Políticas de sessão

Nota

O Microsoft Defender for Cloud Apps agora faz parte do Microsoft 365 Defender, que correlaciona sinais de todo o pacote Microsoft Defender e fornece recursos poderosos de deteção, investigação e resposta em nível de incidente. Para obter mais informações, consulte Microsoft Defender for Cloud Apps no Microsoft 365 Defender.

As políticas de sessão do Microsoft Defender for Cloud Apps fornecem visibilidade granular de aplicativos na nuvem com monitoramento em tempo real no nível da sessão. Use políticas de sessão para executar ações diferentes, dependendo da política definida para uma sessão de usuário.

Em vez de permitir ou bloquear completamente o acesso, use políticas de controle de sessão para permitir o acesso enquanto monitora a sessão. Você também pode querer limitar atividades de sessão específicas usando o suporte a proxy reverso do Controle de Aplicativo de Acesso Condicional.

Por exemplo, você pode decidir que deseja permitir que os usuários acessem um aplicativo de dispositivos não gerenciados ou de sessões provenientes de locais específicos. No entanto, você deseja limitar o download de arquivos confidenciais ou exigir que documentos específicos sejam protegidos após o download.

As políticas de sessão permitem definir controles de sessão do usuário, configurar o acesso e muito mais:

• Monitorizar todas as atividades
• Bloquear todos os downloads
• Bloquear atividades específicas
• Exigir autenticação step-up (contexto de autenticação)
• Proteja os arquivos durante o download
• Proteja uploads de arquivos confidenciais
• Bloquear malware no upload
• Educar os usuários para proteger arquivos confidenciais

Nota

• Não há limite para o número de políticas que podem ser aplicadas.
• Não há conexão entre uma política que você cria para um aplicativo host e qualquer aplicativo de recurso relacionado. Por exemplo, as políticas de sessão que você cria para o Teams, Exchange ou Gmail não estão conectadas ao Sharepoint, OneDrive ou Google Drive. Se você precisar de uma política para o aplicativo de recurso, além do aplicativo host, crie uma política separada.

Pré-requisitos para usar políticas de sessão

Antes de começar, certifique-se de que tem os seguintes pré-requisitos:

• Uma licença do Defender for Cloud Apps (independente ou parte de outra licença)

• Uma licença para o Azure AD Premium P1 (como uma licença autônoma ou como uma licença E5) ou a licença exigida pela sua solução de provedor de identidade (IdP)

• Os aplicativos relevantes devem ser implantados com o Controle de Aplicativo de Acesso Condicional

• Certifique-se de que configurou a sua solução IdP para funcionar com o Defender for Cloud Apps, da seguinte forma:

  • Para o Acesso Condicional do Azure AD, consulte Configurar a integração com o Azure AD
  • Para outras soluções de IdP, consulte Configurar a integração com outras soluções de IdP

Criar uma política de sessão do Defender for Cloud Apps

Use as seguintes etapas para criar uma nova política de sessão:

1. No portal do Microsoft 365 Defender, em Cloud Apps, vá para Policies ->Policy management. Em seguida, selecione a guia Acesso condicional .

2. Selecione Criar política e selecione Política de sessão. Por exemplo:

   

3. Na janela Política de sessão, atribua um nome para sua política, como Bloquear Download de Documentos Confidenciais no Box for Marketing Users.

4. No campo Tipo de controle de sessão, selecione:

   • Selecione Monitorar somente se quiser monitorar apenas as atividades dos usuários. Esta seleção cria uma política Apenas Monitor para as aplicações que selecionou foram todas iniciadas sessão.

   • Selecione Controlar o download do arquivo (com inspeção) se quiser monitorar as atividades do usuário. Você pode tomar mais ações, como bloquear ou proteger downloads para usuários.

   • Selecione Bloquear atividades para bloquear atividades específicas, que você pode selecionar usando o filtro Tipo de atividade. Todas as atividades de aplicativos selecionados são monitoradas (e relatadas no registro de atividades). As atividades específicas selecionadas serão bloqueadas se você selecionar a ação Bloquear . As atividades específicas selecionadas geram alertas se você selecionar a ação Testar e tiver os alertas ativados.

5. Em Origem da atividade na seção Atividades correspondentes a todas as opções a seguir , selecione mais filtros de atividade a serem aplicados à política. Esses filtros podem incluir as seguintes opções:

   • Tags de dispositivo: use este filtro para identificar dispositivos não gerenciados.

   • Localização: use este filtro para identificar locais desconhecidos (e, portanto, arriscados).

   • Endereço IP: use este filtro para filtrar por endereços IP ou usar tags de endereço IP atribuídas anteriormente.

