Cloud App Security
Nicht alle Lizenzpakete von Microsoft sind einfach zu verstehen. Bei der Cloud App Security Suite ist es knifflig, da sie alleine nicht annähernd so leistungsfähig ist, wie in Verbindung mit anderen Security-Produkten von Microsoft. Wenn ich Azure ATP oder Defender ATP lizenziert habe, dann landen deren Daten auch in Cloud App Security und ich kann alle Incidents an einer Stelle betrachten.
Ich beschränke mich auf dieser Seite auf wenige Beispiele, da Microsoft den Bereich Security stark aufbaut und Funktionen ergänzt.
Microsoft Cloud App Security is a
user-based subscription service. Each license is a per user,
per month license. Microsoft Cloud App Security can be
licensed as a standalone product or as part of several
different bundles, listed below. Some of these licensing
options only include a subset of MICROSOFT CLOUD APP
SECURITY capabilitie
This is a standalone license that includes CASB
functionality for first and third-party applications. This
user license includes an unlimited number of apps to be
connected and protected for each use
Each user must be licensed for Microsoft Cloud App Security to use or benefit from it. For customers who license a subset of users, services enforced at the tenant level are not licensed for the other users. They are not entitled to use or benefit from the service, regardless of whether the service is technically accessible
- Lizenzdatenbatt
https://aka.ms/mcaslicensing - What are the differences between
Microsoft Cloud App Security and Office 365
Cloud App Security?
https://docs.microsoft.com/en-us/cloud-app-security/editions-cloud-app-security-o365
Microsoft schützt seine Office 36 Dienste natürlich gegen Angriffe. Diese Protokolle werden ohne einen Agenten o.ä. allein in der Cloud erhoben. Sie sollten daher wissen, dass Microsoft natürlich Aktionen von Anwendern protokolliert, z.B. An/Abmeldungen oder Anmeldeversuche. Auch das "Verhalten" von Anwendern wird erfasst, z.B. um suspekte Aktionen wie Massenexport, Massenlöschungen erkennen zu können. Das erfolgt über alle Produkte hinweg und so ist es nur logisch, dass sie mit der richtigen Lizenz diese Daten auch auswerten und Aktionen durchführen können. Hier mal eine Momentaufnahme eines meiner Cloud Konten:
Ich habe hier dann einen Eintrag geöffnet und sie sehen, dass die erfassten Daten durchaus umfangreich sind
Interessant dabei ist, dass einige Elemente "klickbar" sind, so dass Sie als berechtigte Person im Falle eines Vorfalls weitere Details erhalten oder Korrelationen überprüfen können. Hier ist z.B: gut zu sehen, dass ich über "Exchange RPC" von einer öffentlichen IP-Adresse des Providers "Telekom" eine Mail mit dem Betreff "RE: How can i export MAPI user?" in den Ordner "Deleted Items" verschoben habe.
In der Übersicht sehen sie aber auch weitere Zugriffe von mir, z.B. auf Dateien in SharePoint etc. Der Zugriff auf diese Informationen ist natürlich über administrative Rollen steuerbar und aufgrund der hiesigen Datenschutzvorschriften sollten Sie sich auch vorab darüber Gedanken machen, welche Personen wann auf diese Daten zugreifen dürften. Jede gesammelte Information kann zum Guten aber auch zum Bösen eingesetzt werden. Die meisten Firmen haben aber weder die Zeit noch den Bedarf diese Auswertungen zu betrachten.
Microsoft versucht anhand der Client-Standorte auch zu ermitteln, ob diese Reise möglich ist. Das gleiche Verfahren nutzen Kreditkarten-Firmen natürlich schon lange, um Missbrauch zu erkennen. Wenn hier jemand ihre Kreditkarte "kopiert" und ein Ganove in einem anderen Land versucht damit etwas zu bezahlen, dann fällt das auf. Bei Office 365 sieht das dann z.B. wie folgt aus:
Es gibt noch eine ganze weitere Konstellationen die Microsoft überwacht. Das schöne der an der Cloud ist, das Microsoft von vielen Tenants die Verhaltens- und Angriffsmuster analysieren kann und Fachleute darauf dann wieder Regeln zur Erkennung ableiten. Das kann eine einzelne Firma mit einem lokalen Intrusion Detection Management kaum leisten. Natürlich gibt es kommerzielle Programme, die auch Regeln mitbringen und auch aktualisieren und vielleicht gibt es Administratoren, die das selbst sogar noch besser können. Aber dazu muss die Firma auch groß genug sein, um sich das leisten zu können. Mit Microsoft 365 kann es schon sehr einfach sein. Cloud App Security ist aber primär auf die Cloud-Dienste ausgerichtet.
