Políticas comuns de proteção contra ameaças do Defender for Cloud Apps
O Defender for Cloud Apps permite-lhe identificar problemas de utilização de alto risco e de segurança na nuvem, detetar comportamentos anormais do utilizador e prevenir ameaças nas suas aplicações na nuvem sancionadas. Obtenha visibilidade das atividades de usuários e administradores e defina políticas para alertar automaticamente quando comportamentos suspeitos ou atividades específicas que você considera arriscadas forem detetados. Aproveite a vasta quantidade de informações sobre ameaças e dados de pesquisa de segurança da Microsoft para ajudar a garantir que seus aplicativos sancionados tenham todos os controles de segurança necessários e ajudá-lo a manter o controle sobre eles.
Nota
Ao integrar o Defender for Cloud Apps com o Microsoft Defender for Identity, as políticas do Defender for Identity também aparecem na página de políticas. Para obter uma lista de políticas do Defender for Identity, consulte Alertas de segurança.
Detete e controle a atividade do usuário a partir de locais desconhecidos
Deteção automática de acesso ou atividade de usuários de locais desconhecidos que nunca foram visitados por ninguém em sua organização.
Pré-requisitos
Você deve ter pelo menos um aplicativo conectado usando conectores de aplicativo.
Passos
Essa deteção é configurada automaticamente pronta para alertá-lo quando houver acesso de novos locais. Não é necessário tomar nenhuma medida para configurar essa política. Para obter mais informações, consulte Políticas de deteção de anomalias.
Detetar conta comprometida por localização impossível (viagem impossível)
Deteção automática de acesso ou atividade do usuário a partir de 2 locais diferentes dentro de um período de tempo que é menor do que o tempo que leva para viajar entre os dois.
Pré-requisitos
Você deve ter pelo menos um aplicativo conectado usando conectores de aplicativo.
Passos
Essa deteção é configurada automaticamente pronta para alertá-lo quando houver acesso de locais impossíveis. Não é necessário tomar nenhuma medida para configurar essa política. Para obter mais informações, consulte Políticas de deteção de anomalias.
Opcional: você pode personalizar as políticas de deteção de anomalias:
Personalizar o escopo de deteção em termos de usuários e grupos
Escolha os tipos de entradas a considerar
Definir a sua preferência de sensibilidade para alertas
Crie a política de deteção de anomalias.
Detetar atividades suspeitas de um funcionário "em licença"
Detete quando um usuário, que está em licença não remunerada e não deveria estar ativo em nenhum recurso organizacional, está acessando qualquer um dos recursos de nuvem da sua organização.
Pré-requisitos
Você deve ter pelo menos um aplicativo conectado usando conectores de aplicativo.
Crie um grupo de segurança no Microsoft Entra ID para os usuários em licença não remunerada e adicione todos os usuários que você deseja monitorar.
Passos
Na tela Grupos de usuários, selecione Criar grupo de usuários e importe o grupo relevante do Microsoft Entra.
No Portal do Microsoft Defender, em Cloud Apps, vá para Policies ->Policy management. Crie uma nova política de atividade.
Definir o filtro Grupo de usuários é igual ao nome dos grupos de usuários criados no Microsoft Entra ID para os usuários de licença não remunerada.
Opcional: defina as ações de Governança a serem executadas em arquivos quando uma violação for detetada. As ações de governança disponíveis variam entre os serviços. Você pode escolher Suspender usuário.
Crie a política de arquivos.
Detetar e notificar quando o sistema operacional do navegador desatualizado é usado
Detete quando um usuário está usando um navegador com uma versão de cliente desatualizada que pode representar riscos de conformidade ou segurança para sua organização.
Pré-requisitos
Você deve ter pelo menos um aplicativo conectado usando conectores de aplicativo.
Passos
No Portal do Microsoft Defender, em Cloud Apps, vá para Policies ->Policy management. Crie uma nova política de atividade.
Defina o filtro A tag User agent é igual a Navegador desatualizado e Sistema operacional desatualizado.
Defina as ações de Governança a serem executadas nos arquivos quando uma violação for detetada. As ações de governança disponíveis variam entre os serviços. Em Todos os aplicativos, selecione Notificar usuário, para que os usuários possam agir de acordo com o alerta e atualizar os componentes necessários.
Crie a política de atividade.
Detetar e alertar quando a atividade do administrador for detetada em endereços IP de risco
Detete as atividades administrativas realizadas a partir do endereço IP considerado de risco e notifique o administrador do sistema para uma investigação mais aprofundada ou defina uma ação de governança na conta do administrador.
Pré-requisitos
Você deve ter pelo menos um aplicativo conectado usando conectores de aplicativo.
Na engrenagem Configurações, selecione intervalos de endereços IP e selecione o + para adicionar intervalos de endereços IP para suas sub-redes internas e seus endereços IP públicos de saída. Defina a categoria como Interna.
Passos
No Portal do Microsoft Defender, em Cloud Apps, vá para Policies ->Policy management. Crie uma nova política de atividade.
Defina o Ato para Atividade única.
Definir o endereço IP do filtro como Categoria igual a Arriscado
Definir o filtro Atividade administrativa como True
Defina as ações de Governança a serem executadas nos arquivos quando uma violação for detetada. As ações de governança disponíveis variam entre os serviços. Em Todos os aplicativos, selecione Notificar usuário, para que os usuários possam agir de acordo com o alerta e atualizar os componentes necessários CC o gerente do usuário.
Crie a política de atividades.
Detetar atividades por conta de serviço a partir de endereços IP externos
Detetar atividades de conta de serviço originadas de endereços IP não internos. Isso pode indicar um comportamento suspeito ou uma conta comprometida.
Pré-requisitos
Você deve ter pelo menos um aplicativo conectado usando conectores de aplicativo.
Na engrenagem Configurações, selecione intervalos de endereços IP e selecione o + para adicionar intervalos de endereços IP para suas sub-redes internas e seus endereços IP públicos de saída. Defina a categoria como Interna.
Padronize uma convenção de nomenclatura para contas de serviço em seu ambiente, por exemplo, defina todos os nomes de conta para começar com "svc".
Passos
No Portal do Microsoft Defender, em Cloud Apps, vá para Policies ->Policy management. Crie uma nova política de atividade.
Defina o filtro Usuário como Nome e, em seguida, Começa com e insira sua convenção de nomenclatura, como svc.
Definir o endereço IP do filtro como Categoria não é igual a Outro e Corporativo.
Defina as ações de Governança a serem executadas nos arquivos quando uma violação for detetada. As ações de governança disponíveis variam entre os serviços.
Crie a política.
Detetar download em massa (exfiltração de dados)
Detete quando um determinado usuário acessa ou baixa um grande número de arquivos em um curto período de tempo.
Pré-requisitos
Você deve ter pelo menos um aplicativo conectado usando conectores de aplicativo.
Passos
No Portal do Microsoft Defender, em Cloud Apps, vá para Policies ->Policy management. Crie uma nova política de atividade.
Definir os endereços IP do filtro como Tag não é igual ao Microsoft Azure. Isso excluirá atividades não interativas baseadas em dispositivos.
Defina o filtro Tipos de atividade igual a e, em seguida, selecione todas as atividades de download relevantes.
Defina as ações de Governança a serem executadas nos arquivos quando uma violação for detetada. As ações de governança disponíveis variam entre os serviços.
Crie a política.
Detetar potencial atividade de Ransomware
Deteção automática de potencial atividade de Ransomware.
Pré-requisitos
Você deve ter pelo menos um aplicativo conectado usando conectores de aplicativo.
Passos
Essa deteção é configurada automaticamente pronta para alertá-lo quando há um risco potencial de ransomware detetado. Não é necessário tomar nenhuma medida para configurar essa política. Para obter mais informações, consulte Políticas de deteção de anomalias.
É possível configurar o Escopo da deteção e personalizar as ações de Governança a serem tomadas quando um alerta é acionado. Para obter mais informações sobre como o Defender for Cloud Apps identifica o Ransomware, consulte Protegendo sua organização contra ransomware.
Nota
Isso se aplica ao Microsoft 365, Google Workspace, Box e Dropbox.
Detetar malware na nuvem
Detete arquivos contendo malware em seus ambientes de nuvem utilizando a integração do Defender for Cloud Apps com o mecanismo de Inteligência de Ameaças da Microsoft.
Pré-requisitos
- Para deteção de malware do Microsoft 365, você deve ter uma licença válida para o Microsoft Defender for Microsoft 365 P1.
- Você deve ter pelo menos um aplicativo conectado usando conectores de aplicativo.
Passos
- Essa deteção é configurada automaticamente para alertá-lo quando há um arquivo que pode conter malware. Não é necessário tomar nenhuma medida para configurar essa política. Para obter mais informações, consulte Políticas de deteção de anomalias.
Detetar a tomada de controlo de administradores fraudulentos
Detete atividades repetidas do administrador que possam indicar intenções maliciosas.
Pré-requisitos
Você deve ter pelo menos um aplicativo conectado usando conectores de aplicativo.
Passos
No Portal do Microsoft Defender, em Cloud Apps, vá para Policies ->Policy management. Crie uma nova política de atividade.
Defina Agir em atividade repetida, personalize o Mínimo de atividades repetidas e defina um período de tempo para estar em conformidade com a política da sua organização.
Defina o filtro Usuário como Do grupo igual e selecione todo o grupo de administradores relacionado como Somente ator.
Definir o filtro Tipo de atividade é igual a todas as atividades relacionadas a atualizações, alterações e redefinições de senha.
Defina as ações de Governança a serem executadas nos arquivos quando uma violação for detetada. As ações de governança disponíveis variam entre os serviços.
Crie a política.
Detetar regras suspeitas de manipulação da caixa de entrada
Se uma regra de caixa de entrada suspeita foi definida na caixa de entrada de um usuário, isso pode indicar que a conta de usuário está comprometida e que a caixa de correio está sendo usada para distribuir spam e malware em sua organização.
Pré-requisitos
- Uso do Microsoft Exchange para email.
Passos
- Essa deteção é configurada automaticamente pronta para alertá-lo quando houver um conjunto de regras de caixa de entrada suspeitas. Não é necessário tomar nenhuma medida para configurar essa política. Para obter mais informações, consulte Políticas de deteção de anomalias.
Detetar credenciais vazadas
Quando os criminosos virtuais comprometem palavras-passe válidas de utilizadores legítimos, muitas vezes partilham essas credenciais. Isso geralmente é feito publicando-os na dark web ou colando sites ou negociando ou vendendo as credenciais no mercado negro.
O Defender for Cloud Apps utiliza a inteligência de ameaças da Microsoft para fazer corresponder essas credenciais às usadas dentro da sua organização.
Pré-requisitos
Você deve ter pelo menos um aplicativo conectado usando conectores de aplicativo.
Passos
Essa deteção é configurada automaticamente pronta para alertá-lo quando um possível vazamento de credenciais é detetado. Não é necessário tomar nenhuma medida para configurar essa política. Para obter mais informações, consulte Políticas de deteção de anomalias.
Detetar downloads de arquivos anômalos
Detete quando os usuários executam várias atividades de download de arquivos em uma única sessão, em relação à linha de base aprendida. Isso pode indicar uma tentativa de violação.
Pré-requisitos
Você deve ter pelo menos um aplicativo conectado usando conectores de aplicativo.
Passos
Essa deteção é configurada automaticamente pronta para alertá-lo quando ocorre um download anômalo. Não é necessário tomar nenhuma medida para configurar essa política. Para obter mais informações, consulte Políticas de deteção de anomalias.
É possível configurar o escopo da deteção e personalizar a ação a ser tomada quando um alerta é acionado.
Detetar compartilhamentos de arquivos anômalos por um usuário
Detete quando os usuários executam várias atividades de compartilhamento de arquivos em uma única sessão em relação à linha de base aprendida, o que pode indicar uma tentativa de violação.
Pré-requisitos
Você deve ter pelo menos um aplicativo conectado usando conectores de aplicativo.
Passos
Essa deteção é configurada automaticamente pronta para alertá-lo quando os usuários executam vários compartilhamentos de arquivos. Não é necessário tomar nenhuma medida para configurar essa política. Para obter mais informações, consulte Políticas de deteção de anomalias.
É possível configurar o escopo da deteção e personalizar a ação a ser tomada quando um alerta é acionado.
Detetar atividades anômalas de países/regiões pouco frequentes
Detete atividades de um local que não foi visitado recentemente ou nunca foi visitado pelo usuário ou por qualquer usuário em sua organização.
Pré-requisitos
Você deve ter pelo menos um aplicativo conectado usando conectores de aplicativo.
Passos
Essa deteção é configurada automaticamente pronta para alertá-lo quando ocorre uma atividade anômala de um país/região pouco frequente. Não é necessário tomar nenhuma medida para configurar essa política. Para obter mais informações, consulte Políticas de deteção de anomalias.
É possível configurar o escopo da deteção e personalizar a ação a ser tomada quando um alerta é acionado.
Nota
A deteção de locais anômalos requer um período inicial de aprendizagem de 7 dias. Durante o período de aprendizagem, o Defender for Cloud Apps não gera alertas para novas localizações.
Detetar a atividade executada por um usuário encerrado
Detete quando um usuário que não é mais um funcionário da sua organização executa uma atividade em um aplicativo sancionado. Isso pode indicar atividade maliciosa por parte de um funcionário demitido que ainda tem acesso aos recursos corporativos.
Pré-requisitos
Você deve ter pelo menos um aplicativo conectado usando conectores de aplicativo.
Passos
Essa deteção é configurada automaticamente pronta para alertá-lo quando uma atividade é executada por um funcionário demitido. Não é necessário tomar nenhuma medida para configurar essa política. Para obter mais informações, consulte Políticas de deteção de anomalias.
É possível configurar o escopo da deteção e personalizar a ação a ser tomada quando um alerta é acionado.
Próximos passos
Se tiver algum problema, estamos aqui para ajudar. Para obter assistência ou suporte para o problema do seu produto, abra um ticket de suporte.