Tutorial: Detetar e gerir a TI sombra na rede

Aplica-se a: Microsoft Cloud App Security

Importante

Os nomes dos produtos de proteção contra ameaças da Microsoft estão a mudar. Leia mais sobre esta e outras atualizações aqui. Vamos atualizar nomes em produtos e nos documentos num futuro próximo.

Quando os administradores de TI são questionados sobre quantas aplicações na nuvem pensam que os seus colaboradores usam, em média dizem 30 ou 40, quando na realidade, a média é de mais de 1.000 aplicações separadas que são usadas por funcionários da sua organização. O Shadow IT ajuda-o a saber e a identificar quais aplicações estão a ser usadas e qual é o seu nível de risco. 80% dos colaboradores usam aplicações não sancionadas que ninguém reviu, e podem não estar em conformidade com as suas políticas de segurança e conformidade. E como os seus colaboradores são capazes de aceder aos seus recursos e aplicações de fora da sua rede corporativa, já não é suficiente ter regras e políticas nas suas firewalls.

Neste tutorial, você vai aprender como usar o Cloud Discovery para descobrir quais as aplicações que estão sendo usadas, explorar o risco destas aplicações, configurar políticas para identificar novas aplicações de risco que estão sendo usadas, e para desanumentar essas aplicações de forma a bloqueá-las de forma nativa usando o seu proxy ou dispositivo de firewall

Como descobrir e gerir o Shadow IT na sua rede

Use este processo para lançar Shadow IT Cloud Discovery na sua organização.

sombra it ciclo de vida.

Fase 1: Descubra e identifique o Shadow IT

  1. Descubra Shadow IT: Identifique a postura de segurança da sua organização executando o Cloud Discovery na sua organização para ver o que realmente está a acontecer na sua rede. Para obter mais informações, consulte Configurar a descoberta da nuvem. Isto pode ser feito utilizando qualquer um dos seguintes métodos:

    • Levante-se ecorda rapidamente com o Cloud Discovery integrando-se com o Microsoft Defender para Endpoint. Esta integração nativa permite-lhe começar imediatamente a recolher dados sobre o tráfego em nuvem através da sua Windows 10 e Windows 11 dispositivos, dentro e fora da sua rede.

    • Para a cobertura de todos os dispositivos ligados à sua rede, é importante implementar o Cloud App Security registar o coletor nas suas firewalls e outros proxies para recolher dados dos seus pontos finais e enviá-lo para Cloud App Security para análise.

    • Integre Cloud App Security com o seu representante. Cloud App Security integra-se de forma nativa com alguns proxies de terceiros, incluindo zscaler.

Como as políticas são diferentes entre grupos de utilizadores, regiões e grupos de negócios, é melhor criar um relatório de TI sombra dedicado para cada uma destas unidades. Para mais informações, consulte Docker no Windows no local.

Agora que o Cloud Discovery está a funcionar na sua rede, veja os relatórios contínuos que são gerados e olhe para o painel cloud Discovery para obter uma imagem completa das aplicações que estão a ser usadas na sua organização. É uma boa ideia olhar para eles por categoria, pois muitas vezes vai descobrir que aplicações não sancionadas estão a ser usadas para fins legítimos relacionados com o trabalho que não foram abordadas por uma aplicação sancionada.

  1. Identifique os níveis de risco das suas apps: Utilize o catálogo de aplicações em nuvem Cloud App Security para mergulhar mais profundamente nos riscos que estão envolvidos em cada aplicação descoberta. O catálogo de risco da Cloud App Security inclui mais de 16.000 aplicações que são avaliadas usando mais de 80 fatores de risco. Os fatores de risco partem da informação geral sobre a app (onde está a sede da app, que é a editora), e através de medidas de segurança e controlos (suporte para encriptação em repouso, fornece um registo de auditoria da atividade do utilizador). Para obter mais informações, consulte Trabalhar com pontuação de risco,

    • No portal Cloud App Security, no Âmbito do Discover, clique em aplicações Descobertas. Filtre a lista de aplicações descobertas na sua organização pelos fatores de risco que lhe preocupam. Por exemplo, pode utilizar os filtros Advanced para encontrar todas as aplicações com uma pontuação de risco inferior a 8.

    • Pode aprofundar a aplicação para saber mais sobre a sua conformidade clicando no nome da aplicação e, em seguida, clicando no separador Info para ver detalhes sobre os fatores de risco de segurança da aplicação.

Fase 2: Avaliar e analisar

  1. Avaliar a conformidade: Verifique se as aplicações estão certificadas de acordo com os padrões da sua organização, tais como HIPAA, SOC2, RGPD.

    • No portal Cloud App Security, no Discover, clique em aplicações Descobertas. Filtre a lista de aplicações descobertas na sua organização pelos fatores de risco de conformidade que lhe preocupam. Por exemplo, utilize a consulta sugerida para filtrar aplicações não conformes.

    • Pode aprofundar a aplicação para saber mais sobre a sua conformidade clicando no nome da aplicação e, em seguida, clicando no separador Info para ver detalhes sobre os fatores de risco de conformidade da aplicação.

    Dica

    Seja notificado quando uma aplicação descoberta estiver associada a uma falha de segurança recentemente publicada usando o alerta de falha de segurança da aplicação descoberta incorporada. Investigue todos os utilizadores, endereços IP e dispositivos que acederam à aplicação com falha de segurança nos últimos 90 dias e aplique os controlos relevantes.

  2. Analise o uso: Agora que sabe se quer ou não que a app seja usada na sua organização, pretende investigar como e quem a está a usar. Se for usado apenas de forma limitada na sua organização talvez esteja tudo bem, mas talvez se o uso estiver a crescer, você quer ser notificado sobre isso para que você possa decidir se você quer bloquear a app.

    • No portal Cloud App Security, no Discover, clique em apps Discover e, em seguida, faça exercício clicando na aplicação específica que pretende investigar. O separador Utilização permite-lhe saber quantos utilizadores ativos estão a usar a aplicação e quanto tráfego está a gerar. Isto já lhe pode dar uma boa imagem do que está a acontecer com a app. Em seguida, se quiser ver quem, especificamente, está a usar a app, pode aprofundar-se mais clicando em utilizadores ativos totais. Este passo importante pode dar-lhe informações pertinentes, por exemplo, se descobrir que todos os utilizadores de uma aplicação específica são do departamento de Marketing, é possível que haja uma necessidade de negócio para esta app, e se for arriscado deve falar com eles sobre uma alternativa antes de bloqueá-la.

    • Mergulhe ainda mais fundo na investigação do uso de apps descobertas. Consulte subdomínios e recursos para saber sobre atividades específicas, acesso a dados e utilização de recursos nos seus serviços na nuvem. Para mais informações, consulte Deep mergulhe em apps descobertas e descubra recursos e aplicações personalizadas.

  3. Identificar aplicações alternativas: Utilize o catálogo de aplicações cloud para identificar aplicações mais seguras que obtenham funcionalidades de negócio semelhantes às aplicações de risco detetadas, mas cumpram a política da sua organização. Pode fazê-lo usando os filtros avançados para encontrar aplicações na mesma categoria que se encontrem com os seus diferentes controlos de segurança.

Fase 3: Gerir as suas apps

  • Gerir aplicativos em nuvem: Cloud App Security ajuda-o com o processo de gestão do uso de aplicações na sua organização. Depois de identificar os diferentes padrões e comportamentos utilizados na sua organização, pode criar novas etiquetas de aplicações personalizadas de forma a classificar cada app de acordo com o seu estado comercial ou justificação. Estas tags podem ser usadas para fins específicos de monitorização, por exemplo, identificar tráfego elevado que vai para apps que são marcadas como aplicações de armazenamento de nuvem de risco. As etiquetas de aplicações podem ser geridas nas definições de Cloud > Discovery. Estas tags podem então ser usadas mais tarde para filtrar nas páginas Cloud Discovery e criar políticas que as utilizem.

