Partilhar via


Criar políticas de atividade Microsoft Defender for Cloud Apps

As políticas de atividade permitem-lhe impor uma vasta gama de processos automatizados com as APIs do fornecedor de aplicações. Estas políticas permitem-lhe monitorizar atividades específicas realizadas por vários utilizadores ou seguir taxas inesperadamente elevadas de um determinado tipo de atividade.

Depois de definir uma política de deteção de atividade, esta começa a gerar alertas - os alertas só são gerados em atividades que ocorrem depois de criar a política.

Nota

  • As políticas que acionam mais de 200 000 correspondências por dia ou 100 000 correspondências por 3 horas podem ser desativadas automaticamente. Pode tentar refinar políticas ao adicionar filtros adicionais ou, se estiver a utilizar políticas para fins de relatório, considere guardá-las como consultas .
  • A configuração de uma nova política para a implementação pode demorar até 15 minutos.

Alertas personalizados

As políticas de atividade permitem o envio de alertas personalizados ou ações executadas quando a atividade do utilizador é detetada. Por exemplo, quer saber sempre:

  • Um utilizador tenta iniciar sessão e falha 70 vezes num minuto
  • Um utilizador transfere 7000 ficheiros
  • Um utilizador tem sessão iniciada a partir de um país/região desconhecido

Pode definir alertas de atividade para serem enviados para si ou para o utilizador quando estes eventos ocorrem. Pode até mesmo suspender o utilizador até terminar de investigar o que aconteceu.

Para criar uma nova política de atividade, siga este procedimento:

  1. No portal do Microsoft Defender, em Aplicações na Cloud, aceda a Políticas ->Gestão de políticas. Em seguida, selecione o separador Deteções de ameaças .

  2. Clique em Criar política e selecione Política de atividade.

    Criar uma política de Deteção de Ameaças.

  3. Atribua um nome e uma descrição à sua política. Se quiser, pode baseá-la num modelo. Para obter mais informações sobre modelos de política, consulte Controlar aplicações na cloud com políticas.

  4. Para definir que ações ou outras métricas irão acionar esta política, trabalhe com os filtros atividade.

    Para garantir que só inclui resultados em que o campo de filtro especificado tem um valor, recomendamos que adicione novamente o mesmo campo com o teste is set . Por exemplo, quando a filtragem por Localizaçãonão é igual a uma lista especificada de países/regiões, também é definido um filtro para Localização. Também pode pré-visualizar os resultados do filtro ao selecionar Editar e pré-visualizar resultados. Por exemplo:

    Captura de ecrã a mostrar as definições de filtro, a mostrar que o campo de localização está definido.

    Quando um filtro está definido como não é igual e o atributo não existe no evento, o evento não será filtrado. Por exemplo, filtrar na Etiqueta de Dispositivo não é igual Microsoft Entra associado híbrido não filtra eventos que não contenham Etiqueta de dispositivo, mesmo que o dispositivo esteja Microsoft Entra associado.

    No caso de um utilizador convidado, podem existir casos em que o filtro Utilizador do Grupo não reconhece a conta pelo respetivo domínio. Para se certificar de que todos os utilizadores convidados estão incluídos, utilize os Utilizadores externos como o grupo, se corresponder às suas necessidades para a política.

  5. Em Criar filtros para a política, selecione quando será acionada uma violação de política. Opte por acionar quando uma Atividade única corresponde aos filtros ou apenas quando for detetado um número especificado de Atividades repetidas .

    • Se escolher Atividade repetida, pode definir Numa única aplicação. Esta definição acionará uma correspondência de política apenas quando as atividades repetidas ocorrerem na mesma aplicação. Por exemplo, cinco transferências em 30 minutos do Box acionam uma correspondência de política.
  6. Configure as Ações que devem ser executadas quando é encontrada uma correspondência.

Veja estes exemplos:

  • Vários inícios de sessão falhados

    Pode definir a política para receber um alerta quando ocorrer um grande número de inícios de sessão falhados num curto período de tempo. Para configurar este tipo de política, escolha o filtro de atividade adequado na página Nova Política de Atividade .

    Abaixo do campo Filtros de atividade , configure os parâmetros para os quais o alerta será acionado.

    Exemplo de política para várias tentativas de início de sessão falhadas.

  • Taxa de transferência elevada

    Pode definir a política para receber um alerta quando existir um nível inesperado ou incaracterístico de atividade de transferência. Para configurar este tipo de política, em Parâmetros de taxa , selecione os parâmetros para acionar o alerta.

    exemplo de taxa de transferência elevada.

Referência da política de atividade

Esta secção tem detalhes de referência sobre políticas, explicações para cada tipo de política e os campos que podem ser configurados para cada política.

Uma Política de atividade é uma política baseada em API que lhe permite monitorizar as atividades da sua organização na cloud. A política tem em conta mais de 20 filtros de metadados de ficheiros, incluindo o tipo de dispositivo e a localização. Com base nos resultados da política, podem ser geradas notificações e os utilizadores podem ser suspensos da aplicação na cloud. Cada política é composta pelas seguintes partes:

  • Filtros de atividade – permite-lhe criar condições granulares com base nos metadados.

  • Parâmetros de correspondência de atividade – permite-lhe definir um limiar para o número de vezes que uma atividade se repete para ser considerada para corresponder à política. Especifique o número de atividades repetidas necessárias para corresponder à política. Por exemplo, defina uma política para alertar quando um utilizador tiver 10 tentativas de início de sessão sem êxito num intervalo de tempo de 2 minutos. Por predefinição, os parâmetros de correspondência de atividade geram uma correspondência para cada atividade que cumpre todos os filtros de atividade.

    • Ao utilizar a atividade Repetida , pode definir o número de atividades repetidas, a duração do período de tempo no qual as atividades são contadas. Também pode especificar que todas as atividades devem ser executadas pelo mesmo utilizador e na mesma aplicação na cloud.
  • Ações – a política fornece um conjunto de ações de governação que podem ser aplicadas automaticamente quando são detetadas violações.

Passos seguintes

Se tiver algum problema, estamos aqui para ajudar. Para obter assistência ou suporte para o problema do produto, abra um pedido de suporte.