Política de deteção de anomalias da Cloud Discovery

Aplica-se a: Microsoft Cloud App Security

Importante

Os nomes dos produtos de proteção contra ameaças da Microsoft estão a mudar. Leia mais sobre esta e outras atualizações aqui. Vamos atualizar nomes em produtos e nos documentos num futuro próximo.

Este artigo dá-lhe detalhes de referência sobre políticas. Estão listadas explicações para cada tipo de política e campos que podem ser configurados para cada política.

Referência da política de deteção de anomalias cloud Discovery

Uma política de deteção de anomalias cloud Discovery permite-lhe configurar e configurar monitorização contínua de aumentos incomuns no uso de aplicações em nuvem. Os aumentos nos dados descarregados, dados carregados, transações e utilizadores são considerados para cada aplicação na nuvem. Cada aumento é comparado com o padrão de utilização normal da aplicação, conforme aprendido na utilização anterior. Os aumentos mais extremos acionam alertas de segurança.

Para cada política, define filtros que lhe permitem monitorizar seletivamente a utilização da aplicação. Os filtros incluem um filtro de aplicação, visualizações de dados selecionadas e uma data de início selecionada. Também pode definir a sensibilidade, que lhe permite definir quantos alertas devem ser acionados pela política.

  1. No portal cloud App Security, vá a Control > Policies > Shadow IT.

  2. Selecione Criar a política e selecione a política de deteção de anomalias cloud Discovery.

    Crie uma política de Descoberta de Nuvens.

Isto irá levá-lo à página de política de deteção de anomalias create Cloud Discovery.

Para cada política, definir os seguintes parâmetros:

  1. Decida se pretende basear a política num modelo. Um modelo de política relevante é o comportamento anómalo no modelo de utilizadores descobertos. Alerta quando o comportamento anómalo é detetado em utilizadores e apps descobertos, como: grandes quantidades de dados carregados em comparação com outros utilizadores, grandes transações de utilizadores em comparação com o histórico do utilizador. Também pode selecionar o comportamento anómalo do modelo de endereços IP descobertos. Este modelo alerta quando o comportamento anómalo é detetado em endereços IP descobertos e aplicações, tais como: grandes quantidades de dados carregados em comparação com outros endereços IP, grandes transações de aplicações em comparação com o histórico do endereço IP.

    Selecione o modelo de política.

  2. Preencha os campos Nome da política e Descrição.

    Selecione o nome da política e a descrição.

  3. Crie um filtro para as aplicações que pretende monitorizar selecionando Selecionar um filtro. Pode selecionar um filtro por marca de aplicação, apps e domínio, categoria, vários fatores de risco ou pontuação de risco. Para criar filtros adicionais, selecione Adicione um filtro.

    Selecione filtro para aplicações.

  4. Em Aplicar a, defina como pretende filtrar a utilização. A utilização a ser monitorizada pode ser filtrada de duas formas diferentes:

    • Relatórios contínuos – Selecione se deve monitorizar todos os relatórios contínuos (predefinição) ou escolher relatórios contínuos específicos para monitorizar.

      • Ao selecionar Todos os relatórios contínuos, cada aumento da utilização é comparado com o padrão de utilização normal, conforme aprendido em todas as vistas de dados.
      • Ao selecionar relatórios contínuos específicos, cada aumento de utilização é comparado com o padrão de utilização normal. O padrão é aprendido a partir da mesma visão de dados em que o aumento foi observado em.
    • Utilizadores e endereços IP – Todas as aplicações em nuvem estão associadas quer a um utilizador, a um endereço IP, quer a ambos.

      • Selecionar Utilizadores ignora a associação de utilização da aplicação com endereços IP.

      • A seleção de endereços IP ignora a associação de utilização da aplicação com os utilizadores.

      • A seleção de Utilizadores e endereços IP (predefinitivo) considera ambas as associações, mas pode produzir alertas duplicados quando há uma correspondência apertada entre utilizadores e endereços IP.

    • Elevar os alertas apenas para atividades suspeitas que ocorram depois – Qualquer aumento no uso da aplicação antes da data selecionada é ignorado. No entanto, a atividade a partir de antes da data selecionada é aprendida para estabelecer o padrão de utilização normal.

      Selecione o uso para aplicar.

  5. Em Alertas, pode definir a sensibilidade ao alerta. Existem várias formas de controlar o número de alertas desencadeados pela política:

    • O controlo de deslize Selecionar sensibilidade da deteção de anomalias – acionar alertas para as X atividades anómalas principais por 1 000 utilizadores por semana. Os alertas são desencadeados para as atividades com maior risco.

    • Selecione Criar um alerta para cada evento correspondente com a gravidade da apólice para definir parâmetros adicionais para o alerta:

      • Envie alerta como e-mail - Se verificar esta caixa, insira quaisquer endereços de e-mail que devam receber o alerta. Um máximo de 500 mensagens de e-mail serão enviadas por endereço de e-mail, por dia (reiniciando à meia-noite no fuso horário UTC.)
      • Envie alerta como mensagem de texto - Se verificar esta caixa, introduza quaisquer números de telefone que devam receber o alerta por mensagem de texto. Um máximo de 10 mensagens de texto serão enviadas por número de telefone, por dia (reiniciando à meia-noite no fuso horário UTC.)
      • Limite de alerta diário - Pode optar por restringir o número de alertas levantados num único dia.
      • Envie alertas para o Power Automamate - Se verificar esta caixa, pode escolher um livro de jogadas para executar ações quando um alerta é levantado.
    • Se selecionar Guardar como definições predefinitivas, as suas escolhas para o limite de alerta diário, as definições de e-mail e de mensagens de texto tornar-se-ão as definições padrão da sua organização. Para preencher estas definições predefinidos para uma nova política, selecione Restaurar as definições predefinições.

      Selecione as definições de alerta.

  6. Selecione Criar.

  7. Tal como em todas as políticas, pode editar, desativar e ativar a política clicando nos três pontos no final da linha na página Políticas. Por defeito, quando se cria uma política está ativada.

Passos seguintes

Se tiver algum problema, estamos aqui para ajudar. Para obter assistência ou suporte para o seu problema de produto, abra um bilhete de apoio.