Cloud App Security为何物?
这个东西功能实在太多,太全,设置也较为复杂。一句话概括一下CAS(Cloud App Security)的话–一个集和了警报,用户行为控制,软件安全保障,所有细节的审计以及完美的报告呈现于一身的产品(90%覆盖到了)。
首先先看CAS的警报:
了解过了基本警报的做用跟设置,你会发现基本警报的覆盖面非常的窄,大多数的情况(SaaS App和用户行为)都无法覆盖到,而且对于细节的捕捉不够,很多需要的细节,比如IP地址,操作系统等等,这些细节要么在审计日志中,要么没有。
而Cloud App Security很好的解决了这些问题,这也是为什么把它称作高级警报。可以通过下图了解一下每一个活动所记录下来的内容:
除了基本的用户,IP地址,行为,软件,时间(审计日志和基本警报也差不多包含)。我们看到还包含了,地点,用户隶属OU和组,源,标签,IP类别(需要设置),ISP,还有就是使用的操作系统和预览器版本。
目前包含Cloud App Security的订阅类型:
Microsoft Cloud App Security + Enterprise Mobility & Security E3 (EMS E3)
Enterprise Mobility & Security E5 (EMS E5)
Microsoft 365 E5 Security
Microsoft 365 E5
Microsoft 365 Education A5
Office 365 E5
Azure AD Premium 1
来自:https://query.prod.cms.rt.microsoft.com/cms/api/am/binary/RE2NXYO
可以在安全与合规中心中,警报下面找到advanced alerts这一项。第一次打开的话会要求你点击一个勾选框“turn on cloud app security”。
老版本的office 365 管理员中心里也可以找到:
当然CAS(Cloud App Security)不单单只有报警那么简单:
用户行为的检测与控制:
如果只是单单扩展了警报的内容,那么也就类似一个高级审计日志而已,CAS可以设置策略(类似Data Loss Prevetion)在定义的类别下来非常细微的管控用户,软件行为:
因为本文是概述,我们先简单了解一下,演示会在后面的章节。比如这里打开File Policy–文件策略。看一下下面这张非常长的图(显示器不竖着放都截不下这张图,而且只能包含90%的信息,图也是缩小了10%)
信息量非常大,不看个几十页的官方文档你压根不知道从何入手,因为设置太多。简单概括一下这里包含的:
1.可选的策略模板
2.策略级别以及类别(与基本警报中的设置类似)
3.特定的用户行为(也是较为复杂的一项)–允许预览策略看是否目前有匹配项(类似自定义敏感信息的测试功能)
4.应用对象(分为人和物–文件)
5.检查方式(第二个较为复杂的设置)–设置也类似自定义敏感信息
6.警报设置(与基本警报中的设置类似)
7.管理–针对SPO和ODFB
可视化报告
我们在DLP,基本警报中看到的报告都是折线图,甚至审计日志还需要我们自己去生成报告,不管用Power BI还是Excel都麻烦,因为需要做数据处理。但是CAS给我们提供到的是一个可以直接拿来用的报告:
这里头学问也挺多,也简单说一下:
1.组织概览–检测了多少行为,文件,用户,软件等等
2.Open Alers类似公司helpdesk的案件处理,每个警报在IT过目后可以选择处理完毕
3.第二项的一个可视化
4.匹配的用户活动以及内容
5.触发警报最多的用户(本人最喜欢的一项)
6.地图
7.折线图–根据软件来分(毕竟名字叫cloud app security,有个app在这)
到这里你会意识到,这个CAS如果细讲,一篇博客3千字的话,10篇可能才够讲完。也的确是这样,所以后面的章节会采用情景模式,设置一个企业内部会碰到的实际情况来设置策略,让读者更有代入感的来理解。