Tutorial: Descubra e gerencie a TI sombra

Quando os administradores de TI são questionados sobre quantos aplicativos de nuvem eles acham que seus funcionários usam, em média eles dizem 30 ou 40, quando, na realidade, a média é de mais de 1.000 aplicativos separados sendo usados por funcionários em sua organização. O Shadow IT ajuda-o a conhecer e identificar quais as aplicações que estão a ser utilizadas e qual é o seu nível de risco. 80% dos funcionários usam aplicativos não sancionados que ninguém analisou e podem não estar em conformidade com suas políticas de segurança e conformidade. E como seus funcionários podem acessar seus recursos e aplicativos de fora da rede corporativa, não é mais suficiente ter regras e políticas em seus firewalls.

Neste tutorial, você aprenderá como usar a descoberta na nuvem para descobrir quais aplicativos estão sendo usados, explorar o risco desses aplicativos, configurar políticas para identificar novos aplicativos arriscados que estão sendo usados e dessancionar esses aplicativos para bloqueá-los nativamente usando seu proxy ou dispositivo de firewall

Gorjeta

Por padrão, o Defender for Cloud Apps não pode descobrir aplicativos que não estão no catálogo.

Para ver os dados do Defender for Cloud Apps de um aplicativo que não está atualmente no catálogo, recomendamos que você verifique nosso roteiro ou crie um aplicativo personalizado.

Como descobrir e gerenciar o Shadow IT em sua rede

Use esse processo para implantar a descoberta de nuvem do Shadow IT em sua organização.

ciclo de vida sombra de TI.

Fase 1: Descobrir e identificar o Shadow IT

  1. Descubra o Shadow IT: identifique a postura de segurança da sua organização executando a descoberta de nuvem em sua organização para ver o que realmente está acontecendo em sua rede. Para obter mais informações, consulte Configurar a descoberta na nuvem. Isso pode ser feito usando qualquer um dos seguintes métodos:

    • Comece a trabalhar rapidamente com a descoberta na nuvem integrando-se ao Microsoft Defender for Endpoint. Essa integração nativa permite que você comece imediatamente a coletar dados sobre o tráfego na nuvem em seus dispositivos Windows 10 e Windows 11, dentro e fora da rede.

    • Para cobertura em todos os dispositivos conectados à sua rede, é importante implantar o coletor de logs do Defender for Cloud Apps em seus firewalls e outros proxies para coletar dados de seus endpoints e enviá-los para o Defender for Cloud Apps para análise.

    • Integre o Defender for Cloud Apps com o seu proxy. O Defender for Cloud Apps integra-se nativamente com alguns proxies de terceiros, incluindo o Zscaler.

    Como as políticas são diferentes entre grupos de usuários, regiões e grupos de negócios, convém criar um relatório Shadow IT dedicado para cada uma dessas unidades. Para obter mais informações, consulte Criar relatórios contínuos personalizados.

    Agora que a descoberta na nuvem está sendo executada em sua rede, observe os relatórios contínuos gerados e o painel de descoberta na nuvem para obter uma visão completa de quais aplicativos estão sendo usados em sua organização. É uma boa ideia analisá-los por categoria, porque muitas vezes você descobrirá que aplicativos não sancionados estão sendo usados para fins legítimos relacionados ao trabalho que não foram abordados por um aplicativo sancionado.

  2. Identifique os níveis de risco de seus aplicativos: use o catálogo do Defender for Cloud Apps para se aprofundar nos riscos envolvidos em cada aplicativo descoberto. O catálogo de aplicativos do Defender para nuvem inclui mais de 31.000 aplicativos que são avaliados usando mais de 90 fatores de risco. Os fatores de risco começam a partir de informações gerais sobre o aplicativo (onde está a sede do aplicativo, quem é o editor) e através de medidas e controles de segurança (suporte para criptografia em repouso, fornece um log de auditoria da atividade do usuário). Para obter mais informações, consulte Trabalhando com pontuação de risco,

    • No Portal do Microsoft Defender, em Aplicativos na Nuvem, selecione Descoberta na Nuvem. Em seguida, vá para a guia Aplicativos descobertos . Filtre a lista de aplicativos descobertos em sua organização pelos fatores de risco com os quais você está preocupado. Por exemplo, pode utilizar filtros Avançados para encontrar todas as aplicações com uma pontuação de risco inferior a 8.

    • Você pode detalhar o aplicativo para entender mais sobre sua conformidade selecionando o nome do aplicativo e, em seguida, selecionando a guia Informações para ver detalhes sobre os fatores de risco de segurança do aplicativo.

Fase 2: Avaliar e analisar

  1. Avalie a conformidade: verifique se os aplicativos são certificados como compatíveis com os padrões da sua organização, como HIPAA ou SOC2.

    • No Portal do Microsoft Defender, em Aplicativos na Nuvem, selecione Descoberta na Nuvem. Em seguida, vá para a guia Aplicativos descobertos . Filtre a lista de aplicativos descobertos em sua organização pelos fatores de risco de conformidade com os quais você está preocupado. Por exemplo, use a consulta sugerida para filtrar aplicativos não compatíveis.

    • Você pode detalhar o aplicativo para entender mais sobre sua conformidade selecionando o nome do aplicativo e, em seguida, selecionando a guia Informações para ver detalhes sobre os fatores de risco de conformidade do aplicativo.

  2. Analise o uso: agora que você sabe se deseja ou não que o aplicativo seja usado em sua organização, você quer investigar como e quem o está usando. Se ele for usado apenas de forma limitada em sua organização, talvez seja ok, mas talvez se o uso estiver crescendo, você queira ser notificado sobre isso para que possa decidir se deseja bloquear o aplicativo.

    • No Portal do Microsoft Defender, em Aplicativos na Nuvem, selecione Descoberta na Nuvem. Em seguida, vá para a guia Aplicativos descobertos e, em seguida, faça uma busca detalhada selecionando o aplicativo específico que você deseja investigar. A guia Uso permite saber quantos usuários ativos estão usando o aplicativo e quanto tráfego ele está gerando. Isso já pode lhe dar uma boa imagem do que está acontecendo com o aplicativo. Em seguida, se você quiser ver quem, especificamente, está usando o aplicativo, você pode detalhar mais selecionando Total de usuários ativos. Este passo importante pode dar-lhe informações pertinentes, por exemplo, se descobrir que todos os utilizadores de uma aplicação específica são do departamento de Marketing, é possível que exista uma necessidade comercial para esta aplicação e, se for arriscado, deve falar com eles sobre uma alternativa antes de a bloquear.

    • Aprofunde-se ainda mais ao investigar o uso de aplicativos descobertos. Veja subdomínios e recursos para saber mais sobre atividades específicas, acesso a dados e utilização de recursos nos seus serviços na nuvem. Para obter mais informações, consulte Aprofundamento em aplicativos descobertos e Descobrir recursos e aplicativos personalizados.

  3. Identificar aplicativos alternativos: use o catálogo de aplicativos na nuvem para identificar aplicativos mais seguros que alcançam funcionalidade de negócios semelhante aos aplicativos de risco detetados, mas estão em conformidade com a política da sua organização. Você pode fazer isso usando os filtros avançados para encontrar aplicativos na mesma categoria que atendem aos seus diferentes controles de segurança.

Fase 3: Gerenciar seus aplicativos

  • Gerir aplicações na nuvem: o Defender for Cloud Apps ajuda-o no processo de gestão da utilização de aplicações na sua organização. Depois de identificar os diferentes padrões e comportamentos usados em sua organização, você pode criar novas tags de aplicativo personalizadas para classificar cada aplicativo de acordo com seu status comercial ou justificativa. Essas tags podem ser usadas para fins específicos de monitoramento, por exemplo, identificar o alto tráfego que está indo para aplicativos que são marcados como aplicativos de armazenamento em nuvem arriscados. As etiquetas de aplicações podem ser geridas em Definições,>Cloud Apps>, Cloud Discovery>, Etiquetas de aplicações. Essas tags podem ser usadas posteriormente para filtrar as páginas de descoberta na nuvem e criar políticas usando elas.

  • Gerenciar aplicativos descobertos usando o Microsoft Entra Gallery: o Defender for Cloud Apps também usa sua integração nativa com o Microsoft Entra ID para permitir que você gerencie seus aplicativos descobertos na Galeria do Microsoft Entra. Para aplicativos que já aparecem na Galeria do Microsoft Entra, você pode aplicar o logon único e gerenciar o aplicativo com a ID do Microsoft Entra. Para fazer isso, na linha onde o aplicativo relevante aparece, escolha os três pontos no final da linha e, em seguida, escolha Gerenciar aplicativo com o Microsoft Entra ID.

    Gerenciar aplicativo na galeria do Microsoft Entra.

  • Monitoramento contínuo: agora que você investigou minuciosamente os aplicativos, convém definir políticas que monitorem os aplicativos e forneçam controle onde necessário.

Agora é hora de criar políticas para que você possa ser alertado automaticamente quando algo acontecer com o qual você está preocupado. Por exemplo, talvez você queira criar uma política de descoberta de aplicativos que permita saber quando há um pico de downloads ou tráfego de um aplicativo com o qual você está preocupado. Para conseguir isso, você deve habilitar o comportamento anômalo na política de usuários descobertos, na verificação de conformidade do aplicativo de armazenamento em nuvem e no novo aplicativo de risco. Você também deve definir a política para notificá-lo por e-mail. Para obter mais informações, consulte Referência de modelo de política, mais sobre políticas de descoberta de nuvem e Configurar políticas de descoberta de aplicativos.

Observe a página de alertas e use o filtro Tipo de política para examinar alertas de descoberta de aplicativos. Para aplicativos que foram correspondidos por suas políticas de descoberta de aplicativos, é recomendável que você faça uma investigação avançada para saber mais sobre a justificativa comercial para usar o aplicativo, por exemplo, entrando em contato com os usuários do aplicativo. Em seguida, repita as etapas na Fase 2 para avaliar o risco do aplicativo. Em seguida, determine as próximas etapas para o aplicativo, se você aprova o uso dele no futuro ou se deseja bloqueá-lo na próxima vez que um usuário acessá-lo, caso em que você deve marcá-lo como não sancionado para que possa ser bloqueado usando seu firewall, proxy ou gateway da Web seguro. Para obter mais informações, consulte Integrar com o Microsoft Defender for Endpoint, Integrar com Zscaler, Integrar com iboss e Bloquear aplicativos exportando um script de bloco.

Fase 4: Relatórios avançados de deteção de TI sombra

Além das opções de relatórios disponíveis no Defender for Cloud Apps, você pode integrar logs de descoberta na nuvem ao Microsoft Sentinel para investigação e análise adicionais. Quando os dados estiverem no Microsoft Sentinel, você poderá visualizá-los em painéis, executar consultas usando a linguagem de consulta Kusto, exportar consultas para o Microsoft Power BI, integrar com outras fontes e criar alertas personalizados. Para obter mais informações, consulte Integração do Microsoft Sentinel.

Fase 5: Controlar aplicativos sancionados

  1. Para habilitar o controle de aplicativos por meio de APIs, conecte aplicativos via API para monitoramento contínuo.

  2. Proteja aplicativos usando o controle de aplicativo de acesso condicional.

A natureza dos aplicativos na nuvem significa que eles são atualizados diariamente e novos aplicativos aparecem o tempo todo. Por isso, os funcionários estão usando continuamente novos aplicativos e é importante continuar acompanhando, revisando e atualizando suas políticas, verificando quais aplicativos seus usuários estão usando, bem como seus padrões de uso e comportamento. Você sempre pode ir para o painel de descoberta de nuvem e ver quais novos aplicativos estão sendo usados, e siga as instruções neste artigo novamente para garantir que sua organização e seus dados estejam protegidos.

Próximos passos

Se tiver algum problema, estamos aqui para ajudar. Para obter assistência ou suporte para o problema do seu produto, abra um ticket de suporte.

Mais informações