Introdução à governação de aplicações no Defender for Cloud Apps
As soluções de governação de aplicações requerem uma compreensão profunda do comportamento das aplicações num ambiente para identificar e abordar atividades que se enquadram num nível de tolerância que requer uma maior revisão para avaliar intenções maliciosas. Quando colocada em camadas sobre Defender for Cloud Apps, a governação de aplicações dá-lhe uma governação aprofundada contra o comportamento de aplicações de risco no seu ambiente.
Este artigo descreve como começar a utilizar as funcionalidades de governação de aplicações no Microsoft Defender for Cloud Apps.
Pré-requisitos
Se ainda não o fez, inscreva-se na governação de aplicações e conclua os passos para adicioná-la ao seu inquilino. Depois de se inscrever na governação de aplicações, terá de aguardar até 10 horas para ver e utilizar o produto.
Para obter mais informações, veja Ativar a governação de aplicações para Microsoft Defender for Cloud Apps.
A sua conta de início de sessão tem de ter uma função de administrador de governação de aplicações suportada para ver quaisquer dados de governação de aplicações.
Para utilizar a funcionalidade completa para alertas de governação de aplicações, tem de ter aprovisionado Defender for Cloud Apps e Microsoft Defender XDR ao aceder aos respetivos portais pelo menos uma vez.
Passo 1: obter visibilidade e informações
Comece por utilizar os seguintes passos para obter visibilidade e informações sobre as suas aplicações:
Iniciar sessão: no browser, aceda à página de governação do Microsoft Defender XDR > Cloud Apps App>.
Determinar a postura de conformidade: utilize os dados no separador Descrição Geral da governação > de aplicações para avaliar a postura de conformidade das suas aplicações e incidentes no seu inquilino. Veja detalhes como quantas aplicações com privilégios excessivos estão no seu inquilino, o número de incidentes ativos, o total Graph API acesso a dados e muito mais.
Sugestão
Também pode ver recomendações relacionadas com a governação de aplicações na Classificação de Segurança para o ajudar a gerir de forma holística a sua postura.
Ver as suas aplicações: ordene os dados nos separadores Governação de aplicações por aplicações com elevada utilização de dados ou número de consentimentos concedidos, ou filtre por aplicações com privilégios elevados, aplicações com permissões não utilizadas ou publicador não verificado e muito mais.
Utilize estas opções de ordenação e filtragem para obter informações mais aprofundadas sobre as suas aplicações OAuth, incluindo metadados de aplicações relevantes e dados de utilização.
Obter informações detalhadas sobre a aplicação: nos separadores Governação de aplicações, selecione uma aplicação na grelha para ver uma página de detalhes da aplicação. Investigue a utilização de dados de conta prioritária para uma aplicação específica, rastree exatamente cujos dados estão a ser acedidos, quais as permissões que estão a ser utilizadas e quais as permissões que não são utilizadas.
Para obter mais informações, veja Introdução à visibilidade e informações.
Passo 2: Implementar políticas de aplicações
A governação de aplicações utiliza algoritmos de deteção baseados em machine learning para detetar comportamentos anómalos da aplicação no seu ambiente e, em seguida, gera alertas que pode ver, investigar e resolver.
Para além desta capacidade de deteção incorporada, utilize um conjunto de modelos de política predefinidos ou crie as suas próprias políticas de aplicação para gerar outros alertas.
As políticas para padrões e comportamentos de aplicações e utilizadores podem proteger os seus utilizadores de utilizar aplicações não compatíveis ou maliciosas e limitar o acesso de aplicações de risco aos seus dados de inquilino.
A governação de aplicações suporta os seguintes tipos de políticas:
Tipo de política | Descrição |
---|---|
Políticas predefinidas | A governação de aplicações está equipada com um conjunto de políticas predefinidas adaptadas ao seu ambiente. As políticas predefinidas permitem-lhe começar a monitorizar as suas aplicações mesmo antes de configurar políticas. Utilize políticas predefinidas para garantir que é notificado de quaisquer anomalias da aplicação no início. |
Políticas definidas pelo utilizador | Além das políticas predefinidas, os administradores também podem utilizar as condições disponíveis para criar as políticas personalizadas ou escolher a partir das políticas recomendadas disponíveis. |
Para ver a sua lista de políticas de governação de aplicações atuais, aceda ao separador Políticas de governação > de aplicações Microsoft Defender XDR > Cloud Apps>.
Nota
As políticas de deteção de ameaças incorporadas não estão listadas na página Governação de aplicações . Para obter mais informações, veja Investigar alertas de deteção de ameaças.
Para implementar políticas de aplicações:
Trabalhar com políticas predefinidas: a governação de aplicações contém um conjunto de políticas de configuração inicial para detetar comportamentos anómalos da aplicação. Estas políticas estão ativadas por predefinição, mas pode desativar as mesmas se assim o preferir.
Criar políticas de aplicações: A governação de aplicações oferece mais de 20 modelos e condições de política para utilizar. As políticas de governação de aplicações ajudam-no:
Especifique as condições através das quais a governação de aplicações pode alertá-lo para o comportamento da aplicação para remediação automática ou manual.
Implemente as políticas de conformidade de aplicações para a sua organização.
Gerir políticas de aplicações: para acompanhar as aplicações mais recentes que a sua organização está a utilizar, responder a novos ataques baseados em aplicações e para alterações contínuas às necessidades de conformidade da aplicação, poderá ter de gerir as políticas da sua aplicação da seguinte forma:
Criar novas políticas direcionadas para novas aplicações
Alterar o estado de uma política existente (ativo, inativo, modo de auditoria)
Alterar as condições de uma política existente
Alterar as ações de uma política existente para a remediação automática de alertas
Para obter mais informações, veja Saiba mais sobre as políticas de aplicações.
Passo 3: Detetar e remediar ameaças de aplicações
Utilize a governação de aplicações para monitorizar os alertas de ameaças gerados por métodos de deteção de governação de aplicações incorporados para atividades de aplicações maliciosas e alertas baseados em políticas gerados por políticas de aplicações ativas que cria.
Estes alertas podem indicar anomalias na atividade da aplicação e quando são utilizadas aplicações não conformes, maliciosas ou de risco. Também pode utilizar padrões em alertas para criar novas políticas de aplicações ou modificar as definições das políticas existentes para ações mais restritivas.
Também pode remediar alertas, manualmente após investigação ou automaticamente através das definições de ação em políticas de aplicações ativas.
Efetue qualquer um dos seguintes passos para detetar e remediar ameaças:
Introdução à deteção e remediação de ameaças de aplicações: A governação de aplicações recolhe alertas de ameaças gerados por métodos de deteção de governação de aplicações incorporados e baseados em machine learning. Os alertas de ameaças baseiam-se em atividades de aplicações maliciosas e alertas baseados em políticas gerados por políticas de aplicações ativas que criar.
Monitorizar e responder a aplicações com uma utilização de dados invulgar: A governação de aplicações fornece informações de utilização de dados que podem ajudá-lo a identificar atividades de aplicações indesejadas e potencialmente maliciosas.
Investigar alertas de deteção de anomalias: A governação de aplicações fornece alertas e deteções de segurança para atividades maliciosas. O objetivo deste guia é fornecer-lhe informações gerais e práticas sobre cada alerta, para ajudar nas suas tarefas de investigação e remediação.
Remediar ameaças de aplicações: Corrija a atividade prejudicial da aplicação e da aplicação identificada pelos alertas de governação de aplicações no Microsoft Defender XDR.
Para obter mais informações, veja Saiba mais sobre a deteção e remediação de ameaças de aplicações.