Filtros de atividade

 

Aplica-se a: Microsoft Cloud App Security

Este artigo apresenta detalhes de referência sobre políticas, dando explicações para cada tipo de política e os campos que podem ser configurados para cada política.

Uma Política de atividade é uma política baseada em API- que lhe permite monitorizar atividades da sua organização na nuvem, tendo em conta mais de 20 filtros de metadados de ficheiros, (incluindo o tipo de dispositivo e localização). Com base nos resultados da política, podem ser geradas notificações e os utilizadores podem ser suspensos da aplicação na nuvem.
Cada política é composta pelas seguintes partes:

  • Filtros de atividade – permitem-lhe criar condições muito granulares com base nos metadados.

  • Parâmetros de correspondência de atividade – permitem-lhe definir um limiar com o número de vezes que uma atividade é repetida para corresponder à política.

  • Ações – a política oferece um conjunto de ações de governação que podem ser aplicadas automaticamente quando são detetadas violações.

Filtros de atividade

Segue-se uma lista de filtros de ficheiros que podem ser aplicados. A maioria dos filtros suportam vários valores, bem como NOT, para lhe dar uma ferramenta muito poderosa para a criação da política.

  • Atividade – procure apenas atividades específicas, por exemplo, todos os carregamentos de ficheiros, inícios de sessão a partir de um dispositivo novo e inícios de sessão falhados

  • ID da atividade - Pesquise apenas determinadas atividades pelos respetivos ID. Este filtro é muito útil quando liga o MCAS à SIEM (com o agente SIEM) e pretende continuar a investigar alertas no portal do MCAS.

  • Atividade administrativa – pesquise apenas atividades administrativas.

  • Atividade representada – pesquise apenas as atividades que tenham sido efetuadas em nome de outro utilizador.

  • Aplicação – pesquise apenas atividades de aplicações específicas.

  • Data – a data em que a atividade ocorreu. O filtro suporta datas anteriores e/posteriores, bem como o intervalo de datas.

  • Utilizador – o utilizador que executou a atividade. Para filtrar atividades sem nenhum utilizador específico, pode utilizar o operador "não está definido".

    activity ref1

  • Endereço IP – o endereço IP a partir do qual foi efetuada a atividade.

  • Categoria do IP – a categoria do endereço IP a partir do qual foi efetuada a atividade, por exemplo, todas as atividades do intervalo de endereços IP administrativos. Para mais informações sobre as categorias do IP, consulte Organizar os dados de acordo com as suas necessidades.

  • Etiqueta do IP - A etiqueta do endereço IP a partir do qual foi efetuada a atividade, por exemplo, todas as atividades de endereços IP de proxy anónimo. Para obter mais informações sobre as categorias do IP, consulte Organizar os dados de acordo com as suas necessidades.

  • Localização – o país/região a partir do qual foi efetuada a atividade.

  • ISP registado – o ISP a partir do qual foi efetuada a atividade.

    activity policy ref2

  • Tipo de dispositivo - Pesquise apenas as atividades que foram efetuadas com um tipo de dispositivo específico, por exemplo, todas as atividades de dispositivos móveis.

  • Agente do utilizador – o agente do utilizador a partir do qual a atividade foi realizada.

  • Etiqueta do agente do utilizador – etiqueta do agente-incorporada, por exemplo, todas as atividades do browser desatualizado ou sistemas operativos desatualizados.

  • Organização do utilizador – a unidade organizacional do utilizador que executou a atividade, por exemplo, todas as atividades executadas pelos utilizadores de marketing do _EMEA.

  • Grupo de Utilizadores – grupos de utilizadores específicos que são automaticamente importados pelo MCAS da aplicação na nuvem, por exemplo, todas as atividades efetuadas pelos administradores do Office 365.

  • Descrição – palavra-chave específica na descrição de atividades, por exemplo, todas as atividades que incluem a cadeia utilizador na respetiva descrição.

  • Política correspondente – procure as atividades correspondentes numa política específica que foi configurada no portal.

    Activity policy ref3

Parâmetros de correspondência de atividade

Especifique o número de repetição de atividades necessário para corresponder a política, por exemplo, definir uma política para o alertar quando um utilizador tentar iniciar sessão dez vezes sem êxito num intervalo de tempo de dois minutos.
A predefinição, Parâmetros de correspondência de atividade, gera uma correspondência para cada atividade única que cumpre todos os filtros de atividade.
Com a Atividade repetida pode definir o número de atividades repetidas, a duração do intervalo de tempo em que as atividades são contadas e ainda especificar que todas as atividades devem ser efetuadas pelo mesmo utilizador e na mesma aplicação de nuvem.

Ações

Notificações

  • Alertas – os alertas podem ser acionados no sistema e propagados por e-mail e mensagem de texto, com base no nível de gravidade.

  • Notificação de e-mail do utilizador – as mensagens de e-mail podem ser personalizadas e serão enviadas para todos os proprietários de ficheiros de violação.

  • Gestor de CC – com base na integração de diretórios do utilizador, as notificações de e-mail também podem ser enviadas para o gestor da pessoa que violou uma política.

  • Notificar os utilizadores adicionais – lista específica de endereços de e-mail que irá receber estas notificações.

Ações de governação nas aplicações

  • As ações granulares podem ser impostas por aplicação e as ações específicas podem variar consoante a terminologia da aplicação.

  • Suspender utilizador – suspender o utilizador da aplicação.

  • Revogar a palavra-passe – revogar a palavra-passe do utilizador e forçá-lo a definir uma nova palavra-passe no seu próximo início de sessão.

    activity policy ref6

Atividades diárias para proteger o seu ambiente na nuvem
Para obter suporte técnico, visite a página de suporte assistido do Cloud App Security.
Os clientes Premier também podem escolher o Cloud App Security diretamente no Portal Premier.

Mostrar: