Pilote e implemente o Microsoft Defender para Aplicações na Cloud
Aplica-se a:
- Microsoft Defender XDR
Este artigo fornece um fluxo de trabalho para a pilotagem e implementação do Microsoft Defender para Aplicações na Cloud na sua organização. Pode utilizar estas recomendações para integrar o Microsoft Defender para Cloud Apps como uma ferramenta de cibersegurança individual ou como parte de uma solução ponto a ponto com o Microsoft Defender XDR.
Este artigo pressupõe que tem um inquilino do Microsoft 365 de produção e está a testar e implementar o Microsoft Defender para Cloud Apps neste ambiente. Esta prática irá manter todas as definições e personalizações que configurar durante o piloto para a sua implementação completa.
O Defender para Office 365 contribui para uma arquitetura de Confiança Zero, ajudando a evitar ou reduzir os danos empresariais causados por uma falha de segurança. Para obter mais informações, veja Prevent or reduce business damage from a breach business scenario in the Microsoft Zero Trust adoption framework (Evitar ou reduzir danos comerciais de um cenário de negócio de falha de segurança) no microsoft Zero Trust adoption framework (Arquitetura de adoção da Confiança Zero da Microsoft).
Implementação ponto a ponto para o Microsoft Defender XDR
Este é o artigo 5 de 6 de uma série para o ajudar a implementar os componentes do Microsoft Defender XDR, incluindo investigar e responder a incidentes.
Artigos nesta série:
| Fase | Link |
|---|---|
| A. Iniciar o piloto | Iniciar o piloto |
| B. Pilote e implemente componentes XDR do Microsoft Defender | - Pilote e implemente o Defender para Identidade - Pilote e implemente o Defender para Office 365 - Pilote e implemente o Defender para Endpoint - Pilote e implemente o Microsoft Defender para Aplicações na Cloud (este artigo) |
| C. Investigar e responder às ameaças | Praticar a investigação e resposta a incidentes |
Testar e implementar o fluxo de trabalho do Defender para Aplicações na Cloud
O diagrama seguinte ilustra um processo comum para implementar um produto ou serviço num ambiente de TI.
Comece por avaliar o produto ou serviço e como irá funcionar na sua organização. Em seguida, vai testar o produto ou serviço com um subconjunto convenientemente pequeno da sua infraestrutura de produção para testes, aprendizagem e personalização. Em seguida, aumente gradualmente o âmbito da implementação até que toda a sua infraestrutura ou organização seja abrangida.
Eis o fluxo de trabalho para testar e implementar o Defender para Cloud Apps no seu ambiente de produção.
Siga estas etapas:
- Ligar ao portal do Defender para Aplicações na Cloud
- Integrar com o Microsoft Defender para Endpoint
- Implementar o recoletor de registos nas firewalls e noutros proxies
- Criar um grupo piloto
- Descobrir e gerir aplicações na cloud
- Configurar o Controlo de Aplicações de Acesso Condicional
- Aplicar políticas de sessão a aplicações na cloud
- Experimentar capacidades adicionais
Eis os passos recomendados para cada fase de implementação.
| Fase de implementação | Descrição |
|---|---|
| Avaliar | Efetue a avaliação do produto para o Defender para Aplicações na Cloud. |
| Piloto | Execute os Passos 1 a 4 e, em seguida, 5-8 para um subconjunto adequado de aplicações na cloud no seu ambiente de produção. |
| Implantação completa | Execute os Passos 5 a 8 para as restantes aplicações na cloud, ajustando o âmbito dos grupos de utilizadores piloto ou adicionando grupos de utilizadores para expandir para além do piloto e incluir todas as suas contas de utilizador. |
Proteger a sua organização contra hackers
O Defender para Cloud Apps fornece uma proteção avançada por si só. No entanto, quando combinado com as outras capacidades do Microsoft Defender XDR, o Defender para Cloud Apps fornece dados para os sinais partilhados que, em conjunto, ajudam a parar os ataques.
Eis um exemplo de um ciberataque e como os componentes do Microsoft Defender XDR ajudam a detetá-lo e a mitigá-lo.
O Defender para Cloud Apps deteta comportamentos anómalos, como viagens impossíveis, acesso a credenciais e transferência invulgar, partilha de ficheiros ou atividade de reencaminhamento de correio e apresenta estes comportamentos no portal do Defender para Cloud Apps. O Defender para Cloud Apps também ajuda a impedir movimentos laterais por hackers e a transferência de dados confidenciais.
O Microsoft Defender XDR correlaciona os sinais de todos os componentes do Microsoft Defender para fornecer a história completa do ataque.
Função do Defender para Cloud Apps como CASB
Um mediador de segurança de acesso à cloud (CASB) atua como um controlador de chamadas para mediar o acesso em tempo real entre os utilizadores da sua empresa e os recursos da cloud que utilizam, onde quer que os seus utilizadores estejam localizados e independentemente do dispositivo que estejam a utilizar. O Defender para Cloud Apps é um CASB para as aplicações na cloud da sua organização. O Defender para Cloud Apps integra-se nativamente com as capacidades de segurança da Microsoft, incluindo o Microsoft Defender XDR.
Sem o Defender para Cloud Apps, as aplicações na cloud utilizadas pela sua organização não são geridas e desprotegidas.
Na ilustração:
- A utilização de aplicações na cloud por uma organização não é monitorizada e desprotegida.
- Esta utilização está fora das proteções obtidas numa organização gerida.
Para descobrir as aplicações na cloud utilizadas no seu ambiente, pode implementar um ou ambos os seguintes métodos:
- Comece a trabalhar rapidamente com a Cloud Discovery ao integrar com o Microsoft Defender para Endpoint. Esta integração nativa permite-lhe começar imediatamente a recolher dados sobre o tráfego na nuvem nos seus dispositivos Windows 10 e Windows 11, dentro e fora da sua rede.
- Para detetar todas as aplicações na cloud acedidas por todos os dispositivos ligados à sua rede, implemente o recoletor de registos do Defender para Cloud Apps nas firewalls e noutros proxies. Esta implementação ajuda a recolher dados dos seus pontos finais e envia-os para o Defender para Cloud Apps para análise. O Defender para Cloud Apps integra-se nativamente com alguns proxies de terceiros para obter ainda mais capacidades.
Este artigo inclui orientações para ambos os métodos.
Etapa 1. Ligar ao portal do Defender para Aplicações na Cloud
Para verificar o licenciamento e ligar ao portal do Defender para Cloud Apps, veja Início Rápido: Introdução ao Microsoft Defender para Cloud Apps.
Se não conseguir ligar-se imediatamente ao portal, poderá ter de adicionar o endereço IP à lista de permissões da firewall. Veja Configuração básica do Defender para Aplicações na Cloud.
Se continuar a ter problemas, veja Requisitos de rede.
Passo 2: Integrar com o Microsoft Defender para Endpoint
O Microsoft Defender para Cloud Apps integra-se com o Microsoft Defender para Endpoint de forma nativa. A integração simplifica a implementação da Cloud Discovery, expande as capacidades da Cloud Discovery para além da sua rede empresarial e permite a investigação baseada em dispositivos. Esta integração revela que as aplicações e serviços na cloud estão a ser acedidos a partir de dispositivos Windows 10 e Windows 11 geridos por TI.
Se já tiver configurado o Microsoft Defender para Endpoint, configurar a integração com o Defender para Cloud Apps é um botão de alternar no Microsoft Defender XDR. Depois de a integração estar ativada, pode regressar ao portal do Defender para Cloud Apps e ver dados avançados no Dashboard da Cloud Discovery.
Para realizar estas tarefas, veja Integração do Microsoft Defender para Endpoint com o Microsoft Defender para Cloud Apps.
Passo 3: Implementar o recoletor de registos do Defender para Cloud Apps nas firewalls e noutros proxies
Para cobertura em todos os dispositivos ligados à sua rede, implemente o recoletor de registos do Defender para Cloud Apps nas firewalls e noutros proxies para recolher dados dos pontos finais e enviá-lo para o Defender para Cloud Apps para análise.
Se estiver a utilizar um dos seguintes Gateways Web Seguros (SWG), o Defender para Cloud Apps proporciona uma implementação e integração totalmente integradas:
- Zscaler
- iboss
- Corrata
- Segurança Menlo
Para obter mais informações sobre a integração com estes dispositivos de rede, veja Configurar a Cloud Discovery.
Etapa 4. Criar um grupo piloto — Definir o âmbito da implementação piloto para determinados grupos de utilizadores
O Microsoft Defender para Cloud Apps permite-lhe definir o âmbito da sua implementação. O âmbito permite-lhe selecionar determinados grupos de utilizadores para serem monitorizados para aplicações ou excluídos da monitorização. Pode incluir ou excluir grupos de utilizadores. Para definir o âmbito da implementação piloto, veja Implementação no Âmbito.
Etapa 5. Descobrir e gerir aplicações na cloud
Para que o Defender para Cloud Apps forneça a quantidade máxima de proteção, tem de descobrir todas as aplicações na cloud na sua organização e gerir a forma como são utilizadas.
