O Microsoft Defender para Nuvem ajuda a proteger seu ambiente o Microsoft 365.

Como um grande pacote de produtividade que fornece ferramentas de armazenamento, colaboração, BI e CRM de arquivos na nuvem, o Microsoft 365 permite que seus usuários compartilhem seus documentos entre sua organização e parceiros de forma simplificada e eficiente. Usar o Microsoft 365 pode expor seus dados confidenciais não apenas internamente, mas também a colaboradores externos, ou ainda pior torná-los disponíveis publicamente por meio de um link compartilhado. Esses incidentes podem ocorrer devido a um ator mal-intencionado ou por um funcionário inconsciente. O Microsoft 365 também fornece um grande ecossistema de aplicativos de terceiros para ajudar a aumentar a produtividade. O uso desses aplicativos pode expor sua organização ao risco de aplicativos mal-intencionados ou ao uso de aplicativos com permissões excessivas.

Conectar o Microsoft 365 ao Defender para Aplicativos de Nuvem fornece insights aprimorados sobre as atividades dos usuários, fornece detecção de ameaças usando detecções de anomalias baseadas em aprendizado de máquina, detecções de proteção de informações (como detectar compartilhamento de informações externas), permite controles de correção automatizados e detecta ameaças de aplicativos de terceiros habilitados em sua organização.

O Defender para Aplicativos de Nuvem integra-se diretamente com os logs de auditoria do Microsoft 365 e fornece proteção para todos os serviços compatíveis. Para obter uma lista de serviços com suporte, consulte Serviços do Microsoft 365 que oferecem suporte à auditoria.

Use esse conector de aplicativo para acessar recursos do SSPM (Gerenciamento de Postura de Segurança) de SaaS, por meio de controles de segurança refletidos no Microsoft Secure Score. Saiba mais.

Aprimoramentos de varredura de arquivos para o Microsoft 365

O Defender para Aplicativos de Nuvem adicionou novos aprimoramentos de varredura de arquivos para o SharePoint e o OneDrive:

  • Velocidade de varredura quase em tempo real mais rápida para arquivos no SharePoint e no OneDrive.

  • Melhor identificação para o nível de acesso de um arquivo no SharePoint: o nível de acesso ao arquivo no SharePoint será marcado por padrão como Interno e não como Particular (já que cada arquivo no SharePoint é acessível pelo proprietário do site e não apenas pelo proprietário do arquivo).

    Observação

    Essa alteração pode afetar suas políticas de arquivo (se uma política de arquivo estiver procurando arquivos internos ou privados no SharePoint).

Ameaças principais

  • Contas comprometidas e ameaças internas
  • Vazamento de dados
  • Conscientização de segurança insuficiente
  • Aplicativos mal-intencionados de terceiros
  • Malware
  • Phishing
  • Ransomware
  • BYOD (traga seu próprio dispositivo) não gerenciado

Como o Defender para Aplicativos de Nuvem ajuda a proteger seu ambiente

Controlar o Microsoft 365 com políticas internas e modelos de política

É possível usar os seguintes modelos de política internos para detectar e notificar você sobre possíveis ameaças:

Tipo Nome
Política interna de detecção de anomalias Atividade de endereços IP anônimos
Atividade de país pouco frequente
Atividade de endereços IP suspeitos
Viagem impossível
Atividade executada pelo usuário encerrado (requer Microsoft Entra ID como IdP)
Detecção de malware
Várias tentativas de logon com falha
Detecção de ransomware
Atividade suspeita de exclusão de email (visualização)
Encaminhamento suspeito da caixa de entrada
Atividades incomuns de exclusão de arquivos
Atividades incomuns de compartilhamento de arquivos
Atividades incomuns de vários downloads de arquivos
Modelo de política de atividade Logon de um endereço IP com risco
Download em massa por um único usuário
Atividade de ransomware potencial
Alteração do nível de acesso (Teams)
Usuário externo adicionado (Teams)
Exclusão em massa (Teams)
Modelo de política de arquivo Detectar um arquivo compartilhado com um domínio não autorizado
Detectar um arquivo compartilhado com endereços de email pessoais
Detectar arquivos com PII/PCI/PHI
Política de detecção de anomalias de aplicativos OAuth Nome enganoso do aplicativo OAuth
Nome enganoso do editor de um aplicativo OAuth
Consentimento de aplicativo OAuth mal-intencionado

Para obter mais informações sobre como criar políticas, consulte Criar uma política.

Automatizar os controles de governança

Além de monitorar possíveis ameaças, é possível aplicar e automatizar as seguintes ações de governança do Microsoft 365 para corrigir as ameaças detectadas:

Tipo Ação
Governança de dados OneDrive:
- Herdar permissões de pasta pai
- Tornar o arquivo/pasta privada
- Por arquivo/pasta em quarentena da Administração
- Por arquivo/pasta em quarentena do usuário
- Arquivo/pasta Lixo
- Remover um colaborador específico
- Remover colaboradores externos no arquivo/pasta
- Aplicar rótulo de confidencialidade da Proteção de Informações do Microsoft Purview
- Remover Rótulo de confidencialidade da Proteção de Informações do Microsoft Purview
SharePoint:
- Herdar permissões de pasta pai
- Tornar o arquivo/pasta privada
- Por arquivo/pasta em quarentena da Administração
- Por arquivo/pasta em quarentena do usuário
-Por o arquivo/pasta em quarentena do usuário e adicionar permissões de proprietário
- Arquivo/pasta Lixo
- Remover colaboradores externos no arquivo/pasta
- Remover um colaborador específico
- Aplicar rótulo de confidencialidade da Proteção de Informações do Microsoft Purview
- Remover Rótulo de confidencialidade da Proteção de Informações do Microsoft Purview
Governança de usuário - Notificar o usuário em alerta (via Microsoft Entra ID)
- Exigir que o usuário inicie a sessão novamente (via Microsoft Entra ID)
- Suspender usuário (via Microsoft Entra ID)
Governança do aplicativo OAuth - Revogar permissão de aplicativo OAuth

Para obter mais informações sobre como corrigir ameaças de aplicativos, consulte Governar aplicativos conectados.

Proteger o Microsoft 365 em tempo real

Revise nossas práticas recomendadas para proteger e colaborar com usuários externos e bloquear e proteger o download de dados confidenciais para dispositivos não gerenciados ou arriscados.

Integração do Defender para Aplicativos de Nuvem com o Microsoft 365

O Defender para Aplicativos de Nuvem dá suporte à Plataforma Dedicada herdada do Microsoft 365, além das ofertas mais recentes de serviços do Microsoft 365, conhecidos como a família da versão vNext do Microsoft 365.

Em alguns casos, uma versão do serviço vNext difere um pouco, nos níveis administrativo e de gerenciamento, da oferta padrão do Microsoft 365.

Log de auditoria

O Defender para Aplicativos de Nuvem integra-se diretamente com os logs de auditoria do Microsoft 365 e recebe todos os eventos auditados de todos os serviços compatíveis. Para obter uma lista de serviços com suporte, confira Serviços Microsoft 365 que dão suporte à auditoria.

  • O registro no log de auditoria do administrador do Exchange, que é habilitado por padrão no Microsoft 365, registra um evento no log de auditoria do Microsoft 365 quando um administrador (ou um usuário que tenha recebido privilégios administrativos) faz uma alteração na sua organização do Exchange Online. As alterações feitas usando o centro de administração do Exchange ou executando um cmdlet do Windows PowerShell são registradas no log de auditoria de administrador do Exchange. Para ver informações detalhadas sobre o log de auditoria de administrador do Exchange, consulte Log de auditoria de administrador.

  • Os eventos do Exchange, Power BI e Teams só aparecerão depois que as atividades desses serviços forem detectadas no portal.

  • Só há suporte para as implantações multigeográficas no OneDrive

Integração no Microsoft Entra

  • Se o Microsoft Entra ID estiver definido para sincronizar automaticamente com os usuários no seu ambiente local do Active Directory, as configurações no ambiente local substituirão as configurações do Microsoft Entra e o uso da ação de governança Suspender usuário será revertida.

  • Para atividades de logon do Microsoft Entra, o Defender para Aplicativos de Nuvem apresenta apenas atividades de logon interativas e de protocolos herdados, como o ActiveSync. As atividades de logon não interativas podem ser exibidas no log de auditoria do Microsoft Entra.

  • Se os aplicativos do Office estiverem habilitados, os grupos que fazem parte do Microsoft 365 também serão importados para o Defender para Aplicativos de Nuvem nos aplicativos do Office específicos. Por exemplo, se o SharePoint estiver habilitado, os grupos do Microsoft 365 também serão importados como grupos do SharePoint.

Suporte à quarentena

  • No SharePoint e no OneDrive, o Defender para Aplicativos de Nuvem oferece suporte à quarentena do usuário apenas para arquivos em bibliotecas de Documentos Compartilhados (SharePoint Online) e arquivos na biblioteca de Documentos (OneDrive for Business).

  • No SharePoint, o Defender para Aplicativos de Nuvem oferece suporte a tarefas de quarentena apenas para arquivos com Documentos Compartilhados no caminho em inglês.

Conectar o Microsoft 365 ao Microsoft Defender para Aplicativos de Nuvem

Esta seção fornece instruções para conectar o Microsoft Defender para Aplicativos em Nuvem à sua conta existente do Microsoft 365 usando a API do conector de aplicativos. Essa conexão fornece visibilidade e controle sobre o uso do Office 365. Para obter informações sobre como o Defender para Aplicativos de Nuvem protege o Microsoft 365, confira Proteger o Microsoft 365.

Use esse conector de aplicativos para acessar recursos do gerenciamento da postura de segurança (SSPM) de SaaS, por meio de controles de segurança refletidos no Microsoft Secure Score. Saiba mais.

Pré-requisitos:

  • Você deve ter pelo menos uma licença do Microsoft 365 atribuída para conectar o Microsoft 365 ao Defender para Aplicativos de Nuvem.

  • Para habilitar o monitoramento das atividades do Microsoft 365 no Defender para Aplicativos de Nuvem, é necessário habilitar a auditoria no Microsoft Purview.

  • O log de auditoria do Exchange Mailbox deve estar ativado para cada caixa de correio do usuário para que as atividades do usuário no Exchange Online sejam registrada em log, consulte Atividades do Exchange Mailbox.

  • É necessário habilitar a auditoria no Power BI para obter os logs de lá. Após habilitar a auditoria, o Defender para Aplicativos de Nuvem começará a obter os logs (com um atraso de 24 a 72 horas).

  • Você deve habilitar a auditoria no Dynamics 365 para obter os logs. Após habilitar a auditoria, o Defender para Aplicativos de Nuvem começará a obter os logs (com um atraso de 24 a 72 horas).

Para conectar o Microsoft 365 com o Defender para Aplicativos em Nuvem:

  1. No portal do Microsoft Defender, selecione Configurações. Em seguida, escolha Aplicativos de Nuvem. Em Aplicativos conectados, selecione Conectores de aplicativos.

  2. Na página Conectores de aplicativos, selecione +Conectar um aplicativo e Microsoft 365.

    Opção de menu Conectar O365.

  3. Na página Selecionar componentes do Microsoft 365, selecione as opções necessárias e clique em Conectar.

    Observação

    • Para obter a melhor proteção, recomendamos selecionar todos os componentes do Microsoft 365.
    • O componente de arquivos do Azure AD requer o componente de atividades do Azure AD e o monitoramento de arquivos do Defender para Aplicativos de Nuvem (Configurações>Aplicativos de Nuvem>Arquivos>Habilitar o monitoramento de arquivos).

    conectar componentes do O365.

  4. Na página Seguir o link, selecione Conectar o Microsoft 365.

  5. Após a exibição de que o Microsoft 365 foi conectado com êxito, selecione Concluído.

  6. No portal do Microsoft Defender, selecione Configurações. Em seguida, escolha Aplicativos de Nuvem. Em Aplicativos conectados, selecione Conectores de aplicativos. Verifique se o status do Conector de Aplicativos conectado está como Conectado.

Os dados do gerenciamento da postura de segurança de SaaS (SSPM) são mostrados no portal do Microsoft Defender, na página Secure Score. Para obter mais informações, confira Gerenciamento de postura de segurança para aplicativos SaaS.

Observação

Depois de conectar o Office 365, você verá os dados de uma semana atrás, incluindo quaisquer aplicativos de terceiros conectados ao Office 365 que recebem APIs. Para aplicativos de terceiros que não transferiam APIs antes da conexão, você verá os eventos assim que conectar o Microsoft 365, pois o Defender para Aplicativos de Nuvem liga todas as APIs desligadas por padrão.

Se tiver problemas para conectar o aplicativo, consulte Solucionar problemas de conectores de aplicativo.

Próximas etapas

Se encontrar algum problema, estamos aqui para ajudar. Para obter ajuda ou suporte para o problema do seu produto, abra um tíquete de suporte.