Monitorizar alertas no Cloud App Security
Aplica-se a: Microsoft Cloud App Security
Importante
Os nomes dos produtos de proteção contra ameaças da Microsoft estão a mudar. Leia mais sobre esta e outras atualizações aqui. Vamos atualizar nomes em produtos e nos documentos num futuro próximo.
Os alertas são os pontos de entrada para compreender o ambiente em cloud mais aprofundadamente. Este artigo fornece uma lista e descrição de todos os alertas.
Monitorizar os seus alertas
É uma boa ideia rever todos os seus alertas. Compreender o porquê de um alerta estar a ocorrer permite-lhe usá-los como ferramentas para modificar as suas políticas.
Para ver alertas: No portal de segurança da aplicação da Microsoft Cloud, clique em Alertas.

Desprezem um alerta depois de o olharem e determinarem que não é interessante.
- Insira um comentário para explicar por que dispensou o alerta
- Envie-nos feedback sobre este alerta para ser revisto pela nossa equipa de pesquisa de segurança para melhorar os alertas.
Resolva o alerta se o investigar e atenuar o risco.
- O alerta não vai mais aparecer na mesa de alertas.
- Não é lido se começares a investigar um problema, mas queres ter a certeza que te lembras de continuar.
- Ajuste a política que corresponde ao alerta para melhorar os futuros jogos de alerta.
- A resolução de um alerta dá-lhe a opção de inserir um comentário e enviar feedback para a equipa de Segurança da Cloud App.
Implementação da nossa experiência de monitorização e gestão de alertas melhorados
Como parte das nossas melhorias contínuas na monitorização e gestão de alertas, a página Cloud App Security Alerts foi melhorada com base no seu feedback. Na experiência reforçada, os estatutos resolvidos e rejeitados são substituídos pelo estado fechado, e os alertas fechados têm um dos seguintes tipos de resolução:
- Verdadeiro positivo: Um alerta sobre uma atividade maliciosa confirmada
- Benigno: Um alerta sobre uma atividade suspeita, mas não maliciosa, como um teste de penetração ou outra ação suspeita autorizada
- Falso positivo: Um alerta sobre uma atividade não maliciosa
Nota
A experiência reforçada aplica-se apenas a novos alertas e não afeta o estado dos alertas existentes (legados) que foram resolvidos ou dispensados.

Monitorização de alerta melhorada
Na página de alertas melhorados, a coluna 'Estado' mostra se um alerta é aberto ou fechado e a coluna do tipo resolução mostra o tipo de resolução utilizada ao fechar um alerta. Pode utilizar o filtro Status para o ajudar a identificar alertas abertos ou fechados e, em seguida, utilizando o filtro Advanced, pode investigar mais alertas fechados por tipo de Resolução utilizando tipos de resolução melhorados e legados.

Gestão de alertas melhorados
Ao fechar os alertas, escolha uma das seguintes opções de resolução:
- Perto como verdadeiro positivo: Se a atividade for confirmada como maliciosa
- Perto como benigno: Se a atividade for suspeita, mas não atividade maliciosa, como um teste de penetração ou outra ação suspeita autorizada
- Perto como falso positivo: Se a atividade for confirmada como não maliciosa
No pop-up que aparece, forneça uma razão para fechar o alerta e preencha os restantes detalhes conforme necessário e, em seguida, clique em Fechar o alerta.

