Partilhar via


Políticas comuns de proteção contra ameaças Defender for Cloud Apps

Defender for Cloud Apps permite-lhe identificar problemas de segurança na cloud e de utilização de alto risco, detetar comportamentos anormais do utilizador e evitar ameaças nas suas aplicações na cloud aprovadas. Obtenha visibilidade sobre as atividades de utilizador e administrador e defina políticas para alertar automaticamente quando forem detetadas atividades suspeitas ou específicas que considere arriscadas. Desenhe a partir da grande quantidade de dados de investigação de segurança e informações sobre ameaças da Microsoft para ajudar a garantir que as suas aplicações aprovadas têm todos os controlos de segurança necessários e ajudá-lo a manter o controlo sobre as mesmas.

Nota

Ao integrar Defender for Cloud Apps com Microsoft Defender para Identidade, as políticas do Defender para Identidade também aparecem na página de políticas. Para obter uma lista de políticas do Defender para Identidade, veja Alertas de Segurança.

Detetar e controlar a atividade do utilizador a partir de localizações desconhecidas

Deteção automática do acesso ou atividade do utilizador a partir de localizações desconhecidas que nunca foram visitadas por ninguém na sua organização.

Pré-requisitos

Tem de ter, pelo menos, uma aplicação ligada através de conectores de aplicações.

Passos

Esta deteção é configurada automaticamente para o alertar quando houver acesso a partir de novas localizações. Não precisa de efetuar qualquer ação para configurar esta política. Para obter mais informações, veja Políticas de deteção de anomalias.

Detetar conta comprometida por localização impossível (viagem impossível)

Deteção automática do acesso ou atividade do utilizador a partir de 2 localizações diferentes num período de tempo mais curto do que o tempo necessário para viajar entre os dois.

Pré-requisitos

Tem de ter, pelo menos, uma aplicação ligada através de conectores de aplicações.

Passos

  1. Esta deteção é configurada automaticamente para o alertar quando existe acesso a partir de localizações impossíveis. Não precisa de efetuar qualquer ação para configurar esta política. Para obter mais informações, veja Políticas de deteção de anomalias.

  2. Opcional: pode personalizar políticas de deteção de anomalias:

    • Personalizar o âmbito de deteção em termos de utilizadores e grupos

    • Escolher os tipos de inícios de sessão a considerar

    • Definir a sua preferência de confidencialidade para alertas

  3. Crie a política de deteção de anomalias.

Detetar atividade suspeita de um funcionário "em licença"

Detetar quando um utilizador, que está em licença não remunerada e não deve estar ativo em nenhum recurso organizacional, está a aceder a qualquer um dos recursos da cloud da sua organização.

Pré-requisitos

  • Tem de ter, pelo menos, uma aplicação ligada através de conectores de aplicações.

  • Crie um grupo de segurança no Microsoft Entra ID para os utilizadores em licença não remunerada e adicione todos os utilizadores que pretende monitorizar.

Passos

  1. No ecrã Grupos de utilizadores, selecione Criar grupo de utilizadores e importe o grupo de Microsoft Entra relevante.

  2. No portal do Microsoft Defender, em Aplicações na Cloud, aceda a Políticas ->Gestão de políticas. Crie uma nova política de Atividade.

  3. Defina o filtro Grupo de utilizadores igual ao nome dos grupos de utilizadores que criou no Microsoft Entra ID para os utilizadores de licenças não pagas.

  4. Opcional: defina as ações de Governação a serem executadas em ficheiros quando for detetada uma violação. As ações de governação disponíveis variam entre serviços. Pode escolher Suspender utilizador.

  5. Crie a política de ficheiros.

Detetar e notificar quando é utilizado um SO de browser desatualizado

Detetar quando um utilizador está a utilizar um browser com uma versão de cliente desatualizada que pode representar riscos de conformidade ou segurança para a sua organização.

Pré-requisitos

Tem de ter, pelo menos, uma aplicação ligada através de conectores de aplicações.

Passos

  1. No portal do Microsoft Defender, em Aplicações na Cloud, aceda a Políticas ->Gestão de políticas. Crie uma nova política de Atividade.

  2. Defina o filtro Etiqueta de agente de utilizador igual a Browser Desatualizado e Sistema operativo Desatualizado.

  3. Defina as ações de Governação a serem executadas nos ficheiros quando for detetada uma violação. As ações de governação disponíveis variam entre serviços. Em Todas as aplicações, selecione Notificar utilizador, para que os seus utilizadores possam tomar medidas relativamente ao alerta e atualizar os componentes necessários.

  4. Crie a Política de atividade.

Detetar e alertar quando é detetada Administração atividade em endereços IP de risco

Detete atividades de administrador executadas a partir do endereço IP que é considerado um endereço IP de risco e notifique o administrador do sistema para uma investigação mais aprofundada ou defina uma ação de governação na conta do administrador.

Pré-requisitos

  • Tem de ter, pelo menos, uma aplicação ligada através de conectores de aplicações.

  • Na engrenagem Definições, selecione Intervalos de endereços IP e selecione + para adicionar intervalos de endereços IP para as sub-redes internas e respetivos endereços IP públicos de saída. Defina a Categoria como Interna.

Passos

  1. No portal do Microsoft Defender, em Aplicações na Cloud, aceda a Políticas ->Gestão de políticas. Crie uma nova política de Atividade.

  2. Defina a opção Agir comoAtividade única.

  3. Definir o endereço IP do filtro como Categoria é igual a Arriscado

  4. Defina o filtro Atividade administrativa como Verdadeiro

  5. Defina as ações de Governação a serem executadas nos ficheiros quando for detetada uma violação. As ações de governação disponíveis variam entre serviços. Em Todas as aplicações, selecione Notificar utilizador, para que os seus utilizadores possam tomar medidas relativamente ao alerta e atualizar os componentes necessários CC do gestor do utilizador.

  6. Crie a política de atividade.

Detetar atividades por conta de serviço a partir de endereços IP externos

Detetar atividades da conta de serviço provenientes de endereços IP não internos. Isto pode indicar um comportamento suspeito ou uma conta comprometida.

Pré-requisitos

  • Tem de ter, pelo menos, uma aplicação ligada através de conectores de aplicações.

  • Na engrenagem Definições, selecione Intervalos de endereços IP e selecione + para adicionar intervalos de endereços IP para as sub-redes internas e respetivos endereços IP públicos de saída. Defina a Categoria como Interna.

  • Uniformize uma convenção de nomenclatura para contas de serviço no seu ambiente, por exemplo, defina todos os nomes de conta para começar com "svc".

Passos

  1. No portal do Microsoft Defender, em Aplicações na Cloud, aceda a Políticas ->Gestão de políticas. Crie uma nova política de Atividade.

  2. Defina o filtro Utilizador como Nome e , em seguida, Começa com e introduza a sua convenção de nomenclatura, como svc.

  3. Definir o endereço IP do filtro como Categoria não é igual a Outro e Empresarial.

  4. Defina as ações de Governação a serem executadas nos ficheiros quando for detetada uma violação. As ações de governação disponíveis variam entre serviços.

  5. Crie a política.

Detetar a transferência em massa (transferência de dados não autorizada)

Detetar quando um determinado utilizador acede ou transfere um grande número de ficheiros num curto espaço de tempo.

Pré-requisitos

Tem de ter, pelo menos, uma aplicação ligada através de conectores de aplicações.

Passos

  1. No portal do Microsoft Defender, em Aplicações na Cloud, aceda a Políticas ->Gestão de políticas. Crie uma nova política de Atividade.

  2. Definir os endereços IP de filtro como Etiqueta não é igual ao Microsoft Azure. Isto excluirá atividades não interativas baseadas em dispositivos.

  3. Defina o filtro Tipos de atividade iguais a e, em seguida, selecione todas as atividades de transferência relevantes.

  4. Defina as ações de Governação a serem executadas nos ficheiros quando for detetada uma violação. As ações de governação disponíveis variam entre serviços.

  5. Crie a política.

Detetar potenciais atividades de Ransomware

Deteção automática de potenciais atividades de Ransomware.

Pré-requisitos

Tem de ter, pelo menos, uma aplicação ligada através de conectores de aplicações.

Passos

  1. Esta deteção é configurada automaticamente para o alertar quando for detetado um potencial risco de ransomware. Não precisa de efetuar qualquer ação para configurar esta política. Para obter mais informações, veja Políticas de deteção de anomalias.

  2. É possível configurar o Âmbito da deteção e personalizar as ações de Governação a serem executadas quando um alerta é acionado. Para obter mais informações sobre como Defender for Cloud Apps identifica o Ransomware, consulte Proteger a sua organização contra ransomware.

Nota

Isto aplica-se ao Microsoft 365, Google Workspace, Box e Dropbox.

Detetar software maligno na cloud

Detete ficheiros que contenham software maligno nos seus ambientes na cloud ao utilizar a integração Defender for Cloud Apps com o motor de Informações Sobre Ameaças da Microsoft.

Pré-requisitos

  • Para a deteção de software maligno do Microsoft 365, tem de ter uma licença válida para Microsoft Defender para o Microsoft 365 P1.
  • Tem de ter, pelo menos, uma aplicação ligada através de conectores de aplicações.

Passos

  • Esta deteção é configurada automaticamente para o alertar quando existir um ficheiro que possa conter software maligno. Não precisa de efetuar qualquer ação para configurar esta política. Para obter mais informações, veja Políticas de deteção de anomalias.

Detetar aquisição de administrador não autorizado

Detetar atividade de administrador repetida que pode indicar intenções maliciosas.

Pré-requisitos

Tem de ter, pelo menos, uma aplicação ligada através de conectores de aplicações.

Passos

  1. No portal do Microsoft Defender, em Aplicações na Cloud, aceda a Políticas ->Gestão de políticas. Crie uma nova política de Atividade.

  2. Defina Agir comoAtividade repetida e personalize as Atividades mínimas repetidas e defina um Período de tempo para cumprir a política da sua organização..

  3. Defina o filtro Utilizador como De é igual a e selecione todo o grupo de administradores relacionado como Apenas Ator.

  4. Definir o tipo de Atividade do filtro é igual a todas as atividades relacionadas com atualizações, alterações e reposições de palavras-passe.

  5. Defina as ações de Governação a serem executadas nos ficheiros quando for detetada uma violação. As ações de governação disponíveis variam entre serviços.

  6. Crie a política.

Detetar regras suspeitas de manipulação de caixas de entrada

Se tiver sido definida uma regra de caixa de entrada suspeita na caixa de entrada de um utilizador, poderá indicar que a conta de utilizador está comprometida e que a caixa de correio está a ser utilizada para distribuir spam e software maligno na sua organização.

Pré-requisitos

  • Utilização do Microsoft Exchange para e-mail.

Passos

  • Esta deteção é configurada automaticamente para o alertar quando existir um conjunto de regras de caixa de entrada suspeita. Não precisa de efetuar qualquer ação para configurar esta política. Para obter mais informações, veja Políticas de deteção de anomalias.

Detetar credenciais com fuga

Quando os criminosos virtuais comprometem palavras-passe válidas de utilizadores legítimos, muitas vezes partilham essas credenciais. Normalmente, isto é feito ao publicá-los publicamente na dark web ou colar sites ou ao negociar ou vender as credenciais no mercado negro.

Defender for Cloud Apps utiliza as Informações sobre ameaças da Microsoft para corresponder essas credenciais às utilizadas na sua organização.

Pré-requisitos

Tem de ter, pelo menos, uma aplicação ligada através de conectores de aplicações.

Passos

Esta deteção é configurada automaticamente para o alertar quando for detetada uma possível fuga de credenciais. Não precisa de efetuar qualquer ação para configurar esta política. Para obter mais informações, veja Políticas de deteção de anomalias.

Detetar transferências de ficheiros anómalos

Detetar quando os utilizadores efetuam várias atividades de transferência de ficheiros numa única sessão, relativamente à linha de base aprendida. Isto pode indicar uma tentativa de violação.

Pré-requisitos

Tem de ter, pelo menos, uma aplicação ligada através de conectores de aplicações.

Passos

  1. Esta deteção é configurada automaticamente para o alertar quando ocorrer uma transferência anómalo. Não precisa de efetuar qualquer ação para configurar esta política. Para obter mais informações, veja Políticas de deteção de anomalias.

  2. É possível configurar o âmbito da deteção e personalizar a ação a ser executada quando um alerta é acionado.

Detetar partilhas de ficheiros anómalos por um utilizador

Detete quando os utilizadores efetuam várias atividades de partilha de ficheiros numa única sessão relativamente à linha de base aprendida, o que pode indicar uma tentativa de violação.

Pré-requisitos

Tem de ter, pelo menos, uma aplicação ligada através de conectores de aplicações.

Passos

  1. Esta deteção é configurada automaticamente para o alertar quando os utilizadores efetuam várias partilhas de ficheiros. Não precisa de efetuar qualquer ação para configurar esta política. Para obter mais informações, veja Políticas de deteção de anomalias.

  2. É possível configurar o âmbito da deteção e personalizar a ação a ser executada quando um alerta é acionado.

Detetar atividades anómalas do país/região pouco frequentes

Detetar atividades a partir de uma localização que não foi recentemente ou que nunca foi visitada pelo utilizador ou por qualquer utilizador na sua organização.

Pré-requisitos

Tem de ter, pelo menos, uma aplicação ligada através de conectores de aplicações.

Passos

  1. Esta deteção é configurada automaticamente para o alertar quando ocorre uma atividade anómalo a partir de um país/região pouco frequente. Não precisa de efetuar qualquer ação para configurar esta política. Para obter mais informações, veja Políticas de deteção de anomalias.

  2. É possível configurar o âmbito da deteção e personalizar a ação a ser executada quando um alerta é acionado.

Nota

A deteção de localizações anómalos requer um período de aprendizagem inicial de 7 dias. Durante o período de aprendizagem, Defender for Cloud Apps não gera alertas para novas localizações.

Detetar atividade realizada por um utilizador terminado

Detetar quando um utilizador que já não é um funcionário da sua organização realiza uma atividade numa aplicação aprovada. Isto pode indicar atividades maliciosas de um funcionário terminado que ainda tem acesso aos recursos empresariais.

Pré-requisitos

Tem de ter, pelo menos, uma aplicação ligada através de conectores de aplicações.

Passos

  1. Esta deteção é configurada automaticamente para o alertar quando uma atividade é efetuada por um funcionário terminado. Não precisa de efetuar qualquer ação para configurar esta política. Para obter mais informações, veja Políticas de deteção de anomalias.

  2. É possível configurar o âmbito da deteção e personalizar a ação a ser executada quando um alerta é acionado.

Passos seguintes

Se tiver algum problema, estamos aqui para ajudar. Para obter assistência ou suporte para o problema do produto, abra um pedido de suporte.