Partilhar via


Como o Defender for Cloud Apps ajuda a proteger seu ambiente Microsoft 365

Como um grande pacote de produtividade que fornece ferramentas de armazenamento, colaboração, BI e CRM na nuvem, o Microsoft 365 permite que seus usuários compartilhem seus documentos em toda a sua organização e parceiros de forma simplificada e eficiente. Usar o Microsoft 365 pode expor seus dados confidenciais não apenas internamente, mas também para colaboradores externos ou, pior ainda, disponibilizá-los publicamente por meio de um link compartilhado. Tais incidentes podem ocorrer devido a um agente mal-intencionado ou por um funcionário inconsciente. O Microsoft 365 também fornece um grande ecossistema de aplicativos de terceiros para ajudar a aumentar a produtividade. O uso desses aplicativos pode expor sua organização ao risco de aplicativos mal-intencionados ou ao uso de aplicativos com permissões excessivas.

Conectar o Microsoft 365 ao Defender for Cloud Apps oferece informações aprimoradas sobre as atividades de seus usuários, fornece deteção de ameaças usando deteções de anomalias baseadas em aprendizado de máquina, deteções de proteção de informações (como a deteção de compartilhamento de informações externas), permite controles de correção automatizados e deteta ameaças de aplicativos de terceiros habilitados em sua organização.

O Defender for Cloud Apps integra-se diretamente com os logs de auditoria do Microsoft 365 e fornece proteção para todos os serviços suportados. Para obter uma lista de serviços suportados, consulte Serviços do Microsoft 365 que suportam auditoria.

Use este conector de aplicativo para acessar os recursos do SaaS Security Posture Management (SSPM), por meio de controles de segurança refletidos no Microsoft Secure Score. Mais informações.

Melhorias na análise de ficheiros para o Microsoft 365

O Defender for Cloud Apps adicionou novas melhorias na análise de ficheiros para o SharePoint e o OneDrive:

  • Velocidade de verificação quase em tempo real mais rápida para arquivos no SharePoint e no OneDrive.

  • Melhor identificação para o nível de acesso de um arquivo no SharePoint: o nível de acesso ao arquivo no SharePoint será marcado por padrão como Interno, e não como Privado (já que todos os arquivos no SharePoint são acessíveis pelo proprietário do site e não apenas pelo proprietário do arquivo).

    Nota

    Essa alteração pode afetar suas políticas de arquivo (se uma política de arquivo estiver procurando por arquivos internos ou privados no SharePoint).

Principais ameaças

  • Contas comprometidas e ameaças internas
  • Fuga de dados
  • Insuficiente sensibilização para a segurança
  • Aplicações de terceiros maliciosas
  • Malware
  • Phishing
  • Ransomware
  • Não gerenciado traga seu próprio dispositivo (BYOD)

Como o Defender for Cloud Apps ajuda a proteger seu ambiente

Controle o Microsoft 365 com políticas e modelos de política internos

Você pode usar os seguintes modelos de política internos para detetar e notificá-lo sobre ameaças potenciais:

Type Nome
Política de deteção de anomalias integrada Atividade de endereços IP anónimos
Atividade de país pouco frequente
Atividade de endereços IP suspeitos
Viagens impossíveis
Atividade realizada pelo usuário encerrado (requer ID do Microsoft Entra como IdP)
Deteção de malware
Várias tentativas de login com falha
Deteção de ransomware
Atividade suspeita de exclusão de e-mail (Visualização)
Reencaminhamento suspeito da caixa de entrada
Atividades incomuns de exclusão de arquivos
Atividades incomuns de compartilhamento de arquivos
Atividades incomuns de download de vários arquivos
Modelo de política de atividade Início de sessão de um endereço IP duvidoso
Transferência em volume efetuada por um só utilizador
Potencial atividade de ransomware
Alteração do nível de acesso (Equipas)
Usuário externo adicionado (Teams)
Eliminação em massa (Teams)
Modelo de política de arquivo Detetar um arquivo compartilhado com um domínio não autorizado
Detetar um arquivo compartilhado com endereços de e-mail pessoais
Detetar arquivos com PII/PCI/PHI
Política de deteção de anomalias do aplicativo OAuth Nome enganoso do aplicativo OAuth
Nome de editor enganoso para um aplicativo OAuth
Consentimento mal-intencionado do aplicativo OAuth

Para obter mais informações sobre como criar políticas, consulte Criar uma política.