Descobrir aplicações na cloud
O primeiro passo para gerir a utilização de aplicações na cloud é descobrir que aplicações na cloud são utilizadas pela sua organização. Este diagrama seguinte ilustra como a cloud discovery funciona com o Defender para Cloud Apps.
Nesta ilustração, existem dois métodos que podem ser utilizados para monitorizar o tráfego de rede e descobrir as aplicações na cloud que estão a ser utilizadas pela sua organização.
A Cloud App Discovery integra-se no Microsoft Defender para Endpoint de forma nativa. O Defender para Endpoint comunica os serviços e aplicações na cloud que estão a ser acedidos a partir de dispositivos Windows 10 e Windows 11 geridos por TI.
Para cobertura em todos os dispositivos ligados a uma rede, instale o recoletor de registos do Defender para Cloud Apps em firewalls e outros proxies para recolher dados de pontos finais. O recoletor envia estes dados para o Defender para Cloud Apps para análise.
Ver o dashboard da Cloud Discovery para ver que aplicações estão a ser utilizadas na sua organização
O dashboard da Cloud Discovery foi concebido para lhe dar mais informações sobre como as aplicações na cloud estão a ser utilizadas na sua organização. Fornece uma descrição geral detalhada dos tipos de aplicações que estão a ser utilizadas, os alertas abertos e os níveis de risco das aplicações na sua organização.
Para começar a utilizar o dashboard da Cloud Discovery, veja Trabalhar com aplicações detetadas.
Gerir aplicações na cloud
Depois de descobrir as aplicações na cloud e analisar a forma como estas aplicações são utilizadas pela sua organização, pode começar a gerir as aplicações na cloud que escolher.
Nesta ilustração:
- Algumas aplicações são aprovadas para utilização. A aprovação é uma forma simples de começar a gerir aplicações.
- Pode ativar uma maior visibilidade e controlo ao ligar aplicações com conectores de aplicações. Os conectores de aplicações utilizam as APIs dos fornecedores de aplicações.
Pode começar a gerir aplicações através de sanções, desaproteção ou bloqueio total de aplicações. Para começar a gerir aplicações, veja Governar aplicações detetadas.
Etapa 6. Configurar o Controlo de Aplicações de Acesso Condicional
Uma das proteções mais avançadas que pode configurar é o Controlo de Aplicações de Acesso Condicional. Esta proteção requer integração com o Microsoft Entra ID. Permite-lhe aplicar políticas de Acesso Condicional, incluindo políticas relacionadas (como a necessidade de dispositivos em bom estado de funcionamento) às aplicações na cloud que sancionou.
Poderá já ter aplicações SaaS adicionadas ao seu inquilino do Microsoft Entra para impor a autenticação multifator e outras políticas de acesso condicional. O Microsoft Defender para Cloud Apps integra-se nativamente com o Microsoft Entra ID. Tudo o que tem de fazer é configurar uma política no Microsoft Entra ID para utilizar o Controlo de Aplicações de Acesso Condicional no Defender para Cloud Apps. Isto encaminha o tráfego de rede para estas aplicações SaaS geridas através do Defender para Cloud Apps como um proxy, o que permite ao Defender para Cloud Apps monitorizar este tráfego e aplicar controlos de sessão.
Retrabalhar figura
Nesta ilustração:
- As aplicações SaaS estão integradas com o inquilino do Microsoft Entra. Esta integração permite ao Microsoft Entra ID impor políticas de acesso condicional, incluindo a autenticação multifator.
- É adicionada uma política ao ID do Microsoft Entra para direcionar o tráfego das aplicações SaaS para o Defender para Cloud Apps. A política especifica a que aplicações SaaS deve aplicar esta política. Depois de o Microsoft Entra ID impor quaisquer políticas de acesso condicional aplicáveis a estas aplicações SaaS, o Microsoft Entra ID direciona (proxies) o tráfego da sessão através do Defender para Cloud Apps.
- O Defender para Cloud Apps monitoriza este tráfego e aplica todas as políticas de controlo de sessão que tenham sido configuradas pelos administradores.
Poderá ter detetado e sancionado aplicações na cloud com o Defender para Cloud Apps que não foram adicionadas ao Microsoft Entra ID. Pode tirar partido do Controlo de Aplicações de Acesso Condicional ao adicionar estas aplicações na cloud ao seu inquilino do Microsoft Entra e ao âmbito das suas regras de acesso condicional.
O primeiro passo na utilização do Microsoft Defender for Cloud Apps para gerir aplicações SaaS é descobrir estas aplicações e, em seguida, adicioná-las ao seu inquilino do Microsoft Entra. Se precisar de ajuda com a deteção, veja Descobrir e gerir aplicações SaaS na sua rede. Depois de detetar aplicações, adicione estas aplicações ao seu inquilino do Microsoft Entra.
Pode começar a gerir estas aplicações com as seguintes tarefas:
- No Microsoft Entra ID, crie uma nova política de acesso condicional e configure-a para "Utilizar o Controlo de Aplicações de Acesso Condicional". Esta configuração ajuda a redirecionar o pedido para o Defender para Cloud Apps. Pode criar uma política e adicionar todas as aplicações SaaS a esta política.
- Em seguida, no Defender para Aplicações na Cloud, crie políticas de sessão. Crie uma política para cada controlo que pretende aplicar.
Para obter mais informações, incluindo aplicações e clientes suportados, veja Proteger aplicações com o Controlo de Aplicações de Acesso Condicional do Microsoft Defender para Cloud Apps.
Para obter políticas de exemplo, veja Políticas recomendadas do Microsoft Defender para Aplicações na Cloud para aplicações SaaS. Estas políticas baseiam-se num conjunto de políticas comuns de identidade e acesso a dispositivos que são recomendadas como ponto de partida para todos os clientes.
Etapa 7. Aplicar políticas de sessão a aplicações na cloud
O Microsoft Defender para Cloud Apps serve como um proxy inverso, fornecendo acesso proxy a aplicações na cloud aprovadas. Esta aprovisionamento permite que o Defender para Aplicações na Cloud aplique políticas de sessão que configurar.
Na ilustração:
- O acesso a aplicações na cloud aprovadas a partir de utilizadores e dispositivos na sua organização é encaminhado através do Defender para Cloud Apps.
- Este acesso de proxy permite a aplicação de políticas de sessão.
- As aplicações na cloud que não tenha sancionado ou explicitamente não aprovadas não são afetadas.
As políticas de sessão permitem-lhe aplicar parâmetros à forma como as aplicações na cloud são utilizadas pela sua organização. Por exemplo, se a sua organização estiver a utilizar o Salesforce, pode configurar uma política de sessão que permite que apenas os dispositivos geridos acedam aos dados da sua organização no Salesforce. Um exemplo mais simples pode ser configurar uma política para monitorizar o tráfego de dispositivos não geridos para que possa analisar o risco deste tráfego antes de aplicar políticas mais rigorosas.
Para obter mais informações, veja Criar políticas de sessão.
Passo 8. Experimentar capacidades adicionais
Utilize estes tutoriais do Defender para Cloud Apps para o ajudar a detetar riscos e proteger o seu ambiente:
- Detetar atividade de utilizador suspeita
- Investigar utilizadores de risco
- Investigar aplicações OAuth de risco
- Descobrir e proteger informações confidenciais
- Proteger qualquer aplicação na sua organização em tempo real
- Bloquear transferências de informações confidenciais
- Proteger os seus ficheiros com quarentena de administrador
- Exigir autenticação passo a passo após ação de risco
Para obter mais informações sobre a investigação avançada nos dados do Microsoft Defender para Cloud Apps, veja este vídeo.
Integração SIEM
Pode integrar o Defender para Aplicações na Cloud com o Microsoft Sentinel ou um serviço genérico de gestão de informações e eventos de segurança (SIEM) para ativar a monitorização centralizada de alertas e atividades de aplicações ligadas. Com o Microsoft Sentinel, pode analisar eventos de segurança em toda a sua organização de forma mais abrangente e criar manuais de procedimentos para obter uma resposta eficaz e imediata.
O Microsoft Sentinel inclui um conector do Defender para Cloud Apps. Isto permite-lhe não só obter visibilidade sobre as suas aplicações na cloud, mas também obter análises sofisticadas para identificar e combater ciberameaças e controlar o modo de deslocação dos seus dados. Para obter mais informações, veja Integração do Microsoft Sentinel e alertas do Stream e registos da Cloud Discovery do Defender para Cloud Apps para o Microsoft Sentinel.
Para obter informações sobre a integração com sistemas SIEM de terceiros, veja Integração genérica do SIEM.
Próxima etapa
Executar a gestão do ciclo de vida do Defender para Cloud Apps.
Passo seguinte para a implementação ponto a ponto do Microsoft Defender XDR
Continue a implementação ponto a ponto do Microsoft Defender XDR com Investigar e responder com o Microsoft Defender XDR.
Dica
Você deseja aprender mais? Contacte a comunidade de Segurança da Microsoft na nossa Comunidade Tecnológica: Microsoft Defender XDR Tech Community.
Comentários
Em breve: Ao longo de 2024, eliminaremos os problemas do GitHub como o mecanismo de comentários para conteúdo e o substituiremos por um novo sistema de comentários. Para obter mais informações, consulte https://aka.ms/ContentUserFeedback.
Enviar e exibir comentários de