Настройка Microsoft Cloud App Security (MCAS) для управления SaaS

Настройка Microsoft Cloud App Security (MCAS) для управления SaaS

01.07.2024

Эта техническая и образовательная статья призвана помочь аналитикам безопасности, ИТ-администраторам и системным инженерам настроить и использовать Microsoft Cloud App Security (MCAS), которая теперь является частью Microsoft Defender для облачных приложений (MDCA), для управления приложениями SaaS (программное обеспечение как услуга). MDCA — это комплексное решение Cloud Access Security Broker (CASB), которое обеспечивает видимость, контроль данных и защиту от угроз для ваших облачных приложений, помогая обеспечить безопасность и соответствие требованиям в постоянно расширяющейся облачной среде [1].

Введение

Массовое внедрение приложений SaaS принесло многочисленные преимущества в производительности, но также создало новые проблемы безопасности. Организации часто теряют видимость и контроль над данными, которые хранятся и передаются в облачных приложениях, создавая так называемую «теневую ИТ». Кроме того, защита от угроз в реальном времени и обеспечение соответствия этим приложениям являются сложными задачами. Microsoft Defender для облачных приложений решает эти проблемы, позволяя компаниям обнаруживать и контролировать использование облачных приложений, защищать конфиденциальные данные и обнаруживать аномальное поведение, которое может указывать на угрозы [2].

В этом практическом руководстве будет рассмотрена настройка MDCA: от обнаружения теневых ИТ и подключения приложений до создания политик доступа, сеансов, активности и обнаружения аномалий. Будут предоставлены пошаговые инструкции, примеры конфигурации и методы проверки, чтобы читатель мог реализовать надежную стратегию управления SaaS, защищая свои данные и пользователей в облачных приложениях и укрепляя безопасность своей организации.

Почему Microsoft Cloud App Security так важна?

  • Shadow IT Discovery: определяет все облачные приложения, используемые в вашей организации, оценивает их риски и позволяет вам контролировать их.
  • Защита данных: предотвращает утечку конфиденциальных данных и обеспечивает соответствие политикам DLP (предотвращение потери данных) в облачных приложениях.
  • Управление доступом и сеансами: позволяет применять детальный контроль доступа и отслеживать действия сеансов подключенных приложений в режиме реального времени.
  • Обнаружение угроз: использует поведенческий анализ и машинное обучение для обнаружения аномальных действий и киберугроз в облачных приложениях.
  • Управление приложениями: помогает управлять разрешениями приложений, действиями пользователей и настройками безопасности для приложений SaaS.
  • Интеграция с Microsoft 365 Defender: сопоставляет сигналы MDCA с другими решениями Defender для единого представления инцидентов.

Предварительные условия

Для реализации Microsoft Cloud App Security вам потребуются следующие элементы:

  1. Лицензирование: лицензия, включающая Microsoft Defender для облачных приложений (например, Microsoft 365 E5, Microsoft 365 E5 Security, Enterprise Mobility + Security E5 или отдельная лицензия MDCA) [3].
  2. Административный доступ: учетная запись с ролью «Глобальный администратор», «Администратор безопасности» или «Администратор безопасности облачных приложений» на портале Microsoft 365 Defender (https://security.microsoft.com).
  3. Источники журналов (для теневых ИТ): журналы межсетевого экрана и прокси-сервера для обнаружения теневых ИТ. Для более глубокой интеграции предусмотрены соединители API для конкретных приложений SaaS (например, Office 365, Salesforce, Box).
  4. Microsoft Defender для конечной точки (необязательно, но рекомендуется): для более глубокого обнаружения теневых ИТ-инфраструктур и контроля приложений на управляемых устройствах.

Шаг за шагом: настройка Microsoft Security для облачных приложений

Давайте рассмотрим настройку MDCA для управления SaaS.

1. Доступ к порталу Защитника Microsoft 365

  1. Откройте браузер и перейдите по адресу https://security.microsoft.com.
  2. Войдите в систему под учетной записью, имеющей необходимые разрешения.
  3. На левой панели навигации выберите Облачные приложения.

2. Обнаружение приложений (теневые ИТ)

Обнаружение приложений — это первый шаг к получению прозрачности использования SaaS в вашей организации.

  1. На левой панели навигации MDCA выберите Обнаружение > Снимки журнала или Сборщики журналов.

  2. Снимки журналов: для быстрой оценки., вы можете загрузить журналы трафика брандмауэра или прокси-сервера вручную.

    • Нажмите Создать снимок журнала и следуйте инструкциям, чтобы загрузить файл журнала.

  3. Сборщики журналов. Для непрерывного автоматического обнаружения настройте сборщик журналов в своей среде.

    • Нажмите Добавить сборщик журналов и следуйте инструкциям по настройке сборщика (обычно это виртуальная машина или контейнер, который пересылает журналы в MDCA).

  4. Защитник для интеграции конечных точек: если у вас установлен Защитник для конечных точек, обнаружение теневых ИТ-технологий включается автоматически, предоставляя данные об использовании облачных приложений непосредственно с конечных точек.

  5. После сбора данных перейдите в раздел Обнаружение > Обнаруженные приложения, чтобы просмотреть список облачных приложений, их уровни риска и статистику использования.

3. Подключение приложений (API-коннекторы)

Для более глубокого управления и защиты подключайте приложения SaaS напрямую через API.

  1. На левой панели навигации MDCA выберите Настройки > Соединители приложений.
  2. Нажмите + Подключить приложение.
  3. Выберите приложение, которое хотите подключить (например: «Office 365», «Salesforce», «Box»).
  4. Следуйте инструкциям для каждого приложения, чтобы предоставить необходимые разрешения. Обычно это предполагает вход в систему в качестве администратора приложения и авторизацию MDCA.

4. Создание политик доступа и сеансов

Политики доступа и сеансов позволяют контролировать доступ и действия пользователей в режиме реального времени.

  1. На левой панели навигации MDCA выберите Управление > Политики.
  2. Нажмите Создать политику > Политика доступа или Политика сеанса.

Пример: политика сеанса для блокировки загрузки конфиденциальных данных

Эта политика может запретить пользователям загружать конфиденциальные файлы из приложения SaaS при доступе к ним с неуправляемого устройства.

  1. Тип политики: «Политика сеанса».
  2. Название: «Блокировать загрузку конфиденциальных данных на неуправляемое устройство».
  3. Степень: «Высокая».
  4. Категория: Предотвращение потери данных.
  5. Фильтры активности: настройте условия:
    • Приложения: выберите целевое приложение SaaS (например, «SharePoint Online»).
    • Пользователи: выберите целевых пользователей или группы.
    • Устройство: выберите «Марка устройства» = «Не поддерживается» или «Не подключено к гибридному Azure AD».
    • Тип действия: Загрузка.
    • Проверка контента: настройте обнаружение конфиденциальных данных (например, «Номер кредитной карты», «CPF»).
  6. Действия: выберите «Блокировать» (для загрузок) и «Отслеживать».
  7. Нажмите Создать.

5. Создание политик активности

Политики активности позволяют обнаруживать и контролировать определенные действия пользователей в подключенных приложениях.

  1. На левой панели навигации MDCA выберите Управление > Политики.
  2. Нажмите Создать политику > Политика активности.
  3. Название: Оповещение о массовом удалении файлов в OneDrive.
  4. Степень: «Средняя».
  5. Категория: Обнаружение угроз.
  6. Фильтры активности: настройте условия:
    • Приложения: OneDrive для бизнеса.
    • Тип действия: Удалить файл.
    • Количество действий: Более 10 (за период 5 минут).
  7. Действия: выберите «Создать оповещение» и «Отправить оповещение по электронной почте» администраторам.
  8. Нажмите Создать.

6. Создание политик обнаружения аномалий

Политики обнаружения аномалий используют машинное обучение для выявления необычного поведения, которое может указывать на атаку.

  1. На левой панели навигации MDCA выберите Управление > Политики.
  2. Нажмите Создать политику > Политика обнаружения аномалий.
  3. MDCA предлагает несколько предварительно определенных политик аномалий (например, «Необычная активность загрузки файлов», «Активность входа с подозрительного IP-адреса», «Активность входа из редко посещаемой страны/региона»).
  4. Вы можете включить и настроить параметры этих политик.

Проверка и тестирование

Проверка реализации MDCA имеет решающее значение для обеспечения ожидаемой работы политики.

1. Сеанс тестирования и политики доступа

  1. Смоделируйте сценарий. Попробуйте получить доступ к приложению SaaS (например, SharePoint Online) с неуправляемого устройства или локального компьютера.Я ненадежный.
  2. Попробуйте выполнить действие, ограниченное политикой (например, загрузить конфиденциальный файл).
  3. Убедитесь, что политика сеанса блокирует действие и отображает уведомление пользователю.

2. Проверка оповещений об активности и аномалий

  1. Смоделируйте действие. В тестовой среде запустите действие, которое вы настроили для создания оповещения (например, быстрое удаление нескольких файлов в OneDrive).
  2. Подождите несколько минут.
  3. На портале Защитника Microsoft 365 перейдите в раздел Инциденты и оповещения > Оповещения.
  4. Отфильтруйте по Service = Microsoft Defender for Cloud Apps и проверьте, было ли создано оповещение.

3. Просмотр журнала активности

Журнал активности MDCA записывает все действия, обнаруженные в подключенных приложениях.

  1. На левой панели навигации MDCA выберите Журналы > Журнал активности.
  2. Фильтруйте по пользователю, приложению или типу действия, чтобы убедиться, что ожидаемые действия записываются и применяются политики.

Советы и рекомендации по безопасности

  • Начните с прозрачности: установите приоритет обнаружения теневых ИТ, чтобы понять ландшафт облачных приложений вашей организации, прежде чем внедрять строгие меры контроля.
  • Поэтапное внедрение: начните с политик в режиме «Мониторинг» или «Только аудит», чтобы понять влияние и внести коррективы, прежде чем применять действия по блокировке.
  • Полная интеграция: интегрируйте MDCA с Microsoft Defender для конечной точки, чтобы улучшить обнаружение теневых ИТ-инфраструктур и защиту конечных точек.
  • Комплексные политики: создавайте политики, охватывающие доступ, сеансы, активность и обнаружение аномалий для многоуровневой защиты.
  • Классификация данных. Используйте Microsoft Information Protection (MIP) для классификации и маркировки конфиденциальных данных, а также используйте эти метки в политиках защиты от потери данных MDCA.
  • Обучение пользователей: информируйте пользователей о политиках MDCA и важности использования одобренных и безопасных приложений для корпоративных данных.
  • Постоянный анализ. Регулярно проверяйте и корректируйте политики MDCA, чтобы адаптироваться к изменениям в использовании приложений, ландшафте угроз и требованиям соответствия.

Распространенное устранение неполадок

  • Приложения не отображаются при обнаружении: убедитесь, что журналы брандмауэра/прокси-сервера загружаются правильно или что интеграция с Defender for Endpoint активна. Убедитесь, что релевантный трафик захватывается.
  • Сбой соединителей приложений: проверьте разрешения, предоставленные MDCA в приложении SaaS. Проверьте журналы подключений в MDCA на наличие сообщений об ошибках. Возможно, вам придется повторно авторизовать соединитель.
  • Политики не применяются. Убедитесь, что политика включена и что пользователь и приложение находятся в ее области действия. Проверьте фильтры активности, чтобы убедиться, что условия соблюдены. Для политик сеанса убедитесь, что трафик направляется через прокси-сервер управления условным доступом MDCA.
  • Ложные срабатывания: настройте чувствительность политик обнаружения аномалий или добавьте исключения для законной деятельности. Для политик деятельности уточните фильтры, чтобы сделать их более конкретными.
  • Проблемы с производительностью. Использование прокси-сервера условного контроля доступа может привести к небольшой задержке. Отслеживайте производительность и при необходимости оптимизируйте политики.

Заключение

Microsoft Defender для облачных приложений (MDCA) — незаменимый инструмент для любой организации, стремящейся защитить свои данные и пользователей в средах приложений SaaS. Обеспечивая видимость теневых ИТ, детальный контроль доступа и сеансов, а также расширенное обнаружение угроз, MDCA позволяет предприятиям эффективно распространить свою безопасность на облако. Тщательная реализация политик MDCA в сочетании с передовыми практиками управления SaaS и интеграцией с другими решениями Microsoft 365 Defender значительно повышает киберустойчивость вашей организации. Благодаря этому практическому руководству специалисты по безопасности смогут настраивать MDCA и управлять ими, чтобы обеспечить безопасность, соответствие требованиям и контроль над своими облачными приложениями.

Ссылки:

[1] Microsoft Learn. Что такое Microsoft Defender для облачных приложений?. Доступно по адресу: https://learn.microsoft.com/pt-br/defender-cloud-apps/what-is-defender-for-cloud-apps [2] Microsoft Learn. Открытие Shadow IT. Доступно по адресу: https://learn.microsoft.com/pt-br/defender-cloud-apps/shadow-it-discovery [3] Microsoft Learn. Требования к лицензированию Microsoft Defender для Cloud Apps. Доступно по адресу: https://learn.microsoft.com/pt-br/defender-cloud-apps/what-is-defender-for-cloud-apps#licensing-requirements