Práticas recomendadas para proteger sua organização com o Defender para Aplicativos de Nuvem

  • Artigo

Este artigo fornece as práticas recomendadas para proteger sua organização usando o Microsoft Defender para Aplicativos de Nuvem. Essas melhores práticas derivam da nossa experiência com o Defender para Aplicativos de Nuvem e as experiências de clientes como você.

As práticas recomendadas discutidas neste artigo incluem:

Descobrir e avaliar aplicativos na nuvem

A integração do Defender para Aplicativos de Nuvem com o Microsoft Defender for Endpoint oferece a capacidade de usar o Cloud Discovery além da rede corporativa ou gateways da Web seguros. Com as inmaneirações combinadas do usuário e do dispositivo, é possível identificar usuários ou dispositivos arriscados, ver quais aplicativos eles estão usando e investigar mais no portal do Defender for Endpoint.

Prática recomendada: Habilitar o Shadow IT Discovery usando o Defender for Endpoint
Detalhe: o Cloud Discovery analisa os logs de tráfego coletados pelo Defender para Ponto de Extremidade e avalia os aplicativos identificados em relação ao catálogo de aplicativos na nuvem para fornecer informações de conformidade e segurança. Ao configurar o Cloud Discovery, você ganha visibilidade sobre o uso da nuvem, o Shadow IT e o monitoramento contínuo dos aplicativos não sancionados que estão sendo usados por seus usuários.
Para obter mais informações, consulte:

Prática recomendada: configurar políticas de descoberta de aplicativos para identificar proativamente aplicativos arriscados, não compatíveis e em alta
Detalhes: as políticas de Descoberta de Aplicativos facilitam o rastreamento dos aplicativos descobertos significativos em sua organização para ajudar você a gerenciar esses aplicativos com eficiência. Crie políticas para receber alertas ao detectar novos aplicativos identificados como arriscados, não compatíveis, em tendência ou de alto volume.
Para obter mais informações, consulte:

Prática recomendada: gerenciar aplicativos OAuth autorizados por seus usuários
Detalhe: Muitos usuários concedem casualmente permissões OAuth a aplicativos de terceiros para acessar suas inmaneirações de conta e, ao fazer isso, inadvertidamente também dão acesso a seus dados em outros aplicativos de nuvem. Normalmente, a TI não tem visibilidade desses aplicativos, tornando difícil pesar o risco de segurança de um aplicativo com o benefício de produtividade que ele proporciona.

O Defender para Aplicativos de Nuvem oferece a capacidade de investigar e monitorar as permissões de aplicativo concedidas por seus usuários. Você pode utilizar essas inmaneirações para identificar um aplicativo potencialmente suspeito e, se determinar que ele é arriscado, poderá proibir o acesso a ele.
Para obter mais informações, consulte:

Aplicar políticas de governança na nuvem

Práticas recomendadas: marcar aplicativos e exportar scripts de bloco
Detalhes: depois de analisar a lista de aplicativos descobertos em sua organização, você pode proteger seu ambiente contra o uso indesejado de aplicativos. Você pode aplicar a marca Sancionado a aplicativos aprovados pela sua organização e a marca Não sancionada a aplicativos que não são. Você pode monitorar aplicativos não sancionados usando filtros de descoberta ou exportar um script para bloquear aplicativos não sancionados usando seus dispositivos de segurança locais. O uso de tags e scripts de exportação permite que você organize seus aplicativos e proteja seu ambiente permitindo apenas que aplicativos seguros sejam acessados.
Para obter mais informações, consulte:

Limitar a exposição de dados compartilhados e impor políticas de colaboração

Prática recomendada: Conectar o Microsoft 365
Detalhe: conectar o Microsoft 365 ao Defender para Aplicativos de Nuvem oferece visibilidade imediata das atividades dos usuários, dos arquivos que eles estão acessando e fornece ações de governança para Microsoft 365, SharePoint, OneDrive, Teams, Power BI, Exchange e Dynamics.
Para obter mais informações, consulte:

Práticas recomendadas: conectar seus aplicativos
Detalhe: conectar seus aplicativos ao Defender para Aplicativos de Nuvem fornece insights aprimorados sobre as atividades dos usuários, detecção de ameaças e recursos de governança. Para ver quais APIs de aplicativos de terceiros são suportadas, vá para Conectar aplicativos.

