Microsoft Defender for cloud
Microsoft Defender for Cloud Apps 是在多個雲端上執行的CASB(cloud access security broker)。它提供豐富的可見性、對資料傳輸的控制以及複雜的分析,以識別和對抗所有雲端服務中的網路威脅。
當地端遷移到雲端時,可以提高員工和 IT 團隊的靈活性。然而,這項措施也為確保組織安全帶來了新的挑戰。為了充分發揮雲端應用程式和服務的優勢,必須在支援存取與保護關鍵資料之間取得平衡。 Microsoft Defender for Cloud Apps 可實現此平衡。它提供豐富的可見性、對資料傳輸的控制以及複雜的分析,以識別和對抗所有雲端服務中的網路威脅。
框架
CASB 被 Gartner 定義為security policy enforcement points,放置在雲端服務消費者和雲端服務提供者之間,用於在存取基於雲端的資源時組合和安插企業安全政策。 CASB 整合了多種類型的安全策略實作。
換句話說,CASB 是使用者和他們訪問的所有雲端服務之間的橋樑。 CASB 可協助我們對使用者和資料套用監控和安全控制。雲端服務的 CASB 就像是企業網路的防火牆。
Microsoft Defender for Cloud Apps 是一個 CASB,可識別和應對 Microsoft 和第三方雲端服務中的網路威脅。 Microsoft Defender for Cloud Apps 與 Microsoft 解決方案整合,提供簡單的部署、集中管理和創新的自動化功能。
下圖顯示了組織中資訊的流。可以了解 Defender for Cloud Apps 如何充當應用程式、資料和使用者之間的橋樑。
Defender for Cloud Apps 框架有四個要素:
- Discover and control the use of Shadow IT:
確定組織使用的雲端應用程式、IaaS 和 PaaS 服務。我們認為我們的使用者使用了多少個雲端應用程式?我們可能一堆都不知道,是組織的「Shadow IT」。當我們知道正在使用哪些應用程式時,我們將更了解並控制風險。 - Protect your sensitive information anywhere in the cloud:
理解、分類和保護靜態敏感資訊。為了避免意外的資料洩露,Defender for Cloud Apps 提供了DLP功能,涵蓋組織中存在的各種資料外洩點。 - Protect against cyberthreats and anomalies:
偵測應用程式、使用者和潛在勒索軟體的異常行為。 Defender for Cloud Apps 結合了多種偵測方法,包括異常、UEBA(user entity behavioral analytics) 和基於規則的活動偵測,以顯示誰在環境中使用應用程式以及他們如何使用應用程式。 - Assess the compliance of your cloud apps:
評估雲端應用程式是否符合組織特定的法規和產業標準。 Defender for Cloud Apps 可將應用程式和使用情況與相關合規性要求進行比較,防止資料外洩給不合規的應用程式,並限制對受監管資料的存取。
使用 Cloud Discovery 探索雲端應用程式
我們可以使用 Cloud Discovery 查看網路中發生的情況。我們會看到應該有的跟不應該有的雲端應用程式、Shadow IT 的跡像以及可能不符合組織的安全和合規性政策的未經批准的應用程式。 Cloud Discovery 根據超過 16,000 個雲端應用程式的目錄分析組織的流量日誌。 Cloud Discovery 對每個應用程式進行排名,並根據 80 多個風險因素對其進行評分,以理解雲端使用情況、Shadown IT 及其在組織中帶來的風險。
Cloud Discovery Dashboard提供了有關正在使用的應用程式類型、開啟的告警以及組織中應用程式的風險等級的概覽。還可以查看頂級應用程式使用者是誰以及每個應用程式來自哪裡(在App Headquarters map上)。可以過濾 Cloud Discovery 收集的數據,以根據您最感興趣的內容產生特定視圖。
檢視Cloud Discovery Dashboard
第一步是整體了解組織的雲端應用程式。從 Cloud Discovery 儀表板開始,然後按以下順序瀏覽其元素,以了解組織中發生的情況。
- 從 High-level usage overview開始,了解雲端應用程式的整體使用情況。可以查看排名靠前的使用者和來源 IP 位址。根據此資訊,確定組織中哪些使用者最常使用雲端應用程式。
- 更深入地了解組織最常使用哪一類應用程式。查看Sanctioned apps中的這種使用有多少。
- 更深入地了解「Discovered apps」頁籤。查看特定類別中的所有應用程式。
- 在App risk overview中查看已發現應用程式的風險評分。每個發現的應用程式都會根據安全性、合規性和監管措施等風險因素進行評估。應用程式的風險評分介於 1 到 10 之間。
- 在App Headquarters map中查看已發現應用程式的位置。
