Criar políticas de sessão do Microsoft Defender for Cloud Apps

  • Artigo

As políticas de sessão do Microsoft Defender for Cloud Apps fornecem visibilidade granular de aplicativos na nuvem com monitoramento em tempo real no nível da sessão. Use políticas de sessão para executar várias ações, dependendo da política definida para uma sessão de usuário.

Ao contrário das políticas de acesso, que permitem ou bloqueiam completamente o acesso, as políticas de sessão permitem o acesso enquanto monitorizam a sessão. Adicione o controle do aplicativo Acesso Condicional às suas políticas de sessão para limitar atividades específicas da sessão.

Por exemplo, talvez você queira permitir que os usuários acessem um aplicativo de dispositivos não gerenciados ou de locais específicos. No entanto, você pode querer limitar o download de arquivos confidenciais durante essas sessões ou exigir que documentos específicos sejam protegidos contra download, upload ou cópia ao sair do aplicativo.

As políticas criadas para um aplicativo host não estão conectadas a nenhum aplicativo de recurso relacionado. Por exemplo, as políticas de acesso que você cria para o Teams, Exchange ou Gmail não estão conectadas ao SharePoint, OneDrive ou Google Drive. Se você precisar de uma política para o aplicativo de recurso, além do aplicativo host, crie uma política separada.

Não há limite para o número de políticas que podem ser aplicadas.

Pré-requisitos

Antes de começar, certifique-se de que tem os seguintes pré-requisitos:

Para que sua política de acesso funcione, você também deve ter uma política de Acesso Condicional do Microsoft Entra ID, que cria as permissões para controlar o tráfego.

Exemplo: Criar políticas de Acesso Condicional do Microsoft Entra ID para uso com o Defender for Cloud Apps

Este procedimento fornece um exemplo de alto nível de como criar uma política de Acesso Condicional para uso com o Defender for Cloud Apps.

  1. No Acesso Condicional do Microsoft Entra ID, selecione Criar nova política.

  2. Introduza um nome significativo para a sua política e, em seguida, selecione a ligação em Sessão para adicionar controlos à sua política.

  3. Na área Sessão, selecione Usar Controle de Aplicativo de Acesso Condicional.

  4. Na área Usuários, selecione para incluir todos os usuários ou somente usuários e grupos específicos.

  5. Nas áreas Condições e Aplicativos cliente, selecione as condições e os aplicativos cliente que você deseja incluir em sua política.

  6. Salve a política alternando Somente relatório para Ativado e selecionando Criar.

O Microsoft Entra ID suporta políticas baseadas e não baseadas em navegador. Recomendamos que você crie ambos os tipos para aumentar a cobertura de segurança.

Repita este procedimento para criar uma política de Acesso Condicional não baseada em navegador. Na área Aplicativos cliente, alterne a opção Configurar para Sim. Em seguida, em Clientes de autenticação modernos, desmarque a opção Navegador . Deixe todas as outras seleções padrão selecionadas.

Para obter mais informações, consulte Políticas de acesso condicional e Criando uma política de acesso condicional.

Criar uma política de sessão do Defender for Cloud Apps

Este procedimento descreve como criar uma nova política de sessão no Defender for Cloud Apps.

  1. No Microsoft Defender XDR, selecione a guia Acesso condicional de gerenciamento > de políticas > de aplicativos em nuvem>.

  2. Selecione Criar política>Política de sessão. Por exemplo:

    Captura de ecrã da página Criar uma política de Acesso Condicional.

  3. Na página Criar política de sessão, comece selecionando um modelo na lista suspensa Modelo de política ou inserindo todos os detalhes manualmente.

  4. Insira as seguintes informações básicas para sua política. Se você estiver usando um modelo, grande parte do conteúdo já está preenchido para você.

    Nome Descrição
    Nome da política Um nome significativo para sua política, como Bloquear Download de Documentos Confidenciais no Box para Usuários de Marketing
    Severidade da política Selecione a severidade que deseja aplicar à sua política.
    Categoria Selecione a categoria que deseja aplicar.
    Descrição Insira uma descrição opcional e significativa para sua política para ajudar sua equipe a entender seu propósito.
    Tipo de controle de sessão Selecione uma das seguintes opções:

    - Apenas monitorizar. Monitoriza apenas a atividade do utilizador e cria uma política Apenas Monitor para as aplicações que selecionar.
    - Bloquear atividades. Bloqueia atividades específicas definidas pelo filtro Tipo de atividade. Todas as atividades de aplicativos selecionados são monitoradas e relatadas no registro de atividades.
    - Controle o download do arquivo (com inspeção). Monitoriza transferências de ficheiros e pode ser combinada com outras ações, como bloquear ou proteger transferências.
    - Controle o upload de arquivos (com inspeção). Monitoriza o carregamento de ficheiros e pode ser combinado com outras ações, como bloquear ou proteger carregamentos.

    Para obter mais informações, consulte Atividades suportadas para políticas de sessão.

  5. Na área Atividades correspondentes a todas as áreas a seguir, selecione filtros de atividade adicionais a serem aplicados à política. Os filtros incluem as seguintes opções:

    Nome Descrição
    Tipo de atividade Selecione o tipo de atividade que deseja aplicar, como:

    - Impressão
    - Ações da área de transferência como cortar, copiar, colar
    - Enviar, partilhar, cancelar a partilha ou editar itens em aplicações suportadas.

    Por exemplo, use uma atividade de envio de itens em suas condições para capturar um usuário tentando enviar informações em um chat do Teams ou canal do Slack e bloqueie a mensagem se ela contiver informações confidenciais, como uma senha ou outras credenciais.
    Aplicação Filtra um aplicativo específico a ser incluído na política. Selecione os aplicativos selecionando primeiro se eles usam a integração automatizada do Azure AD, para aplicativos Microsoft Entra ID, ou a integração manual, para aplicativos IdP que não são da Microsoft. Em seguida, selecione o aplicativo que deseja incluir no filtro na lista.

    Se o seu aplicativo IdP que não é da Microsoft estiver ausente da lista, certifique-se de que você o integrou completamente. Para mais informações, consulte:
    - Integre aplicativos de catálogo IdP que não sejam da Microsoft para controle de aplicativo de Acesso Condicional.
    - Aplicativos personalizados de IdP não Microsoft integrados para controle de aplicativo de Acesso Condicional

    Se optar por não utilizar o filtro de Aplicações, a política aplica-se a todas as aplicações marcadas como Ativadas na página Definições > Aplicações > na Nuvem Aplicações ligadas > Acesso Condicional Aplicações de Controlo.

    Observação: você pode ver alguma sobreposição entre aplicativos integrados e aplicativos que precisam de integração manual. Em caso de conflito no filtro entre as aplicações, as aplicações integradas manualmente terão precedência.
    Dispositivo Filtre etiquetas de dispositivos, como um método de gestão de dispositivos específico, ou tipos de dispositivos, como PC, telemóvel ou tablet.
    Endereço IP Filtre por endereço IP ou use tags de endereço IP atribuídas anteriormente.
    Location Filtrar por localização geográfica. A ausência de um local claramente definido pode identificar atividades de risco.
    ISP registado Filtrar atividades provenientes de um ISP específico.
    Utilizador Filtrar para um usuário ou grupo de usuários específico.
    Cadeia de caracteres do agente do usuário Filtro para uma cadeia de caracteres específica do agente do usuário.
    Tag do agente do usuário Filtre por tags de agente do usuário, como navegadores ou sistemas operacionais desatualizados.

    Por exemplo:

    Captura de ecrã de um filtro de exemplo ao criar uma política de acesso.

    Selecione Editar e visualizar resultados para obter uma visualização dos tipos de atividades que seriam retornadas com sua seleção atual.

  6. Configure opções extras disponíveis para qualquer tipo de controle de sessão específico.

    Por exemplo, se você selecionou Bloquear atividades, selecione Usar inspeção de conteúdo para inspecionar o conteúdo da atividade e defina suas configurações conforme necessário. Nesse caso, convém inspecionar se há texto que inclua expressões específicas, como um número de segurança social.

  7. Se você selecionou Controlar download de arquivo (com inspeção) ou Carregar arquivo de controle (com inspeção), configure os Arquivos correspondentes a todas as configurações a seguir .

    1. Configure um dos seguintes filtros de arquivo:

      Nome Descrição
      Rótulo de sensibilidade Filtre por rótulos de sensibilidade da Proteção de Informações do Microsoft Purview, se você também usar o Microsoft Purview, e seus dados estiverem protegidos por seus rótulos de sensibilidade.
      Nome do ficheiro Filtro para arquivos específicos.
      Extensão Filtre por tipos de arquivo específicos, por exemplo, bloqueie o download de todos os arquivos .xls.
      Tamanho do ficheiro (MB) Filtre por tamanhos de arquivo específicos, como arquivos grandes ou pequenos.

    2. Na área Aplicar a (Pré-visualização):

      • Selecione se deseja aplicar a política a todos os arquivos ou somente aos arquivos em pastas especificadas
      • Selecione um método de inspeção a ser usado, como serviços de classificação de dados ou malware. Para obter mais informações, consulte Integração do Microsoft Data Classification Services.
      • Configure opções mais detalhadas para sua política, como cenários baseados em elementos como impressões digitais ou classificadores treináveis.

  8. Na área Ações, selecione uma das seguintes opções:

    Nome Descrição
    Auditar Monitoriza todas as atividades. Selecione esta opção para permitir explicitamente o download de acordo com os filtros de política definidos.
    Bloquear Bloqueia downloads de arquivos e monitora todas as atividades. Selecione esta opção para bloquear explicitamente os downloads de acordo com os filtros de política definidos.

    As políticas de bloqueio também permitem que você selecione notificar os usuários por e-mail e personalizar a mensagem de bloqueio.
    Proteger Aplica um rótulo de sensibilidade ao download e monitora todas as atividades. Disponível somente se você tiver selecionado Controlar download de arquivo (com inspeção).

    Se você usar a Proteção de Informações do Microsoft Purview, também poderá optar por aplicar um rótulo de confidencialidade aos arquivos correspondentes, aplicar permissões personalizadas ao usuário que baixa arquivos ou bloquear o download de arquivos específicos.

    Se você tiver uma política de Acesso Condicional do Microsoft Entra ID, também poderá optar por exigir autenticação step-up (Visualização).

    Opcionalmente, selecione a opção Sempre aplicar a ação selecionada, mesmo que os dados não possam ser verificados , conforme necessário para sua política.

  9. Na área Alertas, configure qualquer uma das seguintes ações conforme necessário:

    • Crie um alerta para cada evento correspondente à severidade da política
    • Enviar um alerta como e-mail
    • Limite diário de alertas por apólice
    • Enviar alertas para o Power Automate

  10. Quando tiver terminado, selecione Criar.

Testar a política

Depois de criar sua política de sessão, teste-a autenticando-a novamente em cada aplicativo configurado na política e testando o cenário que você configurou em sua política.

É recomendável que:

  • Saia de todas as sessões existentes antes de se autenticar novamente em seus aplicativos.
  • Inicie sessão em aplicações móveis e de ambiente de trabalho a partir de dispositivos geridos e não geridos para garantir que as atividades são totalmente capturadas no registo de atividades.

Certifique-se de que inicia sessão com um utilizador que corresponda à sua política.

Para testar sua política em seu aplicativo:

  • Verifique se o ícone de cadeado aparece no seu navegador ou se você estiver trabalhando em um navegador diferente do Microsoft Edge, verifique se o URL do aplicativo contém o sufixo .mcas . Para obter mais informações, consulte Proteção no navegador com o Microsoft Edge for Business (Visualização).

  • Visite todas as páginas dentro do aplicativo que fazem parte do processo de trabalho de um usuário e verifique se as páginas são renderizadas corretamente.

  • Verifique se o comportamento e a funcionalidade do aplicativo não são afetados negativamente pela execução de ações comuns, como baixar e carregar arquivos.

