איך לזהות תוכן חשוב/רגיש עם Cloud App Security
בהרצאות, סשנים והטמעות שאני מבצע לאחרונה בתחום הסייבר ובפרט על Cloud App Security אני נתקל בשאלות רבות כאשר השאלה הבולטת היא איך אני מגן על התוכן שנמצא בענן?!
ובכן בכדי להגן על התוכן בענן בין אם זה OneDrive for Business, OneDrive, DropBox וכו’ ישנם מספר טכנולוגיות כאשר המרכזיות הם Cloud App Security & Azure Information Protection וכמובן השילוב של שניהם יחדיו.
במהלך אחת ההטמעות של Cloud App Security נתבקשתי בין היתר לזהות האם משתמשים שומרים קבצים עם מידע ותוכן שהוגדר כמסווג ועם מאפיינים השייכים לארגון בתוך אפליקציות OneDrive for Business, DropBox וכו’. אפשר לומר שהפוליסי היה בנוי מכמה פילטרים והגדרות Governance לכל אחד מהפילטרים שהוגדרו.
איך מזהים תוכן עם Cloud App Security
(בדוגמא הבא ישנו חלק קטן מהפתרון שמתבסס אך ורק על זיהוי של כרטיסי אשראי ומול OneDrive for Business)
- כניסה לממשק הניהול של Cloud App Security
- נוודא שהאפליקציה מוגדרת ומחוברת (sanctioned) מול OneDrive for Business
- מתוך הממשק נבחר באפשרות Control ולאחר מכן Policies
- לאחר מכן נבחר באפשרות Creae Policy ונבחר באפשרות File Policy
- ביצירת Policy נגדיר את הפמרטרים הבאים
- No template
- policy name
- הגדרת Policy severity עם ערך High
- הגדרת Category עם ערך DLP
- הגדרת Filter יוגדר עם App + פרמטר שווה מול אפליקציית OneDrive for Business
- הגדרת Apply to תוגדר מול כל הקבצים
- בהגדרת Content Insepction נסמן את אפשרות Enabled
- לאחר מכן נבחר באפשרות Include files that match a custom expression
- בהגדרת Use case-sensitive search נסמן את האפשרות ונבחר באפשרות Match a regular expression
- בערך regex נחשב את המספרים שאנו צריכים, בגלל שמדובר על כרטיסי אשראי נקליד את הפרמטר הבא \b\d{4}[-.]?
- לאחר שהגדרנו את הפרמטרים לחיפוש המידע והתוכן נוכל להגדיר התראות עם Alerts
- בנוסף ניתן להגדיר גם Governance עם פעולות שונות במידה וישנו זיהוי של התוכן
בסיום נוכל לראות התראות על תוכן שזוהה לפי הפוליסי
הערה: ניתן לשלב את זיהוי התוכן ולהפעיל פעולות נוספות בעת זיהוי התוכן עם Azure Information Protection.
