Política de detecção de anomalia do Cloud Discovery

  • Artigo

Este artigo fornece detalhes de referência sobre as políticas. São listadas explicações sobre cada tipo de política e os campos que podem ser configurados para cada política.

Política de detecção de anomalias do Cloud Discovery - Linha do tempo da depreciação

Desativaremos o suporte à "anomalia do Cloud Discovery" do Microsoft Defender para Aplicativos na Nuvem até julho de 2024.

Após uma análise e consideração cuidadosas, decidimos desativá-lo devido à alta taxa de falsos positivos associados a esse alerta, que descobrimos que não estava contribuindo efetivamente para a segurança geral de sua organização.

Nossa pesquisa indicou que esse recurso não estava agregando valor significativo e não estava alinhado com nosso foco estratégico em fornecer soluções de segurança confiáveis e de alta qualidade.

Estamos comprometidos em melhorar continuamente nossos serviços e garantir que eles atendam às suas necessidades e expectativas.

Para aqueles que desejam continuar usando esse alerta, sugerimos usar "Política de descoberta de aplicativos" e em "Disparar uma correspondência de política se todos os seguintes itens ocorrerem no mesmo dia" definir os filtros adequadamente.

Referência de política de detecção de anomalias do Cloud Discovery

Uma política de detecção de anomalias do Cloud Discovery permite instalar e configurar o monitoramento contínuo de aumentos incomuns no uso do aplicativo de nuvem. Aumentos de dados baixados, dados carregados, transações e usuários são considerados para cada aplicativo na nuvem. Cada aumento é comparado com o padrão de uso normal do aplicativo conforme aprendido com base no uso anterior. Os aumentos mais extremos disparam alertas de segurança.

Para cada política, é possível definir filtros que permitem monitorar seletivamente o uso do aplicativo. Os filtros incluem um filtro de aplicativo, exibições de dados selecionadas e uma data de início selecionada. Você também pode definir a sensibilidade, a qual permite definir quantos alertas a política deve disparar.

  1. No portal do Microsoft Defender, em Aplicativos de Nuvem, acesse Políticas ->Gerenciamento de políticas. Em seguida, selecione a guia Shadow IT.

  2. Clique em Criar política e selecione Política de detecção de anomalias de Cloud Discovery.

    Crie uma política do Cloud Discovery.

Isso levará você à página Criar política de detecção de anomalias do Cloud Discovery.

Para cada política, defina os seguintes parâmetros:

  1. Decida se deseja basear a política em um modelo. Um modelo de política relevante é o modelo Comportamento anormal de usuários descobertos. Ele alerta quando comportamentos anormais são detectados em usuários e aplicativos descobertos, como grandes quantidades de dados carregados em comparação com outros usuários e transações grandes de usuário em comparação com o histórico do usuário. Selecione também o modelo Comportamento anormal de endereços IP descobertos. Esse modelo alerta quando comportamentos anormais são detectados em endereços IP e aplicativos descobertos, como grandes quantidades de dados carregados em comparação com outros endereços IP e transações grandes de aplicativo em comparação com o histórico do endereço IP.

    Selecione o modelo de política.

  2. Forneça o Nome da política e Descrição.

    Selecione o nome e a descrição da política.

  3. Crie um filtro para os aplicativos que você deseja monitorar clicando em Adicionar filtro. Você pode selecionar um filtro por Tag de aplicativo, Aplicativos e domínio, Categoria, vários fatores de risco ou Pontuação de risco. Para criar filtros adicionais, selecione Adicionar um filtro.

    Selecione o filtro para aplicativos.

  4. Em Aplicar a, defina como deseja que o uso seja filtrado. O uso sendo monitorado pode ser filtrado de duas maneiras diferentes:

    • Relatórios contínuos – selecione se deseja monitorar Todos os relatórios contínuos (padrão) ou escolha Relatórios contínuos específicos a serem monitorados.

      • Ao selecionar Todos os relatórios contínuos, todo aumento no uso será comparado ao padrão de uso normal com base em todas as exibições de dados.
      • Ao selecionar Relatórios contínuos específicos, cada aumento no uso é comparado com o padrão de uso normal. O padrão é obtido na mesma exibição de dados na qual o aumento foi observado.

    • Usuários e endereços IP – todo uso de aplicativo na nuvem é associado a um usuário, um endereço IP ou ambos.

      • A seleção de Usuários ignora a associação do uso do aplicativo a endereços IP.

      • A seleção de Endereços IP ignora a associação do uso do aplicativo a usuários.

      • Selecionar Usuários e endereços IP (padrão) considera as duas associações, mas poderá produzir alertas duplicados quando houver uma forte correspondência entre usuários e endereços IP.

    • Disparar alertas apenas para atividades suspeitas que ocorrerem após a data – qualquer aumento no uso do aplicativo antes da data selecionada é ignorado. No entanto, a atividade anterior à data selecionada é obtida para estabelecer o padrão de uso normal.

      Selecione o uso a ser aplicado.

  5. Em Alertas, você pode definir a sensibilidade do alerta. Há duas maneiras de controlar o número de alertas disparados pela política:

    • O controle deslizante Selecionar a sensibilidade da detecção de anomalias – dispare alertas para as principais X atividades anômalas por 1.000 usuários por semana. Os alertas são disparados para as atividades com o maior risco.

    • Selecione Criar um alerta para cada evento correspondente com a gravidade da política para definir parâmetros adicionais para o alerta:

      • Enviar alerta como e-mail - Se você marcar essa caixa, insira os endereços de e-mail que devem receber o alerta. Um máximo de 500 mensagens de e-mail serão enviadas por endereço de e-mail, por dia (redefinindo à meia-noite no fuso horário UTC).
      • Limite diário de alertas – restrinja o número de alertas gerados em um único dia.
      • Enviar alertas para o Power Automate - Se você marcar essa caixa, poderá escolher um manual para executar ações quando um alerta for gerado.

    • Se você selecionar Salvar como configurações padrão, suas opções de Limite de alerta diário e configurações de email se tornarão as configurações padrão da sua organização. Para preencher essas configurações padrão para uma nova política, selecione Restaurar configurações padrão.

      Selecione as configurações de alerta.

  6. Selecione Criar.

  7. Como em todas as políticas, é possível Editar, Desabilitar e Habilitar a política clicando nos três pontos ao final da linha na página Políticas. Por padrão, quando você cria uma política, ela é habilitada.

Próximas etapas

Melhores práticas para proteger sua organização

Se encontrar algum problema, estamos aqui para ajudar. Para obter ajuda ou suporte para o problema do seu produto, abra um tíquete de suporte.