Conectar aplicativos para obter visibilidade e controle com o Microsoft Defender para Aplicativos de Nuvem
Os conectores de aplicativos usam as APIs de provedores de aplicativos para permitir maior visibilidade e controle pelo Microsoft Defender para Aplicativos de Nuvem sobre os aplicativos aos quais você se conecta.
O Microsoft Defender para Aplicativos de Nuvem aproveita as APIs fornecidas pelo provedor de nuvem. Toda a comunicação entre aplicativos do Defender para Nuvem e aplicativos conectados é criptografada usando HTTPS. Cada serviço tem a própria estrutura e limitações de API, como limitação, limites de API, janelas de API de mudança de tempo dinâmica e outros. O Microsoft Defender para Aplicativos de Nuvem trabalhou com os serviços para otimizar o uso das APIs e garantir o melhor desempenho. Levando em conta diferentes limitações que os serviços impõem às APIs, os mecanismos Defender para Aplicativos de Nuvem usam a capacidade máxima permitida. Algumas operações, como verificar todos os arquivos no locatário, exigem várias APIs para que sejam distribuídas por um período mais longo. Espere algumas que algumas políticas sejam executadas por várias horas ou vários dias.
Suporte de várias instâncias
O Defender para Aplicativos de Nuvem agora dá suporte a várias instâncias do mesmo aplicativo conectado. Por exemplo, se você tiver mais de uma instância do Salesforce (uma para venda, uma para marketing), poderá conectar as duas ao Defender para Aplicativos de Nuvem. Você pode gerenciar as diferentes instâncias no mesmo console para criar políticas granulares e uma investigação mais profunda. Esse suporte se aplica somente a aplicativos conectados por API, e não a aplicativos descobertos na nuvem ou aplicativos conectados por proxy.
Observação
Não há suporte para várias instâncias no Microsoft 365 e no Azure.
Como ele funciona
O Defender para Aplicativos de Nuvem é implantado com privilégios de administrador do sistema para permitir o acesso completo a todos os objetos em seu ambiente.
O fluxo do Conector de Aplicativos é da maneira a seguir:
O Defender para Aplicativos de Nuvem verifica e salva permissões de autenticação.
O Defender para Aplicativos de Nuvem solicita a lista de usuários. Na primeira vez que a solicitação é feita, é necessário algum tempo até que a verificação seja concluída. Depois que a verificação do usuário for encerrada, o Defender para aplicativos de nuvem continuará com as atividades e arquivos. Assim que a verificação for iniciada, algumas atividades estarão disponíveis no Defender para aplicativos de nuvem.
Após a conclusão da solicitação do usuário, o Defender para Aplicativos de Nuvem verifica periodicamente usuários, grupos, atividades e arquivos. Todas as atividades estarão disponíveis após a primeira verificação.
Essa conexão pode levar algum tempo, dependendo do tamanho do locatário, do número de usuários e do tamanho e número de arquivos que precisam ser examinados.
Dependendo do aplicativo ao qual você está se conectando, a conexão de API permite os seguintes itens:
- Dados da conta — visibilidade de usuários, contas, informações de perfil, grupos de status (suspenso, ativo, desabilitado) e privilégios.
- Trilha de auditoria — visibilidade das atividades do usuário, atividades do administrador e atividades de entrada.
- Governança de conta — capacidade de suspender usuários, revogar senhas, etc.
- Permissões de aplicativo — visibilidade dos tokens emitidos e suas permissões.
- Governança de permissão do aplicativo — capacidade de remover tokens.
- Verificação de dados — verificação de dados não estruturados usando dois processos: periodicamente (a cada 12 horas) e verificação em tempo real (disparada sempre que uma alteração é detectada).
- Governança de Dados — capacidade de colocar arquivos em quarentena, incluindo arquivos na lixeira, bem como de substituir arquivos.
As seguintes tabelas listam, por aplicativo na nuvem, quais recursos têm suporte dos conectores de aplicativos:
Observação
Como nem todos os conectores de aplicativos oferecem suporte a todos os recursos, algumas linhas podem estar vazias.