Alertas incorporados
Serão apresentados os seguintes tipos de alertas.
| Nome do alerta | IDAlerta | Description |
|---|---|---|
| Conta comprometida | ALERT_COMPROMISED_ACCOUNT | Se houve uma falha numa aplicação e a lista de contas violadas é publicada, a Cloud App Security descarrega a lista e compara-a com a sua lista de utilizadores. A lista de utilizadores inclui utilizadores internos, utilizadores externos e contas pessoais. |
| Novo utilizador administrativo | ALERT_ADMIN_USER | Foi detetado um novo administrador para uma aplicação específica. Este administrador pode ser alguém que é um administrador em uma aplicação e é agora um administrador para outra aplicação. Este alerta está relacionado com o tipo de administrador específico, pelo que será apresentado sempre que o tipo de administrador for alterado. Se um utilizador perder privilégios de administrador e, em seguida, os recuperar, este alerta será apresentado. |
| Nova localização | ALERT_GEOLOCATION_NEW_COUNTRY | Foi detetada uma nova localização desde o início da análise (até 6 meses). Este alerta só aparece uma vez para cada país/região para toda a sua organização. |
| Conta inativa | ALERT_ZOMBIE_USER | Se um utilizador estiver inativo durante 60 dias por aplicação – por exemplo, se alguém estiver ativo na Box mas não tiver tocado no Google Workspace durante 60 dias, o utilizador será considerado inativo no Google Workspace. É adicionada uma etiqueta a estes utilizadores para que possa procurar contas inativas. |
| Atividade ransomware | ALERT_ANUBIS_DETECTION_RANSOMWARE | Um padrão de atividade é detetado que é típico de um ataque de ransomware |
| Localização de administrador inesperada | ALERT_NEW_ADMIN_LOCATION | Foi detetada uma nova localização para administradores desde o início da análise (até 6 meses). Este alerta só aparece uma vez para cada país/região para qualquer administração em toda a sua organização. |
Alertas Personalizados
Serão apresentados os seguintes tipos de alertas.
| Nome do alerta | IDAlerta | Description |
|---|---|---|
| Alerta de atividade suspeita | ALERT_SUSPICIOUS_ACTIVITY | As atividades suspeitas são classificadas, de acordo com o nível de suspeição da atividade anómala (Trata-se de uma conta inativa? É de um novo local?) Estes critérios são todos calculados em conjunto para fornecer uma pontuação de risco com base nos seguintes fatores de risco: O utilizador é administrador O utilizador é estritamente remoto Proxy anónimo Toda a sessão tem inícios de sessão falhados Numerosos logins falhados Novo (administrador) IP/ISP/país/agente do utilizador para utilizador/inquilino IP/ISP/país/agente do utilizador utilizado apenas pelo utilizador (administrador) Primeira atividade do utilizador (administrador) após algum período de inatividade A primeira vez que esta atividade administrativa específica é executada desde há algum tempo Esta atividade administrativa em particular não é comum / nunca foi realizada antes Este IP está apenas associado a inícios de sessão falhados no passado Deslocação impossível |
| Alerta de utilização de nuvem suspeita | ALERT_DISCOVERY_ANOMALY_DETECTION | A deteção de anomalias da Cloud Discovery verifica o padrão de comportamento normal e procura utilizadores ou aplicações que são utilizadas de forma invulgar. |
| Violação de política de atividade | ALERT_CABINET_EVENT_MATCH_AUDIT | Este alerta permite-lhe saber quando foi detetada uma correspondência de política. |
| Violação de política de ficheiros | ALERT_CABINET_EVENT_MATCH_FILE | Este alerta permite-lhe saber quando foi detetada uma correspondência de política. |
| Violação de política de proxy | ALERT_CABINET_INLINE_EVENT_MATCH | Este alerta permite-lhe saber quando foi detetada uma correspondência de política. |
| Violação de política de campo | ALERT_CABINET_EVENT_MATCH_OBJECT | Este alerta permite-lhe saber quando foi detetada uma correspondência de política. |
| Novo serviço detetado | ALERT_CABINET_DISCOVERY_NEW_SERVICE | Foi detetada uma nova aplicação. |
| Utilização de conta pessoal | ALERT_PERSONAL_USER_SAGE | Com base em partilhas de ficheiros e nomes de utilizador, o motor de deteção procura contas pessoais. |
Passos seguintes
Se tiver algum problema, estamos aqui para ajudar. Para obter assistência ou suporte para o seu problema de produto, abra um bilhete de apoio.