Threat protection policies (Políticas de proteção contra ameaças)
Aplica-se a: Microsoft Cloud App Security
Importante
Os nomes dos produtos de proteção contra ameaças da Microsoft estão a mudar. Leia mais sobre esta e outras atualizações aqui. Vamos atualizar nomes em produtos e nos documentos num futuro próximo.
A Cloud App Security permite identificar problemas de uso de alto risco e segurança na nuvem, detetar comportamentos anormais do utilizador e prevenir ameaças nas suas aplicações de cloud sancionadas. Obtenha visibilidade nas atividades de utilizador e administração e defina políticas para alertar automaticamente quando forem detetados comportamentos suspeitos ou atividades específicas que considere arriscadas. Retire da vasta quantidade de dados de inteligência e pesquisa de segurança da Microsoft para ajudar a garantir que as suas aplicações sancionadas têm todos os controlos de segurança necessários e ajudá-lo a manter o controlo sobre eles.
Nota
Ao integrar a Cloud App Security com o Microsoft Defender for Identity, as políticas do Defender for Identity também aparecem na página de políticas. Para obter uma lista de políticas de Defesa para as políticas de identidade, consulte alertas de segurança.
Detetar e controlar a atividade do utilizador a partir de locais desconhecidos
Deteção automática de acesso ao utilizador ou atividade de locais desconhecidos que nunca foram visitados por ninguém na sua organização.
Pré-requisitos
Deve ter pelo menos uma aplicação ligada usando conectores de aplicações ou a bordo utilizando o controlo de aplicações de Acesso Condicional com controlos de sessão.
Passos
Esta deteção é configurada automaticamente fora da caixa para alertá-lo quando há acesso a partir de novos locais. Não é necessário tomar medidas para configurar esta política. Para obter mais informações, consulte as políticas de deteção de anomalias.
Detetar conta comprometida por localização impossível (viagem impossível)
Deteção automática do acesso ao utilizador ou da atividade a partir de 2 locais diferentes num período de tempo mais curto do que o tempo necessário para viajar entre os dois.
Pré-requisitos
Deve ter pelo menos uma aplicação ligada usando conectores de aplicações ou a bordo utilizando o controlo de aplicações de Acesso Condicional com controlos de sessão.
Passos
Esta deteção é configurada automaticamente fora da caixa para alertá-lo quando há acesso a partir de locais impossíveis. Não é necessário tomar medidas para configurar esta política. Para obter mais informações, consulte as políticas de deteção de anomalias.
Opcional: pode personalizar políticas de deteção de anomalias:
Personalize o âmbito de deteção em termos de utilizadores e grupos
Escolha os tipos de insusição a considerar
Desaça a sua preferência de sensibilidade para alertar
Criar a política de deteção de anomalias.
Detetar atividade suspeita de um funcionário "de licença"
Detete quando um utilizador, que está de licença não remunerada e não deve estar ativo em qualquer recurso organizacional, está a aceder a qualquer um dos recursos na nuvem da sua organização.
Pré-requisitos
Deve ter pelo menos uma aplicação ligada usando conectores de aplicações.
Crie um grupo de segurança no Azure Ative Directory para os utilizadores em licença não remunerada e adicione todos os utilizadores que pretende monitorizar.
Passos
No ecrã dos grupos de utilizador, clique em Criar grupo de utilizadores e importe o grupo AZure AD relevante.
Na página Políticas, crie uma nova política de Atividades.
Definir o grupo de utilizadores filtrante é igual ao nome dos grupos de utilizador que criou em Azure AD para os utilizadores de licenças não remuneradas.
Opcional: Desaça as ações de Governação a tomar em ficheiros quando for detetada uma violação. As ações de governação disponíveis variam entre serviços. Pode escolher suspender o utilizador.
Crie a política de ficheiros.
Detetar e notificar quando o sistema operativo do navegador desatualizado for utilizado
Detete quando um utilizador está a usar um navegador com uma versão de cliente desatualizada que pode representar riscos de conformidade ou segurança para a sua organização.
Pré-requisitos
Deve ter pelo menos uma aplicação ligada usando conectores de aplicações ou a bordo utilizando o controlo de aplicações de Acesso Condicional com controlos de sessão.
Passos
Na página Políticas, crie uma nova política de Atividades.
Desaperte a etiqueta do agente do utilizador do filtro igual ao navegador desatualizado e ao sistema operativo desatualizado.
Desente as ações de Governação a tomar em ficheiros quando for detetada uma violação. As ações de governação disponíveis variam entre serviços. Em Todas as aplicações, selecione Notifique o utilizador , para que os seus utilizadores possam agir após o alerta e atualizar os componentes necessários.
Criar a política de Atividades.
Detetar e alertar quando a atividade de Administração é detetada em endereços IP de risco
Detetar as atividades de administração realizadas a partir de endereço IP e ip considerado um endereço IP de risco, e notificar o administrador do sistema para mais investigação ou definir uma ação de governação na conta do administrador.
