Criar políticas de aplicativo na governança de aplicativos
Juntamente com um conjunto interno de recursos para detetar comportamentos anômalos de aplicativos e gerar alertas com base em algoritmos de aprendizado de máquina, as políticas de governança de aplicativos permitem:
Especifique as condições pelas quais a governança do aplicativo alerta você sobre o comportamento do aplicativo para correção automática ou manual.
Aplique as políticas de conformidade de aplicativos para sua organização.
Use a governança de aplicativos para criar políticas OAuth para aplicativos conectados ao Microsoft 365, Google Workspace e Salesforce.
Criar políticas de aplicativo OAuth para o Microsoft Entra ID
Para aplicativos conectados ao Microsoft Entra ID, crie políticas de aplicativo a partir de modelos fornecidos que podem ser personalizados ou crie sua própria política de aplicativo personalizada.
Para criar uma nova política de aplicativo para aplicativos do Azure AD, vá para Microsoft Defender XDR > App governance > Policies > Azure AD.
Por exemplo:
Selecione a opção Criar nova política e siga uma das seguintes etapas:
- Para criar uma nova política de aplicativo a partir de um modelo, escolha a categoria de modelo relevante seguida pelo modelo nessa categoria.
- Para criar uma política personalizada, selecione a categoria Personalizado .
Por exemplo:
Modelos de política de aplicativos
Para criar uma nova política de aplicativo com base em um modelo de política de aplicativo, na página Escolher modelo de política de aplicativo, selecione uma categoria de modelo de aplicativo, selecione o nome do modelo e selecione Avançar.
As seções a seguir descrevem as categorias de modelo de política de aplicativo.
Utilização
A tabela a seguir lista os modelos de governança de aplicativo suportados para gerar alertas para uso do aplicativo.
Nome do modelo | Description |
---|---|
Novo aplicativo com alto uso de dados | Encontre aplicativos recém-registrados que carregaram ou baixaram grandes quantidades de dados usando o Microsoft Graph e as APIs do EWS. Esta política verifica as seguintes condições: |
Aumento de utilizadores | Encontre aplicativos com um aumento considerável no número de usuários. Esta política verifica as seguintes condições: |
Permissões
A tabela a seguir lista os modelos de governança de aplicativo suportados para gerar alertas para permissões de aplicativo.
Nome do modelo | Description |
---|---|
Aplicativo superprivilegiado | Encontre aplicativos que tenham permissões de API do Microsoft Graph não utilizadas. Essas aplicações receberam permissões que podem ser desnecessárias para uso regular. |
Nova aplicação altamente privilegiada | Encontre aplicativos recém-registrados que receberam acesso de gravação e outras permissões poderosas para o Microsoft Graph e outras APIs primárias comuns da Microsoft. Esta política verifica as seguintes condições: |
Novo aplicativo com permissões que não são da API do Graph | Encontre aplicativos recém-registrados que tenham permissões para APIs que não sejam do Graph. Esses aplicativos podem expô-lo a riscos se as APIs acessadas receberem suporte e atualizações limitados. Esta política verifica as seguintes condições: |
Certificação
A tabela a seguir lista os modelos de governança de aplicativo suportados para gerar alertas para a certificação Microsoft 365.
Nome do modelo | Description |
---|---|
Nova aplicação não certificada | Encontre aplicativos recém-registrados que não tenham certificado de editor ou certificação Microsoft 365. Esta política verifica as seguintes condições: |
Políticas personalizadas
Use uma política de aplicativo personalizada quando precisar fazer algo que ainda não foi feito por um dos modelos internos.
- Para criar uma nova política de aplicativo personalizada, primeiro selecione Criar nova política na página Políticas . Na página Escolher modelo de política de aplicativo, selecione a categoria Personalizado, o modelo de política personalizada e selecione Avançar.
Na página Nome e descrição, configure o seguinte:
- Nome da Política
- Descrição da política
- Selecione a gravidade da política, que define a gravidade dos alertas gerados por esta política.
- Alto
- Médio
- Baixo
Na página Escolher configurações e condições da política, em Escolha para quais aplicativos essa política é aplicável, selecione:
- Todos os apps
- Escolha aplicações específicas
- Todas as aplicações, exceto
Se escolher aplicações específicas ou todas as aplicações, exceto esta política, selecione Adicionar aplicações e selecione as aplicações pretendidas na lista. No painel Escolher aplicações, pode selecionar várias aplicações às quais esta política se aplica e, em seguida, selecionar Adicionar. Selecione Avançar quando estiver satisfeito com a lista.
Selecione Editar condições. Selecione Adicionar condição e escolha uma condição na lista. Defina o limite desejado para a condição selecionada. Repita para adicionar mais condições. Selecione Guardar para guardar a regra e, quando terminar de adicionar regras, selecione Seguinte.
