Uitgebreide detectie mogelijkheden in (externe) cloud apps met Cloud App Security

Loading Likes...

Microsoft heeft onlangs een nieuwe feature toegevoegd aan Cloud App Security waarmee het mogelijk is om in verschillende (externe) cloud apps, privacy gevoelige informatie op te sporen. Nadat een bestand gedetecteerd is kan er een automatische actie uitgevoerd worden. Dit kan natuurlijk al deels met Data Loss Prevention en Azure Information Protection, maar met Cloud App Security zijn er meer mogelijkheden beschikbaar. Zo is het mogelijk om naast SharePoint en OneDrive ook bestanden in andere cloud apps detecteren, zoals in Yammer en Teams maar ook in externe apps: Box, SalesForce of Dropbox.


Verwachtte leestijd: 4 minuten

Scenario

De IT beheerder van Firma Het Klokje heeft op dit moment een beleid ingericht met Data Loss Prevention (DLP) dat er voor zorgt dat documenten waarin BSN nummers gedetecteerd zijn niet gedeeld mogen worden buiten de organisatie. Omdat hij meer inzage wilt hebben in de audit van dit bestand heeft hij in Cloud App Security een file based policy aangemaakt. Op het moment dat er een document gedetecteerd is ontvangt hij een e-mail waarna hij middels een link in de e-mail direct de audit van dit document kan inzien. Hij kan daar zelf besluiten om bijvoorbeeld het document direct in Quarantaine te plaatsen.

Beschikbare apps om te koppelen:

Office365 apps:

  • Exchange Online
  • OneDrive
  • PowerBI
  • Sharepoint Online
  • Teams
  • Yammer

Externe apps:

  • Amazone Web Services
  • Box
  • Dropbox
  • Google
  • Okta
  • SalesForce
  • ServiceNow

Verschillende mogelijkheden nadat een document gedetecteerd is:

  • Alerts instellen
    • Mail naar beheerder
    • Mail naar specifiek persoon
  • Document in Quarantine plaatsen
  • Gebruiker in Quarantine plaatsen
  • Document verwijderen
  • Audit op document (gedeeld met, geopend door)
  • AIP classificatie toepassen o.b.v. verschillende regels;
    • Bijvoorbeeld op een bestand dat gedeeld wordt met een privé email adres.
  • Rechten aanpassen van het document

Technische implementatie

Vereisten:

  • Microsoft Office365 licentie
  • Enterprise Mobility + Security E5 licentie

We starten met het aanmaken van een policy:

  1. Log in met een beheerder op de Cloud App Security portaal: https://*tenantnaam*.portal.cloudappsecurity.com
  2. Kies boven in het menu voor Control > Policies
  3. We gaan een nieuwe policy aanmaken, dus kies voor Create Policy > File Policy
  4. We nemen de opties één voor één door:

Policy Template

Je kan een template policy aanmaken en selecteren indien je vaak dezelfde policy wilt toepassen. Deze slaan we nu over.

Policy Name

Vul een naam in.

Description

Vul een omschrijving in.

Policy Severity

Geef de urgentie op.

Category

Selecteer een categorie waar het beleid thuishoort. Wat mij betreft heeft dit te maken met DLP.

Create a filter for the files this policy will act on

Met deze stappen gaan we bepalen wanneer het bestand herkent dient te worden. We hebben in het scenario beschreven dat het alleen van toepassing is voor documenten op SharePoint.

files matching all of the following

APP Equals Microsoft SharePoint Online

We geven hiermee aan dat de policy alle bestanden gaat controleren die opgeslagen zijn in SharePoint Online. Indien je externe apps gekoppeld hebt kan je die hier ook selecteren.

Ook is het mogelijk om meerdere regels toe te voegen, zoals een datum waarin een bestand aangemaakt of gewijzigd is.

Apply To

We kunnen binnen de geselecteerde apps zelfs nog verder inzoomen op bepaalde folders. Voor nu slaan we dit over, dus kiezen we voor All Files.

Apply For

We kunnen bepalen op welke gebruikers het beleid toegepast moet worden, of welke juist niet. Voor nu slaan we dit over, dus kiezen we voor All file owners.

Content Inspection

We gaan bepalen aan welke criteria het bestand moet voldoen om gevonden te worden. In ons scenario gaan we uit van een BSN nummer.

Omdat het BSN nummer niet in de standaard preset lijst voorkomt moeten we zelf een expressie toevoegen.

Voor een BSN nummer is dat: [0-9]{9}.

Meer informatie is te vinden op:

http://www.regexlib.com/UserPatterns.aspx?authorid=68539323-af96-4d50-92c2-28d3e2c66f9d

Je kan instellen hoe vaak dit gevonden moet worden om er een melding van te maken, of waarin gezocht moet worden.

Alerts

Nu het bestand gevonden is willen we een melding gaan sturen naar de beheerder. We schakelen alerts dus in en kiezen er voor om een email alert te versturen. Hier geven we het email adres op van de beheerder.

Governance

We kunnen nu ook een automatische actie laten plaatsvinden met het bestand. Hier zijn verschillende mogelijkheden voor, zoals het in quarantaine plaatsen van het bestand of het tijdelijk blokkeren van de gebruiker. (In de instellingen van je Cloud App Security geef je aan waar de quarantaine database staat.)

We hebben nu een policy aangemaakt waarbij er een alert gestuurd wordt naar de beheerder op het moment dat er een bestand herkend wordt op SharePoint waarin een BSN nummer voorkomt.

Alert mail

Dit is een voorbeeld van een email die een document herkend heeft.

Als we het rapport openen komen we terug in de Cloud App Security Portal. Hier kunnen we weer acties geven voor het gevonden bestand.

Conclusie

Met deze dienst in Cloud App Security is het dus mogelijk bestanden in verschillende online diensten automatisch te detecteren op basis van een vooraf bepaalde definitie. Op het moment dat er een bestand herkend is kunnen we verschillende acties laten uitvoeren, zoals het alarmeren van bepaalde personen of het blokkeren van het bestand.

 

Leave a Reply

Your email address will not be published. Required fields are marked *