Jeffrey Appel – Modern Workplace & Security blog https://jeffreyappel.nl Thu, 22 Oct 2020 22:16:53 +0000 nl hourly 1 https://wordpress.org/?v=5.3.4 Fast response with Azure AD Continuous Access Evaluation (CAE) and Conditional Access https://jeffreyappel.nl/fast-response-with-azure-ad-continuous-access-evaluation-cae-and-conditional-access/ https://jeffreyappel.nl/fast-response-with-azure-ad-continuous-access-evaluation-cae-and-conditional-access/#respond Thu, 22 Oct 2020 19:22:14 +0000 https://jeffreyappel.nl/?p=2843 Continuous Access Evaluation (CAE) for AzureAD is one of the latest functions and available in public preview. With this new technique, it is possible to respond much faster in comparison with the default token refresh. In the old situation a user accesses an online service like Exchange Online, Teams, or Office365. The requests are authorized via tokens issued by the AzureAD authentication provider. These are provided at the point a successful authentication takes place, with a default validity of one hour. For security response is an hour too long. In this blog the usage of Azure AD Continuous Access Evaluation (CAE) to speed up the process with Continuous Access.

Introduction Azure AD Continuous Access Evaluation

Continuous access evaluation is a feature in Previews as part of Azure Active Directory. The new function gives more control for the token lifetime and evaluates in real-time Conditional Access Policies and user Changes in comparison to the traditional lifetime of a token. Default 1 hour.

When a client application like Microsoft Teams connects to a service like Teams Online, the API requests are authorized using OAuth 2.0 access tokens. By default, those access tokens are valid for one hour. After the default timings the client is redirected back to AzureAD and requests a new token for the refresh/ extend. This token is the Access Token Lifetime property.

Now the following example; as IT admin you need to block a user directly from the AzureAD portal due to a huge data security breach. In this situation, each minute counts and the default token for 1 hour is too long. This is the part where Continuous access evaluation comes in. Let’s take a look.  Editorial note; Of course you can use more Microsoft toolings like Information Protection or Data Loss prevention to solve this issue (: 


Continuous Access Evaluation – The tech part

Currently Continuous access Evaluation works for different types of scenarios. For now the following scenarios are supported:

  • Elevated user risk detected by Azure AD Identity Protection
  • User Account is deleted or disabled
  • Password for a user is changed or reset
  • Multi-factor authentication is enabled for the user
  • Administrator explicitly revokes all refresh tokens for a user

Not all app and resource combinations are supported. In the table below the specific combinations for the web-access and app access. For a good visual view on mobile devices; Source Microsoft

CONDITIONAL ACCESS POLICY EVALUATION (PREVIEW)
Outlook Web Outlook Win32 Outlook iOS Outlook Android Outlook Mac
SharePoint Online Supported Supported Not Supported Not Supported Supported
Exchange Online Supported Supported Supported Supported Supported
CONDITIONAL ACCESS POLICY EVALUATION (PREVIEW)
Office web apps Office Win32 apps Office for iOS Office for Android Office for Mac
SharePoint Online Not Supported Supported Supported Supported Supported
Exchange Online Not Supported Supported Supported Supported Supported

Client-side claim challenge

By default clients would always try to reply to the access token from its cache as long the token is not expired. With the CAE technique the resource provider can reject a token even when it is not expired. Claim challenge is the new mechanism to indicate the token reject. CAE requires a client update to understand the latest claim challenge available for the new function. Currently the following apps are supported with the latest version:

  • Outlook Windows
  • Outlook iOS
  • Outlook Android
  • Outlook Mac
  • Outlook Web App
  • Teams for Windows (Only for Teams resource)
  • Teams iOS (Only for Teams resource)
  • Teams Android (Only for Teams resource)
  • Teams Mac (Only for Teams resource)
  • Word/Excel/PowerPoint for Windows
  • Word/Excel/PowerPoint for iOS
  • Word/Excel/PowerPoint for Android
  • Word/Excel/PowerPoint for Mac

Continuous Access Evaluation Protocol (CAEP)

Important note about the access token lifetimes: source: Microsoft docs)

Because risk and policy are evaluated in real time, clients that negotiate continuous access evaluation aware sessions will rely on CAE instead of existing static access token lifetime policies, which means that configurable token lifetime policy will not be honored anymore for CAE-capable clients that negotiate CAE-aware sessions. Token lifetime is increased to be long lived, up to 28 hours, in CAE sessions. Revocation is driven by critical events and policy evaluation, not just an arbitrary time period. This change increases the stability of applications without affecting security posture.

 


Activate the CAE preview

To activate the preview of CAE. Sign in to the Azure Portal with one of the following roles;

  • Conditional Access Administrator
  • Security Administrator
  • Global Administrator

Now go to Azure Active Directory > Security (2) > Continuous access evaluation (3)

For the activation of CAE select the button; enable preview and select a group of users. The default is set to all users/groups.

Integration with Conditional Access

The CAE function works with Conditional Access. For a demo, we have a situation where the clients leave the company network and switch to a phone hotspot and use the already active Outlook web application (1-hour login token). All networks outside corporate are blocked.

Create CA: 

User and groups: Select specific user or group

Cloud apps or actions: All cloud apps

Conditions: Select include any location, and exclude all trusted locations. The first screenshot shows the include any location action. The second screenshot shows the exclude for all trusted locations.

Now configure the access control on block access and enable the policy.

The result:

When switching to a mobile hotspot or another non-enterprise trusted network the only issue: if there is a session active the application is not closed directly based on the default token time. This is the part where Continuous access evaluation comes in.


Continuous Access Evaluation in action

For the best visibility, two short videos. The first without CAE, the latest video with CAE enabled: Both videos with realtime timings. 

Note; the network adapter step is to switch the network from corporate to a mobile hotspot for a block action based on the CA rule created before.

CAE disabled: 

CAE enabled: 

 

The above situations are based on CAE + Conditional access location-based. Of course it is possible to create more combinations. More Microsoft services, such as Dynamics and Azure, will be enabled in the future.

Sources:

Announcement: Moving towards real time policy & security enforcement

Docs.microsoft.com: Continuous access evaluation

]]>
https://jeffreyappel.nl/fast-response-with-azure-ad-continuous-access-evaluation-cae-and-conditional-access/feed/ 0
Microsoft Defender for Office 365: Check protection policies with Configuration Analyzer https://jeffreyappel.nl/microsoft-defender-for-office-365-check-protection-policies-with-configuration-analyzer/ https://jeffreyappel.nl/microsoft-defender-for-office-365-check-protection-policies-with-configuration-analyzer/#respond Tue, 20 Oct 2020 18:58:48 +0000 https://jeffreyappel.nl/?p=2819 Microsoft Defender for Office 365 is one of the three types of Advanced Threat Protection that Microsoft offers. With Microsoft Defender for Office 365 it is possible to secure the organization with advanced security features that keep you protection cybersecurity threats.

At the moment e-mail is one of the most pervasive and powerful forms of communication in a working environment.  E-mail is still widely used worldwide for business and communication with colleagues and customers. For malware and attacks a good first start point. Due to the growing number of need for online communication, email remains a top security concern or for some a weakness in 2020. When it comes to email security, classic antivirus software will never block advanced social attacks.

Today more and more versions of email risks are developing. For example; Spear-phishing, spoofing, phishing, spam, viruses, ransomware, insider threats. Much more than just one spam mail. Time to secure the environment.

In this blog post, I want to show how you can use Microsoft Defender for Office 365 and the usage of the Configuration Analyzer. (release September/ October 2020)

Note; The features described in this topic are in Preview


What is Microsoft Defender for Office 365

Office 365 Advanced Threat Protection is the old based naming convention. Microsoft Defender for Office 365 is the new name of the product.

The Microsoft Defender products are renamed to a new branding; Editorial note; The post is based on the new Microsoft 365 naming convention

  • Microsoft 365 Defender (previously Microsoft Threat Protection).
  • Microsoft Defender for Endpoint (previously Microsoft Defender Advanced Threat Protection).
  • Microsoft Defender for Office 365 (previously Office 365 Advanced Threat Protection).
  • Microsoft Defender for Identity (previously Azure Advanced Threat Protection).

Microsoft Defender for Office 365 is a cloud-based email filtering service that can help protect organizations from unknown malware and viruses. It can protect organizations with features like zero-day protection, unsafe attachments, and malicious links.

A view of threat protection:

What are the parts?

Prevention: Filtering stack including business email compromise, credential phishing, ransomware, and advanced malware.

Detection: AI-based detection of malicious and suspicious content and correlates attack patterns to identity campaigns designed to evade protection

Investigation and hunting: Powerful experiences help identify, prioritize, and investigate threats, with advanced hunting capabilities to track attacks across Office 365.

Response and remediation: Extensive incident response and automation capabilities amplify your security team’s effectiveness and efficiency.

Awareness and training: Simulation and training capabilities along with integrated experiences within client applications build user awareness.

Secure posture: Recommended templates and configuration insights help customers get and stay secure.


Product and license:

Microsoft Defender for Office 365 comes in two different Plan types. The understand features are limited for

Plan1:

Plan2: All of the Plan 1 +

 

Microsoft Defender for Office365 Plan 2 is included in Office 365 E5, Office 365 A5, Microsoft 365 E5 Security, and Microsoft 365 E5. Plan 1 is included in Microsoft 365 Business Premium. The Safe Documents feature is only available for users with Microsoft 365 E5 or Microsoft 365 E5 Security.


Check your policies using Configuration Analyzer

Configuration Analyzer is a new tool to analyze the environment to find and fix security issues when the settings are below Standard protection and Strict protection profile settings from the preset security policies.

Configuration analyzer is based on the following types of policies:

  • Exchange Online Protection (EOP) policies
  • Office 365 Advanced Threat Protection (ATP) policies
    • ATP anti-phishing policies
      • Spoof settings
      • Impersonation settings
      • Advanced phishing thresholds
    • Safe Link policies
    • Safe Attachments policies

The analysis is based on the Standard and Strict baseline. The settings values can you find on the Microsoft website 

Start with the Analyzer

Before you use the Configuration Analyzer you need to install the Exchange Online Powershell command. For the use and the change of some security settings if needed the following roles are required:

  • Organization Management or Security Administrator in the Security & Compliance Center
  • Organization Management or Hygiëne Management in Exchange Online

Read-only access is possible with the Security Reader role in Security & Compliance Center or View-Only Organization Management in Exchange Online.

For the tooling go to the Security & Compliance Center:

  • Go to Security & Compliance Center / URL; protection.office.com
  • Click on Threat Management (1)
  • Click on Policy (2)
  • Click on Configuration analyzer (3)

Now you can see the Configuration analyzer dashboard with the tab Setting and recommendations. On the dashboard page, you can switch to Standard and Strict. For the switch;

Click on the text button; View Standard recommendations or View Strict recommendations.

Standard recommendations view:

Strict recommendations view:

In the view the settings are listed in different types of policies:

ATP Safe Attachments and ATP Safe Links are only available if your subscription included a license.

In the above view, you can see the different types of policies. Here you see the ATP Safe Attachments and ATP Safe Links settings configured based on the strict profile following the Microsoft Default. In the Anti-spam and Anti-phishing group, there a 7 and 12 recommendations. Let’s take a look:

Click now on Anti-spam for a collapsed view. If the comparison has no recommendations for improvement (green), expanding the policy reveals nothing. If there are any number of recommendations for improvement (amber or red), the settings that require attention are listed in the view with the following columns:

In the view:

  • Setting name: Name of the settings. For example in the above screenshot the setting Spam detection action.
  • Policy: Name of the policy where the settings are configured
  • Applied to: The number of users that the affected policies are applied to
  • Current configuration: This column listed the current value of the setting
  • Last modified: The date that the policy was last modified
  • Recommendations: The value of the setting from the Standard or Strict protection profile. For a direct change, click on adopt.

Based on the configuration the strict policy gives 7 recommendations for the anti-spam policy group with settings related to bulk email, quarantine retention, phishing email detection.

For the anti-phishing the following policies are detected:

When the policy is configured following the strict or standard recommendations the settings showed a green button.


Adopt the recommendations

Adopting policies is easy from the view. For this; Go to the Policy group, select the setting, and click on Adopt.

Info; the settings are configured from a Microsoft-based recommendation profile. Check always for possible conflicts and issues. See the tooling as an extra check and help-tool to possibly detect configuration issues. 

Now click on confirm to change the current setting for bulk e-mail threshold from 7 to 4.

The status changed to green, with the info text; Recommendations successfully


Sources:

Microsoft; Office 365 Advanced Threat Protection service description

Microsoft; Microsoft Defender for Office 365 informational page

 

]]>
https://jeffreyappel.nl/microsoft-defender-for-office-365-check-protection-policies-with-configuration-analyzer/feed/ 0
Block low reputation apps or newly detected cloud apps with Microsoft Defender for Endpoint, MCAS and Endpoint Manager https://jeffreyappel.nl/block-low-reputation-apps-or-newly-detected-cloud-apps-with-microsoft-defender-for-endpoint-mcas-and-endpoint-manager/ https://jeffreyappel.nl/block-low-reputation-apps-or-newly-detected-cloud-apps-with-microsoft-defender-for-endpoint-mcas-and-endpoint-manager/#respond Thu, 15 Oct 2020 18:02:01 +0000 https://jeffreyappel.nl/?p=2787 One of the benefits of Microsoft 365/ Microsoft Endpoint is the interaction across all the different products. With the connection between multiple products. I want to show how you can use multiple products from Microsoft to blocking apps with a Low Reputation or Upload to a new detected cloud provider. 

A good example is the integration between Microsoft Defender, Security protection features on Windows 10 endpoints, and integration with Microsoft Defender for Endpoint/ Cloud App Security. All the features are connected and linked. Through the integration of Microsoft Cloud App Security (MCAS) and Microsoft Defender for Endpoint, it is possible to block access to certain URLs or IP addresses.

Based on the information available in Cloud App Security, the app’s domains are used to create domain indicators in the Microsoft Defender for Endpoint portal. Windows Defender blocks the apps with the Exploit Guard Network Policy. The result;

For the example to block apps with a Low Reputation or upload to a newly detected cloud provider; the following tools are used:

  • Microsoft Endpoint Manager; For the settings on the cliënt
  • Microsoft Defender for Endpoint; For the interaction with Microsoft Cloud App Security
  • Microsoft Cloud App Security; For the app protection and detected data based on low reputation and newly detected providers.

For Microsoft Cloud App Security and Microsoft Defender for Endpoint you need to have a Microsoft 365 E5 license.

There are some prerequisites; for more information see ->  Information Microsoft

In short, you need minimal;

Editorial note; The post is based on the new Microsoft 365 naming convention

  • Microsoft 365 Defender (previously Microsoft Threat Protection).
  • Microsoft Defender for Endpoint (previously Microsoft Defender Advanced Threat Protection).
  • Microsoft Defender for Office 365 (previously Office 365 Advanced Threat Protection).
  • Microsoft Defender for Identity (previously Azure Advanced Threat Protection).

Microsoft Endpoint Manager Client settings

For the network protection, we are going to configure a Device Configuration Policy in Microsoft Endpoint Manager with a target to the devices. The settings are based on the Endpoint Protection and Device Restrictions settings.

Configuration

  • Go to Microsoft Endpoint Manager
  • Open Devices (10)
  • Click on Configuration Profile (11)
  • Click on Create profile (12)
  • Select platform; Windows 10 and later (13)
  • Select profile Device restrictions (14)

Configure the following settings;

Enable Real-Time monitoring and Behavior monitoring as a minimal setting. Of course, you can enable more features to secure the workspace. The settings listed in red are a minimal requirement for blocking apps based on MCAS data.

Enable cloud-delivered protection

 

 

For Prompt users before sample submission, select Send all data without prompting or Send all samples automatically. 

Now we need to configure the network filtering option. For configuring the network filtering create a new profile and select as profile; Endpoint Protection.

To block outbound connection from any app to low reputation IP/domain or URL enable the Network protection setting. It is recommended to use Network Protection first in audit mode to test the outcome.

Now deploy both profiles to a user or device group from Microsoft Endpoint Manager.


Microsoft Defender for Endpoint  configuration for interaction between MCAS and Defender for Endpoint 

Next for the integration, you need to set up the interaction between MCAS and Microsoft Defender for Endpoint.

  • Open Microsoft Defender for Endpoint portal
  • Go to Settings -> Advanced Features

Now activate the Custom network indicators and Microsoft Cloud App Security integration. For the Custom network indicators, a requirement is minimal Windows 10 1709.


MCAS configuration for pushing unsanctioned apps to Microsoft Defender for Endpoint 

In Microsoft Cloud App Security MCAS we need to set up the integration to Microsoft Defender for Endpoint for blocking unsanctioned apps from Cloud App Security.

  • Open the MCAS portal
  • Open settings
  • Go to Microsoft Defender ATP (3) and enable the setting; Block unsanctioned apps (4) 

Now the settings are activated on the endpoint, Microsoft Defender for Endpoint  integrates with MCAS and configured for the custom network indicators. The final configuration is to blocking apps from the MCAS portal.

 


Block apps in MCAS

Difference between cloud app catalog and discovered apps

The Cloud Discovery dashboard is designed to give you more insight into how cloud apps are being used in your organization. 

The Cloud App Catalog gives you a full picture of what Cloud Discovery identifies. Cloud Discovery analyzes your traffic logs against Microsoft Cloud App Security’s cloud app catalog of over 16,000 cloud apps. 

Cloud app catalog

Discovered apps

Go to the Discovered Apps portal in MCAS. If you enabled the integration between Microsoft Defender for Endpoint and MCAS the view is based on used apps in the organization for the last 90 days of information.

The name Win10 Endpoint users is a continuous report that included data from Defender for Endpoint

Click on the Score column to sort the list from 0 upwards and see apps with a low rating. Click the app to view more information and view why the app gets a low score. File Dropper is a good example;

For more information about File Dropper; click on the icon/ title. Now you can see the app information overview page. Here you can find the usage, app info, users, machines, alerts.

The info gives more information about the app and the score

Block apps

For blocking the app. Click the unsanctioned tag under actions:

Now the app is blocked;

After clicking the block button it takes a couple of time before the URLs are listed in the Microsoft Defender for Endpoint portal.


Automatic unsanctioned actions based on risky score and category cloud storage

In addition to manually blocking applications, automatic blocking is even more interesting. In Cloud App Security, you can create a rule that automatically blocks all applications based on a condition.

For example; To automatically unsanctioned any app with a low score (0-2 for example) and listed in the category Cloud storage:

Go to; policy – Create Policy – App discovery policy. 

