Sinds de coronasituatie is Teams in een versnelling gekomen bij de meeste organisaties. In de meeste gevallen een versnelde uitrol, waardoor er niet uitgebreid is gekeken naar de security en monitoring van bepaalde activiteiten. Ondanks de versnelde uitrol is het nog altijd van belang om security serieus te nemen, aangezien het om bedrijfsdata gaat. 

In dit blog een toelichting van inzicht op bepaalde activiteiten via Microsoft Cloud App Security. Vanuit MCAS is het mogelijk om bepaald gedrag te monitoren, zoals bijvoorbeeld de file downloads en 3rd party app connectors.

Wat is Microsoft Cloud App Security?

Allereerst een toelichting op de vraag, wat is Cloud App Security? Microsoft Cloud App Security is een Cloud App Security Broker (CASB) welke is voorzien van een standaard set van configuraties, templates en mogelijkheden bevat tot integratie met Microsoft producten en online diensten.

 

Cloud App Security voor Teams

Sinds de release 170-171 van MCAS is de functionaliteiten aanwezig om bepaalde activiteiten te koppelen vanuit Teams. De nieuwe policy’s zijn;

  • Access level change (Teams): Alerts when a team’s access level is changed from private to public.
  • External user added (Teams): Alerts when an external user is added to a team.
  • Mass deletion (Teams): Alerts when a user deletes a large number of teams.

Bron: Microsoft

Voorwaarden

Cloud App Security is niet in de basis licentie van Microsoft 365 te vinden. Om gebruik te maken van MCAS is er een user-license vereist met toegang tot het product; o.a de volgende soorten zijn beschikbaar:

  • Microsoft 365 E5
  • Microsoft 365 E5 Security
  • Enterprise Mobility & Security E5 (Office 365 Cloud App Security
  • Microsoft Cloud App Security + Enterprise Mobility & Security E3
  • Microsoft 365 Education A5

Het volledige overzicht van de licentie is te vinden in de Cloud App Security Licensing datasheet.

In dit blog gaan we uit van een bestaande Microsoft Cloud App Security inrichting.

Configuratie

We kijken vooral naar drie nieuwe policies welke sinds de 170-171 release zijn te vinden in MCAS. Het gaat hierbij om:

  • Access level change (Teams): Alerts when a team’s access level is changed from private to public.
  • External user added (Teams): Alerts when an external user is added to a team.
  • Mass deletion (Teams): Alerts when a user deletes a large number of teams.

Hierbij configureren we een alert in het geval een team als status van private naar public gaat, er externe users worden toegevoegd aan een Team buiten de tenant en het veelvoudig verwijderen van Teams door een gebruiker. Uiteraard verschijnen al deze alerts vervolgens in de portal en is het mogelijk om aanvullende e-mail notificaties te versturen:

1. Alerts aanmaken

Het aanmaken van de alerts is vrij eenvoudig en is op basis van de templates welke reeds bestaan in de MCAS portal. Om de templates te gebruiken:

  • Login op de MCAS portal
  • Ga naar Control -> Policies -> Create policy and select Activity policy.

Klik vervolgens op activity policy zoals hieronder weergeven:

Vervolgens zijn er een drietal Teams templates te vinden. Laten we beginnen met de access level change in teams van private naar public. Klik op Access level change (teams).

Vervolgens is de template zichtbaar, indien gewenst is het uiteraard mogelijk om bepaalde waarde’s te wijzigen. Het gaat vooral om het deel activities matching en daarop de filtering op de teamsettingchanged met als item private to public.

Let op, Tijdens de test werkte de alert niet vanaf de eerste configuratie.  Om dit op te lossen, wijzig één keer de Activitiy Objects naar een andere waarde, en vervolgens weer terug naar Activity objects met onderstaande waarde’s. Na een eenmalige wijziging werkt het naar behoren. 

Voor de alerts in de MCAS portal vink de alert optie aan onder de Alerts. Wanneer gewenst is het ook mogelijk om e-mails te versturen bij een wijziging. In onderstaande geval verschijnen de meldingen in de MCAS portal en zal er een e-mail verzonden worden met daarin de melding naar een opgegeven e-mailadres.

Om de template te activeren klik op Create

Mass Deletion 

Voor de Mass deletion policy is de werking zo goed als hetzelfde – selecteer alleen bij templates de Mass deletion (Teams) policy.

Bij deze template komt er een melding wanneer er minimaal 50 teams worden verwijderd in een tijd van 1 minuut. Uiteraard is het volledig mogelijk om op basis van de templates de minimale activiteiten of maximale tijd te wijzigen.

Melding:

In het geval van een teams wijziging welke qua access level van private to public verschijnt de volgende meldingen in de MCAS portal:

 

En het resultaat bij openen van de melding.

Hiermee heb je grip op een drietal activititen. In aankomende blogs zullen we de verder gaan op de veiligheid van data in combinatie met Azure Information Protection Unified labeling. Uiteraard zijn de standaard set rechten zoals MFA, Azure AD SIgn-In Risk policy ook van toepassing voor teams. Een recent overzicht van security artikelen is te vinden in de categorie Security.

Bronnen:

Microsoft; Cloud App Security release 170 and 171

Microsoft: Cloud App Security licensing sheet