Políticas de atividade de utilizador

 

Aplica-se a: Microsoft Cloud App Security

As políticas de atividade permitem-lhe aplicar um vasto conjunto de processos automáticos que tiram partido das APIs do fornecedor da aplicação. Com estas políticas, pode monitorizar atividades específicas levadas a cabo por diversos utilizadores ou acompanhar taxas inesperadamente altas de um determinado tipo de atividade.

As políticas de atividade permitem-lhe definir alertas personalizados a serem enviados ou ações a realizar quando é detetada atividade do utilizador. Por exemplo, se quiser saber de todas as vezes que um utilizador tenta iniciar sessão e falhar 70 vezes num minuto, ou se um utilizador transfere 7.000 ficheiros ou tem sessão iniciada a partir do Afeganistão, pode definir que sejam enviados alertas de atividade para si ou para o utilizador quando esses eventos ocorrem. Pode, inclusivamente, suspender o utilizador até ter tempo para investigar o ocorrido.

Para criar uma nova política de atividade, siga este procedimento:

  1. Na consola, clique em Controlar seguido de Políticas.

  2. Clique em Criar política e selecione Política de atividade.

    activity policy menu

  3. Dê um nome e uma descrição à política. Se quiser, pode utilizar um modelo como base. Para obter mais informações sobre os modelos de políticas, veja Control clouds apps with policies (Controlar aplicações em nuvem com políticas).

  4. Para definir as ações ou outras métricas que vão acionar esta política, trabalhe com os Filtros de atividade.

  5. Em A atividade corresponde aos parâmetros, selecione se é acionada uma violação de política quando uma atividade individual corresponde aos filtros ou se só é detetada uma violação quando é detetado um número especificado de Atividades repetidas.
    Se escolher Atividades recentes, defina aquelas que vão acionar o alerta - o número de atividades, o intervalo de tempo e se uma violação é contabilizada para um utilizador numa aplicação específica ou para o mesmo utilizador em qualquer aplicação.

  6. Configure as Ações que devem ser realizadas quando é encontrada uma correspondência.

Veja estes exemplos:

  • Vários inícios de sessão falhados

    Pode definir a política para receber um alerta se tiver ocorrido um grande número de tentativas de inícios de sessão falhados durante um período de tempo específico e relativamente curto. Para configurar uma política como esta, selecione o filtro de atividade adequado na página Nova política de atividade.

    Abaixo do campo Filtros de atividade, configure os parâmetros que vão acionar o alerta.

    multiple failed log on attempts policy example

  • Taxa de transferência elevada

    Pode definir a política para receber um alerta quando tiver ocorrido um nível de atividades de transferência incaracterístico ou inesperado. Para configurar uma política como esta, nos parâmetros Taxa, escolha os parâmetros para acionar o alerta.

    high download rate example

Quando a sua organização estiver protegida pelo Cloud App Security, todas as atividades na nuvem são classificadas de acordo com vários fatores de risco predefinidos.- Cloud App Security analisa todas as sessões de utilizador na sua nuvem e, depois, tem em conta os fatores de risco que definir aqui para o alertar quando ocorre algo que seja diferente da linha de base da sua organização ou da atividade normal dos utilizadores. A página da política de deteção de anomalias permite-lhe configurar e personalizar quais as famílias de fatores de risco que vão ser consideradas no processo de classificação de risco. As políticas podem ser impostas de forma diferente nos diferentes utilizadores, localizações e setores organizacionais. Por exemplo, pode criar uma política que o alerta quando os membros da sua equipa de TI estão ativos fora do escritório.

Para configurar uma política de deteção de anomalias:

  1. Na consola, clique em Controlar seguido de Políticas.

  2. Clique em Criar política e selecione Política de deteção de anomalias.

    Anomaly detection policy menu

  3. Preencha o nome e a descrição da política e continue para o campo Filtros de atividade, onde pode escolher a atividade na qual quer aplicar a política.

  4. Dê um nome e uma descrição à política. Se quiser, pode utilizar um modelo como base. Para obter mais informações sobre os modelos de políticas, veja Control clouds apps with policies (Controlar aplicações em nuvem com políticas).

  5. Para aplicar a política a todas as atividades no seu ambiente na nuvem, selecione Todas as atividades monitorizadas. Para limitar a política a tipos específicos de atividades, escolha Atividade selecionada. Clique em Adicionar filtros e defina os parâmetros adequados com os quais filtrar a atividade. Por exemplo, para impor a política apenas em atividades realizadas por administradores do Salesforce, escolha esta etiqueta de utilizador.

  6. Sob este campo, defina os fatores de risco. Pode escolher quais as famílias de risco que pretende considerar ao calcular a classificação de risco. No lado direito da linha, pode utilizar o botão Ativar/Desativar para ativar e desativar os diversos riscos. Além disso, para obter uma maior granularidade, pode escolher a atividade na qual ativar cada família de risco específica.

    Os fatores de risco são os seguintes:

    • Falhas de início de sessão: os utilizadores estão a tentar iniciar sessão e falham várias vezes num curto espaço de tempo.

    • Atividade de administração: os administradores estão a utilizar as contas privilegiadas para iniciar sessão a partir de localizações invulgares ou a horas pouco comuns?

    • Contas inativas: existe subitamente atividade numa conta que não é utilizada há algum tempo?

    • Localização: existe atividade numa localização nova ou invulgar, suspeita?

    • Deslocação impossível: um utilizador está a iniciar sessão a partir de Lisboa e, dez minutos depois, inicia-a a partir de Paris?

    • Agente de dispositivo e utilizador: existe atividade num dispositivo não reconhecido ou não gerido?

    Pode utilizar estes parâmetros para definir cenários complexos, como, por exemplo, excluir o intervalo IP do seu escritório dos fatores de risco considerados para a deteção de anomalias, criar uma etiqueta “IP do escritório” específica e filtrar o intervalo nos parâmetros considerados. Para depois excluir o intervalo que criou da deteção de anomalias de atividades de administrador:

    • Em Tipo de risco, localize Atividade de administração.

    • Altere Aplicar a para Atividade Selecionada.

    • Em Filtros de atividade, defina Aplicar a como Atividade selecionada e, em Atividades que correspondem a todas as seguintes, escolha Atividade administrativa é Verdadeiro.

    • Clique no ícone + e selecione A etiqueta IP não é igual a e selecione a etiqueta de IP do escritório.

  7. Em Sensibilidade, selecione a frequência com que quer receber alertas.

    O valor da sensibilidade vai determinar quantos alertas semanais serão acionados em média para cada mil utilizadores.

    anomaly detection IPs

  8. Clique em Criar.

Políticas de proteção de dados
Para obter suporte técnico, visite a página de suporte assistido do Cloud App Security.
Os clientes Premier também podem escolher o Cloud App Security diretamente no Portal Premier.

Mostrar: