Crie políticas de atividade do Microsoft Defender para Aplicativos em Nuvem

As políticas de atividade permitem que você aplique uma ampla gama de processos automatizados usando as APIs do provedor de aplicativo. Essas políticas permitem que você monitore atividades específicas realizadas por vários usuários ou siga altas taxas inesperadas de um determinado tipo de atividade.

Depois de definir uma política de detecção de atividades, ele começará a gerar alertas, os quais são gerados apenas em atividades que ocorrem depois da criação da política.

Observação

  • As políticas que acionam mais de 200 mil partidas por dia, ou 100 mil partidas por 3 horas, podem ser desabilitadas automaticamente. Você pode tentar refinar as políticas adicionando filtros adicionais ou, se estiver usando políticas para fins de relatório, considere salvar as políticas como consultas.
  • Pode levar até 15 minutos desde a configuração de uma nova política até a implantação.

Alertas personalizados

As políticas de atividade permitem o envio de alertas personalizados ou a execução de ações quando a atividade do usuário é detectada. Por exemplo, você deseja ser informado sempre que:

  • Um usuário tenta entrar e falha 70 vezes em um minuto
  • Um usuário baixa 7.000 arquivos
  • Um usuário está conectado de um país/região desconhecido

Você pode definir alertas de atividade a serem enviados para você mesmo ou para o usuário quando esses eventos ocorrerem. Você pode até mesmo suspender o usuário até concluir a investigação do que ocorreu.

Para criar uma nova política de atividade, siga este procedimento:

  1. No Portal do Microsoft Defender, em Aplicativos na nuvem, vá para Políticas ->Gerenciamento de políticas. Em seguida, selecione a guia Detecções de ameaças.

  2. Clique em Criar política e selecione Política de atividade.

    Crie uma política de detecção de ameaças.

  3. Atribua um nome e uma descrição à sua política. Se desejar, poderá baseá-la em um modelo. Para obter mais informações sobre modelos de política, consulte Controlar aplicativos de nuvem com políticas.

  4. Para definir quais ações ou outras métricas vão disparar essa política, trabalhe com os filtros de atividade.

    Para garantir que você inclua apenas resultados onde o campo de filtro especificado tenha um valor, recomendamos adicionar o mesmo campo novamente usando o é definido como teste. Por exemplo, ao filtrar por Localização diferente de uma lista especificada de países/regiões, adicione também um filtro para Localização definida. Você também pode visualizar os resultados do filtro selecionando Editar e visualizar resultados. Por exemplo:

    Captura de tela das configurações de filtro mostrando que o campo de localização está definido.

    Quando um filtro for definido como diferente de e o atributo não existir no evento, o evento não será filtrado. Por exemplo, a filtragem por Marca de dispositivo diferente de "ingressado no Microsoft Entra híbrido" não filtrará eventos que não contenham Marca do dispositivo, mesmo que o dispositivo tenha ingressado no Microsoft Entra.

    No caso de um usuário convidado, pode haver casos em que o filtro Usuário do Grupo não reconhece a conta por seu domínio. Para garantir que todos os usuários convidados estejam incluídos, use os Usuários externos como o grupo, se atender às suas necessidades para a política.

  5. Em Criar filtros para a política, selecione quando uma violação de política será disparada. Escolha disparar quando uma única atividade corresponde aos filtros ou somente quando um número especificado de atividades repetidas é detectado.

    • Se você escolher Atividade repetida, poderá definir Em um único aplicativo. Essa configuração disparará uma correspondência de política somente quando as atividades repetidas ocorrerem no mesmo aplicativo. Por exemplo, cinco downloads em 30 minutos no Box disparam uma correspondência de política.
  6. Configure as Ações que devem ser executadas quando uma correspondência for encontrada.

Veja esses exemplos:

  • Vários logons com falha

    Você pode definir uma política para receber um alerta quando ocorrer um grande número de logons com falha em um curto período. Para configurar esse tipo de política, escolha o filtro de atividade apropriado na página Nova Política de Atividade.

    No campo Filtros de atividade, configure os parâmetros para os quais o alerta será disparado.

    Exemplo de política de várias tentativas de logon com falha.

  • Alta taxa de downloads

    Você pode definir a política para que você receba um alerta quando houve um nível inesperado ou não característico de atividade de download. Para configurar esse tipo de política, nos parâmetros de Taxa, escolha os parâmetros para disparar o alerta.

    exemplo de alta taxa de downloads.

Referência de política de atividade

Esta seção apresenta detalhes de referência sobre as políticas, explicações sobre cada tipo de política e os campos que podem ser configurados para cada política.

Uma Política de atividade é uma política baseada em API que permite monitorar as atividades de sua organização na nuvem. A política leva em conta mais de 20 filtros de metadados de arquivo, incluindo a localização e o tipo de dispositivo. Com base nos resultados de política, as notificações podem ser geradas e os usuários podem ser suspensos do aplicativo de nuvem. Cada política é composta pelas seguintes partes:

  • Filtros de atividade – permite criar condições granulares com base nos metadados.

  • Parâmetros de correspondência de atividade – permitem que você defina um limite para o número de vezes que uma atividade se repete para ser considerada como correspondente à política. Especifique o número de atividades repetidas necessário para corresponder à política. Por exemplo, defina uma política para alertar quando um usuário tiver 10 tentativas de logon sem êxito em um período de 2 minutos. Por padrão, a configuração Parâmetros de correspondência de atividade gera uma correspondência para cada atividade que atende a todos os filtros de atividade.

    • Usando a Atividade repetida, você pode definir o número de atividades repetidas e a duração do período em que as atividades são contadas. Você também pode especificar que todas as atividades devem ser executadas pelo mesmo usuário e no mesmo aplicativo na nuvem.
  • Ações – a política fornece a um conjunto de ações de governança que podem ser aplicadas automaticamente quando violações são detectadas.

Próximas etapas

Se encontrar algum problema, estamos aqui para ajudar. Para obter ajuda ou suporte para o problema do seu produto, abra um tíquete de suporte.