Defender for Cloud Apps w firmie – konfiguracja krok po kroku

Czym jest Microsoft Defender for Cloud Apps i co robi dla firmy?

Microsoft Defender for Cloud Apps (MDCA, dawniej Microsoft Cloud App Security) to rozwiązanie klasy CASB – Cloud Access Security Broker. Działa jak strażnik między użytkownikami a aplikacjami chmurowymi: rejestruje całą aktywność, ocenia ryzyko i pozwala egzekwować polityki bezpieczeństwa – bez blokowania produktywności.

Dla firmy MŚP MDCA rozwiązuje kilka problemów jednocześnie:

• Shadow IT – inwentaryzuje aplikacje chmurowe używane przez pracowników, nawet te nieznane działowi IT
• Wycieki danych – wykrywa masowe pobieranie plików, udostępnianie wrażliwych dokumentów na zewnątrz lub logowania z ryzykownych lokalizacji
• Anomalie behawioralne – wbudowane algorytmy ML automatycznie sygnalizują podejrzane zachowania użytkowników
• Zgodność i klasyfikacja – integruje się z Microsoft Purview, aby chronić dokumenty oznaczone etykietami poufności

MDCA nie jest osobnym produktem wymagającym odrębnego wdrożenia – jest wbudowany w Microsoft 365 i zarządzany bezpośrednio z portalu security.microsoft.com.

Licencjonowanie i dostęp – co potrzebujesz?

Przed konfiguracją sprawdź, czy posiadasz odpowiedni plan. MDCA w pełnym zakresie jest dostępny w ramach:

• Microsoft 365 E5 – pełna funkcjonalność MDCA
• Microsoft 365 E5 Security – pełna funkcjonalność MDCA
• Enterprise Mobility + Security E5 (EMS E5) – pełna funkcjonalność MDCA
• Microsoft 365 Business Premium – ograniczone Cloud Discovery przez integrację z Defender for Endpoint
• Microsoft Defender for Endpoint Plan 2 – Cloud Discovery bez zaawansowanych polityk i App Connectors

Aby sprawdzić dostęp, zaloguj się do security.microsoft.com i poszukaj sekcji Cloud Apps w menu po lewej stronie. Jeśli jest widoczna i aktywna – masz co najmniej podstawową licencję.

Jeśli nie jesteś pewien, jakie narzędzia bezpieczeństwa już posiadasz w ramach swojej subskrypcji, warto przeprowadzić audyt licencji Microsoft 365. NovaSys pomaga firmom zidentyfikować dostępne, ale nieaktywowane funkcje bezpieczeństwa i ocenić, czy posiadany plan wystarczy do realizacji celów ochrony danych.

Cloud Discovery – odkryj, jakich aplikacji używa Twoja firma

Cloud Discovery to fundament MDCA: analizuje ruch sieciowy i buduje inwentarz aplikacji chmurowych używanych przez pracowników. Możesz skonfigurować go na dwa sposoby – najlepiej uruchom oba.

Metoda 1: Integracja z Microsoft Defender for Endpoint (zalecana)

1. Przejdź do security.microsoft.com → Ustawienia → Cloud Apps → Microsoft Defender for Endpoint
2. Włącz opcje Włącz integrację z Microsoft Defender for Endpoint oraz Blokuj niezatwierdzone aplikacje
3. Zapisz zmiany – od tej chwili wszystkie urządzenia z MDE automatycznie raportują ruch do MDCA bez żadnej dodatkowej konfiguracji sieci

Metoda 2: Prześlij logi z firewalla lub serwera proxy

1. Przejdź do Cloud Apps → Cloud Discovery → Utwórz raport migawkowy
2. Wybierz typ źródła – MDCA obsługuje ponad 100 formatów, m.in. Fortinet, Cisco ASA, Palo Alto, Check Point, Barracuda, Zscaler i formaty W3C
3. Pobierz skrypt zbierający logi odpowiedni dla Twojego urządzenia sieciowego i uruchom go zgodnie z instrukcją
4. Prześlij plik logu – analiza trwa zazwyczaj kilka minut

Po zakończeniu analizy przejdź do Cloud Discovery Dashboard. Zobaczysz listę wykrytych aplikacji z oceną ryzyka w skali 1–10, liczbą użytkowników i wielkością ruchu. Aplikacje z oceną poniżej 5 wymagają szczególnej uwagi – mogą nie posiadać szyfrowania, odpowiedniej polityki prywatności ani certyfikatów bezpieczeństwa.

App Connectors – głęboka integracja z Microsoft 365 i innymi usługami

App Connectors to połączenia API między MDCA a konkretnymi aplikacjami chmurowymi. Dzięki nim MDCA widzi nie tylko że ktoś korzysta z danej usługi, ale co konkretnie robi: jakie pliki pobiera, kogo zaprasza, jakie uprawnienia przyznaje, skąd się loguje.

