Guia operacional diário - Microsoft Defender for Cloud Apps

Este artigo lista as atividades operacionais diárias que recomendamos que realize com Defender for Cloud Apps.

Rever alertas e incidentes

Os alertas e incidentes são dois dos itens mais importantes que a equipa de operações de segurança (SOC) deve analisar diariamente.

• Triagem de incidentes e alertas regularmente da fila de incidentes no Microsoft Defender XDR, priorizando alertas de gravidade alta e média.

• Se estiver a trabalhar com um sistema SIEM, o sistema SIEM é normalmente a primeira paragem para triagem. Os sistemas SIEM fornecem mais contexto com registos adicionais e a funcionalidade SOAR. Em seguida, utilize Microsoft Defender XDR para uma compreensão mais profunda de um alerta ou linha cronológica de incidentes.

Faça a triagem dos incidentes do Microsoft Defender XDR

Onde: em Microsoft Defender XDR, selecione Incidentes & alertas

Persona: analistas do SOC

Ao processar incidentes:

1. No dashboard do incidente, filtre pelos seguintes itens:

   Filtro	Valores
   Estado	Novo, Em curso
   Gravidade	Alto, Médio, Baixo
   Origem do serviço	Mantenha todas as origens de serviço selecionadas. Manter todas as origens de serviço selecionadas deve listar os alertas com mais fidelidade, com correlação entre outras cargas de trabalho XDR do Microsoft. Selecione Defender for Cloud Apps para ver itens provenientes especificamente de Defender for Cloud Apps.

2. Selecione cada incidente para rever todos os detalhes. Reveja todos os separadores no incidente, o registo de atividades e a investigação avançada.

   No separador Provas e resposta do incidente, selecione cada item de prova. Selecione o menu > de opções Investigar e, em seguida, selecione Registo de atividades ou Ir investigar conforme necessário.

3. Faça a triagem dos incidentes. Para cada incidente, selecione Gerir incidente e, em seguida, selecione uma das seguintes opções:

   • Verdadeiro positivo
   • Falso positivo
   • Atividade informativa e esperada

   Para alertas verdadeiros, especifique o tipo de tratamento para ajudar a sua equipa de segurança a ver padrões de ameaças e a defender a sua organização do risco.

4. Quando estiver pronto para iniciar a investigação ativa, atribua o incidente a um utilizador e atualize o estado do incidente para Em curso.

5. Quando o incidente for remediado, resolva-o para resolver todos os alertas ativos ligados e relacionados.

Para mais informações, consulte:

• Priorizar incidentes no Microsoft Defender XDR
• Investigar alertas no Microsoft Defender XDR
• Manuais de procedimentos para resposta a incidentes
• Como investigar alertas de deteção de anomalias
• Gerir alertas de governação de aplicações
• Investigar alertas de deteção de ameaças

Fazer a triagem dos incidentes a partir do sistema SIEM

Persona: analistas do SOC

Pré-requisitos: tem de estar ligado a um sistema SIEM e recomendamos a integração com Microsoft Sentinel. Para mais informações, consulte:

• integração do Microsoft Sentinel (Pré-visualização)
• Ligar dados de Microsoft Defender XDR a Microsoft Sentinel
• Integração genérica do SIEM

Integrar Microsoft Defender XDR com Microsoft Sentinel permite transmitir todos os incidentes Microsoft Defender XDR para Microsoft Sentinel e mantê-los sincronizados entre ambos os portais. Microsoft Defender XDR incidentes no Microsoft Sentinel incluem todos os alertas, entidades e informações relevantes associados, fornecendo contexto suficiente para fazer a triagem e executar uma investigação preliminar.

Uma vez no Microsoft Sentinel, os incidentes permanecem sincronizados com Microsoft Defender XDR para que possa utilizar as funcionalidades de ambos os portais na sua investigação.

• Ao instalar o conector de dados do Microsoft Sentinel para Microsoft Defender XDR, certifique-se de que inclui a opção Microsoft Defender for Cloud Apps.
• Considere utilizar uma API de transmissão em fluxo para enviar dados para um hub de eventos, onde podem ser consumidos através de qualquer SIEM de parceiro com um conector do hub de eventos ou colocados no Armazenamento do Azure.

Para mais informações, consulte:

• Microsoft Defender XDR integração com Microsoft Sentinel
• Navegar e investigar incidentes no Microsoft Sentinel
• Criar regras de análise personalizadas para detetar ameaças

Rever dados de deteção de ameaças

Onde: no Portal do Microsoft Defender XDR, selecione:

• Alertas de & incidentes
• Deteção de Ameaças da Gestão > de políticas > de aplicações na cloud >
• Aplicações Oauth de aplicações > na cloud

Persona: Administradores de segurança e analistas do SOC

A deteção de ameaças de aplicações na cloud é onde muitos analistas do SOC concentram as suas atividades diárias, identificando utilizadores de alto risco que mostram um comportamento anormal.

Defender for Cloud Apps deteção de ameaças utiliza dados de investigação de segurança e informações sobre ameaças da Microsoft. Os alertas estão disponíveis no Microsoft Defender XDR e devem ser triagemdas regularmente.

Quando os administradores de segurança e os analistas do SOC lidam com alertas, tratam dos seguintes principais tipos de políticas de deteção de ameaças:

• Políticas de atividade
• Políticas de deteção de anomalias
• Políticas OAuth e Políticas de governação de aplicações

Persona: Administrador de segurança

Certifique-se de que cria as políticas de proteção contra ameaças necessárias para a sua organização, incluindo o processamento de quaisquer pré-requisitos.

Rever a governação de aplicações

Onde: no Portal do Microsoft Defender XDR, selecione:

• Alertas de & incidentes
• Incidentes & alertas/Governação de aplicações

Persona: analistas do SOC

A governação de aplicações oferece visibilidade e controlo aprofundados sobre as aplicações OAuth. A governação de aplicações ajuda a combater campanhas cada vez mais sofisticadas que exploram as aplicações implementadas no local e em infraestruturas de cloud, estabelecendo um ponto de partida para o escalamento de privilégios, movimento lateral e exfiltração de dados.

A governação de aplicações é fornecida em conjunto com Defender for Cloud Apps. Os alertas também estão disponíveis no Microsoft Defender XDR e devem ser triagemdas regularmente.

Para mais informações, consulte:

• Alertas de deteção
• Investigar alertas de políticas de aplicações predefinidos
• Investigar e remediar aplicações OAuth arriscadas

Página de descrição geral da governação de aplicações

Onde: no Portal do Microsoft Defender XDR, selecione:

• Alertas de & incidentes
• Cloud apps App governance Overview (Descrição Geral da governação de > aplicações > na cloud)

Persona: analistas do SOC e Administrador de segurança

Recomendamos que execute uma avaliação rápida e diária da postura de conformidade das suas aplicações e incidentes. Por exemplo, verifique os seguintes detalhes:

• O número de aplicações com privilégios excedidos ou com privilégios elevados
• Aplicações com um publicador não verificado
• Utilização de dados para serviços e recursos que foram acedidos com Graph API
• O número de aplicações que acederam a dados com as etiquetas de confidencialidade mais comuns
• O número de aplicações que acederam a dados com e sem etiquetas de confidencialidade em todos os serviços do Microsoft 365
• Uma descrição geral dos incidentes relacionados com a governação de aplicações

Com base nos dados que revê, poderá querer criar políticas de governação de aplicações novas ou ajustadas.

Para mais informações, consulte:

• Ver e gerir incidentes e alertas
• Ver os detalhes da aplicação com a governação de aplicações
• Criar políticas de aplicações na governação de aplicações.

Rever os dados da aplicação OAuth

Onde: no Portal do Microsoft Defender XDR, selecione:

• Alertas de & incidentes
• Azure AD de governação de > aplicações de aplicações > na cloud

Recomendamos que verifique diariamente a sua lista de aplicações ativadas para OAuth, juntamente com metadados de aplicações relevantes e dados de utilização. Selecione uma aplicação para ver informações e informações mais aprofundadas.

A governação de aplicações utiliza algoritmos de deteção baseados em machine learning para detetar comportamentos anómalos da aplicação no seu inquilino Microsoft Defender XDR e gera alertas que pode ver, investigar e resolver. Para além desta capacidade de deteção incorporada, pode utilizar um conjunto de modelos de política predefinidos ou criar as suas próprias políticas de aplicação que geram outros alertas.

Para mais informações, consulte:

• Ver e gerir incidentes e alertas
• Ver os detalhes da aplicação com a governação de aplicações
• Obter informações detalhadas sobre uma aplicação

Criar e gerir políticas de governação de aplicações

Em que: no Portal do Microsoft Defender XDR, selecione Políticas de Governação > de Aplicações em Cloud >

Persona: Administradores de segurança

Recomendamos que verifique as suas aplicações OAuth diariamente para obter visibilidade e controlo aprofundados regulares. Gere alertas com base em algoritmos de machine learning e crie políticas de aplicações para governação de aplicações.

Para mais informações, consulte:

• Criar políticas de aplicações na governação de aplicações
• Gerir políticas de aplicações

Rever o controlo de aplicações de Acesso Condicional

Onde: no Portal do Microsoft Defender XDR, selecione:

• Alertas de & incidentes
• Acesso Condicional da Gestão > de Políticas > de Aplicações > na Cloud

Para configurar o controlo de aplicações de Acesso Condicional, selecione Definições Aplicações > na cloud Controlo de Aplicações > de Acesso Condicional

Persona: Administrador de segurança

O controlo de aplicações de Acesso Condicional proporciona-lhe a capacidade de monitorizar e controlar o acesso e as sessões das aplicações dos utilizadores em tempo real, com base nas políticas de acesso e sessão.

Os alertas gerados estão disponíveis no Microsoft Defender XDR e devem ser triagemdas regularmente.

Por predefinição, não existem políticas de acesso ou sessão implementadas e, portanto, não existem alertas relacionados disponíveis. Pode integrar qualquer aplicação Web para trabalhar com controlos de acesso e sessão, Microsoft Entra ID aplicações são automaticamente integradas. Recomendamos que crie políticas de sessão e acesso conforme necessário para a sua organização.

Para mais informações, consulte:

• Ver e gerir incidentes e alertas
• Proteger aplicações com Microsoft Defender for Cloud Apps controlo de aplicações de Acesso Condicional
• Bloquear e proteger a transferência de dados confidenciais para dispositivos não geridos ou de risco
• Proteger a colaboração com utilizadores externos ao impor controlos de sessão em tempo real

Persona: administrador do SOC

Recomendamos que reveja os alertas de controlo de aplicações de Acesso Condicional diariamente e o registo de atividades. Filtre os registos de atividades por origem, controlo de acesso e controlo de sessão.

Para obter mais informações, veja Rever alertas e incidentes

Rever TI sombra - cloud discovery

Onde: no Portal do Microsoft Defender XDR, selecione:

• Alertas de & incidentes
• Cloud apps Cloud Discovery/Catálogo de aplicações > na cloud
• Ti Sombra da Gestão > de Políticas de Aplicações >> na Cloud

Persona: Administradores de segurança

O Defender para aplicações na cloud analisa os registos de tráfego relativamente ao catálogo de aplicações na cloud de mais de 31 000 aplicações na cloud. As aplicações são classificadas e classificadas com base em mais de 90 fatores de risco para fornecer visibilidade contínua sobre a utilização da cloud, a TI Sombra e os riscos que a TI Sombra representa na sua organização.

Os alertas relacionados com a deteção da cloud estão disponíveis no Microsoft Defender XDR e devem ser triagemdas regularmente.

Crie políticas de deteção de aplicações para começar a alertar e identificar aplicações recentemente detetadas com base em determinadas condições, como classificações de risco, categorias e comportamentos de aplicações, como tráfego diário e dados transferidos.

Sugestão

Recomendamos que integre Defender for Cloud Apps com Microsoft Defender para Endpoint para detetar aplicações na cloud para além da sua rede empresarial ou gateways seguros e aplicar ações de governação nos seus pontos finais.

Para mais informações, consulte:

• Ver e gerir incidentes e alertas
• Políticas de deteção de cloud
• Criar políticas de deteção de cloud
• Configurar a cloud discovery
• Descobrir e avaliar aplicações na cloud

Persona: Administradores de Segurança e Conformidade, analistas do SOC

Quando tiver um grande número de aplicações detetadas, poderá querer utilizar as opções de filtragem para saber mais sobre as aplicações detetadas.

Para obter mais informações, veja Filtros e consultas de aplicações detetadas no Microsoft Defender for Cloud Apps.

Rever o dashboard de deteção de cloud

Onde: no Portal do Microsoft Defender XDR, selecione Dashboard de Deteção da cloud de aplicações na cloud >>.

Persona: Administradores de Segurança e Conformidade, analistas do SOC

Recomendamos que reveja o dashboard de deteção de cloud diariamente. O dashboard de deteção de cloud foi concebido para lhe dar mais informações sobre como as aplicações na cloud são utilizadas na sua organização, com uma descrição geral detalhada das aplicações que estão a ser utilizadas, os alertas abertos e os níveis de risco das aplicações na sua organização.

No dashboard de deteção de cloud:

1. Utilize os widgets na parte superior da página para compreender a utilização geral da aplicação na cloud.

2. Filtre os gráficos do dashboard para gerar vistas específicas, consoante o seu interesse. Por exemplo:

   • Compreenda as principais categorias de aplicações utilizadas na sua organização, especialmente para aplicações aprovadas.
   • Reveja as classificações de risco das aplicações detetadas.
   • Filtre as vistas para ver as suas principais aplicações em categorias específicas.
   • Veja os principais utilizadores e endereços IP para identificar os utilizadores que são os utilizadores mais dominantes das aplicações na cloud na sua organização.
   • Veja os dados da aplicação num mapa do mundo para compreender como as aplicações detetadas são distribuídas por localização geográfica.

Depois de rever a lista de aplicações detetadas no seu ambiente, recomendamos que proteja o seu ambiente ao aprovar aplicações seguras (Aplicações aprovadas ), proibir aplicações indesejadas (aplicações não aprovadas ) ou aplicar etiquetas personalizadas.

Também poderá querer rever e aplicar proativamente etiquetas às aplicações disponíveis no catálogo de aplicações na cloud antes de serem detetadas no seu ambiente. Para o ajudar a governar essas aplicações, crie políticas de deteção de cloud relevantes, acionadas por etiquetas específicas.

Para mais informações, consulte:

• Trabalhar com dados de deteção
• Trabalhar com aplicações detetadas

Sugestão

Consoante a configuração do ambiente, pode beneficiar do bloqueio totalmente integrado e automatizado ou até das funcionalidades de aviso e educação fornecidas pelo Microsoft Defender para Endpoint. Para obter mais informações, veja Integrar Microsoft Defender para Endpoint com Microsoft Defender for Cloud Apps.

Rever a proteção de informações

Onde: no Portal do Microsoft Defender XDR, selecione:

• Alertas de & incidentes
• Ficheiros de aplicações na cloud >
• Proteção de Informações da Gestão > de Políticas de Políticas > de Aplicações > na Cloud

Persona: Administradores de Segurança e Conformidade, analistas do SOC

Defender for Cloud Apps alertas e políticas de ficheiros permitem-lhe impor uma vasta gama de processos automatizados. Crie políticas para fornecer proteção de informações, incluindo análises de conformidade contínuas, tarefas de Deteção de Dados Eletrónicos legais e proteção contra perda de dados (DLP) para conteúdos confidenciais partilhados publicamente.

Para além da triagem de alertas e incidentes, recomendamos que as suas equipas do SOC executem ações e consultas extra proativas. Na página Ficheiros de aplicações > na cloud, verifique se existem as seguintes perguntas:

• Quantos ficheiros são partilhados publicamente para que qualquer pessoa possa aceder aos mesmos sem uma ligação?
• Que parceiros está a partilhar ficheiros com a partilha de saída?
• Algum ficheiro tem nomes confidenciais?
• Algum dos ficheiros está a ser partilhado com a conta pessoal de alguém?

Utilize os resultados destas consultas para ajustar as políticas de ficheiros existentes ou criar novas políticas.

Para mais informações, consulte:

• Ver e gerir incidentes e alertas
• Políticas de proteção de informações.

Conteúdos relacionados

guia operacional Microsoft Defender for Cloud Apps