הגנה על Microsoft Teams באמצעות MCAS

הגנה על Microsoft Teams נחלקת למספר שכבות החל מזהויות דרך הקשחות פנימיות (Managed Internal Risks) ועד ניטור ומעקב אחר פעולות אנומליה באמצעות Microsoft Cloud App Security.

אחד המאמרים שמאגד בתוכו מספר יכולות הגנה על Microsoft Teams ומאפשר להבין את הדרכים השונות שבהן ניתן להגן, להקשיח ולמנוע בעיות אבטחה הוא המאמר של איך להקשיח Microsoft Teams וחלוקה לפי שכבות הגנה שונות.

המאמר הנוכחי מתמקד בהגנה על Microsoft Teams באמצעות הפלטפורמה של Microsoft Cloud App Security והיכולות לניטור, מעקב ומניעת בעיות אבטחה של המשתמשים בתוך Microsoft Teams.

הגנה על Microsoft Teams באמצעות MCAS

הפלטפורמה של Microsoft Cloud App Security מאפשרת לבצע הגנה, מעקב וניטור לרבדים שונים הן לסביבת ענן והן לסביבה המקומית, וכוללת בין היתר הגנה על תשתיות, אפליקציות, ושירותי ענן צד שלישי.

הגנה, מעקב וניטור באמצעות Microsoft Cloud App Security נחלקת לשלושה אפשרויות מרכזיות המתבססות על API:

• הגנה מבוססת API ואינטגרלית שהיא חלק מובנה של Microsoft Cloud App Security
• הגנה ברמת Reverse Proxy המשלבת אפליקציות Office 365 נוספות
• הגנה ע"י פוליסי מוגדר מראש המבוסס Microsoft Cloud App Security

חשוב לציין כי האינטגרציה בין Office 365 לבין Microsoft Cloud App Security מתבססת על גבי API ולאחר מכן ניתן לעבוד עם אפשרויות נוספות.

הגנה, מעקב וניטור באמצעות Microsoft Cloud App Security מאפשרת לבצע הגנה על שירות Office 365 ועל כלל האפליקציות המרכזיות של Office 365 ובין היתר את Microsoft Teams, ומכן אנו יכולים לבצע פעולות אבטחה שונות למעקב, ניטור, מניעה ובקרה של פעולות משתמשים באפליקציית Microsoft Teams.

הגנה, מעקב וניטור של Microsoft Cloud App Security על Microsoft Teams נחלקת לאפשרויות הבאות:

הגנה באמצעות App Connectors

עובד על גבי API's מול Microsoft Cloud App Security בין אם מדובר על אפליקציות Legacy או אפליקציות מודרניות, והאינטגרציה נעשית מול כלל האפליקציות, למשל, חיבור ישיר מול Audit Logs, מעקב אחר פעולות אדמין ופעולות משתמשים, מעקב אחר כל לוג אשר נחשף מול Graph API וכן הלאה.

טיפ: התשתית של Microsoft Cloud App Security מאפשרת Visibiity מלא על כל אפליקציה בשירות Office 365 ולכן מספקת Visbility מלא ברמת הבורג.

איך מחברים? החיבור של Microsoft Cloud App Security מול Office 365 הוא פשוט ומצריך הרשאות Global Admin, רישוי מתאים של Microsoft Cloud App Security.

בממשק Microsoft Cloud App Security ניגשים לאפשרות Investigate ולאחר מכן בוחרים באפשרות Connected Apps

טיפ: דרך נוספת היא לגשת לאפשרות Settings ולאחר מכן לאפשרות App Conectors

לאחר מכן נבחר באפשרות של חיבור אפליקציה ולאחר מכן נחבר בשירות Office 365, ולאחר מכן נבחר באפשרות Connect Office 365, ובסיום נמתין שמידע קיים יסתנכרן או לחלופין מידע חדש יתחיל להיכנס אל Microsoft Cloud App Security.

כמה דגשים לגבי חיבור מול Office 365:

• חייב להיות רישוי ומשתמש מחובר לשירות Office 365
• חייב להיות משתמש עם רישוי מוגדר בשירות Microsoft Cloud App Security
• בכדי לקבל לוגים מתוך אפליקציות Office 365 אחרות מומלץ להפעיל לוגים בכל אפליקציה, למשל Mailbox Audit Logging
• במידה ועובדים עם Office 365 Groups הקבוצות יחוברו ויבצעו Import השירות של Microsoft Cloud App Security
• מומלץ להגדיר את האפשרויות של שיוך משתמשים אל Azure AD

הגנה באמצעות App Control

מתבססת על ארכיטקטורת Reverse Proxy עם אינטגרציה של Azure AD Conditional Access, ולכן השילוב יחד עם Microsoft Cloud App Security מאפשר לנהל בקרות גישה כולל פעולות אכיפה ומנע.

