Pilote e implemente Microsoft Defender para Aplicativos de Nuvem
Aplica-se a:
- Microsoft Defender XDR
Este artigo fornece um fluxo de trabalho para testar e implementar Microsoft Defender para Aplicativos de Nuvem na sua organização. Pode utilizar estas recomendações para integrar Microsoft Defender para Aplicativos de Nuvem como uma ferramenta de cibersegurança individual ou como parte de uma solução ponto a ponto com Microsoft Defender XDR.
Este artigo pressupõe que tem um inquilino do Microsoft 365 de produção e está a testar e implementar Microsoft Defender para Aplicativos de Nuvem neste ambiente. Esta prática irá manter todas as definições e personalizações que configurar durante o piloto para a sua implementação completa.
Defender para Office 365 contribui para uma arquitetura Confiança Zero, ajudando a evitar ou reduzir os danos comerciais causados por uma falha de segurança. Para obter mais informações, veja Prevent or reduce business damage from a breach business scenario in the Microsoft Confiança Zero adoption framework (Evitar ou reduzir danos comerciais de um cenário de negócio de falha de segurança) no microsoft Confiança Zero adoption framework.
Implementação ponto a ponto para Microsoft Defender XDR
Este é o artigo 5 de 6 de uma série para o ajudar a implementar os componentes do Microsoft Defender XDR, incluindo investigar e responder a incidentes.
Os artigos nesta série correspondem às seguintes fases da implementação ponto a ponto:
| Fase | Link |
|---|---|
| A. Iniciar o piloto | Iniciar o piloto |
| B. Pilotar e implementar componentes de Microsoft Defender XDR |
-
Pilote e implemente o Defender para Identidade - Pilote e implemente Defender para Office 365 - Pilote e implemente o Defender para Endpoint - Pilote e implemente Microsoft Defender para Aplicativos de Nuvem (este artigo) |
| C. Investigar e responder às ameaças | Praticar a investigação e resposta a incidentes |
Fluxo de trabalho piloto e de implementação para Defender para Aplicativos de Nuvem
O diagrama seguinte ilustra um processo comum para implementar um produto ou serviço num ambiente de TI.
Comece por avaliar o produto ou serviço e como irá funcionar na sua organização. Em seguida, vai testar o produto ou serviço com um subconjunto convenientemente pequeno da sua infraestrutura de produção para testes, aprendizagem e personalização. Em seguida, aumente gradualmente o âmbito da implementação até que toda a sua infraestrutura ou organização seja abrangida.
Eis o fluxo de trabalho para testar e implementar Defender para Aplicativos de Nuvem no seu ambiente de produção.
Siga estas etapas:
- Ligar ao portal do Defender para Aplicativos de Nuvem
- Integrar com Microsoft Defender para Ponto de Extremidade
- Implementar o recoletor de registos nas firewalls e noutros proxies
- Criar um grupo piloto
- Descobrir e gerir aplicações na cloud
- Configurar o Controlo de Aplicações de Acesso Condicional
- Aplicar políticas de sessão a aplicações na cloud
- Experimentar capacidades adicionais
Eis os passos recomendados para cada fase de implementação.
| Fase de implementação | Descrição |
|---|---|
| Avaliar | Efetue a avaliação do produto para Defender para Aplicativos de Nuvem. |
| Piloto | Execute os Passos 1 a 4 e, em seguida, 5-8 para um subconjunto adequado de aplicações na cloud no seu ambiente de produção. |
| Implantação completa | Execute os Passos 5 a 8 para as restantes aplicações na cloud, ajustando o âmbito dos grupos de utilizadores piloto ou adicionando grupos de utilizadores para expandir para além do piloto e incluir todas as suas contas de utilizador. |
Proteger a sua organização contra hackers
Defender para Aplicativos de Nuvem fornece proteção poderosa por si só. No entanto, quando combinado com as outras capacidades do Microsoft Defender XDR, Defender para Aplicativos de Nuvem fornece dados para os sinais partilhados que, em conjunto, ajudam a parar os ataques.
Eis um exemplo de um ciberataque e como os componentes do Microsoft Defender XDR ajudam a detetá-lo e a mitigá-lo.
Defender para Aplicativos de Nuvem deteta comportamentos anómalos como viagens impossíveis, acesso a credenciais e transferência invulgar, partilha de ficheiros ou atividade de reencaminhamento de correio e apresenta estes comportamentos no portal do Defender para Aplicativos de Nuvem. Defender para Aplicativos de Nuvem também ajuda a evitar movimentos laterais por hackers e a exfiltração de dados confidenciais.
Microsoft Defender XDR correlaciona os sinais de todos os componentes Microsoft Defender para fornecer a história completa do ataque.
