Criar políticas de atividade do Microsoft Defender for Cloud Apps

As políticas de atividade permitem que você imponha uma ampla gama de processos automatizados usando as APIs do provedor de aplicativos. Com estas políticas, pode monitorizar atividades específicas levadas a cabo por diversos utilizadores ou acompanhar taxas inesperadamente altas de um determinado tipo de atividade.

Depois de definir uma política de deteção de atividade, começam a ser gerados alertas. Os alertas só são gerados relativamente às atividades que ocorrem após a criação da política.

Nota

  • As políticas que acionam mais de 200.000 partidas por dia, ou 100.000 partidas por 3 horas, podem ser desativadas automaticamente. Você pode tentar refinar as políticas adicionando filtros adicionais ou, se estiver usando políticas para fins de relatório, considere salvá-las como consultas .
  • Pode levar até 15 minutos desde a configuração de uma nova política até a implantação.

Alertas personalizados

As políticas de atividade permitem o envio de alertas personalizados ou a tomada de ações quando a atividade do usuário é detetada. Por exemplo, você quer saber sempre:

  • Um utilizador tenta iniciar sessão e falha 70 vezes num minuto
  • Um usuário baixa 7.000 arquivos
  • Um utilizador iniciou sessão a partir de um país/região desconhecido

Você pode definir alertas de atividade a serem enviados para si mesmo ou para o usuário quando esses eventos ocorrerem. Você pode até suspender o usuário até terminar de investigar o que aconteceu.

Para criar uma nova política de atividade, siga este procedimento:

  1. No Portal do Microsoft Defender, em Cloud Apps, vá para Policies ->Policy management. Em seguida, selecione a guia Deteções de ameaças .

  2. Clique em Criar política e selecione Política de atividade.

    Crie uma política de Deteção de Ameaças.

  3. Dê um nome e uma descrição à política. Se quiser, pode utilizar um modelo como base. Para obter mais informações sobre os modelos de políticas, veja Control clouds apps with policies (Controlar aplicações em cloud com políticas).

  4. Para definir as ações ou outras métricas que vão acionar esta política, trabalhe com os Filtros de atividade.

    Para garantir que você inclua apenas resultados em que o campo de filtro especificado tenha um valor, recomendamos adicionar o mesmo campo novamente usando o teste is set . Por exemplo, quando a filtragem por Localização não for igual a uma lista especificada de países/regiões, adicione também um filtro para Localização é definida. Você também pode visualizar os resultados do filtro selecionando Editar e visualizar resultados. Por exemplo:

    Captura de tela das configurações do filtro, mostrando que o campo de localização está definido.

    Quando um filtro é definido como não igual e o atributo não existe no evento, o evento não será filtrado. Por exemplo, a filtragem na Etiqueta de Dispositivo não é igual à associação híbrida do Microsoft Entra não filtra eventos que não contêm a etiqueta de Dispositivo, mesmo que o dispositivo seja associado ao Microsoft Entra.

    No caso de um usuário convidado, pode haver casos em que o filtro Usuário do Grupo não reconhece a conta pelo seu domínio. Para garantir que todos os usuários convidados sejam incluídos, use os Usuários externos como o grupo, se ele atender às suas necessidades para a política.

  5. Em Criar filtros para a política, selecione quando uma violação de política será acionada. Escolha acionar quando uma única atividade corresponder aos filtros ou somente quando um número especificado de atividades repetidas for detetado.

    • Se você escolher Atividade repetida, poderá definir Em um único aplicativo. Essa configuração acionará uma correspondência de política somente quando as atividades repetidas ocorrerem no mesmo aplicativo. Por exemplo, cinco downloads em 30 minutos do Box acionam uma correspondência de política.
  6. Configure as Ações que devem ser realizadas quando é encontrada uma correspondência.

Veja estes exemplos:

  • Vários inícios de sessão falhados

    Você pode definir a política para receber um alerta quando ocorrer um grande número de logins com falha em um curto período de tempo. Para configurar esse tipo de política, escolha o filtro de atividade apropriado na página Nova Política de Atividade .

    Abaixo do campo Filtros de atividade, configure os parâmetros que vão acionar o alerta.

    Exemplo de política para várias tentativas de início de sessão falhadas.

  • Taxa de transferência elevada

    Pode definir a política para receber um alerta quando tiver ocorrido um nível de atividades de transferência incaracterístico ou inesperado. Para configurar esse tipo de política, em Parâmetros de taxa , escolha os parâmetros para disparar o alerta.

    exemplo de alta taxa de download.

Referência de política de atividades

Esta seção contém detalhes de referência sobre políticas, explicações para cada tipo de política e os campos que podem ser configurados para cada política.

Uma política de atividade é uma política baseada em API que permite monitorar as atividades da sua organização na nuvem. A política leva em conta mais de 20 filtros de metadados de arquivos, incluindo tipo de dispositivo e localização. Com base nos resultados da política, podem ser geradas notificações e os utilizadores podem ser suspensos da aplicação na cloud. Cada política é composta pelas seguintes partes:

  • Filtros de atividade – permitem criar condições granulares com base em metadados.

  • Parâmetros de correspondência de atividade – permitem-lhe definir um limiar com o número de vezes que uma atividade é repetida para corresponder à política. Especifique o número de atividades repetidas necessárias para corresponder à política. Por exemplo, defina uma política para alertar quando um usuário tiver 10 tentativas de login malsucedidas em um período de tempo de 2 minutos. Por padrão, os parâmetros de correspondência de atividade geram uma correspondência para cada atividade que atende a todos os filtros de atividade.

    • Usando Atividade repetida, você pode definir o número de atividades repetidas, a duração do período de tempo em que as atividades são contadas. Você também pode especificar que todas as atividades devem ser executadas pelo mesmo usuário e no mesmo aplicativo de nuvem.
  • Ações – a política oferece um conjunto de ações de governação que podem ser aplicadas automaticamente quando são detetadas violações.

Próximos passos

Se tiver algum problema, estamos aqui para ajudar. Para obter assistência ou suporte para o problema do seu produto, abra um ticket de suporte.