Obter análise comportamental e detecção de anomalias

Observação

• Renomeamos Microsoft Cloud App Security. Agora se chama Microsoft Defender para Aplicativos de Nuvem. Nas próximas semanas, atualizaremos as capturas de tela e as instruções aqui e nas páginas relacionadas. Para obter mais informações sobre a alteração, consulte este comunicado. Para saber mais sobre a renomeação recente dos serviços de segurança da Microsoft, consulte o blog do Microsoft Ignite Security.

• Microsoft Defender para Aplicativos de Nuvem agora faz parte do Microsoft 365 Defender. O portal Microsoft 365 Defender permite que os administradores de segurança executem suas tarefas de segurança em um local. Isso simplificará os fluxos de trabalho e adicionará a funcionalidade dos outros serviços Microsoft 365 Defender. Microsoft 365 Defender será a casa para monitorar e gerenciar a segurança em suas identidades, dados, dispositivos, aplicativos e infraestrutura da Microsoft. Para obter mais informações sobre essas alterações, consulte Microsoft Defender para Aplicativos de Nuvem no Microsoft 365 Defender.

As políticas de detecção de anomalias Microsoft Defender para Aplicativos de Nuvem fornecem UEBA (análise comportamental de entidade e usuário) e aprendizado de máquina (ML) prontos desde o início para executar a detecção avançada de ameaças em seu ambiente de nuvem. Como elas são habilitadas automaticamente, as novas políticas de detecção de anomalias iniciam imediatamente o processo de detecção e agrupamento de resultados, visando inúmeras anomalias comportamentais entre seus usuários e os computadores e dispositivos conectados à sua rede. Além disso, as políticas expõem mais dados do mecanismo de detecção do Defender para Aplicativos de Nuvem, para ajudá-lo a acelerar o processo de investigação e conter ameaças contínuas.

As políticas de detecção de anomalias são habilitadas automaticamente, mas o Defender para Aplicativos de Nuvem tem um período de aprendizado inicial de sete dias durante o qual nem todos os alertas de detecção de anomalias são gerados. Depois disso, como os dados são coletados de seus conectores de API configurados, cada sessão é comparada à atividade, quando os usuários estavam ativos, endereços IP, dispositivos e assim por diante, detectados no último mês e a pontuação de risco dessas atividades. Lembre-se de que pode levar várias horas para que os dados estejam disponíveis nos conectores de API. Essas detecções fazem parte do mecanismo de detecção de anomalias heurísticas que cria o perfil do ambiente e dispara alertas em relação a uma linha de base que foi aprendida na atividade da sua organização. Essas detecções também usam algoritmos de aprendizado de máquina projetados para criar o perfil dos usuários e entrar no padrão para reduzir falsos positivos.

As anomalias são detectadas pela verificação da atividade do usuário. O risco é avaliado observando-se mais de 30 indicadores de risco diferentes, agrupados em fatores de risco, como:

• Endereço IP arriscado
• Falhas de logon
• Atividade do administrador
• Contas inativas
• Location
• Viagem impossível
• Agente de dispositivo e usuário
• Taxa de atividade

Com base nos resultados da política, os alertas de segurança são disparados. O Defender para Aplicativos de Nuvem examina cada sessão de usuário em sua nuvem e alerta quando algo acontece que é diferente da linha de base da sua organização ou da atividade regular do usuário.

Além dos alertas nativos do Defender para Aplicativos de Nuvem, você também receberá os seguintes alertas de detecção com base nas informações recebidas do Azure Active Directory (AD) Identity Protection:

• Credenciais vazadas: disparadas quando as credenciais válidas de um usuário são vazadas. Para obter mais informações, consulte Azure AD detecção de credenciais vazadas.
• Entrada arriscada: combina várias detecções de entrada do Azure AD Identity Protection em uma única detecção. Para obter mais informações, consulte as detecções de risco de entrada do Azure AD.

Essas políticas serão exibidas na página de políticas do Defender para Aplicativos de Nuvem e podem ser habilitadas ou desabilitadas.

Políticas de detecção de anomalias

É possível ver as políticas de detecção de anomalias no portal clicando em Controle e em Políticas. Selecione Política de detecção de anomalias para o tipo de política.

As seguintes políticas de detecção de anomalias estão disponíveis:

Viagem impossível

• Essa detecção identifica duas atividades de usuário (em uma única ou várias sessões) originadas de locais geograficamente distantes em um período de tempo menor do que o tempo que o usuário teria levado para viajar do primeiro local para o segundo, indicando que um usuário diferente está usando as mesmas credenciais. Essa detecção usa um algoritmo de aprendizado de máquina que ignora "falsos positivos" óbvios que contribuem para a condição de viagem impossível, como VPNs e locais usados regularmente por outros usuários da organização. A detecção tem um período de aprendizado inicial de sete dias durante o qual aprende o padrão de atividade de um novo usuário. A detecção de viagem impossível identifica atividades incomuns e impossíveis do usuário entre dois locais. A atividade deve ser incomum o suficiente para ser considerada um indicador de comprometimento e emitir um alerta. Para fazer isso funcionar, a lógica de detecção inclui diferentes níveis de supressão para lidar com cenários que podem disparar falsos positivos, como atividades VPN ou atividades de provedores de nuvem que não indicam um local físico. O controle deslizante de confidencialidade permite que você afete o algoritmo e defina o quão rigorosa é a lógica de detecção. Quanto maior o nível de confidencialidade, menos atividades serão suprimidas como parte da lógica de detecção. Dessa forma, você pode adaptar a detecção de acordo com suas necessidades de cobertura e seus destinos de SNR.

  Observação

  • Quando os endereços IP em ambos os lados da viagem são considerados seguros, a viagem é confiável e excluída de disparar a detecção de viagem impossível. Por exemplo, ambos os lados serão considerados seguros se forem marcados como corporativos. No entanto, se o endereço IP de apenas um lado da viagem for considerado seguro, a detecção será disparada normalmente.
  • Os locais são calculados em um nível de país. Isso significa que não haverá alertas para duas ações originadas no mesmo país ou em países fronteiriços.

Atividade de país não frequente

• Essa detecção considera os locais de atividades anteriores para determinar os locais novos e pouco frequentes. O mecanismo de detecção de anomalias armazena informações sobre locais anteriores usados por usuários na organização. Um alerta é disparado quando uma atividade ocorre em um local que nunca foi visitado ou não foi visitado recentemente por nenhum usuário na organização.

Detecção de malware

• Essa detecção identifica arquivos mal-intencionados no armazenamento em nuvem, sejam de aplicativos da Microsoft ou de aplicativos de terceiros. Microsoft Defender para Aplicativos de Nuvem usa a inteligência contra ameaças da Microsoft para reconhecer se determinados arquivos estão associados a ataques de malware conhecidos e são potencialmente mal-intencionados. Essa política interna é desabilitada por padrão. Arquivos que são encontrados potencialmente arriscados de acordo com nossa heurística também serão verificados na área restrita. Depois que arquivos mal-intencionados forem detectados, você poderá ver uma lista de arquivos infectados. Selecione o nome do arquivo de malware na gaveta de arquivos para abrir um relatório de malware que fornece informações sobre o tipo de malware com o qual o arquivo está infectado.

  Você pode usar essa detecção em tempo real usando políticas de sessão para controlar uploads e downloads de arquivos.

  O Defender para Aplicativos de Nuvem dá suporte à detecção de malware para os seguintes aplicativos:

  • Box
  • Dropbox
  • Google Workspace
  • Office 365 (requer uma licença válida para Microsoft Defender para Office 365 P1)

  Observação

  O malware detectado em Office 365 aplicativos é bloqueado automaticamente pelo aplicativo e o usuário não pode acessar o arquivo. Somente o administrador do aplicativo tem acesso.

  No Box, Dropbox e Google Workspace, o Defender para Aplicativos de Nuvem não bloqueia o arquivo, mas o bloqueio pode ser executado de acordo com as funcionalidades do aplicativo e a configuração do aplicativo definida pelo cliente.

