatieve artikel is bedoeld om beveiligingsanalisten, IT-beheerders en systeemingenieurs te begeleiden bij het configureren en gebruiken van Microsoft Cloud App Security (MCAS), nu onderdeel van Microsoft Defender for Cloud Apps (MDCA), voor het beheer van SaaS-applicaties (Software as a Service). MDCA is een uitgebreide Cloud Access Security Broker (CASB)-oplossing die zichtbaarheid, gegevenscontrole en bescherming tegen bedreigingen biedt voor uw cloudapplicaties, waardoor de veiligheid en compliance worden gewaarborgd in een steeds groter wordende cloudomgeving [1].

Introductie

De massale acceptatie van SaaS-applicaties heeft talloze productiviteitsvoordelen opgeleverd, maar heeft ook nieuwe beveiligingsuitdagingen geïntroduceerd. Organisaties verliezen vaak de zichtbaarheid en controle over gegevens die worden opgeslagen en gedeeld via cloudapplicaties, waardoor er zogenaamde ‘schaduw-IT’ ontstaat. Bovendien is het beschermen tegen realtime bedreigingen en het garanderen van compliance voor deze toepassingen complex. Microsoft Defender for Cloud Apps pakt deze uitdagingen aan door bedrijven in staat te stellen het gebruik van cloud-apps te ontdekken en te controleren, gevoelige gegevens te beschermen en afwijkend gedrag te detecteren dat op bedreigingen zou kunnen duiden [2].

Deze praktische gids behandelt het opzetten van MDCA, van het ontdekken van schaduw-IT en het verbinden van applicaties tot het creëren van beleid voor toegang, sessies, activiteiten en afwijkende detectie. Er worden stapsgewijze instructies, configuratievoorbeelden en validatiemethoden gegeven, zodat de lezer een robuuste SaaS-governancestrategie kan implementeren, waarbij zijn gegevens en gebruikers in cloudapplicaties worden beschermd en de beveiligingspositie van zijn organisatie kan worden versterkt.

Waarom is Microsoft Cloud App Security cruciaal?

  • Shadow IT Discovery: Identificeert alle cloudapplicaties die in uw organisatie worden gebruikt, beoordeelt hun risico's en stelt u in staat deze te beheersen.
  • Gegevensbescherming: Voorkomt de exfiltratie van vertrouwelijke gegevens en zorgt voor naleving van het DLP-beleid (Data Loss Prevention) in cloudapplicaties.
  • Toegangs- en sessiecontroles: Hiermee kunt u gedetailleerde toegangscontroles afdwingen en realtime sessie-activiteiten voor verbonden applicaties monitoren.
  • Bedreigingsdetectie: maakt gebruik van gedragsanalyse en machinaal leren om afwijkende activiteiten en cyberbedreigingen in cloudapplicaties te detecteren.
  • Applicatiebeheer: Helpt bij het beheren van applicatiemachtigingen, gebruikersactiviteiten en beveiligingsinstellingen voor SaaS-applicaties.
  • Integratie met Microsoft 365 Defender: correleert MDCA-signalen met andere Defender-oplossingen voor een uniform beeld van incidenten.

Vereisten

Om Microsoft Cloud App Security te implementeren, hebt u de volgende items nodig:

  1. Licenties: een licentie die Microsoft Defender voor Cloud Apps omvat (bijvoorbeeld Microsoft 365 E5, Microsoft 365 E5 Security, Enterprise Mobility + Security E5 of een zelfstandige MDCA-licentie) [3].
  2. Beheerderstoegang: een account met de rol van Global Administrator, Security Administrator of Cloud App Security Administrator in de Microsoft 365 Defender-portal (https://security.microsoft.com).
  3. Logboekbronnen (voor Shadow IT): Firewall- en proxylogboeken voor Shadow IT-detectie. Voor diepere integratie, API-connectoren voor specifieke SaaS-applicaties (bijvoorbeeld Office 365, Salesforce, Box).
  4. Microsoft Defender voor Endpoint (optioneel, maar aanbevolen): voor diepere detectie van schaduw-IT en applicatiecontrole op beheerde apparaten.

Stap voor stap: Microsoft-beveiliging voor cloud-apps configureren

Laten we eens kijken naar het opzetten van MDCA voor SaaS-beheer.

1. Toegang tot de Microsoft 365 Defender Portal

  1. Open uw browser en navigeer naar https://security.microsoft.com.
  2. Log in met een account dat over de benodigde rechten beschikt.
  3. Selecteer in het linkernavigatievenster Cloud-apps.

2. Applicatiedetectie (schaduw-IT)

Applicatiedetectie is de eerste stap om inzicht te krijgen in het SaaS-gebruik in uw organisatie.

  1. Selecteer in het linkernavigatievenster van MDCA Discovery > Log Snapshots of Log Collectors.

  2. Log-snapshots: voor snelle beoordeling, kunt u firewall- of proxy-verkeerslogboeken handmatig laden.

    • Klik op Logboekmomentopname maken en volg de instructies om een ​​logbestand te uploaden.

  3. Logboekverzamelaars: voor continue, geautomatiseerde detectie configureert u een logboekverzamelaar in uw omgeving.

    • Klik op Logboekverzamelaar toevoegen en volg de instructies om de verzamelaar te configureren (meestal een virtuele machine of container die logboeken doorstuurt naar MDCA).

  4. Defender for Endpoint Integration: Als u Defender for Endpoint heeft, wordt Shadow IT-detectie automatisch ingeschakeld, waardoor gebruiksgegevens van cloud-apps rechtstreeks vanaf eindpunten worden verstrekt.

  5. Ga na het verzamelen van gegevens naar Ontdekking > Gedetecteerde applicaties om de lijst met cloudapplicaties, hun risiconiveaus en gebruiksstatistieken te bekijken.

3. Applicaties verbinden (API-connectoren)

Voor een dieper beheer en bescherming kunt u SaaS-applicaties rechtstreeks verbinden via API's.

  1. Selecteer in het linkernavigatievenster van MDCA Instellingen > Applicatieconnectors.
  2. Klik op + Een applicatie verbinden.
  3. Selecteer de applicatie waarmee u verbinding wilt maken (bijvoorbeeld: Office 365, Salesforce, Box).
  4. Volg de specifieke instructies voor elke toepassing om de benodigde machtigingen te verlenen. Meestal betekent dit dat u zich moet aanmelden als applicatiebeheerder en MDCA moet autoriseren.

4. Toegangs- en sessiebeleid creëren

Met toegang- en sessiebeleid kunt u de toegang en activiteiten van gebruikers in realtime beheren.

  1. Selecteer in het linkernavigatievenster van MDCA Beheer > Beleid.
  2. Klik op Beleid maken > Toegangsbeleid of Sessiebeleid.

Voorbeeld: Sessiebeleid om het downloaden van gevoelige gegevens te blokkeren

Dit beleid kan voorkomen dat gebruikers gevoelige bestanden downloaden van een SaaS-applicatie wanneer ze deze openen vanaf een onbeheerd apparaat.

  1. Beleidstype: Sessiebeleid.
  2. Naam: Blokkeer het downloaden van gevoelige gegevens naar een onbeheerd apparaat.
  3. Ernst: Hoog.
  4. Categorie: Voorkomen van gegevensverlies.
  5. Activiteitsfilters: Configureer de voorwaarden:
    • Toepassingen: Selecteer de doel-SaaS-applicatie (bijvoorbeeld SharePoint Online).
    • Gebruikers: Selecteer doelgebruikers of groepen.
    • Apparaat: Selecteer 'Apparaatmerk' = 'Niet ondersteund' of 'Niet gekoppeld aan hybride Azure AD'.
    • Activiteitstype: Download.
    • Inhoudsinspectie: Configureer om vertrouwelijke gegevens te detecteren (bijvoorbeeld Creditcardnummer, CPF).
  6. Acties: Selecteer Blokkeren (voor downloads) en Monitor.
  7. Klik op Maken.

5. Activiteitenbeleid maken

Met activiteitenbeleid kunt u specifieke gebruikersacties in verbonden apps detecteren en beheren.

  1. Selecteer in het linkernavigatievenster van MDCA Beheer > Beleid.
  2. Klik op Beleid maken > Activiteitenbeleid.
  3. Naam: Waarschuwing massale verwijdering van bestanden op OneDrive.
  4. Ernst: Gemiddeld.
  5. Categorie: Bedreigingsdetectie.
  6. Activiteitsfilters: Configureer de voorwaarden:
    • Toepassingen: OneDrive voor Bedrijven.
    • Activiteitstype: Bestand verwijderen.
    • Aantal activiteiten: Groter dan 10 (in een periode van 5 minuten).
  7. Acties: Selecteer 'Waarschuwing genereren' en 'E-mailwaarschuwing verzenden' naar beheerders.
  8. Klik op Maken.

6. Beleid voor anomaliedetectie creëren

Beleid voor anomaliedetectie maakt gebruik van machine learning om ongebruikelijk gedrag te identificeren dat op een aanval zou kunnen duiden.

  1. Selecteer in het linkernavigatievenster van MDCA Beheer > Beleid.
  2. Klik op Beleid maken > Beleid voor anomaliedetectie.
  3. MDCA biedt verschillende vooraf gedefinieerde afwijkende beleidsregels (bijv. 'Ongebruikelijke activiteit bij het downloaden van bestanden', 'Inlogactiviteit vanaf een verdacht IP-adres', 'Inlogactiviteit vanuit een land/regio waar zelden toegang toe wordt verkregen').
  4. U kunt de instellingen voor dit beleid inschakelen en aanpassen.

Validatie en testen

Het valideren van de MDCA-implementatie is van cruciaal belang om ervoor te zorgen dat beleid werkt zoals verwacht.

1. Sessie- en toegangsbeleid testen

  1. Simuleer het scenario: Probeer toegang te krijgen tot een SaaS-applicatie (bijvoorbeeld SharePoint Online) vanaf een onbeheerd apparaat of een lokaal apparaatIk onbetrouwbaar.
  2. Probeer de actie uit te voeren die door het beleid wordt beperkt (bijvoorbeeld het downloaden van een vertrouwelijk bestand).
  3. Controleer of het sessiebeleid de actie blokkeert en een melding aan de gebruiker weergeeft.

2. Activiteitswaarschuwingen en afwijkingen controleren

  1. Simuleer de activiteit: voer in een testomgeving de activiteit uit die u hebt geconfigureerd om een waarschuwing te genereren (bijvoorbeeld snel meerdere bestanden verwijderen in OneDrive).
  2. Wacht een paar minuten.
  3. Ga in de Microsoft 365 Defender-portal naar Incidenten en waarschuwingen > Waarschuwingen.
  4. Filter op Service = Microsoft Defender for Cloud Apps en controleer of de waarschuwing is gegenereerd.

3. Het activiteitenlogboek bekijken

Het MDCA-activiteitenlogboek registreert alle acties die zijn gedetecteerd in verbonden applicaties.

  1. Selecteer in het linkernavigatievenster van MDCA Logboeken > Activiteitenlog.
  2. Filter op gebruiker, applicatie of activiteitstype om te verifiëren dat verwachte acties worden vastgelegd en beleid wordt toegepast.

