Obtención de análisis de comportamiento y detección de anomalíasGet behavioral analytics and anomaly detection

Se aplica a: Microsoft Cloud App SecurityApplies to: Microsoft Cloud App Security

Importante

Los nombres de productos de protección contra amenazas de Microsoft están cambiando.Threat protection product names from Microsoft are changing. Obtenga más información sobre esta y otras actualizaciones en este artículo.Read more about this and other updates here. Vamos a actualizar los nombres de los productos y en los documentos en un futuro próximo.We'll be updating names in products and in the docs in the near future.

Las directivas de detección de anomalías de Microsoft Cloud App Security proporcionan análisis de comportamiento de entidad y usuario (UEBA) y aprendizaje automático (ML) listos para usar, de modo que esté listo desde el principio para ejecutar la detección de amenazas avanzada en su entorno en la nube.Microsoft Cloud App Security's anomaly detection policies provide out-of-the-box user and entity behavioral analytics (UEBA) and machine learning (ML) so that you are ready from the outset to run advanced threat detection across your cloud environment. Dado que se habilitan automáticamente, las nuevas directivas de detección de anomalías inician inmediatamente el proceso de detección y la intercalación de los resultados, dirigidas a numerosas anomalías de comportamiento entre los usuarios y los equipos y dispositivos conectados a la red.Because they're automatically enabled, the new anomaly detection policies immediately start the process of detecting and collating results, targeting numerous behavioral anomalies across your users and the machines and devices connected to your network. Además, las directivas exponen más datos del motor de detección de Cloud App Security, para ayudarle a acelerar el proceso de investigación y a contener amenazas en curso.In addition, the policies expose more data from the Cloud App Security detection engine, to help you speed up the investigation process and contain ongoing threats.

Las directivas de detección de anomalías se habilitan automáticamente, pero Cloud App Security tiene un período de aprendizaje inicial de siete días durante el cual no todas las alertas de detección de anomalías se generan.The anomaly detection policies are automatically enabled, but Cloud App Security has an initial learning period of seven days during which not all anomaly detection alerts are raised. Después, a medida que se recopilan datos de los conectores de API configurados, cada sesión se compara con la actividad, cuando los usuarios estaban activos, las direcciones IP, los dispositivos, etc. detectados durante el último mes y la puntuación de riesgo de estas actividades.After that, as data is collected from your configured API connectors, each session is compared to the activity, when users were active, IP addresses, devices, etc. detected over the past month and the risk score of these activities. Tenga en cuenta que los datos pueden tardar varias horas en estar disponibles desde los conectores de API.Be aware that it may take several hours for data to be available from API connectors. Estas detecciones forman parte del motor de detección de anomalías heurísticos que genera perfiles de su entorno y desencadena alertas con respecto a una línea base que se aprendió en la actividad de su organización.These detections are part of the heuristic anomaly detection engine that profiles your environment and triggers alerts with respect to a baseline that was learned on your organization's activity. Estas detecciones también usan algoritmos de aprendizaje automático diseñados para generar perfiles de los usuarios y el patrón de inicio de sesión para reducir los falsos positivos.These detections also use machine learning algorithms designed to profile the users and sign in pattern to reduce false positives.

Las anomalías se detectan mediante el examen de la actividad del usuario.Anomalies are detected by scanning user activity. El riesgo se evalúa mediante el análisis de más de 30 indicadores de riesgo distintos, agrupados por factores de riesgo, que son los siguientes:The risk is evaluated by looking at over 30 different risk indicators, grouped into risk factors, as follows:

  • Dirección IP de riesgoRisky IP address
  • Errores de inicio de sesiónLogin failures
  • Actividad administrativaAdmin activity
  • Cuentas inactivasInactive accounts
  • LocationLocation
  • Viaje imposibleImpossible travel
  • Agente de usuario y dispositivoDevice and user agent
  • Tasa de actividadActivity rate

Basándose en los resultados de la directiva, se activan alertas de seguridad.Based on the policy results, security alerts are triggered. Cloud App Security examina todas las sesiones de los usuarios en la nube y le alerta cuando ocurre algo que es diferente a la línea base de la organización o de la actividad normal del usuario.Cloud App Security looks at every user session on your cloud and alerts you when something happens that is different from the baseline of your organization or from the user's regular activity.

