为 SaaS 治理配置 Microsoft Cloud App Security (MCAS)

为 SaaS 治理配置 Microsoft Cloud App Security (MCAS)

07/01/2024

本技术和教育文章旨在指导安全分析师、IT 管理员和系统工程师配置和使用 Microsoft Cloud App Security (MCAS)(现已成为 Microsoft Defender for Cloud Apps (MDCA) 的一部分)来管理 SaaS(软件即服务)应用程序。 MDCA 是一种全面的云访问安全代理 (CASB) 解决方案,可为您的云应用程序提供可见性、数据控制和威胁防护,有助于确保不断扩展的云环境中的安全性和合规性 [1]。

简介

SaaS 应用程序的大规模采用带来了许多生产力优势,但也带来了新的安全挑战。组织经常失去对跨云应用程序存储和共享的数据的可见性和控制,从而形成所谓的“影子 IT”。此外,防范实时威胁并确保这些应用程序的合规性非常复杂。 Microsoft Defender for Cloud Apps 通过使公司能够发现和控制云应用的使用、保护敏感数据以及检测可能表明威胁的异常行为来解决这些挑战 [2]。

本实用指南将涵盖设置 MDCA,从发现影子 IT 和连接应用程序到创建访问、会话、活动和异常检测策略。将提供分步说明、配置示例和验证方法,以便读者能够实施强大的 SaaS 治理策略,保护云应用程序中的数据和用户,并加强组织的安全态势。

为什么 Microsoft 云应用安全至关重要?

  • 影子 IT 发现:识别组织中使用的所有云应用程序,评估其风险并允许您控制它们。
  • 数据保护:防止机密数据泄露并确保云应用程序中遵守 DLP(数据丢失防护)策略。
  • 访问和会话控制:允许您实施精细的访问控制并监控连接的应用程序的实时会话活动。
  • 威胁检测:使用行为分析和机器学习来检测云应用程序中的异常活动和网络威胁。
  • 应用程序治理:帮助管理 SaaS 应用程序的应用程序权限、用户活动和安全设置。
  • 与 Microsoft 365 Defender 集成:将 MDCA 信号与其他 Defender 解决方案关联起来,以获得事件的统一视图。

先决条件

要实施 Microsoft Cloud App Security,您将需要以下项目:

  1. 许可:包含 Microsoft Defender for Cloud Apps 的许可证(例如 Microsoft 365 E5、Microsoft 365 E5 Security、Enterprise Mobility + Security E5 或 MDCA 独立许可证)[3]。
  2. 管理访问权限:在 Microsoft 365 Defender 门户 (https://security.microsoft.com) 中具有“全局管理员”、“安全管理员”或“云应用安全管理员”角色的帐户。
  3. 日志源(用于影子 IT):用于影子 IT 发现的防火墙和代理日志。为了更深入的集成,适用于特定 SaaS 应用程序(例如 Office 365、Salesforce、Box)的 API 连接器。
  4. Microsoft Defender for Endpoint(可选,但推荐):用于在托管设备上进行更深入的影子 IT 发现和应用程序控制。

分步:配置 Microsoft 云应用安全性

让我们探讨一下为 SaaS 治理设置 MDCA。

1.访问 Microsoft 365 Defender 门户

  1. 打开浏览器并导航至“https://security.microsoft.com”。
  2. 使用具有必要权限的帐户登录。
  3. 在左侧导航窗格中,选择云应用

2.应用程序发现(影子IT)

应用程序发现是了解组织中 SaaS 使用情况的第一步。

  1. 在 MDCA 左侧导航窗格中,选择 发现 > 日志快照日志收集器

  2. 日志快照:用于快速评估,您可以手动加载防火墙或代理流量日志。

    • 单击 创建日志快照 并按照说明上传日志文件。

  3. 日志收集器:为了持续、自动发现,请在您的环境中配置日志收集器。

    • 单击 添加日志收集器 并按照说明配置收集器(通常是将日志转发到 MDCA 的虚拟机或容器)。

  4. Defender for Endpoint 集成:如果您有 Defender for Endpoint,则会自动启用影子 IT 发现,直接从端点提供云应用程序使用数据。

  5. 数据收集完成后,进入发现 > 发现的应用程序,查看云应用程序列表、风险级别和使用情况统计信息。

3. 连接应用程序(API 连接器)

如需更深入的治理和保护,请直接通过 API 连接 SaaS 应用程序。

  1. 在 MDCA 左侧导航窗格中,选择 设置 > 应用程序连接器
  2. 单击+ 连接应用程序
  3. 选择您要连接的应用程序(例如:“Office 365”、“Salesforce”、“Box”)。
  4. 按照每个应用程序的具体说明授予必要的权限。这通常涉及以应用程序管理员身份登录并授权 MDCA。

4. 创建访问和会话策略

访问和会话策略允许您实时控制用户访问和活动。

  1. 在 MDCA 左侧导航窗格中,选择 控制 > 策略
  2. 单击创建策略 > 访问策略会话策略

示例:阻止敏感数据下载的会话策略

此策略可以防止用户在从非托管设备访问 SaaS 应用程序时下载敏感文件。

  1. 策略类型会话策略
  2. 名称:“阻止将敏感数据下载到非托管设备”。
  3. 严重性:“高”。
  4. 类别数据丢失防护
  5. 活动过滤器:配置条件:
    • 应用程序:选择目标 SaaS 应用程序(例如“SharePoint Online”)。
    • 用户:选择目标用户或组。
    • 设备:选择“设备品牌”=“不支持”或“未加入混合 Azure AD”。
    • 活动类型:“下载”。
    • 内容检查:配置为检测机密数据(例如“信用卡号”、“CPF”)。
  6. 操作:选择“阻止”(用于下载)和“监控”。
  7. 单击“创建”。

