Cloud App Security Threat Protection is nu nog beter

Hoe meer zichtbaarheid u krijgt in de activiteiten van uw gebruikers, hoe meer controle u heeft. Dit is de reden waarom Microsoft blijft innoveren om uw cloud-apps beter zichtbaar te maken, te beheren en te beveiligen.

In het afgelopen jaar heeft Microsoft de threat protection en anomaly detection engine opnieuw ontworpen in Microsoft Cloud App Security en Office 365 Cloud App Security, waarbij gebruik werd gemaakt van kennis uit de Intelligent Security Graph van Microsoft. Cloud App Security helpt nu om de meest geavanceerde bedreigingen in uw cloud apps sneller te detecteren.

Wat zijn de nieuwe verbeteringen in de threat detection?

Voor een verbeterde admin gebruikerservaring heeft Microsoft verschillende nieuwe beleidsregels geïntroduceerd. Elk van deze beleidsregels vertegenwoordigt een aparte detectiemiddel en een use-case scenario. Bijvoorbeeld ‘impossible travel’, meerdere mislukte inlogpogingen of activiteit van verdachte IP. Dit stemt Cloud App Security af op de use-case gestuurde aanpak die de SecOps-teams van Microsoft eisen, aangezien elke detectie een belangrijk geval van beveiligingsgebruik vertegenwoordigt.

Alle nieuwe beleidsregels omvatten leermechanismen om ‘false positive’ waarschuwingen te verminderen, zodat u zich kunt concentreren op wat het belangrijkste is. Dit beleid vervangt ons beleid voor “General Anomaly Detection”, maar u kunt nog steeds alle historische meldingen bekijken die u momenteel hebt.

Figuur 1. Cloud-app Beveiliging bedreigingsdetectie nieuwe meldingen

U wilt ook alle informatie hebben die mogelijk is, zodat u snel de verschillende waarschuwingen kunt inzien en kunt beslissen welke eerst moeten worden behandeld. Om dit te doen, heeft u de context voor de waarschuwing nodig, zodat u het grotere geheel kunt zien en kunt begrijpen of er inderdaad iets kwaadaardigs gebeurt.

Om hiermee te helpen heeft Microsoft de waarschuwing onderzoeksmogelijkheden in het activiteitenlogboek verbeterd met de nieuw toegevoegde “Gebruikersinzichten”. Dit omvat informatie zoals het aantal waarschuwingen, activiteiten en waar ze verbinding mee hebben gemaakt, welke natuurlijk zeer belangrijk is in een onderzoek .

Figuur 2. Beveiligingsactiviteitenlog voor Cloud-app, Gebruikersinzichten

U kunt nu gemakkelijk de verdachte activiteiten inzien en begrijpen die de gebruiker aan het uitvoeren was en dieper inzicht krijgen in de vraag of het account is gecompromitteerd. Een waarschuwing over meerdere mislukte aanmeldingen kan bijvoorbeeld inderdaad verdacht zijn en kan wijzen op een mogelijke brute force-aanval, maar het kan ook een onjuiste configuratie van de toepassing zijn, waardoor de waarschuwing een goedaardig ’true positive’ signaal is. Als u echter een melding krijgt dat meerdere aanmeldingen mislukken met extra verdachte activiteiten, is de kans groter dat het account wordt gehackt. In het onderstaande voorbeeld kunt u zien dat de melding “Multiple failed login attempts” werd gevolgd door “Activity from a TOR IP address” en “Impossible travel activity”, beide sterke indicatoren van compromis (IOC’s) zelf. Als dit niet al verdacht genoeg was, kunnen we zelfs zien dat dezelfde gebruiker een “Mass download” activiteit heeft uitgevoerd, wat vaak een indicator is van de aanvaller die exfiltratie van gegevens uitvoert.

Figuur 3. Voorbeeld gebruikerswaarschuwingen

Kom meer te weten

Als u Microsoft Cloud App Security of Office 365 Cloud App Security heeft geïmplementeerd, ziet u deze functies al ingeschakeld in uw tenant. Als dat niet het geval is, kunt u Microsoft Cloud App Security en Office 365 Cloud App Security gedurende 90 dagen proberen zonder extra kosten en zien hoe deze service u helpt bij het bieden van zichtbaarheid, gegevensbeheer en bescherming tegen bedreigingen voor uw cloud-apps.

Heeft u hulp nodig bij de implementatie van Microsoft Cloud App Security en Office 365 Cloud App Security dan kunt u altijd een vrijblijvende afspraak maken met één van onze security experts. Bel hiervoor 088 47 47 444 of mail naar info@officegrip.nl.