Guia operacional mensal - Microsoft Defender for Cloud Apps
Este artigo lista as atividades operacionais mensais que recomendamos que realize com Microsoft Defender for Cloud Apps.
As atividades mensais podem ser realizadas com mais frequência ou conforme necessário, consoante o seu ambiente e necessidades.
Rever avaliações de políticas
Onde: no Portal do Microsoft Defender XDR, selecione Gestão de políticas de aplicações > na cloud >
Persona: Administradores de Segurança e Conformidade
Reveja as políticas e faça as atualizações necessárias para garantir que ainda são adequadas para a sua organização.
Verifique se existem taxas verdadeiras positivas falsas positivas e benignas e ajuste as políticas em que as taxas são demasiado elevadas. Por exemplo, certifique-se de que qualquer novo endereço IP empresarial está configurado corretamente nas suas definições de Defender for Cloud Apps para evitar falsos positivos de deslocação impossíveis.
Reveja as necessidades empresariais e avalie os requisitos das políticas personalizadas. Por exemplo, a ameaça detetada por cada política ainda é relevante? Ou existe uma nova solução incorporada para detetar essa ameaça?
Limpar alertas antigos. Por exemplo:
- Ver alertas dos últimos seis meses. Filtre os alertas marcados como Resolvidos e agrupe alertas semelhantes para simplificar a visualização.
- Verifique o motivo pelo qual cada alerta apresentado não é abordado.
- Se os alertas forem benignos, dispense-os e ajuste as políticas conforme necessário.
Para obter mais informações, veja Controlar aplicações na cloud com políticas.
Rever registos de atividades
Onde: no Portal do Microsoft Defender XDR, em Aplicações na cloud, selecione Registo de atividades.
Persona: Administradores de Segurança e Conformidade
Revê frequentemente os registos de atividades em relação a alertas e como parte de investigações de ameaças. Recomendamos que volte a consultar o Registo de atividades mensalmente para verificar se existem atividades repetidas por parte da mesma entidade, como múltiplas pesquisas ou inícios de sessão pelo mesmo utilizador.
- Dinamizar resultados por tipo de atividade, como inícios de sessão falhados ou eliminação ou atribuição de privilégios.
- Restringir a atividade a uma aplicação ou a um utilizador.
- Utilize os resultados para criar uma nova política para o ajudar a monitorizar mais atentamente e a responder a potenciais ameaças.
Para obter mais informações, veja Consultas de atividade.