Para obter mais informações, consulte:

Práticas recomendadas: criar políticas para remover o compartilhamento com contas pessoais
Detalhe: conectar o Microsoft 365 ao Defender para Aplicativos de Nuvem oferece visibilidade imediata das atividades dos usuários, dos arquivos que eles estão acessando e fornece ações de governança para Microsoft 365, SharePoint, OneDrive, Teams, Power BI, Exchange e Dynamics.
Para obter mais informações, consulte:

Descobrir, classificar, rotular e proteger dados regulamentados e confidenciais armazenados na nuvem

Prática recomendada: Integração com a Proteção de Informações do Microsoft Purview
Detalhe: a integração com a Proteção de Informações do Microsoft Purview oferece a capacidade de aplicar automaticamente rótulos de confidencialidade e, opcionalmente, adicionar proteção de criptografia. Depois que a integração estiver ativada, você poderá aplicar rótulos como uma ação de governança, visualizar arquivos por classificação, investigar arquivos por nível de classificação e criar políticas granulares para garantir que os arquivos classificados estejam sendo manipulados corretamente. Se você não ativar a integração, não poderá se beneficiar da capacidade de digitalizar, rotular e criptografar automaticamente arquivos na nuvem.
Para obter mais informações, consulte:

Prática recomendada: Criar políticas de exposição de dados
Detalhe: use políticas de arquivo para detectar o compartilhamento de inmaneirações e verificar inmaneirações confidenciais em seus aplicativos na nuvem. Crie as seguintes políticas de arquivo para alertá-lo quando exposições de dados forem detectadas:

  • Arquivos compartilhados externamente que contêm dados confidenciais
  • Arquivos compartilhados externamente e rotulados como confidenciais
  • Arquivos compartilhados com domínios não autorizados
  • Proteja arquivos confidenciais em aplicativos SaaS

Para obter mais informações, consulte:

Práticas recomendadas: revisar relatórios na página Arquivos
Detalhe: depois de conectar vários aplicativos SaaS usando conectores de aplicativos, o Defender para Aplicativos de Nuvem verifica os arquivos armazenados por esses aplicativos. Além disso, cada vez que um arquivo é modificado, ele é verificado novamente. Você pode utilizar a página Arquivos para entender e investigar os tipos de dados que estão sendo armazenados em seus aplicativos de nuvem. Para ajudar você a investigar, é possível filtrar por domínios, grupos, usuários, data de criação, extensão, nome e tipo de arquivo, ID do arquivo, rótulo de confidencialidade e muito mais. O uso desses filtros coloca você no controle de como você escolhe investigar arquivos para garantir que nenhum de seus dados esteja em risco. Depois de entender melhor como seus dados estão sendo usados, é possível criar políticas para verificar se há conteúdo confidencial nesses arquivos.
Para obter mais informações, consulte:

Impor políticas de DLP e conformidade para dados armazenados na nuvem

Práticas recomendadas: proteger dados confidenciais de serem compartilhados com usuários externos
Detalhe: crie uma política de arquivo que detecte quando um usuário tenta compartilhar um arquivo com o rótulo de Confidencialidade com alguém externo à sua organização e configure sua ação de governança para remover usuários externos. Essa política garante que seus dados confidenciais não saiam da sua organização e que os usuários externos não possam acessá-los.
Para obter mais informações, consulte:

Bloquear e proteger o download de dados confidenciais em dispositivos arriscados ou não gerenciados

Práticas recomendadas: gerenciar e controlar o acesso a dispositivos de alto risco
Detalhe: use o Controle de Aplicativo de Acesso Condicional para definir controles em seus aplicativos SaaS. Você pode criar políticas de sessão para monitorar suas sessões de alto risco e baixa confiança. Da mesma maneira, é possível criar políticas de sessão para bloquear e proteger downloads de usuários que tentam acessar dados confidenciais de dispositivos não gerenciados ou arriscados. Se você não criar políticas de sessão para monitorar sessões de alto risco, perderá a capacidade de bloquear e proteger downloads no cliente Web, bem como a capacidade de monitorar sessões de baixa confiança tanto na Microsoft quanto em aplicativos de terceiros.
Para obter mais informações, consulte:

Proteger a colaboração com usuários externos impondo controles de sessão em tempo real

Prática recomendada: monitorar sessões com usuários externos usando o Controle de Aplicativo de Acesso Condicional
Detalhe: para proteger a colaboração em seu ambiente, é possível criar uma política de sessão para monitorar sessões entre seus usuários internos e externos. Isso não apenas dá a capacidade de monitorar a sessão entre seus usuários (e notificá-los de que suas atividades de sessão estão sendo monitoradas), mas também permite que você limite atividades específicas também. Ao criar políticas de sessão para monitorar a atividade, é possível escolher os aplicativos e usuários que deseja monitorar.
Para obter mais informações, consulte:

Detectar ameaças na nuvem, contas comprometidas, insiders maliciosos e ransomware

Práticas recomendadas: ajustar políticas de anomalias, definir intervalos de IP, enviar comentários para alertas
Detalhes: políticas de detecção de anomalias fornecem análises comportamentais de entidades e de usuários (UEBA) e aprendizado de máquina (ML) inovadores para que você execute imediatamente uma detecção avançada a ameaças em seu ambiente de nuvem.

As políticas de detecção de anomalias são acionadas quando há atividades incomuns executadas pelos usuários em seu ambiente. O Defender para Aplicativos de Nuvem monitora continuamente as atividades de seus usuários e usa UEBA e ML para aprender e entender o comportamento normal de seus usuários. Você pode ajustar as configurações de política para atender aos requisitos de sua organização, por exemplo, você pode definir a confidencialidade de uma política, bem como definir o escopo de uma política para um grupo específico.

  • Ajustar e definir políticas de detecção de anomalias de escopo: por exemplo, para reduzir o número de falsos positivos dentro do alerta de viagem impossível, você pode definir o controle deslizante de confidencialidade da política como baixo. Se você tiver usuários em sua organização que são viajantes corporativos frequentes, poderá adicioná-los a um grupo de usuários e selecionar esse grupo no escopo da política.

  • Definir intervalos de IP: o Defender para Aplicativos de Nuvem pode identificar endereços IP conhecidos depois que os intervalos de endereços IP são definidos. Com intervalos de endereços IP configurados, você pode marcar, categorizar e personalizar a maneira como os logs e os alertas são exibidos e investigados. A adição de intervalos de endereços IP ajuda a reduzir as detecções de falsos positivos e a melhorar a precisão dos alertas. Se você optar por não adicionar seus endereços IP, poderá ver um número maior de possíveis falsos positivos e alertas para investigar.

  • Enviar comentários para alertas

    Ao descartar ou resolver alertas, certifique-se de enviar comentários com o motivo pelo qual você descartou o alerta ou como ele foi resolvido. Essas informações ajudam o Defender para Aplicativos de Nuvem a melhorar nossos alertas e reduzir falsos positivos.

Para obter mais informações, consulte:

Melhor prática: detecte atividades de locais ou de países/regiões inesperados.
Detalhe: crie uma política de atividade para notificá-lo quando os usuários entrarem de locais inesperados ou países/regiões. Essas notificações podem alertá-lo sobre sessões possivelmente comprometidas em seu ambiente para que você possa detectar e corrigir ameaças antes que elas ocorram.
Para obter mais informações, consulte:

Prática recomendada: Criar políticas de aplicativo OAuth
Detalhe: crie uma política de aplicativo OAuth para notificá-lo quando um aplicativo OAuth atender a determinados critérios. Por exemplo, é possível optar por ser notificado quando um aplicativo específico que requer um alto nível de permissão foi acessado por mais de 100 usuários.
Para obter mais informações, consulte:

Usar a trilha de auditoria das atividades para investigações forenses

Prática recomendada: use a trilha de auditoria de atividades ao investigar alertas
Detalhe: os alertas são disparados quando as atividades de usuário, administrador ou entrada não estão em conformidade com suas políticas. É importante investigar alertas para entender se há uma possível ameaça em seu ambiente.

Você pode investigar um alerta selecionando-o na página Alertas e revisando a trilha de auditoria das atividades relacionadas a esse alerta. A trilha de auditoria oferece visibilidade de atividades do mesmo tipo, mesmo usuário, mesmo endereço IP e localização, para fornecer a história geral de um alerta. Se um alerta justificar uma investigação mais aprofundada, crie um plano para resolver esses alertas em sua organização.

Ao descartar alertas, é importante investigar e entender por que eles não têm importância ou se são falsos positivos. Se houver um grande volume dessas atividades, convém também considerar a revisão e o ajuste da política que aciona o alerta.
Para obter mais informações, consulte:

Proteger serviços IaaS e aplicativos personalizados

Práticas recomendadas: Conectar Azure, AWS e GCP
Detalhe: conectar cada uma dessas plataformas de nuvem ao Defender para Aplicativos de Nuvem ajuda você a melhorar seus recursos de detecção de ameaças. Ao monitorar as atividades administrativas e de entrada desses serviços, é possível detectar e ser notificado sobre possíveis ataques de força bruta, uso mal-intencionado de uma conta de usuário privilegiada e outras ameaças em seu ambiente. Por exemplo, é possível identificar riscos, como exclusões incomuns de VMs ou até mesmo atividades de representação nesses aplicativos.
Para obter mais informações, consulte:

Práticas recomendadas: integrar aplicativos personalizados
Detalhe: para obter visibilidade adicional das atividades de seus aplicativos de linha de negócios, você pode integrar aplicativos personalizados ao Defender para Aplicativos de Nuvem. Depois que os aplicativos personalizados são configurados, você vê inmaneirações sobre quem os está usando, os endereços IP dos quais eles estão sendo usados e quanto tráfego está entrando e saindo do aplicativo.

Além disso, é possível integrar um aplicativo personalizado como um aplicativo de Controle de Aplicativo de Acesso Condicional para monitorar suas sessões de baixa confiança.
Para obter mais informações, consulte: