Criar políticas de aplicativo na governança de aplicativos

  • Artigo

Juntamente com um conjunto interno de recursos para detetar comportamentos anômalos de aplicativos e gerar alertas com base em algoritmos de aprendizado de máquina, as políticas de governança de aplicativos permitem:

  • Especifique as condições pelas quais a governança do aplicativo alerta você sobre o comportamento do aplicativo para correção automática ou manual.

  • Aplique as políticas de conformidade de aplicativos para sua organização.

Use a governança de aplicativos para criar políticas OAuth para aplicativos conectados ao Microsoft Entra ID, Google Workspace e Salesforce.


Criar políticas de aplicativo OAuth para o Microsoft Entra ID

Para aplicativos conectados ao Microsoft Entra ID, crie políticas de aplicativo a partir de modelos fornecidos que podem ser personalizados ou crie sua própria política de aplicativo personalizada.

  1. Para criar uma nova política de aplicativo para aplicativos do Azure AD, vá para Microsoft Defender XDR > App governance > Policies > Azure AD.

    Por exemplo:

    Screenshot of the Azure AD tab.

  2. Selecione a opção Criar nova política e siga uma das seguintes etapas:

    • Para criar uma nova política de aplicativo a partir de um modelo, escolha a categoria de modelo relevante seguida pelo modelo nessa categoria.
    • Para criar uma política personalizada, selecione a categoria Personalizado .

    Por exemplo:

    Screenshot of a Choose a policy template page.

Modelos de política de aplicativos

Para criar uma nova política de aplicativo com base em um modelo de política de aplicativo, na página Escolher modelo de política de aplicativo, selecione uma categoria de modelo de aplicativo, selecione o nome do modelo e selecione Avançar.

As seções a seguir descrevem as categorias de modelo de política de aplicativo.

Utilização

A tabela a seguir lista os modelos de governança de aplicativo suportados para gerar alertas para uso do aplicativo.

Nome do modelo Description
Novo aplicativo com alto uso de dados Encontre aplicativos recém-registrados que carregaram ou baixaram grandes quantidades de dados usando a API do Graph. Esta política verifica as seguintes condições:

  • Idade de inscrição: Sete dias ou menos (personalizável)
  • Uso de dados: Maior que 1 GB em um dia (personalizável)
    		•
    Aumento de utilizadores Encontre aplicativos com um aumento considerável no número de usuários. Esta política verifica as seguintes condições:

  • Intervalo de tempo: Últimos 90 dias
  • Aumento de usuários consentidos: Pelo menos 50% (personalizável)
    		•

    Permissões

    A tabela a seguir lista os modelos de governança de aplicativo suportados para gerar alertas para permissões de aplicativo.

    Nome do modelo Description
    Aplicativo superprivilegiado Encontre aplicativos que tenham permissões da API do Graph não utilizadas. Essas aplicações receberam permissões que podem ser desnecessárias para uso regular.
    Nova aplicação altamente privilegiada Encontre aplicativos recém-registrados que receberam acesso de gravação e outras permissões poderosas da API do Graph. Esta política verifica as seguintes condições:

  • Idade de inscrição: Sete dias ou menos (personalizável)
    		•
    Novo aplicativo com permissões que não são da API do Graph Encontre aplicativos recém-registrados que tenham permissões para APIs que não sejam do Graph. Esses aplicativos podem expô-lo a riscos se as APIs acessadas receberem suporte e atualizações limitados.
    Esta política verifica as seguintes condições:

  • Idade de inscrição: Sete dias ou menos (personalizável)
  • Permissões de API não gráficas: Sim
    		•

    Certificação

    A tabela a seguir lista os modelos de governança de aplicativo suportados para gerar alertas para a certificação Microsoft 365.

    Nome do modelo Description
    Nova aplicação não certificada Encontre aplicativos recém-registrados que não tenham certificado de editor ou certificação Microsoft 365. Esta política verifica as seguintes condições:

  • Idade de inscrição: Sete dias ou menos (personalizável)
  • Certificação: Sem certificação (personalizável)
    		•

    Políticas personalizadas

    Use uma política de aplicativo personalizada quando precisar fazer algo que ainda não foi feito por um dos modelos internos.

    1. Para criar uma nova política de aplicativo personalizada, primeiro selecione Criar nova política na página Políticas . Na página Escolher modelo de política de aplicativo, selecione a categoria Personalizado, o modelo de política personalizada e selecione Avançar.

    2. Na página Nome e descrição, configure o seguinte:

      • Nome da Política
      • Descrição da política
      • Selecione a gravidade da política, que define a gravidade dos alertas gerados por esta política.
        • Máximo
        • Meio
        • Mínimo

    3. Na página Escolher configurações e condições da política, em Escolha para quais aplicativos essa política é aplicável, selecione:

      • Todos os apps
      • Escolha aplicações específicas
      • Todas as aplicações, exceto

    4. Se escolher aplicações específicas ou todas as aplicações, exceto esta política, selecione Adicionar aplicações e selecione as aplicações pretendidas na lista. No painel Escolher aplicações, pode selecionar várias aplicações às quais esta política se aplica e, em seguida, selecionar Adicionar. Selecione Avançar quando estiver satisfeito com a lista.

    5. Selecione Editar condições. Selecione Adicionar condição e escolha uma condição na lista. Defina o limite desejado para a condição selecionada. Repita para adicionar mais condições. Selecione Guardar para guardar a regra e, quando terminar de adicionar regras, selecione Seguinte.

      Nota

      Algumas condições de política só são aplicáveis a aplicativos que acessam permissões da API do Graph. Ao avaliar aplicativos que acessam apenas APIs que não sejam do Graph, a governança do aplicativo ignorará essas condições de política e continuará a verificar apenas outras condições de política.

    6. Aqui estão as condições disponíveis para uma política de aplicativo personalizada:

      Condição Valores de condição aceites Description Mais Informações
      Idade de inscrição Nos últimos X dias Aplicativos que foram registrados no Microsoft Entra ID dentro de um período especificado a partir da data atual
      Certificação Sem certificação, atestado pelo editor, certificado Microsoft 365 Aplicativos que são certificados pelo Microsoft 365, têm um relatório de atestado de editor ou nenhum dos dois Certificação Microsoft 365
      Editor verificado Yes ou No. Aplicativos que têm editores verificados Verificação do editor
      Permissões de aplicativo (somente gráfico) Selecione uma ou mais permissões de API na lista Aplicativos com permissões específicas da API do Graph que foram concedidas diretamente Referência de permissões do Microsoft Graph
      Permissões delegadas (somente gráfico) Selecione uma ou mais permissões de API na lista Aplicativos com permissões específicas da API do Graph dadas por um usuário Referência de permissões do Microsoft Graph
      Altamente privilegiado (apenas gráfico) Yes ou No. Aplicativos com permissões relativamente poderosas da API do Graph Uma designação interna baseada na mesma lógica usada pelo Defender for Cloud Apps.
      Superprivilegiado (somente gráfico) Yes ou No. Aplicativos com permissões não utilizadas da API do Graph Aplicações com mais permissões concedidas do que as que estão a ser utilizadas por essas aplicações.
      Permissões de API não gráficas Yes ou No. Aplicativos com permissões para APIs que não sejam do Graph. Esses aplicativos podem expô-lo a riscos se as APIs acessadas receberem suporte e atualizações limitados.
      Utilização de dados (apenas gráfico) Maior que X GB de dados baixados e carregados por dia Aplicativos que leram e gravaram mais de uma quantidade especificada de dados usando a API do Graph
      Tendência de uso de dados (somente gráfico) X % de aumento na utilização de dados em comparação com o dia anterior Os aplicativos cujos dados são lidos e gravados usando a API do Graph aumentaram em uma porcentagem especificada em comparação com o dia anterior
      Acesso à API (somente gráfico) Maior que X chamadas de API por dia Aplicativos que fizeram mais de um número especificado de chamadas à API do Graph em um dia
      Tendência de acesso à API (somente gráfico) Aumento de X % nas chamadas de API em comparação com o dia anterior Aplicativos cujo número de chamadas à API do Graph aumentou em uma porcentagem especificada em comparação com o dia anterior
      Número de utilizadores consentidos (Maior ou menor que) X utilizadores consentidos Aplicações que receberam consentimento por um número maior ou menor de utilizadores do que o especificado
      Aumento do número de utilizadores que consentem X % de aumento de utilizadores nos últimos 90 dias Aplicações cujo número de utilizadores com consentimento aumentou mais de uma percentagem especificada nos últimos 90 dias
      Consentimento de conta prioritária dado Yes ou No. Aplicações que receberam consentimento de utilizadores prioritários Um usuário com uma conta prioritária.
      Nomes dos utilizadores que consentiram Selecionar usuários da lista Aplicações que receberam consentimento de utilizadores específicos
      Funções dos utilizadores que consentem Selecionar funções na lista Aplicativos que receberam consentimento de usuários com funções específicas Várias seleções permitidas.

      Qualquer função do Microsoft Entra com membro atribuído deve ser disponibilizada nesta lista.
      Rótulos de sensibilidade acessados Selecione um ou mais rótulos de sensibilidade na lista Aplicativos que acessaram dados com rótulos de sensibilidade específicos nos últimos 30 dias.
      Serviços acedidos (apenas gráfico) Exchange e/ou OneDrive e/ou SharePoint e/ou Teams Aplicativos que acessaram o OneDrive, SharePoint ou Exchange Online usando a API do Graph Várias seleções permitidas.
      Taxa de erro (apenas gráfico) Taxa de erro superior a X% nos últimos sete dias Aplicativos cujas taxas de erro da API do Graph nos últimos sete dias são maiores do que uma porcentagem especificada

      Todas as condições especificadas devem ser atendidas para que esta política de aplicativo gere um alerta.

    7. Quando terminar de especificar as condições, selecione Salvar e, em seguida, selecione Avançar.

    8. Na página Definir Ações de Política, selecione Desativar aplicativo se quiser que a governança do aplicativo desabilite o aplicativo quando um alerta baseado nessa política for gerado e selecione Avançar. Tenha cuidado ao aplicar ações, pois uma política pode afetar os usuários e o uso legítimo do aplicativo.

    9. Na página Definir Status da Política, selecione uma destas opções:

      • Modo de auditoria: as políticas são avaliadas, mas as ações configuradas não ocorrerão. As políticas do modo de auditoria aparecem com o status de Auditoria na lista de políticas. Você deve usar o modo de auditoria para testar uma nova política.
      • Ativo: as políticas são avaliadas e as ações configuradas ocorrerão.
      • Inativo: as políticas não são avaliadas e as ações configuradas não ocorrerão.

    10. Analise cuidadosamente todos os parâmetros da sua política personalizada. Selecione Enviar quando estiver satisfeito. Você também pode voltar e alterar as configurações selecionando Editar abaixo de qualquer uma das configurações.

    Testar e monitorar sua nova política de aplicativo

    Agora que sua política de aplicativo foi criada, você deve monitorá-la na página Políticas para garantir que ela esteja registrando um número esperado de alertas ativos e o total de alertas durante o teste.

    Screenshot of the app governance policies summary page in Microsoft Defender XDR, with a highlighted policy.

    Se o número de alertas for um valor inesperadamente baixo, edite as configurações da política do aplicativo para garantir que você a configurou corretamente antes de definir seu status.

    Aqui está um exemplo de um processo para criar uma nova política, testá-la e, em seguida, torná-la ativa:

    1. Crie a nova política com gravidade, aplicativos, condições e ações definidas como valores iniciais e o status definido como Modo de auditoria.
    2. Verifique o comportamento esperado, como alertas gerados.
    3. Se o comportamento não for esperado, edite os aplicativos de política, as condições e as configurações de ação conforme necessário e volte para a etapa 2.
    4. Se o comportamento for esperado, edite a política e altere seu status para Ativo.

    Por exemplo, o fluxograma a seguir mostra as etapas envolvidas:

    Diagram of the create app policy workflow.

    Criar uma nova política para aplicativos OAuth conectados ao Salesforce e ao Google Workspace

    As políticas para aplicativos OAuth disparam alertas somente sobre políticas autorizadas por usuários no locatário.

    Para criar uma nova política de aplicativos para Salesforce, Google e outros aplicativos:

    1. Vá para Microsoft Defender XDR > Políticas de governança de > > aplicativos Outros aplicativos. Por exemplo:

      Other apps-policy creation

    2. Filtre as aplicações de acordo com as suas necessidades. Por exemplo, talvez você queira exibir todos os aplicativos que solicitam Permissão para Modificar calendários em sua caixa de correio.

      Gorjeta

      Use o filtro de uso da comunidade para obter informações sobre se permitir permissão para este aplicativo é comum, incomum ou raro. Esse filtro pode ser útil se você tiver um aplicativo raro e solicitar permissão com alto nível de gravidade ou solicitar permissão de muitos usuários.

    3. Talvez você queira definir a política com base nas associações de grupo dos usuários que autorizaram os aplicativos. Por exemplo, um administrador pode decidir definir uma política que revogue aplicativos incomuns se eles pedirem permissões altas, somente se o usuário que autorizou as permissões for membro do grupo Administradores.

    Por exemplo:

    new OAuth app policy.

    Políticas de deteção de anomalias para aplicativos OAuth conectados ao Salesforce e ao Google Workspace

    Além das políticas de aplicativos Oauth que você pode criar, os aplicativos do Defender for Cloud fornecem políticas de deteção de anomalias prontas para uso que criam perfis de metadados de aplicativos OAuth para identificar aqueles que são potencialmente maliciosos.

    Esta seção só é relevante para aplicativos Salesforce e Google Workspace.

    Nota

    As políticas de deteção de anomalias só estão disponíveis para aplicações OAuth autorizadas no seu ID do Microsoft Entra. A gravidade das políticas de deteção de anomalias do aplicativo OAuth não pode ser modificada.

    A tabela a seguir descreve as políticas de deteção de anomalias prontas para uso fornecidas pelo Defender for Cloud Apps:

    Política Description
    Nome enganoso do aplicativo OAuth Analisa aplicações OAuth ligadas ao seu ambiente e dispara um alerta quando uma aplicação com um nome enganoso é detetada. Nomes enganosos, como letras estrangeiras que se assemelham a letras latinas, podem indicar uma tentativa de disfarçar um aplicativo mal-intencionado como um aplicativo conhecido e confiável.
    Nome de editor enganoso para um aplicativo OAuth Analisa as aplicações OAuth ligadas ao seu ambiente e dispara um alerta quando é detetada uma aplicação com um nome de editor enganador. Nomes de editores enganosos, como letras estrangeiras que se assemelham a letras latinas, podem indicar uma tentativa de disfarçar um aplicativo mal-intencionado como um aplicativo proveniente de um editor conhecido e confiável.
    Consentimento mal-intencionado do aplicativo OAuth Analisa aplicações OAuth ligadas ao seu ambiente e dispara um alerta quando uma aplicação potencialmente maliciosa é autorizada. Aplicativos OAuth maliciosos podem ser usados como parte de uma campanha de phishing na tentativa de comprometer os usuários. Essa deteção usa a pesquisa de segurança da Microsoft e a experiência em inteligência de ameaças para identificar aplicativos mal-intencionados.
    Atividades suspeitas de download de arquivos do aplicativo OAuth Para obter mais informações, consulte Políticas de deteção de anomalias.

    Próximo passo

    Gerir as políticas da sua aplicação