Pilote e implemente Microsoft Defender para Aplicativos de Nuvem
Aplica-se a:
- Microsoft Defender XDR
Este artigo fornece um fluxo de trabalho para testar e implementar Microsoft Defender para Aplicativos de Nuvem na sua organização. Utilize estas recomendações para integrar Microsoft Defender para Aplicativos de Nuvem como parte de uma solução ponto a ponto com Microsoft Defender XDR.
Este artigo pressupõe que tem um inquilino do Microsoft 365 de produção e está a testar e implementar Microsoft Defender para Aplicativos de Nuvem neste ambiente. Esta prática irá manter todas as definições e personalizações que configurar durante o piloto para a sua implementação completa.
Defender para Office 365 contribui para uma arquitetura Confiança Zero, ajudando a evitar ou reduzir os danos comerciais causados por uma falha de segurança. Para obter mais informações, veja Prevent or reduce business damage from a breach business scenario in the Microsoft Confiança Zero adoption framework (Evitar ou reduzir danos comerciais de um cenário de negócio de falha de segurança) no microsoft Confiança Zero adoption framework.
Implementação ponto a ponto para Microsoft Defender XDR
Este é o artigo 5 de 6 de uma série para o ajudar a implementar os componentes do Microsoft Defender XDR, incluindo investigar e responder a incidentes.
Os artigos nesta série correspondem às seguintes fases da implementação ponto a ponto:
| Fase | Link |
|---|---|
| A. Iniciar o piloto | Iniciar o piloto |
| B. Pilotar e implementar componentes de Microsoft Defender XDR |
-
Pilote e implemente o Defender para Identidade - Pilote e implemente Defender para Office 365 - Pilote e implemente o Defender para Endpoint - Pilote e implemente Microsoft Defender para Aplicativos de Nuvem (este artigo) |
| C. Investigar e responder às ameaças | Praticar a investigação e resposta a incidentes |
Fluxo de trabalho piloto e de implementação para Defender para Aplicativos de Nuvem
O diagrama seguinte ilustra um processo comum para implementar um produto ou serviço num ambiente de TI.
Comece por avaliar o produto ou serviço e como irá funcionar na sua organização. Em seguida, vai testar o produto ou serviço com um subconjunto convenientemente pequeno da sua infraestrutura de produção para testes, aprendizagem e personalização. Em seguida, aumente gradualmente o âmbito da implementação até que toda a sua infraestrutura ou organização seja abrangida.
Eis o fluxo de trabalho para testar e implementar Defender para Aplicativos de Nuvem no seu ambiente de produção.
Siga estas etapas:
- Ligar ao portal do Defender para Aplicativos de Nuvem
- Integrar com Microsoft Defender para Ponto de Extremidade
- Implementar o recoletor de registos nas firewalls e noutros proxies
- Criar um grupo piloto
- Descobrir e gerir aplicações na cloud
- Configurar o controlo de aplicações de acesso condicional
- Aplicar políticas de sessão a aplicações na cloud
- Experimentar capacidades adicionais
Eis os passos recomendados para cada fase de implementação.
| Fase de implementação | Descrição |
|---|---|
| Avaliar | Efetue a avaliação do produto para Defender para Aplicativos de Nuvem. |
| Piloto | Execute os Passos 1 a 4 e, em seguida, 5-8 para um subconjunto adequado de aplicações na cloud no seu ambiente de produção. |
| Implantação completa | Execute os Passos 5 a 8 para as restantes aplicações na cloud, ajustando o âmbito dos grupos de utilizadores piloto ou adicionando grupos de utilizadores para expandir para além do piloto e incluir todas as suas contas de utilizador. |
Proteger a sua organização contra hackers
Defender para Aplicativos de Nuvem fornece proteção poderosa por si só. No entanto, quando combinado com as outras capacidades do Microsoft Defender XDR, Defender para Aplicativos de Nuvem fornece dados para os sinais partilhados que, em conjunto, ajudam a parar os ataques.
Eis um exemplo de um ciberataque e como os componentes do Microsoft Defender XDR ajudam a detetá-lo e a mitigá-lo.
Defender para Aplicativos de Nuvem deteta comportamentos anómalos como viagens impossíveis, acesso a credenciais e transferência invulgar, partilha de ficheiros ou atividade de reencaminhamento de correio e apresenta estes comportamentos no portal do Defender para Aplicativos de Nuvem. Defender para Aplicativos de Nuvem também ajuda a evitar movimentos laterais por hackers e a exfiltração de dados confidenciais.
Microsoft Defender XDR correlaciona os sinais de todos os componentes Microsoft Defender para fornecer a história completa do ataque.
Defender para Aplicativos de Nuvem função como CASB e muito mais
Um mediador de segurança de acesso à cloud (CASB) atua como um controlador de chamadas para mediar o acesso em tempo real entre os utilizadores da sua empresa e os recursos da cloud que utilizam, onde quer que os seus utilizadores estejam localizados e independentemente do dispositivo que estejam a utilizar. As aplicações de software como serviço (SaaS) são ubíquas em ambientes de trabalho híbridos e proteger as aplicações SaaS e os dados importantes que armazenam são um grande desafio para as organizações.
O aumento da utilização de aplicações, combinado com os funcionários que acedem aos recursos da empresa fora do perímetro empresarial, também introduziu novos vetores de ataque. Para combater estes ataques de forma eficaz, as equipas de segurança precisam de uma abordagem que proteja os seus dados em aplicações na cloud para além do âmbito tradicional dos mediadores de segurança de acesso à cloud (CASBs).
Microsoft Defender para Aplicativos de Nuvem fornece proteção total para aplicações SaaS, ajudando-o a monitorizar e proteger os dados da sua aplicação na cloud nas seguintes áreas de funcionalidades:
Funcionalidade básica do mediador de segurança de acesso à cloud (CASB), como deteção de TI Sombra, visibilidade da utilização de aplicações na cloud, proteção contra ameaças baseadas em aplicações a partir de qualquer parte da cloud e avaliações de conformidade e proteção de informações.
Funcionalidades de Gestão da Postura de Segurança SaaS (SSPM), permitindo às equipas de segurança melhorar a postura de segurança da organização
Proteção avançada contra ameaças, como parte da solução de deteção e resposta alargada (XDR) da Microsoft, que permite uma correlação avançada de sinal e visibilidade na cadeia de eliminação completa de ataques avançados
Proteção da aplicação para a aplicação, expandindo os principais cenários de ameaça para aplicações ativadas para OAuth que têm permissões e privilégios para dados e recursos críticos.
Métodos de deteção de aplicações na cloud
Sem Defender para Aplicativos de Nuvem, as aplicações na cloud utilizadas pela sua organização não são geridas e desprotegidas. Para descobrir as aplicações na cloud utilizadas no seu ambiente, pode implementar um ou ambos os seguintes métodos:
- Comece a trabalhar rapidamente com a Cloud Discovery ao integrar com Microsoft Defender para Ponto de Extremidade. Esta integração nativa permite-lhe começar imediatamente a recolher dados sobre o tráfego da cloud nos seus dispositivos Windows 10 e Windows 11, dentro e fora da sua rede.
- Para detetar todas as aplicações na cloud acedidas por todos os dispositivos ligados à sua rede, implemente o recoletor de registos Defender para Aplicativos de Nuvem nas firewalls e noutros proxies. Esta implementação ajuda a recolher dados dos pontos finais e envia-os para Defender para Aplicativos de Nuvem para análise. Defender para Aplicativos de Nuvem integra-se nativamente com alguns proxies de terceiros para obter ainda mais capacidades.
Este artigo inclui orientações para ambos os métodos.
Etapa 1. Access Microsoft Defender para Aplicativos de Nuvem
Para verificar o licenciamento e ligar ao portal do Defender para Aplicativos de Nuvem, veja Access Defender para Aplicativos de Nuvem.
Se não conseguir ligar-se imediatamente ao portal, poderá ter de adicionar o endereço IP à lista de permissões da firewall. Para obter mais informações, veja Configuração básica para Defender para Aplicativos de Nuvem.
Se continuar a ter problemas, veja Requisitos de rede.
Passo 2: Integrar no Microsoft Defender para Ponto de Extremidade
Microsoft Defender para Aplicativos de Nuvem integra-se com Microsoft Defender para Ponto de Extremidade nativamente. A integração simplifica a implementação da Cloud Discovery, expande as capacidades da Cloud Discovery para além da sua rede empresarial e permite a investigação baseada em dispositivos. Esta integração revela as aplicações e serviços na cloud que estão a ser acedidos a partir de dispositivos de Windows 10 e Windows 11 geridos por TI.
Se já tiver configurado Microsoft Defender para Ponto de Extremidade, configurar a integração com Defender para Aplicativos de Nuvem é um botão de alternar no Microsoft Defender XDR. Depois de a integração estar ativada, pode regressar ao portal do Defender para Aplicativos de Nuvem e ver dados avançados no Dashboard da Cloud Discovery.
Para realizar estas tarefas, veja Integrar Microsoft Defender para Ponto de Extremidade com Microsoft Defender para Aplicativos de Nuvem.
Passo 3: implementar o recoletor de registos Defender para Aplicativos de Nuvem nas firewalls e noutros proxies
Para cobertura em todos os dispositivos ligados à sua rede, implemente o recoletor de registos Defender para Aplicativos de Nuvem nas firewalls e noutros proxies para recolher dados dos pontos finais e enviá-lo para Defender para Aplicativos de Nuvem para análise. Para obter mais informações, veja Configurar o carregamento automático de registos para relatórios contínuos.
Defender para Aplicativos de Nuvem fornece conectores de aplicações incorporados para aplicações na cloud populares. Estes conectores utilizam as APIs dos fornecedores de aplicações para permitir uma maior visibilidade e controlo sobre a forma como estas aplicações são utilizadas na sua organização. Para obter mais informações, veja Connect apps to get visibility and control with Microsoft Defender para Aplicativos de Nuvem (Ligar aplicações para obter visibilidade e controlo com Microsoft Defender para Aplicativos de Nuvem).
Se estiver a utilizar um dos seguintes Gateways Web Seguros (SWG), Defender para Aplicativos de Nuvem proporciona uma implementação e integração totalmente integradas:
Para obter mais informações, veja Cloud app discovery overview (Descrição geral da deteção de aplicações na cloud).
Etapa 4. Criar um grupo piloto — Definir o âmbito da implementação piloto para determinados grupos de utilizadores
Microsoft Defender para Aplicativos de Nuvem permite-lhe definir o âmbito da implementação. O âmbito permite-lhe selecionar determinados grupos de utilizadores para serem monitorizados para aplicações ou excluídos da monitorização. Pode incluir ou excluir grupos de utilizadores.
Para obter mais informações, veja Âmbito da implementação para utilizadores ou grupos de utilizadores específicos.
Etapa 5. Descobrir e gerir aplicações na cloud
Para Defender para Aplicativos de Nuvem fornecer a quantidade máxima de proteção, tem de descobrir todas as aplicações na cloud na sua organização e gerir a forma como são utilizadas.
Descobrir aplicações na cloud
O primeiro passo para gerir a utilização de aplicações na cloud é descobrir que aplicações na cloud são utilizadas pela sua organização. O diagrama seguinte ilustra como a cloud discovery funciona com Defender para Aplicativos de Nuvem.
Nesta ilustração, existem dois métodos que podem ser utilizados para monitorizar o tráfego de rede e descobrir as aplicações na cloud que estão a ser utilizadas pela sua organização.
A Cloud App Discovery integra-se com Microsoft Defender para Ponto de Extremidade nativamente. O Defender para Endpoint comunica que as aplicações e serviços na cloud estão a ser acedidos a partir de dispositivos de Windows 10 e Windows 11 geridos por TI.
Para cobertura em todos os dispositivos ligados a uma rede, instale o recoletor de registos Defender para Aplicativos de Nuvem em firewalls e outros proxies para recolher dados de pontos finais. O recoletor envia estes dados para Defender para Aplicativos de Nuvem para análise.
Veja o dashboard da Cloud Discovery para ver que aplicações estão a ser utilizadas na sua organização
A cloud discovery dashboard foi concebida para lhe dar mais informações sobre como as aplicações na cloud estão a ser utilizadas na sua organização. Fornece uma descrição geral detalhada dos tipos de aplicações que estão a ser utilizadas, os alertas abertos e os níveis de risco das aplicações na sua organização.
Para obter mais informações, veja Ver aplicações detetadas com o dashboard cloud discovery.
Gerir aplicações na cloud
Depois de descobrir as aplicações na cloud e analisar a forma como estas aplicações são utilizadas pela sua organização, pode começar a gerir as aplicações na cloud que escolher.
Nesta ilustração, algumas aplicações são aprovadas para utilização. A aprovação é uma forma simples de começar a gerir aplicações. Para obter mais informações, veja Governar aplicações detetadas.
Etapa 6. Configurar o controlo de aplicações de acesso condicional
Uma das proteções mais avançadas que pode configurar é o controlo de aplicações de acesso condicional. Esta proteção requer integração com Microsoft Entra ID. Permite-lhe aplicar políticas de Acesso Condicional, incluindo políticas relacionadas (como a necessidade de dispositivos em bom estado de funcionamento) às aplicações na cloud que sancionou.
Pode já ter aplicações SaaS adicionadas ao seu inquilino Microsoft Entra para impor a autenticação multifator e outras políticas de acesso condicional. Microsoft Defender para Aplicativos de Nuvem integra-se nativamente com Microsoft Entra ID. Tudo o que tem de fazer é configurar uma política no Microsoft Entra ID para utilizar o controlo de aplicações de acesso condicional no Defender para Aplicativos de Nuvem. Isto encaminha o tráfego de rede para estas aplicações SaaS geridas através de Defender para Aplicativos de Nuvem como um proxy, o que permite que Defender para Aplicativos de Nuvem monitorizem este tráfego e apliquem controlos de sessão.
Nesta ilustração:
- As aplicações SaaS estão integradas no inquilino Microsoft Entra. Esta integração permite aos Microsoft Entra ID impor políticas de acesso condicional, incluindo a autenticação multifator.
- É adicionada uma política ao Microsoft Entra ID para direcionar o tráfego das aplicações SaaS para Defender para Aplicativos de Nuvem. A política especifica a que aplicações SaaS deve aplicar esta política. Depois de Microsoft Entra ID impõe quaisquer políticas de acesso condicional que se apliquem a estas aplicações SaaS, Microsoft Entra ID, em seguida, direciona (proxies) o tráfego da sessão através de Defender para Aplicativos de Nuvem.
- Defender para Aplicativos de Nuvem monitoriza este tráfego e aplica quaisquer políticas de controlo de sessão que tenham sido configuradas pelos administradores.
Poderá ter detetado e sancionado aplicações na cloud com Defender para Aplicativos de Nuvem que não foram adicionadas aos Microsoft Entra ID. Pode tirar partido do controlo de aplicações de acesso condicional ao adicionar estas aplicações na cloud ao seu inquilino Microsoft Entra e ao âmbito das suas regras de acesso condicional.
O primeiro passo para utilizar Microsoft Defender para Aplicativos de Nuvem para gerir aplicações SaaS é descobrir estas aplicações e, em seguida, adicioná-las ao seu inquilino Microsoft Entra. Se precisar de ajuda com a deteção, veja Descobrir e gerir aplicações SaaS na sua rede. Depois de detetar aplicações, adicione estas aplicações ao seu inquilino Microsoft Entra.
Pode começar a gerir estas aplicações com as seguintes tarefas:
No Microsoft Entra ID, crie uma nova política de acesso condicional e configure-a para Utilizar o controlo de aplicações de acesso condicional. Esta configuração ajuda a redirecionar o pedido para Defender para Aplicativos de Nuvem. Pode criar uma política e adicionar todas as aplicações SaaS a esta política.
