LOẠI BỎ CÁC RỦI RO NỘI BỘ DOANH NGHIỆP VỚI MICROSOFT CLOUD APP SECURITY

Microsoft Cloud App Security là một giải pháp bảo mật truy cập nền tảng đám mây. Giải pháp này thường được dùng để giải quyết các cảnh báo và tình huống thường thấy. Và áp dụng các truy vấn đơn giản nhưng hiệu quả có thể được sử dụng trong các phân tích bảo mật hàng ngày.

Một trong những điều quan trọng cần hiểu về rủi ro nội gián là một cuộc điều tra liên quan đến những rủi ro vô tình hoặc cố ý do nhân viên hoặc các thành viên khác của tổ chức gây ra. Nó thường đòi hỏi khả năng hiểu ngữ cảnh của người dùng và cũng để xác định và quản lý rủi ro một cách nhanh chóng. Các phương pháp chúng tôi mô tả là một cách phổ biến để tránh rủi ro cho tổ chức từ một người trong cuộc đang có ý định rời khỏi công ty.

Các bước loại bỏ rủi ro nội bộ với Microsoft Cloud App Security

Ví dụ với một doanh nghiệp đã triển khai Microsoft 365 Defender và giám sát các cảnh báo bằng các giải pháp bảo mật của Microsoft. Trong khi xem xét các cảnh báo mới, nhà phân tích bảo mật nhận thấy một cảnh báo tải xuống hàng loạt từ một người dùng tên là Julian Isla. Julian hiện đang thực hiện một dự án mật có tên Hurricane Project. Biết được điều này, nhà phân tích muốn tiến hành phân tích kỹ lưỡng trong cuộc điều tra này.

Với Cloud App Security, bạn có thể thấy ngay các chi tiết quan trọng trong cảnh báo như: người dùng, địa chỉ IP, ứng dụng và vị trí. Bước đầu tiên đối với nhà phân tích có thể là thu thập các chi tiết như thiết bị, loại thông tin được tải xuống, hành vi điển hình của người dùng và các hoạt động có thể có khác có thể có nghĩa là dữ liệu đã được lọc.

Sử dụng các chi tiết có sẵn trong cảnh báo MCAS, cũng như các câu hỏi và thắc mắc ban đầu của cuộc điều tra, chúng tôi sẽ giới thiệu cách trả lời từng bước thông qua truy vấn tìm kiếm nâng cao và kết quả của mỗi truy vấn định hình cho truy vấn tiếp theo, cho phép người điều tra ghép lại toàn bộ câu chuyện từ các hoạt động được ghi lại.

Sử dụng truy vấn hiển thị dữ liệu Microsoft Defender for Endpoint (MDE) này, nhà phân tích nhận thấy rằng Julian đã sử dụng hai thiết bị ngày nay, adminpc.contoso.azure và victimpc.contoso.azure. Quan trọng hơn, nhà phân tích có thể thấy rằng Julian đã ở trên thiết bị adminpc vào cùng ngày khi cảnh báo tải xuống hàng loạt được kích hoạt.

Bằng cách sử dụng bảng CloudAppEvents, nhà phân tích hiện có thể xem tên tệp, số lượng tệp và thiết bị mà Julian đã sử dụng để hoàn tất các lần tải xuống này. Họ có thể xác định bằng tên của các tệp và chi tiết thiết bị mà Julian đã tải xuống dữ liệu quan trọng của công ty độc quyền cho Dự án Hurricane, một sáng kiến ​​nổi bật cho một ứng dụng mới bao gồm dữ liệu khách hàng nhạy cảm và mã nguồn.

Trong suốt cuộc điều tra, nhà phân tích đã có nhiều con đường để theo đuổi và những cách tiềm năng để giảm thiểu và ngăn chặn việc xâm nhập thêm dữ liệu. Ví dụ: sử dụng độ phân giải người dùng của Cloud App Security, nhà phân tích có thể đã tạm ngưng người dùng. Ngoài ra, bằng cách sử dụng Microsoft Defender để tích hợp Điểm cuối, nhà phân tích có thể đã cô lập thiết bị được quản lý, ngăn thiết bị có bất kỳ giao tiếp mạng không liên quan nào.

Kết luận, trong kịch bản thử nghiệm này, nhân viên Contoso, “Julian” đã vi phạm chính sách của công ty và lấy cắp dữ liệu độc quyền của Project Hurricane vào tài khoản email và máy tính xách tay cá nhân của anh ta trong một thời gian. Họ cũng nhận thấy rằng người dùng đã tích cực tìm kiếm việc làm và đã lưu một phiên bản đơn từ chức được chỉnh sửa gần đây . Bằng cách sử dụng cảnh báo MCAS ban đầu, cũng như nhật ký trên Microsoft Defender cho Endpoint và Microsoft Defender for Office 365, các nhà phân tích đã phát hiện và ngăn chặn việc người dùng này mất thêm dữ liệu cho công ty.