Security Incident Response

If you think you have or know you have a Security Incident please fill in the form and our experienced Onevinn CSIRT team will reach out shortly.
 
The team has long experience in supporting customers in Incident Response and Compromised Recovery.
 
Keep calm and we will be with you shortly!

M365 Compliance nyheter Data classification

Arbetet fortsätter att konsolidera och centralisera både övervakning och möjligheten att ta åtgärd av verksamhetens information.

Vi har tidigare skrivit om hur alla loggar av klassificerad och skyddad informationclip_image001 centraliserats till den klassiska Azure Information Portalen. Den här klassiska portalen är fortfarande den portal som ger mest insikt idag. Där emot är och kommer detta fortsätta vara ”Public Preview” och alltså aldrig bli det Generally available (GA). Anledningen till detta är att all fortsatt utveckling går mot Microsoft Compliance Portalen. Vi kommer få se en hel del nyheter under det kommande året i den här Compliance portalen.

På samma sätt som att vi idag konfigurerar Unified Labels och kan skräddarsy egna informationstyper från den här portalen kan vi även följa upp hur dessa används. I nuläget är det mest information från data som lagras och hanteras av Office 365. Vi kan följa upp vilka informationsklassifikationer/labels som används mest och se vilka informationstyper (både fördefinierade och egna) som förekommer både i nya och lagrade filer.

image

Sensitive info types

Det här ger oss bra möjlighet att stötta verksamheten och göra utredningar, både runt färdiga standardiserade informationstyper (kreditkortsnummer, pass, person-nummer osv) samt skräddarsydda informationstyper. Vi kan skapa avancerade regler baserat på allt ifrån ord, meningar eller mönster av information (regular expression). Baserat på dessa informationstyper kan vi sedan söka igenom vår data för att få insikt i olika typer av frågeställningar. Exempelvis hur många dokument:

– förekommer med GDPR relaterade uppgifter

– innehåller kreditkortsuppgifter

– innehåller information om kommande uppköp

– innehåller information om börsnotering

… listan kan göras lång och baseras på vilka behov som finns.

image

Content explorer

För att lista data som innehåller dessa informationstyper används Content explorer. En första vy ger oss en inblick i hur många filer som uppmärksammats med de mest förekommande informationstyperna. På samma sätt listas även de mest nyttjade informationsklasserna (Sensitivity labels). Vi får en tydlig bild över vilka Office 365 tjänster (Exchange, SharePoint, OneDrive) som innehåller de här informationstyperna eller klassificerad information. Den här listan kommer växa under året med fler källor.

Exemplet här listar vilka filer som innehåller personnummer och redovisar hur många av dessa som förekommer i verksamhetens e-post (Exchange), SharePoint eller OneDrive image

Rättigheter och spårbarhet

Vidare har vi även möjlighet att se detaljer och se aktuella data som innehåller den här informationen. Första frågan som de flesta organisationer ställer sig här rör både privacy och governance, vem kan se det här och hur kan vi styra/kontrollera vilka som har den här möjligheten.

Redan nu finns flera tekniker på plats för att kontrollera tillgång till denna vy.

En global administratör kan inte se några detaljer. Utan möts av följande:

image

Precis som det redovisas finns det två olika rättigheter som ger olika typer av rättigheter till detta.
”Content Explorer List Viewer” Den här rättigheten ger en insikt i vilka dokument/tjänster som innehåller dessa informationstyper/klasser.

Administratören kommer så långt att den kan identifiera på filnamn över filer som innehåller en viss typ av information/klass. Där efter tar det stopp.

image

Genom att tilldela administratören även rättigheterna ”Content Explorer Content Viewer” ges full insikt där även de dokument som innehåller den här typen av information eller klassning redovisas.

image

Med andra ord vill vi hålla koll på vilka administratörer som innehar rättigheterna ”Content Explorer Content viewer” och se till att konton med denna roll inte är permanent administratör utan använder PIM eller dylikt för att skydda och kontrollera behörigheten till den här typen av information.
Det här är fortfarande insider preview och är en funktion i Office 365 E5.

Agera på identifierade risker

Baserat på vad som identifierat kan vi sedan använda olika typer av tekniker för att agera och exempelvis skapa en DLP Policy som antingen krypterar innehållet eller motverkar tillgång till filerna för vissa användare
image

Vill du också testa på den här funktionen, kan du ansöka om att vara med i denna preview och mycket annat här: https://aka.ms/mip-preview

Rekommenderat är att du gör detta i en test-tenant. Som alltid måste CISO (eller motsvarande verksamhetsroll) involveras innan detta tas i skarp drift.