Controlar as aplicações na cloud com políticas

As políticas permitem-lhe definir a forma como quer que os utilizadores se comportem na nuvem. Eles permitem que você detete comportamentos de risco, violações ou pontos de dados e atividades suspeitos em seu ambiente de nuvem. Se necessário, você pode integrar fluxos de trabalho de remediação para obter a redução completa dos riscos. Existem vários tipos de políticas que se correlacionam com os diferentes tipos de informações que quer recolher sobre o ambiente em nuvem e os tipos de ações de remediação que possa pretender tomar.

Por exemplo, se houver uma ameaça de violação de dados que você deseja colocar em quarentena, você precisará de um tipo diferente de política em vigor do que se quiser impedir que um aplicativo de nuvem arriscado seja usado pela sua organização.

Tipos de política

Quando você olha para a página Gerenciamento de políticas , as várias políticas e modelos podem ser distinguidos por tipo e ícone para ver quais políticas estão disponíveis. As políticas podem ser visualizadas em conjunto no separador Todas as políticas ou nos respetivos separadores de categoria. As políticas disponíveis dependem da fonte de dados e do que você habilitou no Defender for Cloud Apps para sua organização. Por exemplo, se você carregou logs de descoberta na nuvem, as políticas relacionadas à descoberta na nuvem serão exibidas.

Podem ser criados os tipos de políticas seguintes:

Ícone do tipo de política Tipo de política Categoria Utilizar
ícone da política de atividades. Política de atividade Deteção de ameaças As políticas de atividade permitem que você imponha uma ampla gama de processos automatizados usando as APIs do provedor de aplicativos. Com estas políticas, pode monitorizar atividades específicas levadas a cabo por diversos utilizadores ou acompanhar taxas inesperadamente altas de um determinado tipo de atividade. Mais informações
ícone da política de deteção de anomalias. Política de deteção de anomalias Deteção de ameaças As políticas de deteção de anomalias permitem-lhe procurar atividades invulgares na sua nuvem. A deteção é baseada nos fatores de risco definidos para alertá-lo quando algo acontece diferente da linha de base da sua organização ou da atividade regular do usuário. Mais informações
Ícone da política do aplicativo OAuth. Política do aplicativo OAuth Deteção de ameaças As políticas do aplicativo OAuth permitem que você investigue quais permissões cada aplicativo OAuth solicitou e as aprove ou revogue automaticamente. Essas são políticas internas que vêm com o Defender for Cloud Apps e não podem ser criadas. Mais informações
Ícone da política de deteção de malware. Política de deteção de malware Deteção de ameaças As políticas de deteção de malware permitem-lhe identificar ficheiros maliciosos no seu armazenamento na nuvem e aprová-los ou revogá-los automaticamente. Esta é uma política integrada que vem com o Defender for Cloud Apps e não pode ser criada. Mais informações
ícone da política de ficheiros. Política de ficheiros Proteção de informações As políticas de arquivo permitem que você analise seus aplicativos na nuvem em busca de arquivos ou tipos de arquivos especificados (compartilhados, compartilhados com domínios externos), dados (informações proprietárias, dados pessoais, informações de cartão de crédito e outros tipos de dados) e aplique ações de governança aos arquivos (as ações de governança são específicas do aplicativo na nuvem). Mais informações
ícone da política de acesso. Política de acesso Acesso Condicional As políticas de acesso fornecem-lhe monitorização e controlo em tempo real sobre os inícios de sessão dos utilizadores nas suas aplicações na nuvem. Mais informações
ícone da política de sessão. Política de sessão Acesso Condicional As políticas de sessão fornecem monitoramento e controle em tempo real sobre a atividade do usuário em seus aplicativos na nuvem. Mais informações
Ícone da política de descoberta na nuvem. Política de deteção de aplicações TI sombra Com as políticas de deteção de aplicações, pode definir alertas que o notificam quando são detetadas aplicações novas na sua organização. Mais informações
ícone da política de deteção de anomalias. Política de deteção de anomalias de descoberta na nuvem TI sombra As políticas de deteção de anomalias de descoberta na nuvem examinam os logs que você usa para descobrir aplicativos na nuvem e pesquisar ocorrências incomuns. Por exemplo, quando um utilizador que nunca utilizou o Dropbox carrega, subitamente, 600 GB para este armazenamento ou quando existem muito mais transações do que o habitual numa determinada aplicação. Mais informações

Identificar riscos

O Defender for Cloud Apps ajuda-o a mitigar diferentes riscos na nuvem. Pode configurar qualquer política e alerta para ser associado a um dos seguintes riscos:

  • Controlo de acesso: quem acede ao quê e onde?

