Políticas de proteção contra ameaças
O Defender para Aplicativos de Nuvem permite que você Identifique problemas de segurança da nuvem e do uso de alto risco, detecte comportamentos anormais de usuários e evite ameaças em seus aplicativos de nuvem sancionados. Obtenha visibilidade em atividades administrativas e de usuário e defina políticas para alertar automaticamente quando for detectado um comportamento suspeito ou atividades específicas que você considere arriscadas. Aproveite a vasta quantidade de dados de pesquisa de segurança e das informações sobre ameaças da Microsoft para garantir que seus aplicativos sancionados tenham todos os controles de segurança necessários e manter o controle sobre eles.
Observação
Ao integrar o Defender para Aplicativos de Nuvem com o Microsoft Defender para Identitdade as políticas do Defender para Identidade também aparecem na página de políticas. Para obter uma lista de políticas do Defender para Identidade, confira Alertas de segurança.
Detectar e controlar a atividade do usuário em locais desconhecidos
Detecção automática de acesso de usuário ou atividade de locais desconhecidos que nunca foram visitados por ninguém da sua organização.
Pré-requisitos
Você deve ter pelo menos um aplicativo conectado usando conectores de aplicativo ou integrado usando o Controle de Aplicativos de Acesso Condicional com controles de sessão.
Etapas
Essa detecção é configurada automaticamente pronta para uso para alertar você quando houver acesso de novos locais. Você não precisa realizar nenhuma ação para configurar essa política. Confira mais informações em Políticas de detecção de anomalias.
Detectar conta comprometida devido a uma localização impossível (viagem impossível)
Detecção automática de acesso ou atividade de usuário a partir de 2 localizações diferentes dentro de um período de tempo menor do que a duração de uma viagem entre os dois pontos.
Pré-requisitos
Você deve ter pelo menos um aplicativo conectado usando conectores de aplicativo ou integrado usando o Controle de Aplicativos de Acesso Condicional com controles de sessão.
Etapas
Essa detecção é configurada automaticamente pronta para uso para alertar você quando houver acesso de locais impossíveis. Você não precisa realizar nenhuma ação para configurar essa política. Confira mais informações em Políticas de detecção de anomalias.
Opcional: você pode personalizar políticas de detecção de anomalias:
Personalize o escopo de detecção em termos de usuários e grupos
Escolha os tipos de credenciais a serem consideradas
Defina sua preferência de confidencialidade para alertas
Crie a política de detecção de anomalias.
Detectar atividades suspeitas de um funcionário "em licença"
Detecte quando um usuário, que está em licença não remunerada e não deve estar ativo em nenhum recurso organizacional, está acessando qualquer um dos recursos de nuvem da sua organização.
Pré-requisitos
É necessário ter pelo menos um aplicativo conectado usando conectores de aplicativo.
Crie um grupo de segurança no Microsoft Entra ID para os usuários em licença não remunerada e adicione todos os usuários que deseja monitorar.
Etapas
Na tela Grupos de usuários, selecione Criar grupo de usuários e importe o grupo relevante do Microsoft Entra.
No portal do Microsoft Defender, em Aplicativos de Nuvem, acesse Políticas ->Gerenciamento de políticas. Crie uma Política de atividades.
Defina o filtro Grupo de usuários igual ao nome dos grupos de usuários criados no Microsoft Entra ID para os usuários de licença não remunerada.
Opcional: defina as ações de Governança a serem executadas nos arquivos quando uma violação for detectada. As ações de governança disponíveis variam entre os serviços. Você pode escolher Suspender usuário.
Crie a política de arquivos.
Detectar e notificar quando um sistema operacional de navegador desatualizado é usado
Detecte quando um usuário estiver usando um navegador com uma versão de cliente desatualizada que pode representar riscos de conformidade ou segurança para a organização.
Pré-requisitos
Você deve ter pelo menos um aplicativo conectado usando conectores de aplicativo ou integrado usando o Controle de Aplicativos de Acesso Condicional com controles de sessão.
Etapas
No portal do Microsoft Defender, em Aplicativos de Nuvem, acesse Políticas ->Gerenciamento de políticas. Crie uma Política de atividades.
Defina o filtro Tag do agente de usuário igual a Navegador desatualizado e Sistema operacional desatualizado.
Defina as ações de Governança a serem executadas nos arquivos quando uma violação for detectada. As ações de governança disponíveis variam entre os serviços. Em Todos os aplicativos, selecione Notificar usuário, para que os usuários possam agir com base no alerta e atualizar os componentes necessários.
Crie a política de atividade.
Detectar e alertar quando for detectada atividade de administrador em endereços IP arriscados
Detecte atividades de administrador executadas a partir de um endereço IP considerado arriscado e notifique o administrador do sistema para uma investigação mais aprofundada ou defina uma ação de governança na conta do administrador.
Pré-requisitos
É necessário ter pelo menos um aplicativo conectado usando conectores de aplicativo.
Na engrenagem de Configurações, selecione Intervalos de endereços IP e selecione + para adicionar intervalos de endereços IP para suas sub-redes internas e seus endereços IP públicos de saída. Defina a Categoria como Interna.
Etapas
No portal do Microsoft Defender, em Aplicativos de Nuvem, acesse Políticas ->Gerenciamento de políticas. Crie uma Política de atividades.
Defina Agir sobre como Atividade única.
Defina o filtro Endereço IP como Categoria igual a Risco
Defina o filtro Atividade administrativa como True
Defina as ações de Governança a serem executadas nos arquivos quando uma violação for detectada. As ações de governança disponíveis variam entre os serviços. Em Todos os aplicativos, selecione Notificar usuário, para que os usuários possam agir com base no alerta e atualizar os componentes necessários com cópia para o gerente do usuário.
Crie a política de atividade.
Detectar atividades por conta de serviço de endereços IP externos
Detecte atividades de conta de serviço originadas de endereços IP que não sejam internos. Isso pode indicar um comportamento suspeito ou uma conta comprometida.
Pré-requisitos
É necessário ter pelo menos um aplicativo conectado usando conectores de aplicativo.
Na engrenagem de Configurações, selecione Intervalos de endereços IP e selecione + para adicionar intervalos de endereços IP para suas sub-redes internas e seus endereços IP públicos de saída. Defina a Categoria como Interna.
Padronize uma convenção de nomenclatura para contas de serviço em seu ambiente, por exemplo, defina que todos os nomes de conta começam com "svc".
Etapas
No portal do Microsoft Defender, em Aplicativos de Nuvem, acesse Políticas ->Gerenciamento de políticas. Crie uma Política de atividades.
Defina o filtro Usuário como Nome e, em seguida, Começa com e insira sua convenção de nomenclatura, como svc.
Defina o filtro Endereço IP como Categoria diferente de Outro e Corporativo.
Defina as ações de Governança a serem executadas nos arquivos quando uma violação for detectada. As ações de governança disponíveis variam entre os serviços.
Crie a política.
Detectar download em massa (exfiltração dos dados)
Detecte quando um usuário baixar ou acessar um grande número de arquivos em um curto período.
Pré-requisitos
Você deve ter pelo menos um aplicativo conectado usando conectores de aplicativo ou integrado usando o Controle de Aplicativos de Acesso Condicional com controles de sessão.
Etapas
No portal do Microsoft Defender, em Aplicativos de Nuvem, acesse Políticas ->Gerenciamento de políticas. Crie uma Política de atividades.
Defina o filtro Endereços IP como Tag diferente do Microsoft Azure. Isso excluirá atividades não interativas baseadas em dispositivos.
Defina o filtro Tipos de atividade como igual a e selecione todas as atividades de download relevantes.
Defina as ações de Governança a serem executadas nos arquivos quando uma violação for detectada. As ações de governança disponíveis variam entre os serviços.
Crie a política.
Detectar possível atividade de ransomware
Detecção automática de possível atividade de ransomware.
Pré-requisitos
É necessário ter pelo menos um aplicativo conectado usando conectores de aplicativo.
Etapas
Essa detecção é configurada automaticamente pronta para uso para alertar você quando houver um risco potencial de ransomware detectado. Você não precisa realizar nenhuma ação para configurar essa política. Confira mais informações em Políticas de detecção de anomalias.
É possível configurar o Escopo da detecção e personalizar as ações de Governança a serem realizadas quando um alerta é disparado. Para obter mais informações sobre como o Defender para Aplicativos de Nuvem identifica ransomware, confira Proteger sua organização contra ransomware.
Observação
Isso se aplica ao Microsoft 365, ao Google Workspace, ao Box e ao Dropbox.
Detectar malware na nuvem
Detecte arquivos contendo malware em seus ambientes de nuvem utilizando a integração do Defender para Aplicativos de Nuvem com o mecanismo de Informações sobre ameaças da Microsoft.
Pré-requisitos
- Para detecção de malware do Microsoft 365, é necessário ter uma licença válida do Microsoft Defender para Microsoft 365 P1.
- É necessário ter pelo menos um aplicativo conectado usando conectores de aplicativo.
Etapas
- Essa detecção é configurada automaticamente pronta para uso para alertar você quando houver um arquivo que possa conter malware. Você não precisa realizar nenhuma ação para configurar essa política. Confira mais informações em Políticas de detecção de anomalias.
Detectar posse de administrador nocivo
Detecte repetições de atividades de administrador que possam indicar intenções maliciosas.
Pré-requisitos
É necessário ter pelo menos um aplicativo conectado usando conectores de aplicativo.
Etapas
No portal do Microsoft Defender, em Aplicativos de Nuvem, acesse Políticas ->Gerenciamento de políticas. Crie uma Política de atividades.
Defina Agir sobre como Atividade repetida, personalize o Mínimo de atividades repetidas e defina um Período para estar em conformidade com a política da organização..
Defina o filtro Usuário como Do grupo igual a e selecione todos os grupos de administradores relacionados como Somente ator.
Defina o filtro Tipo de atividade como igual a todas as atividades relacionadas a atualizações, alterações e redefinições de senha.
Defina as ações de Governança a serem executadas nos arquivos quando uma violação for detectada. As ações de governança disponíveis variam entre os serviços.
Crie a política.
Detectar regras de manipulação suspeita da caixa de entrada
Se uma regra de caixa de entrada suspeita foi definida na caixa de entrada de um usuário, isso pode indicar que a conta de usuário está comprometida e que o email está sendo usado para distribuir spam e malware na organização.
Pré-requisitos
- Uso do Microsoft Exchange para email.
Etapas
- Essa detecção é configurada automaticamente pronta para uso para alertar você quando houver um conjunto de regras de caixa de entrada suspeito. Você não precisa realizar nenhuma ação para configurar essa política. Confira mais informações em Políticas de detecção de anomalias.
Detectar credenciais vazadas
Quando criminosos cibernéticos comprometem senhas válidas de usuários legítimos, geralmente compartilham essas credenciais. Geralmente, isso é feito postando-as publicamente na dark Web ou em paste sites, ou então permutando-as ou vendendo-as no mercado negro.
O Defender para Aplicativos de Nuvem utiliza as Informações sobre ameaças da Microsoft para corresponder essas credenciais às usadas dentro da organização.
Pré-requisitos
É necessário ter pelo menos um aplicativo conectado usando conectores de aplicativo.
Etapas
Essa detecção é configurada automaticamente e está pronta para alertar você quando um possível vazamento de credenciais for detectado. Você não precisa realizar nenhuma ação para configurar essa política. Confira mais informações em Políticas de detecção de anomalias.
Detectar downloads de arquivos anômalos
Detecte quando os usuários executarem várias atividades de download de arquivos em uma única sessão, em relação à linha de base aprendida. Isso pode indicar uma tentativa de violação.
Pré-requisitos
Você deve ter pelo menos um aplicativo conectado usando conectores de aplicativo ou integrado usando o Controle de Aplicativos de Acesso Condicional com controles de sessão.
Etapas
Essa detecção é configurada automaticamente e está pronta para alertar você quando ocorrer um download anômalo. Você não precisa realizar nenhuma ação para configurar essa política. Confira mais informações em Políticas de detecção de anomalias.
É possível configurar o escopo da detecção e personalizar a ação de Governança a ser realizada quando um alerta é disparado.
Detectar compartilhamentos de arquivos anômalos feitos por um usuário
Detecte quando os usuários executarem várias atividades de compartilhamento de arquivos em uma única sessão em relação à linha de base aprendida, o que pode indicar uma tentativa de violação.
Pré-requisitos
Você deve ter pelo menos um aplicativo conectado usando conectores de aplicativo ou integrado usando o Controle de Aplicativos de Acesso Condicional com controles de sessão.
Etapas
Essa detecção é configurada automaticamente e está pronta para alertar você quando os usuários realizarem vários compartilhamentos de arquivos. Você não precisa realizar nenhuma ação para configurar essa política. Confira mais informações em Políticas de detecção de anomalias.
É possível configurar o escopo da detecção e personalizar a ação de Governança a ser realizada quando um alerta é disparado.
Detectar atividades anômalas originadas em país/região pouco frequente
Detecte atividades de um local que não foi visitado recentemente ou nunca foi visitado pelo usuário ou por qualquer usuário em sua organização.
Pré-requisitos
Você deve ter pelo menos um aplicativo conectado usando conectores de aplicativo ou integrado usando o Controle de Aplicativos de Acesso Condicional com controles de sessão.
Etapas
Essa detecção é configurada automaticamente e está pronta para alertar você quando ocorrer uma atividade anômala de um país/região pouco frequente. Você não precisa realizar nenhuma ação para configurar essa política. Confira mais informações em Políticas de detecção de anomalias.
É possível configurar o escopo da detecção e personalizar a ação de Governança a ser realizada quando um alerta é disparado.
Observação
A detecção de localizações anômalas requer um período inicial de aprendizado de sete dias. Durante o período de aprendizado, o Defender para Aplicativos de Nuvem não gera alertas para novas localizações.
Detectar atividade realizada por um usuário desligado
Detecte quando um usuário que já não trabalha na organização executa uma atividade em um aplicativo sancionado. Isso pode indicar atividade maliciosa de um funcionário desligado que ainda tem acesso a recursos corporativos.
Pré-requisitos
É necessário ter pelo menos um aplicativo conectado usando conectores de aplicativo.
Etapas
Essa detecção é configurada automaticamente e está pronta para alertar você quando uma atividade for executada por um funcionário desligado. Você não precisa realizar nenhuma ação para configurar essa política. Confira mais informações em Políticas de detecção de anomalias.
É possível configurar o escopo da detecção e personalizar a ação de Governança a ser realizada quando um alerta é disparado.
Próximas etapas
Se encontrar algum problema, estamos aqui para ajudar. Para obter ajuda ou suporte para o problema do seu produto, abra um tíquete de suporte.
Comentários
Em breve: Ao longo de 2024, eliminaremos os problemas do GitHub como o mecanismo de comentários para conteúdo e o substituiremos por um novo sistema de comentários. Para obter mais informações, consulte https://aka.ms/ContentUserFeedback.
Enviar e exibir comentários de