💼 Management Samenvatting
Microsoft Defender voor Cloud Apps (voorheen Microsoft Cloud App Security) is een cloud access security broker (CASB) oplossing die organisaties volledig inzicht en controle biedt over het gebruik van SaaS-, PaaS- en IaaS-diensten. Deze beleidsregels configureren een comprehensive set van security controls die shadow IT detecteren, risicovolle OAuth-apps identificeren, anomalieën signaleren, sessiebeveiliging afdwingen en data loss prevention implementeren voor alle cloudapplicaties binnen de organisatie.
Aanbeveling
IMPLEMENT
Risico zonder
High
Risk Score
9/10
Implementatie
40u (tech: 16u)
Van toepassing op:
✓ M365
✓ Defender voor Cloud Apps
✓ Microsoft 365 E5
✓ SaaS-Applicaties
✓ Cloud Security
✓ Defender voor Cloud Apps
✓ Microsoft 365 E5
✓ SaaS-Applicaties
✓ Cloud Security
Moderne organisaties gebruiken honderden tot duizenden cloudapplicaties, vaak zonder dat de IT-afdeling volledig zicht heeft op welke applicaties worden gebruikt, welke data wordt gedeeld, en welke risico's dit met zich meebrengt. Shadow IT ontstaat wanneer medewerkers ongoedgekeurde cloudapplicaties gebruiken zonder IT-kennis, wat leidt tot ongecontroleerde gegevensstromen, verhoogde risico's op datalekken, misbruik van rechten en non-compliance met wet- en regelgeving zoals AVG, BIO en NIS2. Zonder adequate cloud app security controls blijven risicovolle OAuth-apps onopgemerkt die toegang hebben tot bedrijfsdata, worden verdachte activiteiten zoals ongebruikelijke aanmeldlocaties, massale downloads van gevoelige bestanden, of compromittering van accounts niet tijdig gesignaleerd, en ontbreekt zicht op welke data wordt gedeeld met externe partijen via cloudapplicaties. Deze blinde vlekken leiden regelmatig tot datalekken, account takeovers, data exfiltration en aanzienlijke compliance-risico's. Defender voor Cloud Apps lost dit op door een gecentraliseerde security layer te bieden die alle cloudapplicaties monitort, beleidsregels afdwingt, en proactief bedreigingen detecteert voordat ze schade aanrichten.
PowerShell Modules Vereist
Primary API: Defender voor Cloud Apps API
Connection:
Required Modules:
Connection:
Portal.cloudappsecurity.comRequired Modules:
Implementatie
Cloud App Security beleidsregels configureren een comprehensive set van geïntegreerde security controls die samenwerken om cloudapplicaties te beveiligen en te monitoren. De configuratie omvat zes primaire componenten: (1) Cloud Discovery - configureert automatische detectie van shadow IT door logbestanden van proxy's, firewalls en andere netwerkapparaten te analyseren om alle gebruikte cloudapplicaties te identificeren, inclusief ongoedgekeurde applicaties die buiten het zicht van IT opereren, met risicoscoring per applicatie op basis van security features, compliance certificeringen, en data handling practices, (2) OAuth App Governance - configureert detectie en beheer van risicovolle OAuth-apps die toegang hebben tot Microsoft 365 data, met identificatie van apps met overmatige permissions, apps van onbekende publishers, apps die niet worden gebruikt maar wel toegang hebben, en apps die verdacht gedrag vertonen, inclusief mogelijkheid om risicovolle apps te blokkeren of permissions te beperken, (3) Activity Policies - configureert real-time monitoring van gebruikersactiviteiten in cloudapplicaties om anomalieën te detecteren zoals ongebruikelijke aanmeldlocaties, massale downloads, bulk export van data, ongebruikelijke sharing activiteiten, en verdachte beheerdersactiviteiten, met automatische alerts en mogelijkheid tot automatische acties zoals sessie beëindiging of toegang blokkeren, (4) File Policies - configureert data loss prevention voor gevoelige bestanden in cloudapplicaties door automatische scanning van bestanden op basis van sensitivity labels, data classification, en custom patterns zoals creditcard nummers, BSN-nummers, of andere PII, met mogelijkheid tot automatische acties zoals quarantaine, encryptie, of sharing blokkering, (5) Session Policies - configureert real-time session control via Conditional Access App Control die sessies monitort en kan blokkeren, waarschuwen, of beperken op basis van risicofactoren zoals device compliance, locatie, gebruiker risicoscore, of app risicoscore, met mogelijkheid tot read-only mode, download blokkering, of volledige sessie blokkering, en (6) Anomaly Detection Policies - configureert machine learning gebaseerde detectie van afwijkend gedrag dat wijst op compromittering, insider threats, of misbruik, zoals impossible travel (aanmeldingen vanaf geografisch onmogelijke locaties), activiteit vanaf risicovolle IP-adressen, ongebruikelijke inactiviteit gevolgd door activiteit, bulk file deletion, en ransomware activiteit. Alle beleidsregels worden geconfigureerd via het Defender voor Cloud Apps portal op portal.cloudappsecurity.com, of via de Defender voor Cloud Apps API voor automation. De beleidsregels werken samen met andere Microsoft 365 security components zoals Conditional Access, Microsoft Defender XDR, en Microsoft Sentinel voor comprehensive multi-layer protection.
Vereisten en Voorbereiding
Voor het configureren van comprehensive cloud app security beleidsregels zijn de volgende voorwaarden en voorbereidingen vereist: Microsoft 365 E5 licentie of standalone Defender voor Cloud Apps licentie voor toegang tot alle CASB functionaliteiten inclusief Cloud Discovery, Conditional Access App Control, en advanced threat protection, Global Administrator of Security Administrator rol voor policy configuratie en management, netwerk logbestanden van proxy's, firewalls of andere netwerkapparaten voor Cloud Discovery functionaliteit (optioneel maar aanbevolen), comprehensive applicatie-inventarisatie met overzicht van alle goedgekeurde cloudapplicaties en hun risicoprofielen, OAuth app inventory met identificatie van alle apps die toegang hebben tot Microsoft 365 data en hun permission levels, data classification framework met definities van gevoelige data types zoals PII, financial data, intellectual property, en compliance data, user communication plan om gebruikers te informeren over cloud app security policies, sessie controls, en hoe ze kunnen rapporteren over false positives, security team email adres voor cloud app security incident notifications en escalaties, testing plan om te valideren dat business-critical applicaties en legitieme gebruikersactiviteiten niet false positive worden geblokkeerd, incident response procedures voor hoe security team reageert op detected threats, compromised accounts, en risicovolle OAuth apps, quarterly review proces voor evaluatie van policy effectiveness, shadow IT trends, en emerging threat patterns, en compliance mapping documentatie die beschrijft hoe cloud app security policies voldoen aan NIS2, ISO 27001, BIO en AVG requirements.
Daarnaast is het essentieel om vooraf een risicoanalyse uit te voeren die identificeert welke cloudapplicaties kritiek zijn voor de organisatie, welke applicaties hoog risico vormen, en welke gebruikersgroepen extra monitoring nodig hebben. Executives en finance teams gebruiken vaak gevoelige data in cloudapplicaties, IT admins hebben toegang tot kritieke systemen, en externe gebruikers kunnen risico vormen voor data leakage. Deze risicoanalyse vormt de basis voor het definiëren van priority app protection, stricter policy settings voor high-risk applicaties, en user-based policies voor gevoelige gebruikersgroepen. Ook moet worden bepaald welke data types als gevoelig worden beschouwd en extra bescherming nodig hebben, inclusief PII, financial data, intellectual property, en compliance-gerelateerde data.
Implementatie van Cloud App Security Beleidsregels
Gebruik PowerShell-script cloud-app-security-policies.ps1 (functie Invoke-Remediation) – PowerShell script voor automatische configuratie van comprehensive cloud app security policies met Cloud Discovery, OAuth app governance, activity policies, file policies, session policies en anomaly detection.
Implementatie van cloud app security beleidsregels via het Defender voor Cloud Apps portal begint met het navigeren naar portal.cloudappsecurity.com en inloggen met een Global Administrator of Security Administrator account. Configureer vervolgens de zes primaire beschermingscomponenten:
Stap 1: Cloud Discovery Configuratie - Navigeer naar Discover → Cloud Discovery → Automatic log upload en configureer automatische upload van logbestanden van netwerkapparaten. Upload logbestanden van proxy's, firewalls of andere netwerkapparaten om alle gebruikte cloudapplicaties te identificeren. Het systeem analyseert automatisch alle cloudverkeer en identificeert shadow IT applicaties die buiten het zicht van IT opereren. Review de discovered apps en classificeer ze als Sanctioned (goedgekeurd), Unsanctioned (niet goedgekeurd maar toegestaan), of Blocked (geblokkeerd). Configureer risicoscoring per applicatie op basis van security features, compliance certificeringen (zoals ISO 27001, SOC 2), data residency, en encryption capabilities. Deze classificatie vormt de basis voor policy enforcement en risk management.
Stap 2: OAuth App Governance - Navigeer naar Investigate → OAuth apps om alle OAuth-apps te zien die toegang hebben tot Microsoft 365 data. Review alle apps en identificeer risicovolle apps op basis van criteria zoals apps met overmatige permissions (bijvoorbeeld apps die 'Read all files' of 'Full access' hebben terwijl ze alleen basis functionaliteit nodig hebben), apps van onbekende publishers of publishers zonder verificatie, apps die niet worden gebruikt maar wel toegang hebben tot data, apps die verdacht gedrag vertonen zoals ongebruikelijke API calls of data access patterns, en apps die niet voldoen aan compliance requirements. Configureer OAuth app policies om automatisch alerts te genereren voor risicovolle apps, of blokkeer apps automatisch die niet voldoen aan security criteria. Review en approve alle nieuwe OAuth app requests voordat ze toegang krijgen tot bedrijfsdata.
Stap 3: Activity Policies Configuratie - Navigeer naar Control → Policies → Activity policies en maak nieuwe policies voor detectie van verdachte activiteiten. Configureer policies voor ongebruikelijke aanmeldlocaties door geografische anomalieën te detecteren (bijvoorbeeld aanmelding vanuit Nederland gevolgd door aanmelding vanuit Azië binnen enkele uren), massale downloads door te detecteren wanneer gebruikers grote hoeveelheden bestanden downloaden in korte tijd, bulk export van data door te detecteren wanneer gebruikers grote datasets exporteren uit cloudapplicaties, ongebruikelijke sharing activiteiten door te detecteren wanneer gebruikers gevoelige bestanden delen met externe gebruikers of publieke links, en verdachte beheerdersactiviteiten door te detecteren wanneer admins ongebruikelijke configuratiewijzigingen maken. Configureer voor elke policy de gewenste acties: Alert only voor monitoring, Block session voor automatische blokkering, of Require step-up authentication voor extra verificatie. Test policies in monitoring mode voordat je automatische acties activeert om false positives te voorkomen.
Stap 4: File Policies Configuratie - Navigeer naar Control → Policies → File policies en maak policies voor data loss prevention. Configureer policies voor gevoelige bestanden op basis van sensitivity labels door policies te maken die automatisch bestanden scannen die sensitivity labels hebben zoals 'Confidential' of 'Highly Confidential', data classification patterns door custom patterns te definiëren voor creditcard nummers, BSN-nummers, bankrekeningnummers, of andere PII, file types door policies te maken voor specifieke bestandstypen zoals Excel bestanden met financiële data, of Word documenten met contracten, en sharing patterns door te detecteren wanneer gevoelige bestanden worden gedeeld met externe gebruikers of via publieke links. Configureer voor elke policy de gewenste acties: Quarantine voor automatische isolatie van gevoelige bestanden, Encrypt voor automatische encryptie, Block sharing voor blokkering van externe sharing, of Alert only voor monitoring. Test file policies zorgvuldig om te voorkomen dat legitieme business processen worden verstoord.
Stap 5: Session Policies Configuratie - Navigeer naar Control → Policies → Session policies en configureer real-time session control via Conditional Access App Control. Deze policies werken samen met Azure AD Conditional Access om sessies te monitoren en te controleren in real-time. Configureer policies voor device compliance door sessies te blokkeren of te beperken wanneer gebruikers toegang krijgen vanaf niet-compliant devices, locatie-based control door sessies te blokkeren of te waarschuwen wanneer gebruikers toegang krijgen vanaf risicovolle locaties, gebruiker risicoscore door sessies te blokkeren wanneer gebruikers een hoge risicoscore hebben van Identity Protection, app risicoscore door sessies te blokkeren wanneer applicaties een hoog risico vormen, en download control door downloads te blokkeren van gevoelige bestanden tijdens sessies. Configureer session control modes: Monitor only voor monitoring zonder blokkering, Block downloads voor blokkering van downloads maar toegang tot bestanden, Read-only voor read-only toegang zonder wijzigingen of downloads, of Block voor volledige sessie blokkering. Session policies vereisen Conditional Access App Control te zijn geconfigureerd voor de betreffende applicaties.
Stap 6: Anomaly Detection Policies - Navigeer naar Investigate → Security configuration → Anomaly detection policies en activeer machine learning gebaseerde detectie van afwijkend gedrag. Configureer detectie voor impossible travel door te detecteren wanneer gebruikers aanmelden vanaf geografisch onmogelijke locaties (bijvoorbeeld Nederland en Azië binnen enkele uren), activiteit vanaf risicovolle IP-adressen door te detecteren wanneer gebruikers toegang krijgen vanaf IP-adressen die bekend staan om kwaadaardige activiteiten, ongebruikelijke inactiviteit gevolgd door activiteit door te detecteren wanneer accounts die lang inactief waren plotseling actief worden, bulk file deletion door te detecteren wanneer gebruikers grote hoeveelheden bestanden verwijderen, ransomware activiteit door te detecteren wanneer bestanden worden versleuteld of gewijzigd in patronen die wijzen op ransomware, en ongebruikelijke admin activiteit door te detecteren wanneer beheerders ongebruikelijke configuratiewijzigingen maken. Anomaly detection policies gebruiken machine learning om normale gebruikerspatronen te leren en afwijkingen te detecteren. Review anomaly alerts regelmatig en tune policies op basis van false positive rates.
Na configuratie moeten alle policies worden getest om te valideren dat legitieme business processen niet worden verstoord. Test activity policies met normale gebruikersactiviteiten, test file policies met verschillende bestandstypen en sharing scenarios, test session policies met verschillende devices en locaties, en verifieer dat anomaly detection policies niet te veel false positives genereren. Monitor alerts regelmatig tijdens de eerste weken na implementatie om policies te tunen en false positives te minimaliseren.
Monitoring en Effectiviteit Meting
Gebruik PowerShell-script cloud-app-security-policies.ps1 (functie Invoke-Monitoring) – Controleert of cloud app security policies zijn geconfigureerd en rapporteert status van Cloud Discovery, OAuth apps, activity policies, file policies, session policies en anomaly detection.
Continue monitoring van cloud app security beleidsregels is essentieel om de effectiviteit te meten, shadow IT trends te identificeren, en emerging threat patterns te detecteren. Start met het Defender voor Cloud Apps portal dashboard op portal.cloudappsecurity.com, waar een overzicht wordt getoond van alle geconfigureerde policies, detected threats, discovered apps, en recente activiteiten. Review de Cloud Discovery dashboard regelmatig via Discover → Cloud Discovery → Discovered apps om trends te identificeren in shadow IT gebruik, nieuwe applicaties die worden gebruikt, en risicovolle applicaties die aandacht nodig hebben. Analyseer usage statistics per applicatie om te begrijpen welke applicaties het meest worden gebruikt en welke applicaties mogelijk moeten worden goedgekeurd of geblokkeerd.
Monitor OAuth apps via Investigate → OAuth apps om risicovolle apps te identificeren die aandacht nodig hebben. Review apps met overmatige permissions, apps van onbekende publishers, apps die niet worden gebruikt, en apps die verdacht gedrag vertonen. Blokkeer of beperk permissions voor risicovolle apps en documenteer alle beslissingen voor audit doeleinden. Gebruik Activity log voor gedetailleerde analyse van gebruikersactiviteiten: Navigate naar Investigate → Activity log, filter op specifieke applicaties, gebruikers, of activiteit types om verdachte activiteiten te identificeren, analyseer trends in gebruikersactiviteiten om normale patronen te begrijpen en afwijkingen te detecteren, review alerts en incidents om te zien welke threats zijn gedetecteerd en hoe ze zijn afgehandeld, en exporteer data voor trendanalyse over meerdere maanden.
Analyseer file policies effectiveness via Control → Policies → File policies → Policy performance om te zien hoeveel bestanden zijn gescand, hoeveel bestanden zijn geblokkeerd of in quarantaine geplaatst, en welke bestanden false positive zijn gemarkeerd. Review quarantined files regelmatig om te identificeren welke bestanden legitiem zijn en moeten worden vrijgegeven, en welke bestanden daadwerkelijk risico vormen. Monitor session policies via Control → Policies → Session policies → Policy performance om te zien hoeveel sessies zijn gemonitord, hoeveel sessies zijn geblokkeerd of beperkt, en welke gebruikers of applicaties het meest worden beïnvloed door session controls. Meet policy effectiveness door detection rates te tracken: aantal detected threats per maand, percentage van shadow IT applicaties die zijn geïdentificeerd, aantal risicovolle OAuth apps die zijn geblokkeerd of beperkt, aantal false positives en impact op business operations, en user compliance rates met cloud app security policies.
Voer quarterly reviews uit waarbij policy effectiveness wordt geëvalueerd, policy settings worden getuned op basis van threat landscape changes, shadow IT trends worden geanalyseerd om te identificeren welke applicaties moeten worden goedgekeurd of geblokkeerd, OAuth app governance wordt gecontroleerd om te verifiëren dat alle risicovolle apps zijn geïdentificeerd en aangepakt, en threat intelligence wordt geüpdatet met nieuwe cloud app security patterns en techniques. Document alle bevindingen in een cloud app security effectiveness rapport dat wordt gedeeld met security team, management en compliance officers.
Remediatie en Troubleshooting
Gebruik PowerShell-script cloud-app-security-policies.ps1 (functie Invoke-Remediation) – Herstelt ontbrekende cloud app security policies of configureert comprehensive cloud app security protection volgens best practices.
Voor problemen met cloud app security beleidsregels zijn verschillende remediatiestrategieën beschikbaar. Bij ontbrekende policies moet eerst worden geïdentificeerd welke policies ontbreken via het monitoring script, waarna ontbrekende policies worden geconfigureerd via het portal. Verifieer dat alle kritieke applicaties zijn geconfigureerd voor monitoring en protection, en test policies na configuratie om te valideren dat protection werkt zoals verwacht.
Bij false positive blocking moeten alerts worden gereviewd om legitieme activiteiten te identificeren die false positive zijn gemarkeerd. Pas policy thresholds aan door sensitivity levels te verlagen indien te veel false positives optreden, voeg uitzonderingen toe voor bekende legitieme patronen, en document false positives in een log voor policy tuning en trendanalyse. Voor insufficient protection moet de detection effectiveness worden geanalyseerd om gaps te identificeren. Activeer additional protection features zoals advanced threat protection, upgrade naar stricter policies door van Alert only naar Block te switchen voor high-risk scenarios, implement priority app protection met stricter policies voor kritieke applicaties, en review anomaly detection settings om te zorgen dat afwijkend gedrag correct wordt gedetecteerd.
Bij OAuth app issues moeten alle OAuth apps worden gereviewd om risicovolle apps te identificeren. Blokkeer of beperk permissions voor apps met overmatige permissions, verwijder ongebruikte apps die toegang hebben tot data, en implementeer approval process voor nieuwe OAuth app requests. Bij Cloud Discovery issues moeten logbestanden worden gecontroleerd om te verifiëren dat logbestanden correct worden geüpload en geanalyseerd. Configureer automatische log upload indien nog niet geconfigureerd, verifieer dat alle relevante netwerkapparaten logbestanden leveren, en review discovered apps regelmatig om shadow IT te identificeren en te adresseren.
Compliance en Framework Mapping
Cloud App Security beleidsregels vormen een critical component van cloud security en zijn essentieel voor compliance met verschillende security frameworks. CIS Microsoft 365 Foundations Benchmark - control 3.1 (Zorg ervoor dat Cloud App Security is geconfigureerd voor shadow IT detection), control 3.2 (OAuth app governance is ingeschakeld), en control 3.3 (Activity policies zijn geconfigureerd voor anomalie detectie). BIO Baseline Informatiebeveiliging Overheid - Thema 13.01.01 (Cloud security - Shadow IT detection en governance), Thema 13.01.02 (SaaS beveiliging - OAuth app security en session control), en Thema 12.05 (Identity management - Bescherming tegen account compromittering via cloud apps). ISO 27001:2022 A.8.16 (Security event monitoring - Cloud app activity monitoring en threat detection), A.13.2.1 (Information transfer beleidsregels - Cloud app data loss prevention), en A.7.4 (Human resource security - User awareness en cloud app security training). NIS2 Artikel 21 (Cybersecurity risicobeheer - Cloud app threat detection en prevention maatregelen) en Artikel 23 (Incident response - Cloud app security detection capabilities). AVG Artikel 32 (Beveiliging van verwerking - Bescherming tegen data breaches via cloud apps) en Artikel 25 (Data protection by design - Cloud app security controls). Cloud App Security policies moeten worden behandeld als critical security controls die regelmatig worden gereviewd, getest en geüpdatet op basis van emerging cloud app threats. Alle policy wijzigingen moeten worden gelogd voor audit doeleinden en policy effectiveness moet worden gemeten via threat detection rates, shadow IT identification rates, OAuth app risk reduction, en false positive rates.
Compliance & Frameworks
- CIS M365: Control (L1) - CIS Microsoft 365 Foundations Benchmark - Cloud App Security geconfigureerd voor shadow IT detection, OAuth app governance en activity policies
- BIO: 13.01.01, 13.01.02, 12.05 - BIO Baseline Informatiebeveiliging Overheid - Thema 13: Cloud security - Shadow IT detection, SaaS beveiliging en OAuth app security
- ISO 27001:2022: A.8.16, A.13.2.1, A.7.4 - ISO 27001:2022 - Security event monitoring, information transfer policies, en human resource security voor cloud app security
- NIS2: Artikel - NIS2 - Cybersecurity risicobeheer en incident response met cloud app security detection capabilities
Automation
Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).
PowerShell
<#
.SYNOPSIS
Cloud App Security Policies: Beveiliging en Governance voor SaaS-Applicaties
.DESCRIPTION
Configureert comprehensive cloud app security policies in Microsoft Defender voor Cloud Apps
inclusief Cloud Discovery, OAuth app governance, activity policies, file policies,
session policies en anomaly detection voor complete SaaS-beveiliging.
.NOTES
Filename: cloud-app-security-policies.ps1
Author: Nederlandse Baseline voor Veilige Cloud
Created: 2025-01-15
Last Modified: 2025-01-15
Version: 1.0
Related JSON: content/m365/cloud-apps/cloud-app-security-policies.json
.LINK
https://github.com/[org]/m365-tenant-best-practise
.EXAMPLE
.\cloud-app-security-policies.ps1 -Monitoring
Controleert of alle cloud app security policies zijn geconfigureerd
.EXAMPLE
.\cloud-app-security-policies.ps1 -Remediation
Configureert comprehensive cloud app security policies volgens best practices
#>
#Requires -Version 5.1
[CmdletBinding()]
param(
[Parameter()]
[switch]$WhatIf,
[Parameter()]
[switch]$Monitoring,
[Parameter()]
[switch]$Remediation
)
$ErrorActionPreference = 'Stop'
$VerbosePreference = 'Continue'
function Connect-RequiredServices {
<#
.SYNOPSIS
Verbindt met benodigde Microsoft services
#>
[CmdletBinding()]
param()
Write-Verbose "Defender voor Cloud Apps vereist handmatige configuratie via portal"
Write-Verbose "Portal: https://portal.cloudappsecurity.com"
}
function Test-CloudAppSecurityPolicies {
<#
.SYNOPSIS
Test of cloud app security policies correct zijn geconfigureerd
.OUTPUTS
PSCustomObject met compliance resultaten
#>
[CmdletBinding()]
param()
Write-Verbose "Controleren van cloud app security policies..."
