Obtenha análise comportamental e deteção de anomalias
Aplica-se a: Microsoft Cloud App Security
Importante
Os nomes dos produtos de proteção contra ameaças da Microsoft estão a mudar. Leia mais sobre esta e outras atualizações aqui. Vamos atualizar nomes em produtos e nos documentos num futuro próximo.
As políticas de deteção de anomalias da Microsoft Cloud App Security fornecem análise comportamental fora da caixa e entidade (UEBA) e machine learning (ML) para que esteja pronto desde o início para executar uma deteção avançada de ameaças em todo o seu ambiente em nuvem. Por estarem automaticamente ativadas, as novas políticas de deteção de anomalias iniciam imediatamente o processo de deteção e recolha de resultados, direcionando inúmeras anomalias comportamentais nos seus utilizadores e nas máquinas e dispositivos ligados à sua rede. Além disso, as políticas expõem mais dados do motor de deteção Cloud App Security, para ajudá-lo a acelerar o processo de investigação e conter ameaças em curso.
As políticas de deteção de anomalias são automaticamente ativadas, mas Cloud App Security tem um período inicial de aprendizagem de sete dias durante o qual nem todos os alertas de deteção de anomalias são levantados. Depois disso, à medida que os dados são recolhidos dos seus conectores API configurados, cada sessão é comparada à atividade, quando os utilizadores estavam ativos, endereços IP, dispositivos, e assim por diante, detetados ao longo do mês passado e a pontuação de risco destas atividades. Esteja ciente de que pode levar várias horas para os dados estarem disponíveis nos conectores API. Estas deteções fazem parte do motor de deteção de anomalias heurísticas que traça o seu ambiente e desencadeia alertas no que diz respeito a uma linha de base que foi aprendida na atividade da sua organização. Estas deteções também usam algoritmos de aprendizagem automática projetados para perfilar os utilizadores e assinar em padrão para reduzir falsos positivos.
As anomalias são detetadas através da análise de atividades do utilizador. O risco é avaliado através da análise de mais de 30 indicadores de risco diferentes, agrupados em fatores de risco, da seguinte forma:
- Endereço IP arriscado
- Falhas de login
- Atividade de administração
- Contas inativas
- Localização
- Deslocação impossível
- Dispositivo e agente utilizador
- Taxa de atividade
Com base nos resultados da política, os alertas de segurança são acionados. Cloud App Security olha para todas as sessões de utilizador na sua nuvem e alerta-o quando algo acontece que é diferente da linha de base da sua organização ou da atividade regular do utilizador.
Além dos alertas nativos Cloud App Security, também receberá os seguintes alertas de deteção com base em informações recebidas da proteção de identidade Azure Ative Directory (AD):
- Credenciais vazadas: Desencadeado quando as credenciais válidas de um utilizador foram vazadas. Para obter mais informações, consulte a deteção de credenciais vazadas da Azure AD.
- Entrada de risco: Combina uma série de deteções de sinalização de proteção de identidade Azure AD numa única deteção. Para obter mais informações, consulte as deteções de risco de inscrição da Azure AD.
Estas políticas aparecerão na página de políticas Cloud App Security e podem ser ativadas ou desativadas.
Política de deteção de anomalias
Pode ver as políticas de deteção de anomalias no portal clicando em Controlo e depois Políticas. Selecione a política de deteção de anomalias para o tipo de apólice.

Estão disponíveis as seguintes políticas de deteção de anomalias:
Deslocação impossível
Esta deteção identifica duas atividades do utilizador (numa única ou múltiplas sessões) originárias de locais geograficamente distantes num período de tempo mais curto do que o tempo que o utilizador levaria a viajar do primeiro para o segundo, indicando que um utilizador diferente está a usar as mesmas credenciais. Esta deteção utiliza um algoritmo de aprendizagem automática que ignora "falsos positivos" óbvios, contribuindo para a condição impossível de viagem, como VPNs e locais regularmente utilizados por outros utilizadores da organização. A deteção tem um período de aprendizagem inicial de sete dias durante o qual aprende o padrão de atividade de um novo utilizador. A deteção impossível de viagens identifica uma atividade invulgar e impossível entre dois locais. A atividade deve ser invulgar o suficiente para ser considerada um indicador de compromisso e digna de um alerta. Para que este trabalho funcione, a lógica de deteção inclui diferentes níveis de supressão para abordar cenários que podem desencadear falsos positivos, como atividades VPN. O slider de sensibilidade permite-lhe afetar o algoritmo e definir o quão rigorosa é a lógica de deteção. Quanto maior for o nível de sensibilidade, menos atividades serão suprimidas como parte da lógica de deteção. Desta forma, pode adaptar a deteção de acordo com as suas necessidades de cobertura e os seus alvos SNR.
Nota
- Quando os endereços IP de ambos os lados da viagem são considerados seguros, a viagem é confiável e excluída de desencadear a deteção impossível de viagem. Por exemplo, ambos os lados são considerados seguros se forem marcados como corporativos. No entanto, se o endereço IP de apenas um lado da viagem for considerado seguro, a deteção é ativada normalmente.
- As localizações são calculadas a nível nacional. Isto significa que não haverá alertas para duas ações originárias do mesmo país ou dos países limítrodus.
Atividade de país pouco frequente
- Esta deteção considera locais de atividade passados para determinar locais novos e pouco frequentes. O motor de deteção de anomalias armazena informações sobre locais anteriores utilizados pelos utilizadores na organização. Um alerta é desencadeado quando uma atividade ocorre a partir de um local que não foi recentemente ou nunca visitado por qualquer utilizador na organização.
Deteção de malware
Esta deteção identifica ficheiros maliciosos no armazenamento da sua nuvem, sejam eles provenientes das suas apps da Microsoft ou de aplicações de terceiros. Microsoft Cloud App Security usa a inteligência de ameaça da Microsoft para reconhecer se certos ficheiros estão associados a ataques de malware conhecidos e são potencialmente maliciosos. Esta política incorporada é desativada por defeito. Nem todos os ficheiros são digitalizados, mas a heurística é usada para procurar ficheiros que sejam potencialmente arriscados. Depois de detetados ficheiros, pode ver uma lista de ficheiros infetados. Clique no nome do ficheiro malware na gaveta do ficheiro para abrir um relatório de malware que lhe fornece informações sobre o tipo de malware com o qual o ficheiro está infetado.
Pode utilizar esta deteção em tempo real utilizando políticas de sessão para controlar uploads e downloads de ficheiros.
Nota
Cloud App Security suporta a deteção de malware para as seguintes aplicações:
- Box
- Dropbox
- Espaço de trabalho do Google
- Office 365 (requer uma licença válida para o Microsoft Defender para Office 365 P1)
Atividade a partir de endereços IP anónimos
- Esta deteção identifica que os utilizadores estavam ativos a partir de um endereço IP que foi identificado como um endereço IP de procuração anónimo. Estes proxies são utilizados por pessoas que pretendem ocultar o endereço IP do seu dispositivo, e podem ser usados para intenção maliciosa. Esta deteção utiliza um algoritmo de aprendizagem automática que reduz "falsos positivos", como endereços IP com etiquetas erradas que são amplamente utilizados pelos utilizadores da organização.
Atividade ransomware
- Cloud App Security alargou as suas capacidades de deteção de ransomware com deteção de anomalias para garantir uma cobertura mais abrangente contra ataques sofisticados do Ransomware. Usando a nossa experiência de pesquisa de segurança para identificar padrões comportamentais que refletem atividade de ransomware, Cloud App Security garante uma proteção holística e robusta. Se Cloud App Security identificar, por exemplo, uma alta taxa de uploads de ficheiros ou atividades de eliminação de ficheiros, pode representar um processo de encriptação adverso. Estes dados são recolhidos nos registos recebidos de APIs conectados e são então combinados com padrões comportamentais aprendidos e inteligência de ameaça, por exemplo, extensões conhecidas de ransomware. Para obter mais informações sobre como Cloud App Security deteta ransomware, consulte Proteger a sua organização contra ransomware.
Atividade realizada por utilizador encerrado
- Esta deteção permite-lhe identificar quando um funcionário despedido continua a realizar ações nas suas aplicações SaaS. Porque os dados mostram que o maior risco de ameaça interna vem de funcionários que saíram em más condições, é importante manter um olho na atividade nas contas de funcionários despedidos. Por vezes, quando os colaboradores saem de uma empresa, as suas contas são desavisionadas a partir de aplicações corporativas, mas em muitos casos ainda mantêm acesso a certos recursos corporativos. Isto é ainda mais importante quando se considera contas privilegiadas, uma vez que os potenciais danos que um antigo administrador pode causar é inerentemente maior. Esta deteção tira partido da capacidade da Cloud App Security de monitorizar o comportamento do utilizador através de aplicações, permitindo identificar a atividade regular do utilizador, o facto de a conta ter sido encerrada e a atividade real noutras apps. Por exemplo, um funcionário que é a conta AD Azure foi encerrado, mas ainda tem acesso à infraestrutura AWS corporativa, tem o potencial de causar danos em larga escala.
A deteção procura utilizadores cuja conta foi encerrada em Azure AD, mas ainda realiza atividades em outras plataformas como a AWS ou Salesforce. Isto é especialmente relevante para os utilizadores que usam outra conta (não a sua conta principal única) para gerir recursos, uma vez que estas contas muitas vezes não são encerradas quando um utilizador sai da empresa.
Atividade a partir de endereços IP suspeitos
- Esta deteção identifica que os utilizadores estavam ativos a partir de um endereço IP identificado como arriscado pela Microsoft Threat Intelligence. Estes endereços IP estão envolvidos em atividades maliciosas, como botnet C&C, e podem indicar conta comprometida. Esta deteção utiliza um algoritmo de aprendizagem automática que reduz "falsos positivos", como endereços IP com etiquetas erradas que são amplamente utilizados pelos utilizadores da organização.
Reencaminhamento de caixa de entrada suspeito
- Esta deteção procura regras suspeitas de encaminhamento de e-mails, por exemplo, se um utilizador criar uma regra de caixa de entrada que reencade uma cópia de todos os e-mails para um endereço externo.
Nota
Cloud App Security apenas o alerta para cada regra de encaminhamento que é identificada como suspeita, com base no comportamento típico do utilizador.
Regras suspeitas de manipulação de caixas de entrada
- Esta deteção perfis do seu ambiente e dispara alertas quando regras suspeitas que apagam ou movem mensagens ou pastas são definidas na caixa de entrada de um utilizador. Isto pode indicar que a conta do utilizador está comprometida, que as mensagens estão a ser intencionalmente ocultadas e que a caixa de correio está a ser usada para distribuir spam ou malware na sua organização.
Atividade suspeita de eliminação de e-mails (Pré-visualização)
- Esta política traça o perfil do seu ambiente e desencadeia alertas quando um utilizador realiza atividades suspeitas de eliminação de e-mails numa única sessão. Esta política pode indicar que as caixas de correio de um utilizador podem ser comprometidas por potenciais vetores de ataque, tais como comunicação de comando e controlo (C&C/C2) por e-mail.
Nota
Cloud App Security integra-se com o Microsoft Defender para Office 365 para fornecer proteção para Exchange on-line, incluindo detonação de URL, proteção contra malware, e muito mais. Uma vez ativado o Defender para Office 365, começará a ver alertas no registo de atividades Cloud App Security.
Atividades suspeitas de descarregamento de ficheiros de aplicativos OAuth
- Verifica as aplicações OAuth ligadas ao seu ambiente e desencadeia um alerta quando uma aplicação descarrega vários ficheiros do Microsoft SharePoint ou Microsoft OneDrive de uma forma incomum para o utilizador. Isto pode indicar que a conta de utilizador está comprometida.
Atividades incomuns (por utilizador)
Estas deteções identificam os utilizadores que realizam:
- Atividades incomuns de descarregamento de ficheiros
- Atividades incomuns de partilha de ficheiros
- Atividades incomuns de eliminação de ficheiros
- Atividades personificadas incomuns
- Atividades administrativas incomuns
- Atividades de partilha de relatórios de Power BI incomuns (pré-visualização)
- Atividades incomuns de criação de VM (pré-visualização)
- Atividades incomuns de eliminação de armazenamento múltiplo (pré-visualização)
- Região incomum para recurso em nuvem (pré-visualização)
- Acesso invulgar a ficheiros
Estas políticas procuram atividades numa única sessão no que diz respeito à linha de base aprendida, o que pode indicar uma tentativa de violação. Estas deteções alavancam um algoritmo de aprendizagem automática que perfis os utilizadores registam o padrão e reduz falsos positivos. Estas deteções fazem parte do motor de deteção de anomalias heurísticas que traça o seu ambiente e desencadeia alertas no que diz respeito a uma linha de base que foi aprendida na atividade da sua organização.
Múltiplas tentativas falhadas de login
- Esta deteção identifica os utilizadores que falharam várias tentativas de login numa única sessão no que diz respeito à linha de base aprendida, o que pode indicar uma tentativa de violação.
Exfiltração de dados a aplicações não divulgadas
- Esta política é automaticamente ativada para alertá-lo quando um utilizador ou endereço IP utiliza uma aplicação que não é sancionada para realizar uma atividade que se assemelha a uma tentativa de exfiltrar informações da sua organização.
Múltiplas atividades de eliminação de VM
- Esta política traça o perfil do seu ambiente e dispara alertas quando os utilizadores apagam vários VMs numa única sessão, em relação à linha de base da sua organização. Isto pode indicar uma tentativa de violação.
Permitir uma governação automatizada
Pode ativar ações de remediação automatizadas em alertas gerados por políticas de deteção de anomalias.
- Clique no nome da política de deteção na página 'Política'.
- Na janela de política de deteção de anomalias de edição que se abre, no âmbito do Governance de definiu as ações de remediação que pretende para cada aplicação conectada ou para todas as aplicações.
- Clique em Atualizar.
Afinar políticas de deteção de anomalias
Para afetar o motor de deteção de anomalias para suprimir ou alertas de superfície de acordo com as suas preferências:
Na política de Viagem Impossível, pode definir o slider de sensibilidade para determinar o nível de comportamento anómalo necessário antes de um alerta ser desencadeado. Por exemplo, se o definir para baixo, irá suprimir os alertas de Viagem Impossível a partir das localizações comuns de um utilizador, e se o definir para alto, irá emergir tais alertas. Pode escolher entre os seguintes níveis de sensibilidade:
Baixa: Sistema, insumpressão e supressões de utilizadores
Meio: Supressões de sistema e de utilizador
Alto: Apenas supressões de sistema
Em que:
Tipo de supressão Description Sistema Deteções incorporadas que são sempre suprimidas. Inquilino Atividades comuns baseadas em atividades anteriores no arrendatário. Por exemplo, suprimir atividades de um ISP previamente alertado na sua organização. Utilizador Atividades comuns baseadas em atividades anteriores do utilizador específico. Por exemplo, suprimir atividades de um local que é normalmente utilizado pelo utilizador.
Também pode configurar se os alertas para a Atividade de país/região pouco frequentes, endereços IP anónimos, endereços IP suspeitos e viagens impossíveis devem analisar logins falhados e bem sucedidos ou apenas logins bem-sucedidos.
Nota
Por padrão, os protocolos de inscrição do legado, como aqueles que não utilizam a autenticação de vários fatores (por exemplo, WS-Trust), não são monitorizados pela política de viagem impossível. Se a sua organização utilizar protocolos legados, para evitar a falta de atividades relevantes, edite a política e em configuração Avançada, descreva o sinal de Análise em atividades para todos os ins de sessão.
Políticas de deteção de anomalias de âmbito
Cada política de deteção de anomalias pode ser analisada de forma independente, de modo a aplicar-se apenas aos utilizadores e grupos que pretende incluir e excluir na política. Por exemplo, pode definir a Atividade da deteção pouco frequente do condado para ignorar um utilizador específico que viaja frequentemente.
Para âmbito de uma política de deteção de anomalias:
Clique em Políticas de Controlo e > desatresse o filtro Tipo na política de deteção de anomalias.
Clique na política que pretende fazer.
No âmbito do Âmbito, altere a redução da definição predefinição de Todos os utilizadores e grupos, para utilizadores e grupos específicos.
Selecione Incluir para especificar os utilizadores e grupos para os quais esta política se aplicará. Qualquer utilizador ou grupo não selecionado aqui não será considerado uma ameaça e não gerará um alerta.
Selecione Excluir para especificar utilizadores para os quais esta política não se aplicará. Qualquer utilizador selecionado aqui não será considerado uma ameaça e não gerará um alerta, mesmo que sejam membros de grupos selecionados sob o Comando.

Alertas de deteção de anomalias de triagem
Pode triagem dos vários alertas desencadeados pelas novas políticas de deteção de anomalias rapidamente e decidir quais devem ser tratados primeiro. Para isso, precisa do contexto para o alerta, para que possa ver o panorama geral e perceber se algo malicioso está realmente a acontecer.
No registo de Atividades, pode abrir uma atividade para exibir a gaveta Atividade. Clique no Utilizador para ver o separador insights do utilizador. Este separador inclui informações como o número de alertas, atividades e de onde se ligaram, o que é importante numa investigação.

Isto permite-lhe compreender quais são as atividades suspeitas que o utilizador realizou e obter uma confiança mais profunda sobre se a conta estava comprometida. Por exemplo, um alerta em múltiplos logins falhados pode realmente ser suspeito e pode indicar um potencial ataque de força bruta, mas também pode ser uma configuração errada da aplicação, fazendo com que o alerta seja um verdadeiro positivo benigno. No entanto, se você vir um alerta de logins vários falhados com atividades suspeitas adicionais, então há uma maior probabilidade de que a conta esteja comprometida. No exemplo abaixo, pode ver que o alerta de tentativas de login falhados foi seguido por Atividade a partir de um endereço IP TOR e atividade de viagem impossível, ambos indicadores fortes de compromisso (IOCs) por si só. Se isto não fosse suspeito o suficiente, então pode ver que o mesmo utilizador realizou uma atividade de download em Massa, o que é frequentemente um indicador do intruso que realiza a exfiltração de dados.

Para ficheiros infetados com malware, depois de detetados ficheiros, pode ver uma lista de ficheiros infetados. Clique no nome do ficheiro malware na gaveta do ficheiro para abrir um relatório de malware que lhe fornece informações sobre esse tipo de malware com o qual o ficheiro está infetado.
Vídeos relacionados
Passos seguintes
Se tiver algum problema, estamos aqui para ajudar. Para obter assistência ou suporte para o seu problema de produto, abra um bilhete de apoio.