Partilhar via

Trabalhar com aplicações detetadas

  • Artigo

A página Descoberta de nuvem fornece um painel projetado para fornecer mais informações sobre como os aplicativos de nuvem estão sendo usados em sua organização. O painel fornece uma visão rápida dos tipos de aplicativos que estão sendo usados, seus alertas abertos e os níveis de risco dos aplicativos em sua organização. Ele também mostra quem são os principais usuários do aplicativo e fornece um mapa de localização da sede do aplicativo.

Filtre seus dados de descoberta na nuvem para gerar visualizações específicas, dependendo do que mais lhe interessa. Para obter mais informações, consulte Filtros de aplicativos descobertos.

Pré-requisitos

Para obter informações sobre as funções necessárias, consulte Gerenciar acesso de administrador.

Revise o painel de descoberta de nuvem

Este procedimento descreve como obter uma imagem inicial e geral dos seus aplicativos de descoberta de nuvem no painel de descoberta de nuvem.

  1. No portal do Microsoft Defender, selecione Cloud apps > Cloud discovery.

    Por exemplo:

    Captura de ecrã do painel de deteção da nuvem

    As aplicações suportadas incluem aplicações Windows e macOS, ambas listadas no fluxo de terminais geridos do Defender.

  2. Reveja as seguintes informações:

    1. Use a Visão geral de uso de alto nível para entender o uso geral de aplicativos na nuvem em sua organização.

    2. Aprofunde-se um nível mais fundo para entender as principais categorias usadas em sua organização para cada um dos diferentes parâmetros de uso. Observe quanto desse uso é feito por aplicativos sancionados.

    3. Use a guia Aplicativos descobertos para ir ainda mais fundo e ver todos os aplicativos em uma categoria específica.

    4. Verifique os principais usuários e endereços IP de origem para identificar quais usuários são os usuários mais dominantes de aplicativos em nuvem em sua organização.

    5. Use o mapa da sede do aplicativo para verificar como os aplicativos descobertos se espalham de acordo com a localização geográfica, de acordo com sua sede.

    6. Use a Visão geral do risco do aplicativo para entender a pontuação de risco dos aplicativos descobertos e verifique o status dos alertas de descoberta para ver quantos alertas abertos você deve investigar.

Aprofunde-se em aplicativos descobertos

Para se aprofundar nos dados de descoberta na nuvem, use os filtros para verificar se há aplicativos arriscados ou comumente usados.

Por exemplo, se você quiser identificar aplicativos de colaboração e armazenamento em nuvem comumente usados e arriscados, use a página Aplicativos descobertos para filtrar os aplicativos desejados. Em seguida, dessancione-os ou bloqueie-os da seguinte forma:

  1. No portal do Microsoft Defender, em Cloud Apps, selecione Cloud discovery. Em seguida, escolha a guia Aplicativos descobertos .

  2. Na guia Aplicativos descobertos, em Procurar por categoria, selecione Armazenamento em nuvem e Colaboração.

  3. Use os filtros avançados para definir o fator de risco de conformidade como SOC 2 = No.

  4. Em Uso, defina Usuários como maior que 50 usuários e Transações como maior que 100.

  5. Defina o fator de risco de segurança para Criptografia de dados em repouso igual a Não suportado. Em seguida, defina Pontuação de risco igual a 6 ou inferior.

    Captura de ecrã de exemplos de filtros de aplicações descobertos.

Depois que os resultados forem filtrados, cancele a sanção e bloqueie-os usando a caixa de seleção de ação em massa para dessancioná-los todos em uma única ação. Depois que eles não forem sancionados, use um script de bloqueio para impedir que eles sejam usados em seu ambiente.

Você também pode querer identificar instâncias específicas do aplicativo que estão em uso investigando os subdomínios descobertos. Por exemplo, diferencie entre diferentes sites do SharePoint:

Filtro de subdomínio.

Nota

Mergulhos profundos em aplicativos descobertos são suportados apenas em firewalls e proxies que contêm dados de URL de destino. Para obter mais informações, consulte Firewalls e proxies suportados.

Se o Defender for Cloud Apps não puder corresponder ao subdomínio detetado nos logs de tráfego com os dados armazenados no catálogo de aplicativos, o subdomínio será marcado como Outro.

Descubra recursos e aplicações personalizadas

A descoberta na nuvem também permite que você mergulhe em seus recursos de IaaS e PaaS. Descubra atividades em suas plataformas de hospedagem de recursos, visualizando o acesso a dados em seus aplicativos e recursos autohospedados, incluindo contas de armazenamento, infraestrutura e aplicativos personalizados hospedados no Azure, no Google Cloud Platform e na AWS. Você não só pode ver o uso geral em suas soluções IaaS, mas também pode obter visibilidade dos recursos específicos hospedados em cada um deles e do uso geral dos recursos para ajudar a reduzir o risco por recurso.

Por exemplo, se uma grande quantidade de dados for carregada, descubra para qual recurso ele foi carregado e faça uma busca detalhada para ver quem realizou a atividade.

Nota

Isso é suportado apenas em firewalls e proxies que contêm dados de URL de destino. Para obter mais informações, consulte a lista de dispositivos suportados em Firewalls e proxies suportados.

Para visualizar os recursos descobertos:

  1. No portal do Microsoft Defender, em Cloud Apps, selecione Cloud discovery. Em seguida, escolha a guia Recursos descobertos .

    Captura de ecrã do menu de recursos descobertos.