Atividade de endereços IP anônimos

• Essa detecção identifica que os usuários estavam ativos com base em um endereço IP que foi identificado como um endereço IP de proxy anônimo. Esses proxies são usados por pessoas que desejam ocultar o endereço IP do dispositivo e podem ser usados para intenção mal-intencionada. Essa detecção usa um algoritmo de aprendizado de máquina que reduz "falsos positivos", como endereços IP marcados incorretamente que são amplamente usados pelos usuários da organização.

Atividade de ransomware

• O Defender para Aplicativos de Nuvem estendeu seus recursos de detecção de ransomware com detecção de anomalias para garantir uma cobertura mais abrangente contra ataques sofisticados de Ransomware. Usando nossa experiência em pesquisa de segurança para identificar padrões comportamentais que refletem a atividade de ransomware, o Defender para Aplicativos de Nuvem garante uma proteção holística e robusta. Se o Defender para Aplicativos de Nuvem identificar, por exemplo, uma alta taxa de uploads de arquivos ou atividades de exclusão de arquivos, poderá representar um processo de criptografia adverso. Esses dados são coletados nos logs recebidos de APIs conectadas e são combinados com padrões comportamentais aprendidos e inteligência contra ameaças, por exemplo, extensões de ransomware conhecidas. Para obter mais informações sobre como o Defender para Aplicativos de Nuvem detecta ransomware, consulte Protegendo sua organização contra ransomware.

Atividade realizada por usuário encerrado

• Essa detecção habilita você a identificar quando um funcionário demitido continua a executar ações em seus aplicativos SaaS. Como os dados mostram que o maior risco de ameaça interna vem de funcionários que deixaram a empresa descontentes, é importante ficar atento à atividade em contas de funcionários demitidos. Às vezes, quando funcionários deixam a empresa, suas contas são desprovisionadas de aplicativos corporativos, mas, em muitos casos, eles ainda mantêm o acesso a determinados recursos corporativos. Isso é ainda mais importante ao considerar as contas privilegiadas, pois os danos potenciais que um administrador anterior pode causar são inerentemente maiores. Essa detecção aproveita a capacidade do Defender para Aplicativos de Nuvem de monitorar o comportamento do usuário entre aplicativos, permitindo a identificação da atividade regular do usuário, o fato de que a conta foi excluída e a atividade real em outros aplicativos. Por exemplo, um funcionário cuja conta Azure AD foi excluída, mas ainda tem acesso à infraestrutura corporativa do AWS, tem o potencial de causar danos em larga escala.

A detecção procura usuários cujas contas foram excluídas em Azure AD, mas ainda executam atividades em outras plataformas, como AWS ou Salesforce. Isso é especialmente relevante para os usuários que usam outra conta (não sua conta de logon único principal) para gerenciar recursos, já que essas contas geralmente não são excluídas quando um usuário deixa a empresa.

Atividade de endereços IP suspeitos

• A detecção identifica que os usuários estavam ativos com base em um endereço IP identificado como arriscado pela Microsoft Threat Intelligence. Esses endereços IP estão envolvidos em atividades mal-intencionadas, como a execução de spray de senha, Botnet C&C e podem indicar uma conta comprometida. Essa detecção usa um algoritmo de aprendizado de máquina que reduz "falsos positivos", como endereços IP marcados incorretamente que são amplamente usados pelos usuários da organização.

Encaminhamento suspeito da caixa de entrada

• Essa detecção procura regras de encaminhamento de email suspeito, por exemplo, se um usuário criou uma regra de caixa de entrada que encaminha uma cópia de todos os emails para um endereço externo.

Observação

O Defender para Aplicativos de Nuvem alerta apenas você para cada regra de encaminhamento identificada como suspeita, com base no comportamento típico do usuário.

Regras de manipulação de caixa de entrada suspeita

• Essa detecção analisa o ambiente e dispara alertas quando regras suspeitas que excluem ou movem mensagens ou pastas são definidas na caixa de entrada de um usuário. Isso pode indicar que a conta de usuário está comprometida, que as mensagens foram ocultadas de forma intencional e que a caixa de correio está sendo usada para enviar spam e malware em sua organização.

