Investigar

Aplica-se a: Microsoft Cloud App Security

Importante

Os nomes dos produtos de proteção contra ameaças da Microsoft estão a mudar. Leia mais sobre esta e outras atualizações aqui. Vamos atualizar nomes em produtos e nos documentos num futuro próximo.

Depois de o Microsoft Cloud App Security correr no seu ambiente em nuvem, vai precisar de uma fase de aprendizagem e investigação. Aprenda a usar as ferramentas de Segurança da App Microsoft Cloud para obter uma compreensão mais profunda do que está a acontecer no seu ambiente na nuvem. Com base no seu ambiente particular e na forma como está a ser usado, pode identificar os requisitos para proteger a sua organização do risco. Este artigo descreve como fazer uma investigação para obter uma melhor compreensão do seu ambiente em nuvem.

Dashboards

Os seguintes dashboards estão disponíveis para o ajudar a investigar o que se passa com as aplicações no seu ambiente em cloud:

Dashboard Descrição
Dashboard principal Visão geral do estado da nuvem (utilizadores, ficheiros, atividades) e ações necessárias (alertas, violações de atividades e violações de conteúdos).
Painel de aplicações: visão geral Visão geral do uso da aplicação por localização, gráficos de utilização por número de utilizadores.
Painel de aplicações: informação Informações sobre detalhes da aplicação, segurança e conformidade.
Painel de aplicações: insights
Análise de dados armazenados na app, discriminado por tipo de ficheiro e nível de partilha de ficheiros.
Painel de aplicações: ficheiros
Aprofundar em ficheiros; capacidade de filtrar de acordo com o proprietário, nível de partilha, e muito mais. Execute ações de governação como quarentena.
Painel de aplicações: contas Visão geral de todas as contas/utilizadores ligados à app.
Painel de aplicações: aplicativos OAuth
Aprofundar as aplicações da OAuth atualmente implementadas, como o Google Workspace, e definir políticas.
Painel de aplicações: log de atividade Aprofundar toda a atividade da aplicação; capacidade de filtrar de acordo com os utilizadores, endereço IP e muito mais.
Painel de aplicações: alertas Aprofundar todos os alertas de aplicações; capacidade de filtrar de acordo com o estado, categoria, gravidade e muito mais.
Painel de aplicações: contas privilegiadas especiais
Visão geral dos utilizadores por tipo de utilizador privilegiado.
Dashboard do utilizador Uma visão geral completa do perfil do utilizador na nuvem, locais, atividades recentes, alertas relacionados.

Marque aplicativos como sancionados ou não sancionados

Um passo importante para compreender a sua cloud é etiquetar as suas aplicações como aprovadas ou não aprovadas. Depois de aprovar uma aplicação, pode filtrar por aplicações que não estão aprovadas e iniciar a migração para aplicações aprovadas do mesmo tipo.

  • Na consola do Cloud App Security, aceda ao Catálogo de aplicações ou às Aplicações detetadas.

  • Na lista de aplicações, na linha em que aparece a app que pretende etiquetar como sancionado, escolha os três pontos no final da linha Tag como pontos sancionados. e escolha Mark como sancionado.

    Etiqueta como sancionado.

Utilizar as ferramentas de investigação

  1. No portal Cloud App Security, vá a Investigar e depois veja o registo de Atividade e o filtro através de uma aplicação específica. Verifique os seguintes itens:

    • Quem acede ao seu ambiente na cloud?

    • A partir de que intervalos IP?

    • O que é a atividade de administrador?

    • A partir de que localizações é que os administradores se ligam?

    • Existem dispositivos desatualizados que se ligam ao seu ambiente na cloud?

    • As falhas nos inícios de sessão veem de endereços IP esperados?

  2. Vá a Investigar e, em seguida, ficheiros, e verifique os seguintes itens:

    • Quantos ficheiros são partilhados publicamente para que qualquer utilizador possa aceder aos mesmos sem uma ligação?

    • Com que parceiros partilha ficheiros (partilha de saída)?

    • Existem ficheiros com nomes confidenciais?

    • Algum dos ficheiros é partilhado com a conta pessoal de um utilizador?

  3. Vá a Investigar e, em seguida, utilizadores e contas, e verifique os seguintes itens:

    • Existem contas que não estão ativas num determinado serviço há muito tempo? Talvez possa revogar a licença desse utilizador para esse serviço.

    • Quer saber que os utilizadores têm uma função específica?

    • Foi despedido um empregado, mas este ainda tem acesso a uma aplicação e pode utilizar esse acesso para roubar informações?

    • Deseja revogar a permissão de um utilizador para uma aplicação específica ou exigir que um utilizador específico utilize a autenticação de vários fatores?

    • Pode perfurar a conta do utilizador clicando nos três pontos no final da linha da conta do utilizador e selecionando uma ação a tomar. Tome uma ação como suspender as colaborações do utilizador ou remover as colaborações do utilizador. Se o utilizador foi importado do Azure Ative Directory, também pode clicar nas definições da conta AZure AD para obter um fácil acesso a funcionalidades avançadas de gestão do utilizador. Exemplos de funcionalidades de gestão incluem gestão de grupo, MFA, detalhes sobre as entradas de sinal do utilizador e a capacidade de bloquear a súmin.

  4. Vá a Investigar, seguido por aplicações Conectadas e, em seguida, selecione uma aplicação. O dashboard de aplicações é aberto e fornece-lhe informações. Pode utilizar os separadores em toda a parte superior para verificar:

    • Que tipos de dispositivos é que os utilizadores utilizam para se ligarem à aplicação?

    • Que tipos de ficheiros estão a guardar na cloud?

    • Que atividade está a ocorrer na aplicação neste momento?

    • Existem aplicações de terceiros ligadas ao seu ambiente?

    • Está familiarizado com essas aplicações?

    • Estão autorizados para o nível de acesso que lhes é permitido?

    • Quantos utilizadores as implementaram? Até que ponto são estas aplicações comuns, no geral?

    Painel de aplicações.

  5. Vá ao painel cloud discovery e verifique os seguintes itens:

    • Que aplicações em nuvem estão a ser utilizadas, em que medida, e por que utilizadores?

    • Com que fins são utilizadas?

    • Que quantidade de dados estão a ser carregados para estas aplicações em cloud?

    • Em que categorias tem aplicações em cloud aprovadas, mas, mesmo assim, os utilizadores utilizam soluções alternativas?

    • Relativamente à solução alternativa, existem aplicações em cloud que queira reprovar na sua organização?

    • Existem aplicações em nuvem que são usadas mas não estão em conformidade com a política da sua organização?

Investigação de exemplo

Digamos que assume que não tem acesso ao seu ambiente em nuvem através de endereços IP arriscados. Como exemplo, digamos Tor. Contudo, para ter a certeza, cria uma política de IP arriscado:

  1. No portal, vá ao Control e escolha Modelos.

  2. Escolha a política de Atividade para o Tipo.

  3. No final do Logon a partir de uma linha de endereço IP arriscada, escolha o sinal mais ( ) para criar uma nova + política.

  4. Mude o nome da apólice para que possa identificá-lo.

  5. Em Atividades correspondentes a todas as seguintes, opte por + adicionar um filtro. Desloque-se até à etiqueta IP e, em seguida, escolha Tor.

    Política de exemplo para IPs arriscados.

Agora que a política está pronta, fica surpreendido por ver que recebe um alerta a dizer que a política foi violada.

  1. Aceda à página Alertas e veja o alerta sobre a violação da política.

  2. Se vir que parece uma violação real, quer conter risco ou remediar.

    Para conter o risco, pode enviar uma notificação ao utilizador a perguntar se a violação foi intencional e se ele estava ciente.

    Também pode ver o alerta em detalhe e suspender o utilizador, até descobrir o que tem de ser feito.

  3. Se se tratar de um evento permitido e que, provavelmente, não se vai repetir, pode ignorar o alerta.

    Se for permitido e previr que se repita, pode modificar a política para evitar que este tipo de evento seja considerado uma violação no futuro.

Passos seguintes

Para saber como controlar a aplicação na cloud da sua organização, consulte Controlo.

Se tiver algum problema, estamos aqui para ajudar. Para obter assistência ou suporte para o seu problema de produto, abra um bilhete de apoio..