Política de detecção de anomalias do Cloud Discovery

Uma política de detecção de anomalias do Cloud Discovery permite instalar e configurar o monitoramento contínuo de aumentos incomuns no uso do aplicativo de nuvem. Aumentos de dados baixados, dados carregados, transações e usuários são considerados para cada aplicativo na nuvem. Cada aumento é comparado com o padrão de uso normal do aplicativo conforme aprendido com base no uso anterior. Os aumentos mais extremos disparam alertas de segurança.

Este artigo descreve como criar e configurar uma política de detecção de anomalias do Cloud Discovery no Microsoft Defender para Aplicativos de Nuvem.

Criar política de descoberta de aplicativos

Embora o suporte para a detecção de anomalias do Cloud Discovery esteja desativado, você pode receber alertas de segurança semelhantes criando uma política de descoberta de aplicativos:

1. No Portal do Microsoft Defender, expanda a seção Aplicativos de Nuvem>Políticas no menu à esquerda e selecione Gerenciamento de política.

2. Na página Políticas, selecione a guia Shadow IT.

3. Expanda o menu suspenso Criar política e selecione a opção Política de descoberta de aplicativos.

4. Selecione a opção Disparar uma correspondência de política se todas as situações a seguir ocorrerem no mesmo dia.

   

5. Defina os filtros e as configurações associados, conforme descrito em Criar uma política de detecção de anomalias.

(Herdado) Crie a política de detecção de anomalias

Para cada política de detecção de anomalias, é possível definir filtros que permitem monitorar seletivamente o uso do aplicativo. Os filtros estão disponíveis para o aplicativo, exibições de dados selecionadas e uma data de início selecionada. Você também pode definir a confidencialidade e especificar quantos alertas a política deve disparar.

Siga as etapas para criar uma política de detecção de anomalias do Cloud Discovery:

1. No Portal do Microsoft Defender, expanda a seção Aplicativos de Nuvem>Políticas no menu à esquerda e selecione Gerenciamento de política.

2. Na página Políticas, selecione a guia Shadow IT.

3. Expanda o menu suspenso Criar política e selecione a opção Política de detecção de anomalias do Cloud Discovery:

   

   A página Criar política de detecção de anomalias do Cloud Discovery é aberta, onde você configura parâmetros para a política a ser criada.

4. Na página Criar política de detecção de anomalias do Cloud Discovery, a opção Modelo de política fornece uma lista de modelos que você pode escolher para usar como base para a política. Por padrão, a opção é definida como Sem modelo.

   Se você quiser basear a política em um modelo, expanda o menu suspenso e selecione um modelo:

   • Comportamento anômalo em usuários descobertos: alerta quando um comportamento anômalo é detectado em usuários e aplicativos descobertos. Você pode usar esse modelo para verificar grandes quantidades de dados carregados em comparação com outros usuários ou grandes transações de usuários em comparação com o histórico do usuário.

   • Comportamento anômalo de endereços IP descobertos: alerta quando um comportamento anômalo é detectado em endereços IP e aplicativos descobertos. Você pode usar esse modelo para verificar grandes quantidades de dados carregados em comparação com outros endereços IP ou grandes transações de aplicativos em comparação com o histórico do endereço IP.

   A imagem abaixo mostra como selecionar um modelo a ser usado como base para a nova política no portal do Microsoft Defender:

   

5. Insira um Nome da política e uma Descrição para a nova política.

6. Crie um filtro para os aplicativos que você deseja monitorar usando a opção Selecionar um filtro.

   • Expanda o menu suspenso e opte por filtrar todos os aplicativos correspondentes por Marca do aplicativo, Aplicativos e domínio, Categoria, diversos Fatores de risco ou Pontuação de risco.

   • Para criar mais filtros, selecione Adicionar um filtro.

   A imagem a seguir mostra como selecionar um filtro para a política a ser aplicada a todos os aplicativos correspondentes no portal do Microsoft Defender:

   

7. Configure os filtros de uso da seção Aplicar a:

   1. Use o primeiro menu suspenso para escolher como monitorar relatórios de uso contínuo:

      • Todos os relatórios contínuos (padrão): compare cada aumento no uso ao padrão de uso normal com base em todas as exibições de dados.

      • Relatórios contínuos específicos: compare cada aumento no uso é comparado com o padrão de uso normal. O padrão é obtido na mesma exibição de dados em que o aumento foi observado.

   2. Use o segundo menu suspenso para especificar associações monitoradas para cada uso de aplicativo em nuvem:

      • Usuários: ignora a associação do uso do aplicativo a endereços IP.

      • Endereços IP: ignora a associação do uso do aplicativo a usuários.

      • Usuários, endereços IP (padrão): monitore a associação do uso do aplicativo por usuários e endereços IP. Essa opção pode produzir alertas duplicados quando existe uma correspondência estreita entre usuários e endereços IP.

   A imagem a seguir mostra como configurar filtros de uso do aplicativo e a data de início para gerar alertas de uso no portal do Microsoft Defender:

   

8. Para a opção Gerar alertas apenas para atividades suspeitas que ocorrem após, insira a data para começar a gerar alertas de uso do aplicativo.

   Qualquer aumento no uso do aplicativo antes da data de início especificada é ignorado. No entanto, os dados de atividade de uso anteriores à data de início são obtidos para estabelecer o padrão de uso normal.

9. Na seção Alertas, configure a sensibilidade e as notificações do alerta. Há duas maneiras de controlar o número de alertas disparados pela política:

   • Use o controle deslizante Selecionar a sensibilidade da detecção de anomalias para disparar alertas para as principais X atividades anômalas por 1.000 usuários por semana. Os alertas disparam para as atividades com o maior risco.

   • Selecione a opção Criar um alerta para cada evento correspondente com a gravidade da política e defina parâmetros adicionais para o alerta:

     • Enviar alerta como e-mail: insira os endereços de e-mail para mensagens de alerta. Um máximo de 500 mensagens podem ser enviadas por endereço de e-mail por dia. A contagem é redefinida à meia-noite no fuso horário UTC.

     • Limite de alerta diário por política: use o menu suspenso e selecione o limite desejado. Essa opção restringe o número de alertas gerados em um único dia ao valor especificado.

     • Enviar alertas para o Power Automate: escolha um guia estratégico para executar ações quando um alerta for disparado. Você também pode abrir um novo guia estratégico selecionando Criar um guia estratégico no Power Automate.

   • Para definir as configurações padrão da organização de modo a usar os valores do Limite de alerta diário e configurações de email, selecione Salvar como configurações padrão.

   • Para usar as configurações padrão da organização para o Limite de alerta diário e as configurações de email, selecione Restaurar configurações padrão.

   A imagem a seguir mostra como configurar alertas para a política, incluindo confidencialidade, notificações por email e um limite diário no portal do Microsoft Defender:

   

10. Confirme suas opções de configuração e selecione Criar.

Trabalhar com uma política existente

Quando você for criar uma política, ela é habilitada por padrão. Você pode desabilitar uma política e executar outras ações, como Editar e Excluir.

1. Na página Políticas, localize a política a ser atualizada na lista de políticas.

2. Na lista de políticas, role para a direita na linha de política e selecione Mais opções (...).

3. No menu pop-up, selecione a ação a ser executada na política.

Próxima etapa

Se encontrar algum problema, estamos aqui para ajudar. Para obter ajuda ou suporte para o problema do seu produto, abra um tíquete de suporte.