5. 创建活动策略

活动策略可让您检测和控制连接的应用程序中的特定用户操作。

  1. 在 MDCA 左侧导航窗格中,选择 控制 > 策略
  2. 单击创建策略 > 活动策略
  3. 名称OneDrive 上的文件批量删除警报
  4. 严重性
  5. 类别威胁检测
  6. 活动过滤器:配置条件:
    • 应用程序OneDrive for Business
    • 活动类型删除文件
    • 活动计数:“大于”“10”(在“5”分钟内)。
  7. 操作:选择“生成警报”和“向管理员发送电子邮件警报”。
  8. 单击“创建”。

6. 创建异常检测策略

异常检测策略使用机器学习来识别可能表明攻击的异常行为。

  1. 在 MDCA 左侧导航窗格中,选择 控制 > 策略
  2. 单击创建策略 > 异常检测策略
  3. MDCA 提供了多种预定义的异常策略(例如“异常文件下载活动”、“来自可疑 IP 地址的登录活动”、“来自很少访问的国家/地区的登录活动”)。
  4. 您可以启用和调整这些策略的设置。

验证和测试

验证 MDCA 实施对于确保政策按预期发挥作用至关重要。

1. 测试会话和访问策略

  1. 模拟场景:尝试从非托管设备或本地访问 SaaS 应用程序(例如 SharePoint Online)l 不可靠。
  2. 尝试执行策略限制的操作(例如下载机密文件)。
  3. 验证会话策略是否阻止该操作并向用户显示通知。

2. 检查活动警报和异常

  1. 模拟活动:在测试环境中,运行您配置的活动以生成警报(例如,快速删除 OneDrive 中的多个文件)。
  2. 等待几分钟。
  3. 在 Microsoft 365 Defender 门户中,转到 事件和警报 > 警报
  4. 按“Service”=“Microsoft Defender for Cloud Apps”进行筛选,并检查是否生成了警报。

3. 查看活动日志

MDCA 活动日志记录在连接的应用程序中检测到的所有操作。

  1. 在 MDCA 左侧导航窗格中,选择 日志 > 活动日志
  2. 按用户、应用程序或活动类型进行过滤,以验证是否正在记录预期操作并应用策略。

安全提示和最佳实践

  • 从可见性开始:在实施严格控制之前,优先考虑影子 IT 发现,以了解组织的云应用程序环境。
  • 逐步实施:从“监控”或“仅审核”模式下的策略开始,了解影响并在应用阻止操作之前进行调整。
  • 完全集成:将 MDCA 与 Microsoft Defender for Endpoint 集成,以增强影子 IT 发现和端点保护。
  • 全面的策略:创建涵盖访问、会话、活动和异常检测的策略,以实现多层保护。
  • 数据分类:使用 Microsoft 信息保护 (MIP) 对敏感数据进行分类和标记,并在 MDCA DLP 策略中使用这些标签。
  • 用户教育:向用户传达 MDCA 政策以及使用经批准且安全的企业数据应用程序的重要性。
  • 持续审查:定期审查和调整 MDCA 策略,以适应应用程序使用情况、威胁形势和合规性要求的变化。

常见故障排除

  • 应用程序未出现在发现中:验证防火墙/代理日志是否正确加载,或者与 Defender for Endpoint 的集成是否处于活动状态。确保相关流量被捕获。
  • 应用程序连接器失败:检查授予 SaaS 应用程序上的 MDCA 的权限。检查 MDCA 中的连接日志中是否有错误消息。您可能需要重新授权连接器。
  • 未应用策略:验证策略是否已启用以及用户和应用程序是否在策略范围内。检查活动过滤器以确保满足条件。对于会话策略,请确保流量通过 MDCA 条件访问控制代理进行路由。
  • 误报:调整异常检测策略的敏感度或添加合法活动的排除项。对于活动策略,将过滤器细化为更具体。
  • 性能问题:使用条件访问控制代理可能会引入少量延迟。如有必要,监控绩效并优化策略。

结论

对于任何希望在 SaaS 应用程序环境中保护数据和用户的组织来说,Microsoft Defender for Cloud Apps (MDCA) 是不可或缺的工具。通过提供影子 IT 的可见性、精细的访问和会话控制以及高级威胁检测,MDCA 使企业能够有效地将其安全态势扩展到云。仔细实施 MDCA 策略,结合 SaaS 治理最佳实践以及与其他 Microsoft 365 Defender 解决方案的集成,可显着增强组织的网络弹性。通过本实用指南,安全专业人员将能够配置和管理 MDCA,以确保其云应用程序安全、合规且受控。

参考资料:

[1] 微软学习。 什么是适用于云应用程序的 Microsoft Defender?。网址:[https://learn.microsoft.com/pt-br/defender-cloud-apps/what-is-defender-for-cloud-apps](https://learn.microsoft.com/pt-br/defender-cloud-apps/什么是云应用程序的 Defender) [2] 微软学习。 影子 IT 的发现。位于:https://learn.microsoft.com/pt-br/defender-cloud-apps/shadow-it-discovery [3] 微软学习。 Microsoft Defender for Cloud Apps 许可要求。网址:https://learn.microsoft.com/pt-br/defender-cloud-apps/what-is-defender-for-cloud-apps#licensing-requirements