Microsoft Cloud App Security ist ein SaaS Werkzeug. Als CASB-Lösung (Cloud Access Security Broker) erhaltet ihr wichtige Einblicke in Cloud-Apps und -dienste. Mit den erweiterten Analysemöglichkeiten können Bedrohungen schneller erkannt, analysieren und abgewehrt werden. So ist die Möglichkeit der Automatisierung z.B. mit Microsoft Flow und aus dem Werkzeug heraus hoch. Was das Werkzeug in Bezug auf eine Risikobewertung von Apps noch kann, beschreibe ich in dem folgenden Blogpost:
Voraussetzung
Um MCAS zu nutzen müsst ihr folgende Lizenzen zumindest einem User zuordnen:
- Enterprise Mobility +Security E3
- Enterprise Mobility + Security E5
Weitere Informationen:
https://www.microsoft.com/de-de/cloud-platform/enterprise-mobility-security-pricing
Apps analysieren
Mit MCAS könnt ihr sowohl Apps einbinden und diese absichern, sondern auch analysieren. Hierbei
Cloud-App-Katalog
In MCAS findet ihr einen Cloud-App Katalog unter dem Punkt “Ermitteln”:
In diesem Cloud-App-Katalog sind mehrere tausend Apps aufgelistet und in 35 Kategorien aufgelistet. Die Filteroption ist ein echter Mehrwert:
Ihr könnt nach Apps suchen, Apps markieren, an Hand der von Microsoft durchgeführten Risikobewertung die Liste einschränken oder ein Faktor auswählen wie ISO 27001 oder einen Faktor für das Sicherheitsrisiko wie “Dateifreigabe” oder letztendlich eine Kategorie auswählen. Ebenfalls steht euch über die erweitere Ansicht die Möglichkeit zur Verfügung etwas eigenes zu definieren.
Zur Demonstration habe ich einmal die Kategorie “Cloudspeicher” ausgewählt:
Nun werden alle Cloudspeicher angezeigt, die obersten Treffer sind immer die Microsoft eigenen, aber danach folgen die bekannten Mitbewerber, aber auch Cloudspeicher, wie Cubby oder Zoolz.
Besonders gut finde ich, dass direkt angezeigt wird, welcher Cloudspeicher verbunden und um Einsatz ist. Dies erkennt man an dem kleinen blauen Symbol an dem OneDrive for Business Icon. Der schwarze Haken auf grünem Grund zeigt an, dass die App erlaubt ist. Weiterhin ist die Bewerbung 10 von 10 und grün:
Nun fällt bei all der grünen Punkte auch ein “Teilweise” auf. In diesem Punkt könnt ihr über, wie bei den anderen die Kriterien euch genauer anschauen. In diesem Fall fehlen Parameter wie “content-security-policy” und somit bei einer Gewichtung von 6% ist es noch grün, auch wenn diese Kategorie nur 6/10 möglichen Punkten bekommt.
Verbundene Apps
Der nächste Punkt sind “Verbundene Apps” und die App-Steuerung über Conditional Acces (über Azure einzurichten). 
Im Standard sind hier diese drei Applikationen hinterlegt, die eben zu eurem Office 365 Konto gehören. Aber es besteht die Möglichkeit weitere Apps aus einer Liste einzutragen oder Apps an vorzuschlagen:
OAuth-Apps
Azure AD ist der Identitätsprovider und Kontrollpanel für Anmeldungen. Der Azure AD Account kann mit verschiedensten 3rd Party Anwendungen über OAuth verbunden werden. So nutze ich den Account mit der Microsoft TechCommunity, als iOS und auch als Account für meinen QNAP.
Mit der vermehrten Zentralisierung der Accounts und damit den Zugängen zu den verschiedensten Anwendungen. Dies gilt es zu kontrollieren und zu überwachen.
