Políticas de atividade

Aplica-se a: Microsoft Cloud App Security

Importante

Os nomes dos produtos de proteção contra ameaças da Microsoft estão a mudar. Leia mais sobre esta e outras atualizações aqui. Vamos atualizar nomes em produtos e nos documentos num futuro próximo.

As políticas de atividade permitem-lhe impor uma vasta gama de processos automatizados utilizando as APIs do fornecedor de aplicações. Com estas políticas, pode monitorizar atividades específicas levadas a cabo por diversos utilizadores ou acompanhar taxas inesperadamente altas de um determinado tipo de atividade.

Depois de definir uma política de deteção de atividade, começam a ser gerados alertas. Os alertas só são gerados relativamente às atividades que ocorrem após a criação da política.

Nota

As políticas que desencadeiam mais de 50.000 jogos por dia, durante 3 dos últimos 7 dias, são automaticamente desativadas. Pode tentar refinar as políticas adicionando filtros adicionais ou, se estiver a utilizar políticas para efeitos de reporte, considere guardá-las como consultas.

Alertas personalizados

As políticas de atividade permitem o envio de alertas personalizados ou as ações tomadas quando a atividade do utilizador é detetada. Por exemplo, quer saber sempre:

  • Um utilizador tenta entrar e falha 70 vezes num minuto
  • Um utilizador descarrega 7.000 ficheiros
  • Um utilizador está a iniciar sessão a partir do Afeganistão

Pode definir alertas de atividade para ser enviado para si ou para o utilizador quando estes eventos ocorrerem. Pode até suspender o utilizador até terminar de investigar o que aconteceu.

Para criar uma nova política de atividade, siga este procedimento:

  1. Ir para > deteções de ameaças de políticas de controlo > .

  2. Clique em Criar política e selecione Política de atividade.

    Criar uma política de deteção de ameaças.

  3. Dê um nome e uma descrição à política. Se quiser, pode utilizar um modelo como base. Para obter mais informações sobre os modelos de políticas, veja Control clouds apps with policies (Controlar aplicações na cloud com políticas).

  4. Para definir as ações ou outras métricas que vão acionar esta política, trabalhe com os Filtros de atividade.

    Nota

    Para garantir que apenas inclui resultados em que o campo de filtro especificado tenha um valor, recomendamos adicionar novamente o mesmo campo utilizando o teste de definição de is. Por exemplo, quando a filtragem por Localização não é igual a uma lista especificada de países, também é definido um filtro para localização . Também pode visualizar os resultados do filtro selecionando resultados de Edição e pré-visualização.

    Screenshot das definições do filtro, mostrando o campo de localização está definido.

  5. Nos parâmetros de correspondência de Atividade, selecione quando uma violação de política será desencadeada. Opte por acionar quando uma única atividade corresponde aos filtros ou apenas quando for detetado um número especificado de atividades repetidas.

    • Se escolher a atividade repetida, pode definir numa única aplicação. Esta definição só irá desencadear uma partida de política quando as atividades repetidas ocorrerem na mesma aplicação. Por exemplo, cinco downloads em 30 minutos da Box desencadeiam uma combinação de política.
  6. Configure as Ações que devem ser realizadas quando é encontrada uma correspondência.

Veja estes exemplos:

  • Vários inícios de sessão falhados

    Pode definir a política para que receba um alerta quando ocorrer um grande número de logins falhados num curto espaço de tempo. Para configurar este tipo de política, escolha o filtro de atividade apropriado na página Política de Novas Atividades.

    Abaixo do campo Filtros de atividade, configure os parâmetros que vão acionar o alerta.

    Exemplo de política para várias tentativas falhadas de inscrição.

  • Taxa de transferência elevada

    Pode definir a política para receber um alerta quando tiver ocorrido um nível de atividades de transferência incaracterístico ou inesperado. Para configurar este tipo de política, segundo os parâmetros Rate, escolha os parâmetros para desencadear o alerta.

    exemplo de alta taxa de descarregamento.

Referência de política de atividades

Esta secção tem detalhes de referência sobre políticas, explicações para cada tipo de política e os campos que podem ser configurados para cada política.

Uma política de Atividades é uma política baseada na API que lhe permite monitorizar as atividades da sua organização na nuvem. A política tem em conta mais de 20 filtros de metadados de ficheiros, incluindo o tipo e a localização do dispositivo. Com base nos resultados da política, podem ser geradas notificações e os utilizadores podem ser suspensos da aplicação na cloud. Cada política é composta pelas seguintes partes:

  • Filtros de atividade – Permitir-lhe criar condições granulares com base em metadados.

  • Parâmetros de correspondência de atividade – permitem-lhe definir um limiar com o número de vezes que uma atividade é repetida para corresponder à política. Especificar o número de atividades repetidas necessárias para corresponder à política. Por exemplo, desateia uma política de alerta quando um utilizador tiver 10 tentativas de login mal sucedidas num espaço de tempo de 2 minutos. Por predefinição, os parâmetros de correspondência de atividade aumentam a correspondência para cada atividade que atende a todos os filtros de atividade.

    • Utilizando a atividade repetida pode definir o número de atividades repetidas, a duração do período de tempo em que as atividades são contadas. Também pode especificar que todas as atividades devem ser realizadas pelo mesmo utilizador e na mesma aplicação em nuvem.
  • Ações – a política oferece um conjunto de ações de governação que podem ser aplicadas automaticamente quando são detetadas violações.

Passos seguintes

Se tiver algum problema, estamos aqui para ajudar. Para obter assistência ou suporte para o seu problema de produto, abra um bilhete de apoio.