    Monitorize continuamente o comportamento e detete atividades anómalas, incluindo ataques de elevado risco internos e externos, e aplique uma política para alertar, bloquear ou exigir verificação de identidade a qualquer aplicação ou a uma ação específica numa aplicação. Ativa políticas de controlo de acesso móvel e no local com base no utilizador, no dispositivo e na geografia com bloqueio genérico e vista, edição e bloqueio granular. Detete eventos de início de sessão suspeitos, incluindo falhas na autenticação multifator, falhas de início de sessão de conta desativada e eventos de representação.

  • Conformidade: os seus requisitos de conformidade foram infringidos?

    Catalogue e identifique dados confidenciais ou regulados, incluindo permissões de partilha para cada ficheiro, armazenados em serviços de sincronização de ficheiros para garantir a conformidade com as normas, como PCI, SOX e HIPAA

  • Controlo de configuração: estão a ser feitas alterações não autorizadas à sua configuração?

    Monitorize as alterações à configuração, incluindo a manipulação de configuração remota.

  • Descoberta na nuvem: novos aplicativos estão sendo usados em sua organização? Tem um problema porque estão a ser utilizadas aplicações Shadow IT e não está a par disso?

    Classifique o risco geral de cada aplicativo na nuvem com base em certificações e práticas recomendadas regulatórias e do setor. Permite monitorar o número de usuários, atividades, volume de tráfego e horas de uso típicas de cada aplicativo na nuvem.

  • DLP: são partilhados publicamente ficheiros proprietários? Precisa de colocar ficheiros em quarentena?

    A integração de DLP no local proporciona integração e remediação de ciclo fechado com soluções de DLP no local existentes.

  • Contas privilegiadas: precisa de monitorizar as contas de administrador?

    Monitorização e criação de relatórios em tempo real de atividades de utilizadores e administradores privilegiados.

  • Controlo de partilhas: como é que os dados são partilhados no seu ambiente de cloud?

    Inspecione os conteúdos de ficheiros e os conteúdos na cloud e aplique políticas de partilha interna e externa. Monitorize a colaboração e aplique políticas de partilha, como impedir a partilha de ficheiros fora da sua organização.

  • Deteção de ameaças: o seu ambiente de cloud está a ser ameaçado por atividades suspeitas?

    Receba notificações em tempo real para qualquer violação de política ou limite de atividade por e-mail. Ao aplicar algoritmos de aprendizado de máquina, o Defender for Cloud Apps permite detetar comportamentos que podem indicar que um usuário está usando dados indevidamente.

Como controlar riscos

Siga este processo para controlar riscos com políticas:

  1. Crie uma política a partir de um modelo ou de uma consulta.

  2. Otimize a política para obter os resultados esperados.

  3. Adicione ações automáticas para responder e remediar riscos automaticamente.

Criar uma política

Você pode usar os modelos de política do Defender for Cloud Apps como base para todas as suas políticas ou criar políticas a partir de uma consulta.

Os modelos de política ajudam a definir os filtros e configurações corretos necessários para detetar eventos específicos de interesse em seu ambiente. Os modelos incluem políticas de todos os tipos e podem ser aplicados a vários serviços.

Para criar uma política a partir de modelos de política, execute as seguintes etapas:

  1. No Portal do Microsoft Defender, em Cloud Apps, vá para Policies ->Policy templates.

    Crie a política a partir de um modelo.

  2. Selecione o sinal de adição (+) na extremidade direita da linha do modelo que você deseja usar. Uma página de criação de política é aberta, com a configuração predefinida do modelo.

  3. Modifique o modelo conforme necessário tendo em conta a sua política personalizada. Pode modificar todos os campos e propriedades desta nova política baseada em modelo consoante as suas necessidades.

    Nota

    Ao usar os filtros de política, Contém pesquisas apenas por palavras completas – separadas por comas, pontos, espaços ou sublinhados. Por exemplo, se você pesquisar por malware ou vírus, ele encontra virus_malware_file.exe mas não encontra malwarevirusfile.exe. Se você procurar por malware.exe, você encontrará TODOS os arquivos com malware ou exe em seu nome de arquivo, enquanto que se você procurar por "malware.exe" (com as aspas) você encontrará apenas arquivos que contêm exatamente "malware.exe".
    Igual a pesquisas apenas para a cadeia de caracteres completa, por exemplo, se você pesquisar por malware.exe ele encontra malware.exe mas não malware.exe.txt.

  4. Após criar a nova política baseada em modelo, é apresentada uma ligação para a mesma na coluna Políticas ligadas da tabela de modelos de políticas, junto ao modelo que serviu de base à política criada. Você pode criar quantas políticas quiser a partir de cada modelo e todas elas serão vinculadas ao modelo original. A vinculação permite que você acompanhe todas as políticas criadas usando o mesmo modelo.

Em alternativa, pode criar uma política durante a investigação. Se você estiver investigando o registro de atividades, arquivos ou identidades e fizer uma busca detalhada para pesquisar algo específico, a qualquer momento poderá criar uma nova política com base nos resultados da investigação.

Por exemplo, você pode querer criar um se estiver olhando para o registro de atividades e ver uma atividade de administrador de fora dos endereços IP do seu escritório.

Para criar uma política com base nos resultados da investigação, execute as seguintes etapas:

  1. No Portal do Microsoft Defender, vá para um destes:

    • Cloud Apps -> Registo de atividades
    • Cloud Apps -> Arquivos
    • Ativos ->Identidades
  2. Use os filtros na parte superior da página para limitar os resultados da pesquisa à área suspeita. Por exemplo, na página Registro de atividades, selecione Atividade administrativa e selecione Verdadeiro. Em seguida, em Endereço IP, selecione Categoria e defina o valor para não incluir categorias de endereços IP que você criou para seus domínios reconhecidos, como os endereços IP de administrador, corporativo e VPN.

    Crie um arquivo a partir da investigação.

  3. Abaixo da consulta, selecione Nova política na pesquisa.

    Nova política a partir do botão de pesquisa.

  4. É aberta uma página de criação de política, que contém os filtros que utilizou na sua investigação.

  5. Modifique o modelo conforme necessário tendo em conta a sua política personalizada. Pode modificar todos os campos e propriedades desta nova política baseada em investigação consoante as suas necessidades.

    Nota

    Ao usar os filtros de política, Contém pesquisas apenas por palavras completas – separadas por comas, pontos, espaços ou sublinhados. Por exemplo, se você pesquisar por malware ou vírus, ele encontra virus_malware_file.exe mas não encontra malwarevirusfile.exe.
    Igual a pesquisas apenas para a cadeia de caracteres completa, por exemplo, se você pesquisar por malware.exe ele encontra malware.exe mas não malware.exe.txt.

    criar política de atividade a partir da investigação.

    Nota

    Para obter mais informações sobre como definir os campos de política, consulte a documentação de política correspondente:

    Políticas de atividade de utilizador

    Políticas de proteção de dados

    Políticas de descoberta na nuvem

Adicionar ações automáticas para responder e remediar riscos automaticamente

Para obter uma lista de ações de governação disponíveis por aplicação, veja Governar aplicações ligadas.

Você também pode definir a política para enviar um alerta por e-mail quando as correspondências forem detetadas.

Para definir suas preferências de notificação, vá para Preferências de notificação por e-mail.

Ativar e desativar políticas

Após criar uma política, pode ativá-la ou desativá-la. A desativação evita a necessidade de excluir uma política depois de criá-la para interrompê-la. Em vez disso, se por algum motivo você quiser interromper a política, desative-a até optar por habilitá-la novamente.

  • Para habilitar uma política, na página Política , selecione os três pontos no final da linha da política que você deseja habilitar. Selecione Ativar.

    Ativar política.

  • Para desativar uma política, na página Política , selecione os três pontos no final da linha da política que pretende desativar. Selecione Desativar.

    Desativar a política.

Por padrão, depois de criar uma nova política, ela é habilitada.

Relatório de visão geral de políticas

O Defender for Cloud Apps permite exportar um relatório de visão geral de políticas mostrando métricas de alerta agregadas por política para ajudá-lo a monitorar, entender e personalizar suas políticas para proteger melhor sua organização.

Para exportar um log, execute as seguintes etapas:

  1. Na página Políticas, selecione o botão Exportar.

  2. Especifique o intervalo de tempo necessário.

  3. Selecione Exportar. Este processo pode demorar algum tempo.

Para baixar o relatório exportado:

  1. Depois que o relatório estiver pronto, no Portal do Microsoft Defender, vá para Relatórios e, em seguida, Cloud Apps ->Relatórios exportados.

  2. Na tabela, selecione o relatório relevante e, em seguida, selecione download.

    botão de download.

Próximos passos

Se tiver algum problema, estamos aqui para ajudar. Para obter assistência ou suporte para o problema do seu produto, abra um ticket de suporte.