Automatize os controles de governança

Além de monitorar ameaças potenciais, você pode aplicar e automatizar as seguintes ações de governança do Microsoft 365 para remediar ameaças detetadas:

Type Ação
Governação de dados OneDrive:
- Herdar permissões de pasta pai
- Tornar o arquivo/pasta privado
- Coloque o arquivo / pasta em quarentena admin
- Colocar arquivo / pasta em quarentena do usuário
- Lixeira arquivo/pasta
- Remover um colaborador específico
- Remover colaboradores externos em arquivo/pasta
- Aplicar o rótulo de sensibilidade da Proteção de Informações do Microsoft Purview
- Remover o rótulo de sensibilidade do Microsoft Purview Information Protection
SharePoint:
- Herdar permissões de pasta pai
- Tornar o arquivo/pasta privado
- Coloque o arquivo / pasta em quarentena admin
- Colocar arquivo / pasta em quarentena do usuário
- Coloque o arquivo / pasta na quarentena do usuário e adicione permissões de proprietário
- Lixeira arquivo/pasta
- Remover colaboradores externos em arquivo/pasta
- Remover um colaborador específico
- Aplicar o rótulo de sensibilidade da Proteção de Informações do Microsoft Purview
- Remover o rótulo de sensibilidade do Microsoft Purview Information Protection
Governação do utilizador - Notificar o usuário em alerta (via Microsoft Entra ID)
- Exigir que o usuário entre novamente (via Microsoft Entra ID)
- Suspender usuário (via Microsoft Entra ID)
Governança do aplicativo OAuth - Revogar a permissão do aplicativo OAuth

Para obter mais informações sobre como remediar ameaças de aplicativos, consulte Governando aplicativos conectados.

Proteja o Microsoft 365 em tempo real

Reveja as nossas melhores práticas para proteger e colaborar com utilizadores externos e bloquear e proteger a transferência de dados confidenciais para dispositivos não geridos ou arriscados.

Integração do Defender for Cloud Apps com o Microsoft 365

O Defender for Cloud Apps suporta a plataforma dedicada Microsoft 365 herdada, bem como as ofertas mais recentes de serviços Microsoft 365, comumente referidas como a família de versões vNext do Microsoft 365.

Em alguns casos, uma versão de serviço vNext difere ligeiramente nos níveis administrativo e de gerenciamento da oferta padrão do Microsoft 365.

Registo de auditoria

O Defender for Cloud Apps integra-se diretamente com os logs de auditoria do Microsoft 365 e recebe todos os eventos auditados de todos os serviços suportados. Para obter uma lista de serviços suportados, consulte Serviços do Microsoft 365 que suportam auditoria.

  • O log de auditoria do administrador do Exchange, que é habilitado por padrão no Microsoft 365, registra um evento no log de auditoria do Microsoft 365 quando um administrador (ou um usuário ao qual foram atribuídos privilégios administrativos) faz uma alteração em sua organização do Exchange Online. As alterações efetuadas através do centro de administração do Exchange ou através da execução de um cmdlet no Windows PowerShell são registadas no registo de auditoria de administrador do Exchange. Para obter mais informações detalhadas sobre o registo de auditoria de administrador no Exchange, veja Registo de auditoria de administrador.

  • Os eventos do Exchange, Power BI e Teams só aparecerão depois que as atividades desses serviços forem detetadas no portal.

  • Implantações multigeográficas são suportadas apenas para o OneDrive

Integração com o Microsoft Entra

  • Se o ID do Microsoft Entra estiver definido para sincronizar automaticamente com os usuários no ambiente local do Ative Directory, as configurações no ambiente local substituem as configurações do Microsoft Entra e o uso da ação Suspender governança do usuário será revertido.

  • Para atividades de entrada do Microsoft Entra, o Defender for Cloud Apps exibe apenas atividades de entrada interativas e atividades de entrada de protocolos herdados, como o ActiveSync. As atividades de entrada não interativas podem ser exibidas no log de auditoria do Microsoft Entra.

  • Se os aplicativos do Office estiverem habilitados, os grupos que fazem parte do Microsoft 365 também serão importados para o Defender for Cloud Apps dos aplicativos específicos do Office, por exemplo, se o SharePoint estiver habilitado, os grupos do Microsoft 365 também serão importados como grupos do SharePoint.

