Investigar

 

Aplica-se a: Microsoft Cloud App Security

Depois de o Cloud App Security ser executado no seu ambiente na nuvem, vai precisar de uma fase de aprendizagem e investigação para saber utilizar das ferramentas do Cloud App Security para obter um conhecimento mais aprofundado sobre o que se passa no seu ambiente na nuvem. Depois, com base no seu ambiente particular e como este é utilizado, pode identificar os requisitos necessários para proteger a sua organização contra riscos.

Esta secção descreve como fazer investigações aprofundadas para obter um melhor conhecimento sobre o que se passa no seu ambiente na nuvem.

Os dashboards seguintes estão disponíveis para o ajudar a investigar o que se passa com as aplicações no seu ambiente na nuvem:

DashboardDescrição
Dashboard principalDescrição geral do estado da nuvem (utilizadores, ficheiros, atividades), bem como as ações necessárias (alertas, violações de atividade e violações de conteúdo)
Dashboard de aplicações - geralDescrição geral da utilização de aplicações por localização, gráficos de utilização por número de utilizadores
Dashboard de aplicações – estatísticasAnálise dos dados armazenados na aplicação, discriminado por tipos de ficheiros e por nível de partilha de ficheiros
Dashboard de aplicações – ficheirosDesagregar para ficheiros, capacidade de filtrar de acordo com o proprietário, o nível de partilha, etc., bem como realizar ações de governação ( como colocar em quarentena)
Dashboard de aplicações – aplicações de terceirosDesagregar para aplicações de terceiros atualmente implementadas, como o Google Apps, e definir políticas para as mesmas
Dashboard do utilizadorUma descrição geral completa do perfil de utilizador na nuvem, incluindo grupos, localizações, atividades recentes, alertas relacionados e browsers utilizados

O primeiro passo para compreender a sua nuvem é aprovar aplicações. Depois de aprovar uma aplicação, pode filtrar por aplicações que não estão aprovadas e iniciar a migração para aplicações aprovadas do mesmo tipo.

  • Na consola do Cloud App Security, clique em detetar e em Dashboard de deteção.

  • Na lista de aplicações detetadas, na linha em que a aplicação que quer aprovar aparece, clique nos três pontos no final da linha Sanction three dots e selecione Marcar como aprovada.

    mark as sanctioned

System_CAPS_ICON_note.jpg Nota


Em cada aplicação que quer monitorizar com a integração de APIs do Cloud App Security, recomendamos a criação de uma conta de serviço administrativa dedicada ao Cloud App Security.

  1. No portal do Cloud App Security, aceda a Investigar, procure o Registo de atividades e filtre por uma aplicação específica. Verifique o seguinte:

    • Quem acede ao seu ambiente na nuvem?

    • A partir de que intervalos IP?

    • O que é a atividade de administrador?

    • A partir de que localizações é que os administradores se ligam?

    • Existem dispositivos desatualizados que se ligam ao seu ambiente na nuvem?

    • As falhas nos inícios de sessão veem de endereços IP esperados?

  2. Aceda a Investigar, a Ficheiros e verifique o seguinte:

    • Quantos ficheiros são partilhados publicamente para que qualquer utilizador possa aceder aos mesmos sem uma ligação?

    • Com que parceiros partilha ficheiros? (partilha de saída)

    • Existem ficheiros com nomes confidenciais?

    • Algum dos ficheiros é partilhado com a conta pessoal de um utilizador?

  3. Aceda a Investigar, a Contas e verifique o seguinte:

    • Existem contas que não estão ativas num determinado serviço há muito tempo, talvez possa revogar a licença desse utilizador para esse serviço?

    • Quer saber que os utilizadores têm uma função específica?

    • Foi despedido um empregado, mas este ainda tem acesso a uma aplicação e pode utilizar esse acesso para roubar informações?

    • Quer revogar as permissões de um utilizador para uma aplicação específica ou exigir que um determinado utilizador siga a autenticação multifator?-

  4. Aceda a Investigar e, em seguida, selecione uma aplicação. É encaminhado para o Dashboard de aplicações, que lhe dá informações e estatísticas para que possa utilizar os separadores na parte superior para verificar o seguinte:

    investigate app

    • Que tipos de dispositivos é que os utilizadores utilizam para se ligarem à aplicação?

    • Que tipos de ficheiros estão a guardar na nuvem?

    • Que atividade está a ocorrer na aplicação neste momento?

    • Existem aplicações de terceiros ligadas ao seu ambiente?

    • Está familiarizado com essas aplicações?

    • Têm autorização para o nível de acesso para o qual têm permissão?

    • Quantos utilizadores as implementaram? Até que ponto são estas aplicações comuns, no geral?

  5. Aceda ao Dashboard da Cloud Discovery e verifique o seguinte:

    • Que aplicações em nuvem estão a ser utilizadas, até que ponto e por quem?

    • Com que fins são utilizadas?

    • Que quantidade de dados estão a ser carregados para estas aplicações em nuvem?

    • Em que categorias tem aplicações em nuvem aprovadas, mas, mesmo assim, os utilizadores utilizam soluções alternativas?

    • Relativamente à solução alternativa, existem aplicações em nuvem que queira reprovar na sua organização?

    • São utilizadas aplicações em nuvem, mas não em conformidade com a política da sua organização?

Quando começa a tentar ganhar controlo sobre o seu ambiente na nuvem, cria certos pressupostos com base no que espera encontrar - mas ainda não conhece a sua nuvem verdadeiramente. E com base nesses pressupostos, cria políticas. Depois, quando o Cloud App Security é executado no seu ambiente na nuvem, pode utilizar os relatórios incorporados (bem como os relatórios personalizados) para ver o que está realmente a acontecer na nuvem e, com base nisso, ajustar as políticas novamente para incluir exceções, de modo a que, a certa altura, a política detete muito poucos falsos positivos.-

Os relatórios incorporados oferecem-lhe vistas agregadas para investigação.-

Para trabalhar com Relatórios Incorporados, aceda a Investigar e a Relatórios Incorporados.-- Para obter mais informações sobre os vários relatórios incorporados, veja a referência a relatórios incorporados.-

Imaginemos que parte do princípio de que não tem acesso ao seu ambiente na nuvem através de endereços IP arriscados (por exemplo, proxies anónimos e Tor). Contudo, para ter a certeza, cria uma política de IP Duvidoso:

  1. No portal, aceda a Controlo e selecione Políticas.

  2. No Centro de políticas, clique no separador Modelos.

  3. No final da linha Início de sessão do utilizador a partir de um endereço IP não categorizado, clique em + para criar uma nova política.-

  4. Altere o nome da política para que consiga identificá-la.

  5. Em Filtros de atividade, clique em + para adicionar um filtro. Desloque para baixo para Etiqueta IP e, em seguida, selecione Anónimo e Tor.

    example policy risky ips

Agora que a política está pronta, fica surpreendido por ver que recebe um alerta a dizer que a política foi violada.

  1. Aceda à página Alertas e veja o alerta sobre a violação da política.

  2. Se vir que se parece com uma violação verdadeira, é importante conter o risco ou remediar.

    Para conter o risco, pode enviar uma notificação ao utilizador a perguntar se a violação foi intencional e se ele estava ciente.

    Também pode ver o alerta em detalhe e suspender o utilizador, até descobrir o que tem de ser feito.

  3. Se se tratar de um evento permitido e que, provavelmente, não se vai repetir, pode ignorar o alerta.

    Se for permitido e esperar que se vá repetir, pode modificar a política para evitar que este tipo de evento seja considerado como violação no futuro.

Controlar
Para obter suporte técnico, visite a página de suporte assistido do Cloud App Security.
Os clientes Premier também podem escolher o Cloud App Security diretamente no Portal Premier.

Mostrar: