M18 – Microsoft Defender for Cloud Apps

01 · Lý thuyết

MDCA là gì? – CASB (Cloud Access Security Broker)

Microsoft Defender for Cloud Apps (MDCA) — trước đây gọi là Microsoft Cloud App Security (MCAS) — là giải pháp CASB đặt giữa người dùng và cloud apps, kiểm soát và giám sát toàn bộ hoạt động cloud.

CASB Framework	Tính năng MDCA tương ứng
Visibility	Shadow IT Discovery — phát hiện tất cả cloud apps nhân viên đang dùng
Compliance	App risk score, GDPR/ISO 27001 compliance assessment cho từng app
Data Security	DLP policies, sensitive data scanning trong cloud storage
Threat Protection	Anomaly detection, impossible travel, mass download alerts

Shadow IT Discovery – Tìm cloud apps "chui"

Shadow IT là các cloud apps nhân viên tự dùng mà IT không biết (Dropbox cá nhân, ChatGPT, Telegram...). MDCA phát hiện qua:

Log upload: Upload firewall/proxy logs vào MDCA để phân tích traffic
MDE integration: Nếu thiết bị đã onboard MDE, network traffic tự động được phân tích — không cần log upload
App catalog: MDCA có database 31.000+ cloud apps với risk score 0-10

App Governance – Kiểm soát OAuth apps

Nhiều app bên thứ ba yêu cầu quyền OAuth vào M365 (đọc email, ghi OneDrive...). App Governance trong MDCA cho phép:

Tính năng	Mô tả
App inventory	Xem tất cả OAuth apps đang có quyền truy cập tenant
Permission review	App X có Mail.ReadWrite — có cần thiết không?
Revoke consent	Thu hồi quyền app bị compromise hoặc không cần thiết
App policies	Alert khi app mới yêu cầu high-privilege permissions
Publisher verification	Block apps chưa được verified publisher

Session Control – Kiểm soát trong phiên làm việc

Kết hợp MDCA với Conditional Access App Control, có thể kiểm soát hành động trong phiên làm việc (không chỉ cho phép/chặn truy cập):

Block download file nhạy cảm từ SharePoint khi dùng thiết bị unmanaged
Block upload file lên OneDrive khi đăng nhập từ địa điểm rủi ro
Watermark tài liệu SharePoint khi xem trên thiết bị BYOD
Block copy/paste nội dung từ web app ra clipboard

Licensing: MDCA cần license riêng hoặc đi kèm M365 E5 / E5 Security / EMS E5. Một số tính năng cơ bản (Defender for Cloud Apps integration) có trong M365 E3 nhưng giới hạn.

02 · Thực hành

Lab A: Khám phá Shadow IT qua MDE Integration

Thực hành tại: security.microsoft.com → Cloud apps → Cloud app discovery

Vào security.microsoft.com → Cloud apps → Cloud app discovery
Tab Discovered apps: xem tất cả cloud apps được phát hiện từ traffic
Filter: Risk score ≤ 5 → xem các app rủi ro cao mà nhân viên đang dùng
Tìm Dropbox, Google Drive, WeTransfer → xem số user, traffic volume
Click app → Tag as Unsanctioned → Intune tự block app này trên managed devices
Tab IP addresses: xem các IP nguồn (office, home, VPN) theo traffic
Export report: Actions → Export → gửi cho management

Lab B: Tạo Activity Policy – Alert khi mass download

# Tạo Activity Policy qua MDCA API # Cần API token từ: security.microsoft.com → Settings → Cloud apps → API tokens $token = "YOUR-MDCA-API-TOKEN" $headers = @{ Authorization = "Token $token"; "Content-Type" = "application/json" } $policy = @{ name = "Alert-Mass-Download-SharePoint" description = "Alert when user downloads more than 50 files in 10 minutes" policyType = "ACTIVITY_POLICY" severity = "HIGH" filters = @{ activityType = @{ eq = @("Download") } fileLabel = @{ } } threshold = @{ count = 50 timeframe = 10 # minutes } actions = @( @{ type = "SEND_ALERT"; recipients = @("[email protected]") } @{ type = "SUSPEND_USER" } # Tạm khóa account ngay ) } | ConvertTo-Json -Depth 5 Invoke-RestMethod -Uri "https://companyname.us2.portal.cloudappsecurity.com/api/v1/policy/" ` -Method POST -Headers $headers -Body $policy

id : policy-abc123 name : Alert-Mass-Download-SharePoint policyType : ACTIVITY_POLICY severity : HIGH enabled : true createdAt : 2024-03-15T09:00:00Z # Khi trigger (user download 50+ files trong 10 phút): # Alert gửi về [email protected] # User account bị suspend tự động # Alert visible: security.microsoft.com → Incidents & alerts

Lab C: Kiểm tra OAuth Apps và revoke consent

Connect-MgGraph -Scopes "Application.Read.All","AppRoleAssignment.ReadWrite.All"

# Xem tất cả OAuth apps đang có quyền trong tenant
$servicePrincipals = Get-MgServicePrincipal -Filter "tags/any(t:t eq 'WindowsAzureActiveDirectoryIntegratedApp')" -All

# Tìm app có quyền Mail.ReadWrite (nguy hiểm)
foreach ($sp in $servicePrincipals) {
    $perms = Get-MgServicePrincipalOauth2PermissionGrant -ServicePrincipalId $sp.Id -ErrorAction SilentlyContinue
    if ($perms | Where-Object { $_.Scope -match "Mail.ReadWrite" }) {
        Write-Host "HIGH RISK: $($sp.DisplayName) has Mail.ReadWrite permission!" -ForegroundColor Red
        Write-Host "  App ID: $($sp.AppId)"
        Write-Host "  Publisher: $($sp.PublisherName)"
    }
}

# Revoke consent cho app nguy hiểm
$dangerousAppId = "suspicious-app-id-here"
$grants = Get-MgOauth2PermissionGrant -Filter "clientId eq '$dangerousAppId'"
foreach ($grant in $grants) {
    Remove-MgOauth2PermissionGrant -OAuth2PermissionGrantId $grant.Id
    Write-Host "Revoked consent for grant: $($grant.Id)" -ForegroundColor Yellow
}

HIGH RISK: "QuickDocs Pro" has Mail.ReadWrite permission! App ID: 12345678-abcd-... Publisher: Unknown Publisher (unverified) Revoked consent for grant: grant-abc123 # Kết quả: "QuickDocs Pro" không còn đọc/ghi email của user # User sẽ thấy thông báo yêu cầu re-authorize nếu cố dùng app

Lab D: Session Control – Block download trên unmanaged devices

Cấu hình tại: entra.microsoft.com → Conditional Access + security.microsoft.com → MDCA

Trong Entra CA policy: thêm condition "Device state = Unmanaged"
Grant: chọn Use Conditional Access App Control → Use custom policy
Trong MDCA → Policies → Session policies → Create
Name: Block-Download-SharePoint-Unmanaged
Session control type: Control file download (with inspection)
Activity filter: App = SharePoint Online, Device tag = Unmanaged
Action: Block — with custom message: "Tải xuống bị chặn trên thiết bị cá nhân. Dùng máy công ty."
Create → test bằng cách login SharePoint trên điện thoại cá nhân

03 · Tình huống thực tế

Tập đoàn Masan – Kiểm soát Shadow IT và bảo vệ IP của R&D

Masan R&D có 150 researcher thường xuyên share tài liệu nghiên cứu lên Dropbox, WeTransfer để gửi đối tác. IT không biết bao nhiêu IP (intellectual property) đã ra ngoài. Một nhân viên bị phát hiện upload 2.000 file lên Google Drive cá nhân trước khi nghỉ việc.

Giải pháp MDCA:

✓ Shadow IT scan: Phát hiện 127 cloud apps khác nhau đang được dùng — chỉ 12 app được IT sanction
✓ Block unsanctioned apps: Tag Dropbox, WeTransfer, Google Drive cá nhân là Unsanctioned → MDE block trên managed devices
✓ Mass download alert: Policy alert + suspend khi download >100 file trong 30 phút
✓ Session control: SharePoint trên thiết bị unmanaged → chỉ xem, không download
✓ OAuth audit: Revoke 34 third-party apps có quyền truy cập email/OneDrive không cần thiết

Kết quả:

• Phát hiện và block 1 case data exfiltration của nhân viên sắp nghỉ việc trong thời gian thực
• Shadow IT apps giảm từ 127 xuống 18 app được phép trong 3 tháng
• R&D IP protection: 0 sự cố upload trái phép sau 6 tháng triển khai

Giai đoạn 2 hoàn thành!

Bạn đã hoàn thành 11 module về Quản lý ứng dụng, Endpoint Security và Defender. Tiếp theo: Giai đoạn 3 – Windows Deployment.

M17 – Defender AV M19 – Deployment Readiness (GĐ3)