In dem Bezug kommt MCAS nun ins Spiel. Es listet alle Applikationen auf und gibt die letzte Anmeldung aus, dies kennt ihr bereits aus der Azure AD, nun kommt aber noch die Berechtigungsstufe hinzu und Steuerungsmöglichkeiten:
Appliste der mit OAuth verbunden Apps in dem Tenant:
Über diese Ansicht lässt sich auch wunderbar herausfinden, ob Applikationen im Einsatz sind, die es nicht hätten sein dürfen. Es dient wunderbar zum Überblick über die eigene IT Umgebung, aber auch um Schatten-IT aufzudecken um dann mit den entsprechen MitarbeiterInnen sprechen zu können.
Ihr könnt noch einen Schritt weiter gehen und euch die App noch genauer anschauen:
Ich habe zu Zwecken der Demonstration einmal die Applikation “MS Tech Comm” genommen. Hierbei handelt es sich um die Microsoft Community mit nun mehr als 70.000 Mitgliedern. Es ist eine Webseite (https://techcommunity.microsoft.com) mit Foren und z.B. Zugriff auf Folien und Ressourcen der Microsoft Ignite Tour.
Also schauen wir uns einmal den Namen “MS Tech Comm”, Beschreibung “O365 Netzwerk” und den Herausgeber an: “Microsoft.” Hier hat bei der Erstellung jemand etwas ungenau gearbeitet.
Ihr könnt oben auf der rechten Seite die App generell blockieren oder auch freigeben. Hinter den drei Punkten versteckt sich die Option die App an Microsoft zu melden. 
Weiterhin besteht die Möglichkeit die Berechtigungen sich genauer anzusehen. Diesen habt ihr bei der Verbindung der App mit eurem Azure AD Account zugestimmt:
Die Webseitenapplikation hat nun zu jeder Zeit Zugriff auf meine Daten, kann meine Basis Profilinformationen einsehen (wird für das Profil auf der Webseite benötigt) und kann meine Emailadresse sehen (wird zum Login benötigt und in der Webseite für z.B. die News Funktion). Weiterhin ist der Sign-in und das Lesen des Profils gestattet, sowie mich einzuloggen und mein Profil zu lesen.Dies ist im Vergleich zu anderen Communities oder auch Office 365 als Appliation (nur 3) recht viel.
Der mittlere Punkt “Verwendung in Community” zeigt lediglich, wie häufig die App bei anderen Organisationen verwendet wird. In diesem Fall “Häufig”, dies freut das Tech Community Team.
Letztlich gibt es die Möglichkeit das Aktivitätsprotokoll auf Unregelmäßigkeiten zu prüfen.
Weitere Informationen:
https://docs.microsoft.com/de-de/cloud-app-security/discovered-apps
Apps und der Datenschutz – Eine Vorprüfung durch Microsoft
MCAS kann euch ebenfalls bei der Prüfung der Apps und deren Anbieter helfen. Wir haben den ersten Teil oben uns bei dem Punkt “Cloud App Liste” angeschaut, aber nun kommt der für den Datenschutz ebenfalls wichtige Bereich. Wir bleiben bei dem Beispiel OneDrive for Business.
Ich hatte euch zwei Kategorien unterschlagen:
Es gibt noch die Kategorie “Compliance” und “Rechtliche Hinweise”. Auch hier ist fast alles grün und vorhanden. Aber wir finden etwas zur Datenaufbewahrungsrichtlinie:
Dies zeigt schön auf, an welchem Punkt Microsoft noch arbeiten muss und sich verbessern.
Microsoft bewert sich selber doch immer grün oder doch nicht?
Interessant ist, dass bei Microsoft im Backend ein Team sitzt, die wie wir auch Appprüfungen durchführen. Dabei nutzen sie Microsoft Quellen, aber eben auch andere Quellen Dritter, die eben auch nicht positiv sind. Dies seht ihr oben über diesem Abschnitt.
Dennoch ist dies für mich eine Vorprüfung. So bin ich sicher, dass ich erstmal nichts vergesse und ich erhalte auch noch Hinweise, welchen Punkt ich vielleicht noch übersehen habe.
-> Gut zur Vorprüfung, aber die eigene Prüfung fällt damit nicht aus!
Hinweis: Für eine saubere Appprüfung benötigt ihr sowohl einen ITler, als auch einen IT-Rechtsanwalt oder eben beides in Einem. Ein ITler alleine kann nur die Hälfte der Bewertungen durchführen!