Práticas recomendadas para proteger sua organização com o Defender for Cloud Apps

  • Artigo

Este artigo fornece práticas recomendadas para proteger sua organização usando o Microsoft Defender for Cloud Apps. Essas práticas recomendadas vêm da nossa experiência com o Defender for Cloud Apps e das experiências de clientes como você.

As práticas recomendadas discutidas neste artigo incluem:

Descubra e avalie aplicações na nuvem

A integração do Defender for Cloud Apps com o Microsoft Defender for Endpoint oferece a capacidade de usar o Cloud Discovery além da sua rede corporativa ou gateways da Web seguros. Com as informações combinadas de usuário e dispositivo, você pode identificar usuários ou dispositivos arriscados, ver quais aplicativos eles estão usando e investigar mais no portal do Defender for Endpoint.

Práticas recomendadas: habilitar o Shadow IT Discovery usando o Defender for Endpoint
Detalhe: o Cloud Discovery analisa os logs de tráfego coletados pelo Defender for Endpoint e avalia os aplicativos identificados em relação ao catálogo de aplicativos na nuvem para fornecer informações de conformidade e segurança. Ao configurar o Cloud Discovery, você ganha visibilidade sobre o uso da nuvem, o Shadow IT e o monitoramento contínuo dos aplicativos não autorizados que estão sendo usados por seus usuários.
Para mais informações:

Práticas recomendadas: configurar políticas de Descoberta de Aplicativos para identificar proativamente aplicativos arriscados, não compatíveis e em alta
Detalhes: as políticas de Descoberta de Aplicativos facilitam o rastreamento dos aplicativos descobertos significativos em sua organização para ajudá-lo a gerenciar esses aplicativos de forma eficiente. Crie políticas para receber alertas ao detetar novos aplicativos identificados como arriscados, não compatíveis, com tendências ou de alto volume.
Para mais informações:

Práticas recomendadas: gerenciar aplicativos OAuth autorizados por seus usuários
Detalhe: Muitos usuários casualmente concedem permissões OAuth a aplicativos de terceiros para acessar as informações de suas contas e, ao fazer isso, inadvertidamente também dão acesso aos seus dados em outros aplicativos na nuvem. Normalmente, a TI não tem visibilidade desses aplicativos, tornando difícil pesar o risco de segurança de um aplicativo em relação ao benefício de produtividade que ele oferece.

O Defender for Cloud Apps oferece a capacidade de investigar e monitorar as permissões de aplicativos concedidas aos usuários. Pode utilizar estas informações para identificar uma aplicação potencialmente suspeita e, se determinar que é arriscada, pode proibir o acesso à mesma.
Para mais informações:

Aplicar políticas de governança de nuvem

Práticas recomendadas: marcar aplicativos e exportar scripts de bloco
Detalhe: depois de analisar a lista de aplicativos descobertos em sua organização, você pode proteger seu ambiente contra o uso indesejado de aplicativos. Pode aplicar a etiqueta Sancionada a aplicações aprovadas pela sua organização e a etiqueta Não Sancionada a aplicações que não o são. Você pode monitorar aplicativos não autorizados usando filtros de descoberta ou exportar um script para bloquear aplicativos não autorizados usando seus dispositivos de segurança locais. O uso de tags e scripts de exportação permite que você organize seus aplicativos e proteja seu ambiente, permitindo apenas que aplicativos seguros sejam acessados.
Para mais informações:

Limite a exposição de dados compartilhados e aplique políticas de colaboração

Práticas recomendadas: Conectar o Microsoft 365
Detalhe: conectar o Microsoft 365 ao Defender for Cloud Apps oferece visibilidade imediata das atividades dos usuários, dos arquivos que eles estão acessando e fornece ações de governança para o Microsoft 365, SharePoint, OneDrive, Teams, Power BI, Exchange e Dynamics.
Para mais informações:

Práticas recomendadas: conecte seus aplicativos
Detalhe: conectar seus aplicativos ao Defender for Cloud Apps oferece informações aprimoradas sobre as atividades de seus usuários, deteção de ameaças e recursos de governança. Para ver quais APIs de aplicativos de terceiros são suportadas, vá para Conectar aplicativos.

Para mais informações:

Práticas recomendadas: criar políticas para remover o compartilhamento com contas pessoais
Detalhe: conectar o Microsoft 365 ao Defender for Cloud Apps oferece visibilidade imediata das atividades dos usuários, dos arquivos que eles estão acessando e fornece ações de governança para o Microsoft 365, SharePoint, OneDrive, Teams, Power BI, Exchange e Dynamics.
Para mais informações:

Descubra, classifique, rotule e proteja dados regulamentados e confidenciais armazenados na nuvem

Práticas recomendadas: integrar com o Microsoft Purview Information Protection
Detalhe: a integração com o Microsoft Purview Information Protection oferece a capacidade de aplicar automaticamente rótulos de sensibilidade e, opcionalmente, adicionar proteção de criptografia. Depois que a integração estiver ativada, você poderá aplicar rótulos como uma ação de governança, exibir arquivos por classificação, investigar arquivos por nível de classificação e criar políticas granulares para garantir que os arquivos classificados estejam sendo tratados corretamente. Se você não ativar a integração, não poderá se beneficiar da capacidade de verificar, rotular e criptografar arquivos automaticamente na nuvem.
Para mais informações:

Práticas recomendadas: criar políticas de exposição de dados
Detalhe: use políticas de arquivo para detetar o compartilhamento de informações e verificar informações confidenciais em seus aplicativos na nuvem. Crie as seguintes políticas de arquivo para alertá-lo quando exposições de dados forem detetadas:

  • Arquivos compartilhados externamente contendo dados confidenciais
  • Arquivos compartilhados externamente e rotulados como confidenciais
  • Arquivos compartilhados com domínios não autorizados
  • Proteja arquivos confidenciais em aplicativos SaaS

Para mais informações:

Práticas recomendadas: revisar relatórios na página Arquivos
Detalhe: depois de conectar vários aplicativos SaaS usando conectores de aplicativos, o Defender for Cloud Apps verifica os arquivos armazenados por esses aplicativos. Além disso, cada vez que um arquivo é modificado, ele é verificado novamente. Você pode usar a página Arquivos para entender e investigar os tipos de dados que estão sendo armazenados em seus aplicativos na nuvem. Para ajudá-lo a investigar, você pode filtrar por domínios, grupos, usuários, data de criação, extensão, nome e tipo de arquivo, ID de arquivo, rótulo de sensibilidade e muito mais. O uso desses filtros coloca você no controle de como você escolhe investigar arquivos para garantir que nenhum de seus dados esteja em risco. Depois de entender melhor como seus dados estão sendo usados, você pode criar políticas para verificar conteúdo confidencial nesses arquivos.
Para mais informações:

Aplique políticas de DLP e conformidade para dados armazenados na nuvem

Práticas recomendadas: proteger dados confidenciais de serem compartilhados com usuários externos
Detalhe: crie uma política de arquivo que detete quando um usuário tenta compartilhar um arquivo com o rótulo de sensibilidade Confidencial com alguém externo à sua organização e configure sua ação de governança para remover usuários externos. Esta política garante que os seus dados confidenciais não saem da sua organização e que os utilizadores externos não possam aceder aos mesmos.
Para mais informações:

Bloqueie e proteja o download de dados confidenciais para dispositivos não gerenciados ou arriscados

Práticas recomendadas: gerenciar e controlar o acesso a dispositivos de alto risco
Detalhe: use o Controle de Aplicativo de Acesso Condicional para definir controles em seus aplicativos SaaS. Você pode criar políticas de sessão para monitorar suas sessões de alto risco e baixa confiança. Da mesma forma, você pode criar políticas de sessão para bloquear e proteger downloads de usuários que tentam acessar dados confidenciais de dispositivos não gerenciados ou arriscados. Se você não criar políticas de sessão para monitorar sessões de alto risco, perderá a capacidade de bloquear e proteger downloads no Web client, bem como a capacidade de monitorar sessões de baixa confiança em aplicativos da Microsoft e de terceiros.
Para mais informações:

Colaboração segura com usuários externos impondo controles de sessão em tempo real

Práticas recomendadas: monitorar sessões com usuários externos usando o Controle de Aplicativo de Acesso Condicional
Detalhe: para proteger a colaboração em seu ambiente, você pode criar uma política de sessão para monitorar sessões entre usuários internos e externos. Isso não só lhe dá a capacidade de monitorar a sessão entre seus usuários (e notificá-los de que suas atividades de sessão estão sendo monitoradas), mas também permite que você limite atividades específicas também. Ao criar políticas de sessão para monitorar a atividade, você pode escolher os aplicativos e usuários que deseja monitorar.
Para mais informações:

Detete ameaças na nuvem, contas comprometidas, insiders mal-intencionados e ransomware

Práticas recomendadas: ajuste as políticas de anomalias, defina intervalos de IP, envie comentários para alertas
Detalhe: as políticas de deteção de anomalias fornecem análise comportamental de usuário e entidade (UEBA) e aprendizado de máquina (ML) prontos para uso para que você possa executar imediatamente a deteção avançada de ameaças em seu ambiente de nuvem.

As políticas de deteção de anomalias são acionadas quando há atividades incomuns executadas pelos usuários em seu ambiente. O Defender for Cloud Apps monitoriza continuamente as atividades dos seus utilizadores e utiliza o UEBA e o ML para aprender e compreender o comportamento normal dos seus utilizadores. Você pode ajustar as configurações de política para atender aos requisitos da sua organização, por exemplo, você pode definir a sensibilidade de uma política, bem como definir o escopo de uma política para um grupo específico.

  • Ajustar e definir políticas de deteção de anomalias de escopo: por exemplo, para reduzir o número de falsos positivos dentro do alerta de viagem impossível, você pode definir o controle deslizante de sensibilidade da política como baixo. Se você tiver usuários em sua organização que são viajantes corporativos frequentes, poderá adicioná-los a um grupo de usuários e selecionar esse grupo no escopo da política.

  • Definir intervalos de IP: o Defender for Cloud Apps pode identificar endereços IP conhecidos assim que os intervalos de endereços IP são definidos. Com intervalos de endereços IP configurados, você pode marcar, categorizar e personalizar a maneira como os logs e alertas são exibidos e investigados. Adicionar intervalos de endereços IP ajuda a reduzir as deteções de falsos positivos e a melhorar a precisão dos alertas. Se optar por não adicionar os seus endereços IP, poderá ver um maior número de possíveis falsos positivos e alertas para investigar.

  • Enviar comentários para alertas

    Ao descartar ou resolver alertas, certifique-se de enviar comentários com o motivo pelo qual você descartou o alerta ou como ele foi resolvido. Estas informações ajudam o Defender for Cloud Apps a melhorar os nossos alertas e a reduzir os falsos positivos.

Para mais informações:

Práticas recomendadas: detetar atividades de locais ou países/regiões inesperados
Detalhe: crie uma política de atividades para notificá-lo quando os usuários entrarem em locais ou países/regiões inesperados. Essas notificações podem alertá-lo sobre sessões possivelmente comprometidas em seu ambiente para que você possa detetar e remediar ameaças antes que elas ocorram.
Para mais informações:

Práticas recomendadas: Criar políticas de aplicativos OAuth
Detalhe: crie uma política de aplicativo OAuth para notificá-lo quando um aplicativo OAuth atender a determinados critérios. Por exemplo, você pode optar por ser notificado quando um aplicativo específico que requer um alto nível de permissão foi acessado por mais de 100 usuários.
Para mais informações:

Utilizar a pista de auditoria das atividades para investigações forenses

Práticas recomendadas: use a trilha de auditoria de atividades ao investigar alertas
Detalhe: os alertas são acionados quando as atividades de utilizador, administrador ou início de sessão não estão em conformidade com as suas políticas. É importante investigar alertas para entender se há uma possível ameaça em seu ambiente.

Você pode investigar um alerta selecionando-o na página Alertas e revisando a trilha de auditoria das atividades relacionadas a esse alerta. A trilha de auditoria oferece visibilidade de atividades do mesmo tipo, mesmo usuário, mesmo endereço IP e local, para fornecer a história geral de um alerta. Se um alerta justificar uma investigação mais aprofundada, crie um plano para resolver esses alertas na sua organização.

Ao descartar alertas, é importante investigar e entender por que eles não têm importância ou se são falsos positivos. Se houver um grande volume dessas atividades, você também pode considerar revisar e ajustar a política que aciona o alerta.
Para mais informações:

Serviços IaaS seguros e aplicativos personalizados

Melhores práticas: conectar Azure, AWS e GCP
Detalhe: conectar cada uma dessas plataformas de nuvem ao Defender for Cloud Apps ajuda você a melhorar seus recursos de deteção de ameaças. Ao monitorar atividades administrativas e de entrada para esses serviços, você pode detetar e ser notificado sobre possíveis ataques de força bruta, uso mal-intencionado de uma conta de usuário privilegiada e outras ameaças em seu ambiente. Por exemplo, você pode identificar riscos, como exclusões incomuns de VMs ou até mesmo atividades de representação nesses aplicativos.
Para mais informações:

Práticas recomendadas: aplicativos personalizados integrados
Detalhe: para obter visibilidade adicional das atividades de seus aplicativos de linha de negócios, você pode integrar aplicativos personalizados ao Defender for Cloud Apps. Depois que os aplicativos personalizados são configurados, você vê informações sobre quem os está usando, os endereços IP de onde estão sendo usados e quanto tráfego está entrando e saindo do aplicativo.

Além disso, você pode integrar um aplicativo personalizado como um aplicativo de Controle de Aplicativo de Acesso Condicional para monitorar suas sessões de baixa confiança.
Para mais informações: