Atividades diárias para proteger o seu ambiente na nuvem

 

Aplica-se a: Microsoft Cloud App Security

Quando o Cloud App Security estiver a funcionar e depois de configurar fluxos de dados, aprovar aplicações que autoriza os utilizadores a utilizar e configurar políticas para monitorizar o seu ambiente na nuvem, é chegado o momento de utilizar o Cloud App Security para controlar e proteger a nuvem e gerir os riscos.

Este tópico descreve o que deve fazer diariamente.

Quando abre o portal do Cloud App Security, é-lhe mostrada uma descrição geral de alertas abertos, violações de atividades, violações de conteúdos, um mapa de atividades (que representa a origem geográfica das atividades de utilizador) e tendências de utilização de aplicações ligadas no ambiente na nuvem.

Recomenda-se que verifique o dashboard todos os dias para ver que alertas novos foram acionados e lidar com os mesmos. Também é útil para se manter a par do estado de funcionamento do ambiente na nuvem e ter uma noção do que se está a passar, numa perspetiva geral, em todo o ambiente.

dashboard

Os alertas são o ponto de entrada para compreender o ambiente na nuvem mais aprofundadamente. Poderá querer criar políticas novas com base no que encontrar. Por exemplo, poderá ver que um administrador está a iniciar sessão na Gronelândia e decidir que, no futuro, vai criar uma política que suspenda automaticamente uma conta administrativa que seja utilizada para iniciar sessão a partir daquele país.

É boa ideia rever todos os alertas e utilizá-los como ferramenta para modificar as políticas. Caso haja eventos inofensivos a ser considerados como violações a políticas existentes, deve refiná-las de modo a receber menos alertas desnecessários.

  • Em Alertas abertos, clique em Ver todos os alertas.

    Desta forma, tem visibilidade total para qualquer atividade ou violação suspeita no âmbito das políticas em vigor e ajuda-o a salvaguardar a postura de segurança que definiu para o seu ambiente na nuvem.

    alerts

  • Para cada alerta, tem de investigar e determinar a natureza a violação e a resposta necessária.

    Pode filtrar os alertas por Tipo de alerta ou pela Gravidade para processar os mais importantes primeiro.

    Clique num alerta específico. Dependendo do tipo de alerta, receberá várias ações que podem ser realizadas antes de resolver o alerta.

    Ao investigar alertas, terá de lidar com três tipos de violações:

    • Violações graves, que requerem uma resposta imediata

      Exemplos:

      Num alerta de atividade suspeita, poderá ser útil suspender a conta até que o utilizador altere a palavra-passe.

      Numa fuga de dados, poderá ser útil restringir as permissões ou colocar o ficheiro em quarentena.

      Se for detetado um serviço novo não aprovado, poderá ser útil bloquear o acesso ao mesmo no proxy ou na firewall.

    • Violações duvidosas, que requerem investigação adicional

      Pode contactar o utilizador ou o gestor do utilizador sobre a natureza da atividade.

      Deixe a atividade aberta até ter mais informações.

    • Violações autorizadas ou comportamentos anómalos que resultaram de utilizações legítimas.

      Ignore o alerta.

  • Quando terminar este processo, marque o alerta como resolvido.

A tabela seguinte mostra uma lista dos tipos de alertas que podem ser acionados e as resoluções recomendadas para os resolver.

