Políticas de deteção de cloud

Este artigo fornece uma descrição geral de como começar a utilizar Defender para Aplicativos de Nuvem para obter visibilidade em toda a sua organização em TI Sombra através da deteção de cloud.

Defender para Aplicativos de Nuvem permite-lhe detetar e analisar aplicações na cloud que estão a ser utilizadas no ambiente da sua organização. O dashboard da cloud Discovery mostra todas as aplicações na cloud em execução no ambiente e categoriza-as por função e preparação para empresas. Para cada aplicação, detete os utilizadores associados, endereços IP, dispositivos, transações e realiza a avaliação de riscos sem ter de instalar um agente nos seus dispositivos de ponto final.

Detetar uma nova utilização de aplicações de grande volume ou ampla

Detetar novas aplicações altamente utilizadas, em termos de número de utilizadores ou quantidade de tráfego na sua organização.

Pré-requisitos

Configure o carregamento automático de registos para relatórios contínuos de deteção da cloud, conforme descrito em Configurar o carregamento automático de registos para relatórios contínuos ou ative a integração do Defender para Aplicativos de Nuvem com o Defender para Endpoint, conforme descrito em Integrar Microsoft Defender para Ponto de Extremidade com Defender para Aplicativos de Nuvem.

Etapas

1. No portal do Microsoft Defender, em Aplicações na Cloud, aceda a Políticas ->Gestão de políticas. Crie uma nova política de deteção de aplicações.

2. No campo Modelo de política , selecione Nova aplicação de volume elevado ou Nova aplicação popular e aplique o modelo.

3. Personalizar filtros de política para cumprir os requisitos da sua organização.

4. Configure as ações a serem executadas quando um alerta é acionado.

Observação

Um alerta é gerado uma vez para cada nova aplicação que não foi detetada nos últimos 90 dias.

Detetar nova utilização de aplicações de risco ou não conformes

Detete uma possível exposição da sua organização em aplicações na cloud que não cumprem os seus padrões de segurança.

Pré-requisitos

Configure o carregamento automático de registos para relatórios contínuos de deteção da cloud, conforme descrito em Configurar o carregamento automático de registos para relatórios contínuos ou ative a integração do Defender para Aplicativos de Nuvem com o Defender para Endpoint, conforme descrito em Integrar Microsoft Defender para Ponto de Extremidade com Defender para Aplicativos de Nuvem.

Etapas

1. No portal do Microsoft Defender, em Aplicações na Cloud, aceda a Políticas ->Gestão de políticas. Crie uma nova política de deteção de aplicações.

2. No campo Modelo de política , selecione o novo modelo de aplicação de risco e aplique o modelo.

3. Em Aplicação que corresponde a todos os seguintes , defina o controlo de deslize Classificação de Risco e o Fator de risco de conformidade para personalizar o nível de risco que pretende acionar um alerta e defina os outros filtros de política para cumprir os requisitos de segurança da sua organização.

   1. Opcional: para obter deteções mais significativas, personalize a quantidade de tráfego que irá acionar um alerta.

   2. Selecione a caixa de verificação Acionar uma correspondência de política se ocorrerem todos os seguintes no mesmo dia .

   3. Selecione Tráfego diário superior a 2000 GB (ou outro).

4. Configure as ações de governação a serem executadas quando um alerta é acionado. Em Governação, selecione Etiquetar aplicação como não aprovada.
   O acesso à aplicação será bloqueado automaticamente quando a política for correspondida.

5. Opcional: tire partido Defender para Aplicativos de Nuvem integrações nativas com Gateways Web Seguros para bloquear o acesso à aplicação.

Detetar a utilização de aplicações empresariais não aprovadas

Pode detetar quando os seus funcionários continuam a utilizar aplicações não aprovadas como substituição de aplicações preparadas para empresas aprovadas.

Pré-requisitos

• Configure o carregamento automático de registos para relatórios contínuos de deteção da cloud, conforme descrito em Configurar o carregamento automático de registos para relatórios contínuos ou ative a integração do Defender para Aplicativos de Nuvem com o Defender para Endpoint, conforme descrito em Integrar Microsoft Defender para Ponto de Extremidade com Defender para Aplicativos de Nuvem.

Etapas

1. No catálogo de aplicações na cloud, procure as suas aplicações prontas para empresas e marque-as com uma etiqueta de aplicação personalizada.

2. Siga os passos em Detetar novo volume elevado ou utilização alargada de aplicações.

3. Adicione um filtro de Etiqueta de aplicação e selecione as etiquetas de aplicação que criou para as suas aplicações prontas para a empresa.

4. Configure as ações de governação a serem executadas quando um alerta é acionado. Em Governação, selecione Etiquetar aplicação como não aprovada.
   O acesso à aplicação será bloqueado automaticamente quando a política for correspondida.

5. Opcional: tire partido Defender para Aplicativos de Nuvem integrações nativas com Gateways Web Seguros para bloquear o acesso à aplicação.

Detetar padrões de utilização invulgares na sua rede

Detete padrões anómalos de utilização de tráfego (carregamentos/transferências) nas suas aplicações na cloud, provenientes de utilizadores ou endereços IP dentro da rede da sua organização.

Pré-requisitos

Configure o carregamento automático de registos para relatórios contínuos de deteção da cloud, conforme descrito em Configurar o carregamento automático de registos para relatórios contínuos ou ative a integração do Defender para Aplicativos de Nuvem com o Defender para Endpoint, conforme descrito em Integrar Microsoft Defender para Ponto de Extremidade com Defender para Aplicativos de Nuvem.

Etapas

1. No portal do Microsoft Defender, em Aplicações na Cloud, aceda a Políticas ->Gestão de políticas. Crie uma nova política de deteção de anomalias da Cloud Discovery.

2. No campo Modelo de política , selecione Comportamento anómalo em utilizadores detetados ou Comportamento anómalo em endereços IP detetados.

3. Personalize os filtros para satisfazer os requisitos da sua organização.

4. Se quiser ser alertado apenas quando existirem anomalias que envolvam aplicações de risco, utilize os filtros classificação de risco e defina o intervalo no qual as aplicações são consideradas arriscadas.

5. Utilize o controlo de deslize para Selecionar sensibilidade à deteção de anomalias.

Observação

Após o carregamento de registos contínuo ser estabelecido, o motor de deteção de anomalias demora alguns dias até que seja estabelecida uma linha base (período de aprendizagem) para o comportamento esperado na sua organização. Depois de estabelecer uma linha de base, começa a receber alertas com base em discrepâncias do comportamento de tráfego esperado entre aplicações na cloud efetuadas por utilizadores ou a partir de endereços IP.

Detetar comportamentos anómalos de deteção de cloud em aplicações de armazenamento que não são aprovadas

Detetar comportamentos anómalos de um utilizador numa aplicação de armazenamento na cloud que não é aprovada.

Pré-requisitos

Configure o carregamento automático de registos para relatórios contínuos de deteção da cloud, conforme descrito em Configurar o carregamento automático de registos para relatórios contínuos ou ative a integração do Defender para Aplicativos de Nuvem com o Defender para Endpoint, conforme descrito em Integrar Microsoft Defender para Ponto de Extremidade com Defender para Aplicativos de Nuvem.

Etapas

1. No portal do Microsoft Defender, em Aplicações na Cloud, aceda a Políticas ->Gestão de políticas. Crie uma nova política de deteção de anomalias da Cloud Discovery.

2. Selecione a categoria filtrar Aplicação é igual a Armazenamento na cloud.

3. Selecione a etiqueta Filtrar Aplicação não é igual a Aprovada.

4. Selecione a caixa de verificação para Criar um alerta para cada evento correspondente com a gravidade da política.

5. Configure as ações a executar quando um alerta é acionado.

Detetar aplicações OAuth arriscadas

Obtenha visibilidade e controlo sobre as aplicações OAuth instaladas dentro de aplicações como o Google Workspace, o Microsoft 365 e o Salesforce. As aplicações OAuth que pedem permissões elevadas e têm uma utilização rara da comunidade podem ser consideradas arriscadas.

Pré-requisitos

Tem de ter a aplicação Google Workspace, Microsoft 365 ou Salesforce ligada através de conectores de aplicações.

Etapas

1. 1. No portal do Microsoft Defender, em Aplicações na Cloud, aceda a Políticas ->Gestão de políticas. Crie uma nova política de aplicação OAuth.

2. Selecione o filtro Aplicação e defina a aplicação que a política deve abranger, Google Workspace, Microsoft 365 ou Salesforce.

3. Selecione Filtro de nível de permissão igual a Alto (disponível para Google Workspace e Microsoft 365).

4. Adicionar o filtro Utilização da comunidade é igual a Raro.

5. Configure as ações a executar quando um alerta é acionado. Por exemplo, para o Microsoft 365, marcar revogar a aplicação para aplicações OAuth detetadas pela política.

Observação

Suportada nas lojas de aplicações Google Workspace, Microsoft 365 e Salesforce.

Próximas etapas

Melhores práticas para proteger a sua organização

Se tiver algum problema, estamos aqui para ajudar. Para obter assistência ou suporte para o problema do produto, abra um pedido de suporte.