Trabalhando com aplicativos descobertos

Observação

  • Renomeamos Microsoft Cloud App Security. Agora se chama Microsoft Defender para Aplicativos de Nuvem. Nas próximas semanas, atualizaremos as capturas de tela e as instruções aqui e nas páginas relacionadas. Para obter mais informações sobre a alteração, consulte este comunicado. Para saber mais sobre a renomeação recente dos serviços de segurança da Microsoft, consulte o blog segurança do Microsoft Ignite.

  • Microsoft Defender para Aplicativos de Nuvem agora faz parte do Microsoft 365 Defender. O portal Microsoft 365 Defender permite que os administradores de segurança executem suas tarefas de segurança em um único local. Isso simplificará os fluxos de trabalho e adicionará a funcionalidade dos outros serviços de Microsoft 365 Defender. Microsoft 365 Defender será a casa para monitorar e gerenciar a segurança em suas identidades, dados, dispositivos, aplicativos e infraestrutura da Microsoft. Para obter mais informações sobre essas alterações, consulte Microsoft Defender para Aplicativos de Nuvem no Microsoft 365 Defender.

O painel do Cloud Discovery foi projetado para fornecer mais informações sobre como os aplicativos de nuvem estão sendo usados na sua organização. Ele fornece uma visão geral de quais tipos de aplicativos estão sendo usados, seus alertas abertos e os níveis de risco de aplicativos em sua organização. Ele também mostra quem são os principais usuários do aplicativo e fornece um mapa do local da Matriz de Aplicativo. O Painel do Cloud Discovery tem muitas opções para filtrar os dados. A filtragem permite que você gere exibições específicas dependendo do que você está mais interessado usando gráficos de fácil compreensão para apresentar o panorama completo em uma visão geral. Para obter mais informações, consulte Filtros de aplicativo descobertos.

painel de descoberta de nuvem.

Examinar o Painel do Cloud Discovery

A primeira coisa que você deve fazer para obter uma visão geral de seus aplicativos do Cloud Discovery é examinar as seguintes informações no Painel do Cloud Discovery:

  1. Primeiro, examine o uso geral do aplicativo de nuvem em sua organização na visão geral de uso de alto nível.

  2. Em seguida, aprofunde um nível para ver quais são as principais categorias usadas em sua organização para cada um dos diferentes parâmetros de uso. Você pode ver quanto desse uso é por aplicativos sancionados.

  3. Vá ainda mais fundo e veja todos os aplicativos em uma categoria específica na guia Aplicativos Descobertos .

  4. Você pode ver os principais usuários e endereços IP de origem para identificar quais usuários são os usuários mais dominantes dos aplicativos de nuvem em sua organização.

  5. Verifique como os aplicativos descobertos se espalham de acordo com a localização geográfica (de acordo com seu QG) no mapa da Sede do Aplicativo.

  6. Por fim, não se esqueça de examinar a pontuação de risco do aplicativo descoberto na visão geral de risco do aplicativo. Verifique o status dos alertas de descoberta para ver quantos alertas abertos você deve investigar.

Aprofundar-se nos aplicativos Descobertos

Se você deseja aprofundar-se ainda mais nos dados que o Cloud Discovery fornece, use os filtros para examinar quais aplicativos são arriscados e quais são usados com frequência.

Por exemplo, se você quiser identificar aplicativos de colaboração e de armazenamento de nuvem arriscados usados com frequência, poderá usar a página de aplicativos Descobertos para os aplicativos que você deseja filtrar. Então você pode cancelar a sanção ou bloqueá-los da seguinte maneira:

  1. Na página Aplicativos descobertos, em Procurar por categoria, selecione Armazenamento em nuvem e Colaboração.

  2. Em seguida, use os filtros Avançados e defina Fator de risco de conformidade como SOC 2 é igual a False

  3. Para uso, defina os usuários como maiores que 50 usuários e o uso de transações para maior que 100.

  4. Defina o Fator de risco de segurança como Criptografia de dados em repouso é igual a Não tem suporte. Em seguida, defina Pontuação de risco como igual a 6 ou menos.

Filtros de aplicativo descobertos.

Depois que os resultados são filtrados, você pode cancelar a sanção e bloqueá-los usando a caixa de seleção de ação em massa para cancelar a sanção de todos eles em uma ação só. Depois que eles tiverem a sanção cancelada, você poderá usar um script de bloqueio para impedir que sejam usados em seu ambiente.

O Cloud Discovery permite que você se aprofunde ainda mais no uso da nuvem da sua organização. Identifique instâncias específicas que estão em uso investigando os subdomínios descobertos.

Por exemplo, você pode diferenciar entre os diferentes sites do SharePoint.

Isso tem suporte apenas em firewalls e proxies que contêm dados de URL de destino. Para obter informações, confira a lista de dispositivos compatíveis em Proxies e firewalls compatíveis.

Filtro de subdomínio.

Descubra recursos e aplicativos personalizados

O Cloud Discovery também permite que você aprofunde-se em seus recursos de IaaS e PaaS. Você pode descobrir atividades em suas plataformas de hospedagem de recursos, exibindo o acesso aos dados em seus recursos e aplicativos auto-hospedados, incluindo contas de armazenamento, infraestrutura e aplicativos personalizados hospedados no Azure, Google Cloud Platform e AWS. Não apenas você pode ver o uso geral em suas soluções de IaaS, mas você pode obter visibilidade dos recursos específicos que são hospedados em cada uma delas e também do uso geral dos recursos, a fim de ajudar a atenuar o risco de acordo com o recurso.

Por exemplo, no Defender para Aplicativos de Nuvem, você pode monitorar atividades como se muitos dados forem carregados, você pode descobrir em qual recurso ele é carregado e fazer drill down para ver quem executou a atividade.

Observação

Isso tem suporte apenas em firewalls e proxies que contêm dados de URL de destino. Para obter informações, confira a lista de dispositivos compatíveis em Proxies e firewalls compatíveis.

Para exibir os recursos descobertos:

  1. No portal do Defender para Aplicativos de Nuvem, selecione Descobrir e, em seguida , recursos descobertos.

    Menu de recursos descobertos.

  2. Na página de recursos descobertos, você pode fazer drill down em cada recurso para ver quais tipos de transações ocorreram, quem as acessou e, em seguida, fazer drill down para investigar ainda mais os usuários.

    Recursos de descoberta.

  3. Para aplicativos personalizados, você pode selecionar os três botões no final da linha e escolher Adicionar aplicativo personalizado. Isso abrirá a janela Adicionar aplicativo personalizado que permite que você nomeie e identifique o aplicativo para que ele possa ser incluído no painel do Cloud Discovery.

Gerar relatório executivo do Cloud Discovery

A melhor maneira de obter uma visão geral do uso de Shadow IT na organização é gerando um relatório executivo do Cloud Discovery. Este relatório identifica os principais riscos potenciais e ajuda você a planejar um fluxo de trabalho para atenuar e gerenciar os riscos até que eles sejam resolvidos.

Para gerar um relatório executivo do Cloud Discovery:

  1. No painel do Cloud Discovery, selecione os três pontos no canto superior direito do painel e escolha Gerar relatório executivo do Cloud Discovery.

  2. Opcionalmente, altere o nome do relatório.

  3. Selecione Gerar.

Excluir entidades

Se você tiver usuários do sistema, endereços IP ou dispositivos barulhentos, mas desinteressantes ou entidades que não devem ser apresentados nos relatórios de TI sombra, talvez você queira excluir seus dados dos dados do Cloud Discovery analisados. Por exemplo, talvez você queira excluir todas as informações provenientes de um host local.

Para criar uma exclusão:

  1. No portal, no ícone de configurações, selecione Configurações.

  2. Em Cloud Discovery, selecione a guia Excluir entidades .

  3. Escolha os usuários excluídos, grupos de usuários, endereços IP ou a guia Dispositivos Excluídos e selecione o + botão para adicionar sua exclusão.

  4. Adicione um alias de usuário, endereço IP ou nome do dispositivo. É recomendável adicionar informações sobre por que a exclusão foi feita.

    excluir usuário.

Observação

Qualquer exclusão de entidade se aplica aos dados recém-recebidos. Os dados históricos das entidades excluídas permanecerão durante o período de retenção (90 dias).

Gerenciar relatórios contínuos

Relatórios contínuos personalizados fornecem maior granularidade ao monitorar os dados de log do Cloud Discovery da sua organização. Ao criar relatórios personalizados, é possível filtrar em locais geográficos específicos, redes e sites ou unidades organizacionais. Por padrão, somente os relatórios a seguir aparecem no seu seletor de relatório do Cloud Discovery:

  • O Relatório global consolida todas as informações no portal de todas as fontes de dados incluídas em seus logs. O relatório global não inclui dados de Microsoft Defender para Ponto de Extremidade.

  • O Relatório específico de fonte de dados mostra apenas informações para uma fonte de dados específica.

Para criar um novo relatório contínuo:

  1. No portal, no ícone de configurações, selecione Configurações.

  2. Em Cloud Discovery, selecione Relatório contínuo.

  3. Selecione o botão Criar relatório .

  4. Insira um nome de relatório.

  5. Selecione as fontes de dados que você deseja incluir.

  6. Defina os filtros que você deseja nos dados. Esses filtros podem ser grupos de usuários, marcas de endereço IP ou intervalos de endereços IP. Para obter mais informações sobre como trabalhar com marcas de endereço IP e intervalos de endereço IP, consulte Organizar os dados de acordo com suas necessidades.

    criar um relatório contínuo personalizado.

Observação

Todos os relatórios personalizados são limitados a no máximo 1 GB de dados não compactados. Se houver mais de 1 GB de dados, o primeiro GB de dados será exportado para o relatório.

Excluindo dados do Cloud Discovery

Há uma série de motivos pelos quais você pode desejar excluir seus dados do Cloud Discovery. É recomendável exclui-los nos seguintes casos:

  • Se você carregou os arquivos de log manualmente e passou muito tempo antes de atualizar o sistema com novos arquivos de log e você não deseja dados antigos afetando os resultados.

  • Quando você define uma nova exibição de dados personalizada, ela será aplicada somente aos novos dados desse ponto em diante. Portanto, você talvez queira apagar os dados antigos e, em seguida, carregar seus arquivos de log novamente para habilitar a exibição de dados personalizada para escolher eventos nos dados do arquivo de log.

  • Se vários usuários ou endereços IP tiverem começado a funcionar de novo recentemente após ficarem um período offline, sua atividade será identificada como anômala e poderá gerar violações falso-positivas.

Para excluir os dados do Cloud Discovery:

  1. No portal, no ícone de configurações, selecione Configurações.

  2. Em Cloud Discovery, selecione a guia Excluir dados .

    É importante ter certeza de que deseja excluir os dados antes de continuar. Isso não poderá ser desfeito e excluirá todos os dados do Cloud Discovery no sistema.

  3. Selecione o botão Excluir.

    excluir dados.

    Observação

    O processo de exclusão leva alguns minutos e não é imediato.

Próximas etapas