Gerir alertas

Aplica-se a: Microsoft Cloud App Security

Importante

Os nomes dos produtos de proteção contra ameaças da Microsoft estão a mudar. Leia mais sobre esta e outras atualizações aqui. Vamos atualizar nomes em produtos e nos documentos num futuro próximo.

Este artigo explica como trabalhar com alertas gerados no portal do Cloud App Security.

Nota

Os alertas são geridos nas respetivas políticas e podem ser configurados para serem enviados como e-mail, mensagem de texto ou ambos.

Gerir os alertas

Os alertas são os pontos de entrada para compreender o ambiente em cloud mais aprofundadamente. É recomendável criar políticas novas com base no que encontrar. Por exemplo, poderá ver um administrador a iniciar sessão a partir da Gronelândia quando ninguém na sua organização alguma vez iniciou sessão a partir dessa localização. Pode criar uma política que suspenda automaticamente uma conta de administração quando é usada para iniciar sessão a partir desse local.

É uma boa ideia rever todos os seus alertas e usá-los como ferramentas para modificar as suas políticas. Se for considerado que eventos inofensivos constituem violações de políticas existentes, deve refinar as suas políticas de modo a receber menos alertas desnecessários.

  1. Na página Alertas, selecione Abrir para o Estado de Resolução.

    Esta secção do dashboard fornece uma visibilidade total de qualquer violação ou atividade suspeita das suas políticas estabelecidas. Pode ajudá-lo a salvaguardar a postura de segurança que definiu para o seu ambiente em nuvem.

    Página de estado de resolução de alertas.

  2. Para cada alerta, tem de investigar e determinar a natureza a violação e a resposta necessária.

    • Pode filtrar os alertas por tipo alerta ou pela Severidade para processar primeiro os mais importantes.

    • Selecione um alerta específico. Dependendo do tipo de alerta, verá várias ações que podem ser tomadas antes de resolver o alerta.

    • Pode filtrar com base na App - As aplicações listadas são aquelas para as quais as atividades foram detetadas pela Cloud App Security.

    • Há três tipos de violações que terá de lidar quando investigar alertas:

      • Violações graves - Violações graves requerem resposta imediata.
        Exemplos:

        • Para um alerta de atividade suspeita, pode querer suspender a conta até que o utilizador mude a sua palavra-passe.
        • Para uma fuga de dados, pode querer restringir permissões ou pôr em quarentena o ficheiro.
        • Se for descoberta uma nova aplicação, é melhor bloquear o acesso ao serviço no seu representante ou firewall.
      • Violações questionáveis - Violações questionáveis requerem mais investigação.

        • Pode contactar o utilizador ou o gestor do utilizador sobre a natureza da atividade.
        • Deixe a atividade aberta até ter mais informações.
      • Violações autorizadas ou comportamento anómalo - Violações autorizadas ou comportamento anómalo podem resultar de uso legítimo.

        • Pode dispensar o alerta.
  3. Quando rejeita um alerta, é útil se apresentar feedback sobre o porquê de estar a dispensar o alerta. A equipa de Segurança da Cloud App utiliza este feedback como indicação da precisão do alerta. Esta informação é então usada para afinar os nossos modelos de aprendizagem automática para futuros alertas. Se verificar o It's Ok contactar-me sobre esta caixa de alerta, em casos selecionados poderemos voltar a contactá-lo para obter informações adicionais. Pode seguir estas diretrizes na decisão de classificar o alerta:

    • Se o uso legítimo desencadeou o alerta e não é um problema de segurança, pode ser um desses tipos:

      • Benigno positivo: O alerta é preciso, mas a atividade é legítima. Pode dispensar o alerta e definir a razão para a gravidade real ser mais baixa ou não interessante.
      • Falso positivo: o alerta é impreciso. Dispensar o alerta e definir o motivo para alerta não é exato.
    • Se houver muito ruído para determinar a legitimidade e precisão de um alerta, descarte-o e defina a razão para demasiados alertas semelhantes.

    • Verdadeiro positivo: Se o alerta estiver relacionado com um evento de risco real que tenha sido cometido maliciosamente ou involuntariamente por um informador ou por um estranho, deverá definir o evento para Resolver depois de todas as medidas apropriadas terem sido tomadas para remediar o evento.

Tipos de alerta

A tabela seguinte fornece uma lista dos tipos de alertas que podem ser desencadeados e recomenda formas de os resolver.

Tipo de alerta Description Resolução recomendada
Violação de política de atividade Este tipo de alerta é o resultado de uma política que criou. Para trabalhar com este tipo de alerta em massa, recomendamos que trabalhe no Centro de políticas para atenuá-los.

Adicione mais filtros e controlos mais granulares para otimizar a política de forma a excluir entidades desnecessárias.

Se a política for exata e o alerta for justificado e se tratar de uma violação que pretende parar imediatamente, pondere adicionar uma remediação automática à política.
Violação de política de ficheiros Este tipo de alerta é o resultado de uma política que criou. Para trabalhar com este tipo de alerta em massa, recomendamos que trabalhe no Centro de políticas para atenuá-los.

Adicione mais filtros e controlos mais granulares para otimizar a política de forma a excluir entidades desnecessárias.

Se a política for exata e o alerta for justificado e se tratar de uma violação que pretende parar imediatamente, pondere adicionar uma remediação automática à política.
Conta comprometida Este tipo de alerta é desencadeado quando a Cloud App Security identifica uma conta que foi comprometida. Isto significa que há uma grande probabilidade de que a conta tenha sido usada de forma não autorizada. Recomendamos que suspenda a conta até contactar o utilizador e certificar-se de que ele alterou a respetiva palavra-passe.
Conta inativa Este alerta é desencadeado quando uma conta não é utilizada em 60 dias numa das suas aplicações de cloud conectadas. Contacte o utilizador e o gestor do utilizador para saber se a conta ainda está ativa. Caso contrário, suspenda o utilizador e cesse a licença para a aplicação.
Novo utilizador administrativo Alerta-o para alterações nas suas contas privilegiadas para aplicações conectadas. Confirme que o utilizador precisa, efetivamente, de novas permissões de administrador. Se não forem, recomenda revogar os privilégios administrativos para reduzir a exposição.
Nova localização de administrador Alerta-o para alterações nas suas contas privilegiadas para aplicações conectadas. Confirme que a entrada deste local anómalo era legítima. Se não for, recomendamos que revogue as permissões de administrador ou que suspenda a conta para reduzir a exposição.
Nova localização Um alerta informativo sobre o acesso a uma aplicação conectada a partir de um novo local, e é desencadeado apenas uma vez por país/região. Investigue a atividade do utilizador específico.
Novo serviço detetado Este alerta é um alerta sobre shadow IT. Uma nova aplicação foi detetada pela Cloud Discovery.
  • Avalie o risco do serviço com base no catálogo de aplicações.
  • Desagregue para a atividade de modo a compreender os padrões de utilização e a prevalência.
  • Decida se quer aprovar ou desaprovar a aplicação.

Relativamente a aplicações não aprovadas:

  • Pode ser útil bloquear a utilização no proxy ou na firewall.
  • Se tiver uma aplicação não sancionada e uma aplicação sancionada na mesma categoria, pode exportar uma lista de utilizadores da aplicação não sancionada. Em seguida, contacte-os para os migrar para a aplicação sancionada.
Atividade suspeita Este alerta permite-lhe saber que foi detetada atividade anómala que não está alinhada com atividades esperadas ou utilizadores na sua organização. Investigue o comportamento e confirme junto do utilizador.

Este tipo de alerta é um ótimo local para começar a obter mais informações sobre o seu ambiente e criar novas políticas com estes alertas. Por exemplo, se um utilizador carregar subitamente uma grande quantidade de dados para uma das suas aplicações ligadas, pode definir uma regra que governe este tipo de comportamento anómalo.
Utilização de conta pessoal Este alerta informa-o de que uma conta pessoal nova tem acesso a recursos nas suas aplicações ligadas. Remova as colaborações do utilizador na conta externa.

Passos seguintes

Para mais informações sobre como investigar alertas, consulte Investigar.

Se tiver algum problema, estamos aqui para ajudar. Para obter assistência ou suporte para o seu problema de produto, abra um bilhete de apoio.