Custom Permissions nu i Office 365 SCC

Utvecklingen med Microsofts Informationsskydd fortsätter och integreras mer fler och fler lösningar.

Nu har Office 365 Security och Compliance (SCC) portalen och dess Unified Labeling fått stöd för Custom Permissions. Detta innebär att Unified Labeling klienten nu enbart pratar med SCC för att hämta sina inställningar (till skillnad från hur det fungerat tidigare där AIP portalen var ett krav som ITSäkerhetsGuiden skrev om i Juli månad)

image

Viktigt att ha i åtanke här är att utbilda våra användare och vår verksamhet att filer som skyddas med Custom Permissions inte kommer kunna öppnas i Office Online (när den funktionaliteten släpps) utan kräver att filerna öppnas med lokalt installerad Office.
SharePoint/OneDrive/Teams kommer framöver att kunna dekryptera RMS skyddad information och vidhålla policy-inställningarna över vem/vilka som skall få ta del av informationen. Detta bygger då på att inställningarna är definierade i vår policy/Label och då alltså inte om de definierats av slutanvändaren själv.

En annan viktig detalj är att Custom Permissions kräver Unified Labeling klienten. Det fungerar alltså inte i Office native oavsett plattform.

Annonser
Publicerat i Azure Information protection, Microsoft Information Protection | Märkt | Lämna en kommentar

Centraliserad loggning av verksamhetens information

Säcken knyts ihop mer och mer med ett tydligt tecken på hur Microsoft konsoliderar sina säkerhetslösningar. Det ger oss högre säkerhet och gör det lättare för oss som administrerar och övervakar lösningarna. Ett exempel är den unified SecOps portal ITSäkerhetsGuiden skrev om i våras.

Detsamma ser vi inom informationsskydd där vi förutom Unified Labeling nu också centraliserar vår övervakning av tjänsterna inom Microsoft Information Protection -sviten.

MIPCentralLogging

Tack vare att alla dessa tjänster nu centraliserar sin loggning får vi ett kraftfullt verktyg med AIP Analytics. Verksamheten kan nu få en överblick av sin information både från vår lokala miljö, vår molnlagring, våra klienter och Office-installationer. Filer med känslig information redovisas med informationsklassifikation samt om den är krypterad/skyddad med RMS eller WIP.

Förutom att AIP/Log analytics hämtar loggar från AIP klienten och dess AIP Scanner samlar den nu också in loggar från:

  • Azure RMS (RMS Usage log)
  • Cloud App Security
  • Microsoft Defender ATP

RMS loggar

Tack vare att vi nu får in RMS loggar till Log Analytics får vi även med dokument som dekrypteras (eller försök till dekryptering) direkt från Office paketet utan att det behöver finnas någon AIP klient installerad. Eftersom inte AIP klienten är något krav för att kunna dekryptera utan lokal Office-installation är tillräckligt, är det framför allt i RMS loggarna vi finner filer som delas med externa användare eller enheter som inte verksamheten administrerar (och då ofta saknar AIP klient). Det är också extremt värdefullt att få information om vilka interna enheter som varit inblandade och tagit del av verksamhetens information med tanke på att vi även får reda på om enheterna har någon risk (tack vare Defender ATP) och om ett dokument då behöver revokeras.
Azure Rights Management -tjänsten loggar i W3C format med en log per dygn alla händelser runt autentisering och dekryptering. Numera skickas dessa event i ”realtid” även till Log analytics.
Exempelvis som i detta fall från en icke managerad klient med Office 2013 som öppnar/dekrypterar ett dokument.
image

Microsoft Cloud App Security (MCAS)

MCAS blir allt mer kraftfullt för att skydda både våra identiteter och även vår information. MCAS kan detektera känslig information i våra anslutna cloud tjänster, exempelvis Office 365. MCAS har möjlighet att klassificera och kryptera baserat på detekterad känslig information och även baserat på plats/bibliotek.
Tack vare att MCAS också loggar till samma log analytics får vi en övervakning även av bl.a. Office 365 och dess lagringsutrymmen. Vi kan på så sätt detektera känslig information som lagrats i våra anslutna molntjänster.
image

Microsoft Defender ATP

MD ATP övervakar våra klienter och ser till att även andra filtyper än bara Office dokument identifieras om de innehåller känslig information och kan även skydda dessa filer med Windows Information Protection. Tack vare att Microsoft Defender ATP loggar till samma källa får vi information även om enheter är under risk.

image image

Identifiera känslig okrypterad information

Verksamheten kan nu få en överblick av all känslig information både från vår lokala miljö, vår molnlagring och våra klienter.
Vi kan enkelt utreda hur mycket information som exempelvis går under GDPR (innehåller pass/personnummer m.m.) utan att vara krypterad, oavsett om filerna ligger lagrade på våra managerade klienter, våra lokala filservrar/SharePoints eller våra molntjänster.

image

Publicerat i Azure Information protection, Microsoft Information Protection, Threat Protection | Lämna en kommentar

Val av klient för informationsskydd

Jag får (trots det fina sommarvädret) många frågor om vilken klient man skall använda för Microsoft Information Protection. Utvecklingen går ständigt framåt och den artikel jag publicerade om detta för fyra månader sedan är inte längre aktuell.

Unified Labeling centraliserar våra informationsklassifikationer till ett och samma ställe och det är även här som det inbyggda stödet i alla Office-applikationer hämtar sin information. Med andra ord bör alla verksamheter som vill ge användarna möjlighet att se och applicera informationsklassning från sina mobiler, plattor och framöver i Office online versioner aktivera just detta. Samma sak gäller tredje parts applikationer så som exempelvis Adobes Acrobat Reader och andra framtida applikationer och tjänster. Microsoft har nu även släppt en skarp version av Unified Labeling klienten även till Windows. Azure Information Protection portalen är fortfarande kvar och det är fortfarande den som har mest funktionalitet idag när det kommer till Windowsplattformen. Frågan är då vilken av dessa två klienter skall man använda?

Det enkla svaret är: om man idag använder en viss version och har alla funktioner verksamheten kräver och önskar är att fortsätta med den versionen (och hålla den uppdaterad).

Det längre svaret rör funktionalitet kontra en enhetlig användarupplevelse. Unified Labeling klienten använder det moderna gränssnittet som övriga Office applikationer med bl.a. en stämpel-symbol istället för hänglåset. På så sätt ger vi användarna en likvärdig upplevelse oavsett om de använder sin Windows-dator eller platta/telefon/3-part applikation. Funktionsmässigt har det varit flera avgörande funktioner som saknats för flera verksamheter med Unified Labeling klienten, så som möjligheten att definiera anpassade rättigheter (Custom Permissions). Dock har Microsoft nu löst detta i den senaste releasen. Med Unified Labeling klienten kan vi nu definiera Custom Permission både i Office applikationer, Windows Explorer eller Power Shell. Det som särskiljer från den traditionella AIP klienten är det saknas möjlighet att skydda med Custom Permission utan att använda en Label. Min erfarenhet är att detta ändå är till fördel då fler och fler verksamheter kräver att alla dokument klassificeras och helt enkelt stänger av möjligheten att skydda utan att klassificera även med den traditionella AIP klienten.
Unified Labeling klienten hämtar all sin data från den nya portalen, här saknas dock möjlighet konfigurera Custom Permission för en Label. I nuläget krävs det att Labeln är skapad i den klassiska AIP portalen och där konfigurerad med Custom Permission.
Editeras denna labeln via Security & Compliance portalen visas följande meddelande:

image

En av de stora begränsningarna med Unified Labeling klienten är att den fortfarande saknar möjlighet för att slutanvändare att spåra eller återkalla ett dokument. Denna funktion kräver fortfarande AIP klienten. Förutom att Unified Labeling klienten saknar knappen ”Track and revoke” går det heller inte för användaren att surfa in på motsvarande tracking -sida och heller inte för verksamhetens administratörer att återkalla dokument skyddade med den versionen.
Om verksamheten eller delar av verksamheten kräver den här typen av funktion kan de alltså inte byta ut AIP klienten då det är ett krav för den klassiska track and revoke funktionen.

Båda klienterna rapporterar dock till Microsoft Log Analytics som gör det enkelt att centralt följa upp nyttjandet via AIP portalens Dashboard och Compliance portalens rapporter.

För att summera ihop den här informationen har jag även visualiserat detta

IP Client

För mer detaljerad information om:

Publicerat i Azure Information protection, Microsoft Information Protection | Märkt | 1 kommentar

Centraliserad portal för identitetsövervakning

Idag har vi oftast hybrida IT-miljöer med både en lokal infrastruktur och flertalet olika molntjänster. Förhoppningsvis har vi lyckats hantera så vi enbart har en enda identitet åt våra användare att hålla reda på. Utmaningarna som följer handlar om att övervaka och identifiera intrång baserat på dessa identiteter oavsett om det rör sig om lokala tjänster eller molntjänster.

Microsoft har sedan en tid tillbaka haft flera lösningar som nu kommer centraliseras till en gemenskap SecOps -portal:

  • Azure AD Identity Protection (AADIP)
    En lösning för att skydda verksamhetens Azure AD konton och dess autentiseringar. Kortfattat är det en lösning för att identifiera sårbarheter och skydda våra inloggningar via Azure Active Directory. Detta bygger dels på beteende och känner av om inloggningarna är rimliga eller om det finns riskfylld information (via Microsoft Security Graph) om exempelvis IP adressen eller lösenordet.
  • Microsoft Cloud App Security (MCAS)
    MCAS håller koll på våra molntjänster och kan bland annat likvärdigt med Identity Protection detektera beteendeavvikelser. Exempelvis om Office 365 olika tjänster nyttjas på ett orimligt sätt av en användare. Exempelvis om en användare jobbar mot ett dokument i Teams samtidigt som den delar/laddar ner information från en annan molntjänst från ett och samma IP.
  • Azure Advanced Treat Protection (AATP)
    Azure ATP är efterföljaren av Advanced Threat Analytics (ATA) som övervakar lokalt Active Directory. Baserat på både beteende, kända attackmönster/sårbarheter och svaga protokoll identifieras intrång i ett tidigt skede.

Ovanstående lösningar med dess portaler finns fortfarande kvar men en preview har startat för att få signaler från dessa lösningar till ett och samma ställe. Detta ger oss en överblick som hjälper oss utreda om ett konto blivit kapat eller på annat sätt beter sig illa.

Istället för att vi nu skall få ännu en portal att hålla reda på kommer det vara MCAS portalen som får signaler från de andra två lösningarna. Om Azure ATP används inom samma tenant kan vi helt enkelt inkludera den tjänsten tillsammans med vårat Azure AD.

Larm från samtliga säkerhetslösningar redovisas tidsmässigt i ett tydligt flöde. Varje larm poängsätts enligt en skala och genom att klicka på poängen redovisas anledningen till poängsättningen. För att basera riskanalysen även på andra tjänster kommer vi kunna integrera med Microsofts nya SIEM lösning. Microsoft Azure Sentinel ger möjlighet att ansluta och ta emot loggar från andra lösningar och skapa larm utifrån dessa. Poängsättningen värderas också mot andra användare inom organisationen för att göra det enklare att utvärdera en användarrisk och prioritera.

image

Önskas mer detaljer finns ett flertal fördjupningar att göra, vilket krävs både vid en djupare analys för att utreda om ett konto har blivit kapat. Men även för att få insikt av vad ett kapat konto har hunnit göra innan man lyckats återta kontot.

image

Tack vare att vi kommer åt all information i en och samma portal får nu vi en tydlig bild av vad en användare haft för sig både i lokal infrastruktur såväl som i ansluten molntjänst

Det finns ett flertal åtgärder att göra för att skydda framför allt Office 365. Självklart skall även AD/AAD kontot återställas/byta lösenord vid kapning men för att minimera risken att det finns en aktiv session igång mot Office 365 kan vi påtvinga ny inloggning eller avbryta tillgången tills utredningen är klar.

image

Vill du gå med i denna preview läs mer här

Notera att Azure ATP and Azure AD Identity Protection inte kommer påverkas men att de som hanterar Cloud App Security kommer få en hel del ny data.

Det blir intressant att se vad denna fantastiska portal kommer döpas till framöver 🙂

Publicerat i Threat Protection | Märkt , , , , | Lämna en kommentar

Information Protection i Office till alla plattformar

Microsofts ambition är att ge möjlighet att klassificera och skydda dokument från Office oavsett plattform. Idag på en Windows-enhet behöver vi installera en AIP-klient vars add-on i Office ger oss möjlighet att se och klassificera dokument. När det kommer till övriga plattformar för telefoner, plattor och nu även Mac har de till viss del kommit steget längre. Såvida man installerar den senaste versionen av Office applikationen (Word, Excel, PowerPoint) och är inloggad med ett konto där detta är förberett kommer funktionen vara inbyggt. Motsvarande kommer även framgent för Office 365 (click-to-run) till Windows i framtiden.

I skrivande stund finns inbyggd funktionalitet till följande plattformar:

  • Sedan någon vecka tillbaka har vi äntligen fått möjlighet att klassificera och se befintlig informationsklassifikation på dokument även med Office till Mac.
    image
  • För Android finns motsvarande om man klickar på ikonen med ett ”A och en penna” för att på samma sätt kunna klassificera information från sin platta eller telefon
    image
  • Det ser även snarlikt ut på vår iPhone/iPad där vi exempelvis via Word appen klickar på samma ikon för att få samma möjlighet på en telefon/platta från Apple
    image

En uppdaterad lista på supporterade Office applikationer/versioner finns här: https://support.office.com/en-us/article/apply-sensitivity-labels-to-your-documents-and-email-within-office-2f96e7cd-d5a4-403b-8bd7-4cc636bae0f9?ad=US&ui=en-US&rs=en-US#bkmk_whereavailable

Förutsättningar

Vi väntar fortfarande på funktioner så som att kunna klassificera e-post via Outlook appen på de olika plattformarna och via webbläsaren med Office Online. Detta kommer! Det kräver dock förarbete från organisationens sida. All nyutveckling som genomförs just nu kommunicerar med Office/M365 Security & Compliance Center (SCC). För att få de nya funktionerna krävs alltså att vi har informationsklassifikationen och dess Labels publicerade i SCC.

Har man redan Azure Information Protection på plats används det som kallas Unified Labeling för att börja synka befintliga Labels mellan SCC och AIP portalen.

clip_image005

Innan man gör detta bör man se över om det redan finns några labels konfigurerade i SCC och om så är fallet se till att det inte finns någon label med samma namn som i AIP portalen.

Vid själva aktiveringen kommer labels från AIP kopieras till SCC. Labels från SCC kommer kopieras till AIP portalen. I båda fallen krävs det att respektive importerad label tilldelas en policy som publiceras i respektive portal för att de skall dyka upp hos våra användare.

När skall man använda vad?

AIP portalen är fortfarande den primära konfigurationsplatsen. Här finns idag möjligheter som saknas i SCC. Några exempel är: ”Custom permissions” för att kunna per Label låta användaren anpassa behörighet till både interna och externa användare. Automatisk eller rekommenderad klassifikation/label baserat på valfritt definierat innehåll i dokument. Nuvarande AIP klient (som bland annat ger slutanvändaren möjlighet att spåra och återkalla delad information) kommunicerar enbart med AIP.

Det finns även vissa funktioner som vi enbart kan konfigurera från SCC vilket gör att Unified Labeling förenklar integrationen mellan dessa portaler. Vi kommer inom en snar framtid få än mer utökad funktionalitet att automatiskt applicera en label baserat på en större uppsättning av regler än vad vi idag har i AIP portalen.
Ett exempel på vad vi kan göra idag är möjligheten att konfigurera DLP-regler som letar efter fördefinierade känsliga uppgifter så som personuppgifter, kredit kort med mera som lagrats inom Office 365. Då vi än så länge saknar möjlighet att klassificera dokument online kan vi istället uppmana användaren att göra detta vid behov:

clip_image006

Microsoft Cloud App Security, MCAS är den lösning som finns idag för att både detektera skyddsvärd information och med automatik kunna klassificera och skydda dokument lagrade i Office 365 (och andra molntjänster). Viktigt att ha i åtanke här, är att då inte Office Online idag kan dekryptera innehållet åt användarna kan heller inte skyddade dokument öppnas online utan kräver lokalt installerad Office applikation.

Publicerat i Microsoft Information Protection | Märkt | Lämna en kommentar

Terms of use: Informera om verksamhetens informationsskydd

Under alla införandeprojekt jag drivit för att stötta verksamheter att införa ett informationsskydd är den absolut största och viktigaste delen att informera och utbilda.
Våra användare måste lära sig ett nytt arbetssätt som i vissa fall kan kräva ett eller flera nya moment när man skapar information.

Det gäller att vara tydlig i varför verksamheten genomför denna förändring och beskriva hur lösningen fungerar.
Att skriva om lösningen på sitt intranät når ofta inte ut till alla som nyttjar lösningen men kan där emot vara en bra plats samla sin information.

Att där emot påtvinga ett användarvillkor första gången en användare skall använda lösningen kan vara ett sätt att nå ut med information till fler användare.
Informationen måste vara kortfattad och tydlig. En rekommendation är att länka till intranätet där man har djupare beskrivningar med bland annat steg-för-steg instruktioner och gärna både bilder och korta videor som visar på hur man använder lösningen men också hur det ser ut vid delning.

“Terms of use” är en relativt ny funktion i Azure Active Directory och Conditional Access som bland annat kan användas till detta ändamål.
Exemplet nedan visar på en användare som för första gången skall använda tjänsten Azure Information Protection.
Terms of use visas och användaren behöver klicka på länken med mer information för att ta sig vidare.

image

Informationen är kortfattad och tydlig över både varför man infört funktionen och hur den skall användas.

image

När användaren accepterat villkoren kan användaren börja klassificera och skydda information (med förhoppningsvis bättre förståelse).

image

Informera via E-post

Ett annat alternativ är att skicka ett skyddat e-postmeddelande med instruktioner om hur man gör. På det sättet får användaren både uppleva att få ett skyddad e-postmeddelande och samtidigt reda på hur man använder funktionen. Även här rekommenderas att länka till intranätet för mer detaljer och information om vikten av att skydda känslig information för sin verksamhet.

Länka via AIP klienten

Ett tredje alternativ är att länka till sitt intranät via AIP klienten. På det sättet kan användaren alltid hitta till mer detaljerad information direkt från lösningen

image

Publicerat i Microsoft Information Protection | Märkt , , | Lämna en kommentar

Förenkla extern delning för våra användare

Flera verksamheter har behov att kunna dela skyddsvärd information med andra organisationer vilket är en syftena med Azure Information Protection.

Att kunna skydda valfri fil med behörighet till en extern organisation, på enkelt sätta kunna dela den via epost och följa upp dess användning är något som ofta efterfrågas.

Följande scenario beskrivs i den här artikeln

En användare klassificerar och skyddar en fil med Custom permission för att skydda den en hel organisation

clip_image001

Användaren skall sedan skicka filen till en kontakt hos den andra organisationen som i sin tur behöver kunna dela den vidare inom sin organisation.

När användaren bifogar den här filen i Outlook kommer Outlook rekommendera användaren att applicera motsvarande informationsklassificering även på själva epostmeddelandet

clip_image002

När användaren bekräftar rekommendationen får själva e-postmeddelandet motsvarande label och när det skickas kommer Exchange att kryptera epostmeddelandet till mottagaren utan att begränsa dess möjlighet att skicka det vidare. Behörigheten på den bifogade filen skyddar filen att kunna delas utanför mottagarens organisation.

Mottagaren får det skyddade epostmeddelandet och dess bilaga och kan sedan dela det vidare. Oavsett var den bifogade filen sedan kopieras eller lagras bevaras skyddet till enbart mottagarens organisation (och avsändaren som skyddade filen)

clip_image003

Avsändaren kan sedan följa upp vilka inom organisationen som tagit del av dokumentet. Skulle det finnas ett behov kan även tillgången till dokumentet återtas (revokeras).
På det sättet bevarar vi kontrollen av dokumentet oavsett delning

clip_image004

Problematiken och lösningen för denna konfigurationen

Problematiken rör att ”Custom Permission” inte finns som alternativ för Outlook. Enda konfigurationsmöjligheten som idag finns i Azure Information Protection (AIP) är att definiera att e-post som klassificeras med samma Label skyddas med begränsade rättigheter att exempelvis vidarebefordra i Outlook.
Den här konfigurationen kräver att man utelämnar det alternativt vilket resulterar i att e-postmeddelandet enbart får själva Labeln och dess metadata.

clip_image005

För att få Outlook att antingen rekommendera eller påtvinga motsvarande Label som bifogad bilaga ändrar vi detta i AIP Policyn. Skiljer behoven inom verksamheten kan vi definiera flera policys och på så sätt få olika beteenden för olika användare/avdelningar.

clip_image006

För att få kryptering lägger vi på en Exchange Transport Rule som krypterar epostmeddelanden med denna Label. Krypteringen som vi applicerar ger fulla rättigheter till mottagarna som då även kan vidarebefordra epostmeddelandet vid behov. Eftersom själva dokumentet redan är krypterat (med Custom Permission) kommer inte e-postmeddelandets bilaga förändras utan behörigheten till dokumentet begränsas alltid till det som användaren definierade initialt.

clip_image008

Förutom den tekniska konfigurationen behövs som alltid även en väl genomförd användarutbildning/instruktion över hur den här funktionen skall användas och vilken upplevelse det blir för mottagaren av e-postmeddelandet.

Publicerat i Azure Information protection, Microsoft Information Protection | Märkt | Lämna en kommentar