Gerenciar e responder a alertas no Microsoft Defender para Aplicativos de Nuvem

  • 3 minutos

Os alertas são os pontos de entrada para as organizações compreenderem mais profundamente os seus ambientes na cloud. Com base nas informações recolhidas a partir de alertas, as organizações podem querer criar novas políticas com base no que encontram. Por exemplo, vamos supor que descobre que um administrador iniciou sessão a partir da Gronelândia, mesmo que nunca ninguém na sua organização tenha iniciado sessão a partir da Gronelândia. Pode criar uma política que suspende automaticamente uma conta quando alguém a utiliza para iniciar sessão a partir dessa localização.

Monitorar alertas

É uma boa ideia examinar todos os alertas e usá-los como ferramentas para modificar suas políticas. Se eventos desnecessários estiverem sendo considerados violações às políticas existentes, refine suas políticas para que você receba menos alertas desnecessários.

  1. No portal Microsoft Defender, no painel de navegação esquerdo, selecione Incidentes & alertas para expandir o grupo e, em seguida, selecione Alertas.
  2. Na página Alertas , selecione Adicionar filtro na barra de menus.
  3. No menu Adicionar filtro apresentado, selecione todos os filtros específicos da investigação atual e, em seguida, selecione Adicionar. Selecione os filtros que fornecem visibilidade total sobre qualquer atividade suspeita ou violação das políticas estabelecidas. Por exemplo, você pode:

    1. Selecione a opção Origens de serviço/deteção e, em seguida, selecione Adicionar.

    2. Na página Alertas , selecione a opção Origens de serviço/deteção: Qualquer filtro na barra de menus.

    3. No menu Origens de serviço/deteção apresentado, selecione Microsoft Defender para Aplicativos de Nuvem serviço e, em seguida, selecione Aplicar para ver quaisquer alertas relacionados com as aplicações na cloud da sua organização.

      Captura de ecrã da página Alertas do Microsoft Defender a mostrar o menu Adicionar filtro.

      Captura de ecrã da página Alertas do Microsoft Defender a mostrar o menu filtro Origens de deteção de serviço.

Os alertas apresentados podem ajudá-lo a salvaguardar a postura de segurança que definiu para o seu ambiente na cloud. Para cada alerta, você precisa investigar e determinar a natureza da violação e a resposta necessária.

  • Pode filtrar os alertas por Tipo de alerta ou Gravidade para processar os mais importantes primeiro.
  • Selecione um alerta específico. Consoante o tipo de alerta, verá várias ações que pode efetuar antes de resolver os alertas.
  • Você pode filtrar com base em um aplicativo. Os aplicativos listados são aqueles para os quais o Microsoft Defender para Aplicativos de Nuvem detectou atividades.
  • Existem três tipos de violações com que tem de lidar ao investigar alertas:
    • Violações graves. Exigem resposta imediata. Os exemplos incluem:
      • Para um alerta de atividade suspeita, quer suspender a conta até que o utilizador altere a palavra-passe.
      • Para uma fuga de dados, quer restringir as permissões ou colocar o ficheiro em quarentena.
      • Se a Cloud Discover detetar uma nova aplicação, quer bloquear o acesso ao serviço no seu proxy ou firewall.
    • Violações questionáveis. Exigem investigação adicional. Os exemplos incluem:
      • Você pode entrar em contato com o usuário ou o gerente do usuário sobre a natureza da atividade.
      • Deixe a atividade aberta até que você tenha mais informações.
    • Violações autorizadas ou comportamento anormal. Podem resultar de uso legítimo.
      • Você pode ignorar o alerta.

Quando você ignora um alerta, é útil enviar comentários sobre o motivo pelo qual você está ignorando o alerta. A equipe do Microsoft Defender para Aplicativos de Nuvem usa esses comentários como uma indicação da precisão do alerta. Ela também usa essas informações para ajustar nossos modelos de aprendizado de máquina para alertas futuros. Se selecionar a caixa Não há problema em contactar-me sobre este alerta , em casos selecionados, a Microsoft poderá contactá-lo para obter informações adicionais.

Você pode seguir estas diretrizes para decidir como categorizar o alerta:

  • Se uma atividade legítima acionou o alerta e não é um problema de segurança, pode ser um destes tipos:
    • Positivo benigno. O alerta é preciso, mas a atividade é legítima. Você pode ignorar o alerta e definir o motivo para A gravidade real é menor ou Desinteressante.
    • Falso positivo. O alerta é impreciso. Ignore o alerta e defina o motivo para O alerta não é preciso.
  • Se alguma atividade acionou o alerta e for um problema de segurança, o alerta será:
    • Verdadeiro positivo. Se o alerta estiver relacionado com um evento de risco real que um utilizador interno ou externo cometeu de forma maliciosa ou não intencional, deve definir o evento como Resolver depois de a organização ter concluído todas as ações adequadas para remediar o evento.
  • Se houver muito ruído para determinar a legitimidade e a precisão de um alerta, ignore-o e defina o motivo como Muitos alertas semelhantes.

Tipos de alerta

A tabela seguinte fornece uma lista dos tipos de alertas e recomenda formas de uma organização os resolve.

Tipo de Alerta Descrição Resolução recomendada
Violação de política de atividade Esse tipo de alerta é o resultado de uma política que você criou. Para trabalhar com este tipo de alerta em massa, a Microsoft recomenda que as organizações trabalhem no Centro de políticas para os mitigar.

Ajuste a política para excluir entidades com problemas adicionando mais filtros e controles mais granulares.

Este alerta é um alerta justificado se a política for precisa. Como tal, é uma violação que quer parar imediatamente. Deve considerar adicionar a remediação automática na política.
Violação da política de arquivo Esse tipo de alerta é o resultado de uma política que você criou. Para trabalhar com este tipo de alerta em massa, a Microsoft recomenda que as organizações trabalhem no Centro de políticas para os mitigar.

Ajuste a política para excluir entidades com problemas adicionando mais filtros e controles mais granulares.

Este alerta é um alerta justificado se a política for precisa. Como tal, é uma violação que quer parar imediatamente. Deve considerar adicionar a remediação automática na política.
Conta comprometida Microsoft Defender para Aplicativos de Nuvem aciona este alerta quando identifica uma conta comprometida Uma conta comprometida significa que existe uma alta probabilidade de alguém ter utilizado a conta de forma não autorizada. A Microsoft recomenda que as organizações suspendam as contas comprometidas até poderem contactar os utilizadores e verificar se foram elas que alteraram as respetivas palavras-passe.
Conta inativa Microsoft Defender para Aplicativos de Nuvem aciona este alerta quando ninguém utilizou uma conta numa das aplicações na cloud ligadas da organização nos últimos 60 dias. Entre em contato com o usuário e o gerente do usuário para determinar se a conta ainda está ativa. Caso contrário, suspenda o usuário e encerre a licença do aplicativo.
Novo usuário de administração Alerta você sobre alterações em suas contas privilegiadas para aplicativos conectados. Confirme que um utilizador necessita das novas permissões de administrador. Se não o fizerem, recomendamos que revogue os privilégios de administrador para reduzir a exposição.
Novo local de administrador Alerta você sobre alterações em suas contas privilegiadas para aplicativos conectados. Confirme se a entrada deste local anormal foi legítima. Caso contrário, revogue as permissões de administrador ou suspenda a conta para reduzir a exposição.
Novo local Um alerta informativo sobre o acesso a um aplicativo conectado de um novo local. Microsoft Defender para Aplicativos de Nuvem aciona apenas este alerta uma vez por país/região. Investigue a atividade do usuário específico.
Novo serviço descoberto Este alerta é um alerta sobre Shadow IT. A Cloud Discovery detetou uma nova aplicação. Para aplicativos sancionados:

1. Avalie o risco do serviço com base no catálogo de aplicativos.

2. Faça uma busca detalhada na atividade para entender os padrões de uso e a gravidade.

3. Decida se deseja sancionar ou cancelar a sanção do aplicativo.

Para aplicativos não sancionados:

1. Poderá querer bloquear a utilização no proxy ou na firewall.

2. Se você tiver um aplicativo não sancionado e um aplicativo sancionado na mesma categoria, poderá exportar uma lista de usuários do aplicativo não sancionado. Em seguida, entre em contato com eles para migrá-los para o aplicativo sancionado.
Atividade Suspeita Este alerta permite-lhe saber que Microsoft Defender para Aplicativos de Nuvem deteta atividades anómalas não alinhadas com atividades ou utilizadores esperados na organização. Investigue o comportamento e confirme-o com o usuário.

Esse tipo de alerta é uma ótima oportunidade para começar a aprender mais sobre seu ambiente e criar novas políticas com esses alertas. Por exemplo, vamos supor que alguém carregue repentinamente uma grande quantidade de dados em um dos seus aplicativos conectados. Você pode definir uma regra para controlar esse tipo de comportamento anormal.
Uso de conta pessoal Esse alerta permite que você saiba que uma nova conta pessoal tem acesso aos recursos em seus aplicativos conectados. Remova as colaborações do usuário na conta externa.