Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Microsoft Defender para Aplicativos de Nuvem inclui deteções para utilizadores comprometidos, ameaças internas, exfiltração de dados e atividade de ransomware. O serviço utiliza deteção de anomalias, análise de comportamento de utilizador e entidade (UEBA) e deteções de atividade baseadas em regras para analisar a atividade do utilizador em aplicações ligadas.
As alterações não autorizadas ou inesperadas num ambiente de cloud podem introduzir riscos operacionais e de segurança. Por exemplo, as alterações aos principais recursos empresariais, como os servidores que executam o seu site público ou serviço que está a fornecer aos clientes, podem ficar comprometidas.
Defender para Aplicativos de Nuvem captura e analisa dados de várias origens para identificar atividades de aplicações e utilizadores na sua organização. Esta análise dá aos seus analistas de segurança visibilidade sobre a utilização da cloud. Os dados recolhidos estão correlacionados, padronizados e enriquecidos com informações sobre ameaças e detalhes de localização, para fornecer uma vista precisa e consistente das atividades suspeitas.
Antes de otimizar as deteções, configure as seguintes origens de dados:
| Source | Descrição |
|---|---|
| Registo de atividades | Atividades das suas aplicações ligadas à API. |
| Registo de deteção | Atividades extraídas da firewall e do registo de tráfego de proxy que reencaminha para Defender para Aplicativos de Nuvem. Os registos são analisados em relação ao catálogo de aplicações na cloud, classificados e classificados com base em mais de 90 fatores de risco. |
| Registo de proxy | Atividades das suas aplicações de controlo de aplicações de acesso condicional. |
Ajuste as seguintes políticas ao definir filtros e limiares dinâmicos (UEBA) para preparar os respetivos modelos de deteção. Também pode definir supressões para reduzir deteções falsas positivas comuns:
- Detecções de anomalia
- Deteção de anomalias da Cloud Discovery
- Deteção de atividade baseada em regras
Saiba como otimizar as deteções de atividade do utilizador para identificar verdadeiros compromissos e reduzir alertas desnecessários resultantes de grandes volumes de deteções de falsos positivos:
Fase 1: Configurar intervalos de endereços IP
- Configure intervalos de IP para ajustar qualquer tipo de políticas suspeitas de deteção de atividade do utilizador.
A configuração de endereços IP conhecidos ajuda os algoritmos de machine learning a identificar localizações conhecidas e a considerá-las como parte dos modelos de machine learning. Por exemplo, adicionar o intervalo de endereços IP da sua VPN ajuda o modelo a classificar corretamente este intervalo de IP e a excluí-lo automaticamente de deteções de viagens impossíveis porque a localização VPN não representa a verdadeira localização desse utilizador.
Observação
Defender para Aplicativos de Nuvem utiliza intervalos de IP em todo o serviço, não apenas para deteções. Os intervalos de IP são utilizados no registo de atividades, no Acesso Condicional e muito mais. Por exemplo, identificar os seus endereços IP do escritório físicos permite-lhe personalizar a forma como vê e investiga registos e alertas.
Rever alertas de deteção de anomalias
Defender para Aplicativos de Nuvem inclui um conjunto de alertas de deteção de anomalias para identificar diferentes cenários de segurança. Começam a criar perfis de atividade do utilizador e geram alertas assim que liga os conectores de aplicações relevantes.
Comece por se familiarizar com as diferentes políticas de deteção. Priorize os principais cenários que considera mais relevantes para a sua organização e ajuste as políticas em conformidade.
Fase 2: Otimizar políticas de deteção de anomalias
Defender para Aplicativos de Nuvem inclui várias políticas de deteção de anomalias incorporadas pré-configuradas para casos de utilização de segurança comuns. As deteções populares incluem:
| Detecção | Descrição |
|---|---|
| Viagem impossível | Atividades do mesmo usuário em locais diferentes em um período mais curto do que o tempo de viagem esperado entre os dois locais. |
| Atividade do país com pouca frequência | Atividade a partir de uma localização que não foi visitada recentemente ou nunca visitada pelo utilizador. |
| Detecção de malware. | Analisa ficheiros nas suas aplicações na cloud e executa ficheiros suspeitos através do motor de informações sobre ameaças da Microsoft para marcar se estão associados a software maligno conhecido. |
| Atividade de ransomware | Uploads de arquivos para a nuvem que podem estar infectados com ransomware. |
| Atividade de endereços IP suspeitos | Atividade de um endereço IP que o Microsoft Threat Intelligence identificou como de risco. |
| Reencaminhamento de caixa de entrada suspeito | Detecta regras de encaminhamento de caixas de entrada suspeitas definidas na caixa de entrada de um usuário. |
| Atividades invulgares de transferência de múltiplos ficheiros | Detecta várias atividades de download de arquivo em uma única sessão em relação à linha de base aprendida, o que pode indicar uma tentativa de violação. |
| Atividades administrativas invulgares | Detecta várias atividades administrativas em uma única sessão em relação à linha de base aprendida, o que pode indicar uma tentativa de violação. |
Observação
Algumas deteções de anomalias focam-se na deteção de cenários de segurança problemáticos, enquanto outras ajudam a identificar e investigar comportamentos anómalos dos utilizadores que podem não indicar necessariamente um compromisso. Para essas deteções, pode utilizar Comportamentos que estão disponíveis no Microsoft Defender XDR experiência de investigação avançada.
Definir o âmbito de políticas para utilizadores ou grupos específicos
As políticas de âmbito para utilizadores específicos podem ajudar a reduzir o ruído de alertas que não são relevantes para a sua organização. Pode configurar cada política para incluir ou excluir utilizadores e grupos específicos, como nos seguintes exemplos:
-
Simulações de ataques
Muitas organizações utilizam um utilizador ou um grupo para simular ataques constantemente. Receber constantemente alertas das atividades destes utilizadores cria dados irrelevantes desnecessários. Configure as políticas para excluir estes utilizadores ou grupos. Esta ação ajuda os modelos de machine learning a identificar estes utilizadores e a ajustar os respetivos limiares dinâmicos. -
Deteções direcionadas
Poderá querer investigar um grupo específico de utilizadores VIP, como membros de um grupo de administradores ou Diretores de Experiência (CXO). Neste caso, crie uma política para as atividades que pretende detetar e opte por incluir apenas o conjunto de utilizadores ou grupos em que está interessado.
-
Simulações de ataques
Otimizar deteções anómalos de início de sessão
Os alertas resultantes de atividades de início de sessão falhadas podem indicar que alguém está a tentar direcionar uma ou mais contas de utilizador.
As credenciais comprometidas são uma causa comum de obtenção de conta e atividade não autorizada. As viagens impossíveis, a atividade de endereços IP suspeitos e os alertas de deteções pouco frequentes do país ou da região ajudam-no a descobrir atividades que sugerem que uma conta está potencialmente comprometida.
Ajustar a sensibilidade da viagem impossívelConfigure o controlo de deslize de confidencialidade que determina o nível de supressões aplicado a comportamentos anómalos antes de acionar um alerta de viagem impossível. As organizações interessadas em alta fidelidade devem considerar aumentar o nível de confidencialidade. Se a sua organização tiver muitos utilizadores que viajam, considere reduzir o nível de confidencialidade para suprimir as atividades das localizações comuns de um utilizador aprendidas com atividades anteriores. Pode escolher entre os seguintes níveis de confidencialidade:
- Baixa: supressões de sistema, inquilino e utilizador
- Médio: supressões do sistema e do utilizador
- Alta: apenas supressões do sistema
Onde:
Tipo de supressão Descrição Sistema Detecções integradas que são sempre suprimidas. Locatário Atividades comuns com base na atividade anterior do locatário. Por exemplo, suprimir atividades de um ISP anteriormente alertado na sua organização. Usuário Atividades comuns com base na atividade anterior do usuário específico. Por exemplo, suprimir atividades de uma localização que é normalmente utilizada pelo utilizador.
Fase 3: Otimizar as políticas de deteção de anomalias da cloud Discovery
Pode ajustar várias políticas de deteção de anomalias de deteção de anomalias incorporadas na cloud ou criar as suas próprias políticas para identificar outros cenários que valha a pena investigar. Estas políticas utilizam registos de deteção da cloud, com capacidades de otimização que se focam no comportamento anómalo da aplicação e na transferência de dados não autorizada.
Otimizar a monitorização de utilização
Defina os filtros de utilização para controlar o âmbito e o período de atividade para detetar comportamentos anómalos. Por exemplo, receba alertas para atividades anómalas de funcionários de nível executivo.
Otimizar a sensibilidade dos alertas
Para reduzir alertas desnecessários, configure a sensibilidade dos alertas. Utilize o controlo de deslize de confidencialidade para controlar o número de alertas de alto risco enviados por 1000 utilizadores por semana. As sensibilidades mais elevadas requerem menos variância para serem consideradas uma anomalia e gerar mais alertas. Em geral, defina baixa sensibilidade para os utilizadores que não têm acesso a dados confidenciais.
Fase 4: Otimizar políticas de deteção (atividade) baseadas em regras
As políticas de deteção baseadas em regras complementam as políticas de deteção de anomalias com requisitos específicos da organização. Crie políticas baseadas em regras com um dos modelos de Política de atividade.
Se a sua organização não tiver qualquer presença num determinado país ou região, crie uma política que detete as atividades anómalas a partir dessa localização. Para organizações com grandes ramos nesse país ou região, essas atividades são normais e não faz sentido detetar essas atividades.
- Aceda aModelos de políticas> e defina o filtro Tipo como Política de atividade. Configure filtros de atividade para detetar comportamentos que não são normais para o seu ambiente.
-
Ajustar o volume de atividade
Escolha o volume de atividade necessário antes de a deteção emitir um alerta. Se a sua organização não tiver presença num país ou região, mesmo uma única atividade é significativa e justifica um alerta. Uma falha de início de sessão único pode ser um erro humano e apenas de interesse se existirem muitas falhas num curto espaço de tempo. -
Otimizar filtros de atividade
Defina os filtros necessários para detetar o tipo de atividade em que pretende alertar. Por exemplo, para detetar atividade de um país ou região, utilize o parâmetro Localização . -
Otimizar alertas
Para reduzir alertas desnecessários, defina o limite de alertas diários.
Fase 5: Configurar alertas
Observação
A Microsoft preteriu a funcionalidade Alertas/SMS (mensagens sms) a 15 de dezembro de 2022. Se quiser receber alertas de texto, utilize Microsoft Power Automate para automatização de alertas personalizada. Para obter mais informações, veja Integrar com Microsoft Power Automate para automatização de alertas personalizada.
Para receber alertas imediatos a qualquer altura do dia, opte por recebê-los por e-mail.
Também poderá querer a capacidade de analisar alertas no contexto de outros alertas acionados por outros produtos na sua organização. Esta análise dá-lhe uma visão holística de uma potencial ameaça. Por exemplo, poderá querer correlacionar entre eventos baseados na cloud e no local para ver se existem outras provas de mitigação que confirmem um ataque.
Pode utilizar o Microsoft Power Automate para acionar a automatização de alertas personalizada. Quando um alerta é acionado, pode:
- Configurar um manual de procedimentos
- Criar um problema no ServiceNow
- Enviar um e-mail de aprovação para executar uma ação de governação personalizada quando um alerta é acionado
Utilize as seguintes diretrizes para configurar os alertas:
-
Email
Selecione esta opção para receber alertas por e-mail. -
SIEM
Existem várias opções de integração de SIEM, incluindo Microsoft Sentinel, o Microsoft Graph API de Segurança e outros SIEMs genéricos. Escolha a integração que melhor cumpre os seus requisitos. -
Automatização do Power Automate
Crie os manuais de procedimentos de automatização necessários e defina-os como o alerta da política para a ação do Power Automate.
Fase 6: Investigar e remediar
Para otimizar a sua proteção, configure ações de remediação automática para minimizar o risco para a sua organização. As políticas permitem-lhe aplicar ações de governação com os alertas para que o risco para a sua organização seja reduzido mesmo antes de começar a investigar. O tipo de política determina as ações disponíveis, incluindo ações como colocar um utilizador em pausa ou bloquear o acesso ao recurso pedido.