Usuários e atividades
| Aplicativo | Listar contas | Listar grupos | Listar privilégios | Atividade de logon | Atividade do usuário | Atividade administrativa |
|---|---|---|---|---|---|---|
| Asana | ✔ | ✔ | ✔ | |||
| Atlassian | ✔ | ✔ | ✔ | ✔ | ||
| AWS | ✔ | ✔ | Não aplicável | ✔ | ||
| Azure | ✔ | ✔ | ✔ | ✔ | ||
| Box | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ |
| Citrix ShareFile | ||||||
| DocuSign | Compatível com DocuSign Monitor | Compatível com DocuSign Monitor | Compatível com DocuSign Monitor | Compatível com DocuSign Monitor | ||
| Dropbox | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ |
| Egnyte | ✔ | ✔ | ✔ | ✔ | ✔ | |
| GitHub | ✔ | ✔ | ✔ | ✔ | ||
| GCP | Assunto: conexão com o Google Workspace | Assunto: conexão com o Google Workspace | Assunto: conexão com o Google Workspace | Assunto: conexão com o Google Workspace | ✔ | ✔ |
| Google Workspace | ✔ | ✔ | ✔ | ✔ | ✔ – requer o Google Business ou Enterprise | ✔ |
| Microsoft 365 | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ |
| Miro | ✔ | ✔ | ✔ | |||
| NetDocuments | ✔ | ✔ | ✔ | ✔ | ||
| Okta | ✔ | Sem suporte pelo provedor | ✔ | ✔ | ✔ | |
| OneLogin | ✔ | ✔ | ✔ | ✔ | ✔ | |
| ServiceNow | ✔ | ✔ | ✔ | ✔ | Parcial | Parcial |
| Salesforce | Com suporte com o Salesforce Shield | Com suporte com o Salesforce Shield | Com suporte com o Salesforce Shield | Com suporte com o Salesforce Shield | Com suporte com o Salesforce Shield | Com suporte com o Salesforce Shield |
| Stack | ✔ | ✔ | ✔ | ✔ | ✔ | |
| Smartsheet | ✔ | ✔ | ✔ | ✔ | ||
| Webex | ✔ | ✔ | ✔ | Sem suporte pelo provedor | ||
| Workday | ✔ | Sem suporte pelo provedor | Sem suporte pelo provedor | ✔ | ✔ | Sem suporte pelo provedor |
| Workplace by Meta | ✔ | ✔ | ✔ | ✔ | ✔ | |
| Zendesk | ✔ | ✔ | ✔ | ✔ | ✔ | |
| Zoom |
Visibilidade do usuário, da governança de aplicativos e da configuração de segurança
| Aplicativo | Governança de usuário | Exibir permissões de aplicativo | Revogar permissões de aplicativo | gerenciamento da postura de segurança no SaaS (SSPM) |
|---|---|---|---|---|
| Asana | ||||
| Atlassian | ✔ | |||
| AWS | Não aplicável | Não aplicável | ||
| Azure | Sem suporte pelo provedor | |||
| Box | ✔ | Sem suporte pelo provedor | ||
| Citrix ShareFile | ✔ | |||
| DocuSign | ✔ | |||
| Dropbox | ✔ | |||
| Egnyte | ||||
| GitHub | ✔ | ✔ | ||
| GCP | Assunto: conexão com o Google Workspace | Não aplicável | Não aplicável | |
| Google Workspace | ✔ | ✔ | ✔ | ✔ |
| Microsoft 365 | ✔ | ✔ | ✔ | ✔ |
| Miro | ||||
| NetDocuments | Visualizar | |||
| Okta | Não aplicável | Não aplicável | ✔ | |
| OneLogin | ||||
| ServiceNow | ✔ | |||
| Salesforce | ✔ | ✔ | ✔ | |
| Stack | ||||
| Smartsheet | ||||
| Webex | Não aplicável | Não aplicável | ||
| Workday | Sem suporte pelo provedor | Não aplicável | Não aplicável | |
| Workplace by Meta | Visualizar | |||
| Zendesk | ✔ | |||
| Zoom | Visualizar |
Proteção de informações
| Aplicativo | DLP - verificação periódica de lista de pendências | DLP - verificação quase em tempo real | Controle de compartilhamento | Governança de arquivos | Aplicar rótulos de confidencialidade da Proteção de Informações do Microsoft Purview |
|---|---|---|---|---|---|
| Asana | |||||
| Atlassian | |||||
| AWS | ✔ – somente descoberta de bucket do S3 | ✔ | ✔ | Não aplicável | |
| Azure | |||||
| Box | ✔ | ✔ | ✔ | ✔ | ✔ |
| Citrix ShareFile | |||||
| DocuSign | |||||
| Dropbox | ✔ | ✔ | ✔ | ✔ | |
| Egnyte | |||||
| GitHub | |||||
| GCP | Não aplicável | Não aplicável | Não aplicável | Não aplicável | Não aplicável |
| Google Workspace | ✔ | ✔ – requer Google Business Enterprise | ✔ | ✔ | ✔ |
| Okta | Não aplicável | Não aplicável | Não aplicável | Não aplicável | Não aplicável |
| Miro | |||||
| NetDocuments | |||||
| Okta | Não aplicável | Não aplicável | Não aplicável | Não aplicável | Não aplicável |
| OneLogin | |||||
| ServiceNow | ✔ | ✔ | Não aplicável | ||
| Salesforce | ✔ | ✔ | ✔ | ||
| Stack | |||||
| Smartsheet | |||||
| Webex | ✔ | ✔ | ✔ | ✔ | Não aplicável |
| Workday | Sem suporte pelo provedor | Sem suporte pelo provedor | Sem suporte pelo provedor | Sem suporte pelo provedor | Não aplicável |
| Workplace by Meta | |||||
| Zendesk | Visualizar | ||||
| Zoom |
Pré-requisitos
Ao trabalhar com o conector do Microsoft 365, você precisará de uma licença para cada serviço em que deseja exibir as recomendações de segurança. Por exemplo, para exibir as recomendações do Microsoft Forms, você precisará de uma licença que ofereça suporte ao Forms.
Em alguns aplicativos, pode ser necessário adicionar endereços IP à lista de permissões para permitir que o Defender para Aplicativos de Nuvem colete logs e forneça acesso ao console do Defender para Aplicativos de Nuvem. Para obter mais informações, confira Requisitos de rede.
Observação
Para obter atualizações quando URLs e endereços IP forem alterados, assine o RSS conforme explicado em: URLs e intervalos de endereços IP do Microsoft 365.
ExpressRoute
O Defender para Aplicativos de Nuvem é implantado no Azure e totalmente integrado ao ExpressRoute. Todas as interações com os aplicativos do Defender para Aplicativos de Nuvem e o tráfego enviado a ele, incluindo o upload de logs de descoberta, são roteados por meio do ExpressRoute para aprimorar a latência, o desempenho e a segurança. Para obter mais informações sobre o emparelhamento da Microsoft, confira Circuitos e domínios de roteamento do ExpressRoute.
Desabilitar conectores de aplicativos
Observação
- Antes de desabilitar um conector de aplicativos, verifique se tem os detalhes de conexão disponíveis, pois precisará deles se quiser reabilitar o conector.
- Essas etapas não podem ser usadas para desabilitar aplicativos do Controle de Aplicativos de Acesso Condicional e aplicativos da configuração de Segurança.
Para desabilitar aplicativos conectados:
- Na página Aplicativos conectados, na linha relevante, selecione as reticências e escolha Desabilitar conector de aplicativos.
- No pop-up, clique em Desabilitar instância do conector de aplicativos para confirmar a ação.
Uma vez desabilitada, a instância do conector deixará de consumir dados do conector.
Reabilitar conectores de aplicativos
Para reabilitar aplicativos conectados:
- Na página Aplicativos conectados, na linha relevante, selecione as reticências e escolha Editar configurações. Isso inicia o processo para adicionar um conector.
- Adicione o conector usando as etapas presentes no guia do conector de API relevante. Por exemplo, se você estiver reativando o GitHub, use as etapas em Conecte o GitHub Enterprise Cloud ao Microsoft Defender para aplicativos em nuvem.
Vídeos relacionados
Próximas etapas
Se encontrar algum problema, estamos aqui para ajudar. Para obter ajuda ou suporte para o problema do seu produto, abra um tíquete de suporte.