Em seguida, no Defender para Aplicativos de Nuvem, crie políticas de sessão. Crie uma política para cada controlo que pretende aplicar. Para obter mais informações, incluindo aplicações e clientes suportados, veja Criar políticas de sessão Microsoft Defender para Aplicativos de Nuvem.
Para políticas de exemplo, veja Políticas de Microsoft Defender para Aplicativos de Nuvem recomendadas para aplicações SaaS. Estas políticas baseiam-se num conjunto de políticas comuns de identidade e acesso a dispositivos que são recomendadas como ponto de partida para todos os clientes.
Etapa 7. Aplicar políticas de sessão a aplicações na cloud
Assim que tiver as políticas de sessão configuradas, aplique-as às suas aplicações na cloud para fornecer acesso controlado a essas aplicações.
Na ilustração:
- O acesso a aplicações na cloud aprovadas a partir de utilizadores e dispositivos na sua organização é encaminhado através de Defender para Aplicativos de Nuvem.
- As aplicações na cloud que não tenha sancionado ou explicitamente não aprovadas não são afetadas.
As políticas de sessão permitem-lhe aplicar parâmetros à forma como as aplicações na cloud são utilizadas pela sua organização. Por exemplo, se a sua organização estiver a utilizar o Salesforce, pode configurar uma política de sessão que permite que apenas os dispositivos geridos acedam aos dados da sua organização no Salesforce. Um exemplo mais simples pode ser configurar uma política para monitorizar o tráfego de dispositivos não geridos para que possa analisar o risco deste tráfego antes de aplicar políticas mais rigorosas.
Para obter mais informações, veja Controlo de aplicações de acesso condicional no Microsoft Defender para Aplicativos de Nuvem.
Passo 8. Experimentar capacidades adicionais
Utilize estes artigos Defender para Aplicativos de Nuvem para o ajudar a descobrir riscos e proteger o seu ambiente:
- Detetar atividade de utilizador suspeita
- Investigar utilizadores de risco
- Investigar aplicações OAuth de risco
- Descobrir e proteger informações confidenciais
- Proteger qualquer aplicação na sua organização em tempo real
- Bloquear transferências de informações confidenciais
- Proteger os seus ficheiros com quarentena de administrador
- Exigir autenticação passo a passo após ação de risco
Para obter mais informações sobre a investigação avançada em dados Microsoft Defender para Aplicativos de Nuvem, veja este vídeo.
Integração SIEM
Pode integrar Defender para Aplicativos de Nuvem com Microsoft Sentinel como parte da plataforma de operações de segurança unificada da Microsoft ou um serviço genérico de gestão de informações e eventos de segurança (SIEM) para permitir a monitorização centralizada de alertas e atividades de aplicações ligadas. Com Microsoft Sentinel, pode analisar eventos de segurança em toda a sua organização de forma mais abrangente e criar manuais de procedimentos para obter uma resposta eficaz e imediata.
Microsoft Sentinel inclui um Microsoft Defender para o conector de dados XDR para trazer todos os sinais de Defender XDR, incluindo Defender para Aplicativos de Nuvem, para Microsoft Sentinel. Utilize a plataforma de operações de segurança unificada no portal do Defender como uma única plataforma para operações de segurança ponto a ponto (SecOps).
Para saber mais, confira:
- Ligar Microsoft Sentinel ao portal do Microsoft Defender
- integração do Microsoft Sentinel
- Integração do SIEM Genérica
Próxima etapa
Executar a gestão do ciclo de vida para Defender para Aplicativos de Nuvem.
Passo seguinte para a implementação ponto a ponto do Microsoft Defender XDR
Continue a implementação ponto a ponto do Microsoft Defender XDR com Investigar e responder com Microsoft Defender XDR.
Dica
Você deseja aprender mais? Participe da comunidade de Segurança da Microsoft em nossa Tech Community: Tech Community do Microsoft Defender XDR.