Política de deteção de anomalias de descoberta na nuvem
Uma política de deteção de anomalias de descoberta na nuvem permite que você configure o monitoramento contínuo de aumentos incomuns no uso de aplicativos na nuvem. Aumentos nos dados baixados, dados carregados, transações e usuários são considerados para cada aplicativo na nuvem. Cada aumento é comparado com o padrão de utilização normal da aplicação, conforme aprendido na utilização anterior. Os aumentos mais extremos acionam alertas de segurança.
Este artigo descreve como criar e configurar uma política de deteção de anomalias de descoberta na nuvem no Microsoft Defender for Cloud Apps.
Importante
A partir de agosto de 2024, o suporte a anomalias de descoberta na nuvem para o Microsoft Defender for Cloud Apps será desativado. Como tal, o procedimento legado apresentado neste artigo é fornecido apenas para fins informativos. Se quiser receber alertas de segurança semelhantes à deteção de anomalias, conclua as etapas em Criar política de descoberta de aplicativos.
Criar política de descoberta de aplicativos
Embora o suporte para deteção de anomalias de descoberta na nuvem tenha sido desativado, você pode receber alertas de segurança semelhantes criando uma política de descoberta de aplicativos:
No Portal do Microsoft Defender, expanda a seção Políticas de aplicativos>em nuvem no menu à esquerda e selecione Gerenciamento de políticas.
Na página Políticas, selecione a guia Shadow IT.
Expanda o menu suspenso Criar política e selecione a opção Política de descoberta de aplicativos.
Selecione a opção Acionar uma correspondência de política se todos os itens a seguir ocorrerem no mesmo dia :
Configure os filtros e as configurações associados, conforme descrito em Criar uma política de deteção de anomalias.
(Legado) Criar política de deteção de anomalias
Para cada política de deteção de anomalias, você define filtros que permitem monitorar seletivamente o uso do aplicativo. Os filtros estão disponíveis para o aplicativo, exibições de dados selecionadas e uma data de início selecionada. Você também pode definir a sensibilidade e especificar quantos alertas a política deve ser acionada.
Siga as etapas para criar uma política de deteção de anomalias de descoberta na nuvem:
No Portal do Microsoft Defender, expanda a seção Políticas de aplicativos>em nuvem no menu à esquerda e selecione Gerenciamento de políticas.
Na página Políticas, selecione a guia Shadow IT.
Expanda o menu suspenso Criar política e selecione a opção de política de deteção de anomalias do Cloud Discovery:
A página Criar política de deteção de anomalias do Cloud Discovery é aberta, onde você configura parâmetros para a política a ser criada.
Na página Criar política de deteção de anomalias do Cloud Discovery, a opção Modelo de política fornece uma lista de modelos que você pode escolher para usar como base para a política. Por padrão, a opção é definida como Sem modelo.
Se quiser basear a política em um modelo, expanda o menu suspenso e selecione um modelo:
Comportamento anômalo em usuários descobertos: Alerta quando um comportamento anômalo é detetado em usuários e aplicativos descobertos. Você pode usar esse modelo para verificar grandes quantidades de dados carregados em comparação com outros usuários ou grandes transações de usuários em comparação com o histórico do usuário.
Comportamento anômalo de endereços IP descobertos: Alertas quando um comportamento anômalo é detetado em endereços IP e aplicativos descobertos. Você pode usar esse modelo para verificar grandes quantidades de dados carregados em comparação com outros endereços IP ou grandes transações de aplicativos em comparação com o histórico do endereço IP.
A imagem a seguir mostra como selecionar um modelo para usar como base para a nova política no portal do Microsoft Defender:
Insira um Nome e Descrição da política para a nova política.
Crie um filtro para as aplicações que pretende monitorizar utilizando a opção Selecionar um filtro .
Expanda o menu suspenso e escolha filtrar todos os aplicativos correspondentes por Tag de aplicativo, Aplicativos e domínio, Categoria, vários fatores de risco ou Pontuação de risco.
Para criar mais filtros, selecione Adicionar um filtro.
A imagem a seguir mostra como selecionar um filtro para a política a ser aplicada a todos os aplicativos correspondentes no portal do Microsoft Defender:
Configure filtros de uso do aplicativo na seção Aplicar a :
Use o primeiro menu suspenso para escolher como monitorar relatórios de uso contínuo:
Todos os relatórios contínuos (padrão): compare cada aumento de uso com o padrão de uso normal, conforme aprendido em todas as exibições de dados.
Relatórios contínuos específicos: compare cada aumento de uso com o padrão de uso normal. O padrão é aprendido a partir da mesma visão de dados onde o aumento foi observado.
Use o segundo menu suspenso para especificar associações monitoradas para cada uso de aplicativo na nuvem:
Usuários: Ignore a associação do uso do aplicativo com endereços IP.
Endereços IP: ignore a associação do uso do aplicativo com os usuários.
Usuários, endereços IP (padrão): Monitore a associação do uso do aplicativo por usuários e endereços IP. Esta opção pode produzir alertas duplicados quando existe uma correspondência apertada entre os utilizadores e os endereços IP.
A imagem a seguir mostra como configurar filtros de uso do aplicativo e a data de início para gerar alertas de uso no portal do Microsoft Defender:
Para a opção Gerar alertas apenas para atividades suspeitas que ocorram após , insira a data para começar a gerar alertas de uso do aplicativo.
Qualquer aumento no uso do aplicativo antes da data de início especificada é ignorado. No entanto, os dados de atividade de uso anteriores à data de início são aprendidos para estabelecer o padrão de uso normal.
Na seção Alertas, configure a sensibilidade e as notificações de alerta. Há várias maneiras de controlar o número de alertas acionados pela política:
Use o controle deslizante Selecionar sensibilidade de deteção de anomalias para disparar alertas para as principais atividades anômalas X por 1.000 usuários por semana. Alertas acionados para as atividades com maior risco.
Selecione a opção Criar um alerta para cada evento correspondente com a gravidade da política e defina outros parâmetros para o alerta:
Enviar alerta como e-mail: insira os endereços de e-mail para mensagens de alerta. Um máximo de 500 mensagens podem ser enviadas por endereço de e-mail por dia. A contagem é reiniciada à meia-noite no fuso horário UTC.
Limite de alerta diário por política: use o menu suspenso e selecione o limite desejado. Essa opção restringe o número de alertas gerados em um único dia ao valor especificado.
Enviar alertas para o Power Automate: escolha um manual para executar ações quando um alerta for acionado. Você também pode abrir um novo playbook selecionando Criar um playbook no Power Automate.
Para definir as configurações padrão da sua organização para usar seus valores para o limite de alerta diário e as configurações de email, selecione Salvar como configurações padrão.
Para usar as configurações padrão da sua organização para o limite de alerta diário e as configurações de email, selecione Restaurar configurações padrão.
A imagem a seguir mostra como configurar alertas para a política, incluindo sensibilidade, notificações por email e um limite diário no portal do Microsoft Defender:
Confirme suas opções de configuração e selecione Criar.
Trabalhar com uma política existente
Quando você cria uma política, ela é habilitada por padrão. Você pode desativar uma política e executar outras ações, como Editar e Excluir.
Na página Políticas, localize a política a ser atualizada na lista de políticas.
Na lista de políticas, desloque-se para a direita na linha da política e selecione Mais opções (...).
No menu pop-up, selecione a ação a ser executada na política.
Próximo passo
Se tiver algum problema, estamos aqui para ajudar. Para obter assistência ou suporte para o problema do seu produto, abra um ticket de suporte.