The example in the screenshots detects apps with a risk score 0-2 in the category of cloud storage.

To block the app, it is required to configure the Governance actions: In addition to automatic blocking, it is also possible to approve apps automatically with the rule. For an automatic block; Tag app as unsanctioned


Automatic unsanctioned actions based on newly detected cloud storage

For example; To automatically unsanctioned newly detected cloud storage apps used by more than 50 users with total daily usage of more than 50MB. Go to Control -> Policies and create a new policy based on the template; New cloud storage app.

Shortly after you create this rule apps that fall into the category will be tagged as unsanctioned. Before you enable this rule it would be wise to check the list of apps.

For the alerts and Governance actions:


Check Microsoft Defender for Endpoint

Defender for Endpoint listed the app filedropper after the Cloud App Security action.


Device result

Now we open the website Box you will see that it is automatically blocked via Defender SmartScreen.

Microsoft Edge: 

Internet Explorer:

Chrome:  


Incident alerting Security Center

The rule is configured with the option; Alert and Block. After starting the connection to a blocked cloud application. Microsoft Defender for Endpoint created the alert.

Sources:

Microsoft: https://docs.microsoft.com/en-us/windows/security/threat-protection/microsoft-defender-atp/microsoft-defender-advanced-threat-protection

Microsoft Cloud App Security: https://docs.microsoft.com/en-us/cloud-app-security/

 

]]>
https://jeffreyappel.nl/block-low-reputation-apps-or-newly-detected-cloud-apps-with-microsoft-defender-for-endpoint-mcas-and-endpoint-manager/feed/ 0
Collect Microsoft Teams activity in Azure Sentinel and start hunting https://jeffreyappel.nl/collect-microsoft-teams-activity-in-azure-sentinel-and-start-hunting/ https://jeffreyappel.nl/collect-microsoft-teams-activity-in-azure-sentinel-and-start-hunting/#respond Tue, 29 Sep 2020 19:02:41 +0000 https://jeffreyappel.nl/?p=2779 Azure Sentinel is a cloud-native security information and event manager platform. (SIEM). Sentinel uses AI to analyze large volumes of data. Azure Sentinel is developed based on existing Azure services. Log Analytics and Logic apps are part of the foundation. 

What is Azure Sentinel?

Sentinel is built on Azure Log Analytics. It collects information from various security logs. Sentinel gives a couple of default connectors; for example; Azure Active Directory, Azure Activity, Azure DDoS Protection, Azure Firewall, Azure Information Protection, Cloud App Security. Non Microsoft related data connectors are also present examples; Barracuda Web Application Firewall, Check Point, Cisco ASA, SyberArk, F5 networks, Fortinet, Okta SSO, Orca Security Alerts, Palo Alto Networks, Symantec and more. More information; https://docs.microsoft.com/en-US/azure/sentinel/connect-data-sources

If you wanted to have Microsoft Teams events audit data to Azure Sentinel it is possible to use the native Microsoft Teams Data included in the O365 data connector. Before Teams data was available by using a Logic App. Since 8/31/2020 Teams Data is included inside the O365 data connector.

In this blog post, I want to show how you can use the O365 data connector to use Teams data inside Azure Sentinel with a couple of KQL queries. Quick note; the data connector is still in public preview.


Connect Microsoft Teams logs to Azure Sentinel.

Prerequisites before connecting Teams.

  1. You must have read and write permissions on your Azure Sentinel workspace.
  2. You must be a global administrator or security administrator on your tenant.
  3. Your Office 365 deployment must be on the same tenant as your Azure Sentinel workspace.

If you wanted to have Microsoft Teams events audit data to Azure Sentinel;

  • Open Azure Sentinel
  • Select Data connectors

  • From the data connectors screen(1) select the Office 365 data connector(2) For the configuration select Open connector page (3).

  • Select Microsoft Teams to be included inside the Office365 data set. The Office 365 dataset is including Exchange and Sharepoint data. Teams Preview is the activity specific for the teams usage.


Testing data

Verify and testing the data flow is possible following different methods. After applying the above setup it takes some time (20minutes) before the data is available in the Log Analytics workspace. The data flow can be verified from the connector page itself or with a KQL.

First, go to the data connector and verify the data types data.

KQL

Use the below KQL for discover Teams data from the Log Analytics workspace. Inside the KQL results, a couple of operations are available. See the next topic for the specific Teams events.

OfficeActivity
| where OfficeWorkload == “MicrosoftTeams”
| sort by TimeGenerated

In the above screenshots, the operation is based on the TeamSessionStarted. For example; the operation MemberAdded is available to detect newly added users, and of course deletion of a user is also available.

Azure Sentinel connect to the Office365 Management Activity API to get the recent Teams data. The specific Teams events are listed inside the Audit.General category. The following activities are available from the discovered data. For more API information; the Microsoft information page; https://docs.microsoft.com/en-us/office/office-365-management-api/

  • Friendly name
  • Added bot to team
  • Added channel
  • Added connector
  • Added members
  • Added tab
  • Changed channel setting
  • Changed organization setting
  • Changed role of members in team
  • Added bot to team
  • Added channel
  • Added connector
  • Added members
  • Added tab
  • Changed channel setting
  • Changed organization setting
  • Changed role of members in team
  • Changed team setting
  • Created team
  • Deleted all organization apps
  • Deleted app
  • Deleted channel
  • Deleted team
  • Installed app
  • Performed action on card
  • Published app
  • Removed bot from team
  • Removed connector
  • Removed members
  • Removed tab
  • Uninstalled app
  • Updated app
  • Updated connector
  • Updated tab
  • Upgraded app
  • User signed in to Teams

A good example is the TeamDeleted operation:
In the screenshot below a scenario to investigate deleted teams.

1: Operation: TeamDeleted action
2: Team Name: TeamName
3: UserID: User who deleted specific Team

This makes it a possibility to quickly search through Teams Data for deleted teams activities


KQL – New Teams application added

OfficeActivity
| where TimeGenerated > ago(7d)
| where isnotempty(AddonName)

In this particular case, if the Teams audit logs are collected you find new applications added inside Teams. Listed with the TeamName, AddonName, and Operation. For example, you see the addon’s Email Connector, Praise and YouTube.

Result;

OfficeActivity
| where OfficeWorkload == “MicrosoftTeams”
| sort by TimeGenerated
| where Operation has “BotAddedToTeam”
| project UserId,AddonName,TimeGenerated,RecordType,Operation,UserType,OfficeWorkload

With this KQL it is possible to create alerts and notify the SOC/ Security Team when a new bot has been added to the Team.


KQL – Member Role Changed

OfficeActivity
| where TimeGenerated > ago(7d)
| where Operation =~ “MemberRoleChanged”
| where Members contains “Role” and Members contains “1”

In this particular case, you can verify the member role changed inside a specific team.

KQL – Team created

OfficeActivity
| where OfficeWorkload == “MicrosoftTeams”
| sort by TimeGenerated
| where Operation has “TeamCreated”
| where UserId has “UPN value here”
| project UserId,AddonName,TimeGenerated,RecordType,Operation,UserType,OfficeWorkload

Filtering alerts based on a specific person is possible. For this use the where UserId has “UPN value here” and specify the UPN.
In the screenshot the UserID teams created results are listed. This can be used for specific user-related events.


KQL – Multiple teams deteted

The below KQL can be used for detection if a user delete multiple teams. Let max-delete = 5 specify the max delete value.

Let max_delete = 5;
let time_window = 7d;
let deleting_users = (
OfficeActivity
| where OfficeWorkload == “MicrosoftTeams”
| where TimeGenerated > ago(time_window)
| where Operation =~ “TeamDeleted”
| summarize count() by UserId
| where count_ > max_delete
| project UserId);
OfficeActivity
| where OfficeWorkload == “MicrosoftTeams”
| where TimeGenerated > ago(time_window)
| where Operation =~ “TeamDeleted”
| where UserId in (deleting_users)
| project-away Members


Dashboard

It is possible to display the data in a Azure Sentinel dashboard. Some examples:

List recent deleted teams and show the UserID:

OfficeActivity
| where OfficeWorkload == “MicrosoftTeams”
| where Operation == “TeamDeleted”
| project TimeGenerated, TeamName, UserId
| sort by TimeGenerated desc


For all the operations runned by a specific userID.

OfficeActivity
| where OfficeWorkload == “MicrosoftTeams”
| summarize count() by UserId
| sort by count_ desc

Graphical view with the recent operations inside the Teams workload.

OfficeActivity
| where OfficeWorkload == “MicrosoftTeams”
| summarize count() by Operation, bin(TimeGenerated, 1d)

Visualization Settings:

  • Visualization: Area Chart
  • Size: Medium
  • Legend: Sum of Values
  • Chart Groups: Automatic
  • Columm selection: Automatic


Azure Sentinel helps you to detect, alert, investigate and resolve security incidents quickly. It provides many ways to collect and analyze data.

Sources

Microsoft Secure your Calls: https://techcommunity.microsoft.com/t5/azure-sentinel/secure-your-calls-monitoring-microsoft-teams-callrecords/ba-p/1574600

]]>
https://jeffreyappel.nl/collect-microsoft-teams-activity-in-azure-sentinel-and-start-hunting/feed/ 0
Microsoft Endpoint Data Loss Prevention: Blokkeren van USB bestandstransfers https://jeffreyappel.nl/microsoft-endpoint-data-loss-prevention/ https://jeffreyappel.nl/microsoft-endpoint-data-loss-prevention/#respond Wed, 23 Sep 2020 19:05:25 +0000 https://jeffreyappel.nl/?p=2709 Databeveiliging en classificatie is belangrijk. Een datalek via een verkeerde aanzender of toegang tot externe databronnen is snel gemaakt, waardoor er vervolgens geen mogelijkheid en controle is op de data. In de huidige tijd is de beveiliging van data belangrijk. 

Microsoft Endpoint Data Loss Prevention

Data, cloud en modern werken

In het verleden was toegang tot data vrij eenvoudig via een VPN of één directe koppeling. Tegenwoordig zijn er vele cloudtoepassingen en is veelal via de cloud te bereiken. Naast de basis zoals bijvoorbeeld MFA en Identity beveiliging als Password Protection is het beschermen en beveiligen van data zeker een belangrijk item.

Naast cloud-applicaties hebben we tegenwoordig ook te maken met flexibele werkplekken als bring your own devices, en online toegang tot de applicaties. In dit blog een toelichting over het gebruik van Microsoft Data Loss prevention om data kopieën naar externe opslagmediums te blokkeren.

Microsoft Data Loss Prevention

Microsoft 365 Data Loss prevention is een oplossing van Microsoft welke ingezet kan worden voor het beveiligen van gevoelige informatie. Hiermee voorkom je ongewenste verspreiding van data buiten de organisatie. Met Data Loss Prevention is het voor bedrijven mogelijk om te voldoen aan de standaarden als GDPR.

Binnen Microsoft Data Loss Prevention is er een Breede ondersteuning van cloud producten zoals Mail, SharePoint, Microsoft Teams en OneDrive. Hiermee is de dekking niet alleen gericht op data, maar ook op de online chat en samenwerkings producten. Vrij recent is de mogelijkheid toegevoegd om Windows 10 devices te configureren.

Microsoft Data Loss Prevention beschikt over de mogelijkheid om te integreren met de Microsoft Information Protection labels. Hiermee is het mogelijk om data te beveiligen op basis van de classificatie labels.

Voorbeeld; Wanneer de gebruiker data een classificatie meegeeft van “hoog vertrouwelijk” is het wensenlijk om deze data te beschermen en in het netwerk te houden. Via Data Loss Prevention is het mogelijk om deze data te protecten. Ook voorbeelden als het printen van gevoelige data of het uploaden naar niet vertrouwde browsers komen regelmatig voor in de praktijk.

Endpoint Data Loss prevention

Endpoint Data Loss prevention beschikt over een nieuwe functionaliteit waarmee configuraties mogelijk zijn op de Windows 10 endpoints en devices. Endpoint Data Loss prevention een geldige A5/E5 licentie. Zie onderstaand overzicht voor de verschillende licenties.

In dit blog gaan we in op het beveiligen van hoog vertrouwelijke data naar externe mediums als een USB en externe schijf, om te voorkomen dat medewerkers buiten het netwerk data kunnen kopiëren. In een vervolg blog gaan we dieper in op Endpoint DLP, met ook integratie tot de classificatie labels en incident afhandeling.

Minimale voorwaarden

Endpoint Data Loss prevention vereist een aantal requirements.

  • Minimaal Windows 10 1809
  • Windows 10 devices gekoppeld aan AzureAD of Hybrid on-premise
  • Device monitoring geactiveerd
  • Microsoft Edge based on Chromium (voor de cloud activiteiten)
  • Geldige licentie waaronder een van onderstaande;
    • Microsoft 365 E5
    • Microsoft 365 A5 (EDU)
    • Microsoft 365 E5 compliance
    • Microsoft 365 A5 compliance
    • Microsoft 365 E5 information protection and governance
    • Microsoft 365 A5 information protection and governance

Device monitoring activeren

Device monitoring onboarding is een vereiste voor de configuratie. Om de onboarding te configureren zijn onderstaande stappen vereist:

  • Open de Microsoft Compliance Portal
  • Klik vervolgens op Settings(1) -> Device onboarding(2)   (Let op; vooralsnog is de functionaliteit een preview)

  • Klik vervolgens op de button ‘Turn on device onboarding’

Vervolgens worden de devices welke al zijn toegevoegd in Microsoft Defender ATP toegevoegd aan de devices. De onboarding van nieuwe devices is mogelijk via de onboarding optie. Deze methode is hetzelfde als de Microsoft Defender ATP onboarding.

Voor een handmatige onboarding/offboarding:

  • Open de device onboarding
  • Klik op onboarding / offboarding
  • Selecteer vervolgens een van de opties en download de onboarding /offboarding package-file.

Indien de devices aanwezig zijn in MDATP zal het even duren voordat de devices ook aanwezig zijn in de portal. De devices zullen zichtbaar zijn onder ‘devices’

 

Indien gewenst is het via de devices pagina ook mogelijk om device monitoring te deactiveren. De deactivatie is mogelijk via de button; Turn off device monitoring


Policy configureren

De basis is geconfigureerd. Nu is het vereist om een policy aan te maken om in de praktijk ook een copy actie te blokkeren naar een extern medium. Voor het aanmaken van een policy:

  • Open de Microsoft Compliance Portal
  • Ga naar Policies (1) – Data Loss Prevention (2)

  • Klik op Create policy (preview) (3)

Vanuit de policy wizard is het mogelijk om op basis van GDPR templates de data te beveiligen. In dit geval gaan we voor een custom policy.

Extra info; De templates zijn verdeeld in de categorieën (Financial, Medical and Health, Privacy). Onder Privacy/ GDPR valt onder andere de informatie;  EU Debit Card Number, Driver License Number, Passport Number etc.

Als eerste is het van belang om een DLP policy naam op te geven en eventueel een beschrijving.

Vervolgens is het een vereiste om de locatie op te geven. Hierbij geef je aan waar de policy actief zal worden. Voor de blokkade van de opslag op USB medium is de optie Devies (preview) vereist. Hiermee is de Data Loss Prevention policy actief voor endpoint-apparaten. De locaties; Exchange e-mail, Sharepoint Sites, OneDrive accounts en Teams chat and channel messages zijn gericht op de cloud.

De actie in dit geval is een block naar verwijderbare media(USB). Hierbij is er een keus tussen de volgende opties;

  • Block
  • Audit only
  • Block met mogelijkheid tot aanpassen door gebruiker

Naast USB is het ook mogelijk om overige media, zoals Print en Netwerkshares te blokken op device niveau via de devices configuratie. In het geval van USB is het specifiek onderstaande setting:

In onderstaande geval gaat het om een block with override. Als actie is het mogelijk om de setting ook te configureren op; Block of Audit Only

 

Wanneer de actie is geconfigureerd als block is het niet mogelijk om data te kopiëren naar een verwijderbare media.

Vervolgens is het een mogelijkheid om notificaties te versturen wanneer er een actie zal plaatsvinden welke overeenkomst met de configuratie. Dit is bijvoorbeeld toepasbaar voor een security alert richting een centraal servicedesk systeem ter registratie van een mogelijk incident.

De policy is hierbij geconfigureerd. Wanneer actief kan het ongeveer 1 uur duren voordat de policy ook effect heeft op de systemen.


Blokkeren van uploads richting browsers

Voor bijvoorbeeld het blokkeren van uploads naar niet ondersteunende browsers is het mogelijk om gebruik te maken van de setting: Upload to cloud services or access by unallowed browsers. Voor deze configuratie;

  • Open Microsoft 365 Compliance
  • Klik op Policies
  • Open Data Loss Prevention

De settings zijn te configureren onder; Endpoint DLP Settings (preview)

Voor het uitsluiten van een browser tijdens een upload is de settings; Browser and domein restrictions to sensitive data aanwezig;

Als voorbeeld zijn de browsers; Opera, SeaMonkey en Avast Secure Browser aangegeven als unallowed browsers.


MIME

Endpoint DLP werkt op basis van MIME, hierdoor maakt het niet uit of de bestandsextensie gewijzigd zal worden om het beleid te omzeilen. De public preview beschikt over ondersteuning tot een aantal extensies.

USB opslag en meer

In dit geval is de configuratie alleen gericht op USB-opslag. Dit is een van de mogelijkheden om bedrijfsinformatie te verspreiden buiten de organisatie. Naast USB-opslag zijn de volgende configuraties via de Endpoint Data Loss prevention ook te configureren:

activity on item auditable/restrictable
created auditable
renamed auditable
copied to or created on removable media auditable and restrictable
copied to network share, e.g. \my-server\fileshare auditable and restrictable
printed auditable and restrictable
copied to cloud via Chromium Edge auditable and restrictable
accessed by unallowed apps and browsers auditable and restrictable

 


In de praktijk

In de praktijk werkt de configuratie als volgt;

Bij het kopiëren van een file naar een extern medium ontvangt de gebruiker een melding. In onderstaande geval gaat het om een actie welke overschreven kan worden via een Allow. Wanneer een block is geconfigureerd zal de optie; Allow verdwijnen

Part 2…  In een vervolg blog gaan we dieper in op Endpoint DLP, met ook integratie tot de classificatie labels en rapportage/  incident afhandeling.

Bronnen:

Microsoft; https://techcommunity.microsoft.com/t5/microsoft-security-and/announcing-public-preview-of-microsoft-endpoint-data-loss/ba-p/1534085

Microsoft; https://docs.microsoft.com/en-us/microsoft-365/compliance/endpoint-dlp-learn-about?view=o365-worldwide

 

 

]]>
https://jeffreyappel.nl/microsoft-endpoint-data-loss-prevention/feed/ 0
Inzicht in Brute-force & Password spray attack via Azure Sentinel https://jeffreyappel.nl/inzicht-in-brute-force-password-spray-attack-via-azure-sentinel/ https://jeffreyappel.nl/inzicht-in-brute-force-password-spray-attack-via-azure-sentinel/#respond Thu, 10 Sep 2020 20:03:08 +0000 https://jeffreyappel.nl/?p=2657 Azure Sentinel is een cloud-native Security Information Event Management-oplossing, ook wel bekend als een SIEM-oplossing. Azure Sentinel is cloud-native ontwikkeld op het schaalbare Azure platform en maakt gebruik van meerdere bestaande Azure services. In dit blog een toelichting over de detectie van Brute-force & Password spray attack via Azure Sentinel. 

Wat is Azure Sentinel?

Azure Sentinel is cloud-native gebaseerd en gericht en ontwikkeld op het Azure platform welke gebruik maakt van bestaande Azure toepassingen en services.

Om een overzicht te geven is de volledige analyse gericht op Log analytics. Dit platform maakt al jaren onderdeel uit van het Azure Monitor platform. Via KQL (kusto query language) is het mogelijk om gebruik te maken van de query’s.

Gebruiksvriendelijkheid is belangrijk, om deze reden heeft Microsoft ervoor gekozen om een tal van connectors standaard beschikbaar te stellen.

Aan de slag met de data

Door de vele connectors en informatie-bronnen is het vrij eenvoudig om eigen dashboard te ontwerpen welke eenvoudig inzicht geven in bepaalde security handelingen. In dit blog een toelichting over de kracht van Azure Sentinel als het gaat om het weergave van de volgende componenten:

  • Brute force
  • Password spray attack
  • Weergave in dashboard en visuele map weergave.

Voor de Azure Active Directory data connector is het een vereiste om te beschikken over minimaal een Azure AD Premium P1 licentie. Om te beginnen een korte toelichting van de Brute force & password spray attack.

Brute-force attack

Een veelgebruikte methode om ergens digitaal in te breken, is via een brute-force attack. De kwaadwillende gebruikt hierbij verschillende combinaties wachtwoorden, totdat de juiste combinatie is gevonden en een inlogpoging mogelijk is. Hierbij is een brute force vaak gericht tot een enkel account met behulp van bijvoorbeeld een password file. Vooral zwakke inlognamen- en wachtwoorden zijn extra gevoelig voor een brute-force attack.

Password spray attack

Password spray attack is gericht op het verkrijgen van toegang via vaak single sign-on SSO en cloud applicaties voor een grotere groep gebruikers met veel gebruikte wachtwoorden. Hierbij gebruiken kwaadwillenden een flinke lijst met wachtwoorden voor een tiental accounts in de organisatie. Bij een dergelijke aanval probeert een hacker wachtwoorden te raden door met veel voorkomende wachtwoorden in te loggen op meerdere accounts. Dat kan met willekeurige gebruikersnamen of op basis van een bewuste lijst met gebruikersnamen. Vaak is deze informatie vrij eenvoudig te vinden op mediums als LinkedIn. En is het alleen het achterhalen van de juiste conventie zoals; voornaam.achternaam@ of voornaamachternaam@

Via de juiste toolings zijn beide activiteiten in te zien. AzureAD beschikt over de locatie en overige inloggegevens, hierbij is het mogelijk om via een query of custom dashboard de data inzichtelijk te krijgen.

Connector in Azure Sentinel

In Azure Sentinel is het een vereiste om de Azure Active Directory connector te configureren om hiermee de SigninLogs te verkrijgen. Op basis van de SigninLogs is het mogelijk om via KQL (Kusto Query Language) de informatie via een query inzichtelijk te krijgen. Uiteraard is het mogelijk om de query te gebruiken als analytics rule of hunting rule.

Voor de Azure Active Directory data connector is het een vereiste om te beschikken over minimaal een Azure AD Premium P1 licentie.

Voor het koppelen van de connector in Azure Sentinel ga naar;

  1. Ga naar Azure Sentinel
  2. Open de Azure Sentinel workspace
  3. Configuration -> Data connectors

Bekijk de toelichting van Microsoft voor het koppelen van data connectors.


Query’s

Onderstaande KQL query’s zijn een aantal basis query’s en vereisten uiteraard aanpassingen naar de omgeving, zoals whitelisting van geldige IP’s.

Brute force attack

In onderstaande voorbeeld is de KQL query gericht op de events 50126 en 50053. Tip; gebruik de error viewer van Microsoft. Hierbij is zichtbaar dat een user is “aangevallen” vanuit meerdere IP adressen vanuit meerdere landen. Een vakantie trip is hiermee vrij snel te uit te sluiten als het gaat om meerdere IP’s en locatie’s.

Error Code 50126
Message Error validating credentials due to invalid username or password.
Remediation The user didn’t enter the right credentials.  It’s expected to see some number of these errors in your logs due to users making mistakes.
Error Code 50053
Message The account is locked, you’ve tried to sign in too many times with an incorrect user ID or password.
Remediation The user is blocked due to repeated sign-in attempts. See https://docs.microsoft.com/azure/active-directory/identity-protection/howto-unblock-user

 

KQL Brute force attack

// brute force attack event 50126 50053
SigninLogs
| where ResultType == “50126” or ResultType == “50053”
| project Identity, Location, IPAddress
| summarize IPs = dcount(IPAddress), Locations = make_set(Location) by Identity
| where IPs > 1
| sort by IPs desc

Password spray attack

]]>
https://jeffreyappel.nl/inzicht-in-brute-force-password-spray-attack-via-azure-sentinel/feed/ 0
Inzage in malware via Cloud App Security en acties via de Microsoft threat intelligence engine https://jeffreyappel.nl/inzage-in-malware-via-cloud-app-security-en-acties-via-de-microsoft-threat-intelligence-engine/ https://jeffreyappel.nl/inzage-in-malware-via-cloud-app-security-en-acties-via-de-microsoft-threat-intelligence-engine/#respond Mon, 17 Aug 2020 21:34:52 +0000 https://jeffreyappel.nl/?p=2491 Microsoft Cloud App Security is geplaatst als Cloud App Security broker in het landschap van Microsoft en heeft meerdere mogelijkheden welke aansluiten op het security eco-systeem van Microsoft. In een eerder blog was al te lezen dat het mogelijk was om verdachte Teams-activiteiten te monitoren via Microsoft Cloud App Security. In dit blog een toelichting van de aanvullende malware detectie via Microsoft Cloud App Security welke gebruik maakt van de Microsoft’s threat intelligence engine. 

Wat is Microsoft Cloud App Security?

Allereerst een toelichting op; wat is Cloud App Security? Microsoft Cloud App Security is een Cloud App Security Broker (CASB) welke is voorzien van een standaard set van configuraties, templates en mogelijkheden bevat tot integratie met Microsoft producten en online diensten.

Voorwaarden

Cloud App Security is niet in de basis licentie van Microsoft 365 te vinden. Om gebruik te maken van MCAS is er een user-licentie vereist met toegang tot het product; o.a de volgende soorten zijn beschikbaar:

  • Microsoft 365 E5
  • Microsoft 365 E5 Security
  • Enterprise Mobility & Security E5 (Office 365 Cloud App Security
  • Microsoft Cloud App Security + Enterprise Mobility & Security E3
  • Microsoft 365 Education A5

Het volledige overzicht van de licentie is te vinden in de Cloud App Security Licensing datasheet.

In dit blog gaan we uit van een bestaande Microsoft Cloud App Security inrichting.

Malware detectie

Sinds de Cloud App Security release 178 is er een nieuwe functionaliteit toegevoegd. Het gaat hierbij om real-time malware detectie welke gebruik maakt van het krachtige Microsoft threat Intelligence platform tijdens het downloaden en uploaden van files naar cloud producten. De nieuwe detectie is sinds release 178 algemeen beschikbaar.

Met de nieuwe malware detectie policy zijn er een aantal mogelijkheden. Naast inzage ook mogelijk om malware te blokkeren tijdens een upload naar de cloud of een download vanaf de cloud.

Aanmaken Cloud App Security policies

Het aanmaken van de malware detection policies is vrij eenvoudig en is op basis van een bestaande policy.

  • Login op de MCAS portal
  • Ga naar Control -> Policies -> zoek vervolgens op malware
  • Als resultaat is de Malware detection policy te vinden.

  • Klik op Edit policy

Tijdens het configureren van de malware detection policy zijn er een aantal configuraties mogelijk gericht op de alerts. Zoals je kan zien tijdens het configureren is het niet mogelijk om de Microsoft threat Intelligence te deactiveren. De instelling File sandboxing is wel mogelijk als configuratie.

Bij alerts is het mogelijk om het dagelijkse limit te veranderen en eventueel een alert te versturen per mail of sms-bericht.

Resultaat

Gevonden resultaten worden weergeven in de alerts van Cloud App Security. Ook het dashboard geeft duidelijk een overzicht met de laatste resultaten.

Bij de uitgebreide details van de melding is er meer zichtbaar;

Hierbij zijn de volgende gegevens zichtbaar:

  1. Document naam en eigenaar
  2. App waarin document is ontdekt met aantal samenwerkers
  3. Het volledige pad van het document ( door te klikken op view hierachy zie je de volledige mapstructuur)
  4. Eigenaar van het bestand
  5. Created/ modified datums
  6. Classificatielabel

Alerts

Bij de alerts is er meer informatie te vinden over de malware detectie en de gevonden malware/ status en de methode waarop de malware is gevonden.

Vanuit de MCAS portal zijn er verschillende acties beschikbaar, waaronder het bekijken van gerelateerde alerts. Vanuit de MCAS portal is het mogelijk om het bestand direct te verwijderen vanuit de originele locatie.

2. Aanmaken automatische acties

Vaak ben je al te laat als de eerste detectie is gevonden. Vanuit MCAS is het ook mogelijk om via Session policies specifieke acties te blokkeren. Voor deze functionaliteit heeft Microsoft extra informatie.

Block malware tijdens upload

Om de malware te blokkeren tijdens het uploaden; de files worden hierbij door de Microsoft threat intelligence engine gescand, en bij foutieve resultaten geblokkeerd. Via Session policies is het ook mogelijk om de malware te blokkeren op een download actie.

Om beide templates te configureren;

  • Login op de MCAS portal
  • Ga naar Control -> templates -> zoek vervolgens op Malware
  • Als resultaat zijn de volgende templates te vinden;
    • Block upload of potential malware (based on Microsoft Threat Intelligence)
    • Block download of potential malware (based on Microsoft Threat Intelligence)
  • Klik op het + icoon voor het aanmaken van de Session Policy

Belangrijk tijdens de configuratie ( waarbij de meeste waarde’s vanuit de template zijn ingevuld) is de Session control type. Voor de block upload van potentiële malware staat deze op; Control file upload ( with inspection).

Via een activity source is de waarde geconfigureerd indien het device als Intune Compliant of Hybrid Azure AD Joined is aangegeven de policy niet van toepassing is. Hierbij is de configuratie gericht op de non-compliant/ niet-zakelijke devices.

 

Bij acties is het mogelijk een tweetal waarde’s te configureren; waaronder test/ block. Met een block van de upload heb je de mogelijkheid om de gebruiker op de hoogte te brengen via een e-mail notificatie. Uiteraard is het ook mogelijk om de events te laten weergeven in de MCAS portal.

3. Conditional Access

Bovenstaande Session Policy is te activeren via een Conditional Access regel. Voor het koppelen van de Conditional Access regel:

  • Open Microsoft Endpoint Manager admin center
  • Klik op Devices -> Conditional access
  • Klik op new policy
  • Configureer vervolgens de Conditional Access regel.

User and groups:

Klik op Users and Groups, vervolgens is het van belang dat bij de include een filter is ingesteld. In dit geval select users and groups met daarbij de selectie van een enkele testgebruiker. Uiteraard zijn hierop verschillende configuraties en variaties mogelijk.

Bij exclude is het vanwege mogelijke excludes aangeraden om een Global Administrator ( break glass accounts) uit te filteren van de setting. In dit geval Directory roles: Global administrators. 

Cloud Apps or actions

Selecteer Cloud Apps en configureer All cloud apps hiermee is de configuratie gericht op alle connected cloud apps.

Session

Selecteer Session en activeer de setting: Use Conditional Access App Control. Vervolgens is het mogelijk om de App Control actie te configureren. Selecteer hierin use custom policy. 

Met deze setting worden de downloads volgens de eerder toegewezen configuraties geblokkeerd op de browser-sessies.

Resultaat van upload EICAR testvirus/malware

Tijdens een upload van een EICAR testvirus/malware is het gedrag goed te zien. Voor deze test is er een EICAR testfile geüpload in txt formaat. Vervolgens tijdens het uploaden komt de melding duidelijk in beeld:

Via de optie; Customize block message is het mogelijk om aanvullende context te geven. Denk hierbij bijvoorbeeld aan contactgegevens van de servicedesk om contact op te nemen bij vragen. Via de session policy is dit veld vrij te configureren.

Resultaat van upload EICAR testvirus/malware in Cloud App Security

Ook in Cloud App Security is afhankelijk van de notificatie en melding instelling het gedrag goed zichtbaar. Indien ingesteld zal er een alert aangemaakt worden met daarin de block upload of potential malware details.

Resultaat in Cloud App Security activity log

Vanuit de activity log is het mogelijk om vanuit een overzicht de acties te bekijken. Om de activity log te filteren op de potential malware;

  • Ga naar Cloud App Security
  • Klik op Investigate-> Activity Log
  • Klik rechtsboven op Advanced of alt + F om de advanced view te openen.

Vervolgens is ook inzichtelijk dat de malware detection scan is voltooid, met daarbij de file namen en aanvullende informatie.

Bronnen:

Microsoft: Cloud App Security technical documentation

Microsoft: Malware detection for Cloud App Security

]]>
https://jeffreyappel.nl/inzage-in-malware-via-cloud-app-security-en-acties-via-de-microsoft-threat-intelligence-engine/feed/ 0
Downloads blokkeren via Conditional Access App Control vanuit Microsoft Endpoint Manager https://jeffreyappel.nl/downloads-blokkeren-via-conditional-access-app-control/ https://jeffreyappel.nl/downloads-blokkeren-via-conditional-access-app-control/#respond Fri, 10 Jul 2020 22:53:41 +0000 https://jeffreyappel.nl/?p=2574 Microsoft Cloud App Security is een behoorlijk uitgebreid product met verschillende mogelijkheden en toepassingen. In een eerder blog was al te lezen dat het mogelijk was om verdachte Teams-activiteiten te monitoren via Microsoft Cloud App Security. In dit blog een toelichting op de session policy welke is gericht op het blokkeren van een bestand via Conditional Access/ Conditional Access App Control.  

Wat is Microsoft Cloud App Security?

Allereerst een toelichting op de vraag, wat is Cloud App Security? Microsoft Cloud App Security is een Cloud App Security Broker (CASB) welke is voorzien van een standaard set van configuraties, templates en mogelijkheden bevat tot integratie met Microsoft producten en online diensten.

Voorwaarden

Cloud App Security is niet in de basis licentie van Microsoft 365 te vinden. Om gebruik te maken van MCAS is er een aanvullend abonnement vereist met toegang tot het product; o.a de volgende soorten zijn beschikbaar:

  • Microsoft 365 E5
  • Microsoft 365 E5 Security
  • Enterprise Mobility & Security E5 (Office 365 Cloud App Security
  • Microsoft Cloud App Security + Enterprise Mobility & Security E3
  • Microsoft 365 Education A5

Het volledige overzicht van de licentie is te vinden in de Cloud App Security Licensing datasheet.

In dit blog gaan we uit van een bestaande Microsoft Cloud App Security inrichting.

Conditional Access App Control

Conditional Access App Control geeft de mogelijkheid om user sessies door een reverse proxy te laten verlopen. Waarmee specifieke acties mogelijk zijn zoals een blokkade op de downloads tijdens de sessie.

De situatie:

In onderstaande blog gaan we uit van het volgende voorbeeld. Een gebruiker opent OneDrive vanuit een onbeheerde werkplek via de browser, deze werkplek is niet compliance en beheerd bij de organisatie. Vanuit de Conditional Access regelen sturen we de sessie door naar de reverse proxy van Cloud App Security om vervolgens de download te blokkeren via een session policy.

De configuratie

Voor het blokkeren van downloads zijn er verschillende mogelijkheden. Onderstaande is een van de mogelijkheden welke beschikbaar is. Allereerst open we de Microsoft Endpoint Manager portal.

  • Klik vervolgens op Policy -> New Policy

De Conditional Access policy zoals hieronder geconfigureerd gaat uit van een scenario waarbij er een scope is gericht op een testuser met als uitzondering van een Global Administrator directory role waarbij alle cloudapps onderdeel zijn van de configuratie.


User and groups:

Klik op Users and Groups, vervolgens is het van belang dat bij de include een filter is ingesteld. In dit geval select users and groups met daarbij de selectie van een enkele testgebruiker. Uiteraard zijn hierop verschillende configuraties en variaties mogelijk.

Bij exclude is het vanwege mogelijke excludes aangeraden om een Global Administrator uit te filteren van de setting. In dit geval Directory roles: Global administrators. 


Cloud Apps or actions

Selecteer Cloud Apps en configureer All cloud apps hiermee is de configuratie gericht op alle connected cloud apps.


Conditions

Qua gebruiksvriendelijkheid is het niet wensenlijk om de download block te richten op zakelijke devices. Via een Device state is het mogelijk om hierop uitzonderingen te maken. Configureer de setting op yes, en selecteer vervolgens: Device Hybrid Azure AD joined en Device marked as compliant.

Hiermee zal de conditional access regel toegepast worden op alle devices met als uitzondering de zakelijke beheerde devices met een Hybrid Azure AD joined registratie of compliant status.


Session

Selecteer Session en activeer de setting: Use Conditional Access App Control. Vervolgens is het mogelijk om de App Control actie te configureren. Selecteer hierin Block downloads (preview). 

Met deze setting worden de downloads volgens de eerder toegewezen configuraties geblokkeerd op de browser-sessies.


In de praktijk

Nu de policy is geactiveerd, is het vooral van belang wat de gebruiker zal zien bij een nieuwe sessie. Hierbij is de sessie gestart vanaf een werkplek welke niet is gericht op; “Device Hybrid Azure AD joined” en “Device marked as compliant”.