Dostępne konektory obejmują m.in.: Microsoft 365 (Exchange, SharePoint, Teams, OneDrive), Azure, GitHub, Salesforce, ServiceNow, AWS, Google Cloud Platform i kilkadziesiąt innych usług SaaS.

Jak podłączyć Microsoft 365 – podstawowy krok dla każdej firmy:

1. Przejdź do security.microsoft.com → Ustawienia → Cloud Apps → App connectors
2. Kliknij + Połącz aplikację → wybierz Microsoft 365
3. Kliknij Połącz Office 365 – pojawi się okno potwierdzenia uprawnień wymagające konta administratora globalnego
4. Zatwierdź uprawnienia w oknie OAuth
5. Wróć do listy konektorów – po kilku minutach status zmieni się na Połączono
6. Poczekaj do 24 godzin na zakończenie wstępnego skanowania historii aktywności

Po połączeniu MDCA przeanalizuje ostatnie zdarzenia w Microsoft 365 i wyświetli je w zakładce Dziennik aktywności. To moment, gdy często pojawiają się pierwsze zaskakujące odkrycia: masowe pobieranie plików przez pracownika planującego odejście, logowania z krajów, w których firma nie działa, czy udostępnianie poufnych dokumentów na anonimowe konta zewnętrzne.

Tworzenie polityk bezpieczeństwa – alerty i automatyczne reakcje

Polityki definiują, co MDCA ma monitorować i jak reagować. Dostępne typy polityk to:

• Polityki wykrywania aplikacji – alert, gdy w sieci pojawi się nowa, ryzykowna aplikacja chmurowa
• Polityki aktywności – reagują na konkretne działania użytkowników: pobieranie, udostępnianie, zmianę uprawnień
• Polityki wykrywania anomalii – wbudowane modele ML wykrywają zachowania odbiegające od normy danego użytkownika
• Polityki plików – skanują pliki przechowywane w chmurze pod kątem wrażliwych danych (numery kart płatniczych, PESEL, dane medyczne)

Przykład: polityka alertująca o masowym pobieraniu plików

1. Przejdź do Cloud Apps → Polityki → Zarządzanie zasadami → Utwórz zasadę → Zasada aktywności
2. Nadaj polityce nazwę: Alert – masowe pobieranie plików
3. W sekcji Filtr aktywności wybierz typ aktywności: Pobieranie masowe pliku
4. Ustaw próg, np. 50 plików w ciągu 5 minut
5. W sekcji Alerty włącz: Wyślij alert e-mailem oraz Utwórz alert w portalu
6. Na start pozostaw w trybie tylko wykrywania – nie włączaj automatycznego zawieszania konta, dopóki nie ocenisz jakości alertów przez 1–2 tygodnie
7. Zapisz politykę

MDCA posiada również wbudowane szablony polityk, które możesz aktywować jednym kliknięciem: Impossible travel (logowanie z dwóch różnych krajów w ciągu godziny), Activity from anonymous IP czy Unusual file deletion activity. To dobry punkt startowy – włącz je zanim zaczniesz tworzyć własne reguły.

Najlepsze praktyki wdrożenia MDCA dla firm MŚP

MDCA to proces, nie jednorazowa konfiguracja. Oto sprawdzone podejście dla małych i średnich firm:

• Zacznij od audytu, nie od blokowania – przez pierwsze dwa tygodnie tylko zbieraj dane z Cloud Discovery. Dowiedz się, jakich aplikacji naprawdę używa firma, zanim cokolwiek zablokujesz.
• Włącz wbudowane polityki anomalii od razu – szablony MDCA są gotowe do użycia i wymagają minimalnej konfiguracji. Aktywuj je na start – generują alerty bez ryzyka fałszywego blokowania użytkowników.
• Klasyfikuj aplikacje – w katalogu Cloud Discovery oznaczaj aplikacje jako Zatwierdzone lub Niezatwierdzone. Aplikacje niezatwierdzone mogą być automatycznie blokowane przez integrację z Defender for Endpoint na endpoint level.
• Integruj z Microsoft Sentinel lub zewnętrznym SIEM – jeśli używasz SIEM, skonfiguruj eksport alertów MDCA, aby mieć pełny obraz incydentów w jednym miejscu.
• Przeglądaj alerty regularnie – wyznacz osobę odpowiedzialną za cotygodniowy przegląd alertów i zamykanie false-positive, aby nie przeoczyć prawdziwego incydentu w szumie powiadomień.
• Połącz z etykietami poufności – integracja MDCA z Microsoft Purview pozwala polityce plików automatycznie reagować na dokumenty oznaczone jako Poufne lub Ściśle tajne, niezależnie od tego, gdzie są przechowywane.

Jeśli potrzebujesz pomocy z konfiguracją MDCA lub kompleksowym wdrożeniem bezpieczeństwa Microsoft 365, NovaSys oferuje wsparcie IT dla MŚP we Wrocławiu – od audytu licencji po pełną konfigurację i szkolenie zespołu.