Política de deteção de anomalias

 

Aplica-se a: Microsoft Cloud App Security

Este artigo apresenta detalhes de referência sobre políticas, dando explicações para cada tipo de política e os campos que podem ser configurados para cada política.

Uma política de deteção de anomalias permite-lhe definir e configurar uma monitorização contínua da atividade do utilizador para anomalias comportamentais. As anomalias são detetadas através da análise de atividades do utilizador e da avaliação do risco das mesmas. O risco é avaliado observando mais de 30 indicadores de risco diferentes, agrupados em 6 fatores de risco. Com base nos resultados da política, os alertas de segurança são acionados.
Cada política é composta pelas seguintes partes:

  • Filtros de atividade – permitem-lhe analisar seletivamente apenas as atividades do utilizador filtradas para anomalias.

  • Fatores de risco – permitem-lhe escolher quais fatores de risco incluir durante a avaliação de riscos.

  • Sensibilidade – permite-lhe definir o número de alertas que a política deve acionar.

Filtros de atividade

Para uma lista de Filtros de Atividade, consulte Filtros de atividade.

Fatores de risco

Segue-se uma lista de fatores de risco que são considerados ao avaliar o risco da atividade do utilizador. Cada fator de risco pode ser ativado ou desativado. Para cada fator de risco existem duas opções no campo Aplicar a, que determinam se devem ou não ser incluídas ao avaliar o risco de atividade do utilizador:

  • Toda a atividade monitorizada – incluir para toda a atividade do utilizador que transmita o filtro de atividade de política.

  • Atividade selecionada – incluir para a atividade do utilizador que transmita os filtros de atividade de política e os filtros de atividade que são apresentados neste fator de risco. Quando esta opção é selecionada aparece um seletor de filtros de atividade no fator de risco, que funciona exatamente da mesma forma que o filtro de atividade de política.

Cada fator de risco quando incluído na avaliação de riscos, tem acionadores próprios que provocam um aumento no risco avaliado da atividade do utilizador:

  • Falhas de início de sessão – um número elevado de falhas de inícios de sessão ou de atividade completamente composta por falhas de início de sessão.

  • Atividade de administrador - atividade administrativa realizada por um utilizador inesperado ou efetuada a partir de um IP, ISP ou localização novos, ou não utilizada por qualquer outro utilizador na organização.

  • Contas inativas - atividade realizada por um utilizador que não esteve ativo durante muito tempo.

  • Localização - atividade realizada a partir de um IP, ISP ou localização que nunca foram utilizados por qualquer outro utilizador, nunca foram utilizados por este utilizador em particular, nunca foram utilizados de todo, ou utilizados apenas para falhas de início de sessão no passado.

  • Impossível - atividade a partir de localizações remotas dentro de um curto período de tempo.

  • Agente de dispositivo e de utilizador - atividade realizada por um utilizador a utilizar um agente de utilizador ou dispositivo que nunca foram utilizados por qualquer outro utilizador, nunca foram utilizados por este utilizador em particular, nunca foram utilizados de todo.

Sensibilidade

Existem duas formas de controlar o número de alertas acionados pela política:

  • Controlo de deslize de sensibilidade – selecione quantos alertas acionar por cada 1,000 utilizadores por semana. Os alertas serão acionados através das atividades com o risco mais elevado.

  • Limite de alerta diário – restrinja o número de alertas gerados num único dia.

Atividades diárias para proteger o seu ambiente na nuvem
Para obter suporte técnico, visite a página de suporte assistido do Cloud App Security.
Os clientes Premier também podem escolher o Cloud App Security diretamente no Portal Premier.

Mostrar: