Criar políticas de deteção de anomalias do Defender for Cloud Apps

As políticas de deteção de anomalias do Microsoft Defender for Cloud Apps fornecem análise comportamental de usuário e entidade (UEBA) e aprendizado de máquina (ML) prontos para uso para que você esteja pronto desde o início para executar a deteção avançada de ameaças em seu ambiente de nuvem. Como são ativadas automaticamente, as novas políticas de deteção de anomalias iniciam imediatamente o processo de deteção e agrupamento de resultados, visando inúmeras anomalias comportamentais entre seus usuários e as máquinas e dispositivos conectados à sua rede. Além disso, as políticas expõem mais dados do mecanismo de deteção do Defender for Cloud Apps para ajudá-lo a acelerar o processo de investigação e conter ameaças contínuas.

As políticas de deteção de anomalias são ativadas automaticamente, mas o Defender for Cloud Apps tem um período de aprendizagem inicial de sete dias, durante o qual nem todos os alertas de deteção de anomalias são gerados. Depois disso, à medida que os dados são coletados de seus conectores de API configurados, cada sessão é comparada com a atividade, quando os usuários estavam ativos, endereços IP, dispositivos e assim por diante, detetados no mês passado e a pontuação de risco dessas atividades. Lembre-se de que pode levar várias horas para que os dados estejam disponíveis a partir de conectores de API. Essas deteções fazem parte do mecanismo de deteção de anomalias heurísticas que traça o perfil do seu ambiente e dispara alertas em relação a uma linha de base que foi aprendida na atividade da sua organização. Essas deteções também usam algoritmos de aprendizado de máquina projetados para traçar o perfil dos usuários e o padrão de login para reduzir falsos positivos.

As anomalias são detetadas através da análise de atividades do utilizador. O risco é avaliado através da análise de mais de 30 indicadores de risco diferentes, agrupados em fatores de risco, da seguinte forma:

  • Endereço IP de risco
  • Falhas de login
  • Atividade do administrador
  • Contas inativas
  • Location
  • Deslocação impossível
  • Agente de dispositivo e usuário
  • Taxa de atividade

Com base nos resultados da política, os alertas de segurança são acionados. O Defender for Cloud Apps analisa todas as sessões de utilizador na sua nuvem e alerta-o quando acontece algo diferente da linha de base da sua organização ou da atividade regular do utilizador.

Além dos alertas nativos do Defender for Cloud Apps, você também receberá os seguintes alertas de deteção com base nas informações recebidas do Microsoft Entra ID Protection:

  • Credenciais vazadas: acionadas quando as credenciais válidas de um usuário são vazadas. Para obter mais informações, consulte Deteção de credenciais vazadas do Microsoft Entra ID.
  • Entrada arriscada: combina várias deteções de entrada do Microsoft Entra ID Protection em uma única deteção. Para obter mais informações, consulte Deteções de risco de entrada do Microsoft Entra ID.

Essas políticas aparecerão na página de políticas do Defender for Cloud Apps e podem ser ativadas ou desativadas.

Políticas de deteção de anomalias

Você pode ver as políticas de deteção de anomalias no Portal do Microsoft Defender, indo para Cloud Apps ->Policies ->Policy management. Em seguida, escolha Política de deteção de anomalias para o tipo de política.

novas políticas de deteção de anomalias.

As seguintes políticas de deteção de anomalias estão disponíveis:

Deslocação impossível

    • Essa deteção identifica duas atividades do usuário (em uma única ou várias sessões) originadas de locais geograficamente distantes dentro de um período de tempo menor do que o tempo que o usuário levaria para viajar do primeiro local para o segundo, indicando que um usuário diferente está usando as mesmas credenciais. Essa deteção usa um algoritmo de aprendizado de máquina que ignora "falsos positivos" óbvios que contribuem para a condição de viagem impossível, como VPNs e locais usados regularmente por outros usuários na organização. A deteção tem um período de aprendizagem inicial de sete dias, durante o qual aprende um novo padrão de atividade do usuário. A deteção de viagem impossível identifica atividades incomuns e impossíveis do usuário entre dois locais. A atividade deve ser incomum o suficiente para ser considerada um indicador de comprometimento e digna de um alerta. Para que isso funcione, a lógica de deteção inclui diferentes níveis de supressão para abordar cenários que podem desencadear falsos positivos, como atividades de VPN ou atividades de provedores de nuvem que não indicam um local físico. O controle deslizante de sensibilidade permite que você afete o algoritmo e defina o quão rigorosa é a lógica de deteção. Quanto maior o nível de sensibilidade, menos atividades serão suprimidas como parte da lógica de deteção. Desta forma, você pode adaptar a deteção de acordo com suas necessidades de cobertura e seus alvos SNR.

      Nota

      • Quando os endereços IP em ambos os lados da viagem são considerados seguros e o controle deslizante de sensibilidade não está definido como Alto, a viagem é confiável e excluída de acionar a deteção de viagem impossível. Por exemplo, ambos os lados são considerados seguros se forem marcados como corporativos. No entanto, se o endereço IP de apenas um lado da viagem for considerado seguro, a deteção é acionada normalmente.
      • As localizações são calculadas a nível de país/região. Isto significa que não haverá alertas para duas ações com origem no mesmo país/região ou em países/regiões limítrofes.

Atividade de país pouco frequente

  • Essa deteção considera locais de atividades anteriores para determinar locais novos e pouco frequentes. O mecanismo de deteção de anomalias armazena informações sobre locais anteriores usados pelo usuário. Um alerta é acionado quando ocorre uma atividade a partir de um local que não foi visitado recentemente ou nunca foi visitado pelo usuário. Para reduzir alertas de falsos positivos, a deteção suprime conexões que são caracterizadas por preferências comuns para o usuário.

Deteção de malware

Esta deteção identifica ficheiros maliciosos no seu armazenamento na nuvem, quer sejam das suas aplicações Microsoft ou de aplicações de terceiros. O Microsoft Defender for Cloud Apps usa a inteligência de ameaças da Microsoft para reconhecer se determinados arquivos que correspondem a heurísticas de riscos, como tipo de arquivo e nível de compartilhamento, estão associados a ataques de malware conhecidos e são potencialmente maliciosos. Esta política interna está desativada por padrão. Depois que os arquivos mal-intencionados são detetados, você pode ver uma lista de arquivos infetados. Selecione o nome do arquivo de malware na gaveta de arquivos para abrir um relatório de malware que fornece informações sobre o tipo de malware com o qual o arquivo está infetado.

Use essa deteção para controlar uploads e downloads de arquivos em tempo real com políticas de sessão.

Sandboxing de arquivos

Ao habilitar o sandboxing de arquivos, os arquivos que, de acordo com seus metadados e com base em heurísticas proprietárias, são potencialmente arriscados, também serão digitalizados em um ambiente seguro. A verificação Sandbox pode detetar arquivos que não foram detetados com base em fontes de inteligência de ameaças.

O Defender for Cloud Apps suporta a deteção de malware para as seguintes aplicações:

  • Box
  • Dropbox
  • Espaço de trabalho do Google

Nota

  • O sandboxing proativo será feito em aplicativos de terceiros (Box, Dropbox etc.). No OneDrive e no SharePoint, os arquivos estão sendo verificados e colocados em área restrita como parte do próprio serviço.
  • No Box, Dropbox e Google Workspace, o Defender for Cloud Apps não bloqueia automaticamente o arquivo, mas o bloqueio pode ser realizado de acordo com os recursos do aplicativo e a configuração do aplicativo definida pelo cliente.
  • Se você não tiver certeza se um arquivo detetado é realmente malware ou um falso positivo, vá para a página Microsoft Security Intelligence em https://www.microsoft.com/wdsi/filesubmission e envie o arquivo para análise adicional.

Atividade de endereços IP anónimos

  • Essa deteção identifica que os usuários estavam ativos a partir de um endereço IP que foi identificado como um endereço IP de proxy anônimo. Esses proxies são usados por pessoas que desejam ocultar o endereço IP do dispositivo e podem ser usados para fins maliciosos. Essa deteção usa um algoritmo de aprendizado de máquina que reduz "falsos positivos", como endereços IP marcados incorretamente que são amplamente usados por usuários na organização.

Atividade de ransomware

  • O Defender for Cloud Apps ampliou seus recursos de deteção de ransomware com deteção de anomalias para garantir uma cobertura mais abrangente contra ataques sofisticados de Ransomware. Usando nossa experiência em pesquisa de segurança para identificar padrões comportamentais que refletem a atividade de ransomware, o Defender for Cloud Apps garante uma proteção holística e robusta. Se o Defender for Cloud Apps identificar, por exemplo, uma alta taxa de uploads de arquivos ou atividades de exclusão de arquivos, isso pode representar um processo de criptografia adverso. Esses dados são coletados nos logs recebidos de APIs conectadas e, em seguida, são combinados com padrões comportamentais aprendidos e inteligência de ameaças, por exemplo, extensões de ransomware conhecidas. Para obter mais informações sobre como o Defender for Cloud Apps deteta ransomware, consulte Protegendo sua organização contra ransomware.

Atividade realizada pelo usuário encerrado

  • Essa deteção permite que você identifique quando um funcionário demitido continua a executar ações em seus aplicativos SaaS. Como os dados mostram que o maior risco de ameaça interna vem de funcionários que saíram em más condições, é importante ficar de olho na atividade nas contas de funcionários demitidos. Às vezes, quando os funcionários saem de uma empresa, suas contas são desprovisionadas de aplicativos corporativos, mas em muitos casos eles ainda mantêm o acesso a determinados recursos corporativos. Isso é ainda mais importante quando se consideram contas privilegiadas, pois o dano potencial que um ex-administrador pode causar é inerentemente maior. Essa deteção aproveita a capacidade do Defender for Cloud Apps de monitorar o comportamento do usuário entre aplicativos, permitindo identificar a atividade regular do usuário, o fato de que a conta foi excluída e a atividade real em outros aplicativos. Por exemplo, um funcionário cuja conta do Microsoft Entra foi excluída, mas ainda tem acesso à infraestrutura corporativa da AWS, tem o potencial de causar danos em grande escala.

A deteção procura usuários cujas contas foram excluídas no Microsoft Entra ID, mas ainda realizam atividades em outras plataformas, como AWS ou Salesforce. Isso é especialmente relevante para usuários que usam outra conta (não sua conta de logon único principal) para gerenciar recursos, uma vez que essas contas geralmente não são excluídas quando um usuário sai da empresa.

Atividade de endereços IP suspeitos

  • Essa deteção identifica que os usuários estavam ativos a partir de um endereço IP identificado como arriscado pelo Microsoft Threat Intelligence. Esses endereços IP estão envolvidos em atividades maliciosas, como a execução de spray de senha, Botnet C e C, e podem indicar conta comprometida. Essa deteção usa um algoritmo de aprendizado de máquina que reduz "falsos positivos", como endereços IP marcados incorretamente que são amplamente usados por usuários na organização.

Reencaminhamento suspeito da caixa de entrada

  • Essa deteção procura regras de encaminhamento de e-mails suspeitos, por exemplo, se um usuário criou uma regra de caixa de entrada que encaminha uma cópia de todos os e-mails para um endereço externo.

Nota

O Defender for Cloud Apps alerta apenas para cada regra de encaminhamento identificada como suspeita, com base no comportamento típico do utilizador.

Regras suspeitas de manipulação da caixa de entrada

  • Essa deteção traça o perfil do seu ambiente e dispara alertas quando regras suspeitas que excluem ou movem mensagens ou pastas são definidas na caixa de entrada de um usuário. Isso pode indicar que a conta do usuário está comprometida, que as mensagens estão sendo intencionalmente ocultadas e que a caixa de correio está sendo usada para distribuir spam ou malware em sua organização.

Atividade suspeita de exclusão de e-mail (Visualização)

  • Essa política traça o perfil do seu ambiente e dispara alertas quando um usuário executa atividades suspeitas de exclusão de e-mail em uma única sessão. Essa política pode indicar que as caixas de correio de um usuário podem ser comprometidas por potenciais vetores de ataque, como comunicação de comando e controle (C&C/C2) por e-mail.

Nota

O Defender for Cloud Apps integra-se ao Microsoft Defender XDR para fornecer proteção para o Exchange online, incluindo detonação de URL, proteção contra malware e muito mais. Quando o Defender for Microsoft 365 estiver ativado, você começará a ver alertas no registro de atividades do Defender for Cloud Apps.

Atividades suspeitas de download de arquivos do aplicativo OAuth

  • Verifica os aplicativos OAuth conectados ao seu ambiente e dispara um alerta quando um aplicativo baixa vários arquivos do Microsoft SharePoint ou do Microsoft OneDrive de uma maneira incomum para o usuário. Isso pode indicar que a conta de usuário está comprometida.

ISP incomum para um aplicativo OAuth

  • Esta política traça o perfil do seu ambiente e dispara alertas quando uma aplicação OAuth se liga às suas aplicações na nuvem a partir de um ISP pouco comum. Esta política pode indicar que um invasor tentou usar um aplicativo comprometido legítimo para executar atividades maliciosas em seus aplicativos na nuvem.

Atividades incomuns (por usuário)

Essas deteções identificam os usuários que executam:

  • Atividades incomuns de download de vários arquivos
  • Atividades incomuns de compartilhamento de arquivos
  • Atividades incomuns de exclusão de arquivos
  • Atividades incomuns personificadas
  • Atividades administrativas incomuns
  • Atividades incomuns de compartilhamento de relatório do Power BI (visualização)
  • Várias atividades incomuns de criação de VM (visualização)
  • Várias atividades incomuns de exclusão de armazenamento (visualização)
  • Região incomum para recurso de nuvem (visualização)
  • Acesso incomum a arquivos

Essas políticas procuram atividades dentro de uma única sessão em relação à linha de base aprendida, o que pode indicar uma tentativa de violação. Essas deteções aproveitam um algoritmo de aprendizado de máquina que traça o perfil do padrão de logon dos usuários e reduz os falsos positivos. Essas deteções fazem parte do mecanismo de deteção de anomalias heurísticas que traça o perfil do seu ambiente e dispara alertas em relação a uma linha de base que foi aprendida na atividade da sua organização.

Várias tentativas de login com falha

  • Essa deteção identifica usuários que falharam em várias tentativas de login em uma única sessão em relação à linha de base aprendida, o que pode indicar uma tentativa de violação.

Exfiltração de dados para aplicações não autorizadas

  • Esta política é ativada automaticamente para alertá-lo quando um usuário ou endereço IP usa um aplicativo que não é sancionado para executar uma atividade que se assemelha a uma tentativa de exfiltrar informações da sua organização.

Várias atividades de VM de exclusão

  • Essa política traça o perfil do seu ambiente e dispara alertas quando os usuários excluem várias VMs em uma única sessão, em relação à linha de base em sua organização. Isso pode indicar uma tentativa de violação.

Habilite a governança automatizada

Você pode habilitar ações de correção automatizadas em alertas gerados por políticas de deteção de anomalias.

  1. Selecione o nome da política de deteção na página Políticas .
  2. Na janela Editar política de deteção de anomalias que se abre, em Ações de governança, defina as ações de correção desejadas para cada aplicativo conectado ou para todos os aplicativos.
  3. Selecione Atualizar.

Ajuste as políticas de deteção de anomalias

Para afetar o mecanismo de deteção de anomalias para suprimir ou exibir alertas de acordo com suas preferências:

  • Na política Impossible Travel, você pode definir o controle deslizante de sensibilidade para determinar o nível de comportamento anômalo necessário antes que um alerta seja acionado. Por exemplo, se você defini-lo como baixo ou médio, ele suprimirá os alertas de Viagem Impossível dos locais comuns de um usuário e, se você defini-lo como alto, esses alertas serão exibidos. Você pode escolher entre os seguintes níveis de sensibilidade:

    • Baixo: supressões de sistema, locatário e usuário

    • Meio: Supressões do sistema e do usuário

    • Alto: Apenas supressões do sistema

      Em que:

      Tipo de supressão Description
      Sistema Deteções incorporadas que são sempre suprimidas.
      Inquilino Atividades comuns baseadas em atividades anteriores no inquilino. Por exemplo, suprimir atividades de um ISP previamente alertado na sua organização.
      Utilizador Atividades comuns baseadas na atividade anterior do usuário específico. Por exemplo, suprimir atividades de um local que é comumente usado pelo usuário.

Nota

Viagens impossíveis, atividade de países/regiões pouco frequentes, atividade de endereços IP anónimos e atividade de alertas de endereços IP suspeitos não se aplicam a logins falhados e inícios de sessão não interativos.

Políticas de deteção de anomalias de escopo

Cada política de deteção de anomalias pode ter um escopo independente para que se aplique apenas aos usuários e grupos que você deseja incluir e excluir na política. Por exemplo, você pode definir a Atividade a partir da deteção de condado pouco frequente para ignorar um usuário específico que viaja com frequência.

Para definir o escopo de uma política de deteção de anomalias:

  1. No Portal do Microsoft Defender, vá para Cloud Apps ->Policies ->Policy management. Em seguida, escolha Política de deteção de anomalias para o tipo de política.

  2. Selecione a política que você deseja definir o escopo.

  3. Em Escopo, altere a lista suspensa da configuração padrão de Todos os usuários e grupos para Usuários e grupos específicos.

  4. Selecione Incluir para especificar os usuários e grupos aos quais esta política será aplicada. Qualquer usuário ou grupo não selecionado aqui não será considerado uma ameaça e não gerará um alerta.

  5. Selecione Excluir para especificar os usuários aos quais essa política não será aplicada. Qualquer usuário selecionado aqui não será considerado uma ameaça e não gerará um alerta, mesmo que seja membro de grupos selecionados em Incluir.

    escopo de deteção de anomalias.

Alertas de deteção de anomalias de triagem

Você pode triar os vários alertas acionados pelas novas políticas de deteção de anomalias rapidamente e decidir quais precisam ser atendidos primeiro. Para fazer isso, você precisa do contexto para o alerta, para que você possa ver o quadro geral e entender se algo malicioso está realmente acontecendo.

  1. No registro de atividades, você pode abrir uma atividade para exibir a gaveta de atividades. Selecione Usuário para exibir a guia Informações do usuário. Esta guia inclui informações como número de alertas, atividades e de onde eles se conectaram, o que é importante em uma investigação.

    alerta de deteção de anomalias.

  2. Para arquivos infetados por malware, Depois que os arquivos são detetados, você pode ver uma lista de arquivos infetados. Selecione o nome do arquivo de malware na gaveta de arquivos para abrir um relatório de malware que fornece informações sobre o tipo de malware com o qual o arquivo está infetado.

Próximos passos

Se tiver algum problema, estamos aqui para ajudar. Para obter assistência ou suporte para o problema do seu produto, abra um ticket de suporte.