Además de las alertas nativas de Cloud App Security, también obtendrá las siguientes alertas de detección basadas en la información recibida de Azure Active Directory (AD) Identity Protection:In addition to native Cloud App Security alerts, you will also get the following detection alerts based on information received from Azure Active Directory (AD) Identity Protection:

Estas directivas aparecerán en la página directivas de Cloud App Security y se pueden habilitar o deshabilitar.These policies will appear on the Cloud App Security policies page and can be enabled or disabled.

Directivas de detección de anomalíasAnomaly detection policies

Puede ver las directivas de detección de anomalías en el portal haciendo clic en Control y luego en Directivas.You can see the anomaly detection policies in the portal by clicking on Control then Policies. Seleccione Directiva de detección de anomalías para el tipo de directiva.Select Anomaly detection policy for the policy type.

nuevas directivas de detección de anomalías

Están disponibles las directivas de detección de anomalías siguientes:The following anomaly detection policies are available:

Viaje imposibleImpossible travel

  • Esta detección identifica dos actividades de usuario (en una o varias sesiones) que se originan desde ubicaciones geográficamente distantes dentro de un período de tiempo menor que el tiempo que habría tardado el usuario para viajar de la primera ubicación a la segunda, lo que indica que otro usuario está usando las mismas credenciales.This detection identifies two user activities (is a single or multiple sessions) originating from geographically distant locations within a time period shorter than the time it would have taken the user to travel from the first location to the second, indicating that a different user is using the same credentials. Esta detección usa un algoritmo de aprendizaje automático que omite falsos positivos obvios que contribuyan a la condición de viaje imposible, como las redes privadas virtuales y las ubicaciones que otros usuarios de la organización usen con frecuencia.This detection uses a machine learning algorithm that ignores obvious "false positives" contributing to the impossible travel condition, such as VPNs and locations regularly used by other users in the organization. La detección tiene un período de aprendizaje inicial de siete días durante el cual aprende el patrón de actividad de un usuario nuevo.The detection has an initial learning period of seven days during which it learns a new user's activity pattern. La detección de viaje imposible identifica actividad inusual e imposible de usuario entre dos ubicaciones.The impossible travel detection identifies unusual and impossible user activity between two locations. La actividad debe ser lo suficientemente inusual como para ser considerada un indicador de peligro y digna de una alerta.The activity should be unusual enough to be considered an indicator of compromise and worthy of an alert. Para solucionar este problema, la lógica de detección incluye diferentes niveles de supresión para abordar escenarios que pueden desencadenar falsos positivos, como las actividades de VPN.To make this work, the detection logic includes different levels of suppression to address scenarios that can trigger false positive, such as VPN activities. El control deslizante de sensibilidad permite cambiar el algoritmo y definir cuán estricta es la lógica de detección.The sensitivity slider allows you to impact the algorithm and define how strict the detection logic is. Cuanto mayor sea el nivel de confidencialidad, menor será la supresión que se aplica como parte de la lógica de detección.The higher the sensitivity level, the lower the suppression that is applied as part of the detection logic. De este modo, puede adaptar la detección según sus necesidades de cobertura y destinos SNR.In this way, you can adapt the detection according to your coverage needs and your SNR targets.

