Home Defender Microsoft Defender – Usando o Defender for Cloud Apps para bloquear aplicativos SaaS de terceiros.

Microsoft Defender – Usando o Defender for Cloud Apps para bloquear aplicativos SaaS de terceiros.

por Avatar photoJúlio César Gonçalves Vasconcelos
por Avatar photoJúlio César Gonçalves Vasconcelos 731 visualizações 6 minutos leitura

No artigo de hoje vou falar um pouco sobre o Defender for Cloud Apps (também conhecido como Microsoft Cloud Apps Security), e no que ele pode ajudar e agregar valor na segurança da sua empresa.
O Defender for Cloud Apps é uma ferramenta muito poderosa. No entanto, muitos administradores de ambiente 365 acham que é apenas mais um produto de “segurança da Microsoft”. Depois de usar o Defender for Cloud Apps, percebi que ele é uma ferramenta útil e avançada, mesmo se for adquirido como um produto autônomo.

Licenciamento

O uso do Defender for Cloud Apps requer as licenças apropriadas, como:

  • Microsoft Cloud App Security stand-alone license
  • Microsoft 365 E5 & Microsoft 365 E5 Security & Microsoft 365 E5 Compliance
  • Microsoft 365 Enterprise Mobility & Security (EMS E5)
  • Office 365 E5 (no 3rd party applications can be connected and managed with this license)
  • Microsoft 365 Education A3 & Microsoft 365 Education A5

Defender for Cloud Apps – Recursos e Funções

O Defender for Cloud Apps oferece a capacidade de monitorar e impor restrições aos principais aplicativos do Microsoft 365 (por exemplo, Exchange Online, SharePoint Online, OneDrive, Teams), bem como a alguns aplicativos de terceiros, para permitir o acesso do navegador aos aplicativos com algumas restrições para evitar possíveis vazamentos de informações e até mesmo o bloqueio total do acesso desses aplicativos.

O Defender for Cloud Apps consiste em três funções principais:
Descoberta – analise dos registros de acesso à rede capturados de diferentes fontes e geração dos relatórios sobre o uso de aplicativos em nuvem.
Monitoramento – coletar logs de auditoria/atividade por meio de conectores e fornecer informações sobre quem, quando e o que acontece nos aplicativos em nuvem compatíveis. Esse recurso requer um conector para conectar os registros ao Defender for Cloud Apps.
Aplicação – bloqueia ou aplica restrições com base em Conditional Access para impedir o acesso não autorizado a dados corporativos assim evitando vazamento de dados.

Curiosidade: A Microsoft realizou um assessment onde identificou mais de 33 mil Apps terceiros em SaaS, onde esse trabalho ira facilitar demais a vida dos administradores de ambientes 365.

ATENÇÃO: As implementações apresentadas em nossos artigos foram desenvolvidas com base em documentações oficiais e nas boas práticas recomendadas pela Microsoft. Entretanto, enfatizamos que qualquer implementação deve ser previamente testada em ambientes de homologação ou testes para garantir a segurança e a estabilidade do ambiente de produção.

Passo a passo – Hands On

E no artigo de hoje, irei ensiná-los a como ativar e usar o Defender for Cloud Apps para o bloqueio de aplicativos SaaS de terceiros em seu ambiente.

  1. Vamos acessar o portal do Microsoft Defender.
  2. Aqui, vamos ativar o Defender Cloud for Apps no portal. Para isso, no menu lateral esquerdo, desça e clique em “Settings” e, depois, em “Endpoints”.
  3. No menu “General”, teremos o submenu “Advanced Features”, onde vamos rolar até encontrarmos a feature do “Microsoft Defender for Clouds App” e vamos deixá-lo como “ON” (se estiver como off leva um tempo até aparecer no menu lateral esquerdo) .
  4. Agora, iremos criar o grupo de devices para filtrar as máquinas em que vamos aplicar o bloqueio. Na mesma página, no menu “Permissions”, clique no submenu “Device Groups“, e então clique em “Add Device Group”.
  5. Agora, em “Add device group”, vamos criar a regra para filtrar as máquinas que serão adicionadas no device group. Dê um nome para o device group em “Device Group Name“, em “Remediation Level”, selecione “Full – remediate threats automatically” e, caso queira, deixe uma descrição para o grupo e Clique em “Next” para configurarmos as variáveis em “Devices”. Em “Operator” (selecione a condição que satisfaça sua necessidade), aqui eu vou usar “Equals” e, em “Value”, irei adicionar o nome completo da minha máquina que será filtrada para o device group. Clique em “Next” para que possamos verificar se a regra funcionou em “Preview Devices”. Então, clique em “Show Preview” para visualizar a máquina. Clique em “Next” para irmos para “User Access”, onde podemos deixar sem nenhum grupo de usuários para que a política se aplique a todos os seus usuários que tiverem acesso as máquinas que vão estar no device group (caso queira criar regras granulares, vocês podem adicionar o grupo com seus usuários específicos para a regra). Clique em “Submit” e, na sequência, clique em “Apply changes” para finalizarmos a configuração e a criação do device group
  6. Agora, vamos voltar em “Settings” e selecionar “Cloud Apps” e, depois, “App Tags”. Selecione “Scoped profiles”, pois é onde vamos configurar para que o device group seja exibido para o Defender for Cloud Apps quando formos criar o bloqueio dos Apps.
  7. Clique em “+Add profile” e, na tela que se abrir, vamos preencher um “Profile Name”. Em “Scoped entities”, vamos deixar como “Include” e, em “Select device groups”, vamos selecionar o device group que criamos anteriormente e clicar em “Save”.

Importante: Você pode promover ou rebaixar a classificação de um grupo de dispositivos para que ele tenha prioridade maior ou menor durante a correspondência. Um grupo de dispositivos com classificação 1 é o grupo com a classificação mais alta. Quando um dispositivo é combinado com mais de um grupo, ele é adicionado apenas ao grupo com a classificação mais alta. Você também pode editar e excluir grupos.

Bloqueio de Apps

Agora nessa etapa vamos selecionar os Apps SaaS de terceiros que iremos bloquear.

  1. No menu lateral esquerdo, vamos descer e selecionar “Cloud Apps” e depois selecionar “Cloud app catalog”.
  2. Em “Cloud app catalog”, na janela que se abriu, vamos usar o “Search for apps” para procurarmos os Apps SaaS que iremos bloquear. Eu vou selecionar um app muito conhecido, que será o Dropbox.
    Para cada App que selecionarmos, vamos ter que selecionar a opção “Tag as Unsanctioned”, onde irá abrir uma tela para selecionarmos o profile que criamos lá em “Tag Apps”, e deverá ficar com o ícone na cor vermelha após configurado.

Agora só temos que esperar a regra replicar, no qual pode levar algumas horas (aqui levou de 40 min a 1 hora), para podermos ver que o aplicativo SaaS Dropbox estará bloqueado.

Podemos verificar também a quantidade de URL´s que, através de um único clique, foi incluído na regra de bloqueio. Esse trabalho do assessment da Microsoft ficou muito bom, pois você que usa uma infraestrutura full cloud, já se imaginou tendo que fazer a identificação e bloqueio de URL´s uma a uma?Podemos verificar que, para o app SaaS da Dropbox, foram bloqueados 21 URL´s

Importante: O Denfeder for Cloud Apps não faz bloqueio de Apps instalados, para esse tipo de aplicativos que não exigem UAC para serem instalados, vocês podem estar usando o App Control for Business que esta integrado com o Windows Defender Application Control dentro do portal do Intune para realizar o bloqueio desses Apps. Estarei escrevendo como utilizar esse recurso em um proximo artigo!

E chegamos ao final de mais uma jornada do conhecimento, onde pudemos aprender juntos como bloquear aplicativos em SaaS de terceiros utilizando o Defender for Cloud Apps.

Me diga nos comentários: vocês ja conheciam o Defender for Cloud Apps da Microsoft e como era seu funcionamento? Compartilhe sua experiencia, faça você também parte desta jornada. ☁️

Avatar photo

Especialista em infraestrutura com 16 anos de experiência, sou especializado em administração, gerenciamento e segurança de ambientes corporativos usando um amplo espectro de tecnologias da Microsoft e de virtualização. Minha experiência abrange o Microsoft Azure, Intune, EntraID, Conditional Access, Windows Autopilot, SharePoint Online, Defender for Endpoint e o Microsoft 365 Admin Center. Sou proficiente no uso de scripts PowerShell para automatizar tarefas administrativas complexas, simplificar implantações e aplicar políticas de segurança, garantindo o gerenciamento consistente e eficiente de ambientes corporativos. Além disso, tenho ampla experiência com o System Center Configuration Manager (SCCM) e VMware para virtualizar ambientes locais usando tecnologias Microsoft, garantindo infraestruturas de TI robustas, dimensionáveis e seguras.

Você também pode gostar

Defender for Endpoint – Utilizando o Live Response...

Por que os ataques contra usuários do Microsoft...

Zero Trust na Prática: Aumentando a Segurança da...

Veja como o Identity Protection pode melhorar a...

Como desativar testes e compras de autoatendimento no...

Deixe um comentário

Salve meu nome, e-mail e site neste navegador para a próxima vez que eu comentar.

Este site utiliza o Akismet para reduzir spam. Saiba como seus dados em comentários são processados.

Olá! Este site utiliza cookies para melhorar sua experiência de navegação, personalizar conteúdo e anúncios, fornecer funcionalidades de redes sociais e analisar nosso tráfego. Ao continuar a usar nosso site, você concorda com o uso de cookies. Aceitar