Como o Defender for Cloud Apps ajuda a proteger seu ambiente Microsoft 365
Como um grande pacote de produtividade que fornece ferramentas de armazenamento, colaboração, BI e CRM na nuvem, o Microsoft 365 permite que seus usuários compartilhem seus documentos em toda a sua organização e parceiros de forma simplificada e eficiente. Usar o Microsoft 365 pode expor seus dados confidenciais não apenas internamente, mas também para colaboradores externos ou, pior ainda, disponibilizá-los publicamente por meio de um link compartilhado. Tais incidentes podem ocorrer devido a um agente mal-intencionado ou por um funcionário inconsciente. O Microsoft 365 também fornece um grande ecossistema de aplicativos de terceiros para ajudar a aumentar a produtividade. O uso desses aplicativos pode expor sua organização ao risco de aplicativos mal-intencionados ou ao uso de aplicativos com permissões excessivas.
Conectar o Microsoft 365 ao Defender for Cloud Apps oferece informações aprimoradas sobre as atividades de seus usuários, fornece deteção de ameaças usando deteções de anomalias baseadas em aprendizado de máquina, deteções de proteção de informações (como a deteção de compartilhamento de informações externas), permite controles de correção automatizados e deteta ameaças de aplicativos de terceiros habilitados em sua organização.
O Defender for Cloud Apps integra-se diretamente com os logs de auditoria do Microsoft 365 e fornece proteção para todos os serviços suportados. Para obter uma lista de serviços suportados, consulte Serviços do Microsoft 365 que suportam auditoria.
Use este conector de aplicativo para acessar os recursos do SaaS Security Posture Management (SSPM), por meio de controles de segurança refletidos no Microsoft Secure Score. Mais informações.
Melhorias na análise de ficheiros para o Microsoft 365
O Defender for Cloud Apps adicionou novas melhorias na análise de ficheiros para o SharePoint e o OneDrive:
Velocidade de verificação quase em tempo real mais rápida para arquivos no SharePoint e no OneDrive.
Melhor identificação para o nível de acesso de um arquivo no SharePoint: o nível de acesso ao arquivo no SharePoint será marcado por padrão como Interno, e não como Privado (já que todos os arquivos no SharePoint são acessíveis pelo proprietário do site e não apenas pelo proprietário do arquivo).
Nota
Essa alteração pode afetar suas políticas de arquivo (se uma política de arquivo estiver procurando por arquivos internos ou privados no SharePoint).
Principais ameaças
- Contas comprometidas e ameaças internas
- Fuga de dados
- Insuficiente sensibilização para a segurança
- Aplicações de terceiros maliciosas
- Malware
- Phishing
- Ransomware
- Não gerenciado traga seu próprio dispositivo (BYOD)
Como o Defender for Cloud Apps ajuda a proteger seu ambiente
- Detete ameaças na nuvem, contas comprometidas e insiders mal-intencionados
- Descubra, classifique, rotule e proteja dados regulamentados e confidenciais armazenados na nuvem
- Descubra e gerencie aplicativos OAuth que têm acesso ao seu ambiente
- Aplique políticas de DLP e conformidade para dados armazenados na nuvem
- Limite a exposição de dados compartilhados e aplique políticas de colaboração
- Utilizar a pista de auditoria das atividades para investigações forenses
Controle o Microsoft 365 com políticas e modelos de política internos
Você pode usar os seguintes modelos de política internos para detetar e notificá-lo sobre ameaças potenciais:
| Type | Nome |
|---|---|
| Política de deteção de anomalias integrada | Atividade de endereços IP anónimos Atividade de país pouco frequente Atividade de endereços IP suspeitos Viagens impossíveis Atividade realizada pelo usuário encerrado (requer ID do Microsoft Entra como IdP) Deteção de malware Várias tentativas de login com falha Deteção de ransomware Atividade suspeita de exclusão de e-mail (Visualização) Reencaminhamento suspeito da caixa de entrada Atividades incomuns de exclusão de arquivos Atividades incomuns de compartilhamento de arquivos Atividades incomuns de download de vários arquivos |
| Modelo de política de atividade | Início de sessão de um endereço IP duvidoso Transferência em volume efetuada por um só utilizador Potencial atividade de ransomware Alteração do nível de acesso (Equipas) Usuário externo adicionado (Teams) Eliminação em massa (Teams) |
| Modelo de política de arquivo | Detetar um arquivo compartilhado com um domínio não autorizado Detetar um arquivo compartilhado com endereços de e-mail pessoais Detetar arquivos com PII/PCI/PHI |
| Política de deteção de anomalias do aplicativo OAuth | Nome enganoso do aplicativo OAuth Nome de editor enganoso para um aplicativo OAuth Consentimento mal-intencionado do aplicativo OAuth |
Para obter mais informações sobre como criar políticas, consulte Criar uma política.
Automatize os controles de governança
Além de monitorar ameaças potenciais, você pode aplicar e automatizar as seguintes ações de governança do Microsoft 365 para remediar ameaças detetadas:
| Type | Ação |
|---|---|
| Governação de dados | OneDrive: - Herdar permissões de pasta pai - Tornar o arquivo/pasta privado - Coloque o arquivo / pasta em quarentena admin - Colocar arquivo / pasta em quarentena do usuário - Lixeira arquivo/pasta - Remover um colaborador específico - Remover colaboradores externos em arquivo/pasta - Aplicar o rótulo de sensibilidade da Proteção de Informações do Microsoft Purview - Remover o rótulo de sensibilidade do Microsoft Purview Information Protection SharePoint: - Herdar permissões de pasta pai - Tornar o arquivo/pasta privado - Coloque o arquivo / pasta em quarentena admin - Colocar arquivo / pasta em quarentena do usuário - Coloque o arquivo / pasta na quarentena do usuário e adicione permissões de proprietário - Lixeira arquivo/pasta - Remover colaboradores externos em arquivo/pasta - Remover um colaborador específico - Aplicar o rótulo de sensibilidade da Proteção de Informações do Microsoft Purview - Remover o rótulo de sensibilidade do Microsoft Purview Information Protection |
| Governação do utilizador | - Notificar o usuário em alerta (via Microsoft Entra ID) - Exigir que o usuário entre novamente (via Microsoft Entra ID) - Suspender usuário (via Microsoft Entra ID) |
| Governança do aplicativo OAuth | - Revogar a permissão do aplicativo OAuth |
Para obter mais informações sobre como remediar ameaças de aplicativos, consulte Governando aplicativos conectados.
Proteja o Microsoft 365 em tempo real
Reveja as nossas melhores práticas para proteger e colaborar com utilizadores externos e bloquear e proteger a transferência de dados confidenciais para dispositivos não geridos ou arriscados.
Integração do Defender for Cloud Apps com o Microsoft 365
O Defender for Cloud Apps suporta a plataforma dedicada Microsoft 365 herdada, bem como as ofertas mais recentes de serviços Microsoft 365, comumente referidas como a família de versões vNext do Microsoft 365.
Em alguns casos, uma versão de serviço vNext difere ligeiramente nos níveis administrativo e de gerenciamento da oferta padrão do Microsoft 365.
Registo de auditoria
O Defender for Cloud Apps integra-se diretamente com os logs de auditoria do Microsoft 365 e recebe todos os eventos auditados de todos os serviços suportados. Para obter uma lista de serviços suportados, consulte Serviços do Microsoft 365 que suportam auditoria.
O log de auditoria do administrador do Exchange, que é habilitado por padrão no Microsoft 365, registra um evento no log de auditoria do Microsoft 365 quando um administrador (ou um usuário ao qual foram atribuídos privilégios administrativos) faz uma alteração em sua organização do Exchange Online. As alterações efetuadas através do centro de administração do Exchange ou através da execução de um cmdlet no Windows PowerShell são registadas no registo de auditoria de administrador do Exchange. Para obter mais informações detalhadas sobre o registo de auditoria de administrador no Exchange, veja Registo de auditoria de administrador.
Os eventos do Exchange, Power BI e Teams só aparecerão depois que as atividades desses serviços forem detetadas no portal.
Implantações multigeográficas são suportadas apenas para o OneDrive
Integração com o Microsoft Entra
Se o ID do Microsoft Entra estiver definido para sincronizar automaticamente com os usuários no ambiente local do Ative Directory, as configurações no ambiente local substituem as configurações do Microsoft Entra e o uso da ação Suspender governança do usuário será revertido.
Para atividades de entrada do Microsoft Entra, o Defender for Cloud Apps exibe apenas atividades de entrada interativas e atividades de entrada de protocolos herdados, como o ActiveSync. As atividades de entrada não interativas podem ser exibidas no log de auditoria do Microsoft Entra.
Se os aplicativos do Office estiverem habilitados, os grupos que fazem parte do Microsoft 365 também serão importados para o Defender for Cloud Apps dos aplicativos específicos do Office, por exemplo, se o SharePoint estiver habilitado, os grupos do Microsoft 365 também serão importados como grupos do SharePoint.
Suporte à quarentena
No SharePoint e no OneDrive, o Defender for Cloud Apps oferece suporte à quarentena do usuário apenas para arquivos em bibliotecas de Documentos Compartilhados (SharePoint Online) e arquivos na biblioteca de Documentos (OneDrive for Business).
No SharePoint, o Defender for Cloud Apps suporta tarefas de quarentena apenas para arquivos com Documentos Compartilhados no caminho em inglês.
Conectar o Microsoft 365 ao Microsoft Defender for Cloud Apps
Esta seção fornece instruções para conectar o Microsoft Defender for Cloud Apps à sua conta existente do Microsoft 365 usando a API do conector de aplicativo. Esta ligação dá-lhe visibilidade e controlo sobre a utilização do Microsoft 365. Para obter informações sobre como o Defender for Cloud Apps protege o Microsoft 365, consulte Proteger o Microsoft 365.
Use este conector de aplicativo para acessar os recursos do SaaS Security Posture Management (SSPM), por meio de controles de segurança refletidos no Microsoft Secure Score. Mais informações.
Pré-requisitos:
Você deve ter pelo menos uma licença atribuída do Microsoft 365 para conectar o Microsoft 365 ao Defender for Cloud Apps.
Para habilitar o monitoramento das atividades do Microsoft 365 no Defender for Cloud Apps, é necessário habilitar a auditoria no portal de conformidade do Microsoft Purview.
O log de auditoria da Caixa de Correio do Exchange deve ser ativado para cada caixa de correio do usuário antes que a atividade do usuário no Exchange Online seja registrada, consulte Atividades de Caixa de Correio do Exchange.
Você deve habilitar a auditoria no Power BI para obter os logs de lá. Assim que a auditoria estiver ativada, o Defender for Cloud Apps começa a obter os logs (com um atraso de 24 a 72 horas).
Você deve habilitar a auditoria no Dynamics 365 para obter os logs de lá. Assim que a auditoria estiver ativada, o Defender for Cloud Apps começa a obter os logs (com um atraso de 24 a 72 horas).
Para conectar o Microsoft 365 ao Defender for Cloud Apps:
No Portal do Microsoft Defender, selecione Configurações. Em seguida, escolha Cloud Apps. Em Aplicações ligadas, selecione Conectores de Aplicações.
Na página Conectores deaplicativos, selecione +Conectar um aplicativo e selecione Microsoft 365.
Na página Selecionar componentes do Microsoft 365, selecione as opções necessárias e selecione Conectar.
Nota
- Para melhor proteção, recomendamos selecionar todos os componentes do Microsoft 365.
- O componente de arquivos do Azure AD requer o componente de atividades do Azure AD e o monitoramento de arquivos do Defender for Cloud Apps (Settings>Cloud Apps>Files>Enable file monitoring).
Na página Siga o link , selecione Conectar o Microsoft 365.
Depois que o Microsoft 365 for exibido como conectado com êxito, selecione Concluído.
No Portal do Microsoft Defender, selecione Configurações. Em seguida, escolha Cloud Apps. Em Aplicações ligadas, selecione Conectores de Aplicações. Verifique se o status do App Connector conectado é Conectado.
Os dados do SaaS Security Posture Management (SSPM) são mostrados no Portal do Microsoft Defender na página Secure Score . Para obter mais informações, consulte Gerenciamento de postura de segurança para aplicativos SaaS.
Nota
Depois de conectar o Microsoft 365, você verá dados de uma semana atrás, incluindo quaisquer aplicativos de terceiros conectados ao Microsoft 365 que estejam recebendo APIs. Para aplicativos de terceiros que não estavam recebendo APIs antes da conexão, você vê eventos a partir do momento em que conecta o Microsoft 365 porque o Defender for Cloud Apps ativa todas as APIs que estavam desativadas por padrão.
Se você tiver problemas para conectar o aplicativo, consulte Solução de problemas de conectores de aplicativos.
Próximos passos
Se tiver algum problema, estamos aqui para ajudar. Para obter assistência ou suporte para o problema do seu produto, abra um ticket de suporte.