   • Tag do agente do usuário: use este filtro para habilitar a heurística para identificar aplicativos móveis e de desktop. Esse filtro pode ser definido como igual ou não igual ao cliente nativo. Esse filtro deve ser testado em relação aos seus aplicativos móveis e de desktop para cada aplicativo na nuvem.

   • Tipo de atividade: use este filtro para selecionar atividades específicas a serem controladas, como:

     • Print

     • Ações da área de transferência: Copiar, Recortar e Colar

     • Enviar itens em aplicativos como Teams, Slack e Salesforce

     • Compartilhar e cancelar o compartilhamento de itens em vários aplicativos

     • Editar itens em vários aplicativos

   Nota

   As políticas de sessão não suportam aplicações móveis e de ambiente de trabalho. As aplicações móveis e as aplicações de ambiente de trabalho também podem ser bloqueadas ou permitidas através da criação de uma política de acesso.

6. Se você selecionou a opção para Controlar o download do arquivo (com inspeção):

   • Em Origem da atividade na seção Arquivos correspondentes a todas as seções a seguir , selecione mais filtros de arquivo a serem aplicados à política. Esses filtros podem incluir as seguintes opções:

     • Rótulo de sensibilidade - Use este filtro se sua organização usa o Microsoft Purview Information Protection e seus dados foram protegidos por seus rótulos de sensibilidade. Você pode filtrar arquivos com base no rótulo de sensibilidade que aplicou a eles. Para obter mais informações sobre a integração com o Microsoft Purview Information Protection, consulte Integração do Microsoft Purview Information Protection.

     • Nome do ficheiro - Utilize este filtro para aplicar a política a ficheiros específicos.

     • Tipo de ficheiro - Utilize este filtro para aplicar a política a tipos de ficheiro específicos, por exemplo, bloquear a transferência de todos os ficheiros .xls.

   • Na seção Inspeção de conteúdo , defina se deseja habilitar o mecanismo DLP para digitalizar documentos e conteúdo de arquivos.

   • Em Ações, selecione um dos seguintes itens:

     • Teste (Monitorar todas as atividades): defina esta ação para permitir explicitamente o download de acordo com os filtros de política definidos.
     • Bloquear (Bloquear download de arquivos e monitorar todas as atividades): defina esta ação para bloquear explicitamente o download de acordo com os filtros de política definidos. Para obter mais informações, consulte Como funciona o download de bloco.
     • Proteger (Aplicar rótulo de sensibilidade para baixar e monitorar todas as atividades): essa opção só estará disponível se você tiver selecionado Controlar o download do arquivo (com inspeção) em Política de sessão. Se sua organização usa a Proteção de Informações do Microsoft Purview, você pode definir uma Ação para aplicar um rótulo de confidencialidade definido na Proteção de Informações do Microsoft Purview ao arquivo. Para obter mais informações, consulte Como funciona o download protegido.

7. Para que o alerta seja enviado como um e-mail, selecione Criar um alerta para cada evento correspondente à gravidade da política e defina um limite de alerta.

8. Notificar usuários: quando você cria uma política de sessão, cada sessão de usuário que corresponde à política é redirecionada para o controle de sessão em vez de diretamente para o aplicativo.

   O usuário verá um aviso de monitoramento para informá-lo de que suas sessões estão sendo monitoradas. Se você não quiser notificar o usuário de que ele está sendo monitorado, desative a mensagem de notificação.

   1. No portal do Microsoft 365 Defender, selecione Configurações. Em seguida, escolha Cloud Apps.

   2. Em seguida, em Controle de Aplicativo de Acesso Condicional, selecione Monitoramento de usuários e desmarque a caixa deseleção Notificar usuários.

9. Monitorar logs: para manter o usuário dentro da sessão, o Controle de Aplicativo de Acesso Condicional substitui todas as URLs, scripts Java e cookies relevantes na sessão do aplicativo por URLs do Microsoft Defender for Cloud Apps. Por exemplo, se o aplicativo retornar uma página com links cujos domínios terminam com myapp.com, o Controle de Aplicativo de Acesso Condicional substituirá os links por domínios terminados com algo como myapp.com.mcas.ms. Desta forma, o Defender for Cloud Apps monitoriza toda a sessão.

Exportar logs de descoberta na nuvem

O Controlo de Aplicação de Acesso Condicional regista os registos de tráfego de cada sessão de utilizador que é encaminhada através dele. Os logs de tráfego incluem a hora, o IP, o agente do usuário, as URLs visitadas e o número de bytes carregados e baixados. Esses logs são analisados e um relatório contínuo, Defender for Cloud Apps Conditional Access App Control, é adicionado à lista de relatórios do Cloud Discovery no painel do Cloud Discovery.