Nota
Algumas condições de política só são aplicáveis a aplicativos que acessam permissões da API do Graph. Ao avaliar aplicativos que acessam apenas APIs que não sejam do Graph, a governança do aplicativo ignorará essas condições de política e continuará a verificar apenas outras condições de política.
Aqui estão as condições disponíveis para uma política de aplicativo personalizada:
Condição Valores de condição aceites Description Mais informações Idade de inscrição Nos últimos X dias Aplicativos que foram registrados no Microsoft Entra ID dentro de um período especificado a partir da data atual Certificação Sem certificação, atestado pelo Editor, certificado Microsoft 365 Aplicativos que são certificados pelo Microsoft 365, têm um relatório de atestado de editor ou nenhum Certificação Microsoft 365 Editor verificado Yes ou No. Aplicativos que têm editores verificados Verificação do editor Permissões de aplicativo (somente gráfico) Selecione uma ou mais permissões de API na lista Aplicativos com permissões específicas da API do Graph que foram concedidas diretamente Referência de permissões do Microsoft Graph Permissões delegadas (somente gráfico) Selecione uma ou mais permissões de API na lista Aplicativos com permissões específicas da API do Graph dadas por um usuário Referência de permissões do Microsoft Graph Altamente privilegiado Yes ou No. Aplicativos com permissões relativamente poderosas para o Microsoft Graph e outras APIs comuns de primeira parte da Microsoft Uma designação interna baseada na mesma lógica usada pelo Defender for Cloud Apps. Superprivilegiado (somente gráfico) Yes ou No. Aplicativos com permissões não utilizadas da API do Graph Aplicativos com mais permissões concedidas do que as que estão sendo usadas por esses aplicativos. Permissões de API não gráficas Yes ou No. Aplicativos com permissões para APIs que não sejam do Graph. Esses aplicativos podem expô-lo a riscos se as APIs acessadas receberem suporte e atualizações limitados. Utilização de dados Maior que X GB de dados baixados e carregados por dia Aplicativos que leram e gravaram mais de uma quantidade especificada de dados usando APIs do Microsoft Graph e do EWS Tendência de utilização de dados X % de aumento na utilização de dados em comparação com o dia anterior Os aplicativos cujos dados são lidos e gravados usando APIs do Microsoft Graph e do EWS aumentaram em uma porcentagem especificada em comparação com o dia anterior Acesso à API (somente gráfico) Maior que X chamadas de API por dia Aplicativos que fizeram mais de um número especificado de chamadas à API do Graph em um dia Tendência de acesso à API (somente gráfico) Aumento de X % nas chamadas de API em comparação com o dia anterior Aplicativos cujo número de chamadas à API do Graph aumentou em uma porcentagem especificada em comparação com o dia anterior Número de utilizadores consentidos (Maior ou Menor que) X utilizadores consentidos Aplicações que receberam consentimento por um número maior ou menor de utilizadores do que o especificado Aumento do número de utilizadores com consentimento X % de aumento de utilizadores nos últimos 90 dias Aplicações cujo número de utilizadores com consentimento aumentou mais de uma percentagem especificada nos últimos 90 dias Consentimento de conta prioritária dado Yes ou No. Aplicações que receberam consentimento de utilizadores prioritários Um usuário com uma conta prioritária. Nomes dos utilizadores que consentiram Selecionar usuários da lista Aplicações que receberam consentimento de utilizadores específicos Funções dos utilizadores que consentem Selecionar funções na lista Aplicativos que receberam consentimento de usuários com funções específicas Várias seleções permitidas. Qualquer função do Microsoft Entra com membro atribuído deve ser disponibilizada nesta lista.
Rótulos de sensibilidade acessados Selecione um ou mais rótulos de sensibilidade na lista Aplicativos que acessaram dados com rótulos de sensibilidade específicos nos últimos 30 dias. Serviços acedidos (apenas gráfico) Exchange e/ou OneDrive e/ou SharePoint e/ou Teams Aplicativos que acessaram o OneDrive, SharePoint ou Exchange Online usando APIs do Microsoft Graph e EWS Várias seleções permitidas. Taxa de erro (apenas gráfico) Taxa de erro superior a X% nos últimos sete dias Aplicativos cujas taxas de erro da API do Graph nos últimos sete dias são maiores do que uma porcentagem especificada Origem da aplicação (Pré-visualização) Externo ou Interno Aplicativos originados no locatário ou registrados em um locatário externo Todas as condições especificadas devem ser atendidas para que esta política de aplicativo gere um alerta.
Quando terminar de especificar as condições, selecione Salvar e, em seguida, selecione Avançar.
Na página Definir Ações de Política, selecione Desativar aplicativo se quiser que a governança do aplicativo desabilite o aplicativo quando um alerta baseado nessa política for gerado e selecione Avançar. Tenha cuidado ao aplicar ações, pois uma política pode afetar os usuários e o uso legítimo do aplicativo.
