Melhores práticas para proteger a sua organização com Defender for Cloud Apps
Este artigo fornece as melhores práticas para proteger a sua organização ao utilizar Microsoft Defender for Cloud Apps. Estas melhores práticas vêm da nossa experiência com Defender for Cloud Apps e as experiências de clientes como você.
As melhores práticas abordadas neste artigo incluem:
- Descobrir e avaliar aplicações na cloud
- Aplicar políticas de governação da cloud
- Limitar a exposição de dados partilhados e impor políticas de colaboração
- Detetar, classificar, etiquetar e proteger dados regulados e confidenciais armazenados na cloud
- Impor políticas DLP e de conformidade para dados armazenados na cloud
- Bloquear e proteger a transferência de dados confidenciais para dispositivos não geridos ou de risco
- Proteger a colaboração com utilizadores externos ao impor controlos de sessão em tempo real
- Detetar ameaças na cloud, contas comprometidas, utilizadores maliciosos e ransomware
- Utilizar o registo de auditoria de atividades para investigações forenses
- Proteger serviços IaaS e aplicações personalizadas
Descobrir e avaliar aplicações na cloud
Integrar Defender for Cloud Apps com Microsoft Defender para Endpoint permite-lhe utilizar a deteção de cloud para além da sua rede empresarial ou gateways Web seguros. Com as informações combinadas do utilizador e do dispositivo, pode identificar utilizadores ou dispositivos de risco, ver que aplicações estão a utilizar e investigar mais aprofundadamente no portal do Defender para Endpoint.
Melhor prática: Ativar a Deteção de TI Sombra com o Defender para Endpoint
Detalhe: a Cloud Discovery analisa os registos de tráfego recolhidos pelo Defender para Endpoint e avalia as aplicações identificadas relativamente ao catálogo de aplicações na cloud para fornecer informações de conformidade e segurança. Ao configurar a cloud Discovery, obtém visibilidade sobre a utilização da cloud, a TI Sombra e a monitorização contínua das aplicações não aprovadas que estão a ser utilizadas pelos seus utilizadores.
Para obter mais informações:
- Microsoft Defender para Endpoint integração com Defender for Cloud Apps
- Configurar a cloud discovery
- Detetar e gerir TI sombra na sua rede
Melhor prática: Configurar políticas de Deteção de Aplicações para identificar proativamente aplicações de risco, não conformes e populares
Detalhes: as políticas de Deteção de Aplicações facilitam o controlo das aplicações detetadas significativas na sua organização para o ajudar a gerir estas aplicações de forma eficiente. Crie políticas para receber alertas ao detetar novas aplicações identificadas como arriscadas, não conformes, populares ou de elevado volume.
Para obter mais informações:
- Políticas de deteção de cloud
- Política de deteção de anomalias da Cloud Discovery
- Obter análise comportamental instantânea e deteção de anomalias
Melhor prática: Gerir aplicações OAuth autorizadas pelos seus utilizadores
Detalhe: muitos utilizadores concedem casualmente permissões de OAuth a aplicações de terceiros para aceder às informações da conta e, ao fazê-lo, inadvertidamente também dão acesso aos seus dados noutras aplicações na cloud. Normalmente, as TI não têm visibilidade sobre estas aplicações, o que dificulta a ponderação do risco de segurança de uma aplicação face ao benefício de produtividade que proporciona.
Defender for Cloud Apps fornece-lhe a capacidade de investigar e monitorizar as permissões da aplicação concedidas pelos seus utilizadores. Pode utilizar estas informações para identificar uma aplicação potencialmente suspeita e, se determinar que é arriscada, pode proibir o acesso à mesma.
Para obter mais informações:
Aplicar políticas de governação da cloud
Melhor prática: Etiquetar aplicações e exportar scripts de blocos
Detalhe: depois de rever a lista de aplicações detetadas na sua organização, pode proteger o seu ambiente contra a utilização indesejada de aplicações. Pode aplicar a etiqueta Aprovada a aplicações aprovadas pela sua organização e a etiqueta Não aprovada a aplicações que não são. Pode monitorizar aplicações não aprovadas através de filtros de deteção ou exportar um script para bloquear aplicações não aprovadas com as suas aplicações de segurança no local. A utilização de etiquetas e scripts de exportação permite-lhe organizar as suas aplicações e proteger o seu ambiente ao permitir apenas o acesso a aplicações seguras.
Para obter mais informações:
Limitar a exposição de dados partilhados e impor políticas de colaboração
Melhor prática: Ligar o Microsoft 365
Detalhe: ligar o Microsoft 365 a Defender for Cloud Apps dá-lhe visibilidade imediata sobre as atividades dos seus utilizadores, os ficheiros a que estão a aceder e fornece ações de governação para o Microsoft 365, SharePoint, OneDrive, Teams, Power BI, Exchange e Dynamics.
Para obter mais informações:
Melhor prática: Ligar as suas aplicações
Detalhe: ligar as suas aplicações a Defender for Cloud Apps fornece-lhe informações melhoradas sobre as atividades dos seus utilizadores, a deteção de ameaças e as capacidades de governação. Para ver que APIs de aplicações de terceiros são suportadas, aceda a Ligar aplicações.
Para obter mais informações:
Melhor prática: Criar políticas para remover a partilha com contas pessoais
Detalhe: ligar o Microsoft 365 a Defender for Cloud Apps dá-lhe visibilidade imediata sobre as atividades dos seus utilizadores, os ficheiros a que estão a aceder e fornece ações de governação para o Microsoft 365, SharePoint, OneDrive, Teams, Power BI, Exchange e Dynamics.
Para obter mais informações:
Detetar, classificar, etiquetar e proteger dados regulados e confidenciais armazenados na cloud
Melhor prática: Integrar com Proteção de Informações do Microsoft Purview
Detalhe: a integração com Proteção de Informações do Microsoft Purview dá-lhe a capacidade de aplicar automaticamente etiquetas de confidencialidade e, opcionalmente, adicionar proteção de encriptação. Assim que a integração estiver ativada, pode aplicar etiquetas como uma ação de governação, ver ficheiros por classificação, investigar ficheiros por nível de classificação e criar políticas granulares para garantir que os ficheiros classificados estão a ser processados corretamente. Se não ativar a integração, não pode beneficiar da capacidade de digitalizar, etiquetar e encriptar ficheiros automaticamente na cloud.
Para obter mais informações:
- integração do Proteção de Informações do Microsoft Purview
- Tutorial: Aplicar automaticamente etiquetas de confidencialidade a partir de Proteção de Informações do Microsoft Purview
Melhor prática: Criar políticas de exposição de dados
Detalhe: utilize políticas de ficheiros para detetar a partilha de informações e procurar informações confidenciais nas suas aplicações na cloud. Crie as seguintes políticas de ficheiro para alertá-lo quando forem detetadas exposições de dados:
- Ficheiros partilhados externamente com dados confidenciais
- Ficheiros partilhados externamente e etiquetados como Confidenciais
- Ficheiros partilhados com domínios não autorizados
- Proteger ficheiros confidenciais em aplicações SaaS
Para obter mais informações:
Melhor prática: Rever relatórios na página Ficheiros
Detalhe: depois de ligar várias aplicações SaaS com conectores de aplicações, Defender for Cloud Apps analisa os ficheiros armazenados por estas aplicações. Além disso, sempre que um ficheiro é modificado, é novamente analisado. Pode utilizar a página Ficheiros para compreender e investigar os tipos de dados armazenados nas suas aplicações na cloud. Para o ajudar a investigar, pode filtrar por domínios, grupos, utilizadores, data de criação, extensão, nome e tipo de ficheiro, ID de ficheiro, etiqueta de confidencialidade e muito mais. A utilização destes filtros coloca-o no controlo da forma como opta por investigar ficheiros para garantir que nenhum dos seus dados está em risco. Assim que tiver uma melhor compreensão de como os seus dados estão a ser utilizados, pode criar políticas para procurar conteúdos confidenciais nestes ficheiros.
Para obter mais informações:
Impor políticas DLP e de conformidade para dados armazenados na cloud
Melhor prática: proteger os dados confidenciais de serem partilhados com utilizadores externos
Detalhe: crie uma política de ficheiros que detete quando um utilizador tenta partilhar um ficheiro com a etiqueta confidencial confidencial com alguém externo à sua organização e configure a ação de governação para remover utilizadores externos. Esta política garante que os seus dados confidenciais não saem da sua organização e que os utilizadores externos não podem obter acesso aos mesmos.
Para obter mais informações:
Bloquear e proteger a transferência de dados confidenciais para dispositivos não geridos ou de risco
Melhor prática: Gerir e controlar o acesso a dispositivos de alto risco
Detalhe: utilize o controlo da aplicação de acesso condicional para definir controlos nas suas aplicações SaaS. Pode criar políticas de sessão para monitorizar as sessões de alto risco e de baixa confiança. Da mesma forma, pode criar políticas de sessão para bloquear e proteger transferências por utilizadores que tentam aceder a dados confidenciais a partir de dispositivos não geridos ou de risco. Se não criar políticas de sessão para monitorizar sessões de alto risco, perderá a capacidade de bloquear e proteger transferências no cliente Web, bem como a capacidade de monitorizar a sessão de baixa confiança tanto na Microsoft como em aplicações de terceiros.
Para obter mais informações:
- Proteger aplicações com Microsoft Defender for Cloud Apps controlo de aplicações de Acesso Condicional
- Políticas de sessão
Proteger a colaboração com utilizadores externos ao impor controlos de sessão em tempo real
Melhor prática: Monitorizar sessões com utilizadores externos através do controlo de aplicações de acesso condicional
Detalhe: para proteger a colaboração no seu ambiente, pode criar uma política de sessão para monitorizar as sessões entre os seus utilizadores internos e externos. Isto não só lhe permite monitorizar a sessão entre os seus utilizadores (e notificá-los de que as atividades de sessão estão a ser monitorizadas), como também lhe permite limitar atividades específicas. Ao criar políticas de sessão para monitorizar a atividade, pode escolher as aplicações e os utilizadores que pretende monitorizar.
Para obter mais informações:
- Proteger aplicações com Microsoft Defender for Cloud Apps controlo de aplicações de Acesso Condicional
- Políticas de sessão
Detetar ameaças na cloud, contas comprometidas, utilizadores maliciosos e ransomware
Melhor prática: Otimizar políticas de Anomalias, definir intervalos de IP, enviar feedback para alertas
Detalhe: as políticas de deteção de anomalias fornecem análise comportamental de utilizadores e entidades (UEBA) e machine learning (ML) de forma a que possa executar imediatamente a deteção avançada de ameaças no seu ambiente na cloud.
As políticas de deteção de anomalias são acionadas quando existem atividades invulgares realizadas pelos utilizadores no seu ambiente. Defender for Cloud Apps monitoriza continuamente as atividades dos seus utilizadores e utiliza o UEBA e o ML para aprender e compreender o comportamento normal dos seus utilizadores. Pode ajustar as definições de política de acordo com os requisitos da sua organização, por exemplo, pode definir a confidencialidade de uma política, bem como definir o âmbito de uma política para um grupo específico.
Políticas de Deteção de Anomalias de Otimização e Âmbito: por exemplo, para reduzir o número de falsos positivos dentro do alerta de deslocação impossível, pode definir o controlo de deslize de confidencialidade da política para baixo. Se tiver utilizadores na sua organização que são viajantes empresariais frequentes, pode adicioná-los a um grupo de utilizadores e selecionar esse grupo no âmbito da política.
Definir Intervalos de IP: Defender for Cloud Apps podem identificar endereços IP conhecidos assim que os intervalos de endereços IP estiverem definidos. Com os intervalos de endereços IP configurados, pode etiquetar, categorizar e personalizar a forma como os registos e alertas são apresentados e investigados. Adicionar intervalos de endereços IP ajuda a reduzir as deteções de falsos positivos e a melhorar a precisão dos alertas. Se optar por não adicionar os seus endereços IP, poderá ver um número aumentado de possíveis falsos positivos e alertas para investigar.
Enviar Comentários para alertas
Ao dispensar ou resolver alertas, certifique-se de que envia feedback com o motivo pelo qual rejeitou o alerta ou como este foi resolvido. Estas informações ajudam Defender for Cloud Apps melhorar os nossos alertas e reduzir os falsos positivos.
Para obter mais informações:
- Obter análise comportamental instantânea e deteção de anomalias
- Trabalhar com intervalos de IP e etiquetas
Melhor prática: Detetar atividade de localizações ou países/regiões inesperados
Detalhe: crie uma política de atividade para notificá-lo quando os utilizadores iniciarem sessão a partir de localizações ou países/regiões inesperados. Estas notificações podem alertá-lo para sessões possivelmente comprometidas no seu ambiente para que possa detetar e remediar ameaças antes de estas ocorrerem.
Para obter mais informações:
Melhor prática: Criar políticas de aplicações OAuth
Detalhe: crie uma política de aplicação OAuth para notificá-lo quando uma aplicação OAuth cumprir determinados critérios. Por exemplo, pode optar por ser notificado quando uma aplicação específica que requer um nível de permissão elevado foi acedida por mais de 100 utilizadores.
Para obter mais informações:
Utilizar o registo de auditoria de atividades para investigações forenses
Melhor prática: Utilizar o registo de auditoria de atividades ao investigar alertas
Detalhe: os alertas são acionados quando as atividades de utilizador, administrador ou início de sessão não estão em conformidade com as suas políticas. É importante investigar alertas para compreender se existe uma possível ameaça no seu ambiente.
Pode investigar um alerta ao selecioná-lo na página Alertas e rever o registo de auditoria das atividades relacionadas com esse alerta. O registo de auditoria dá-lhe visibilidade sobre atividades do mesmo tipo, o mesmo utilizador, o mesmo endereço IP e localização, para lhe fornecer a história geral de um alerta. Se um alerta justificar uma investigação mais aprofundada, crie um plano para resolver estes alertas na sua organização.
Ao dispensar alertas, é importante investigar e compreender por que motivo não são importantes ou se são falsos positivos. Se existir um grande volume dessas atividades, também poderá considerar rever e otimizar a política que aciona o alerta.
Para obter mais informações:
Proteger serviços IaaS e aplicações personalizadas
Melhor prática: Ligar o Azure, o AWS e o GCP
Detalhe: ligar cada uma destas plataformas na cloud a Defender for Cloud Apps ajuda-o a melhorar as suas capacidades de deteção de ameaças. Ao monitorizar atividades administrativas e de início de sessão para estes serviços, pode detetar e ser notificado sobre um possível ataque de força bruta, utilização maliciosa de uma conta de utilizador com privilégios e outras ameaças no seu ambiente. Por exemplo, pode identificar riscos como eliminações invulgares de VMs ou até atividades de representação nestas aplicações.
Para obter mais informações:
- Ligar o Azure ao Microsoft Defender for Cloud Apps
- Ligar o Amazon Web Services ao Microsoft Defender for Cloud Apps
- Ligar o Google Workspace ao Microsoft Defender for Cloud Apps
Melhor prática: Integrar aplicações personalizadas
Detalhe: para obter visibilidade adicional sobre as atividades das suas aplicações de linha de negócio, pode integrar aplicações personalizadas para Defender for Cloud Apps. Assim que as aplicações personalizadas estiverem configuradas, verá informações sobre quem as está a utilizar, os endereços IP a partir dos quais estão a ser utilizadas e a quantidade de tráfego que entra e sai da aplicação.
Além disso, pode integrar uma aplicação personalizada como uma aplicação de controlo de aplicações de acesso condicional para monitorizar as respetivas sessões de baixa confiança. Microsoft Entra ID aplicações são automaticamente integradas.
Para obter mais informações: