Monitorizar alertas no Cloud App Security

Aplica-se a: Microsoft Cloud App Security

Importante

Os nomes dos produtos de proteção contra ameaças da Microsoft estão a mudar. Leia mais sobre esta e outras atualizações aqui. Vamos atualizar nomes em produtos e nos documentos num futuro próximo.

Os alertas são os pontos de entrada para compreender o ambiente em cloud mais aprofundadamente. Este artigo fornece uma lista e descrição de todos os alertas.

Monitorizar os seus alertas

É uma boa ideia rever todos os seus alertas. Compreender o porquê de um alerta estar a ocorrer permite-lhe usá-los como ferramentas para modificar as suas políticas.

Para ver alertas: No portal de segurança da aplicação da Microsoft Cloud, clique em Alertas.

Menu de alerta.

  • Desprezem um alerta depois de o olharem e determinarem que não é interessante.

    • Insira um comentário para explicar por que dispensou o alerta
    • Envie-nos feedback sobre este alerta para ser revisto pela nossa equipa de pesquisa de segurança para melhorar os alertas.
  • Resolva o alerta se o investigar e atenuar o risco.

    • O alerta não vai mais aparecer na mesa de alertas.
    • Não é lido se começares a investigar um problema, mas queres ter a certeza que te lembras de continuar.
    • Ajuste a política que corresponde ao alerta para melhorar os futuros jogos de alerta.
    • A resolução de um alerta dá-lhe a opção de inserir um comentário e enviar feedback para a equipa de Segurança da Cloud App.

Implementação da nossa experiência de monitorização e gestão de alertas melhorados

Como parte das nossas melhorias contínuas na monitorização e gestão de alertas, a página Cloud App Security Alerts foi melhorada com base no seu feedback. Na experiência reforçada, os estatutos resolvidos e rejeitados são substituídos pelo estado fechado, e os alertas fechados têm um dos seguintes tipos de resolução:

  • Verdadeiro positivo: Um alerta sobre uma atividade maliciosa confirmada
  • Benigno: Um alerta sobre uma atividade suspeita, mas não maliciosa, como um teste de penetração ou outra ação suspeita autorizada
  • Falso positivo: Um alerta sobre uma atividade não maliciosa

Nota

A experiência reforçada aplica-se apenas a novos alertas e não afeta o estado dos alertas existentes (legados) que foram resolvidos ou dispensados.

Página de alertas melhorados.

Monitorização de alerta melhorada

Na página de alertas melhorados, a coluna 'Estado' mostra se um alerta é aberto ou fechado e a coluna do tipo resolução mostra o tipo de resolução utilizada ao fechar um alerta. Pode utilizar o filtro Status para o ajudar a identificar alertas abertos ou fechados e, em seguida, utilizando o filtro Advanced, pode investigar mais alertas fechados por tipo de Resolução utilizando tipos de resolução melhorados e legados.

Página de alertas melhorados mostrando filtro avançado.

Gestão de alertas melhorados

Ao fechar os alertas, escolha uma das seguintes opções de resolução:

  • Perto como verdadeiro positivo: Se a atividade for confirmada como maliciosa
  • Perto como benigno: Se a atividade for suspeita, mas não atividade maliciosa, como um teste de penetração ou outra ação suspeita autorizada
  • Perto como falso positivo: Se a atividade for confirmada como não maliciosa

No pop-up que aparece, forneça uma razão para fechar o alerta e preencha os restantes detalhes conforme necessário e, em seguida, clique em Fechar o alerta.

Alertas melhorados fecham o pop-up.

Alertas incorporados

Serão apresentados os seguintes tipos de alertas.

Nome do alerta IDAlerta Description
Conta comprometida ALERT_COMPROMISED_ACCOUNT Se houve uma falha numa aplicação e a lista de contas violadas é publicada, a Cloud App Security descarrega a lista e compara-a com a sua lista de utilizadores. A lista de utilizadores inclui utilizadores internos, utilizadores externos e contas pessoais.
Novo utilizador administrativo ALERT_ADMIN_USER Foi detetado um novo administrador para uma aplicação específica. Este administrador pode ser alguém que é um administrador em uma aplicação e é agora um administrador para outra aplicação. Este alerta está relacionado com o tipo de administrador específico, pelo que será apresentado sempre que o tipo de administrador for alterado. Se um utilizador perder privilégios de administrador e, em seguida, os recuperar, este alerta será apresentado.
Nova localização ALERT_GEOLOCATION_NEW_COUNTRY Foi detetada uma nova localização desde o início da análise (até 6 meses). Este alerta só aparece uma vez para cada país/região para toda a sua organização.
Conta inativa ALERT_ZOMBIE_USER Se um utilizador estiver inativo durante 60 dias por aplicação – por exemplo, se alguém estiver ativo na Box mas não tiver tocado no Google Workspace durante 60 dias, o utilizador será considerado inativo no Google Workspace. É adicionada uma etiqueta a estes utilizadores para que possa procurar contas inativas.
Atividade ransomware ALERT_ANUBIS_DETECTION_RANSOMWARE Um padrão de atividade é detetado que é típico de um ataque de ransomware
Localização de administrador inesperada ALERT_NEW_ADMIN_LOCATION Foi detetada uma nova localização para administradores desde o início da análise (até 6 meses). Este alerta só aparece uma vez para cada país/região para qualquer administração em toda a sua organização.

Alertas Personalizados

Serão apresentados os seguintes tipos de alertas.

Nome do alerta IDAlerta Description
Alerta de atividade suspeita ALERT_SUSPICIOUS_ACTIVITY As atividades suspeitas são classificadas, de acordo com o nível de suspeição da atividade anómala (Trata-se de uma conta inativa? É de um novo local?) Estes critérios são todos calculados em conjunto para fornecer uma pontuação de risco com base nos seguintes fatores de risco:
O utilizador é administrador
O utilizador é estritamente remoto
Proxy anónimo
Toda a sessão tem inícios de sessão falhados
Numerosos logins falhados
Novo (administrador)
IP/ISP/país/agente do utilizador para utilizador/inquilino
IP/ISP/país/agente do utilizador utilizado apenas pelo utilizador (administrador)
Primeira atividade do utilizador (administrador) após algum período de inatividade
A primeira vez que esta atividade administrativa específica é executada desde há algum tempo
Esta atividade administrativa em particular não é comum / nunca foi realizada antes
Este IP está apenas associado a inícios de sessão falhados no passado
Deslocação impossível
Alerta de utilização de nuvem suspeita ALERT_DISCOVERY_ANOMALY_DETECTION A deteção de anomalias da Cloud Discovery verifica o padrão de comportamento normal e procura utilizadores ou aplicações que são utilizadas de forma invulgar.
Violação de política de atividade ALERT_CABINET_EVENT_MATCH_AUDIT Este alerta permite-lhe saber quando foi detetada uma correspondência de política.
Violação de política de ficheiros ALERT_CABINET_EVENT_MATCH_FILE Este alerta permite-lhe saber quando foi detetada uma correspondência de política.
Violação de política de proxy ALERT_CABINET_INLINE_EVENT_MATCH Este alerta permite-lhe saber quando foi detetada uma correspondência de política.
Violação de política de campo ALERT_CABINET_EVENT_MATCH_OBJECT Este alerta permite-lhe saber quando foi detetada uma correspondência de política.
Novo serviço detetado ALERT_CABINET_DISCOVERY_NEW_SERVICE Foi detetada uma nova aplicação.
Utilização de conta pessoal ALERT_PERSONAL_USER_SAGE Com base em partilhas de ficheiros e nomes de utilizador, o motor de deteção procura contas pessoais.

Passos seguintes

Se tiver algum problema, estamos aqui para ajudar. Para obter assistência ou suporte para o seu problema de produto, abra um bilhete de apoio.