פעולות זיהוי ובקרה עשות על אותן פעולות מוכרות ותנאים של Azure AD Conditional Access, אך מכילות אפשרויות נוספות App Control המתבססות על Session Control, ןבין היתרניתן למנות את הפעולות הבאות:

• מניעת סינון נתונים ע"י חסימת הורדות, העתקה והדפסה של מסמכים רגישים, למשל על מכשירים לא מנוהלים.
• הגנה על הורדות ובמקום לחסום הורדת מסמכים רגישים, ניתן לאכוף תוויות ומסמכים מוגנים באמצעות Azure Information Protection, ולכן פעולה זו מבטיחה את הגנה על מסמך רגיש, וגישה של משתמשים מוגבלת להורדת סיכונים.
• מניעת העלאה של קבצים שאינם מסומנים, ולפני העלאת קובץ רגיש, ניתן לוודא כי הקובץ מכיל את ההגנה הנדרשת, ולכן ניתן לאכוף שקבצים עם תוכן רגיש ייחסמו מהעלאתם עד שיסווגו.
• מעקב אחר פעלות משתמשים לצורך Compliance, ולכן משתמשים בעלי סיכון מנוטרים כאשר הם ניגשים למשאב ארגוני בכל פעולה, ומכאן ניתן לתחקר תנהגות משתמשים בכדי להבין היכן, ובאילו תנאים, יש להחיל מדיניות הפעלה בעתיד.
• חסימת גישה באופן פרטני לאפליקציות ומשתמשים ספציפיים בהתאם לגורמי סיכון שונים.

איך מגדירים App Control? ניתן להגדיר מתוך ממשק Azure AD Conditional Access, בשלב ראשון יש להגדיר את התנאים הרגילים של אפליקציה, משתמש, מיקום וכן הלאה.

לאחר מכן להגדיר באפשרויות Session את התנאים הנוספים, לדוגמה, חסימת הורדת תכנים (למשל, Bloack Downloads), וכן אפשרות לשלוט בטוקן (ע"י Sign-in frequency) שהוא למעשה מגדיר את פרק הזמן לפני שמשתמש מתבקש להכניס שם משתמש וסיסמה שוב בעת ניסיון גישה למשאב ארגוני.

טיפ: אפשרות Sign-in frequency יכולה להיות מותנית עם משתמש אשר רשום ברמת Azure AD Device ולהתנהג אחרת

דגשים לגבי App Control:

• ניתן להחיל פרוקסי על כל כניסה יחידה אינטראקטיבית באמצעות פרוטוקולי אימות SAML 2.0 או Open ID Connect
• ניתן לבצע בקרת אפליקציות עבור אפליקציות המוגדרות באפליקציות Featured
• ניתן לבצע בקרת אפליקציות לכל יישום
• מצריך רישוי Azure AD Premium P1
• מצריך רישוי Microsoft Cloud App Security

הגנה באמצעות פוליסי Teams Policies

הגנה באמצעות MIcrosoft Teams Policies מספק מדיניות אכיפה להגנה על גבי התנהגות המשתמש בענן, כגון גילוי התנהגות מסוכנת, ביצוע אנומליות, ניסיונות לביצוע פעולות זדוניות וכל פעולה שאינה חלק מתוך מדיניות האבטחה של הארגון.

הפלטפרומה של Microsoft Cloud App Security מאפשרת יצירת פוליסי לפי קטגוריות שונות או לפי תבניות מוכנותץ, ובין היתר ניתן לפבנות פוליסי לפי הקטגוריות הבאות:

סוגי פוליסי קשורים לסוגי המידע השונים שנרמה לאסוף אודות סביבת הענן ולסוג הפעולות שמעונינים לאכוף. למשל, ישנם פוליסים מוכנים ומובנים:

• כאשר רמת הגישה של Channel משתנה מפרטית לציבורית
• כאשר משתמש ארגוני מוסיף משתמש חיצוני (Guest) נוסף לצוות
• כאשר משתמש מוחק מספר רב של תכנים מתוך Channel

טיפ: ניתן להגדיר פוליסי וחוקה לכל פעולה אשר מתבצעת באפליקצית Microsoft Teams

איך מגדירים? בממשק MCAS ניגשים אל Control ולאחר מכן אך Templates, ומשם נחפש פוליסי של Teams, ולכל פוליסי נבחר באפשרות של הוספה ומכאן כל פעולה תנוטר.

טיפ: אפשר ומומלץ להוסיף או לשנות את הפוליסי לפי מדיניות אבטחת המידע בארגון, למשל, התראה למי שמוציא מידע רגיש מתוך קבוצה.