Pilote e implemente Microsoft Defender for Cloud Apps
Aplica-se a:
- Microsoft Defender XDR
Este artigo fornece um fluxo de trabalho para testar e implementar Microsoft Defender for Cloud Apps na sua organização. Pode utilizar estas recomendações para integrar Microsoft Defender for Cloud Apps como uma ferramenta de cibersegurança individual ou como parte de uma solução ponto a ponto com Microsoft Defender XDR.
Este artigo pressupõe que tem um inquilino do Microsoft 365 de produção e está a testar e implementar Microsoft Defender for Cloud Apps neste ambiente. Esta prática irá manter todas as definições e personalizações que configurar durante o piloto para a sua implementação completa.
Defender para Office 365 contribui para uma arquitetura Confiança Zero, ajudando a evitar ou reduzir os danos comerciais causados por uma falha de segurança. Para obter mais informações, veja Prevent or reduce business damage from a breach business scenario in the Microsoft Confiança Zero adoption framework (Evitar ou reduzir danos comerciais de um cenário de negócio de falha de segurança) no microsoft Confiança Zero adoption framework.
Implementação ponto a ponto para Microsoft Defender XDR
Este é o artigo 5 de 6 de uma série para o ajudar a implementar os componentes do Microsoft Defender XDR, incluindo investigar e responder a incidentes.
Os artigos nesta série correspondem às seguintes fases da implementação ponto a ponto:
| Fase | Ligação |
|---|---|
| Um. Iniciar o piloto | Iniciar o piloto |
| B. Pilotar e implementar componentes de Microsoft Defender XDR |
-
Pilote e implemente o Defender para Identidade - Pilote e implemente Defender para Office 365 - Pilote e implemente o Defender para Endpoint - Pilote e implemente Microsoft Defender for Cloud Apps (este artigo) |
| C. Investigar e lidar com ameaças | Praticar a investigação e resposta a incidentes |
Testar e implementar o fluxo de trabalho para Defender for Cloud Apps
O diagrama seguinte ilustra um processo comum para implementar um produto ou serviço num ambiente de TI.
Comece por avaliar o produto ou serviço e como irá funcionar na sua organização. Em seguida, vai testar o produto ou serviço com um subconjunto convenientemente pequeno da sua infraestrutura de produção para testes, aprendizagem e personalização. Em seguida, aumente gradualmente o âmbito da implementação até que toda a sua infraestrutura ou organização seja abrangida.
Eis o fluxo de trabalho para testar e implementar Defender for Cloud Apps no seu ambiente de produção.
Siga estes passos:
- Ligar ao portal do Defender for Cloud Apps
- Integrar com Microsoft Defender para Endpoint
- Implementar o recoletor de registos nas firewalls e noutros proxies
- Criar um grupo piloto
- Descobrir e gerir aplicações na cloud
- Configurar o Controlo de Aplicações de Acesso Condicional
- Aplicar políticas de sessão a aplicações na cloud
- Experimentar capacidades adicionais
Eis os passos recomendados para cada fase de implementação.
| Fase de implementação | Descrição |
|---|---|
| Avaliar | Efetue uma avaliação do produto para Defender for Cloud Apps. |
| Piloto | Execute os Passos 1 a 4 e, em seguida, 5-8 para um subconjunto adequado de aplicações na cloud no seu ambiente de produção. |
| Implementação completa | Execute os Passos 5 a 8 para as restantes aplicações na cloud, ajustando o âmbito dos grupos de utilizadores piloto ou adicionando grupos de utilizadores para expandir para além do piloto e incluir todas as suas contas de utilizador. |
Proteger a sua organização contra hackers
Defender for Cloud Apps fornece proteção poderosa por si só. No entanto, quando combinado com as outras capacidades de Microsoft Defender XDR, Defender for Cloud Apps fornece dados para os sinais partilhados que, em conjunto, ajudam a parar os ataques.
Eis um exemplo de um ciberataque e como os componentes do Microsoft Defender XDR ajudam a detetá-lo e a mitigá-lo.
Defender for Cloud Apps deteta comportamentos anómalos como viagens impossíveis, acesso a credenciais e transferência invulgar, partilha de ficheiros ou atividade de reencaminhamento de correio e apresenta estes comportamentos no portal do Defender for Cloud Apps. Defender for Cloud Apps também ajuda a evitar movimentos laterais por hackers e a transferência de dados confidenciais.
Microsoft Defender XDR correlaciona os sinais de todos os componentes Microsoft Defender para fornecer a história completa do ataque.
Defender for Cloud Apps função como CASB
Um mediador de segurança de acesso à cloud (CASB) atua como um controlador de chamadas para mediar o acesso em tempo real entre os utilizadores da sua empresa e os recursos da cloud que utilizam, onde quer que os seus utilizadores estejam localizados e independentemente do dispositivo que estejam a utilizar. Defender for Cloud Apps é um CASB para as aplicações na cloud da sua organização. Defender for Cloud Apps integra-se nativamente com as capacidades de segurança da Microsoft, incluindo Microsoft Defender XDR.
Sem Defender for Cloud Apps, as aplicações na cloud utilizadas pela sua organização não são geridas e desprotegidas.
Na ilustração:
- A utilização de aplicações na cloud por uma organização não é monitorizada e desprotegida.
- Esta utilização está fora das proteções obtidas numa organização gerida.
Para descobrir as aplicações na cloud utilizadas no seu ambiente, pode implementar um ou ambos os seguintes métodos:
- Comece a trabalhar rapidamente com a Cloud Discovery ao integrar com Microsoft Defender para Endpoint. Esta integração nativa permite-lhe começar imediatamente a recolher dados sobre o tráfego da cloud nos seus dispositivos Windows 10 e Windows 11, dentro e fora da sua rede.
- Para detetar todas as aplicações na cloud acedidas por todos os dispositivos ligados à sua rede, implemente o recoletor de registos Defender for Cloud Apps nas firewalls e noutros proxies. Esta implementação ajuda a recolher dados dos pontos finais e envia-os para Defender for Cloud Apps para análise. Defender for Cloud Apps integra-se nativamente com alguns proxies de terceiros para obter ainda mais capacidades.
Este artigo inclui orientações para ambos os métodos.
Passo 1. Ligar ao portal do Defender for Cloud Apps
Para verificar o licenciamento e ligar ao portal do Defender for Cloud Apps, veja Início Rápido: Introdução ao Microsoft Defender for Cloud Apps.
Se não conseguir ligar-se imediatamente ao portal, poderá ter de adicionar o endereço IP à lista de permissões da firewall. Veja Configuração básica para Defender for Cloud Apps.
Se continuar a ter problemas, veja Requisitos de rede.
Passo 2: Integrar no Microsoft Defender para Endpoint
Microsoft Defender for Cloud Apps integra-se com Microsoft Defender para Endpoint nativamente. A integração simplifica a implementação da Cloud Discovery, expande as capacidades da Cloud Discovery para além da sua rede empresarial e permite a investigação baseada em dispositivos. Esta integração revela as aplicações e serviços na cloud que estão a ser acedidos a partir de dispositivos de Windows 10 e Windows 11 geridos por TI.
Se já tiver configurado Microsoft Defender para Endpoint, configurar a integração com Defender for Cloud Apps é um botão de alternar no Microsoft Defender XDR. Depois de a integração estar ativada, pode regressar ao portal do Defender for Cloud Apps e ver dados avançados no Dashboard da Cloud Discovery.
Para realizar estas tarefas, veja Microsoft Defender para Endpoint integração com Microsoft Defender for Cloud Apps.
Passo 3: implementar o recoletor de registos Defender for Cloud Apps nas firewalls e noutros proxies
Para cobertura em todos os dispositivos ligados à sua rede, implemente o recoletor de registos Defender for Cloud Apps nas firewalls e noutros proxies para recolher dados dos pontos finais e enviá-lo para Defender for Cloud Apps para análise.
Se estiver a utilizar um dos seguintes Gateways Web Seguros (SWG), Defender for Cloud Apps fornece implementação e integração totalmente integradas:
- Zscaler
- iboss
- Corrata
- Segurança Menlo
Para obter mais informações sobre a integração com estes dispositivos de rede, veja Configurar a Cloud Discovery.
Passo 4. Criar um grupo piloto — Definir o âmbito da implementação piloto para determinados grupos de utilizadores
Microsoft Defender for Cloud Apps permite-lhe definir o âmbito da implementação. O âmbito permite-lhe selecionar determinados grupos de utilizadores para serem monitorizados para aplicações ou excluídos da monitorização. Pode incluir ou excluir grupos de utilizadores. Para definir o âmbito da implementação piloto, veja Implementação no Âmbito.
Passo 5. Descobrir e gerir aplicações na cloud
Para Defender for Cloud Apps fornecer a quantidade máxima de proteção, tem de descobrir todas as aplicações na cloud na sua organização e gerir a forma como são utilizadas.
Descobrir aplicações na cloud
O primeiro passo para gerir a utilização de aplicações na cloud é descobrir que aplicações na cloud são utilizadas pela sua organização. Este diagrama seguinte ilustra como a cloud discovery funciona com Defender for Cloud Apps.
Nesta ilustração, existem dois métodos que podem ser utilizados para monitorizar o tráfego de rede e descobrir as aplicações na cloud que estão a ser utilizadas pela sua organização.
A Cloud App Discovery integra-se com Microsoft Defender para Endpoint nativamente. O Defender para Endpoint comunica que as aplicações e serviços na cloud estão a ser acedidos a partir de dispositivos de Windows 10 e Windows 11 geridos por TI.
Para cobertura em todos os dispositivos ligados a uma rede, instale o recoletor de registos Defender for Cloud Apps em firewalls e outros proxies para recolher dados de pontos finais. O recoletor envia estes dados para Defender for Cloud Apps para análise.
Ver o dashboard da Cloud Discovery para ver que aplicações estão a ser utilizadas na sua organização
O dashboard da Cloud Discovery foi concebido para lhe dar mais informações sobre como as aplicações na cloud estão a ser utilizadas na sua organização. Fornece uma descrição geral detalhada dos tipos de aplicações que estão a ser utilizadas, os alertas abertos e os níveis de risco das aplicações na sua organização.
Para começar a utilizar o dashboard da Cloud Discovery, veja Trabalhar com aplicações detetadas.
Gerir aplicações na cloud
Depois de descobrir as aplicações na cloud e analisar a forma como estas aplicações são utilizadas pela sua organização, pode começar a gerir as aplicações na cloud que escolher.
Nesta ilustração:
- Algumas aplicações são aprovadas para utilização. A aprovação é uma forma simples de começar a gerir aplicações.
- Pode ativar uma maior visibilidade e controlo ao ligar aplicações com conectores de aplicações. Os conectores de aplicações utilizam as APIs dos fornecedores de aplicações.
Pode começar a gerir aplicações através de sanções, desaproteção ou bloqueio total de aplicações. Para começar a gerir aplicações, veja Governar aplicações detetadas.
Passo 6. Configurar o Controlo de Aplicações de Acesso Condicional
Uma das proteções mais avançadas que pode configurar é o Controlo de Aplicações de Acesso Condicional. Esta proteção requer integração com Microsoft Entra ID. Permite-lhe aplicar políticas de Acesso Condicional, incluindo políticas relacionadas (como a necessidade de dispositivos em bom estado de funcionamento) às aplicações na cloud que sancionou.
Pode já ter aplicações SaaS adicionadas ao seu inquilino Microsoft Entra para impor a autenticação multifator e outras políticas de acesso condicional. Microsoft Defender for Cloud Apps integra-se nativamente com Microsoft Entra ID. Tudo o que tem de fazer é configurar uma política no Microsoft Entra ID para utilizar o Controlo de Aplicações de Acesso Condicional no Defender for Cloud Apps. Isto encaminha o tráfego de rede para estas aplicações SaaS geridas através de Defender for Cloud Apps como um proxy, o que permite aos Defender for Cloud Apps monitorizar este tráfego e aplicar controlos de sessão.
Nesta ilustração:
- As aplicações SaaS estão integradas no inquilino Microsoft Entra. Esta integração permite aos Microsoft Entra ID impor políticas de acesso condicional, incluindo a autenticação multifator.
- É adicionada uma política ao Microsoft Entra ID para direcionar o tráfego das aplicações SaaS para Defender for Cloud Apps. A política especifica a que aplicações SaaS deve aplicar esta política. Após Microsoft Entra ID impõe quaisquer políticas de acesso condicional que se apliquem a estas aplicações SaaS, Microsoft Entra ID, em seguida, direciona (proxies) o tráfego da sessão através de Defender for Cloud Apps.
- Defender for Cloud Apps monitoriza este tráfego e aplica quaisquer políticas de controlo de sessão que tenham sido configuradas pelos administradores.
Poderá ter detetado e sancionado aplicações na cloud com Defender for Cloud Apps que não foram adicionadas ao Microsoft Entra ID. Pode tirar partido do Controlo de Aplicações de Acesso Condicional ao adicionar estas aplicações na cloud ao seu inquilino Microsoft Entra e ao âmbito das suas regras de acesso condicional.
O primeiro passo para utilizar Microsoft Defender for Cloud Apps para gerir aplicações SaaS é descobrir estas aplicações e, em seguida, adicioná-las ao seu inquilino Microsoft Entra. Se precisar de ajuda com a deteção, veja Descobrir e gerir aplicações SaaS na sua rede. Depois de detetar aplicações, adicione estas aplicações ao seu inquilino Microsoft Entra.
Pode começar a gerir estas aplicações com as seguintes tarefas:
- No Microsoft Entra ID, crie uma nova política de acesso condicional e configure-a para "Utilizar o Controlo de Aplicações de Acesso Condicional". Esta configuração ajuda a redirecionar o pedido para Defender for Cloud Apps. Pode criar uma política e adicionar todas as aplicações SaaS a esta política.
- Em seguida, no Defender for Cloud Apps, crie políticas de sessão. Crie uma política para cada controlo que pretende aplicar.
Para obter mais informações, incluindo aplicações e clientes suportados, veja Proteger aplicações com Microsoft Defender for Cloud Apps Controlo de Aplicações de Acesso Condicional.
Por exemplo, veja Políticas de Microsoft Defender for Cloud Apps recomendadas para aplicações SaaS. Estas políticas baseiam-se num conjunto de políticas comuns de identidade e acesso a dispositivos que são recomendadas como ponto de partida para todos os clientes.
Passo 7. Aplicar políticas de sessão a aplicações na cloud
Microsoft Defender for Cloud Apps funciona como um proxy inverso, fornecendo acesso de proxy a aplicações na cloud aprovadas. Esta aprovisionamento permite Defender for Cloud Apps aplicar políticas de sessão que configurar.
Na ilustração:
- O acesso a aplicações na cloud aprovadas a partir de utilizadores e dispositivos na sua organização é encaminhado através de Defender for Cloud Apps.
- Este acesso de proxy permite a aplicação de políticas de sessão.
- As aplicações na cloud que não tenha sancionado ou explicitamente não aprovadas não são afetadas.
As políticas de sessão permitem-lhe aplicar parâmetros à forma como as aplicações na cloud são utilizadas pela sua organização. Por exemplo, se a sua organização estiver a utilizar o Salesforce, pode configurar uma política de sessão que permite que apenas os dispositivos geridos acedam aos dados da sua organização no Salesforce. Um exemplo mais simples pode ser configurar uma política para monitorizar o tráfego de dispositivos não geridos para que possa analisar o risco deste tráfego antes de aplicar políticas mais rigorosas.
Para obter mais informações, veja Criar políticas de sessão.
Passo 8. Experimentar capacidades adicionais
Utilize estes tutoriais Defender for Cloud Apps para o ajudar a detetar riscos e proteger o seu ambiente:
- Detetar atividade de utilizador suspeita
- Investigar utilizadores de risco
- Investigar aplicações OAuth de risco
- Descobrir e proteger informações confidenciais
- Proteger qualquer aplicação na sua organização em tempo real
- Bloquear transferências de informações confidenciais
- Proteger os seus ficheiros com quarentena de administrador
- Exigir autenticação passo a passo após ação de risco
Para obter mais informações sobre a investigação avançada em dados Microsoft Defender for Cloud Apps, veja este vídeo.
Integração SIEM
Pode integrar Defender for Cloud Apps com Microsoft Sentinel ou um serviço genérico de gestão de informações e eventos de segurança (SIEM) para ativar a monitorização centralizada de alertas e atividades de aplicações ligadas. Com Microsoft Sentinel, pode analisar eventos de segurança em toda a sua organização de forma mais abrangente e criar manuais de procedimentos para obter uma resposta eficaz e imediata.
Microsoft Sentinel inclui um conector Defender for Cloud Apps. Isto permite-lhe não só obter visibilidade sobre as suas aplicações na cloud, mas também obter análises sofisticadas para identificar e combater ciberameaças e controlar o modo de deslocação dos seus dados. Para obter mais informações, veja Microsoft Sentinel de integração e alertas de Stream e registos da Cloud Discovery de Defender for Cloud Apps para Microsoft Sentinel.
Para obter informações sobre a integração com sistemas SIEM de terceiros, veja Integração genérica do SIEM.
Passo seguinte
Executar a gestão do ciclo de vida para Defender for Cloud Apps.
Passo seguinte para a implementação ponto a ponto do Microsoft Defender XDR
Continue a implementação ponto a ponto do Microsoft Defender XDR com Investigar e responder com Microsoft Defender XDR.
Sugestão
Quer saber mais? Interaja com a comunidade do Microsoft Security na nossa Tech Community: Microsoft Defender XDR Tech Community.