Suporte à quarentena

  • No SharePoint e no OneDrive, o Defender for Cloud Apps oferece suporte à quarentena do usuário apenas para arquivos em bibliotecas de Documentos Compartilhados (SharePoint Online) e arquivos na biblioteca de Documentos (OneDrive for Business).

  • No SharePoint, o Defender for Cloud Apps suporta tarefas de quarentena apenas para arquivos com Documentos Compartilhados no caminho em inglês.

Conectar o Microsoft 365 ao Microsoft Defender for Cloud Apps

Esta seção fornece instruções para conectar o Microsoft Defender for Cloud Apps à sua conta existente do Microsoft 365 usando a API do conector de aplicativo. Esta ligação dá-lhe visibilidade e controlo sobre a utilização do Microsoft 365. Para obter informações sobre como o Defender for Cloud Apps protege o Microsoft 365, consulte Proteger o Microsoft 365.

Use este conector de aplicativo para acessar os recursos do SaaS Security Posture Management (SSPM), por meio de controles de segurança refletidos no Microsoft Secure Score. Mais informações.

Pré-requisitos:

  • Você deve ter pelo menos uma licença atribuída do Microsoft 365 para conectar o Microsoft 365 ao Defender for Cloud Apps.

  • Para habilitar o monitoramento das atividades do Microsoft 365 no Defender for Cloud Apps, é necessário habilitar a auditoria no Microsoft Purview.

  • O log de auditoria da Caixa de Correio do Exchange deve ser ativado para cada caixa de correio do usuário antes que a atividade do usuário no Exchange Online seja registrada, consulte Atividades de Caixa de Correio do Exchange.

  • Você deve habilitar a auditoria no Power BI para obter os logs de lá. Assim que a auditoria estiver ativada, o Defender for Cloud Apps começa a obter os logs (com um atraso de 24 a 72 horas).

  • Você deve habilitar a auditoria no Dynamics 365 para obter os logs de lá. Assim que a auditoria estiver ativada, o Defender for Cloud Apps começa a obter os logs (com um atraso de 24 a 72 horas).

Para conectar o Microsoft 365 ao Defender for Cloud Apps:

  1. No Portal do Microsoft Defender, selecione Configurações. Em seguida, escolha Cloud Apps. Em Aplicações ligadas, selecione Conectores de Aplicações.

  2. Na página Conectores de aplicativos, selecione +Conectar um aplicativo e selecione Microsoft 365.

    Conecte a opção de menu do O365.

  3. Na página Selecionar componentes do Microsoft 365, selecione as opções necessárias e selecione Conectar.

    Nota

    • Para melhor proteção, recomendamos selecionar todos os componentes do Microsoft 365.
    • O componente de arquivos do Azure AD requer o componente de atividades do Azure AD e o monitoramento de arquivos do Defender for Cloud Apps (Settings>Cloud Apps>Files>Enable file monitoring).

    conecte componentes do O365.

  4. Na página Siga o link , selecione Conectar o Microsoft 365.

  5. Depois que o Microsoft 365 for exibido como conectado com êxito, selecione Concluído.

  6. No Portal do Microsoft Defender, selecione Configurações. Em seguida, escolha Cloud Apps. Em Aplicações ligadas, selecione Conectores de Aplicações. Verifique se o status do App Connector conectado é Conectado.

Os dados do SaaS Security Posture Management (SSPM) são mostrados no Portal do Microsoft Defender na página Secure Score . Para obter mais informações, consulte Gerenciamento de postura de segurança para aplicativos SaaS.

Nota

Depois de conectar o Microsoft 365, você verá dados de uma semana atrás, incluindo quaisquer aplicativos de terceiros conectados ao Microsoft 365 que estejam recebendo APIs. Para aplicativos de terceiros que não estavam recebendo APIs antes da conexão, você vê eventos a partir do momento em que conecta o Microsoft 365 porque o Defender for Cloud Apps ativa todas as APIs que estavam desativadas por padrão.

Se você tiver problemas para conectar o aplicativo, consulte Solução de problemas de conectores de aplicativos.

Próximos passos

Se tiver algum problema, estamos aqui para ajudar. Para obter assistência ou suporte para o problema do seu produto, abra um ticket de suporte.