- 如果您發現某個應用程式對您的組織構成風險,您可以在「Discovered apps」視窗中將其標記為「Unsanctioned」。
如果組織正在使用 Microsoft Defender for Endpoint,任何未經批准的應用程式都會被自動封鎖。
如果沒有威脅防護解決方案,您可以針對資料來源執行腳本來封鎖該應用程式。然後,當使用者嘗試存取該應用程式時,他們將看到一條通知,表明該應用程式已被封鎖。
使用Conditional Access App Control保護資料和應用程式
Cloud Discovery 可事後了解雲端環境中發生的情況。雖然此過程很重要,但主要目標是即時阻止違規和洩密,以免組織面臨風險。還需要一種方法,使使用者能夠攜帶自己的設備作業,同時仍保護組織免受資料外洩和資料竊取。 Microsoft Defender for Cloud Apps 與IdP(identity providers)整合,透過Conditional Access App Control透過存取和session control來保護資料和裝置。如果使用 Microsoft Entra ID 作為 IdP,這些控制項將直接整合到 Defender for Cloud Apps 中。
Conditional Access App Control可即時監控和控制使用者應用程式存取和session。透過與 Microsoft Entra Conditional Access整合,可以配置應用程式來與Conditional Access App Control配合使用。它允許根據Conditional Access中的任何條件選擇性地對組織的應用程式實施存取和session control。可以使用條件來定義應用程式條件式存取政策的物件(使用者或使用者群組)、應用程式內容(哪些雲端應用程式)以及應用程式地點(哪些位置和網路)。確定條件後,將使用者路由到 Defender for Cloud Apps,在其中透過套用access and session controls,使用Conditional Access App Control來保護資料。
Microsoft Entra ID 包含內建政策,可以設定這些政策以進行部署。在 Microsoft Entra ID 中設定條件存取原則的條件後,選擇“Access controls”下的“Session”,然後按一下“使Conditional Access App Control”。如果選擇使用自訂控件,則需要在 Defender for Cloud Apps網站中定義它們。
我們可以使用 Defender for Cloud Apps 網站中的access and session policies來進一步細化篩選器並設定要對使用者採取的動作。透過access and session policies,我們可以:
- 防止資料外洩:封鎖在非託管設備等裝置上下載、剪下、複製和列印敏感文件。
- 下載時保護:可以要求使用 Azure Information Protection對其進行標記和保護,而不是阻止敏感文件的下載。此操作可確保文件受到保護,並在有潛在風險的session中限制使用者存取。
- 防止上傳未標記的檔案:強制使用標籤。在他人上傳、散佈和使用敏感文件之前,確保其具有正確的標籤和保護非常重要。可以阻止文件上傳,直到內容被分類為止。
- 監控user sessions的合規性:在有風險的使用者登入應用程式並在sessions中記錄其操作時對其進行監控。可以調查和分析使用者行為,以了解將來在何處以及在什麼條件下apply session policies。
- 封鎖存取:可以根據多種風險因素封鎖特定應用程式和使用者的存取。例如,如果使用者使用client certificate作為裝置管理的一種形式,可以封鎖他們。
- 阻止自訂活動:某些應用程式具有存在風險的獨特場景;例如,在 Microsoft Teams 或 Slack 等應用程式中傳送包含敏感內容的訊息。在此類場景中,可以掃描郵件中的敏感內容並即時封鎖它們。
例如,讓我們在 Microsoft Teams 中建立一個session policy來封鎖包含敏感內容的 IM 訊息。假設我們之前建立了一個Conditional Access policy,並在“Use Conditional Access App Control”下設定了“Use custom controls”,我們首先在 Microsoft Defender for Cloud Apps 中建立一個新的session policy。
我們將使用現有範本來建立新的session policy。選擇Block sending of messages based on real-time content inspection policy template。
在session policy的Activity source下,選擇Send Teams message作為應用程式。
然後啟用Content Inspection,在其中將敏感資訊定義為與目前表達式、自訂表達式或任何正規表示式相符。定義表達式後,選擇「Actions」下的「Block」以封鎖訊息,並建立告警以通知管理員。
現在,當使用者嘗試在 Teams 中發送敏感訊息時,他們會看到一則通知。
分類與保護敏感資料
Defender for Cloud Apps 框架的關鍵要素之一是保護敏感資訊。敏感性是一個主觀心態,因為不同組織的資料敏感性可能有所不同。
我們將介紹如何找尋哪些應用程式正在存取組織的資料,如何對敏感資訊進行分類,如何保護其免遭非法存取,以及如何監控和報告環境的整體健康狀況。
員工有時可能會意外地將文件上傳到錯誤的位置。或者他們可以將機密資訊發送給不應該擁有這些資訊的人。因此,資訊可能會遺失或被錯誤的人存取。任何遺失或錯誤暴露的資訊都可能為組織帶來嚴重的法律、財務或聲譽後果。資訊對於任何現代組織都至關重要,組織永遠希望確保它始終受到保護。Microsoft Defender 與 Azure Information Protection整合,這是一項基於雲端的服務,可協助對整個組織中的文件和電子郵件進行分類和保護。
PS:必須啟用 Microsoft 365 的app connector才能利用 Azure Information Protection
可以透過以下階段使用 Microsoft Defender for Cloud Apps 實施資訊保護:
第一階段:資料探索
在此階段,確保應用程式連接到 Microsoft Defender for Cloud Apps,以便它可以掃描資料並對其進行分類,然後套用政策和控制。可以透過兩種不同的方式執行此操作:使用app connector或使用Conditional Access App Control。
第二階段:分類敏感資訊
在此階段我們將執行:
- 確定在組織環境中哪些內容被視為敏感。 Microsoft Defender for Cloud Apps 包含 100 多種預先定義的敏感資訊類型以及 Azure Information Protection中的預設標籤。敏感資訊類型和標籤定義如何處理護照號碼和國家/地區身分證號碼等。也可以使用 Azure Information Protection中的預設標籤。 Microsoft Defender for Cloud Apps 在掃描時將使用這些標籤對資訊進行分類。標籤是:
—Personal:僅供個人非商業用途的資料。
— Public:可以分享供公眾使用的資料,例如行銷海報和部落格文章。
— Genera:無法分享供公眾使用,但可以與外部合作夥伴分享的資料。
— Confidential:如果與未經授權的人員共用,可能會損害組織的資料。
— Highly confidential:非常敏感的資料,如果與未經授權的人共享,將造成嚴重損害。例如,客戶詳細資料、密碼和原始碼。 - 透過在「Setting」窗格中選擇” Automatically scan new files for Azure Information Protection classification labels in”,啟用 Microsoft Defender for Cloud Apps 中的 Azure Information Protection整合:
第三階段:保護資料
我們可以建立不同類型的政策來偵測敏感資訊並採取相應措施。例如,可以建立文件政策來即時掃描應用程式中的文件內容以及靜態資料。檔案政策允許您我們套用治理行動。然後可以自動:
- 觸發警報和電子郵件通知。
- 更改檔案的共用存取權限。
- 隔離文件。
- 刪除檔案或資料夾權限。
- 將檔案移至垃圾資料夾。
建立檔案政策
- Open Microsoft Defender for Cloud Apps
- Select the Control pane
- Select Policies > Create policy
- Select File policy
當出現表單時,將填寫以下欄位:
- Policy severity
定義政策的重要性以及是否觸發通知。可以自訂政策的嚴重性,以快速識別與政策配對相關的風險。 - Category
指派給政策的資訊標籤,以協助稍後找到它。預設情況下,檔案政策為 DLP。 - Create a filter for the files this policy will act on
它用於決定哪些應用程式將觸發該政策。理想情況下,應將其定義得盡可能窄,以避免誤報。 - Apply to (1st)
選擇哪些已發現的應用程式將觸發該政策。有兩種選擇:
— 除所選資料夾之外的所有檔案:將政策套用到所有檔案。
— 選定的資料夾:將策略套用到 Box、SharePoint、OneDrive 和 Dropbox 等應用程式。 - Apply to (2nd)
選擇此政策中應包含哪些使用者和群組。共有三個選項:
— 所有檔案擁有者
— 來自選定使用者群組的檔案擁有者
— 除選定群組之外的所有檔案擁有者 - Content inspection method
希望如何檢查文件。有兩個選項:
— 內建 DLP
— 資料分類服務 (DCS) Microsoft 建議使用 DCS,因為這將允許我們在 Microsoft 365、Azure Information Protection和 Microsoft Defender for Cloud Apps 中使用統一的標籤體驗。 - Governance
選擇在偵測到符合項目時希望 Microsoft Defender for Cloud Apps 執行的治理操作。
5. When you’re done, select Create to create your file policy.
階段四:監控與報告
檢查儀表板以監控告警和環境的整體運作狀況。例如,若要查看與檔案相關的告警,前往「Alerts」窗格,然後在「Category」欄位中選擇「DLP」。
我們可以調查與檔案相關的告警,以便更好地了解觸發該告警的原因。或者,可以忽略我們確定可以忽略的告警。也可以將告警匯出到 CSV 檔案以進行進一步分析。
威脅偵測
當我們理解如何保護資料免受意外洩漏時,接下來要考慮的事情是防禦網路威脅和異常,這也是 Defender for Cloud Apps 框架的要素之一。
Microsoft Defender for Cloud Apps 包含開箱即用的異常偵測政策,利UEBA(user and entity behavioral analytics) 和機器學習在整個雲端環境中提供進階威脅偵測。值得注意的是,異常偵測本質上是不確定的。這些貞測僅在存在偏離規範的行為時才會觸發。
儘管異常偵測政策是自動啟用的,但 Microsoft Defender for Cloud Apps 會在前 7 天了解我們的環境。它會查看使用者造訪的 IP 位址、裝置和位置,識別他們使用的應用程式和服務,並計算所有這些活動的風險評分。此過程有助於形成基線(baseline),我們的環境和任何告警都會與該基線進行比較偵測政策還使用機器學習來分析組織的使用者。如果 Microsoft Defender for Cloud Apps 能夠識別使用者及其正常登入模式,則可以協助減少誤報。
透過掃描使用者活動並評估風險來偵測異常情況。透過查看 30 多個不同指標來評估風險,這些指標分為以下風險因素:
- Risky IP address
- Login failures
- Admin activity
- Inactive accounts
- Location
- Impossible travel
- Device and user agent
- Activity rate
Microsoft Defender for Cloud Apps 會查看雲端上的每個user session,並在發生與組織基準或使用者常規活動不同的情況時發出告警。
Anomaly detection policy overview
Microsoft Defender for Cloud Apps 異常偵測政策已配置為偵測各種安全性問題。最相關的是:
- Impossible travel。同一用戶在比兩個位置之間的預期旅行時間更短的時間內在不同位置進行的活動。
- Activity from infrequent country。使用者或組織中的任何使用者最近未造訪或從未造訪過的位置的活動。
- Malware detection。掃描雲端應用程式中的檔案並透過 Microsoft 的威脅情資引擎執行suspicious files,以確定它們是否與已知惡意軟體相關。
- Ransomware activity。檔案上傳到雲端可能會感染勒索軟體。
- Activity from suspicious IP addresses。來自被 Microsoft 威脅情資識別為有風險的 IP 位址的活動。
- Suspicious inbox forwarding。偵測使用者收件匣上設定的可疑收件匣轉送規則。
- Unusual multiple file download activities。相對於baseline learned偵測單一session中的多個檔案下載活動,這可能表示存在企圖違規行為。
- Unusual administrative activities。偵測單一session中相對於baseline learned的多個管理活動,這可能表示存在企圖違規行為。
配置異常偵測政策
接下來我們可以設定一個發現異常策政策,以便可以了解設定該政策的步驟並針對環境進行設定。發現異常偵測政策會尋找雲端應用程式使用量的異常增加。它著眼於每個雲端應用程式的下載資料、上傳資料、交易和使用者的成長。然後,將每次增加與應用程式的基線進行比較。最極端的成長會觸發安全告警。
我們可以設定過濾器來自訂監控應用程式使用情況的方式。過濾器包括應用程式過濾器、選定的資料視圖和選定的開始日期。我們也可以設定敏感度,這使我們能夠設定政策應觸發的告警數量。
微調異常政策以抑製或顯示告警
儘管異常偵測僅在異常情況發生時才會觸發,但它們仍然容易出現誤報。太多的誤報可能會導致狼來了,並且可能會在一堆誤報中錯過重要的告警。為了幫助防止誤報噪音,我們可以微調每個政策中的偵測邏輯,以包含不同程度的抑制,來解決可能觸發誤報的情況,例如 VPN 活動。
建立或編輯異常檢偵測政策時,可以根據所需的覆蓋範圍類型確定其敏感度。更高的靈敏度使用更嚴格的偵測邏輯演算法。這使我們可以針對每個政策調整偵測策略。
在微調政策之前,了解抑制告警的選項會有所幫助。抑制分為三種:
- System
始終被抑制的內建偵測。 - Tenant
基於Teant先前活動的常見活動。例如,抑制組織中先前收告警的 ISP 的活動。 - User
基於特定使用者先前活動的常見活動。例如,抑制使用者常用位置的活動。
敏感度等級對抑制類型的影響不同:
還可以配置來自不常見國家/地區、匿名 IP 位址、可疑 IP 位址和impossible travel的活動告警是否應分析失敗和成功登錄,或僅分析成功登入。
調整針對使用者和群組的異常偵測範圍政策
每個異常偵測政策都可以獨立限定範圍,以便它僅適用於我們想要在政策中包含和排除的使用者和群組。例如,可以設定不頻繁旅行的國家/地區偵測的活動以忽略經常旅行的特定使用者。
要確定異常偵測政策的範圍:
- Sign in to the Microsoft Defender for Cloud Apps Portal through your browser.
- Select Control > Policies, and set the Type filter to Anomaly detection policy.
- Select the policy you want to scope.
- Under Scope, change the dropdown from the default setting of All users and groups, to Specific users and groups.
- Select Include to specify the users and groups for whom this policy applies. Any user or group not selected here won’t be considered a threat or generate an alert.
- Select Exclude to specify users for whom this policy won’t apply. Any user selected here won’t be considered a threat or generate an alert, even if they’re members of groups selected under Include
7. When you’ve completed the changes to the scope, select Update to commit the change.