try {
$results = @{
IsCompliant = $false
CloudDiscoveryConfigured = $false
OAuthAppGovernanceConfigured = $false
ActivityPoliciesConfigured = $false
FilePoliciesConfigured = $false
SessionPoliciesConfigured = $false
AnomalyDetectionConfigured = $false
MissingFeatures = @()
Recommendations = @()
}
Write-Host "`n Cloud App Security Policies:" -ForegroundColor Cyan
Write-Host " ⚠️ Defender voor Cloud Apps vereist handmatige verificatie" -ForegroundColor Yellow
Write-Host " Portal: https://portal.cloudappsecurity.com" -ForegroundColor Gray
Write-Host "`n Te controleren componenten:" -ForegroundColor Cyan
# Cloud Discovery
Write-Host " Cloud Discovery:" -ForegroundColor Yellow
Write-Host " • Navigeer naar: Discover → Cloud Discovery" -ForegroundColor Gray
Write-Host " • Controleer of logbestanden worden geüpload" -ForegroundColor Gray
Write-Host " • Review discovered apps en classificaties" -ForegroundColor Gray
$results.Recommendations += "Configureer Cloud Discovery voor shadow IT detection"
# OAuth App Governance
Write-Host "`n OAuth App Governance:" -ForegroundColor Yellow
Write-Host " • Navigeer naar: Investigate → OAuth apps" -ForegroundColor Gray
Write-Host " • Review alle OAuth apps met toegang tot M365 data" -ForegroundColor Gray
Write-Host " • Identificeer risicovolle apps (overmatige permissions, onbekende publishers)" -ForegroundColor Gray
$results.Recommendations += "Configureer OAuth app governance policies"
# Activity Policies
Write-Host "`n Activity Policies:" -ForegroundColor Yellow
Write-Host " • Navigeer naar: Control → Policies → Activity policies" -ForegroundColor Gray
Write-Host " • Controleer of policies zijn geconfigureerd voor:" -ForegroundColor Gray
Write-Host " - Ongebruikelijke aanmeldlocaties" -ForegroundColor Gray
Write-Host " - Massale downloads" -ForegroundColor Gray
Write-Host " - Bulk export van data" -ForegroundColor Gray
Write-Host " - Verdachte beheerdersactiviteiten" -ForegroundColor Gray
$results.Recommendations += "Configureer activity policies voor anomalie detectie"
# File Policies
Write-Host "`n File Policies:" -ForegroundColor Yellow
Write-Host " • Navigeer naar: Control → Policies → File policies" -ForegroundColor Gray
Write-Host " • Controleer of policies zijn geconfigureerd voor:" -ForegroundColor Gray
Write-Host " - Sensitivity labels" -ForegroundColor Gray
Write-Host " - Data classification patterns (PII, BSN, creditcard)" -ForegroundColor Gray
Write-Host " - Externe sharing van gevoelige bestanden" -ForegroundColor Gray
$results.Recommendations += "Configureer file policies voor data loss prevention"
# Session Policies
Write-Host "`n Session Policies:" -ForegroundColor Yellow
Write-Host " • Navigeer naar: Control → Policies → Session policies" -ForegroundColor Gray
Write-Host " • Controleer of Conditional Access App Control is geconfigureerd" -ForegroundColor Gray
Write-Host " • Review session control modes (Monitor, Block downloads, Read-only, Block)" -ForegroundColor Gray
$results.Recommendations += "Configureer session policies voor real-time session control"
# Anomaly Detection
Write-Host "`n Anomaly Detection:" -ForegroundColor Yellow
Write-Host " • Navigeer naar: Investigate → Security configuration → Anomaly detection" -ForegroundColor Gray
Write-Host " • Controleer of anomaly detection policies zijn geactiveerd:" -ForegroundColor Gray
Write-Host " - Impossible travel" -ForegroundColor Gray
Write-Host " - Risicovolle IP-adressen" -ForegroundColor Gray
Write-Host " - Ongebruikelijke inactiviteit" -ForegroundColor Gray
Write-Host " - Bulk file deletion" -ForegroundColor Gray
Write-Host " - Ransomware activiteit" -ForegroundColor Gray
$results.Recommendations += "Activeer anomaly detection policies voor ML-based threat detection"
# Note: Defender voor Cloud Apps heeft geen directe PowerShell API voor policy management
# Policies moeten handmatig worden geconfigureerd via de portal
$results.MissingFeatures += "Handmatige verificatie vereist via portal.cloudappsecurity.com"
return $results
}
catch {
Write-Error "Fout bij controleren van cloud app security policies: $_"
throw
}
}
function Invoke-Monitoring {
<#
.SYNOPSIS
Monitort de compliance status van cloud app security policies
#>
[CmdletBinding()]
param()
Write-Host "`nMonitoring: Cloud App Security Policies" -ForegroundColor Yellow
Write-Host "===========================================" -ForegroundColor Yellow
$result = Test-CloudAppSecurityPolicies
Write-Host "`nResultaten:" -ForegroundColor Cyan
Write-Host " Defender voor Cloud Apps vereist handmatige verificatie" -ForegroundColor Yellow