Atividade de exclusão de email suspeita (versão prévia)

• Essa política cria o perfil do ambiente e dispara alertas quando um usuário executa atividades suspeitas de exclusão de email em uma única sessão. Essa política pode indicar que as caixas de correio de um usuário podem ser comprometidas por possíveis vetores de ataque, como C&C/C2 (comunicação de comando e controle) por email.

Observação

O Defender para Aplicativos de Nuvem integra-se a Microsoft Defender para Office 365 para fornecer proteção para o Exchange online, incluindo detonação de URL, proteção contra malware e muito mais. Depois que Defender para Office 365 estiver habilitada, você começará a ver alertas no log de atividades do Defender para Aplicativos de Nuvem.

Atividades suspeitas de download de arquivo de aplicativo OAuth

• Examina os aplicativos OAuth conectados ao seu ambiente e dispara um alerta quando um aplicativo baixa vários arquivos do Microsoft SharePoint ou do Microsoft OneDrive de uma maneira incomum para o usuário. Isso pode indicar que a conta de usuário está comprometida.

ISP incomum para um aplicativo OAuth

• Essa política cria o perfil do ambiente e dispara alertas quando um aplicativo OAuth se conecta aos aplicativos de nuvem de um ISP incomum. Essa política pode indicar que um invasor tentou usar um aplicativo legítimo comprometido para executar atividades mal-intencionadas em seus aplicativos de nuvem.

Atividades incomuns (por usuário)

Essas detecções identificam os usuários que executam:

• Atividades incomuns de vários downloads de arquivos
• Atividades incomuns de compartilhamento de arquivos
• Atividades incomuns de exclusão de arquivos
• Atividades representadas incomuns
• Atividades administrativas incomuns
• Atividades incomuns de compartilhamento de relatórios do Power BI (versão prévia)
• Atividades incomuns de criação de várias VMs (versão prévia)
• Atividades incomuns de exclusão de armazenamento múltiplo (versão prévia)
• Região incomum para recurso de nuvem (versão prévia)
• Acesso a arquivos incomuns

Essas políticas buscam atividades em uma única sessão em relação à linha de base aprendida, que pode indicar uma tentativa de violação. Essas detecções aproveitam um algoritmo de aprendizado de máquina que cria o perfil do padrão de logon dos usuários e reduz os falsos positivos. Essas detecções fazem parte do mecanismo de detecção de anomalias heurísticas que cria o perfil do ambiente e dispara alertas em relação a uma linha de base que foi aprendida na atividade da sua organização.

Várias tentativas de logon com falha

• A detecção identifica usuários que realizaram várias tentativas de logon com falha em uma única sessão em relação à linha de base aprendida, o que poderia indicar uma tentativa de violação.

Extração de dados para aplicativos não sancionados

• Essa política é habilitada automaticamente para alertar quando um usuário ou endereço IP usa um aplicativo que não está aprovado para executar uma atividade parecida com uma tentativa de extrair informações de sua organização.

Várias atividades de exclusão de VM

• Esta política identifica seu ambiente e dispara alertas quando os usuários excluem várias VMs em uma única sessão em relação à linha de base em sua organização. Isso pode indicar uma tentativa de violação.

Habilitar governança automatizada

É possível habilitar ações de correção automatizadas em alertas gerados por políticas de detecção de anomalias.

1. Selecione o nome da política de detecção na página Política .
2. Na janela Editar política de detecção de anomalias que é aberta, em Governança defina as ações de correção que deseja para cada aplicativo conectado ou para todos os aplicativos.
3. Selecione Atualizar.

Ajustar as políticas de detecção de anomalias

Para afetar o mecanismo de detecção de anomalias para suprimir ou mostrar alertas de acordo com suas preferências:

• Na política Viagem Impossível, você pode definir o controle deslizante de sensibilidade para determinar o nível de comportamento anormal necessário antes que um alerta seja disparado. Por exemplo, se você defini-lo como baixo ou médio, ele suprimirá alertas de Viagem Impossível dos locais comuns de um usuário e, se você defini-lo como alto, ele exibirá esses alertas. Você pode escolher entre os seguintes níveis de sensibilidade:

  • Baixa: supressões de sistema, locatário e usuário

  • Média: supressões de sistema e usuário

  • Alta: apenas supressões de sistema

    Sendo que:

    Tipo de supressão	Descrição
    System	Detecções internas que são sempre suprimidas.
    Locatário	Atividades comuns com base nas atividades anteriores no locatário. Por exemplo, suprimir atividades de um ISP alertado anteriormente em sua organização.
    Usuário	Atividades comuns com base nas atividades anteriores do usuário específico. Por exemplo, suprimir atividades de um local que é normalmente usado pelo usuário.

Observação

Por padrão, os protocolos de entrada herdados, como aqueles que não usam autenticação multifator (por exemplo, WS-Trust), não são monitorados pela política de viagem impossível. Se sua organização usar protocolos herdados, para evitar atividades relevantes ausentes, edite a política e, em configuração avançada, defina Analisar atividades de entrada comoTodas as entradas.

Definir políticas de detecção de anomalias

Cada política de detecção de anomalias pode ter um escopo independente, de modo que se aplique apenas aos usuários e grupos que você deseja incluir e excluir na política. Por exemplo, você pode definir a detecção de Atividade de região pouco frequente para ignorar um usuário específico que viaja com frequência.

Para definir uma política de detecção de anomalias:

1. SelecionePolíticas deControle> e defina o filtro Tipo como política de detecção de anomalias.

2. Selecione a política que você deseja definir no escopo.

3. Em Escopo, altere o menu suspenso da configuração padrão de Todos os usuários e grupos para Usuários e grupos específicos.

4. Selecione Incluir para especificar os usuários e grupos para quem essa política será aplicada. Qualquer usuário ou grupo não selecionado aqui não será considerado uma ameaça e não gerará um alerta.

5. Selecione Excluir para especificar usuários para quem essa política não se aplicará. Qualquer usuário selecionado aqui não será considerado uma ameaça e não gerará um alerta, mesmo se eles forem membros de grupos selecionados em Incluir.

   

Triagem de alertas de detecção de anomalias

Você pode triar rapidamente os vários alertas disparados pelas novas políticas de detecção de anomalias e decidir quais precisam ser tratados primeiro. Para fazer isso, você precisa do contexto para o alerta, para que você possa ver o quadro geral e entender se algo mal-intencionado está realmente acontecendo.

1. No Log de atividades, você pode abrir uma atividade para exibir a gaveta Atividades. Selecione Usuário para exibir a guia insights do usuário. Essa guia inclui informações como número de alertas, atividades e de onde eles se conectaram, o que é importante em uma investigação.

   

2. Isso permite que você entenda quais são as atividades suspeitas que o usuário executou e ter maior confiança sobre o comprometimento da conta. Por exemplo, um alerta de vários logons com falha pode realmente ser suspeito e indicar um ataque de força bruta em potencial, mas também pode ser um erro de configuração do aplicativo, fazendo com que o alerta seja um verdadeiro positivo benigno. No entanto, se você vir um alerta de logons com várias falhas com atividades suspeitas adicionais, há uma probabilidade maior de que a conta esteja comprometida. No exemplo a seguir, você pode ver que o alerta Várias tentativas de logon com falha foi seguido de uma Atividade de um endereço IP TOR e de uma Atividade de viagem impossível, ambas fortes indicadores de comprometimento (IOCs) por si próprias. Se isso não for suspeito o suficiente, você poderá ver que o mesmo usuário realizou uma atividade de download em massa, o que geralmente é um indicador do invasor executando exfiltração de dados.

   

3. Para arquivos infectados por malware, depois que os arquivos forem detectados, será exibida uma lista de Arquivos infectados. Selecione o nome do arquivo de malware na gaveta de arquivos para abrir um relatório de malware que fornece informações sobre esse tipo de malware com o qual o arquivo está infectado.

Vídeos relacionados

Webinar de proteção contra ameaças

Próximas etapas

Atividades diárias para proteger seu ambiente de nuvem

Em caso de problemas, estamos aqui para ajudar. Abra um tíquete de suporte para receber assistência ou suporte para o produto.