askformore@bittnet.ro
Cours programmés
Microsoft Défenseur pour Cloud Applications : combattez les cybermenaces provenant des services cloud Microsoft et de tiers

Microsoft Défenseur pour Cloud Applications – combattez les cybermenaces provenant des services cloud Microsoft et de tiers

Vues : 113

Les équipes informatiques sont chargées de trouver l'équilibre entre la mise en place d'un accès facile aux applications tout en gardant toujours le contrôle pour pouvoir protéger les données critiques de l'entreprise. Dans ce contexte, la plateforme de sécurité Microsoft Défenseur pour Cloud Apps (ex Microsoft Cloud App Security ou MCAS) est devenu obligatoire dans son rôle de Cloud Access Security Broker (CASB) qui connecte les applications dans cloud et utilisateurs, tout en proposant des fonctionnalités de journalisation, des connecteurs API, des services proxy dans les deux sens de connexion, une visibilité des données en transit et surtout des mécanismes d'analyse avancés nécessaires pour identifier et combattre les cybermenaces ciblant les services des entreprises.

Avec l'apparition de la plateforme centrale Microsoft 365 Defender, le nouveau Microsoft Défenseur pour Cloud Applications nativement intégrées à Microsoft Defender pour point de terminaison et Microsoft Defender for Identity, développé en fonction des besoins des professionnels de la sécurité et offrant une mise en œuvre simplifiée, une administration centralisée et des capacités avancées pour automatiser de nombreuses activités.

Selon les études de Gartner, les plateformes ayant le rôle de courtier CASB sont considérées comme les principaux points d'application des politiques de sécurité qui conditionneront l'accès des consommateurs aux services de sécurité. cloud aux applications proposées par les fournisseurs. L'objectif principal est de mettre en œuvre et de contrôler les politiques de sécurité de l'entreprise à mesure que les utilisateurs accèdent aux ressources en fonction de cloud, pour nous aider à surveiller la sécurité des utilisateurs et des données, étant pratiquement les équivalents des « pare-feu » classiques des infrastructures traditionnelles.

Dans le rôle du CASB, Microsoft Défenseur pour Cloud Les applications aident les professionnels de l'informatique à identifier et à combattre les cybermenaces pesant sur les services cloud et plus encore, s'intégrant facilement aux produits Microsoft. Une représentation schématique de la façon dont les données de l'organisation circulent cloud et le positionnement du CASB est dans cette figure.

Source Microsoft Apprendre

Les principales fonctionnalités offertes par Microsoft Défenseur pour Cloud Apps:

  • Découverte et contrôle du Shadow IT (services gérés en dehors du service informatique): identifie les applications cloud, IaaS et PaaS utilisés par les organisations pour mieux contrôler les risques.
  • Protéger les informations sensibles partout dans cloud: identification, classification et protection des informations sensibles stockées, capacités de prévention des pertes de données (DLP) appliquées aux différents points de fuite de données dans les organisations.
  • Protection contre les cybermenaces et anomalies: Détectez les comportements inhabituels entre les applications, les utilisateurs et les applications potentielles de ransomware en combinant plusieurs méthodes de détection, notamment l'analyse comportementale des entités utilisateur (UEBA), la détection basée sur des règles et la visualisation rapide de la façon dont les applications sont utilisées.
  • Évaluation de la conformité des demandes cloud: évaluer s'ils sont conformes aux réglementations et normes industrielles spécifiques à l'organisation.

Le portail d'administration est accessible à l'adresse du portail.cloudappsecurity.com

La première section administrative depuis le portail de la plateforme Microsoft Défenseur pour Cloud Apps est celui de la Découverte (découverte) où vous pouvez voir les deux applications cloud à la fois connus et invisibles, les signes du Shadow IT et des applications non autorisées susceptibles de violer les politiques de sécurité et les normes de conformité des entreprises.

En analysant les journaux de trafic, ils le comparent à une bibliothèque de plus de 15000 XNUMX applications cloud saisie dans le catalogue de l'éditeur, la plateforme peut catégoriser chaque application identifiée et la comparer à plus de 80 facteurs de risque offrant une visibilité sur les risques, le Shadow IT et la manière dont les applications et les données sont utilisées cloud.

Le tableau de bord de découverte vous donne un aperçu rapide des types d'applications utilisées, des alertes ouvertes, des niveaux de risque des applications dans votre organisation, et vous pouvez voir qui sont les principaux utilisateurs d'applications et d'où vient chaque application à l'aide de filtres pour les données collectées. .

Pour comprendre ce qui se passe dans l'environnement de cloud associé à l'organisation afin de prévenir en temps réel la violation des normes de sécurité et permettre aux utilisateurs d'apporter leurs propres appareils tout en protégeant l'organisation contre les fuites et le vol de données, Microsoft Défenseur pour Cloud Les applications s'intègrent aux fournisseurs d'identité (Fournisseurs d'identité) via Contrôle des applications à accès conditionnel.

Les politiques d’accès et de session peuvent être utilisées dans le portail Microsoft Défenseur pour Cloud Applications permettant d'affiner davantage les filtres et de définir les actions à entreprendre sur un utilisateur afin que :

  • Pour empêcher l’exfiltration de données: en bloquant le téléchargement, la récupération de contenu, la copie et l'impression de documents sensibles
  • Mettre en œuvre une protection contre les téléchargements: au lieu de bloquer le téléchargement de documents sensibles, il peut être exigé qu'ils soient étiquetés et protégés avec Azure Protection des informations, garantissant que le document est protégé et que l'accès des utilisateurs est restreint lors d'une session potentiellement risquée.
  • Les fichiers non balisés ne peuvent pas être téléchargés: avant qu'un fichier sensible soit téléchargé, partagé et utilisé par d'autres, il est important qu'il dispose de l'étiquette et de la protection appropriées, qui peuvent ensuite bloquer le téléchargement d'un fichier avant que le contenu ne soit classifié.
  • Surveiller la conformité des sessions utilisateur: En surveillant les utilisateurs à risque lorsqu'ils se connectent aux applications et en enregistrant leurs actions de session. Le comportement des utilisateurs peut également être étudié pour comprendre où et dans quelles conditions appliquer les politiques de session à l'avenir.
  • Bloquer l'accès: Pour certaines applications et utilisateurs, en fonction de plusieurs facteurs de risque.
  • Bloquer les activités personnalisées: comme l'envoi de messages au contenu sensible dans des applications telles que Microsoft Les messages des équipes sont vérifiés pour détecter tout contenu sensible et bloqués en temps réel.

Enfin et surtout, l'une des fonctionnalités importantes Microsoft Défenseur pour Cloud Les applications sont la classification et la protection des informations classées comme sensibles, hautement butyle pour empêcher les utilisateurs d'exposer accidentellement des fichiers critiques ou des informations vitales pour l'organisation avec de graves conséquences juridiques.

À cette fin, Microsoft intégré le produit natif avec Azure Protection des informations, une plateforme cloud basée spécialisée dans la classification et la protection des fichiers et des messages dans l'organisation. Ce produit constitue la base de la mise en œuvre de la protection des informations à travers les étapes suivantes :

  • Découverte de données organisationnelles
  • Classer les informations sensibles et les étiqueter comme données personnelles, données publiques, données générales, confidentielles ou strictement confidentielles
  • Activation de l'intégration Azure Protection des informations dans Microsoft Défenseur pour Cloud Applications dans les paramètres de la plateforme
  • Protection active des données en créant des politiques de fichiers pour détecter activement les informations sensibles et agir sur leur sensibilité comme suit :
    • Déclenchez des alertes et des notifications par e-mail.
    • Modifiez les autorisations de partage de fichiers.
    • Envoi des fichiers en quarantaine où ils seront analysés ultérieurement.
    • Supprimez les autorisations inappropriées de fichiers ou de dossiers.
    • Suppression de fichiers
  • La dernière étape est la surveillance et le reporting, où les alertes peuvent être étudiées pour mieux comprendre les problèmes signalés et décider s'il s'agit de vrais ou de faux positifs.

Dans Microsoft Défenseur pour Cloud Les applications peuvent également définir des politiques de détection d'anomalies pour une grande variété de problèmes de sécurité, notamment :

  • voyage impossible:activités simultanées d'un même utilisateur dans des lieux différents sur une période inférieure au temps de trajet estimé entre les deux lieux.
  • Activité provenant d'un pays peu fréquent : enregistré dans un emplacement qui n'a pas été récemment ou jamais visité par les utilisateurs de l'organisation.
  • Détection des logiciels malveillants:analyser les fichiers des applications cloud de l'organisation et l'exécution de fichiers suspects via Microsoftle moteur de renseignement sur les menaces (moteur Microsoft de renseignements sur les menaces) pour déterminer s'ils sont associés à des logiciels malveillants connus.
  • Activité des rançongiciels:détection du téléchargement de fichiers vers cloud qui pourrait être infecté par un ransomware.
  • Activité provenant d'adresses IP suspectes qui a été identifié comme étant à risque de Microsoft Renseignements sur les menaces.
  • Redirection de boîte de réception suspecte: Détecte les règles de transfert de boîte de réception suspectes définies dans la boîte aux lettres d'un utilisateur.
  • Activités inhabituelles de téléchargement de fichiers multiples en une seule session par rapport au modèle recommandé (référence), ce qui pourrait indiquer une tentative de violation.
  • Activités administratives inhabituelles: détecté en une seule session par rapport au modèle recommandé (ligne de base), ce qui pourrait indiquer une tentative de violation.

Pour approfondir vos connaissances, je vous recommande le cours officiel Microsoft SC-200 Microsoft Analyste des opérations de sécurité associé à une certification basée sur les rôles Microsoft Certifié : Associé analyste des opérations de sécurité.

  • Pour consulter toute la gamme cours Microsoft à condition que Bittnet Training, cliquez ici.
  • Pour consulter toute la gamme cours de technologie cyber security à condition que Bittnet Training, cliquez ici.
  • Pour consulter toute la gamme cours de technologie cloud à condition que Bittnet Training, cliquez ici.