Het grootste verschil met een normale sessie is de verwijzing richting Cloud App Security welke zich inzet als een reverse proxy. Dit geeft als resultaat de volgende meldingen met duidelijk in de URL verwijzing naar de control suite van Cloud App Security.

Downloaden files vanuit OneDrive:

Vervolgens bij het downloaden van OneDrive vanuit een browser-sessie zie je direct de blokkade actief worden.

Hierbij komt de Download is geblokkeerd  melding in beeld met daaronder een toelichting dat het downloaden niet mogelijk is vanuit een beveiligingsbeleid. In de downloadbalk van de browser zie je wel dat er files worden gedownload, echter zijn dit TXT bestanden met daarin de melding van de block.

De TXT bevat de originele naam en een toelichting reden van de blokkade.

Downloaden files vanuit Outlook

Vanuit Outlook is het gedrag hetzelfde, en zie je aan de URL dat de Outlook omgeving is voorzien van protectie.

Outlook inclusief monitoring vanuit Cloud App Secuity
Outlook zonder monitoring vanuit Cloud App Secuity

Vervolgens is de melding vergelijkbaar met de download vanuit OneDrive. En is er opnieuw een TXT file met daarin de waarde’s.

Conclusie:

Bovenstaande is slechts een simpel voorbeeld wat mogelijk is met Microsoft Cloud App Security (MCAS). Ook met de Conditional Access App Control zijn er meer mogelijkheden. Bovenstaande geeft wel snel resultaat als het gaat om apparaten welke niet zijn verbonden aan de organisatie. Hiermee is het mogelijk om data binnen de deuren van het bedrijf te houden.

Meer uitgebreide mogelijkheden in combinatie met Conditional Access zullen in volgende blogs uitgebreid besproken worden.

Bronnen: 

 

]]>
https://jeffreyappel.nl/downloads-blokkeren-via-conditional-access-app-control/feed/ 0
Apps vanuit Cloud App Security blokkeren via Microsoft Defender ATP + Microsoft Endpoint Manager https://jeffreyappel.nl/apps-vanuit-cloud-app-security-blokkeren-via-microsoft-defender-atp-microsoft-endpoint-manager/ https://jeffreyappel.nl/apps-vanuit-cloud-app-security-blokkeren-via-microsoft-defender-atp-microsoft-endpoint-manager/#respond Wed, 08 Jul 2020 06:30:18 +0000 https://jeffreyappel.nl/?p=2532 Microsoft Defender ATP is de Advanced Threat Protection dienst van Microsoft. Bij Microsoft gaan de ontwikkelingen snel, waarmee er steeds meer functionaliteiten en integraties beschikbaar komen voor de Microsoft Defender suite en cloud security producten.  

Microsoft Defender ATP (MDATP) is een uniform platform welke actieve detect, investigate and respond mogelijkheden geeft in een centrale cloud gebaseerde omgeving.

In dit blog een toelichting over de mogelijkheden van Defender ATP als het gaat om het blokkeren van niet-goedgekeurde apps op basis van Microsoft Cloud App Security.

Introductie: Het komt vaak voor, dat er een wildgroei ontstaat van verschillende cloudapps – waarmee de data en de controle niet meer in controle is binnen de organisatie. Qua beheer is één uniforme app qua opslag met daarbij de toegepaste security een goede manier. Maar hoe zorg je als IT ervoor dat er geen wildgroei zal ontstaan met cloudapps welke de gebruikers zelf kunnen aanmaken, waarmee de controle vanuit de IT-afdeling weg is? Een oplossing is Shadow IT discovery via Microsoft Cloud App Security en een integratie met Defender ATP voor de blokkade. De configuratie zal toegevoegd worden vanuit Microsoft Endpoint Manager op de devices.

Hiermee is dit blog gericht op een situatie waarmee een niet goedgekeurde app geblokkeerd zal worden in Microsoft Cloud App Security. Vervolgens komt er via de custom indicator feature van Microsoft Defender ATP een block op de endpoint van Windows via network protection.

Minimale eisen

Om te starten met de MDATP/ Cloudapp Security is het volgende nodig:

  • Windows 10 Enterprise E5/A5 of een trial
  • Toegang tot Microsoft Defender Security portal
  • Toegang tot Microsoft Cloud App Security portal
  • Beheerde Windows 10 werkplek inclusief minimaal de versie;
    • Windows 10 version 1709 (OS Build 16299.1085 incl. KB4493441)
    • Windows 10 version 1803 (OS Build 17134.704 incl. KB4493464)
    • Windows 10 version 1809 (OS Build 17763.379 incl. KB4489899) of een latere editie.

Configuratie

Configuratie in Microsoft Defender Advanced Threat Protection

Laten we beginnen met de configuratie van MDATP, open hiervoor de Microsoft Defender Security Center portal en ga naar settings -> advanced features om zowel de Custom network indicators als Microsoft Cloud App Security integratie te activeren.

De custom network indicators settings is vereist om uiteindelijk op basis van de MCAS resultaten de apps te blokkeren. Hiervoor is minimaal Windows 10 1709 vereist met network protection in block mode. Voor een configuratie vanuit Intune is er later in dit blog een beschrijving te vinden.


Configuratie in MCAS

Voor de configuratie in MCAS zijn de volgende stappen vereist;

  • Ga naar MCAS portal
  • Open Settings

  • Open vervolgens Microsoft Defender ATP (3) onder het item Cloud Discovery en activeer de setting: Block unsantioned apps. (4) 


Configuratie in Microsoft Endpoint Manager

Op de werkplek zijn er een aantal settings vereist voor de juiste configuratie en opties voor het blokkeren van apps en sites. Op de site van Microsoft is hiervoor een uitgebreide toelichting te vinden.

Het is vereist om de volgende configuratie te configureren via Microsoft Endpoint Manager.

  • Real-time protection
  • Cloud-delivered protection
  • Network protection geconfigureerd op block mode
  • Smartscreen

Voor het configureren van Real-time protection.

  • Open Microsoft Endpoint Manager admin center
  • Ga naar devices (10)
  • Configuration profiles (11)
    • Create profile (12)
    • Platform: Windows 10 and later (13)
    • Profile: Device restrictions (14)
  • Doorloop vervolgens de stappen voor het aanmaken van een profiel.

Configureer nu minimaal de volgende waarde’s welke in rood zijn aangegeven* voor een optimale bescherming zijn meer settings vereist in het device restriction profiel. Onderstaande gaat alleen uit van wat nodig is voor de cloud app block. 

Microsoft Defender SmartScreen

Defender antivirus

Network filtering

Network protection is via verschillende manieren te configureren, waaronder via Microsoft Endpoint Manager, Powershell, Registry of Configuration Manager. Bekijk de toelichting van Microsoft.

Voor Microsoft Endpoint Manager is onderstaand een voorbeeld van de configuratie voor Windows 10. De configuratie is vergelijkbaar met bovenstaande, alleen is het het profile type hierbij Endpoint protection.

Via Powershell is de network protection functionaliteit ook te activeren. Gebruik hiervoor:

Set-MpPreference -EnableNetworkProtection enable

Vervolgens check de waarde EnableNetworkProtection, indien waarde 1 is NetworkProtection geactiveerd.

Nu is de configuratie voltooid in zowel MCAS, MDATP en op de device via Intune/ Microsoft Endpoint Manager. In de praktijk kunnen we nu de applicaties blokkeren en het resultaat bekijken.


Block apps in Cloud App Security

In de Cloud App Security portal zijn verschillende apps te vinden in de application catalog. Op moment van schrijven zijn er 16.657 apps te vinden.  Voor het blokkeren van apps zijn de volgende stappen vereist;

De Cloud app catalog heeft een aantal functionaliteiten. Zo zijn de apps verdeeld in categorieën. Bijvoorbeeld IT services, CRM en Health. In de actiebalk zijn er diverse acties te vinden; waaronder een app search, app tag menu, risk score, compliance risk factor en security risk factor.

App tag menu: Weergeeft alle apps met de status:  Sanctioned, None of Unsanctioned


Risk Score: Geeft de mogelijkheid om de apps te filteren op een risk score.


Compliance risk factor: Geeft de mogelijkheid te filteren op risk factor volgens de compliance richtlijn, bijvoorbeeld ISO 27001 of COPPA.


Security risk factor: Geeft de mogelijkheid om te filteren op security risk factor. Bijvoorbeeld file sharing of data classification:


App blokkeren

Het blokkeren van een app is vrij eenvoudig. Laten we als voorbeeld nemen de clouddienst Box.

Bij Actions is het mogelijk om de app goed te keuren of te blokkeren;

Na het blokkeren duurt het ongeveer 30 tot 60 munten voordat de URLs/domains via de custom indicators zijn geblokkeerd en zichtbaar zijn in de MDATP portal. Vanuit de Microsoft Defender Security Center is goed te zien dat alle URL’s/domains met een relatie tot Box vanuit Cloud App Security zijn aangemaakt.


Block apps automatisch in Cloud App Security

Apps automatisch blokkeren via Cloud App Security is een mogelijkheid – hierbij is het mogelijk om een afhankelijkheid te maken op bepaalde condities.

Voor het aanmaken van een automatische policy voor het blokkeren van apps;

  • Open Cloud App Security
  • Ga naar policiesCreate PolicyApp discovery policy

Als voorbeeld met een simpele match op Risk Score 0-2 en categorie cloud storage.

Om de app vervolgens te blokkeren is het vereist om de Governance actions te configureren: Naast het automatisch blokkeren is het ook mogelijk om met de regel apps automatisch goed te keuren. Voor een automatisch block; Tag app als unsanctioned


Inzage in cloudapp discovery dashboard

Vanuit het cloud discovery dashboard is het mogelijk om inzage te krijgen in het huidige verkeer in de app welke is aangegeven als block/ unsanctioned.

Om te bekijken welke apps worden gebruikt is inzage goed mogelijk in de Discovered apps weergave. Op basis hiervan kan je besluiten om een app te blokkeren.

Klik je vervolgens op de app, zal er zich een overzichtspagina openen  met daarin specifieke informatie, zoals het aantal users, totale traffic en gebruikers welke het meest gebruik maken van de cloud app. Ook algemene informatie over de app is zichtbaar zoals security en compliance beleid.

Uitgebreide rapportage zullen we toelichten in een vervolg blog.


In de praktijk:

Openen we nu de website Box zal je zien dat deze automatisch is geblokkeerd via Defender SmartScreen.

Microsoft Edge: 

Internet Explorer:

Chrome: 

In de MDATP portal zal er vervolgens een melding verschijnen wanneer er een connectie is geblokkeerd.

Vanuit de Microsoft Defender Security Center zie je vervolgens ook de URL’s welke zijn geblokkeerd, hiervoor ga je naar; Settings -> Indicators -> URLs/Domains:


Bronnen: 

Microsoft: Block Access to Unsanctioned Apps with Microsoft Defender ATP & Cloud App Security

Microsoft Enable network protection: https://docs.microsoft.com/en-us/windows/security/threat-protection/microsoft-defender-atp/enable-network-protection

Microsoft Create indicators for IPs and URLs/domains: https://docs.microsoft.com/en-us/windows/security/threat-protection/microsoft-defender-atp/manage-indicators#create-indicators-for-ips-and-urlsdomains-preview

Microsoft Sanctioning/unsanctioning an app: https://docs.microsoft.com/en-us/cloud-app-security/governance-discovery#BKMK_SanctionApp

]]>
https://jeffreyappel.nl/apps-vanuit-cloud-app-security-blokkeren-via-microsoft-defender-atp-microsoft-endpoint-manager/feed/ 0
Microsoft Defender ATP web content filtering; Zo werkt deze functionaliteit https://jeffreyappel.nl/microsoft-defender-atp-web-content-filtering-zo-werkt-deze-functionaliteit/ https://jeffreyappel.nl/microsoft-defender-atp-web-content-filtering-zo-werkt-deze-functionaliteit/#respond Mon, 06 Jul 2020 21:35:02 +0000 https://jeffreyappel.nl/?p=2509 Microsoft Defender ATP is al een tijd als preview te vinden in Microsoft Defender ATP – sinds 6 juli is hierop een wijziging geweest vanuit Microsoft. Het is vanaf nu niet meer vereist om een aparte licentie af te nemen voor dit product bij Cyren. De dienst is nu standaard aanwezig in het Microsoft Defender ATP product en te gebruiken met een E5 licentie. Hiermee komt er een essentiële functionaliteit beschikbaar voor Microsoft Defender ATP. In dit blog een toelichting van de configuratie en inrichting. 

Web content filtering

Het grootste voordeel van de wijziging is de volledigheid op kosten. Er is hierdoor geen aparte licentie vereist voor de web content filtering functionaliteit. Ook voor de bestaande implementaties is het eenvoudig om om te schakelen naar het nieuwe model zonder Cyren abonnement.

Cyren Partner integration verwijderen

Het is eenvoudig om de reeds bestaande partner integration te verwijderen. Volg hiervoor de volgende stappen:

  • Ga naar Azure Active Directory > App Registrations 
  • Zoek naar de app welke is geregistreerd voor de Cyren dienst
  • Selecteer de applicatie en verwijder de applicatie in zijn geheel

Meer informatie over de wijziging is te vinden op de website van Microsoft.  

Minimale eisen

Om te starten met web protection is het volgende nodig:

  • Windows 10 Enterprise E5/A5 of een trial
  • Toegang tot Microsoft Defender Security portal
  • Windows 10 met minimaal 1903 voor de beste ervaring met SmartScreen
  • Network protection geactiveerd op de devices

Configuratie

Omdat Web protection nu onderdeel is van Microsoft Defender ATP ben je niet meer vereist om een Cygen trial aan te vragen. Allereerst open de Microsoft Defender Security Center portal en ga naar settings -> advanced features om de Web content filtering functionaliteit te activeren.

Aanmaken device group

Voor de test/ pilot is het aangeraden om een device group met test devices aan te maken, hiermee voorkom je dat de settings beschikbaar worden voor alle devices in de organisaties. Voor deze actie is het vereist om een Role group aan te maken welke is gebaseerd op een AzureAD groep.

Voor het aanmaken van een testgroep:

  • Open Microsoft Defender Security Center
  • Open Settings
  • Vervolgens onder Permissions klik op Device groups (1)
  • Klik op Add device group (2)
  • Vul een naam in (3)
  • Selecteer een automation level (4)
  • Maak vervolgens een member match voor de devices (5)
  • Selecteer vervolgens bij User access de User access Azure AD group

Aanmaken Web content filtering rules

Voor het aanmaken van de web content filtering rules is bovenstaande groep een vereiste indien de scope is gericht op een selecte groep devices. Zeker voor de test is dit wel aangeraden. Voor het aanmaken van een web content filtering rule;

  • Ga naar settings binnen de Microsoft Defender Security Center portal (6)
  • Klik op Web content filtering (7)
  • Klik op Add Item (8)

Tijdens het aanmaken van de settings zijn er verschillende configuraties mogelijk. Allereerst is de Policy name vereist. In dit geval een policy gericht op gaming.

Blocked categories is bedoeld om de specifieke web content groepen aan te geven welke vereist zijn in de policy. De categorieën zijn verdeeld in verschillende groepen met daaronder opties. Games valt onder Leisure. Vooralsnog zijn de categorieën, met daaronder de nodige subcategorieën :

  • Adult content
    • Cults
    • Gambling
    • Nudity
    • Pornography/Sexually explicit
    • Sex education
    • Tasteless
    • Violence
  • High bandwidth
    • Download sites
    • Image sharing
    • Peer-to-peer
    • Streaming media & downloads
  • Legal liability
    • Child abuse images
      Criminal activity
    • Hacking
    • hate & intolerance
    • Illegal drug
    • Illegal software
    • School cheating
    • Self-harm
    • Weapons
  • Leisure
    • Chat
    • Games
    • Instant messaging
    • Professional network
    • Social networking
    • Web-based e-mail
  • Uncategorized

De stap scope is gericht om te bepalen welke devices in de scope zitten voor de policy. Er zijn twee opties mogelijk;

  • All devices in my scope
  • Select from list

Gezien de test is het in dit geval optie 2 met de eerder aangemaakte device group. Het is mogelijk om de settings te activeren in een audit only policy. Hierdoor kan je inzage krijgen in het gedrag. Om een audit-only policy aan te maken deploy de policy zonder het selecteren van een categorie. Bron

Vervolgens is de setting aangemaakt en zal deze verschijnen in het overzicht Web content Filtering.

In de praktijk

Vervolgens is het mogelijk om de resultaten te bekijken op de test devices welke onderdeel zijn van de scope. Via de website van Cyren is het mogelijk om de URL te bekijken op de categories. Als voorbeeld zie je de game; World of Warcraft onderdeel uitmaken van gaming.

Door op het device te checken in verschillende browsers zie je een aantal verschillende resultaten. De beste end-user ervaring is gebaseerd op smartscreen. Overige browsers maken gebruik van Network protection.

Network protection is via verschillende manieren te configureren, waaronder via Microsoft Endpoint Manager, Powershell, Registry of Configuration Manager. Bekijk de toelichting van Microsoft.

Voor Microsoft Endpoint Manager is onderstaand een voorbeeld van de configuratie voor Windows 10;

Resultaat browsers

Edge chromium;

Chrome:

Internet Explorer:

Rapportages

Vanuit de Microsoft Defender Security Center portal is er een rapportage mogelijkheid te vinden. In een vervolg blog komt hiervan een extra toelichting.

Ga hiervoor naar: Reports > Web protection

Afbeelding afkomstig van Microsoft, vanwege gegevens eigen tenant.

Ook via de device Timeline: Device name -> Timeline is het mogelijk om de resultaten te bekijken. Via de filters is het mogelijk om te filteren op de specifieke event groups, in dit geval Smart Screen events.

Conclusie

Door de wijziging is het niet meer nodig om een abonnement af te nemen bij Cyren en is er volledige integratie aanwezig met het product van Microsoft. Hierdoor is de configuratie eenvoudig en bespaar je dubbele systemen en dubbele kosten. Gezien de preview status zijn nog niet alle functionaliteiten aanwezig – maar het begin is er zeker. Vooral de volledige integratie met Microsoft Cloud App Security heeft enorm veel voordelen.

Bronnen:

Microsoft: Web content filtering

Cyren: Web filtering check

Microsoft: An update on Web Content Filtering

]]>
https://jeffreyappel.nl/microsoft-defender-atp-web-content-filtering-zo-werkt-deze-functionaliteit/feed/ 0