Controlar as aplicações na cloud com políticas

  • Artigo

As políticas permitem-lhe definir a forma como quer que os utilizadores se comportem na nuvem. Eles permitem que você detete comportamentos de risco, violações ou pontos de dados e atividades suspeitos em seu ambiente de nuvem. Se necessário, você pode integrar fluxos de trabalho de remediação para obter a redução completa dos riscos. Existem vários tipos de políticas que se correlacionam com os diferentes tipos de informações que quer recolher sobre o ambiente em nuvem e os tipos de ações de remediação que possa pretender tomar.

Por exemplo, se houver uma ameaça de violação de dados que você deseja colocar em quarentena, você precisará de um tipo diferente de política em vigor do que se quiser impedir que um aplicativo de nuvem arriscado seja usado pela sua organização.

Tipos de política

Quando você olha para a página Gerenciamento de políticas , as várias políticas e modelos podem ser distinguidos por tipo e ícone para ver quais políticas estão disponíveis. As políticas podem ser visualizadas em conjunto no separador Todas as políticas ou nos respetivos separadores de categoria. As políticas disponíveis dependem da fonte de dados e do que você habilitou no Defender for Cloud Apps para sua organização. Por exemplo, se você carregou logs do Cloud Discovery, as políticas relacionadas ao Cloud Discovery serão exibidas.

Podem ser criados os tipos de políticas seguintes:

Ícone do tipo de política Tipo de política Category Utilizar
activity policy icon. Política de atividade Deteção de ameaças As políticas de atividade permitem que você imponha uma ampla gama de processos automatizados usando as APIs do provedor de aplicativos. Com estas políticas, pode monitorizar atividades específicas levadas a cabo por diversos utilizadores ou acompanhar taxas inesperadamente altas de um determinado tipo de atividade. Mais informações
anomaly detection policy icon. Política de deteção de anomalias Deteção de ameaças As políticas de deteção de anomalias permitem-lhe procurar atividades invulgares na sua nuvem. A deteção é baseada nos fatores de risco definidos para alertá-lo quando algo acontece diferente da linha de base da sua organização ou da atividade regular do usuário. Mais informações
OAuth app policy icon. Política do aplicativo OAuth Deteção de ameaças As políticas do aplicativo OAuth permitem que você investigue quais permissões cada aplicativo OAuth solicitou e as aprove ou revogue automaticamente. Essas são políticas internas que vêm com o Defender for Cloud Apps e não podem ser criadas. Mais informações
Malware detection policy icon. Política de deteção de malware Deteção de ameaças As políticas de deteção de malware permitem-lhe identificar ficheiros maliciosos no seu armazenamento na nuvem e aprová-los ou revogá-los automaticamente. Esta é uma política integrada que vem com o Defender for Cloud Apps e não pode ser criada. Mais informações
file policy icon. Política de ficheiros Proteção de informações As políticas de arquivo permitem que você analise seus aplicativos na nuvem em busca de arquivos ou tipos de arquivos especificados (compartilhados, compartilhados com domínios externos), dados (informações proprietárias, dados pessoais, informações de cartão de crédito e outros tipos de dados) e aplique ações de governança aos arquivos (as ações de governança são específicas do aplicativo na nuvem). Mais informações
access policy icon. Política de acesso Acesso condicional As políticas de acesso fornecem-lhe monitorização e controlo em tempo real sobre os inícios de sessão dos utilizadores nas suas aplicações na nuvem. Mais informações
session policy icon. Política de sessão Acesso condicional As políticas de sessão fornecem monitoramento e controle em tempo real sobre a atividade do usuário em seus aplicativos na nuvem. Mais informações
cloud discovery policy icon. Política de deteção de aplicações TI sombra Com as políticas de deteção de aplicações, pode definir alertas que o notificam quando são detetadas aplicações novas na sua organização. Mais informações
anomaly detection policy icon. Política de deteção de anomalias da Cloud Discovery TI sombra As políticas de deteção de anomalias da Cloud Discovery analisam os registos que utiliza para detetar aplicações em cloud e procurar ocorrências fora do comum. Por exemplo, quando um utilizador que nunca utilizou o Dropbox carrega, subitamente, 600 GB para este armazenamento ou quando existem muito mais transações do que o habitual numa determinada aplicação. Mais informações

Identificar riscos

O Defender for Cloud Apps ajuda-o a mitigar diferentes riscos na nuvem. Pode configurar qualquer política e alerta para ser associado a um dos seguintes riscos:

  • Controlo de acesso: quem acede ao quê e onde?

    Monitorize continuamente o comportamento e detete atividades anómalas, incluindo ataques de elevado risco internos e externos, e aplique uma política para alertar, bloquear ou exigir verificação de identidade a qualquer aplicação ou a uma ação específica numa aplicação. Ativa políticas de controlo de acesso móvel e no local com base no utilizador, no dispositivo e na geografia com bloqueio genérico e vista, edição e bloqueio granular. Detete eventos de início de sessão suspeitos, incluindo falhas na autenticação multifator, falhas de início de sessão de conta desativada e eventos de representação.

  • Conformidade: os seus requisitos de conformidade foram infringidos?

    Catalogue e identifique dados confidenciais ou regulados, incluindo permissões de partilha para cada ficheiro, armazenados em serviços de sincronização de ficheiros para garantir a conformidade com as normas, como PCI, SOX e HIPAA

  • Controlo de configuração: estão a ser feitas alterações não autorizadas à sua configuração?

    Monitorize as alterações à configuração, incluindo a manipulação de configuração remota.

  • Cloud Discovery: estão a ser utilizadas novas aplicações na sua organização? Tem um problema porque estão a ser utilizadas aplicações Shadow IT e não está a par disso?

    Classifique o risco geral de cada aplicativo na nuvem com base em certificações e práticas recomendadas regulatórias e do setor. Permite monitorar o número de usuários, atividades, volume de tráfego e horas de uso típicas de cada aplicativo na nuvem.

  • DLP: são partilhados publicamente ficheiros proprietários? Precisa de colocar ficheiros em quarentena?

    A integração de DLP no local proporciona integração e remediação de ciclo fechado com soluções de DLP no local existentes.

  • Contas privilegiadas: precisa de monitorizar as contas de administrador?

    Monitorização e criação de relatórios em tempo real de atividades de utilizadores e administradores privilegiados.

  • Controlo de partilhas: como é que os dados são partilhados no seu ambiente de cloud?

    Inspecione os conteúdos de ficheiros e os conteúdos na cloud e aplique políticas de partilha interna e externa. Monitorize a colaboração e aplique políticas de partilha, como impedir a partilha de ficheiros fora da sua organização.

  • Deteção de ameaças: o seu ambiente de cloud está a ser ameaçado por atividades suspeitas?

    Receba notificações em tempo real para qualquer violação de política ou limite de atividade por e-mail. Ao aplicar algoritmos de aprendizado de máquina, o Defender for Cloud Apps permite detetar comportamentos que podem indicar que um usuário está usando dados indevidamente.

Como controlar riscos

Siga este processo para controlar riscos com políticas:

  1. Crie uma política a partir de um modelo ou de uma consulta.

  2. Otimize a política para obter os resultados esperados.

  3. Adicione ações automáticas para responder e remediar riscos automaticamente.

Criar uma política

Você pode usar os modelos de política do Defender for Cloud Apps como base para todas as suas políticas ou criar políticas a partir de uma consulta.

Os modelos de política ajudam a definir os filtros e configurações corretos necessários para detetar eventos específicos de interesse em seu ambiente. Os modelos incluem políticas de todos os tipos e podem ser aplicados a vários serviços.

Para criar uma política a partir de modelos de política, execute as seguintes etapas:

  1. No Portal do Microsoft Defender, em Cloud Apps, vá para Policies ->Policy templates.

    Create the policy from a template.

  2. Selecione o sinal de adição (+) na extremidade direita da linha do modelo que você deseja usar. Uma página de criação de política é aberta, com a configuração predefinida do modelo.

  3. Modifique o modelo conforme necessário tendo em conta a sua política personalizada. Pode modificar todos os campos e propriedades desta nova política baseada em modelo consoante as suas necessidades.

    Nota

    Ao usar os filtros de política, Contém pesquisas apenas por palavras completas – separadas por comas, pontos, espaços ou sublinhados. Por exemplo, se você procurar por malware ou vírus, ele encontra virus_malware_file.exe mas não encontra malwarevirusfile.exe. Se você procurar por malware.exe, você encontrará TODOS os arquivos com malware ou exe em seu nome de arquivo, enquanto que se você procurar por "malware.exe" (com as aspas) você encontrará apenas arquivos que contêm exatamente "malware.exe".
    Igual a pesquisas apenas para a cadeia de caracteres completa, por exemplo, se você procurar por malware.exe ele encontra malware.exe mas não malware.exe.txt.

  4. Após criar a nova política baseada em modelo, é apresentada uma ligação para a mesma na coluna Políticas ligadas da tabela de modelos de políticas, junto ao modelo que serviu de base à política criada. Você pode criar quantas políticas quiser a partir de cada modelo e todas elas serão vinculadas ao modelo original. A vinculação permite que você acompanhe todas as políticas criadas usando o mesmo modelo.

Em alternativa, pode criar uma política durante a investigação. Se você estiver investigando o registro de atividades, arquivos ou identidades e fizer uma busca detalhada para pesquisar algo específico, a qualquer momento poderá criar uma nova política com base nos resultados da investigação.

Por exemplo, você pode querer criar um se estiver olhando para o registro de atividades e ver uma atividade de administrador de fora dos endereços IP do seu escritório.

Para criar uma política com base nos resultados da investigação, execute as seguintes etapas:

  1. No Portal do Microsoft Defender, vá para um destes:

    • Cloud Apps -> Registo de atividades
    • Cloud Apps -> Arquivos
    • Ativos ->Identidades

  2. Use os filtros na parte superior da página para limitar os resultados da pesquisa à área suspeita. Por exemplo, na página Registro de atividades, selecione Atividade administrativa e selecione Verdadeiro. Em seguida, em Endereço IP, selecione Categoria e defina o valor para não incluir categorias de endereços IP que você criou para seus domínios reconhecidos, como os endereços IP de administrador, corporativo e VPN.

    Create file from investigation.

  3. Abaixo da consulta, selecione Nova política na pesquisa.

    New policy from search button.

  4. É aberta uma página de criação de política, que contém os filtros que utilizou na sua investigação.

  5. Modifique o modelo conforme necessário tendo em conta a sua política personalizada. Pode modificar todos os campos e propriedades desta nova política baseada em investigação consoante as suas necessidades.

    Nota

    Ao usar os filtros de política, Contém pesquisas apenas por palavras completas – separadas por comas, pontos, espaços ou sublinhados. Por exemplo, se você procurar por malware ou vírus, ele encontra virus_malware_file.exe mas não encontra malwarevirusfile.exe.
    Igual a pesquisas apenas para a cadeia de caracteres completa, por exemplo, se você procurar por malware.exe ele encontra malware.exe mas não malware.exe.txt.

    create activity policy from investigation.

    Nota

    Para obter mais informações sobre como definir os campos de política, consulte a documentação de política correspondente:

    Políticas de atividade de utilizador

    Políticas de proteção de dados

    Políticas da Cloud Discovery

Adicionar ações automáticas para responder e remediar riscos automaticamente

Para obter uma lista de ações de governação disponíveis por aplicação, veja Governar aplicações ligadas.

Você também pode definir a política para enviar um alerta por e-mail quando as correspondências forem detetadas.

Para definir suas preferências de notificação, vá para Preferências de notificação por e-mail.

Ativar e desativar políticas

Após criar uma política, pode ativá-la ou desativá-la. A desativação evita a necessidade de excluir uma política depois de criá-la para interrompê-la. Em vez disso, se por algum motivo você quiser interromper a política, desative-a até optar por habilitá-la novamente.

  • Para habilitar uma política, na página Política , selecione os três pontos no final da linha da política que você deseja habilitar. Selecione Ativar.

    Enable policy.

  • Para desativar uma política, na página Política , selecione os três pontos no final da linha da política que pretende desativar. Selecione Desativar.

    Disable policy.

Por padrão, depois de criar uma nova política, ela é habilitada.

Relatório de visão geral de políticas

O Defender for Cloud Apps permite exportar um relatório de visão geral de políticas mostrando métricas de alerta agregadas por política para ajudá-lo a monitorar, entender e personalizar suas políticas para proteger melhor sua organização.

Para exportar um log, execute as seguintes etapas:

  1. Na página Políticas, selecione o botão Exportar.

  2. Especifique o intervalo de tempo necessário.

  3. Selecione Exportar. Este processo pode demorar algum tempo.

Para baixar o relatório exportado:

  1. Depois que o relatório estiver pronto, no Portal do Microsoft Defender, vá para Relatórios e, em seguida, Cloud Apps ->Relatórios exportados.

  2. Na tabela, selecione o relatório relevante e, em seguida, selecione download.

    download button.

Próximos passos

Práticas recomendadas para proteger sua organização

Se tiver algum problema, estamos aqui para ajudar. Para obter assistência ou suporte para o problema do seu produto, abra um ticket de suporte.