Compartilhar via

Política de deteção de anomalias da Cloud Discovery

  • Artigo

Uma política de deteção de anomalias da cloud Discovery permite-lhe configurar a monitorização contínua de aumentos invulgares na utilização de aplicações na cloud. Os aumentos de dados transferidos, dados carregados, transações e utilizadores são considerados para cada aplicação na cloud. Cada aumento é comparado com o padrão de utilização normal da aplicação, conforme aprendido com a utilização anterior. Os aumentos mais extremos acionam alertas de segurança.

Este artigo descreve como criar e configurar uma política de deteção de anomalias de deteção de anomalias de deteção de cloud no Microsoft Defender para Aplicativos de Nuvem.

Importante

A partir de agosto de 2024, o suporte de anomalias da cloud Discovery para Microsoft Defender para Aplicativos de Nuvem foi descontinuado. Como tal, o procedimento legado apresentado neste artigo é fornecido apenas para fins informativos. Se quiser receber alertas de segurança semelhantes à deteção de anomalias, conclua os passos em Criar política de deteção de aplicações.

Criar política de deteção de aplicações

Embora o suporte para a deteção de anomalias da cloud Discovery seja descontinuado, pode receber alertas de segurança semelhantes ao criar uma política de deteção de aplicações:

  1. No Portal Microsoft Defender, expanda a secçãoPolíticas de Aplicações> na Cloud no menu esquerdo e selecione Gestão de políticas.

  2. Na página Políticas , selecione o separador Ti Sombra .

  3. Expanda o menu pendente Criar política e selecione a opção Política de deteção de aplicações.

  4. Selecione a opção Acionar uma correspondência de política se todas as opções seguintes ocorrerem no mesmo dia :

    Captura de ecrã que mostra como selecionar a opção

  5. Configure os filtros e definições associados, conforme descrito em Criar uma política de deteção de anomalias.

(Legado) Criar política de deteção de anomalias

Para cada política de deteção de anomalias, pode definir filtros que lhe permitem monitorizar seletivamente a utilização da aplicação. Estão disponíveis filtros para a aplicação, vistas de dados selecionadas e uma data de início selecionada. Também pode definir a confidencialidade e especificar quantos alertas para a política acionar.

Siga os passos para criar uma política de deteção de anomalias da cloud Discovery:

  1. No Portal Microsoft Defender, expanda a secçãoPolíticas de Aplicações> na Cloud no menu esquerdo e selecione Gestão de políticas.

  2. Na página Políticas , selecione o separador Ti Sombra .

  3. Expanda o menu pendente Criar política e selecione a opção de política de deteção de anomalias da Cloud Discovery :

    Captura de ecrã que mostra como selecionar a opção para criar uma nova política de deteção de anomalias da cloud Discovery.

    A página Criar política de deteção de anomalias da Cloud Discovery é aberta, onde configura parâmetros para a política criar.

  4. Na página Criar política de deteção de anomalias da Cloud Discovery , a opção Modelo de política fornece uma lista de modelos que pode escolher para utilizar como base para a política. Por predefinição, a opção está definida como Sem modelo.

    Se quiser basear a política num modelo, expanda o menu pendente e selecione um modelo:

    • Comportamento anómalo em utilizadores detetados: alertas quando é detetado um comportamento anómalo em utilizadores e aplicações detetados. Pode utilizar este modelo para marcar para grandes quantidades de dados carregados em comparação com outros utilizadores ou transações de utilizadores grandes em comparação com o histórico do utilizador.

    • Comportamento anómalo dos endereços IP detetados: alertas quando é detetado um comportamento anómalo em aplicações e endereços IP detetados. Pode utilizar este modelo para marcar para grandes quantidades de dados carregados em comparação com outros endereços IP ou transações de aplicações grandes em comparação com o histórico do endereço IP.

    A imagem seguinte mostra como selecionar um modelo a utilizar como base para a nova política no portal do Microsoft Defender:

    Captura de ecrã que mostra como selecionar um modelo a utilizar como base para a nova política.

  5. Introduza um Nome da política e Uma Descrição para a nova política.

  6. Crie um filtro para as aplicações que pretende monitorizar com a opção Selecionar um filtro .

    • Expanda o menu pendente e opte por filtrar todas as aplicações correspondentes por Etiqueta de aplicação, Aplicações e domínio, Categoria, vários Fatores de risco ou Pontuação de risco.

    • Para criar mais filtros, selecione Adicionar um filtro.

    A imagem seguinte mostra como selecionar um filtro para a política aplicar a todas as aplicações correspondentes no portal do Microsoft Defender:

    Captura de ecrã que mostra como selecionar um filtro para a política aplicar a todas as aplicações correspondentes.

  7. Configure os filtros de utilização da aplicação na secção Aplicar a :

    1. Utilize o primeiro menu pendente para escolher como monitorizar relatórios de utilização contínua:

      • Todos os relatórios contínuos (predefinição): compare cada aumento de utilização com o padrão de utilização normal, conforme aprendido em todas as vistas de dados.

      • Relatórios contínuos específicos: compare cada aumento de utilização com o padrão de utilização normal. O padrão é aprendido na mesma vista de dados onde o aumento foi observado.

    2. Utilize o segundo menu pendente para especificar associações monitorizadas para cada utilização de aplicações na cloud:

      • Utilizadores: ignore a associação da utilização da aplicação com endereços IP.

      • Endereços IP: ignore a associação da utilização da aplicação com os utilizadores.

      • Utilizadores, endereços IP (predefinição): monitorizar a associação da utilização da aplicação por utilizadores e endereços IP. Esta opção pode produzir alertas duplicados quando existe uma correspondência apertada entre utilizadores e endereços IP.

    A imagem seguinte mostra como configurar filtros de utilização de aplicações e a data de início para criar alertas de utilização no portal do Microsoft Defender:

    Captura de ecrã que mostra como configurar filtros de utilização de aplicações e a data de início para criar alertas de utilização.

  8. Para a opção Emitir alertas apenas para atividades suspeitas que ocorram após , introduza a data para começar a criar alertas de utilização de aplicações.

    Qualquer aumento na utilização da aplicação antes da data de início especificada é ignorado. No entanto, os dados de atividade de utilização anteriores à data de início são aprendidos para estabelecer o padrão de utilização normal.

  9. Na secção Alertas , configure a confidencialidade e as notificações do alerta. Existem várias formas de controlar o número de alertas acionados pela política:

    • Utilize o controlo de deslize Selecionar sensibilidade à deteção de anomalias para acionar alertas para as principais atividades anómalas X por 1000 utilizadores por semana. Acionam alertas para as atividades com maior risco.

    • Selecione a opção Criar um alerta para cada evento correspondente com a gravidade da política e defina outros parâmetros para o alerta:

      • Enviar alerta como e-mail: introduza os endereços de e-mail das mensagens de alerta. Pode ser enviado um máximo de 500 mensagens por endereço de e-mail por dia. A contagem é reposta à meia-noite no fuso horário UTC.

      • Limite de alerta diário por política: utilize o menu pendente e selecione o limite pretendido. Esta opção restringe o número de alertas gerados num único dia ao valor especificado.

      • Enviar alertas para o Power Automate: escolha um manual de procedimentos para executar ações quando um alerta é acionado. Também pode abrir um novo manual de procedimentos ao selecionar Criar um manual de procedimentos no Power Automate.

    • Para definir as predefinições da sua organização para utilizar os seus valores para o limite de alertas diários e as definições de e-mail, selecione Guardar como predefinições.

    • Para utilizar as predefinições da sua organização para o limite de alertas diários e as definições de e-mail, selecione Restaurar predefinições.

    A imagem seguinte mostra como configurar alertas para a política, incluindo confidencialidade, notificações por email e um limite diário no portal do Microsoft Defender:

    Captura de ecrã que mostra como configurar alertas, incluindo confidencialidade, e-mail e limite diário.

  10. Confirme as opções de configuração e selecione Criar.

Trabalhar com uma política existente

Quando cria uma política, esta é ativada por predefinição. Pode desativar uma política e efetuar outras ações, como Editar e Eliminar.

  1. Na página Políticas , localize a política a atualizar na lista de políticas.

  2. Na lista de políticas, desloque-se para a direita na linha da política e selecione Mais opções (...).

  3. No menu de pop-up, selecione a ação a executar na política.

Próxima etapa

Explorar as melhores práticas para proteger a sua organização

Se tiver algum problema, estamos aqui para ajudar. Para obter assistência ou suporte para o problema do produto, abra um pedido de suporte.