Beveiligingstips en best practices

  • Begin met zichtbaarheid: geef prioriteit aan het ontdekken van schaduw-IT om inzicht te krijgen in het cloudapplicatielandschap van uw organisatie voordat u strikte controles implementeert.
  • Geleidelijke implementatie: Begin met beleid in de modus 'Monitor' of 'Alleen audit' om de impact te begrijpen en aan te passen voordat u blokkeringsacties toepast.
  • Volledige integratie: Integreer MDCA met Microsoft Defender voor Endpoint om de detectie van schaduw-IT en de bescherming van eindpunten te verbeteren.
  • Uitgebreid beleid: Creëer beleid dat de detectie van toegang, sessies, activiteiten en afwijkingen omvat, voor meerlaagse bescherming.
  • Gegevensclassificatie: gebruik Microsoft Information Protection (MIP) om gevoelige gegevens te classificeren en te labelen, en gebruik deze labels in MDCA DLP-beleid.
  • Gebruikerseducatie: Communiceer met gebruikers over het MDCA-beleid en het belang van het gebruik van goedgekeurde en veilige applicaties voor bedrijfsgegevens.
  • Continue evaluatie: Controleer het MDCA-beleid regelmatig en pas het aan om het aan te passen aan veranderingen in het applicatiegebruik, het bedreigingslandschap en de nalevingsvereisten.

Algemene probleemoplossing

  • Apps verschijnen niet in detectie: controleer of de firewall-/proxylogboeken correct worden geladen of dat de integratie met Defender for Endpoint actief is. Zorg ervoor dat relevant verkeer wordt geregistreerd.
  • Applicatieconnectors mislukken: controleer de machtigingen die zijn verleend aan MDCA voor de SaaS-applicatie. Controleer de verbindingslogboeken in MDCA op foutmeldingen. Mogelijk moet u de connector opnieuw autoriseren.
  • Beleid wordt niet toegepast: controleer of het beleid is ingeschakeld en of de gebruiker en toepassing binnen het bereik van het beleid vallen. Controleer de activiteitenfilters om er zeker van te zijn dat aan de voorwaarden wordt voldaan. Zorg er bij sessiebeleid voor dat verkeer wordt gerouteerd via de MDCA-proxy voor voorwaardelijke toegangscontrole.
  • False Positives: pas de gevoeligheid van het beleid voor afwijkende detectie aan of voeg uitsluitingen toe voor legitieme activiteiten. Voor activiteitenbeleid verfijnt u de filters zodat deze specifieker zijn.
  • Prestatieproblemen: het gebruik van de proxy voor voorwaardelijke toegangscontrole kan een kleine hoeveelheid latentie veroorzaken. Bewaak de prestaties en optimaliseer het beleid indien nodig.

Conclusie

Microsoft Defender for Cloud Apps (MDCA) is een onmisbare tool voor elke organisatie die hun gegevens en gebruikers in SaaS-applicatieomgevingen wil beschermen. Door inzicht te bieden in schaduw-IT, gedetailleerde toegangs- en sessiecontroles en geavanceerde detectie van bedreigingen, stelt MDCA bedrijven in staat hun beveiligingshouding effectief uit te breiden naar de cloud. Zorgvuldige implementatie van MDCA-beleid, gecombineerd met best practices voor SaaS-governance en integratie met andere Microsoft 365 Defender-oplossingen, versterkt de cyberveerkracht van uw organisatie aanzienlijk. Met deze praktische gids kunnen beveiligingsprofessionals MDCA configureren en beheren om ervoor te zorgen dat hun cloudapplicaties veilig, compliant en onder controle zijn.

Referenties:

[1] Microsoft Leer. Wat is Microsoft Defender voor cloud-apps?. Beschikbaar op: https://learn.microsoft.com/pt-br/defender-cloud-apps/what-is-defender-for-cloud-apps [2] Microsoft Leer. Ontdekking van schaduw-IT. Beschikbaar op: https://learn.microsoft.com/pt-br/defender-cloud-apps/shadow-it-discovery [3] Microsoft Leer. Microsoft Defender voor Cloud Apps-licentievereisten. Beschikbaar op: https://learn.microsoft.com/pt-br/defender-cloud-apps/what-is-defender-for-cloud-apps#licensing-requirements