  • Gerencie aplicações descobertas usando Azure Ative Directory (Azure AD) Gallery : Cloud App Security também aproveita a sua integração nativa com a AD Azure para que possa gerir as suas aplicações descobertas na Galeria AD AZure. Para aplicações que já aparecem na Galeria AD Azure, pode aplicar um único sign-on e gerir a aplicação com Azure AD. Para tal, na linha onde aparece a aplicação relevante, escolha os três pontos no final da linha e, em seguida, escolha Gerir a app com Azure AD.

    gerir aplicativo em galeria de anúncios azure.

  • Monitorização contínua: Agora que investigou exaustivamente as aplicações, é possível que queira definir políticas que monitorizem as apps e forneçam controlo sempre que necessário.

Agora é hora de criar políticas para que possa ser automaticamente alertado quando algo acontece que está preocupado. Por exemplo, pode querer criar uma política de descoberta de Apps que lhe permita saber quando há um pico em downloads ou tráfego de uma aplicação que lhe preocupa. Para isso, deve ativar o comportamento anómalo na política de utilizadores descobertos, verificação de conformidade com aplicações de armazenamento cloud e nova aplicação de risco. Também deve definir a política para notificá-lo por e-mail ou mensagem de texto. Para obter mais informações, consulte a referência do modelo de política, mais sobre as políticas de Descoberta da Nuvem e políticas de descoberta de AplicaçõesConfigure .

Olhe para a página de alertas e use o filtro tipo Policy para ver os alertas de descoberta de aplicações. Para aplicações que foram acompanhadas pelas políticas de descoberta da sua aplicação, recomenda-se que faça uma investigação avançada para saber mais sobre a justificação do negócio para usar a app, por exemplo, contactando os utilizadores da app. Em seguida, repita os passos na Fase 2 para avaliar o risco da aplicação. Em seguida, determine os próximos passos para a aplicação, se aprova a sua utilização no futuro ou se pretende bloqueá-la da próxima vez que um utilizador a aceder, caso em que deverá marcá-la como não solicitada para que possa ser bloqueada usando a sua firewall, proxy ou gateway web seguro. Para obter mais informações, consulte Integrar com o Microsoft Defender para Endpoint, Integrar-se com zscaler, integrar-se com ibosss, e exportar um script de bloco para governar aplicações descobertas.

Fase 4: Relatório avançado de descoberta de TI shadow

Além das opções de reporte disponíveis em Cloud App Security, pode integrar os registos cloud Discovery no Azure Sentinel para mais investigação e análise. Uma vez que os dados estão no Azure Sentinel, você pode vê-lo em dashboards, executar consultas usando a linguagem de consulta Kusto, consultas de exportação para a Microsoft Power BI, integrar-se com outras fontes, e criar alertas personalizados. Para mais informações, consulte a integração do Azure Sentinel.

Fase 5: Controlar aplicações sancionadas

  1. Para permitir o controlo de aplicações através de APIs, conecte as aplicações através da API para monitorização contínua.

  2. Proteja as aplicações utilizando o Controlo de Aplicações de Acesso Condicional.

A natureza das aplicações em nuvem significa que são atualizadas diariamente e novas aplicações aparecem a toda a hora. Por isso, os colaboradores estão continuamente a usar novas aplicações e é importante continuar a acompanhar e rever e atualizar as suas políticas, verificando quais as aplicações que os seus utilizadores estão a usar, bem como os seus padrões de utilização e comportamento. Pode sempre ir ao painel Cloud Discovery e ver que novas aplicações estão a ser utilizadas, e seguir novamente as instruções deste artigo para garantir que a sua organização e os seus dados estão protegidos.

Passos seguintes

Se tiver algum problema, estamos aqui para ajudar. Para obter assistência ou suporte para o seu problema de produto, abra um bilhete de apoio.

Saber mais