Defender para Aplicativos de Nuvem função como CASB
Um mediador de segurança de acesso à cloud (CASB) atua como um controlador de chamadas para mediar o acesso em tempo real entre os utilizadores da sua empresa e os recursos da cloud que utilizam, onde quer que os seus utilizadores estejam localizados e independentemente do dispositivo que estejam a utilizar. Defender para Aplicativos de Nuvem é um CASB para as aplicações na cloud da sua organização. Defender para Aplicativos de Nuvem integra-se nativamente com as capacidades de segurança da Microsoft, incluindo Microsoft Defender XDR.
Sem Defender para Aplicativos de Nuvem, as aplicações na cloud utilizadas pela sua organização não são geridas e desprotegidas.
Na ilustração:
- A utilização de aplicações na cloud por uma organização não é monitorizada e desprotegida.
- Esta utilização está fora das proteções obtidas numa organização gerida.
Para descobrir as aplicações na cloud utilizadas no seu ambiente, pode implementar um ou ambos os seguintes métodos:
- Comece a trabalhar rapidamente com a Cloud Discovery ao integrar com Microsoft Defender para Ponto de Extremidade. Esta integração nativa permite-lhe começar imediatamente a recolher dados sobre o tráfego da cloud nos seus dispositivos Windows 10 e Windows 11, dentro e fora da sua rede.
- Para detetar todas as aplicações na cloud acedidas por todos os dispositivos ligados à sua rede, implemente o recoletor de registos Defender para Aplicativos de Nuvem nas firewalls e noutros proxies. Esta implementação ajuda a recolher dados dos pontos finais e envia-os para Defender para Aplicativos de Nuvem para análise. Defender para Aplicativos de Nuvem integra-se nativamente com alguns proxies de terceiros para obter ainda mais capacidades.
Este artigo inclui orientações para ambos os métodos.
Etapa 1. Ligar ao portal do Defender para Aplicativos de Nuvem
Para verificar o licenciamento e ligar ao portal do Defender para Aplicativos de Nuvem, veja Início Rápido: Introdução ao Microsoft Defender para Aplicativos de Nuvem.
Se não conseguir ligar-se imediatamente ao portal, poderá ter de adicionar o endereço IP à lista de permissões da firewall. Veja Configuração básica para Defender para Aplicativos de Nuvem.
Se continuar a ter problemas, veja Requisitos de rede.
Passo 2: Integrar no Microsoft Defender para Ponto de Extremidade
Microsoft Defender para Aplicativos de Nuvem integra-se com Microsoft Defender para Ponto de Extremidade nativamente. A integração simplifica a implementação da Cloud Discovery, expande as capacidades da Cloud Discovery para além da sua rede empresarial e permite a investigação baseada em dispositivos. Esta integração revela as aplicações e serviços na cloud que estão a ser acedidos a partir de dispositivos de Windows 10 e Windows 11 geridos por TI.
Se já tiver configurado Microsoft Defender para Ponto de Extremidade, configurar a integração com Defender para Aplicativos de Nuvem é um botão de alternar no Microsoft Defender XDR. Depois de a integração estar ativada, pode regressar ao portal do Defender para Aplicativos de Nuvem e ver dados avançados no Dashboard da Cloud Discovery.
Para realizar estas tarefas, veja Microsoft Defender para Ponto de Extremidade integração com Microsoft Defender para Aplicativos de Nuvem.
Passo 3: implementar o recoletor de registos Defender para Aplicativos de Nuvem nas firewalls e noutros proxies
Para cobertura em todos os dispositivos ligados à sua rede, implemente o recoletor de registos Defender para Aplicativos de Nuvem nas firewalls e noutros proxies para recolher dados dos pontos finais e enviá-lo para Defender para Aplicativos de Nuvem para análise.
Se estiver a utilizar um dos seguintes Gateways Web Seguros (SWG), Defender para Aplicativos de Nuvem fornece implementação e integração totalmente integradas:
- Zscaler
- iboss
- Corrata
- Segurança Menlo
Para obter mais informações sobre a integração com estes dispositivos de rede, veja Configurar a Cloud Discovery.
Etapa 4. Criar um grupo piloto — Definir o âmbito da implementação piloto para determinados grupos de utilizadores
Microsoft Defender para Aplicativos de Nuvem permite-lhe definir o âmbito da implementação. O âmbito permite-lhe selecionar determinados grupos de utilizadores para serem monitorizados para aplicações ou excluídos da monitorização. Pode incluir ou excluir grupos de utilizadores. Para definir o âmbito da implementação piloto, veja Implementação no Âmbito.
Etapa 5. Descobrir e gerir aplicações na cloud
Para Defender para Aplicativos de Nuvem fornecer a quantidade máxima de proteção, tem de descobrir todas as aplicações na cloud na sua organização e gerir a forma como são utilizadas.
Descobrir aplicações na cloud
O primeiro passo para gerir a utilização de aplicações na cloud é descobrir que aplicações na cloud são utilizadas pela sua organização. Este diagrama seguinte ilustra como a cloud discovery funciona com Defender para Aplicativos de Nuvem.
Nesta ilustração, existem dois métodos que podem ser utilizados para monitorizar o tráfego de rede e descobrir as aplicações na cloud que estão a ser utilizadas pela sua organização.
A Cloud App Discovery integra-se com Microsoft Defender para Ponto de Extremidade nativamente. O Defender para Endpoint comunica que as aplicações e serviços na cloud estão a ser acedidos a partir de dispositivos de Windows 10 e Windows 11 geridos por TI.
Para cobertura em todos os dispositivos ligados a uma rede, instale o recoletor de registos Defender para Aplicativos de Nuvem em firewalls e outros proxies para recolher dados de pontos finais. O recoletor envia estes dados para Defender para Aplicativos de Nuvem para análise.
Veja o dashboard da Cloud Discovery para ver que aplicações estão a ser utilizadas na sua organização
A cloud Discovery dashboard foi concebida para lhe dar mais informações sobre como as aplicações na cloud estão a ser utilizadas na sua organização. Fornece uma descrição geral detalhada dos tipos de aplicações que estão a ser utilizadas, os alertas abertos e os níveis de risco das aplicações na sua organização.
Para começar a utilizar o dashboard da Cloud Discovery, veja Trabalhar com aplicações detetadas.
Gerir aplicações na cloud
Depois de descobrir as aplicações na cloud e analisar a forma como estas aplicações são utilizadas pela sua organização, pode começar a gerir as aplicações na cloud que escolher.
Nesta ilustração:
- Algumas aplicações são aprovadas para utilização. A aprovação é uma forma simples de começar a gerir aplicações.
- Pode ativar uma maior visibilidade e controlo ao ligar aplicações com conectores de aplicações. Os conectores de aplicações utilizam as APIs dos fornecedores de aplicações.
Pode começar a gerir aplicações através de sanções, desaproteção ou bloqueio total de aplicações. Para começar a gerir aplicações, veja Governar aplicações detetadas.
Etapa 6. Configurar o Controlo de Aplicações de Acesso Condicional
Uma das proteções mais avançadas que pode configurar é o Controlo de Aplicações de Acesso Condicional. Esta proteção requer integração com Microsoft Entra ID. Permite-lhe aplicar políticas de Acesso Condicional, incluindo políticas relacionadas (como a necessidade de dispositivos em bom estado de funcionamento) às aplicações na cloud que sancionou.
Pode já ter aplicações SaaS adicionadas ao seu inquilino Microsoft Entra para impor a autenticação multifator e outras políticas de acesso condicional. Microsoft Defender para Aplicativos de Nuvem integra-se nativamente com Microsoft Entra ID. Tudo o que tem de fazer é configurar uma política no Microsoft Entra ID para utilizar o Controlo de Aplicações de Acesso Condicional no Defender para Aplicativos de Nuvem. Isto encaminha o tráfego de rede para estas aplicações SaaS geridas através de Defender para Aplicativos de Nuvem como um proxy, o que permite que Defender para Aplicativos de Nuvem monitorizem este tráfego e apliquem controlos de sessão.
Nesta ilustração:
- As aplicações SaaS estão integradas no inquilino Microsoft Entra. Esta integração permite aos Microsoft Entra ID impor políticas de acesso condicional, incluindo a autenticação multifator.
- É adicionada uma política ao Microsoft Entra ID para direcionar o tráfego das aplicações SaaS para Defender para Aplicativos de Nuvem. A política especifica a que aplicações SaaS deve aplicar esta política. Depois de Microsoft Entra ID impõe quaisquer políticas de acesso condicional que se apliquem a estas aplicações SaaS, Microsoft Entra ID, em seguida, direciona (proxies) o tráfego da sessão através de Defender para Aplicativos de Nuvem.
- Defender para Aplicativos de Nuvem monitoriza este tráfego e aplica quaisquer políticas de controlo de sessão que tenham sido configuradas pelos administradores.
Poderá ter detetado e sancionado aplicações na cloud com Defender para Aplicativos de Nuvem que não foram adicionadas aos Microsoft Entra ID. Pode tirar partido do Controlo de Aplicações de Acesso Condicional ao adicionar estas aplicações na cloud ao seu inquilino Microsoft Entra e ao âmbito das suas regras de acesso condicional.
O primeiro passo para utilizar Microsoft Defender para Aplicativos de Nuvem para gerir aplicações SaaS é descobrir estas aplicações e, em seguida, adicioná-las ao seu inquilino Microsoft Entra. Se precisar de ajuda com a deteção, veja Descobrir e gerir aplicações SaaS na sua rede. Depois de detetar aplicações, adicione estas aplicações ao seu inquilino Microsoft Entra.
Pode começar a gerir estas aplicações com as seguintes tarefas:
- No Microsoft Entra ID, crie uma nova política de acesso condicional e configure-a para "Utilizar o Controlo de Aplicações de Acesso Condicional". Esta configuração ajuda a redirecionar o pedido para Defender para Aplicativos de Nuvem. Pode criar uma política e adicionar todas as aplicações SaaS a esta política.
- Em seguida, no Defender para Aplicativos de Nuvem, crie políticas de sessão. Crie uma política para cada controlo que pretende aplicar.
Para obter mais informações, incluindo aplicações e clientes suportados, veja Proteger aplicações com Microsoft Defender para Aplicativos de Nuvem Controlo de Aplicações de Acesso Condicional.
Por exemplo, veja Políticas de Microsoft Defender para Aplicativos de Nuvem recomendadas para aplicações SaaS. Estas políticas baseiam-se num conjunto de políticas comuns de identidade e acesso a dispositivos que são recomendadas como ponto de partida para todos os clientes.
Etapa 7. Aplicar políticas de sessão a aplicações na cloud
Microsoft Defender para Aplicativos de Nuvem funciona como um proxy inverso, fornecendo acesso de proxy a aplicações na cloud aprovadas. Esta aprovisionamento permite Defender para Aplicativos de Nuvem aplicar políticas de sessão que configurar.
Na ilustração:
- O acesso a aplicações na cloud aprovadas a partir de utilizadores e dispositivos na sua organização é encaminhado através de Defender para Aplicativos de Nuvem.
- Este acesso de proxy permite a aplicação de políticas de sessão.
- As aplicações na cloud que não tenha sancionado ou explicitamente não aprovadas não são afetadas.
As políticas de sessão permitem-lhe aplicar parâmetros à forma como as aplicações na cloud são utilizadas pela sua organização. Por exemplo, se a sua organização estiver a utilizar o Salesforce, pode configurar uma política de sessão que permite que apenas os dispositivos geridos acedam aos dados da sua organização no Salesforce. Um exemplo mais simples pode ser configurar uma política para monitorizar o tráfego de dispositivos não geridos para que possa analisar o risco deste tráfego antes de aplicar políticas mais rigorosas.
Para obter mais informações, veja Criar políticas de sessão.
Passo 8. Experimentar capacidades adicionais
Utilize estes tutoriais Defender para Aplicativos de Nuvem para o ajudar a descobrir riscos e proteger o seu ambiente:
- Detetar atividade de utilizador suspeita
- Investigar utilizadores de risco
- Investigar aplicações OAuth de risco
- Descobrir e proteger informações confidenciais
- Proteger qualquer aplicação na sua organização em tempo real
- Bloquear transferências de informações confidenciais
- Proteger os seus ficheiros com quarentena de administrador
- Exigir autenticação passo a passo após ação de risco
Para obter mais informações sobre a investigação avançada em dados Microsoft Defender para Aplicativos de Nuvem, veja este vídeo.
Integração SIEM
Pode integrar Defender para Aplicativos de Nuvem com Microsoft Sentinel ou um serviço genérico de gestão de informações e eventos de segurança (SIEM) para permitir a monitorização centralizada de alertas e atividades de aplicações ligadas. Com Microsoft Sentinel, pode analisar eventos de segurança em toda a sua organização de forma mais abrangente e criar manuais de procedimentos para obter uma resposta eficaz e imediata.
Microsoft Sentinel inclui um conector Defender para Aplicativos de Nuvem. Isto permite-lhe não só obter visibilidade sobre as suas aplicações na cloud, mas também obter análises sofisticadas para identificar e combater ciberameaças e controlar o modo de deslocação dos seus dados. Para obter mais informações, veja Microsoft Sentinel de integração e alertas de Stream e registos da Cloud Discovery de Defender para Aplicativos de Nuvem para Microsoft Sentinel.
Para obter informações sobre a integração com sistemas SIEM de terceiros, veja Integração genérica do SIEM.
Próxima etapa
Executar a gestão do ciclo de vida para Defender para Aplicativos de Nuvem.
Passo seguinte para a implementação ponto a ponto do Microsoft Defender XDR
Continue a implementação ponto a ponto do Microsoft Defender XDR com Investigar e responder com Microsoft Defender XDR.
Dica
Você deseja aprender mais? Participe da comunidade de Segurança da Microsoft em nossa Tech Community: Tech Community do Microsoft Defender XDR.