Para exportar logs de descoberta da nuvem a partir do painel do Cloud Discovery:

1. No portal do Microsoft 365 Defender, selecione Configurações. Em seguida, escolha Cloud Apps. Em Aplicações ligadas, selecione Controlo de Aplicações de Acesso Condicional.

2. Acima da tabela, selecione o botão de exportação. Por exemplo:

   

3. Selecione o intervalo do relatório e selecione Exportar. Este processo pode demorar algum tempo.

4. Para baixar o log exportado depois que o relatório estiver pronto, no portal do Microsoft 365 Defender, vá para Relatórios ->Cloud Apps e, em seguida, Relatórios exportados.

5. Na tabela, selecione o relatório relevante na lista de logs de tráfego do Controle de Aplicativo de Acesso Condicional e selecione Download. Por exemplo:

   

Monitorizar tudo

Monitorar apenas a atividade monitora apenas a atividade de login e nenhum alerta é enviado. 

Para monitorar outras atividades, selecione a ação de teste , caso em que os alertas são enviados de acordo com sua política. As atividades na ação de teste são monitoradas e registradas, independentemente de a política corresponder ou não. 

Nota

Para monitorar outras atividades além de downloads e uploads, deve haver pelo menos um bloqueio por política de atividade na política de monitor.

Bloquear todos os downloads

Quando Bloquear é definido como a Ação que você deseja executar na política de sessão do Defender for Cloud Apps, o Controle de Aplicativo de Acesso Condicional impede que um usuário baixe um arquivo de acordo com os filtros de arquivo da política. O Defender for Cloud Apps reconhece um evento de download para cada aplicativo quando um usuário inicia um download. O Controle de Aplicativo de Acesso Condicional intervém em tempo real para impedir que ele seja executado. Quando o sinal é recebido de que um usuário iniciou um download, o Controle de Aplicativo de Acesso Condicional retorna uma mensagem restrita de Download para o usuário e substitui o arquivo baixado por um arquivo de texto. A mensagem do arquivo de texto para o usuário pode ser configurada e personalizada a partir da política de sessão.

Exigir autenticação step-up (contexto de autenticação)

Quando Tipo de controle de sessão é definido como Bloquear atividades, Controlar download de arquivo (com inspeção), Carregar arquivo de controle (com inspeção), você pode selecionar uma Ação de Exigir autenticação de etapa. Quando essa ação for selecionada, o Defender for Cloud Apps redirecionará a sessão para o Acesso Condicional do Azure AD para reavaliação da política, sempre que a atividade selecionada ocorrer. Com base no contexto de autenticação configurado no Azure AD, declarações como autenticação multifator e conformidade de dispositivo podem ser verificadas durante uma sessão.

Bloquear atividades específicas

Quando Bloquear atividades é definido como o tipo de atividade, você pode selecionar atividades específicas para bloquear em aplicativos específicos. Todas as atividades de aplicativos selecionados são monitoradas e relatadas no registro de atividades. As atividades específicas selecionadas serão bloqueadas se você selecionar a ação Bloquear . As atividades específicas selecionadas geram alertas se você selecionar a ação Testar e tiver os alertas ativados.

Exemplos de atividades bloqueadas incluem:

• Enviar mensagem do Teams: use-o para bloquear mensagens enviadas do Microsoft Teams ou bloquear mensagens do Teams com conteúdo específico
• Imprimir: use-o para bloquear ações de impressão
• Copiar: use-o para bloquear ações de cópia para a área de transferência ou bloqueie apenas a cópia de conteúdo específico

Bloqueie atividades específicas e aplique-as a grupos específicos para criar um modo somente leitura abrangente para sua organização.

Proteja os arquivos durante o download

Selecione Bloquear atividades para bloquear atividades específicas, que você pode encontrar usando o filtro Tipo de atividade. Todas as atividades de aplicativos selecionados são monitoradas (e relatadas no registro de atividades). As atividades específicas selecionadas serão bloqueadas se você selecionar a ação Bloquear . As atividades específicas selecionadas geram alertas se você selecionar a ação Testar e tiver os alertas ativados.

Quando Proteger é definido como a Ação a ser executada na política de sessão do Defender for Cloud Apps, o Controle de Aplicativo de Acesso Condicional impõe a rotulagem e a proteção subsequente de um arquivo de acordo com os filtros de arquivos da política. Os rótulos são configurados no portal de conformidade do Microsoft Purview e o rótulo deve ser configurado para aplicar criptografia para que apareça como uma opção na política do Defender for Cloud Apps.

Quando você seleciona um rótulo específico e um usuário baixa um arquivo que atende aos critérios de políticas, o rótulo e todas as proteções e permissões correspondentes são aplicados ao arquivo.

O arquivo original permanece como está no aplicativo de nuvem enquanto o arquivo baixado agora está protegido. Os usuários que tentam acessar o arquivo devem atender aos requisitos de permissão determinados pela proteção aplicada.

Atualmente, o Defender for Cloud Apps oferece suporte à aplicação de rótulos de confidencialidade do Microsoft Purview Information Protection para os seguintes tipos de arquivo:

• Word: docm, docx, dotm, dotx
• Excel: xlam, xlsm, xlsx, xltx
• PowerPoint: potm, potx, ppsx, ppsm, pptm, pptx
• PDF

Nota

Para PDF, você deve usar rótulos unificados.

Proteja uploads de arquivos confidenciais

Quando o carregamento de arquivos de controle (com inspeção) é definido como o tipo de controle de sessão na política de sessão do Defender for Cloud Apps, o Controle de aplicativo de acesso condicional impede que um usuário carregue um arquivo de acordo com os filtros de arquivo da política. Quando um evento de carregamento é reconhecido, o Controle de Aplicativo de Acesso Condicional intervém em tempo real para determinar se o arquivo é confidencial e precisa de proteção. Se o arquivo tiver dados confidenciais e não tiver um rótulo adequado, o upload do arquivo será bloqueado.

Por exemplo, você pode criar uma política que verifica o conteúdo de um arquivo para determinar se ele contém uma correspondência de conteúdo confidencial, como um número de segurança social. Se ele contiver conteúdo confidencial e não estiver rotulado com um rótulo confidencial do Microsoft Purview Information Protection, o carregamento do arquivo será bloqueado. Quando o arquivo é bloqueado, você pode exibir uma mensagem personalizada para o usuário instruindo-o sobre como rotular o arquivo para carregá-lo. Ao fazer isso, você garante que os arquivos armazenados em seus aplicativos na nuvem estejam em conformidade com suas políticas.

Bloquear malware no upload

Quando o carregamento de arquivos de controle (com inspeção) é definido como o tipo de controle de sessão e a deteção de malware é definida como o método de inspeção na política de sessão do Defender for Cloud Apps, o Controle de aplicativo de acesso condicional impede que um usuário carregue um arquivo em tempo real se malware for detetado. Os arquivos são verificados usando o mecanismo de inteligência de ameaças da Microsoft.

Pode visualizar os ficheiros sinalizados como potencial malware usando o filtro Potencial Malware Detetado no registo de atividades.

Você também pode configurar políticas de sessão para bloquear malware no download.

Educar os usuários para proteger arquivos confidenciais

É importante educar os usuários quando eles estão violando uma política para que eles aprendam a cumprir suas políticas organizacionais.

Como cada empresa tem necessidades e políticas exclusivas, o Defender for Cloud Apps permite que você personalize os filtros de uma política e a mensagem exibida ao usuário quando uma violação é detetada.

Você pode dar orientações específicas aos seus usuários, como fornecer instruções sobre como rotular adequadamente um arquivo ou como registrar um dispositivo não gerenciado para garantir que os arquivos sejam carregados com êxito.

Por exemplo, se um usuário carregar um arquivo sem um rótulo de confidencialidade, uma mensagem poderá ser exibida explicando que o arquivo contém conteúdo confidencial que requer um rótulo apropriado. Da mesma forma, se um usuário tentar carregar um documento de um dispositivo não gerenciado, uma mensagem poderá ser exibida com instruções sobre como registrar esse dispositivo ou uma mensagem que forneça mais explicações sobre por que o dispositivo deve ser registrado.

Conflitos entre políticas

Quando há um conflito entre duas políticas, a política mais restritiva ganha. Por exemplo:

• Se uma sessão de usuário tiver como escopo uma política de download de bloqueio e uma política de rótulo após o download, a ação de download de arquivo será bloqueada.

• Se uma sessão de usuário tiver como escopo uma política de download de bloqueio e uma política de download de auditoria, a ação de download de arquivo será bloqueada.

Próximos passos

Para obter mais informações, consulte:

• Webinar Controlo de Aplicações de Acesso Condicional (vídeo).
• Solução de problemas de acesso e controles de sessão
• Bloqueando downloads em dispositivos não gerenciados usando o Controle de Aplicativo de Acesso Condicional do Azure AD

« PREVIOUS: Integre e implante o Controle de Aplicativo de Acesso Condicional para qualquer aplicativo »

PRÓXIMO: Como criar uma política de acesso »

Se tiver algum problema, estamos aqui para ajudar. Para obter assistência ou suporte para o problema do seu produto, abra um ticket de suporte.