Write-Host " Portal: https://portal.cloudappsecurity.com" -ForegroundColor Cyan
if ($result.Recommendations.Count -gt 0) {
Write-Host "`n Aanbevelingen:" -ForegroundColor Cyan
foreach ($recommendation in $result.Recommendations) {
Write-Host " - $recommendation" -ForegroundColor Yellow
}
}
Write-Host "`n Handmatige verificatie stappen:" -ForegroundColor Cyan
Write-Host " 1. Log in op portal.cloudappsecurity.com met Global Admin of Security Admin" -ForegroundColor Gray
Write-Host " 2. Controleer Cloud Discovery configuratie en discovered apps" -ForegroundColor Gray
Write-Host " 3. Review OAuth apps en identificeer risicovolle apps" -ForegroundColor Gray
Write-Host " 4. Controleer Activity policies voor anomalie detectie" -ForegroundColor Gray
Write-Host " 5. Review File policies voor data loss prevention" -ForegroundColor Gray
Write-Host " 6. Verifieer Session policies en Conditional Access App Control" -ForegroundColor Gray
Write-Host " 7. Controleer Anomaly detection policies en alerts" -ForegroundColor Gray
Write-Host "`n⚠️ HANDMATIGE VERIFICATIE VEREIST" -ForegroundColor Yellow
Write-Host " Defender voor Cloud Apps heeft geen directe PowerShell API voor policy management" -ForegroundColor Gray
Write-Host " Alle policies moeten handmatig worden geconfigureerd via de portal" -ForegroundColor Gray
exit 0
}
function Invoke-Remediation {
<#
.SYNOPSIS
Configureert comprehensive cloud app security policies volgens best practices
#>
[CmdletBinding()]
param()
Write-Host "`nRemediatie: Cloud App Security Policies Configureren" -ForegroundColor Yellow
Write-Host "======================================================" -ForegroundColor Yellow
try {
Write-Host "`n⚠️ Defender voor Cloud Apps vereist handmatige configuratie" -ForegroundColor Yellow
Write-Host " Portal: https://portal.cloudappsecurity.com" -ForegroundColor Cyan
Write-Host "`n Configuratie instructies:" -ForegroundColor Cyan
Write-Host "`n 1. Cloud Discovery Configuratie:" -ForegroundColor Yellow
Write-Host " • Navigeer naar: Discover → Cloud Discovery → Automatic log upload" -ForegroundColor Gray
Write-Host " • Upload logbestanden van proxy's, firewalls of netwerkapparaten" -ForegroundColor Gray
Write-Host " • Review discovered apps en classificeer als Sanctioned/Unsanctioned/Blocked" -ForegroundColor Gray
Write-Host " • Configureer risicoscoring per applicatie" -ForegroundColor Gray
Write-Host "`n 2. OAuth App Governance:" -ForegroundColor Yellow
Write-Host " • Navigeer naar: Investigate → OAuth apps" -ForegroundColor Gray
Write-Host " • Review alle OAuth apps met toegang tot M365 data" -ForegroundColor Gray
Write-Host " • Identificeer en blokkeer risicovolle apps:" -ForegroundColor Gray
Write-Host " - Apps met overmatige permissions" -ForegroundColor Gray
Write-Host " - Apps van onbekende publishers" -ForegroundColor Gray
Write-Host " - Ongebruikte apps met data toegang" -ForegroundColor Gray
Write-Host " • Configureer OAuth app policies voor automatische alerts" -ForegroundColor Gray
Write-Host "`n 3. Activity Policies:" -ForegroundColor Yellow
Write-Host " • Navigeer naar: Control → Policies → Activity policies" -ForegroundColor Gray
Write-Host " • Maak policies voor:" -ForegroundColor Gray
Write-Host " - Ongebruikelijke aanmeldlocaties (geografische anomalieën)" -ForegroundColor Gray
Write-Host " - Massale downloads (grote hoeveelheden bestanden)" -ForegroundColor Gray
Write-Host " - Bulk export van data" -ForegroundColor Gray
Write-Host " - Ongebruikelijke sharing activiteiten" -ForegroundColor Gray
Write-Host " - Verdachte beheerdersactiviteiten" -ForegroundColor Gray
Write-Host " • Configureer acties: Alert only, Block session, of Require step-up authentication" -ForegroundColor Gray
Write-Host "`n 4. File Policies:" -ForegroundColor Yellow
Write-Host " • Navigeer naar: Control → Policies → File policies" -ForegroundColor Gray
Write-Host " • Maak policies voor gevoelige bestanden:" -ForegroundColor Gray
Write-Host " - Sensitivity labels (Confidential, Highly Confidential)" -ForegroundColor Gray
Write-Host " - Data patterns (BSN, creditcard, bankrekeningnummers)" -ForegroundColor Gray
Write-Host " - Externe sharing van gevoelige bestanden" -ForegroundColor Gray
Write-Host " • Configureer acties: Quarantine, Encrypt, Block sharing, of Alert only" -ForegroundColor Gray
Write-Host "`n 5. Session Policies:" -ForegroundColor Yellow
Write-Host " • Navigeer naar: Control → Policies → Session policies" -ForegroundColor Gray
Write-Host " • Configureer Conditional Access App Control voor kritieke apps" -ForegroundColor Gray
Write-Host " • Maak policies voor:" -ForegroundColor Gray
Write-Host " - Device compliance (blokkeer niet-compliant devices)" -ForegroundColor Gray
Write-Host " - Locatie-based control (blokkeer risicovolle locaties)" -ForegroundColor Gray
Write-Host " - Gebruiker risicoscore (blokkeer hoge risico gebruikers)" -ForegroundColor Gray
Write-Host " - Download control (blokkeer downloads van gevoelige bestanden)" -ForegroundColor Gray
Write-Host " • Configureer session control modes: Monitor, Block downloads, Read-only, of Block" -ForegroundColor Gray
Write-Host "`n 6. Anomaly Detection:" -ForegroundColor Yellow
Write-Host " • Navigeer naar: Investigate → Security configuration → Anomaly detection" -ForegroundColor Gray
Write-Host " • Activeer anomaly detection policies:" -ForegroundColor Gray
Write-Host " - Impossible travel (geografisch onmogelijke locaties)" -ForegroundColor Gray
Write-Host " - Risicovolle IP-adressen" -ForegroundColor Gray
Write-Host " - Ongebruikelijke inactiviteit gevolgd door activiteit" -ForegroundColor Gray
Write-Host " - Bulk file deletion" -ForegroundColor Gray
Write-Host " - Ransomware activiteit" -ForegroundColor Gray
Write-Host " • Review anomaly alerts regelmatig en tune policies op basis van false positives" -ForegroundColor Gray
Write-Host "`n Belangrijke opmerkingen:" -ForegroundColor Cyan
Write-Host " • Test alle policies in monitoring mode voordat je automatische acties activeert" -ForegroundColor Yellow
Write-Host " • Monitor alerts regelmatig tijdens de eerste weken na implementatie" -ForegroundColor Yellow
Write-Host " • Tune policies op basis van false positive rates" -ForegroundColor Yellow
Write-Host " • Document alle policy configuraties voor audit doeleinden" -ForegroundColor Yellow
Write-Host "`n✅ Cloud app security policies configuratie instructies verstrekt" -ForegroundColor Green
Write-Host " Configureer alle policies handmatig via portal.cloudappsecurity.com" -ForegroundColor Yellow
exit 0
}
catch {
Write-Error "Fout bij configureren van cloud app security policies: $_"
Write-Host " Handmatige configuratie: portal.cloudappsecurity.com" -ForegroundColor Yellow
exit 2
}
}
# ============================================================================
# MAIN EXECUTION
# ============================================================================
try {
Write-Host "`n========================================" -ForegroundColor Cyan
Write-Host "Cloud App Security Policies" -ForegroundColor Cyan
Write-Host "Nederlandse Baseline voor Veilige Cloud" -ForegroundColor Cyan
Write-Host "========================================`n" -ForegroundColor Cyan
# Execute based on parameters
if ($Monitoring) {
Invoke-Monitoring
}
elseif ($Remediation) {
Invoke-Remediation
}
else {
# Default: Compliance check
$result = Test-CloudAppSecurityPolicies
Write-Host "`n⚠️ HANDMATIGE VERIFICATIE VEREIST" -ForegroundColor Yellow
Write-Host " Defender voor Cloud Apps heeft geen directe PowerShell API" -ForegroundColor Gray
Write-Host " Gebruik -Monitoring voor gedetailleerde verificatie instructies" -ForegroundColor Yellow
Write-Host " Gebruik -Remediation voor configuratie instructies" -ForegroundColor Yellow
return $result
}
}
catch {
Write-Error "Error: $_"
throw
}
finally {
Write-Host "`n========================================`n" -ForegroundColor Cyan
}
Risico zonder implementatie
Risico zonder implementatie
High: Zonder cloud app security beleidsregels zijn organisaties kwetsbaar voor shadow IT met ongecontroleerde data flows, risicovolle OAuth-apps, account compromittering, data exfiltration en aanzienlijke compliance-risico's. Shadow IT is een groeiend probleem waarbij 80%+ van organisaties honderden ongoedgekeurde cloudapplicaties gebruiken zonder IT-kennis. Zonder adequate bescherming blijven deze risico's onopgemerkt met catastrofale gevolgen: data breaches, compliance violations, en reputatieschade.
Management Samenvatting
Configureer comprehensive cloud app security policies met Cloud Discovery (shadow IT detection), OAuth app governance (risicovolle apps identificeren en blokkeren), Activity policies (anomalie detectie), File policies (data loss prevention), Session policies (real-time session control), en Anomaly detection policies (machine learning gebaseerde threat detection). Implementeer multi-layer defense strategie voor alle SaaS-applicaties. Voldoet aan CIS 3.1-3.3 (L1), BIO 13.01.01/13.01.02, ISO 27001 A.8.16/A.13.2.1, NIS2, AVG Artikel 32/25. Implementatie: 16 uur technisch + 24 uur voor governance, testing en documentatie. CRITICAL voor cloud app security.
- Implementatietijd: 40 uur
- FTE required: 0.3 FTE