Na página Definir Status da Política, selecione uma destas opções:
- Modo de auditoria: as políticas são avaliadas, mas as ações configuradas não ocorrerão. As políticas do modo de auditoria aparecem com o status de Auditoria na lista de políticas. Você deve usar o modo de auditoria para testar uma nova política.
- Ativo: As políticas são avaliadas e as ações configuradas ocorrerão.
- Inativo: as políticas não são avaliadas e as ações configuradas não ocorrerão.
Analise cuidadosamente todos os parâmetros da sua política personalizada. Selecione Enviar quando estiver satisfeito. Você também pode voltar e alterar as configurações selecionando Editar abaixo de qualquer uma das configurações.
Testar e monitorar sua nova política de aplicativo
Agora que sua política de aplicativo foi criada, você deve monitorá-la na página Políticas para garantir que ela esteja registrando um número esperado de alertas ativos e o total de alertas durante o teste.
Se o número de alertas for um valor inesperadamente baixo, edite as configurações da política do aplicativo para garantir que você a configurou corretamente antes de definir seu status.
Aqui está um exemplo de um processo para criar uma nova política, testá-la e, em seguida, torná-la ativa:
- Crie a nova política com gravidade, aplicativos, condições e ações definidas como valores iniciais e o status definido como Modo de auditoria.
- Verifique o comportamento esperado, como alertas gerados.
- Se o comportamento não for esperado, edite os aplicativos de política, as condições e as configurações de ação conforme necessário e volte para a etapa 2.
- Se o comportamento for esperado, edite a política e altere seu status para Ativo.
Por exemplo, o fluxograma a seguir mostra as etapas envolvidas:
Criar uma nova política para aplicativos OAuth conectados ao Salesforce e ao Google Workspace
As políticas para aplicativos OAuth disparam alertas somente sobre políticas autorizadas por usuários no locatário.
Para criar uma nova política de aplicativos para Salesforce, Google e outros aplicativos:
Vá para Microsoft Defender XDR > Políticas de governança > > de aplicativos Outros aplicativos. Por exemplo:
Filtre as aplicações de acordo com as suas necessidades. Por exemplo, talvez você queira exibir todos os aplicativos que solicitam Permissão para Modificar calendários em sua caixa de correio.
Gorjeta
Use o filtro de uso da comunidade para obter informações sobre se permitir permissão para este aplicativo é comum, incomum ou raro. Esse filtro pode ser útil se você tiver um aplicativo raro e solicitar permissão com alto nível de gravidade ou solicitar permissão de muitos usuários.
Talvez você queira definir a política com base nas associações de grupo dos usuários que autorizaram os aplicativos. Por exemplo, um administrador pode decidir definir uma política que revogue aplicativos incomuns se eles pedirem permissões altas, somente se o usuário que autorizou as permissões for membro do grupo Administradores.
Por exemplo:
Políticas de deteção de anomalias para aplicativos OAuth conectados ao Salesforce e ao Google Workspace
Além das políticas de aplicativos Oauth que você pode criar, os aplicativos do Defender for Cloud fornecem políticas de deteção de anomalias prontas para uso que traçam o perfil de metadados de aplicativos OAuth para identificar aqueles que são potencialmente maliciosos.
Esta seção só é relevante para aplicativos Salesforce e Google Workspace.
Nota
As políticas de deteção de anomalias só estão disponíveis para aplicações OAuth autorizadas no seu ID do Microsoft Entra. A gravidade das políticas de deteção de anomalias do aplicativo OAuth não pode ser modificada.
A tabela a seguir descreve as políticas de deteção de anomalias prontas para uso fornecidas pelo Defender for Cloud Apps:
Política | Description |
---|---|
Nome enganoso do aplicativo OAuth | Analisa aplicações OAuth ligadas ao seu ambiente e dispara um alerta quando uma aplicação com um nome enganoso é detetada. Nomes enganosos, como letras estrangeiras que se assemelham a letras latinas, podem indicar uma tentativa de disfarçar um aplicativo mal-intencionado como um aplicativo conhecido e confiável. |
Nome de editor enganoso para um aplicativo OAuth | Analisa as aplicações OAuth ligadas ao seu ambiente e dispara um alerta quando é detetada uma aplicação com um nome de editor enganador. Nomes de editores enganosos, como letras estrangeiras que se assemelham a letras latinas, podem indicar uma tentativa de disfarçar um aplicativo mal-intencionado como um aplicativo proveniente de um editor conhecido e confiável. |
Consentimento mal-intencionado do aplicativo OAuth | Analisa aplicações OAuth ligadas ao seu ambiente e dispara um alerta quando uma aplicação potencialmente maliciosa é autorizada. Aplicativos OAuth maliciosos podem ser usados como parte de uma campanha de phishing na tentativa de comprometer os usuários. Essa deteção usa a pesquisa de segurança da Microsoft e a experiência em inteligência de ameaças para identificar aplicativos mal-intencionados. |
Atividades suspeitas de download de arquivos do aplicativo OAuth | Para obter mais informações, consulte Políticas de deteção de anomalias. |