Política de deteção de anomalias da Cloud Discovery

  • Artigo

Este artigo fornece detalhes de referência sobre políticas. São listadas explicações para cada tipo de política e campos que podem ser configurados para cada política.

Política de deteção de anomalias do Cloud Discovery - Linha do tempo de descontinuação

Desativaremos o suporte a "anomalia do Cloud Discovery" do Microsoft Defender for Cloud Apps até julho de 2024.

Após cuidadosa análise e consideração, decidimos desvalorizá-lo devido à elevada taxa de falsos positivos associados a este alerta, que descobrimos não estar a contribuir de forma eficaz para a segurança geral da sua organização.

Nossa pesquisa indicou que esse recurso não estava agregando valor significativo e não estava alinhado com nosso foco estratégico no fornecimento de soluções de segurança confiáveis e de alta qualidade.

Estamos empenhados em melhorar continuamente os nossos serviços e garantir que vão ao encontro das suas necessidades e expectativas.

Para aqueles que desejam continuar usando esse alerta, sugerimos usar "Política de descoberta de aplicativos" e, em "Acionar uma correspondência de política se todos os itens a seguir ocorrerem no mesmo dia", defina os filtros normalmente.

Referência da política de deteção de anomalias do Cloud Discovery

Uma política de deteção de anomalias do Cloud Discovery permite que você configure o monitoramento contínuo de aumentos incomuns no uso de aplicativos na nuvem. Aumentos nos dados baixados, dados carregados, transações e usuários são considerados para cada aplicativo na nuvem. Cada aumento é comparado com o padrão de utilização normal da aplicação, conforme aprendido na utilização anterior. Os aumentos mais extremos acionam alertas de segurança.

Para cada política, você define filtros que permitem monitorar seletivamente o uso do aplicativo. Os filtros incluem um filtro de aplicativo, exibições de dados selecionadas e uma data de início selecionada. Também pode definir a sensibilidade, que lhe permite definir quantos alertas devem ser acionados pela política.

  1. No Portal do Microsoft Defender, em Cloud Apps, vá para Policies ->Policy management. Em seguida, selecione a guia Shadow IT .

  2. Selecione Criar política e selecione Política de deteção de anomalias do Cloud Discovery.

    Crie uma política de descoberta na nuvem.

Isso levará você à página da política de deteção de anomalias do Create Cloud Discovery.

Para cada política, defina os seguintes parâmetros:

  1. Decida se deseja basear a política em um modelo. Um modelo de política relevante é o modelo Comportamento anômalo em usuários descobertos. Ele alerta quando um comportamento anômalo é detetado em usuários e aplicativos descobertos, como: grandes quantidades de dados carregados em comparação com outros usuários, grandes transações de usuários em comparação com o histórico do usuário. Você também pode selecionar o modelo Comportamento anômalo de endereços IP descobertos . Este modelo alerta quando um comportamento anômalo é detetado em endereços IP e aplicativos descobertos, como: grandes quantidades de dados carregados em comparação com outros endereços IP, grandes transações de aplicativos em comparação com o histórico do endereço IP.

    Selecione o modelo de política.

  2. Preencha os campos Nome da política e Descrição.

    Selecione o nome e a descrição da política.

  3. Crie um filtro para as aplicações que pretende monitorizar selecionando Selecionar um filtro. Você pode selecionar um filtro por Tag de aplicativo, Aplicativos e domínio, Categoria, vários fatores de risco ou Pontuação de risco. Para criar filtros adicionais, selecione Adicionar um filtro.

    Selecione o filtro para aplicativos.

  4. Em Aplicar a, defina como pretende filtrar a utilização. A utilização a ser monitorizada pode ser filtrada de duas formas diferentes:

    • Relatórios contínuos – Selecione se deseja monitorar Todos os relatórios contínuos (padrão) ou escolha Relatórios contínuos específicos para monitorar.

      • Ao selecionar Todos os relatórios contínuos, cada aumento da utilização é comparado com o padrão de utilização normal, conforme aprendido em todas as vistas de dados.
      • Ao selecionar Relatórios contínuos específicos, cada aumento de uso é comparado ao padrão de uso normal. O padrão é aprendido a partir da mesma visão de dados em que o aumento foi observado.

    • Usuários e endereços IP – Todo uso de aplicativo na nuvem está associado a um usuário, um endereço IP ou ambos.

      • Selecionar Usuários ignora a associação do uso do aplicativo com endereços IP.

      • A seleção de endereços IP ignora a associação do uso do aplicativo com os usuários.

      • A seleção de Usuários e endereços IP (padrão) considera ambas as associações, mas pode produzir alertas duplicados quando há uma correspondência estreita entre usuários e endereços IP.

    • Gerar alertas apenas para atividades suspeitas que ocorram após – Qualquer aumento no uso do aplicativo antes da data selecionada é ignorado. No entanto, a atividade de antes da data selecionada é aprendida a estabelecer o padrão de uso normal.

      Selecione o uso a ser aplicado.

  5. Em Alertas, pode definir a sensibilidade do alerta. Há várias maneiras de controlar o número de alertas acionados pela política:

    • O controlo de deslize Selecionar sensibilidade da deteção de anomalias – acionar alertas para as X atividades anómalas principais por 1 000 utilizadores por semana. Os alertas são acionados para as atividades com maior risco.

    • Selecione Criar um alerta para cada evento correspondente com a severidade da política para definir parâmetros adicionais para o alerta:

      • Enviar alerta como e-mail - Se você marcar essa caixa, insira os endereços de e-mail que devem receber o alerta. Um máximo de 500 mensagens de e-mail serão enviadas por endereço de e-mail, por dia (redefinindo à meia-noite no fuso horário UTC).
      • Limite diário de alertas - Você pode optar por restringir o número de alertas gerados em um único dia.
      • Enviar alertas para o Power Automate - Se você marcar essa caixa, poderá escolher um manual para executar ações quando um alerta for gerado.

    • Se você selecionar Salvar como configurações padrão, suas opções de limite de alerta diário e configurações de e-mail se tornarão as configurações padrão da sua organização. Para preencher essas configurações padrão para uma nova política, selecione Restaurar configurações padrão.

      Selecione as configurações de alerta.

  6. Selecione Criar.

  7. Como em todas as políticas, você pode Editar, Desabilitar e Habilitar a política clicando nos três pontos no final da linha na página Políticas . Por padrão, quando você cria uma política, ela é habilitada.

Próximos passos

Práticas recomendadas para proteger sua organização

Se tiver algum problema, estamos aqui para ajudar. Para obter assistência ou suporte para o problema do seu produto, abra um ticket de suporte.