微软Cloud App Security--概述(高级警报)

Cloud App Security为何物?

这个东西功能实在太多,太全,设置也较为复杂。一句话概括一下CAS(Cloud App Security)的话–一个集和了警报,用户行为控制,软件安全保障,所有细节的审计以及完美的报告呈现于一身的产品(90%覆盖到了)。

首先先看CAS的警报:
了解过了基本警报的做用跟设置,你会发现基本警报的覆盖面非常的窄,大多数的情况(SaaS App和用户行为)都无法覆盖到,而且对于细节的捕捉不够,很多需要的细节,比如IP地址,操作系统等等,这些细节要么在审计日志中,要么没有。

而Cloud App Security很好的解决了这些问题,这也是为什么把它称作高级警报。可以通过下图了解一下每一个活动所记录下来的内容:
除了基本的用户,IP地址,行为,软件,时间(审计日志和基本警报也差不多包含)。我们看到还包含了,地点,用户隶属OU和组,源,标签,IP类别(需要设置),ISP,还有就是使用的操作系统和预览器版本。
在这里插入图片描述
目前包含Cloud App Security的订阅类型:
Microsoft Cloud App Security + Enterprise Mobility & Security E3 (EMS E3)
Enterprise Mobility & Security E5 (EMS E5)
Microsoft 365 E5 Security
Microsoft 365 E5
Microsoft 365 Education A5
Office 365 E5
Azure AD Premium 1

来自:https://query.prod.cms.rt.microsoft.com/cms/api/am/binary/RE2NXYO

可以在安全与合规中心中,警报下面找到advanced alerts这一项。第一次打开的话会要求你点击一个勾选框“turn on cloud app security”。
在这里插入图片描述
老版本的office 365 管理员中心里也可以找到:
在这里插入图片描述
当然CAS(Cloud App Security)不单单只有报警那么简单:
用户行为的检测与控制:
如果只是单单扩展了警报的内容,那么也就类似一个高级审计日志而已,CAS可以设置策略(类似Data Loss Prevetion)在定义的类别下来非常细微的管控用户,软件行为:
在这里插入图片描述
因为本文是概述,我们先简单了解一下,演示会在后面的章节。比如这里打开File Policy–文件策略。看一下下面这张非常长的图(显示器不竖着放都截不下这张图,而且只能包含90%的信息,图也是缩小了10%)
在这里插入图片描述
信息量非常大,不看个几十页的官方文档你压根不知道从何入手,因为设置太多。简单概括一下这里包含的:
1.可选的策略模板
2.策略级别以及类别(与基本警报中的设置类似)
3.特定的用户行为(也是较为复杂的一项)–允许预览策略看是否目前有匹配项(类似自定义敏感信息的测试功能)
4.应用对象(分为人和物–文件)
5.检查方式(第二个较为复杂的设置)–设置也类似自定义敏感信息
6.警报设置(与基本警报中的设置类似)
7.管理–针对SPO和ODFB

可视化报告
我们在DLP,基本警报中看到的报告都是折线图,甚至审计日志还需要我们自己去生成报告,不管用Power BI还是Excel都麻烦,因为需要做数据处理。但是CAS给我们提供到的是一个可以直接拿来用的报告:
在这里插入图片描述
这里头学问也挺多,也简单说一下:
1.组织概览–检测了多少行为,文件,用户,软件等等
2.Open Alers类似公司helpdesk的案件处理,每个警报在IT过目后可以选择处理完毕
3.第二项的一个可视化
4.匹配的用户活动以及内容
5.触发警报最多的用户(本人最喜欢的一项)
6.地图
7.折线图–根据软件来分(毕竟名字叫cloud app security,有个app在这)

到这里你会意识到,这个CAS如果细讲,一篇博客3千字的话,10篇可能才够讲完。也的确是这样,所以后面的章节会采用情景模式,设置一个企业内部会碰到的实际情况来设置策略,让读者更有代入感的来理解。

  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值