  • Se estiver a trabalhar com aplicações IdP personalizadas que não sejam da Microsoft, verifique cada um dos domínios que adicionou manualmente à sua aplicação.

Se você encontrar erros ou problemas, use a barra de ferramentas admin para reunir recursos, como .har arquivos e sessões gravadas, para preencher um tíquete de suporte.

Para verificar se há atualizações no Microsoft Defender XDR:

  1. No Portal do Microsoft Defender, em Aplicativos na Nuvem, vá para Políticas e selecione Gerenciamento de políticas.

  2. Selecione a política que criou para ver o relatório de políticas. Uma correspondência de política de sessão deve aparecer em breve.

O relatório de política mostra quais entradas foram redirecionadas para o Microsoft Defender for Cloud Apps para controle de sessão, bem como quaisquer outras ações, como quais arquivos foram baixados ou bloqueados das sessões monitoradas.

Desativar as configurações de notificação do usuário

Por padrão, os usuários são notificados quando suas sessões estão sendo monitoradas. Se preferir que os usuários não sejam notificados ou personalizar a mensagem de notificação, defina as configurações de notificação.

No Microsoft Defender XDR, selecione Configurações > Aplicativos > de nuvem Controle de aplicativo de > acesso condicional Monitoramento de usuários.

Faça uma das seguintes seleções:

  • Desmarque a opção Notificar os usuários de que suas atividades estão sendo monitoradas completamente
  • Mantenha a seleção e selecione usar a mensagem padrão ou personalizar sua mensagem.

Selecione o link Visualizar para exibir um exemplo da mensagem configurada em uma nova guia do navegador.

Exportar logs de descoberta na nuvem

O Controlo de Aplicação de Acesso Condicional regista os registos de tráfego de cada sessão de utilizador que é encaminhada através dele. Os logs de tráfego incluem a hora, o IP, o agente do usuário, as URLs visitadas e o número de bytes carregados e baixados. Esses logs são analisados e um relatório contínuo, Defender for Cloud Apps Conditional Access App Control, é adicionado à lista de relatórios de descoberta de nuvem no painel de descoberta de nuvem.

Para exportar logs de descoberta da nuvem a partir do painel de descoberta da nuvem:

  1. No Portal do Microsoft Defender, selecione Configurações. Em seguida, escolha Cloud Apps. Em Aplicações ligadas, selecione Controlo de Aplicações de Acesso Condicional.

  2. Acima da tabela, selecione o botão de exportação. Por exemplo:

    Captura de ecrã do botão de exportação.

  3. Selecione o intervalo do relatório e selecione Exportar. Este processo pode demorar algum tempo.

  4. Para baixar o log exportado depois que o relatório estiver pronto, no Portal do Microsoft Defender, vá para Relatórios ->Cloud Apps e, em seguida, Relatórios exportados.

  5. Na tabela, selecione o relatório relevante na lista de logs de tráfego do Controle de Aplicativo de Acesso Condicional e selecione Download. Por exemplo:

    Captura de tela do botão de download.

Atividades suportadas para políticas de sessão

As seções a seguir fornecem mais detalhes sobre cada atividade suportada pelas políticas de sessão do Defender for Cloud Apps.

Apenas monitorização

O tipo de controle de sessão Monitor only monitora somente a atividade de login.

Para monitorar outras atividades, selecione um dos outros tipos de controle de sessão e use a ação Auditoria.

Para monitorar atividades diferentes de downloads e uploads, você deve ter pelo menos um bloqueio por política de atividade na política de monitor.

Bloquear todos os downloads

Quando o download do arquivo de controle (com inspeção) é definido como o tipo de controle de sessão e Bloquear é definido como a ação, o controle do aplicativo Acesso Condicional impede que os usuários baixem um arquivo de acordo com os filtros de arquivo de políticas.

Quando um usuário inicia um download, uma mensagem restrita de download aparece para o usuário e o arquivo baixado é substituído por um arquivo de texto. Configure a mensagem do arquivo de texto para o usuário conforme necessário para sua organização.

Exigir autenticação step-up

A ação Exigir autenticação de etapa está disponível quando o tipo de controle de sessão está definido como Bloquear atividades, Controlar download de arquivo (com inspeção) ou Carregar arquivo de controle (com inspeção).

Quando essa ação é selecionada, o Defender for Cloud Apps redireciona a sessão para o Acesso Condicional do Microsoft Entra para reavaliação da política, sempre que a atividade selecionada ocorrer.

Use esta opção para verificar declarações como autenticação multifator e conformidade do dispositivo durante uma sessão, com base no contexto de autenticação configurado no Microsoft Entra ID.

Bloquear atividades específicas

Quando Bloquear atividades for definido como o tipo de controle de sessão, selecione atividades específicas para bloquear em aplicativos específicos.

  • Todas as atividades de aplicativos configurados são monitoradas e relatadas no registro de atividades de aplicativos > na nuvem.

  • Para bloquear atividades específicas, selecione ainda a ação Bloquear e selecione as atividades que deseja bloquear.

  • Para gerar alertas para atividades específicas, selecione a ação Auditoria e defina as configurações de alerta.

Por exemplo, talvez você queira bloquear as seguintes atividades:

  • Mensagem enviada ao Teams. Bloqueie os usuários de enviar mensagens do Microsoft Teams ou bloqueie mensagens do Teams que contenham conteúdo específico.

  • Imprimir. Bloqueie todas as ações de impressão.

  • Cópia. Bloqueie todas as ações de cópia para a área de transferência ou bloqueie apenas a cópia apenas para conteúdo específico.

Proteja os arquivos durante o download

Selecione o tipo de controle de sessão Bloquear atividades para bloquear atividades específicas, que você define usando o filtro Tipo de atividade.

Todas as atividades de aplicativos configurados são monitoradas e relatadas no registro de atividades de aplicativos > na nuvem.

  • Selecione a ação Bloquear para bloquear atividades específicas ou selecione a ação Auditoria e defina as configurações de alerta para gerar alertas para atividades específicas.

  • Selecione a ação Proteger para proteger arquivos com rotulagem de sensibilidade e outras proteções de acordo com os filtros de arquivos da política.

    Os rótulos de sensibilidade são configurados no Microsoft Purview e devem ser configurados para aplicar criptografia para que apareçam como uma opção na política de sessão do Defender for Cloud Apps.

    Quando você configurou sua política de sessão com um rótulo específico e o usuário baixa um arquivo que atende aos critérios da política, o rótulo e quaisquer proteções e permissões correspondentes são aplicados no arquivo.

    O arquivo original permanece como estava no aplicativo na nuvem enquanto o arquivo baixado está protegido. Os usuários que tentarem acessar o arquivo baixado devem atender aos requisitos de permissão determinados pela proteção aplicada.

Atualmente, o Defender for Cloud Apps oferece suporte à aplicação de rótulos de confidencialidade do Microsoft Purview Information Protection para os seguintes tipos de arquivo:

  • Palavra: docm, docx, dotm, dotx
  • Excel: xlam, xlsm, xlsx, xltx
  • PowerPoint: potm, potx, ppsx, ppsm, pptm, pptx
  • PDF

Nota

Os arquivos PDF devem ser rotulados com etiquetas unificadas.

A opção Proteger não suporta a substituição de ficheiros com uma etiqueta existente nas políticas de sessão.

Proteja uploads de arquivos confidenciais

Selecione o tipo de controle de sessão Controlar carregamento de arquivo (com inspeção) para impedir que um usuário carregue um arquivo de acordo com os filtros de arquivo da política.

Se o arquivo que está sendo carregado tiver dados confidenciais e não tiver o rótulo correto, o upload do arquivo será bloqueado.

Por exemplo, crie uma política que verifique o conteúdo de um arquivo para determinar se ele contém uma correspondência de conteúdo confidencial, como um número de segurança social. Se ele contiver conteúdo confidencial e não estiver rotulado com um rótulo Confidencial do Microsoft Purview Information Protection, o carregamento do arquivo será bloqueado.

Gorjeta

Configure uma mensagem personalizada para o usuário quando um arquivo for bloqueado, instruindo-o sobre como rotular o arquivo para carregá-lo, ajudando a garantir que os arquivos armazenados em seus aplicativos na nuvem estejam em conformidade com suas políticas.

Para obter mais informações, consulte Educar os usuários para proteger arquivos confidenciais.

Bloqueie malware ao carregar ou baixar

Selecione o upload do arquivo de controle (com inspeção) ou o download do arquivo de controle (com inspeção) como o tipo de controle de sessão e a deteção de malware como método de inspeção para impedir que um usuário carregue ou baixe um arquivo com malware. Os arquivos são verificados em busca de malware usando o mecanismo de inteligência de ameaças da Microsoft.

Veja todos os ficheiros sinalizados como potencial malware no registo de atividades das aplicações > na nuvem filtrando os itens Potencial Malware Detetado. Para obter mais informações, consulte Filtros e consultas de atividade.

Educar os usuários para proteger arquivos confidenciais

Recomendamos que você eduque os usuários quando eles violarem suas políticas para que eles aprendam a cumprir os requisitos da sua organização.

Como cada empresa tem necessidades e políticas exclusivas, o Defender for Cloud Apps permite que você personalize os filtros de uma política e a mensagem exibida para o usuário quando uma violação é detetada.

Forneça orientações específicas aos seus usuários, como fornecer instruções sobre como rotular adequadamente um arquivo ou como registrar um dispositivo não gerenciado para garantir que os arquivos sejam carregados com êxito.

Por exemplo, se um usuário carregar um arquivo sem um rótulo de confidencialidade, configure uma mensagem para ser mostrada, explicando que o arquivo contém conteúdo confidencial e requer um rótulo apropriado. Da mesma forma, se um usuário tentar carregar um documento de um dispositivo não gerenciado, configure uma mensagem para ser mostrada com instruções sobre como registrar esse dispositivo ou uma que forneça mais explicações sobre por que o dispositivo deve ser registrado.

Controles de acesso em políticas de sessão

Muitas organizações que optam por usar controles de sessão para aplicativos na nuvem para controlar atividades na sessão também aplicam controles de acesso para bloquear o mesmo conjunto de aplicativos clientes móveis e de desktop integrados, fornecendo assim uma segurança abrangente para os aplicativos.

Bloqueie o acesso a aplicativos cliente móveis e de desktop integrados com políticas de acesso definindo o filtro Aplicativo cliente como Móvel e desktop. Alguns aplicativos cliente integrados podem ser reconhecidos individualmente, enquanto outros que fazem parte de um conjunto de aplicativos só podem ser identificados como seu aplicativo de nível superior. Por exemplo, aplicativos como o SharePoint Online só podem ser reconhecidos criando uma política de acesso aplicada a aplicativos do Microsoft 365.

Nota

A menos que o filtro do aplicativo Cliente esteja definido especificamente como Móvel e desktop, a política de acesso resultante só se aplicará às sessões do navegador. Isso se destina a evitar o proxy inadvertido de sessões de usuário.

Embora a maioria dos principais navegadores ofereça suporte à realização de uma verificação de certificado de cliente, alguns aplicativos móveis e de desktop usam navegadores internos que podem não suportar essa verificação. Portanto, usar esse filtro pode afetar a autenticação para esses aplicativos.

Conflitos entre políticas

Quando há um conflito entre duas políticas de sessão, a política mais restritiva vence.

Por exemplo:

  • Se uma sessão de utilizador corresponder a uma política em que as transferências são bloqueadas
  • E uma política onde os arquivos são rotulados no momento do download, ou onde os downloads são auditados,
  • A opção de download de arquivo é bloqueada, para cumprir a política mais restritiva.

Conteúdos relacionados

Para obter mais informações, consulte:

Se tiver algum problema, estamos aqui para ajudar. Para obter assistência ou suporte para o problema do seu produto, abra um ticket de suporte.