Compartilhar via

Criar políticas de aplicações na governação de aplicações

  • Artigo

Juntamente com um conjunto incorporado de capacidades para detetar comportamentos anómalos da aplicação e gerar alertas com base em algoritmos de machine learning, as políticas na governação de aplicações permitem-lhe:

  • Especifique as condições através das quais a governação de aplicações o alerta para o comportamento da aplicação para remediação automática ou manual.

  • Impor as políticas de conformidade de aplicações para a sua organização.

Utilize a governação de aplicações para criar políticas OAuth para aplicações ligadas a Microsoft Entra ID, Google Workspace e Salesforce.


Criar políticas de aplicações OAuth para Microsoft Entra ID

Para aplicações ligadas a Microsoft Entra ID, crie políticas de aplicações a partir de modelos fornecidos que possam ser personalizados ou crie a sua própria política de aplicações personalizada.

  1. Para criar uma nova política de aplicações para Azure AD aplicações, aceda a Microsoft Defender XDR > Políticas de Governação > de Aplicações > Azure AD.

    Por exemplo:

    Captura de ecrã do separador Azure AD.

  2. Selecione a opção Criar Nova Política e, em seguida, siga um dos seguintes passos:

    • Para criar uma nova política de aplicação a partir de um modelo, selecione a categoria de modelo relevante, seguida do modelo nessa categoria.
    • Para criar uma política personalizada, selecione a categoria Personalizado .

    Por exemplo:

    Captura de ecrã a mostrar uma página Escolher um modelo de política.

Modelos de política de aplicativos

Para criar uma nova política de aplicativo baseada em um modelo de política de aplicativo, na página Escolher modelo de política de aplicativo, selecione uma categoria de modelo de aplicativo, selecione o nome do modelo e, em seguida, selecione Avançar.

As secções seguintes descrevem as categorias de modelos de política de aplicação.

Uso

A tabela seguinte lista os modelos de governação de aplicações suportados para gerar alertas para utilização de aplicações.

Nome do modelo Descrição
Nova aplicação com elevada utilização de dados Localize as aplicações recentemente registadas que carregaram ou transferiram grandes quantidades de dados com API do Graph. Esta política verifica as seguintes condições:

  • Idade de registo: sete dias ou menos (personalizável)
  • Utilização de dados: superior a 1 GB num dia (personalizável)
    		•
    Aumento de utilizadores Encontre aplicações com um aumento considerável no número de utilizadores. Esta política verifica as seguintes condições:

  • Intervalo de tempo: Últimos 90 dias
  • Aumento do consentimento dos utilizadores: Pelo menos 50% (personalizável)
    		•

    Permissões

    A tabela seguinte lista os modelos de governação de aplicações suportados para gerar alertas para permissões de aplicações.

    Nome do modelo Descrição
    Aplicativo super-privilegiado Encontre aplicações com permissões de API do Graph não utilizadas. Estas aplicações receberam permissões que podem ser desnecessárias para utilização regular.
    Nova aplicação altamente privilegiada Localize as aplicações recentemente registadas às quais foi concedido acesso de escrita e outras permissões de API do Graph avançadas. Esta política verifica as seguintes condições:

  • Idade de registo: sete dias ou menos (personalizável)
    		•
    Nova aplicação com permissões não API do Graph Localize as aplicações recentemente registadas que têm permissões para APIs não Graph. Estas aplicações podem expô-lo a riscos se as APIs às quais acedem receberem suporte e atualizações limitados.
    Esta política verifica as seguintes condições:

  • Idade de registo: sete dias ou menos (personalizável)
  • Permissões não API do Graph: Sim
    		•

    Certificação

    A tabela seguinte lista os modelos de governação de aplicações suportados para gerar alertas para a certificação do Microsoft 365.

    Nome do modelo Descrição
    Novo Aplicativo não certificado Encontre aplicações recentemente registadas que não tenham atestado de publicador ou certificação do Microsoft 365. Esta política verifica as seguintes condições:

  • Idade de registo: sete dias ou menos (personalizável)
  • Certificação: sem certificação (personalizável)
    		•

    Políticas personalizadas

    Use uma política de aplicativo personalizada quando você precisar fazer algo que ainda não tenha sido feito por um dos modelos internos.

    1. Para criar uma nova política de aplicações personalizada, primeiro selecione Criar nova política na página Políticas . Na página Escolher modelo de política de aplicativo, selecione a categoria Personalizado, o modelo Política personalizada, e então selecione Avançar.

    2. Na página Nome e descrição, configure o seguinte:

      • Nome da política
      • Descrição da política
      • Selecione a gravidade da política para definir a gravidade dos alertas gerados por esta política.
        • Alto
        • Média
        • Baixo

    3. Na página Escolher Configurações e condições da política, para Escolher para quais aplicativos esta política é aplicável, selecione:

      • Todos os aplicativos
      • Escolha aplicativos específicos
      • Todas as aplicações, exceto

    4. Se escolher aplicações específicas ou todas as aplicações exceto esta política, selecione Adicionar aplicações e selecione as aplicações pretendidas na lista. No painel Escolher aplicações , pode selecionar várias aplicações às quais esta política se aplica e, em seguida, selecionar Adicionar. Selecione Seguinte quando estiver satisfeito com a lista.

    5. Selecione Editar condições. Selecione Adicionar condição e escolha uma condição na lista. Defina o limiar pretendido para a condição selecionada. Repita para adicionar mais condições. Selecione Guardar para guardar a regra e, quando terminar de adicionar regras, selecione Seguinte.

      Observação

      Algumas condições de política só são aplicáveis a aplicações que acedem a permissões API do Graph. Ao avaliar aplicações que acedem apenas a APIs não Graph, a governação de aplicações ignorará estas condições de política e avançará para marcar apenas outras condições de política.

    6. Eis as condições disponíveis para uma política de aplicações personalizada:

      Condição Valores de condições aceitos Descrição Mais informações
      Idade do registo Nos últimos X dias Aplicações registadas no Microsoft Entra ID num período especificado a partir da data atual
      Certificação Sem certificação, certificado pelo Publisher, Microsoft 365 Certificado Aplicações certificadas do Microsoft 365, têm um relatório de atestado de publicador ou nenhum dos dois Certificação Microsoft 365
      Publicador verificado Sim ou Não Aplicações que verificaram publicadores Verificação do Publisher
      Permissões de aplicação (apenas Grafo) Selecionar uma ou mais permissões de API na lista Aplicações com permissões de API do Graph específicas que foram concedidas diretamente Referência de permissões do Microsoft Graph
      Permissões delegadas (apenas Grafo) Selecionar uma ou mais permissões de API na lista Aplicações com permissões de API do Graph específicas concedidas por um utilizador Referência de permissões do Microsoft Graph
      Altamente privilegiado (apenas gráfico) Sim ou Não Aplicações com permissões de API do Graph relativamente poderosas Uma designação interna baseada na mesma lógica utilizada pelo Defender para Aplicativos de Nuvem.
      Com privilégios excessivos (apenas gráfico) Sim ou Não Aplicações com permissões de API do Graph não utilizadas Aplicativos com mais permissões concedidas do que as que estão sendo usadas por esses aplicativos.
      Permissões da API que não são do Graph Sim ou Não Aplicações com permissões para APIs não Graph. Estas aplicações podem expô-lo a riscos se as APIs às quais acedem receberem suporte e atualizações limitados.
      Utilização de dados (apenas gráfico) Maior que X GB de dados transferidos e carregados por dia Aplicações que leram e escreveram mais do que uma quantidade especificada de dados com API do Graph
      Tendência de utilização de dados (apenas gráfico) Aumento de X % na utilização de dados em comparação com o dia anterior As aplicações cujos dados leem e escrevem com API do Graph aumentaram uma percentagem especificada em comparação com o dia anterior
      Acesso à API (apenas Grafo) Chamadas à API superiores a X por dia Aplicações que efetuaram um número especificado de chamadas de API do Graph num dia
      Tendência de acesso à API (apenas gráfico) Aumento de X % nas chamadas à API em comparação com o dia anterior Aplicações cujo número de chamadas API do Graph aumentou numa percentagem especificada em comparação com o dia anterior
      Número de utilizadores que consentem (Maior ou Menor do que) X usuários autorizados Aplicações que receberam o consentimento de um número maior ou menor de utilizadores do que o especificado
      Aumento do consentimento dos utilizadores X % de aumento de utilizadores nos últimos 90 dias Aplicações cujo número de utilizadores consentidos aumentou mais de uma percentagem especificada nos últimos 90 dias
      Consentimento da conta de prioridade dado Sim ou Não Aplicações que receberam consentimento de utilizadores prioritários Um usuário com uma conta prioritária.
      Nomes de utilizadores que consentem Selecionar utilizadores da lista Aplicações que receberam consentimento de utilizadores específicos
      Funções de utilizadores que consentem Selecionar funções na lista Aplicações que receberam consentimento de utilizadores com funções específicas Várias seleções permitidas.

      Qualquer função Microsoft Entra com membro atribuído deve ser disponibilizada nesta lista.
      Etiquetas de confidencialidade acedidas Selecionar uma ou mais etiquetas de confidencialidade na lista Aplicações que acederam a dados com etiquetas de confidencialidade específicas nos últimos 30 dias.
      Serviços acedidos (apenas Grafo) Exchange e/ou OneDrive e/ou SharePoint e/ou Teams Aplicações que acederam ao OneDrive, SharePoint ou Exchange Online com API do Graph Várias seleções permitidas.
      Taxa de erros (apenas gráfico) A taxa de erro é superior a X% nos últimos sete dias As aplicações cujas taxas de erro API do Graph nos últimos sete dias são superiores a uma percentagem especificada

      Todas as condições especificadas devem ser atendidas para que esta política de aplicativo gere um alerta.

    7. Quando terminar de especificar as condições, selecione Guardar e, em seguida, selecione Seguinte.

    8. Na página Definir Ações de Política, selecione Desabilitar aplicativo se você quiser que a governança de aplicativos desabilite o aplicativo quando um alerta baseado nesta política for gerado, e então selecione Avançar. Tenha cuidado ao aplicar ações porque uma política pode afetar os usuários e o uso legítimo do aplicativo.

    9. Na página Definir Status de Política, selecione uma destas opções:

      • Modo de auditoria: as políticas são avaliadas, mas as ações configuradas não ocorrerão. As políticas de modo de auditoria aparecem com o status Auditoria na lista de políticas. Você deve usar o modo Auditoria para testar uma nova política.
      • Ativo: As políticas são avaliadas e as ações configuradas ocorrerão.
      • Inativo: as políticas não são avaliadas e as ações configuradas não ocorrerão.

    10. Analise cuidadosamente todos os parâmetros de sua política personalizada. Selecione Submeter quando estiver satisfeito. Você também pode voltar e alterar configurações selecionando Editar abaixo de qualquer uma das configurações.

    Teste e monitore sua nova política de aplicativo

    Agora que a política de aplicações foi criada, deve monitorizá-la na página Políticas para garantir que está a registar um número esperado de alertas ativos e o total de alertas durante os testes.

    Captura de ecrã da página de resumo das políticas de governação de aplicações no Microsoft Defender XDR, com uma política realçada.

    Se o número de alertas for um valor inesperadamente baixo, edite as configurações da política de aplicativo para garantir que você o tenha configurado corretamente antes de definir seu status.

    Eis um exemplo de um processo para criar uma nova política, testá-la e, em seguida, torná-la ativa:

    1. Crie a nova política com gravidade, aplicativos, condições e ações definidas para os valores iniciais e o status definido para o Modo de auditoria.
    2. Verifique o comportamento esperado, como por exemplo, os alertas gerados.
    3. Se o comportamento não for esperado, edite as aplicações de política, as condições e as definições de ação conforme necessário e volte ao passo 2.
    4. Se o comportamento é o esperado, edite a política e altere seu status para Ativo.

    Por exemplo, o seguinte fluxograma mostra os passos envolvidos:

    Diagrama do fluxo de trabalho criar política de aplicação.

    Criar uma nova política para aplicações OAuth ligadas ao Salesforce e ao Google Workspace

    As políticas para aplicações OAuth acionam alertas apenas em políticas autorizadas por utilizadores no inquilino.

    Para criar uma nova política de aplicações para o Salesforce, Google e outras aplicações:

    1. Aceda a Microsoft Defender XDR > Políticas de Governação > de Aplicações > Outras aplicações. Por exemplo:

      Criação de outras políticas de aplicações

    2. Filtre as aplicações de acordo com as suas necessidades. Por exemplo, poderá querer ver todas as aplicações que pedem Permissão para Modificar calendários na sua caixa de correio.

      Dica

      Utilize o filtro utilização da Comunidade para obter informações sobre se permitir permissão para esta aplicação é comum, incomum ou raro. Este filtro pode ser útil se tiver uma aplicação rara e pedir permissão com um nível de gravidade elevado ou pedir permissão a muitos utilizadores.

    3. Poderá querer definir a política com base nas associações de grupo dos utilizadores que autorizaram as aplicações. Por exemplo, um administrador pode decidir definir uma política que revoga aplicações invulgares se pedir permissões elevadas, apenas se o utilizador que autorizou as permissões for membro do grupo Administradores.

    Por exemplo:

    nova política de aplicações OAuth.

    Políticas de deteção de anomalias para aplicações OAuth ligadas ao Salesforce e ao Google Workspace

    Além das políticas de aplicações Oauth que pode criar, as aplicações do Defender para a Cloud fornecem políticas de deteção de anomalias desativadas que criam perfis de metadados de aplicações OAuth para identificar aquelas que são potencialmente maliciosas.

    Esta secção só é relevante para as aplicações Salesforce e Google Workspace.

    Observação

    As políticas de deteção de anomalias só estão disponíveis para aplicações OAuth autorizadas no seu Microsoft Entra ID. Não é possível modificar a gravidade das políticas de deteção de anomalias da aplicação OAuth.

    A tabela seguinte descreve as políticas de deteção de anomalias completas fornecidas pelo Defender para Aplicativos de Nuvem:

    Política Descrição
    Nome da aplicação OAuth enganador Analisa aplicações OAuth ligadas ao seu ambiente e aciona um alerta quando é detetada uma aplicação com um nome enganador. Nomes enganadores, como letras estrangeiras que se assemelham a letras latinas, podem indicar uma tentativa de disfarçar uma aplicação maliciosa como uma aplicação conhecida e fidedigna.
    Nome do publicador enganador para uma aplicação OAuth Analisa aplicações OAuth ligadas ao seu ambiente e aciona um alerta quando é detetada uma aplicação com um nome de publicador enganador. Nomes de editores enganadores, como letras estrangeiras que se assemelham a letras latinas, podem indicar uma tentativa de disfarçar uma aplicação maliciosa como uma aplicação proveniente de um fabricante conhecido e fidedigno.
    Consentimento malicioso da aplicação OAuth Analisa aplicações OAuth ligadas ao seu ambiente e aciona um alerta quando uma aplicação potencialmente maliciosa é autorizada. As aplicações OAuth maliciosas podem ser utilizadas como parte de uma campanha de phishing numa tentativa de comprometer os utilizadores. Esta deteção utiliza a investigação de segurança da Microsoft e conhecimentos de informações sobre ameaças para identificar aplicações maliciosas.
    Atividades suspeitas de download de arquivos do aplicativo OAuth Para obter mais informações, veja Políticas de deteção de anomalias.

    Próxima etapa

    Gerir as suas políticas de aplicações