Tipo de alertaDescriçãoResolução recomendada
Violação de política de atividadeEste tipo de alerta é o resultado de uma política que criou.- Para trabalhar com este tipo de alerta em massa, recomenda-se que trabalhe diretamente no Centro de políticas para estas violações.
- Otimize a política para excluir entidades desnecessárias, ao adicionar mais filtros e controlos mais granulares.-
- Se a política for muito exata e o alerta for justificado e se tratar de uma violação que quer parar imediatamente, considere mover para uma resposta automática ao adicionar a remediação automática à política.
Violação de política de ficheirosEste tipo de alerta é o resultado de uma política que criou.- Para trabalhar com este tipo de alerta em massa, recomenda-se que trabalhe diretamente no Centro de políticas para estas violações.
- Otimize a política para excluir entidades desnecessárias, ao adicionar mais filtros e controlos mais granulares.-
- Se a política for muito exata e o alerta for justificado e se tratar de uma violação que quer parar imediatamente, considere mover para uma resposta automática ao adicionar a remediação automática à política.
Conta comprometidaEste tipo de alerta é acionado quando o Cloud App Security identifica uma conta que foi comprometida (grande probabilidade de ter sido utilizada de forma não autorizada).Recomenda-se que suspenda a conta até conseguir contactar o utilizador e ter a certeza de que ele alterou a palavra-passe.
Conta inativaEste alerta é acionado quando uma conta numa das suas aplicações em nuvem ligadas deixa de ser utilizada.Contacte o utilizador e o gestor do utilizador para saber se a conta ainda está ativa. Caso contrário, suspenda o utilizador e cesse a licença para a aplicação.
Novo utilizador administrativoAlerta-o relativamente a alterações nas suas contas privilegiadas de aplicações ligadas.Confirme que o utilizador precisa, efetivamente, de novas permissões de administração e, se não for o caso, recomenda-se que revogue os privilégios administrativos para reduzir a exposição.
Nova localização de administradorAlerta-o relativamente a alterações nas suas contas privilegiadas de aplicações ligadas.Verifique se o início de sessão nesta localização anómala é legítimo e, se não for, recomenda-se que revogue as permissões administrativas ou que suspenda a conta para reduzir a exposição.
Nova localizaçãoEste é um alerta informativo relativamente a um acesso a uma aplicação ligada a partir de uma localização nova e é acionado apenas uma vez por país.Investigue a atividade do utilizador específico.
Novo serviço detetadoEste é um alerta sobre Shadow TI - a Cloud Discovery detetou uma aplicação nova.
  • Avalie o risco do serviço com base no Catálogo de aplicações.
  • Desagregue para a atividade de modo a compreender os padrões de utilização e a prevalência.
  • Decida se quer aprovar ou desaprovar a aplicação.

    Relativamente a aplicações não aprovadas:

     
    • Pode ser útil bloquear a utilização no proxy ou na firewall.
    • Se não for aprovada e tiver uma aplicação aprovada da mesma categoria, pode desagregar e exportar uma lista de utilizadores da aplicação não aprovada e, depois, contactá-los para os migrar para a aprovada.
Atividade suspeitaEste alerta informa-o de que foi detetada uma atividade anómala que não está alinhada com atividades esperadas ou utilizadores da sua organização.Investigue o comportamento e confirme junto do utilizador.

Este tipo de alerta é ideal para começar a saber mais sobre o seu ambiente e a utilizar estes alertas para criar políticas novas. Por exemplo, se um utilizador carregar subitamente uma grande quantidade de dados para uma das suas aplicações ligadas, pode definir uma regra que governe este tipo de comportamento anómalo.
Utilização de nuvem suspeitaEste alerta informa-o de que foi detetada uma atividade anómala que não está alinhada com atividades esperadas ou utilizadores da sua organização.Investigue o comportamento e confirme junto do utilizador.

Este tipo de alerta é ideal para começar a saber mais sobre o seu ambiente e a utilizar estes alertas para criar políticas novas. Por exemplo, se um utilizador carregar subitamente uma grande quantidade de dados para uma das suas aplicações ligadas, pode definir uma regra que governe este tipo de comportamento anómalo.
Utilização de conta pessoalEste alerta informa-o de que uma conta pessoal nova tem acesso a recursos nas suas aplicações ligadas.Na conta externa, remova as colaborações do utilizador.

Depois de analisar os alertas abertos, aceda ao Centro de políticas para ver as violações de políticas que não acionaram alertas.

  • No portal do Cloud App Security, clique em Controlar e em Políticas.

  • Clique numa política específica para ver a lista Em violação agora de correspondências de políticas que não acionaram alertas.

  • Clique nas violações, uma de cada vez, e decida o que fazer com cada uma. Veja mais informações sobre as ações de governação abaixo.

    Por exemplo, se a política estiver definida para localizar violações de conformidade e um utilizador guardar números de cartões de crédito em ficheiros no OneDrive, terá uma correspondência para a política.

    pci matches

  • Clique na correspondência para ver os ficheiros concretos que violaram a política.

    pci content matches

    Pode clicar no próprio ficheiro para obter informações sobre os ficheiros.

    Pode clicar em Colaboradores para ver quem tem acesso a este ficheiro.

    Pode clicar nas Correspondências para ver os números de cartões de crédito concretos.

    content matches ccn

Investigar
Para obter suporte técnico, visite a página de suporte assistido do Cloud App Security.
Os clientes Premier também podem escolher o Cloud App Security diretamente no Portal Premier.

Mostrar: