Políticas de sessão

Aplica-se a: Microsoft Cloud App Security

Importante

Os nomes dos produtos de proteção contra ameaças da Microsoft estão a mudar. Leia mais sobre esta e outras atualizações aqui. Vamos atualizar nomes em produtos e nos documentos num futuro próximo.

Microsoft Cloud App Security políticas de sessão permitem monitorizar ao nível da sessão em tempo real, proporcionando-lhe visibilidade granular em aplicações na nuvem e a capacidade de tomar diferentes ações dependendo da política que definiu para uma sessão de utilizador. Em vez de permitir ou bloquear completamenteo acesso, com o controlo da sessão pode permitir o acesso enquanto monitoriza a sessão e/ou limitar as atividades específicas da sessão utilizando as capacidades de procuração inversa do Controlo de Aplicações de Acesso Condicional.

Por exemplo, pode decidir que a partir de dispositivos não geridos, ou para sessões provenientes de locais específicos, pretende permitir ao utilizador aceder à app, mas também limitar o descarregamento de ficheiros sensíveis ou exigir que certos documentos sejam protegidos após o download. As políticas de sessão permitem-lhe definir estes controlos de sessão de utilizador e permitir o acesso e permite-lhe:

Pré-requisitos para a utilização de políticas de sessão

Criar uma política de sessão Cloud App Security

Para criar uma nova política de sessão, siga este procedimento:

  1. Ir para o acesso condicional de Políticas de Controlo > > .

  2. Selecione Criar política e selecione a política de Sessão.

    Criar uma política de acesso condicional.

  3. Na janela de política de Sessão, atribua um nome para a sua política, como O Descarregamento de Documentos Sensíveis em Caixa para Utilizadores de Marketing.

  4. No campo do tipo de controlo de sessão:

    1. Selecione Monitor apenas se quiser monitorizar as atividades pelos utilizadores. Esta seleção criará uma política apenas do Monitor para as aplicações selecionadas onde todos os sign-ins, transferências heurísticas e tipos de Atividade serão descarregados.

    2. Selecione o download de ficheiros de controlo (com inspeção) se quiser monitorizar as atividades do utilizador. Pode tomar ações adicionais como bloquear ou proteger downloads para os utilizadores.

    3. Selecione as atividades do Bloco para bloquear atividades específicas, que pode selecionar utilizando o filtro de tipo De atividade. Todas as atividades de aplicações selecionadas serão monitorizadas (e reportadas no registo de Atividades). As atividades específicas selecionadas serão bloqueadas se selecionar a ação do Bloco. As atividades específicas selecionadas levantarão alertas se selecionar a ação do Teste e tiver alertas ligados.

  5. No âmbito da Atividade fonte nas Atividades que correspondem a todas as seguintes secções, selecione filtros de atividade adicionais para aplicar à apólice. Estes filtros podem incluir as seguintes opções:

    • Etiquetas do dispositivo: Utilize este filtro para identificar dispositivos não geridos.

    • Localização: Utilize este filtro para identificar locais desconhecidos (e, portanto, arriscados).

    • Endereço IP: Utilize este filtro para filtrar por endereços IP ou utilize etiquetas de endereço IP previamente atribuídas.

    • Etiqueta do agente do utilizador : Utilize este filtro para permitir que o heurístico identifique aplicações móveis e desktop. Este filtro pode ser configurado para iguais ou não é igual a cliente nativo. Este filtro deve ser testado contra as suas aplicações móveis e desktop para cada aplicação cloud.

    Nota

    As políticas de sessão não suportam aplicações móveis e desktop. Aplicações móveis e aplicações de desktop também podem ser bloqueadas ou permitidas através da criação de uma política de acesso.

  6. Se selecionou a opção de Controlo do download de ficheiros (com inspeção):

    1. Sob a origem da Atividade nos Ficheiros que correspondem a todas as seguintes secções, selecione filtros de ficheiros adicionais para aplicar à apólice. Estes filtros podem incluir as seguintes opções:

      • Etiqueta de classificação - Utilize este filtro se a sua organização utilizar a Proteção de Informação Azure e os seus dados foram protegidos pelas suas etiquetas de classificação. Pode filtrar ficheiros com base na etiqueta de classificação que aplicou aos mesmos. Para obter mais informações sobre a integração com a Azure Information Protection, consulte a integração da Azure Information Protection.

      • Nome do ficheiro - Utilize este filtro para aplicar a política a ficheiros específicos.

      • Tipo de ficheiro - Utilize este filtro para aplicar a política a tipos de ficheiros específicos, por exemplo, bloquear o download para todos os ficheiros .xls.

    2. Na secção de inspeção de conteúdo, desaprove se pretende permitir que o motor DLP digitalize documentos e preencha o conteúdo do ficheiro.

    3. Em Ações, selecione um dos seguintes itens:

      • Teste (Monitorar todas as atividades): Desafie esta ação para permitir explicitamente o download de acordo com os filtros de política definidos.

      • Bloco (bloquear o download de ficheiros e monitorizar todas as atividades): Desfie esta ação para bloquear explicitamente o download de acordo com os filtros de política definidos. Para mais informações, consulte como funciona o download do bloco.

      • Proteger (Aplicar a etiqueta de classificação para descarregar e monitorizar todas as atividades): Esta opção só está disponível se selecionar o download de ficheiros de controlo (com inspeção) ao abrigo da política de Sessão. Se a sua organização utilizar a Azure Information Protection, pode definir uma Ação para aplicar um rótulo de classificação definido na Proteção de Informação Azure para o ficheiro. Para mais informações, consulte Como proteger o download funciona.

  7. Pode Criar um alerta para cada evento correspondente com a gravidade da apólice e definir um limite de alerta. Selecione se deseja o alerta como um e-mail, uma mensagem de texto ou ambos.

Monitorizar todas as atividades

Quando cria uma política de sessão, cada sessão de utilizador que corresponda à política é redirecionada para o controlo da sessão e não diretamente para a aplicação. O utilizador irá consultar um aviso de monitorização para que saiba que as suas sessões estão a ser monitorizadas.

Se não quiser notificar o utilizador de que estão a ser monitorizados, pode desativar a mensagem de notificação.

  1. Sob as definições engrenagem, selecione Definições gerais.

  2. Em seguida, em Controlo de Aplicações de Acesso Condicional selecione monitorização do utilizador e desescolh a caixa de verificação dos utilizadores notificando.

Para manter o utilizador dentro da sessão, o Controlo de Aplicações de Acesso Condicional substitui todos os URLs relevantes, scripts Java e cookies dentro da sessão de aplicações por URLs Microsoft Cloud App Security. Por exemplo, se a aplicação retornar uma página com links cujos domínios terminam com myapp.com, o Controlo de Aplicações de Acesso Condicional substitui os links por domínios que terminam com algo como myapp.com.mcas.ms . Desta forma, toda a sessão é monitorizada por Microsoft Cloud App Security.

O Controlo de Aplicações de Acesso Condicional regista os registos de tráfego de todas as sessões de utilizador que são encaminhada através da mesmo. Os registos de tráfego incluem a hora, IP, agente de utilizadores, URLs visitados, e o número de bytes carregados e descarregados. Estes registos são analisados e um relatório contínuo, Cloud App Security Controlo de Aplicações de Acesso Condicional, é adicionado à lista de relatórios da Cloud Discovery no painel Cloud Discovery.

Para exportar estes troncos:

  1. Vá às definições e selecione Controlo de Aplicações de Acesso Condicional .

  2. No lado direito da tabela, selecione o botão de exportação.

    botão de exportação.

  3. Selecione o intervalo do relatório e selecione Export. Este processo pode demorar algum tempo.

Para descarregar o registo exportado:

  1. Depois de o relatório estar pronto, vá a Definições e, em seguida, aos relatórios exportados.

  2. Na tabela, selecione o relatório relevante da lista de registos de tráfego de controlo de aplicações de acesso condicional e transferência de selet.

    botão de descarregamento.

Bloqueie todos os downloads

Quando o Block é definido como a Ação que pretende tomar na política de sessão Cloud App Security, o Controlo de Aplicações de Acesso Condicional impede um utilizador de descarregar um ficheiro de acordo com os filtros de ficheiros da apólice. Um evento de descarregamento é reconhecido por Microsoft Cloud App Security para cada aplicação quando um utilizador inicia um download. O Controlo de Aplicações de Acesso Condicional intervém em tempo real para evitar que seja em funcionamento. Quando o sinal é recebido de que um utilizador iniciou um download, o Controlo de Aplicações de Acesso Condicional devolve uma mensagem restrita de Download ao utilizador e substitui o ficheiro descarregado por um ficheiro de texto. A mensagem do ficheiro de texto para o utilizador pode ser configurada e personalizada a partir da política de sessão.

Requerem autenticação de intensificação (contexto de autenticação)

Quando o tipo de controlo de sessão estiver definido para bloquear as atividades, descarregue ficheiros de controlo (com inspeção), pode selecionar uma autenticação de ação de regata . Quando esta ação for selecionada, Cloud App Security redireciona a sessão para Azure AD Acesso Condicional para reavaliação de políticas, sempre que a atividade selecionada ocorra. Com base no contexto de autenticação configurado no Azure AD, podem ser verificadas alegações como a autenticação de vários fatores e a conformidade do dispositivo durante uma sessão.

Bloquear atividades específicas

Quando as atividades do Bloco são definidas como o tipo de Atividade, pode selecionar atividades específicas para bloquear aplicações específicas. Todas as atividades de aplicações selecionadas serão monitorizadas e reportadas no registo de Atividades. As atividades específicas selecionadas serão bloqueadas se selecionar a ação do Bloco. As atividades específicas selecionadas levantarão alertas se selecionar a ação do Teste e tiver alertas ligados.