  2. Na página Recursos descobertos, faça uma busca detalhada em cada recurso para ver que tipos de transações ocorreram, quem o acessou e, em seguida, faça uma busca detalhada para investigar ainda mais os usuários.

    Captura de ecrã do separador Recursos descobertos.

  3. Para aplicações personalizadas, selecione o menu de opções no final da linha e, em seguida, selecione Adicionar nova aplicação personalizada. Isso abre a caixa de diálogo Adicionar este aplicativo , onde você pode nomear e identificar o aplicativo para que ele possa ser incluído no painel de descoberta na nuvem.

Gerar um relatório executivo de descoberta na nuvem

A melhor maneira de obter uma visão geral do uso do Shadow IT em toda a sua organização é gerando um relatório executivo de descoberta de nuvem. Este relatório identifica os principais riscos potenciais e ajuda-o a planear um fluxo de trabalho para mitigar e gerir os riscos até que sejam resolvidos.

Para gerar um relatório executivo de descoberta de nuvem:

  1. No portal do Microsoft Defender, em Cloud Apps, selecione Cloud discovery.

  2. Na página Descoberta de nuvem, selecione Ações>gerar relatório executivo de descoberta de nuvem.

  3. Opcionalmente, altere o nome do relatório e selecione Gerar.

Excluir entidades

Se você tiver usuários do sistema, endereços IP ou dispositivos barulhentos, mas desinteressantes, ou entidades que não devem ser apresentadas nos relatórios do Shadow IT, convém excluir seus dados dos dados de descoberta na nuvem analisados. Por exemplo, talvez você queira excluir todas as informações originadas de um host local.

Para criar uma exclusão:

  1. No portal do Microsoft Defender, selecione Configurações>Cloud Apps>Cloud Discovery>Excluir entidades.

  2. Selecione a guia Usuários excluídos, Grupos excluídos, Endereços IP excluídos ou Dispositivos excluídos e selecione o botão +Adicionar para adicionar sua exclusão.

  3. Adicione um alias de usuário, endereço IP ou nome de dispositivo. Recomendamos adicionar informações sobre o motivo da exclusão.

    Captura de ecrã a mostrar a exclusão de um utilizador.

Nota

Todas as exclusões de entidades aplicam-se apenas aos dados recém-recebidos. Os dados históricos das entidades excluídas permanecem durante o período de retenção (90 dias).

Gerir relatórios contínuos

Os relatórios contínuos personalizados fornecem mais granularidade ao monitorar os dados de log de descoberta na nuvem da sua organização. Crie relatórios personalizados para filtrar localizações geográficas, redes e sites específicos ou unidades organizacionais. Por padrão, apenas os seguintes relatórios aparecem no seletor de relatórios de descoberta na nuvem:

  • O Relatório global consolida todas as informações no portal de todas as origens de dados que incluiu nos seus registos. O relatório global não inclui dados do Microsoft Defender for Endpoint.

  • O relatório específico de origem de dados apresenta apenas as informações de uma origem de dados específica.

Para criar um novo relatório contínuo:

  1. No portal do Microsoft Defender, selecione Configurações>Cloud Apps>Cloud Discovery>Relatório>contínuo Criar relatório.

  2. Introduza um nome de relatório.

  3. Selecione as origens de dados que quer incluir (todas ou específicas).

  4. Defina os filtros desejados nos dados. Esses filtros podem ser grupos de usuários, tags de endereço IP ou intervalos de endereços IP. Para mais informações sobre como trabalhar com etiquetas de endereço IP e intervalos de endereço IP, veja a secção Organize the data according to your needs (Organizar os dados de acordo com as suas necessidades).

    Captura de tela da criação de um relatório contínuo personalizado.

Nota

Todos os relatórios personalizados são limitados a um máximo de 1 GB de dados não compactados. Se houver mais de 1 GB de dados, os primeiros 1 GB de dados serão exportados para o relatório.

Excluindo dados de descoberta na nuvem

Recomendamos excluir dados de descoberta na nuvem nos seguintes casos:

  • Se você carregou arquivos de log manualmente, passou muito tempo desde que atualizou o sistema com novos arquivos de log e não deseja que dados antigos afetem seus resultados.

  • Quando você define uma nova exibição de dados personalizada, ela se aplica somente a novos dados a partir desse ponto. Nesses casos, convém apagar dados antigos e, em seguida, carregar seus arquivos de log novamente para habilitar a exibição de dados personalizada para coletar eventos nos dados do arquivo de log.

  • Se muitos usuários ou endereços IP recentemente começaram a trabalhar novamente depois de ficarem offline por algum tempo, sua atividade é identificada como anômala e pode lhe dar violações de falsos positivos.

Importante

Certifique-se de que pretende eliminar os dados antes de o fazer. Essa ação é irreversível e exclui todos os dados de descoberta de nuvem no sistema.

Para excluir dados de descoberta na nuvem:

  1. No Portal do Microsoft Defender, selecione Configurações>Cloud Apps>Cloud Discovery>Excluir dados.

  2. Selecione o botão Eliminar.

    Captura de ecrã a mostrar a eliminação de dados de deteção na nuvem.

Nota

O processo de eliminação demora alguns minutos e não é imediato.

Próximos passos

Criar relatórios de descoberta de nuvem de snapshot

Configurar o carregamento de registos automático para relatórios contínuos

Trabalhando com dados de descoberta na nuvem

Descubra aplicativos que usam a integração do Microsoft Defender for Endpoint