Compartilhar via

Investigar riscos de aplicativos na nuvem e atividades suspeitas

  • Artigo

Depois que o Microsoft Defender para Aplicativos de Nuvem for executado no ambiente de nuvem, você precisará de uma etapa de aprendizado e investigação. Saiba como usar as ferramentas do Microsoft Defender para Aplicativos de Nuvem para compreender melhor o que está acontecendo no seu ambiente de nuvem. De acordo com seu ambiente específico e como ele está sendo usado, você pode identificar os requisitos para proteger sua organização contra riscos. Este artigo descreve como fazer uma investigação para obter uma melhor compreensão sobre seu ambiente de nuvem.

Marcar aplicativos como sancionados ou não sancionados

Uma etapa importante para entender sua nuvem é marcar os aplicativos como sancionados ou não sancionados. Depois de sancionar um aplicativo, você poderá filtrar pelos aplicativos que não estão sancionados e iniciar a migração para aplicativos sancionadas do mesmo tipo.

  • No portal do Microsoft Defender, em Aplicativos na Nuvem, acesse o Catálogo de aplicativos na nuvem ou Cloud Discovery - >Aplicativos descobertos.

  • Na lista de aplicativos, na linha em que o aplicativo que deseja marcar como sancionado é exibido, selecione as reticências no final da linha Tag as sanctioned dots. e escolha Sancionado.

    Tag as sanctioned.

Usar as ferramentas de investigação

  1. No portal do Microsoft Defender, em Aplicativos na Nuvem, acesse o Log de atividades e filtre por um aplicativo específico. Verifique os seguintes itens:

    • Quem está acessando o seu ambiente de nuvem?

    • De quais intervalos de IP?

    • O que é a atividade do administrador?

    • De quais locais os administradores estão se conectando?

    • Existem quaisquer dispositivos desatualizados se conectando ao seu ambiente de nuvem?

    • Logons com falha estão partindo de endereços IP esperados?

  2. No portal do Microsoft Defender, em Aplicativos na Nuvem, acesse Arquivos e verifique os seguintes itens:

    • Quantos arquivos são compartilhados publicamente para que qualquer pessoa possa acessá-los sem um link?

    • Com quais parceiros você está compartilhando arquivos (compartilhamento de saída)?

    • Algum arquivo tem um nome sigiloso?

    • Qualquer um dos arquivos está sendo compartilhado com a conta pessoal de outra pessoa?

  3. No portal do Microsoft Defender, acesse Identidades e verifique os seguintes itens:

    • Alguma conta esteve inativa em um determinado serviço por muito tempo? Talvez você precise revogar a licença desse usuário para esse serviço.

    • Você deseja saber quais usuários têm uma função específica?

    • Alguém foi demitido, mas ainda tem acesso a um aplicativo e pode usar esse acesso para roubar informações?

    • Você deseja revogar a permissão de um usuário a um aplicativo específico ou exigir que um usuário específico use a autenticação multifator?

    • Faça uma busca detalhada na conta do usuário selecionando os três pontos no final da linha da conta do usuário e selecionando uma ação a ser executada. Execute uma ação, como Suspender usuário ou Remover colaborações do usuário. Se o usuário foi importado do Microsoft Entra ID, você também pode selecionar as configurações da conta do Microsoft Entra para obter acesso fácil aos recursos avançados de gerenciamento de usuários. Exemplos de recursos de gerenciamento incluem gerenciamento de grupo, MFA, detalhes sobre as entradas do usuário e a capacidade de bloquear a entrada.

  4. No portal do Microsoft Defender, selecione Configurações. Em seguida, escolha Aplicativos de Nuvem. Em Aplicativos Conectados, selecione Conectores de aplicativos e escolha um aplicativo. O painel do aplicativo se abre e fornece informações e insights. Você pode usar as guias na parte superior para verificar:

    • Que tipo de dispositivos seus usuários estão usando para se conectar ao aplicativo?

    • Quais tipos de arquivos eles estão salvando na nuvem?

    • Que atividade está acontecendo no aplicativo agora?

    • Há algum aplicativo de terceiros conectado ao seu ambiente?

    • Você estiver familiarizado com esses aplicativos?

    • Eles estão autorizados para o nível de acesso para o qual têm permissão?

    • Quantos usuários o implantaram? Quão comuns são esses aplicativos em geral?

    App dashboard.

  5. No portal do Microsoft Defender, em Aplicativos na Nuvem, acesse Cloud Discovery. Selecione a guia Painel e verifique os seguintes itens:

    • Quais aplicativos de nuvem estão sendo usados, até que ponto e por quais usuários?

    • Para quais fins eles estão sendo usados?

    • Quantos dados estão sendo carregados nesses aplicativos de nuvem?

    • Em quais categorias você tem aplicativos de nuvem sancionados e, ainda assim, os usuários estão usando soluções alternativas?

    • Para a solução alternativa, deseja cancelar a sanção para algum aplicativo de nuvem na sua organização?

    • Há aplicativos de nuvem que são usados, mas não estão em conformidade com a política da sua organização?

Investigação de amostra

Digamos que você supõe que não há nenhum acesso ao seu ambiente de nuvem por endereços IP de risco. Por exemplo, suponhamos o Tor. Mas você cria uma política de IP arriscado para garantir:

  1. No portal do Microsoft Defender, em Aplicativos na Nuvem, acesse Políticas ->Modelos de política.

  2. Escolha a Política de atividade para o Tipo.

  3. No final da linha Logon de um endereço IP de risco, escolha o sinal de adição (+) para criar uma política.

  4. Altere o nome da política para poder identificá-lo.

  5. Em Atividades que correspondem a todos os seguintes, escolha + para adicionar um filtro. Role a página para baixo até Marca de IP e, em seguida, escolha Tor.

    Example policy for risky IPs.

Agora que a política está em vigor, você descobre que há um alerta de que a política foi violada.

  1. No Portal do Microsoft Defender, vá para Incidentes & alertas -Alertas e> exiba o alerta sobre a violação da política.

  2. Se você notar que essa parece uma violação real, contenha ou corrija o risco.

    Para conter o risco, você pode enviar uma notificação para o usuário para perguntar se a violação foi intencional e se o usuário estava ciente dela.

    Você também pode detalhar o alerta e suspender o usuário até que possa descobrir o que precisa ser feito.

  3. Se for um evento permitido que provavelmente não ocorrerá novamente, você poderá ignorar o alerta.

    Se for permitido e esperar-se que ocorra novamente, você poderá modificar a política para evitar que esse tipo de evento seja considerado uma violação no futuro.

Próximas etapas

Se você tiver algum problema, estamos aqui para ajudar. Para obter ajuda ou suporte para o problema do seu produto, abra um tíquete de suporte.