Bloqueie atividades específicas e aplique-as a grupos específicos para criar um modo abrangente de leitura apenas para a sua organização.

Proteja os ficheiros no download

Selecione atividades de Bloco para bloquear atividades específicas, que pode encontrar usando o filtro de tipo De atividade. Todas as atividades de aplicações selecionadas serão monitorizadas (e reportadas no registo de Atividades). As atividades específicas selecionadas serão bloqueadas se selecionar a ação do Bloco. As atividades específicas selecionadas levantarão alertas se selecionar a ação do Teste e tiver alertas ligados.

Quando a Protect é definida como a Ação a tomar na política de sessão Cloud App Security, o Controlo de Aplicações de Acesso Condicional impõe a rotulagem e subsequente proteção de um ficheiro de acordo com os filtros de ficheiros da apólice. As etiquetas estão configuradas na consola Azure Information Protection e protect devem ser selecionadas dentro do rótulo para que apareça como uma opção na política Cloud App Security. Quando uma etiqueta é selecionada, e um ficheiro é descarregado que satisfaz os critérios da política de Cloud App Security, o rótulo e a proteção correspondente (com permissões) é aplicado no ficheiro após o download. O ficheiro original permanece como-está na aplicação cloud enquanto o ficheiro descarregado está agora protegido. Os utilizadores que tentem aceder ao ficheiro devem cumprir os requisitos de permissão determinados pela proteção aplicada.

Cloud App Security atualmente suporta a aplicação de etiquetas de classificação da Proteção de Informação Azure para os seguintes tipos de ficheiros:

  • Word: docm, docx, dotm, dotx
  • Excel: xlam, xlsm, xlsx, xltx
  • PowerPoint: potm, potx, ppsx, ppsm, pptm, pptx
  • PDF

    Nota

    Para o PDF, deve utilizar rótulos unificados.

Proteger uploads de ficheiros sensíveis

Quando o upload do ficheiro de controlo (com inspeção) é definido como o tipo de Controlo de Sessão na política de sessão de Cloud App Security, o Controlo de Aplicações de Acesso Condicional impede que um utilizador carrede um ficheiro de acordo com os filtros de ficheiros da apólice. Quando um evento de upload é reconhecido, o Controlo de Aplicações de Acesso Condicional intervém em tempo real para determinar se o ficheiro é sensível e precisa de proteção. Se o ficheiro tiver dados sensíveis e não tiver uma etiqueta adequada, o upload do ficheiro está bloqueado.

Por exemplo, pode criar uma política que analise o conteúdo de um ficheiro para determinar se contém uma correspondência de conteúdo sensível, como um número de segurança social. Se contiver conteúdo sensível e não estiver rotulado com uma etiqueta confidencial Azure Information Protection, o upload do ficheiro está bloqueado. Quando o ficheiro estiver bloqueado, pode apresentar uma mensagem personalizada ao utilizador instruindo-a sobre como rotular o ficheiro para o fazer o upload. Ao fazê-lo, garante que os ficheiros armazenados nas suas aplicações na nuvem cumprem as suas políticas.

Bloquear malware no upload

Quando o  upload de ficheiros de controlo (com inspeção)   é definido como o tipo de Controlo de  Sessão e a Deteção de Malware é definida como o Método de Inspeção na política de sessão Cloud App Security, o Controlo de Aplicações de Acesso Condicional impede um utilizador de carregar um ficheiro em tempo real se for detetado malware. Os ficheiros são digitalizados usando o motor de inteligência da ameaça da Microsoft.

Pode ver os ficheiros sinalizados como potencial malware utilizando o filtro Potencial Malware Detetado no registo de atividade.

Também pode configurar políticas de sessão para bloquear o malware no download.

Educar os utilizadores para proteger ficheiros sensíveis

É importante educar os utilizadores quando estão a violar uma política para que aprendam a cumprir as suas políticas organizacionais. Uma vez que cada empresa tem necessidades e políticas únicas, Cloud App Security permite-lhe personalizar os filtros de uma apólice e a mensagem que exibe ao utilizador quando é detetada uma violação. Pode fornecer orientações específicas aos seus utilizadores, tais como fornecer instruções sobre como rotular adequadamente um ficheiro, ou como inscrever um dispositivo não gerido, para garantir que os ficheiros são carregados com sucesso.

Por exemplo, se um utilizador fizer o upload de um ficheiro sem uma etiqueta Azure Information Protection, pode ser apresentada uma mensagem explicando que o ficheiro contém conteúdo sensível que requer uma etiqueta adequada. Da mesma forma, se um utilizador tentar enviar um documento a partir de um dispositivo não gerido, pode ser apresentada uma mensagem com instruções sobre como inscrever esse dispositivo ou uma que forneça uma explicação adicional do motivo pelo qual o dispositivo deve ser matriculado.

Passos seguintes

Ver também

Se tiver algum problema, estamos aqui para ajudar. Para obter assistência ou suporte para o seu problema de produto, abra um bilhete de apoio.