Partilhar via

Investigue os riscos e atividades suspeitas de aplicativos na nuvem

  • Artigo

Depois que o Microsoft Defender for Cloud Apps for executado em seu ambiente de nuvem, você precisará de um estágio de aprendizado e investigação. Aprenda a usar as ferramentas do Microsoft Defender for Cloud Apps para obter uma compreensão mais profunda do que está acontecendo em seu ambiente de nuvem. Com base em seu ambiente específico e como ele está sendo usado, você pode identificar os requisitos para proteger sua organização contra riscos. Este artigo descreve como fazer uma investigação para entender melhor seu ambiente de nuvem.

Marcar aplicativos como sancionados ou não

Um passo importante para compreender a sua cloud é etiquetar as suas aplicações como aprovadas ou não aprovadas. Depois de aprovar uma aplicação, pode filtrar por aplicações que não estão aprovadas e iniciar a migração para aplicações aprovadas do mesmo tipo.

  • No Portal do Microsoft Defender, em Cloud Apps, vá para o catálogo de aplicativos Cloud ou Cloud discovery - >Discovered apps.

  • Na lista de aplicativos, na linha em que o aplicativo que você deseja marcar como sancionado aparece, escolha os três pontos no final da linha Tag as sanctioned dots. e escolha Sancionado.

    Tag as sanctioned.

Utilizar as ferramentas de investigação

  1. No Portal do Microsoft Defender, em Aplicativos na Nuvem, vá para o Registro de atividades e filtre por um aplicativo específico. Verifique os itens seguintes:

    • Quem acede ao seu ambiente na cloud?

    • A partir de que intervalos IP?

    • O que é a atividade de administrador?

    • A partir de que localizações é que os administradores se ligam?

    • Existem dispositivos desatualizados que se ligam ao seu ambiente na cloud?

    • As falhas nos inícios de sessão veem de endereços IP esperados?

  2. No Portal do Microsoft Defender, em Cloud Apps, vá para Arquivos e verifique os seguintes itens:

    • Quantos ficheiros são partilhados publicamente para que qualquer utilizador possa aceder aos mesmos sem uma ligação?

    • Com que parceiros partilha ficheiros (partilha de saída)?

    • Existem ficheiros com nomes confidenciais?

    • Algum dos ficheiros é partilhado com a conta pessoal de um utilizador?

  3. No Portal do Microsoft Defender, vá para Identidades e verifique os seguintes itens:

    • Existem contas que não estão ativas num determinado serviço há muito tempo? Talvez você possa revogar a licença desse usuário para esse serviço.

    • Quer saber que os utilizadores têm uma função específica?

    • Foi despedido um empregado, mas este ainda tem acesso a uma aplicação e pode utilizar esse acesso para roubar informações?

    • Deseja revogar a permissão de um usuário para um aplicativo específico ou exigir que um usuário específico use a autenticação multifator?

    • Você pode detalhar a conta do usuário selecionando os três pontos no final da linha da conta do usuário e selecionando uma ação a ser executada. Execute uma ação como Suspender usuário ou Remover colaborações do usuário. Se o usuário foi importado do Microsoft Entra ID, você também pode selecionar as configurações da conta do Microsoft Entra para obter acesso fácil aos recursos avançados de gerenciamento de usuários. Exemplos de recursos de gerenciamento incluem gerenciamento de grupo, MFA, detalhes sobre as entradas do usuário e a capacidade de bloquear o login.

  4. No Portal do Microsoft Defender, selecione Configurações. Em seguida, escolha Cloud Apps. Em Aplicações ligadas, selecione Conectores de aplicações e, em seguida, selecione uma aplicação. O dashboard de aplicações é aberto e fornece-lhe informações. Você pode usar as guias na parte superior para verificar:

    • Que tipos de dispositivos é que os utilizadores utilizam para se ligarem à aplicação?

    • Que tipos de ficheiros estão a guardar na cloud?

    • Que atividade está a ocorrer na aplicação neste momento?

    • Existem aplicações de terceiros ligadas ao seu ambiente?

    • Está familiarizado com essas aplicações?

    • Eles estão autorizados para o nível de acesso permitido?

    • Quantos utilizadores as implementaram? Até que ponto são estas aplicações comuns, no geral?

    App dashboard.

  5. No Portal do Microsoft Defender, em Cloud Apps, vá para Cloud Discovery. Selecione a guia Painel e verifique os seguintes itens:

    • Que aplicações na nuvem estão a ser utilizadas, em que medida e por que utilizadores?

    • Com que fins são utilizadas?

    • Que quantidade de dados estão a ser carregados para estas aplicações em cloud?

    • Em que categorias tem aplicações em nuvem aprovadas, mas, mesmo assim, os utilizadores utilizam soluções alternativas?

    • Relativamente à solução alternativa, existem aplicações em cloud que queira reprovar na sua organização?

    • Existem aplicativos na nuvem que são usados, mas não estão em conformidade com a política da sua organização?

Investigação de exemplo

Digamos que você assuma que não tem acesso ao seu ambiente de nuvem por endereços IP arriscados. Como exemplo, digamos Tor. Contudo, para ter a certeza, cria uma política de IP arriscado:

  1. No Portal do Microsoft Defender, em Cloud Apps, vá para Policies ->Policy templates.

  2. Escolha a política de atividade para o tipo.

  3. No final da linha Logon a partir de um endereço IP arriscado, escolha o sinal de adição (+) para criar uma nova política.

  4. Altere o nome da política para que você possa identificá-la.

  5. Em Atividades correspondentes a todas as opções a seguir, escolha + adicionar um filtro. Role para baixo até a tag IP e escolha Tor.

    Example policy for risky IPs.

Agora que você tem a política em vigor, você descobre que tem um alerta de que a política foi violada.

  1. No Portal do Microsoft Defender, vá para Incidentes & alertas -Alertas e> exiba o alerta sobre a violação da política.

  2. Se você vir que parece uma violação real, você quer conter o risco ou remediá-lo.

    Para conter o risco, pode enviar uma notificação ao utilizador a perguntar se a violação foi intencional e se ele estava ciente.

    Também pode ver o alerta em detalhe e suspender o utilizador, até descobrir o que tem de ser feito.

  3. Se se tratar de um evento permitido e que, provavelmente, não se vai repetir, pode ignorar o alerta.

    Se for permitido e previr que se repita, pode modificar a política para evitar que este tipo de evento seja considerado uma violação no futuro.

Próximos passos

Se tiver algum problema, estamos aqui para ajudar. Para obter assistência ou suporte para o problema do seu produto, abra um tíquete de suporte..