Pré-requisitos
Deve ter pelo menos uma aplicação ligada usando conectores de aplicações.
A partir da engrenagem definições, selecione os intervalos de endereços IP e clique no + para adicionar intervalos de endereço IP para as suas sub-redes internas e seus endereços IP públicos. Definir a categoria para Interna.
Passos
Na página Políticas, crie uma nova política de Atividades.
Definir a Lei sobre a atividade única.
Definir o endereço IP do filtro para categoria é igual a Risco
Desatrei a atividade administrativa do filtro para verdadeiro
Desente as ações de Governação a tomar em ficheiros quando for detetada uma violação. As ações de governação disponíveis variam entre serviços. Em Todas as aplicações, selecione Notifique o utilizador, para que os seus utilizadores possam agir após o alerta e atualizar os componentes necessários CC do gestor do utilizador.
Crie a política de atividade.
Detetar atividades por conta de serviço a partir de endereços IP externos
Detetar atividades de conta de serviço originárias de endereços IP não internos. Isto pode indicar comportamento suspeito ou uma conta comprometida.
Pré-requisitos
Deve ter pelo menos uma aplicação ligada usando conectores de aplicações.
A partir da engrenagem definições, selecione os intervalos de endereços IP e clique no + para adicionar intervalos de endereço IP para as suas sub-redes internas e seus endereços IP públicos. Definir a categoria para Interna.
Normalize uma convenção de nomeação para contas de serviço no seu ambiente, por exemplo, definir todos os nomes de conta para começar com "svc".
Passos
Na página Políticas, crie uma nova política de Atividades.
Desa estade o filtro Utilizador para nome e, em seguida, começa com e introduza a sua convenção de nomeação, como svc.
Definir o endereço IP do filtro para categoria não é igual a Outros e Corporativos.
Desente as ações de Governação a tomar em ficheiros quando for detetada uma violação. As ações de governação disponíveis variam entre serviços.
Criar a política.
Detetar download em massa (exfiltração de dados)
Detete quando um determinado utilizador acede ou descarrega um número maciço de ficheiros num curto espaço de tempo.
Pré-requisitos
Deve ter pelo menos uma aplicação ligada usando conectores de aplicações ou a bordo utilizando o controlo de aplicações de Acesso Condicional com controlos de sessão.
Passos
Na página Políticas, crie uma nova política de Atividades.
Definir os endereços IP do filtro para Tag não é igual ao Microsoft Azure. Isto excluirá atividades não interativas baseadas em dispositivos.
Desafie os tipos de atividade do filtro igual a e, em seguida, selecione todas as atividades de descarregamento relevantes.
Desente as ações de Governação a tomar em ficheiros quando for detetada uma violação. As ações de governação disponíveis variam entre serviços.
Criar a política.
Detetar potencial atividade ransomware
Deteção automática de potencial atividade ransomware.
Pré-requisitos
Deve ter pelo menos uma aplicação ligada usando conectores de aplicações.
Passos
Esta deteção é configurada automaticamente fora da caixa para alertá-lo quando existe um potencial risco de ransomware detetado. Não é necessário tomar medidas para configurar esta política. Para obter mais informações, consulte as políticas de deteção de anomalias.
É possível configurar o Âmbito da deteção e personalizar as ações de Governação a tomar quando um alerta é desencadeado. Para obter mais informações sobre como a Cloud App Security identifica o Ransomware, consulte proteger a sua organização do ransomware.
Nota
Isto aplica-se ao Office 365, Google Workspace, Box e Dropbox.
Detetar malware na nuvem
Detete ficheiros que contenham malware nos seus ambientes em nuvem utilizando a integração da Cloud App Security com o motor de Inteligência de Ameaças da Microsoft.
Pré-requisitos
- Para a deteção de malware do Office 365, deve ter uma licença válida para o Microsoft Defender para o Office 365 P1.
- Deve ter pelo menos uma aplicação ligada usando conectores de aplicações.
Passos
- Esta deteção é configurada automaticamente fora da caixa para alertá-lo quando existe um ficheiro que pode conter malware. Não é necessário tomar medidas para configurar esta política. Para obter mais informações, consulte as políticas de deteção de anomalias.
Detetar aquisição de administradores desonestos
Detete atividade de administração repetida que possa indicar intenções maliciosas.
Pré-requisitos
Deve ter pelo menos uma aplicação ligada usando conectores de aplicações.
Passos
Na página Políticas, crie uma nova política de Atividades.
Decompor a Act on to Repeated activity and customized the Minimum repeated activities and set a Timeframe to a time time to your organization's policy..
Desatrei o filtro Utilizador para From group é igual e selecione todos os grupos de administração relacionados apenas como Ator .
Desajuste o tipo de tipo de atividade do filtro é igual a todas as atividades relacionadas com atualizações de passwords, alterações e resets.
Desente as ações de Governação a tomar em ficheiros quando for detetada uma violação. As ações de governação disponíveis variam entre serviços.
Criar a política.
Detetar regras suspeitas de manipulação de caixas de entrada
Se uma regra de caixa de entrada suspeita foi definida na caixa de entrada de um utilizador, pode indicar que a conta de utilizador está comprometida e que a caixa de correio está a ser usada para distribuir spam e malware na sua organização.
Pré-requisitos
- Utilização do Microsoft Exchange para e-mail.
Passos
- Esta deteção é configurada automaticamente fora da caixa para alertá-lo quando há uma regra de caixa de entrada suspeita. Não é necessário tomar medidas para configurar esta política. Para obter mais informações, consulte as políticas de deteção de anomalias.
Detetar credenciais vazadas
Quando os criminosos virtuais comprometem senhas válidas de utilizadores legítimos, muitas vezes partilham essas credenciais. Isto é geralmente feito publicamente na dark web ou pasta sites ou negociando ou vendendo as credenciais no mercado negro.
A Cloud App Security utiliza a inteligência da Microsoft's Threat para combinar tais credenciais com as utilizadas dentro da sua organização.
Pré-requisitos
Deve ter pelo menos uma aplicação ligada usando conectores de aplicações.
Passos
Esta deteção é configurada automaticamente fora da caixa para alertá-lo quando for detetada uma possível fuga de credenciais. Não é necessário tomar medidas para configurar esta política. Para obter mais informações, consulte as políticas de deteção de anomalias.
Detetar downloads de ficheiros anómalos
Detete quando os utilizadores realizam várias atividades de descarregamento de ficheiros numa única sessão, em relação à linha de base aprendida. Isto pode indicar uma tentativa de violação.
Pré-requisitos
Deve ter pelo menos uma aplicação ligada usando conectores de aplicações ou a bordo utilizando o controlo de aplicações de Acesso Condicional com controlos de sessão.
Passos
Esta deteção é configurada automaticamente fora da caixa para alertá-lo quando ocorre um download anómalo. Não é necessário tomar medidas para configurar esta política. Para obter mais informações, consulte as políticas de deteção de anomalias.
É possível configurar o âmbito da deteção e personalizar as medidas a tomar quando um alerta é desencadeado.
Detetar partilhas de ficheiros anómalos por um utilizador
Detete quando os utilizadores realizam várias atividades de partilha de ficheiros numa única sessão no que diz respeito à linha de base aprendida, o que pode indicar uma tentativa de violação.
Pré-requisitos
Deve ter pelo menos uma aplicação ligada usando conectores de aplicações ou a bordo utilizando o controlo de aplicações de Acesso Condicional com controlos de sessão.
Passos
Esta deteção é configurada automaticamente fora da caixa para alertá-lo quando os utilizadores efetuam várias partilhas de ficheiros. Não é necessário tomar medidas para configurar esta política. Para obter mais informações, consulte as políticas de deteção de anomalias.
É possível configurar o âmbito da deteção e personalizar as medidas a tomar quando um alerta é desencadeado.
Detetar atividades anómalas de um país pouco frequente
Detetar atividades a partir de um local que não foi recentemente ou nunca foi visitado pelo utilizador ou por qualquer utilizador da sua organização.
Pré-requisitos
Deve ter pelo menos uma aplicação ligada usando conectores de aplicações ou a bordo utilizando o controlo de aplicações de Acesso Condicional com controlos de sessão.
Passos
Esta deteção é configurada automaticamente fora da caixa para alertá-lo quando ocorre uma atividade anómala a partir de um país/região pouco frequente. Não é necessário tomar medidas para configurar esta política. Para obter mais informações, consulte as políticas de deteção de anomalias.
É possível configurar o âmbito da deteção e personalizar as medidas a tomar quando um alerta é desencadeado.
Nota
A deteção de locais anómalos requer um período inicial de aprendizagem de 7 dias. Durante o período de aprendizagem, a Cloud App Security não gera alertas para novos locais.
Detetar atividade realizada por um utilizador encerrado
Detete quando um utilizador que já não é um funcionário da sua organização realiza uma atividade numa aplicação sancionada. Isto pode indicar atividade maliciosa por um funcionário despedido que ainda tem acesso a recursos corporativos.
Pré-requisitos
Deve ter pelo menos uma aplicação ligada usando conectores de aplicações.
Passos
Esta deteção é configurada automaticamente fora da caixa para alertá-lo quando uma atividade é realizada por um funcionário despedido. Não é necessário tomar medidas para configurar esta política. Para obter mais informações, consulte as políticas de deteção de anomalias.
É possível configurar o âmbito da deteção e personalizar as medidas a tomar quando um alerta é desencadeado.
Passos seguintes
Se tiver algum problema, estamos aqui para ajudar. Para obter assistência ou suporte para o seu problema de produto, abra um bilhete de apoio.