SaaS Yönetişimi için Microsoft Cloud App Security'yi (MCAS) Yapılandırma

SaaS Yönetişimi için Microsoft Cloud App Security'yi (MCAS) Yapılandırma

07/01/2024

Bu teknik ve eğitici makale, SaaS (Hizmet Olarak Yazılım) uygulamalarının yönetimi için artık Bulut Uygulamaları için Microsoft Defender'ın (MDCA) bir parçası olan Microsoft Bulut Uygulama Güvenliği'ni (MCAS) yapılandırma ve kullanma konusunda güvenlik analistlerine, BT yöneticilerine ve sistem mühendislerine rehberlik etmeyi amaçlamaktadır. MDCA, bulut uygulamalarınız için görünürlük, veri kontrolü ve tehdit koruması sağlayan, sürekli genişleyen bir bulut ortamında güvenliğin ve uyumluluğun sağlanmasına yardımcı olan kapsamlı bir Bulut Erişimi Güvenlik Aracısı (CASB) çözümüdür [1].

Giriş

SaaS uygulamalarının kitlesel olarak benimsenmesi, üretkenliğe çok sayıda fayda sağladı ancak aynı zamanda yeni güvenlik zorluklarını da beraberinde getirdi. Kuruluşlar genellikle bulut uygulamalarında depolanan ve paylaşılan veriler üzerindeki görünürlüğü ve kontrolü kaybederek "Gölge BT" olarak bilinen durumu oluşturur. Ayrıca, gerçek zamanlı tehditlere karşı koruma sağlamak ve bu uygulamalara yönelik uyumluluğu sağlamak da karmaşıktır. Bulut Uygulamaları için Microsoft Defender, şirketlerin bulut uygulamalarını keşfetmesine ve kullanımını denetlemesine, hassas verileri korumasına ve tehditlere işaret edebilecek anormal davranışları tespit etmesine olanak tanıyarak bu zorlukların üstesinden gelir [2].

Bu pratik kılavuz, Shadow IT'nin keşfedilmesinden ve uygulamaların bağlanmasından erişim, oturum, etkinlik ve anormallik tespit politikalarının oluşturulmasına kadar MDCA'nın kurulmasını kapsayacaktır. Okuyucunun güçlü bir SaaS yönetişim stratejisi uygulayabilmesi, bulut uygulamalarındaki verilerini ve kullanıcılarını koruyabilmesi ve kuruluşlarının güvenlik duruşunu güçlendirebilmesi için adım adım talimatlar, yapılandırma örnekleri ve doğrulama yöntemleri sağlanacaktır.

Microsoft Bulut Uygulama Güvenliği neden önemlidir?

  • Gölge BT Keşfi: Kuruluşunuzda kullanılan tüm bulut uygulamalarını tanımlar, risklerini değerlendirir ve kontrol etmenize olanak tanır.
  • Veri Koruma: Gizli verilerin dışarı sızmasını önler ve bulut uygulamalarında DLP (Veri Kaybını Önleme) politikalarına uygunluğu sağlar.
  • Erişim ve Oturum Kontrolleri: Ayrıntılı erişim kontrollerini uygulamanıza ve bağlı uygulamalar için gerçek zamanlı oturum etkinliklerini izlemenize olanak tanır.
  • Tehdit Algılama: Bulut uygulamalarındaki anormal etkinlikleri ve siber tehditleri tespit etmek için davranış analizini ve makine öğrenimini kullanır.
  • Uygulama Yönetişimi: SaaS uygulamaları için uygulama izinlerinin, kullanıcı etkinliklerinin ve güvenlik ayarlarının yönetilmesine yardımcı olur.
  • Microsoft 365 Defender ile entegrasyon: Olayların birleşik bir görünümü için MDCA sinyallerini diğer Defender çözümleriyle ilişkilendirir.

Önkoşullar

Microsoft Cloud App Security'yi uygulamak için aşağıdaki öğelere ihtiyacınız olacak:

  1. Lisanslama: Bulut Uygulamaları için Microsoft Defender'ı içeren bir lisans (örneğin, Microsoft 365 E5, Microsoft 365 E5 Security, Enterprise Mobility + Security E5 veya bağımsız bir MDCA lisansı) [3].
  2. Yönetim Erişimi: Microsoft 365 Defender portalında ("https://security.microsoft.com") "Genel Yönetici", "Güvenlik Yöneticisi" veya "Bulut Uygulaması Güvenlik Yöneticisi" rolüne sahip bir hesap.
  3. Günlük Kaynakları (Gölge BT için): Gölge BT keşfi için güvenlik duvarı ve proxy günlükleri. Daha derin entegrasyon için belirli SaaS uygulamalarına (ör. Office 365, Salesforce, Box) yönelik API bağlayıcıları.
  4. Uç Nokta için Microsoft Defender (İsteğe bağlı, ancak önerilir): Yönetilen cihazlarda daha derin Shadow BT keşfi ve uygulama kontrolü için.

Adım Adım: Bulut Uygulamaları için Microsoft Güvenliğini Yapılandırma

SaaS yönetişimi için MDCA kurulumunu inceleyelim.

1. Microsoft 365 Defender Portalına Erişim

  1. Tarayıcınızı açın ve "https://security.microsoft.com" adresine gidin.
  2. Gerekli izinlere sahip bir hesapla oturum açın.
  3. Sol gezinme bölmesinde Bulut Uygulamaları'nı seçin.

2. Uygulama Keşfi (Gölge BT)

Uygulama keşfi, kuruluşunuzda SaaS kullanımına ilişkin görünürlük kazanmanın ilk adımıdır.

  1. MDCA sol gezinme bölmesinde Keşif > Günlük Anlık Görüntüleri veya Günlük Toplayıcılar'ı seçin.

  2. Anlık Görüntüleri Günlüğe Kaydet: Hızlı değerlendirme için, güvenlik duvarı veya proxy trafik günlüklerini manuel olarak yükleyebilirsiniz.

    • Günlük Anlık Görüntüsü Oluştur'u tıklayın ve bir günlük dosyası yüklemek için talimatları izleyin.

  3. Günlük toplayıcılar: Sürekli, otomatik keşif için ortamınızda bir günlük toplayıcı yapılandırın.

    • Günlük Toplayıcı Ekle seçeneğini tıklayın ve toplayıcıyı (genellikle günlükleri MDCA'ya ileten bir sanal makine veya kapsayıcı) yapılandırmak için talimatları izleyin.

  4. Uç Nokta Entegrasyonu için Defender: Uç Nokta için Defender'ınız varsa, Shadow BT keşfi otomatik olarak etkinleştirilir ve bulut uygulaması kullanım verileri doğrudan uç noktalardan sağlanır.

  5. Veri topladıktan sonra Keşif > Keşfedilen Uygulamalar'a giderek bulut uygulamalarının listesini, risk düzeylerini ve kullanım istatistiklerini görün.

3. Uygulamaları Bağlama (API Konektörleri)

Daha derin yönetim ve koruma için SaaS uygulamalarını doğrudan API'ler aracılığıyla bağlayın.

  1. MDCA sol gezinme bölmesinde Ayarlar > Uygulama Bağlayıcıları'nı seçin.
  2. + Bir uygulamayı bağlayın'a tıklayın.
  3. Bağlanmak istediğiniz uygulamayı seçin (örneğin: 'Office 365', 'Salesforce', 'Box').
  4. Gerekli izinleri vermek için her uygulamaya özel talimatları izleyin. Bu genellikle uygulama yöneticisi olarak oturum açmayı ve MDCA'yı yetkilendirmeyi içerir.

4. Erişim ve Oturum Politikaları Oluşturma

Erişim ve oturum politikaları, kullanıcı erişimini ve etkinliklerini gerçek zamanlı olarak kontrol etmenize olanak tanır.

  1. MDCA sol gezinme bölmesinde Denetim > İlkeler'i seçin.
  2. İlke Oluştur > Erişim İlkesi veya Oturum İlkesi'ni tıklayın.

Örnek: Hassas Verilerin İndirilmesini Engelleyen Oturum Politikası

Bu politika, kullanıcıların, yönetilmeyen bir cihazdan erişirken bir SaaS uygulamasından hassas dosyalar indirmesini engelleyebilir.

  1. Politika Türü: 'Oturum Politikası'.
  2. Ad: "Hassas Verilerin Yönetilmeyen Cihaza İndirilmesini Engelle".
  3. Önem Düzeyi: "Yüksek".
  4. Kategori: "Veri kaybını önleme".
  5. Etkinlik filtreleri: Koşulları yapılandırın:
    • Uygulamalar: Hedef SaaS uygulamasını seçin (ör. "SharePoint Online").
    • Kullanıcılar: Hedef kullanıcıları veya grupları seçin.
    • Cihaz: Cihaz Markası = Desteklenmiyor veya Hibrit Azure AD'ye Katılmamışı seçin.
    • Etkinlik türü: 'İndirme'.
    • İçerik denetimi: Gizli verileri tespit edecek şekilde yapılandırın (ör. "Kredi Kartı Numarası", "CPF").
  6. Eylemler: "Engelle"yi (indirilenler için) ve "İzle"yi seçin.
  7. Oluştur'u tıklayın.

5. Etkinlik Politikaları Oluşturma

Etkinlik politikaları, bağlı uygulamalardaki belirli kullanıcı işlemlerini tespit etmenize ve kontrol etmenize olanak tanır.

  1. MDCA sol gezinme bölmesinde Denetim > İlkeler'i seçin.
  2. İlke Oluştur > Etkinlik İlkesi'ni tıklayın.
  3. Ad: 'OneDrive'daki Dosyaların Toplu Silinmesi Uyarısı'.
  4. Önem Düzeyi: "Orta".
  5. Kategori: 'Tehdit algılama'.
  6. Etkinlik filtreleri: Koşulları yapılandırın:
    • Uygulamalar: 'OneDrive İş'.
    • Etkinlik türü: 'Dosyayı sil'.
    • Etkinlik sayısı: "10"dan büyük ("5" dakikalık bir süre içinde).
  7. Eylemler: Yöneticilere "Uyarı oluştur"u ve "E-posta uyarısı gönder"i seçin.
  8. Oluştur'u tıklayın.

6. Anormallik Tespit Politikaları Oluşturma

Anormallik algılama politikaları, bir saldırıyı işaret edebilecek olağandışı davranışları tanımlamak için makine öğrenimini kullanır.

  1. MDCA sol gezinme bölmesinde Denetim > İlkeler'i seçin.
  2. İlke Oluştur > Anormallik Algılama İlkesi'ni tıklayın.
  3. MDCA, önceden tanımlanmış çeşitli anormallik politikaları sunar (örneğin, 'Olağandışı dosya indirme etkinliği', 'Şüpheli bir IP adresinden oturum açma etkinliği', 'Nadiren erişilen bir ülkeden/bölgeden oturum açma etkinliği').
  4. Bu politikalara ilişkin ayarları etkinleştirebilir ve düzenleyebilirsiniz.

Doğrulama ve Test Etme

MDCA uygulamasının doğrulanması, politikaların beklendiği gibi çalışmasını sağlamak için çok önemlidir.

1. Test Oturumu ve Erişim Politikaları

  1. Senaryoyu simüle edin: Yönetilmeyen bir cihazdan veya yerel bir cihazdan bir SaaS uygulamasına (ör. SharePoint Online) erişmeyi deneyingüvenilmezim.
  2. Politika tarafından kısıtlanan eylemi gerçekleştirmeye çalışın (ör. gizli bir dosya indirmek).
  3. Oturum ilkesinin eylemi engellediğini ve kullanıcıya bir bildirim görüntülediğini doğrulayın.

2. Etkinlik Uyarılarını ve Anormallikleri Kontrol Etme

  1. Etkinliği simüle edin: Bir uyarı oluşturmak için yapılandırdığınız etkinliği bir test ortamında çalıştırın (ör. OneDrive'da birden fazla dosyayı hızla silin).
  2. Birkaç dakika bekleyin.
  3. Microsoft 365 Defender portalında Olaylar ve uyarılar > Uyarılar'a gidin.
  4. Hizmet = Bulut Uygulamaları için Microsoft Defendera göre filtreleyin ve uyarının oluşturulup oluşturulmadığını kontrol edin.

3. Etkinlik Günlüğünün İncelenmesi

MDCA etkinlik günlüğü, bağlı uygulamalarda algılanan tüm eylemleri kaydeder.

  1. MDCA sol gezinme bölmesinde Günlükler > Etkinlik Günlüğü'nü seçin.
  2. Beklenen eylemlerin kaydedildiğini ve ilkelerin uygulandığını doğrulamak için kullanıcıya, uygulamaya veya etkinlik türüne göre filtreleyin.

Güvenlik İpuçları ve En İyi Uygulamalar

  • Görünürlükle Başlayın: Sıkı kontroller uygulamadan önce kuruluşunuzun bulut uygulama ortamını anlamak için Gölge BT keşfine öncelik verin.
  • Kademeli Uygulama: Etkisini anlamak ve engelleme eylemlerini uygulamadan önce gerekli ayarlamaları yapmak için "İzleme" veya "Yalnızca Denetim" modundaki politikalarla başlayın.
  • Tam Entegrasyon: Gölge BT keşfini ve uç nokta korumasını geliştirmek için MDCA'yı Uç Nokta için Microsoft Defender ile entegre edin.
  • Kapsamlı Politikalar: Çok katmanlı koruma için erişimi, oturumu, etkinliği ve anormallik tespitini kapsayan politikalar oluşturun.
  • Veri Sınıflandırma: Hassas verileri sınıflandırmak ve etiketlemek için Microsoft Bilgi Korumasını (MIP) kullanın ve bu etiketleri MDCA DLP politikalarında kullanın.
  • Kullanıcı Eğitimi: Kullanıcılara MDCA politikaları ve kurumsal veriler için onaylanmış ve güvenli uygulamaların kullanılmasının önemi hakkında iletişim kurun.
  • Sürekli İnceleme: Uygulama kullanımı, tehdit ortamı ve uyumluluk gereksinimlerindeki değişikliklere uyum sağlamak için MDCA politikalarını düzenli olarak inceleyin ve ayarlayın.

Genel Sorun Giderme

  • Uygulamalar keşifte görünmüyor: Güvenlik duvarı/proxy günlüklerinin doğru şekilde yüklendiğini veya Defender for Endpoint entegrasyonunun etkin olduğunu doğrulayın. İlgili trafiğin yakalandığından emin olun.
  • Uygulama bağlayıcıları başarısız oluyor: SaaS uygulamasında MDCA'ya verilen izinleri kontrol edin. Hata mesajları için MDCA'daki bağlantı günlüklerini kontrol edin. Bağlayıcıyı yeniden yetkilendirmeniz gerekebilir.
  • Politikalar uygulanmadı: Politikanın etkinleştirildiğini ve kullanıcı ile uygulamanın politika kapsamında olduğunu doğrulayın. Koşulların karşılandığından emin olmak için etkinlik filtrelerini kontrol edin. Oturum ilkeleri için trafiğin MDCA koşullu erişim denetimi proxy'si üzerinden yönlendirildiğinden emin olun.
  • Yanlış Pozitifler: Anormallik tespit politikalarının hassasiyetini ayarlayın veya meşru faaliyetler için hariç tutmalar ekleyin. Etkinlik politikaları için filtreleri daha spesifik olacak şekilde hassaslaştırın.
  • Performans Sorunları: Koşullu erişim kontrolü proxy'sinin kullanılması az miktarda gecikmeye neden olabilir. Performansı izleyin ve gerekirse politikaları optimize edin.

Sonuç

Bulut Uygulamaları için Microsoft Defender (MDCA), SaaS uygulama ortamlarında verilerini ve kullanıcılarını korumak isteyen her kuruluş için vazgeçilmez bir araçtır. MDCA, Gölge BT'ye görünürlük, ayrıntılı erişim ve oturum kontrolleri ve gelişmiş tehdit algılama sağlayarak kuruluşların güvenlik duruşlarını etkili bir şekilde buluta genişletmelerine olanak tanır. MDCA politikalarının dikkatli bir şekilde uygulanması, SaaS yönetişimi için en iyi uygulamalar ve diğer Microsoft 365 Defender çözümleriyle entegrasyonla birlikte kuruluşunuzun siber dayanıklılığını önemli ölçüde güçlendirir. Bu pratik kılavuzla güvenlik uzmanları, bulut uygulamalarının güvenli, uyumlu ve kontrol altında olduğundan emin olmak için MDCA'yı yapılandırabilecek ve yönetebilecek.

Referanslar:

[1] Microsoft Learn. Bulut Uygulamaları için Microsoft Defender nedir?. Şu adreste bulunabilir: https://learn.microsoft.com/pt-br/defender-cloud-apps/what-is-defender-for-cloud-apps [2] Microsoft Learn. Shadow IT'nin Keşfi. Şu adreste bulunabilir: https://learn.microsoft.com/pt-br/defender-cloud-apps/shadow-it-discovery [3] Microsoft Learn. Bulut Uygulamaları için Microsoft Defender lisanslama gereksinimleri. Şu adreste bulunabilir: https://learn.microsoft.com/pt-br/defender-cloud-apps/what-is-defender-for-cloud-apps#licensing-requirements