    Nota

    Cuando las direcciones IP de ambos lados del viaje se consideran seguras, el viaje es de confianza y se excluye de desencadenar la detección de viajes imposibles.When the IP addresses on both sides of the travel are considered safe, the travel is trusted and excluded from triggering the Impossible travel detection. Por ejemplo, ambos lados se consideran seguros si se etiquetan como corporativos.For example, both sides are considered safe if they are tagged as corporate. Sin embargo, si la dirección IP de un solo lado del viaje se considera segura, la detección se desencadena como normal.However, if the IP address of only one side of the travel is considered safe, the detection is triggered as normal.

Actividad desde un país poco frecuenteActivity from infrequent country

  • Esta detección tiene en cuenta las ubicaciones de actividad anteriores para determinar las ubicaciones nuevas e infrecuentes.This detection considers past activity locations to determine new and infrequent locations. El motor de detección de anomalías almacena información sobre las ubicaciones anteriores utilizadas por los usuarios de la organización.The anomaly detection engine stores information about previous locations used by users in the organization. Se desencadena una alerta cuando se produce una actividad desde una ubicación que ningún usuario de la organización ha visitado recientemente o nunca.An alert is triggered when an activity occurs from a location that wasn't recently or never visited by any user in the organization.

Detección de malwareMalware detection

  • Esta detección identifica los archivos maliciosos en el almacenamiento en nube, tanto si proceden de aplicaciones de Microsoft como de aplicaciones de terceros.This detection identifies malicious files in your cloud storage, whether they're from your Microsoft apps or third-party apps. Microsoft Cloud App Security usa la inteligencia sobre amenazas de Microsoft para reconocer si determinados archivos están asociados a ataques de malware conocidos y son potencialmente maliciosos.Microsoft Cloud App Security uses Microsoft's threat intelligence to recognize whether certain files are associated with known malware attacks and are potentially malicious. Esta directiva integrada está deshabilitada de forma predeterminada.This built-in policy is disabled by default. No se analizan todos los archivos, pero se usa la heurística para buscar archivos potencialmente peligrosos.Not every file is scanned, but heuristics are used to look for files that are potentially risky. Una vez que se han detectado archivos, puede ver una lista de archivos infectados.After files are detected, you can then see a list of Infected files. Haga clic en el nombre del archivo de malware en el cajón de archivos para abrir un informe de malware que le proporcione información sobre el tipo de malware con el que está infectado el archivo.Click on the malware file name in the file drawer to open a malware report that provides you with information about the type of malware the file is infected with.

    Puede usar esta detección en tiempo real mediante directivas de sesión para controlar las cargas y descargas de archivos.You can use this detection in real time using session policies to control file uploads and downloads.

    Nota

    Cloud App Security admite la detección de malware para las siguientes aplicaciones:Cloud App Security supports malware detection for the following apps:

    • BoxBox
    • DropboxDropbox
    • G SuiteG Suite
    • Office 365 (requiere una licencia válida para la protección contra amenazas avanzada de Office 365 P1)Office 365 (requires a valid license for Office 365 Advanced Threat Protection P1)

Actividad desde una dirección IP anónimaActivity from anonymous IP addresses

  • Esta detección identifica que los usuarios estaban activos desde una dirección IP que se ha identificado como una dirección IP de proxy anónima.This detection identifies that users were active from an IP address that has been identified as an anonymous proxy IP address. Estos servidores proxy los usan las personas que desean ocultar la dirección IP de su dispositivo y se pueden usar para fines malintencionados.These proxies are used by people who want to hide their device's IP address, and may be used for malicious intent. Esta detección usa un algoritmo de aprendizaje automático que reduce los falsos positivos, como las direcciones IP no etiquetadas que los usuarios de la organización usan habitualmente.This detection uses a machine learning algorithm that reduces "false positives", such as mis-tagged IP addresses that are widely used by users in the organization.

Actividad de ransomwareRansomware activity

  • Cloud App Security amplió sus funcionalidades de detección de ransomware con la detección de anomalías para garantizar una cobertura más completa frente a los ataques sofisticados de ransomware.Cloud App Security extended its ransomware detection capabilities with anomaly detection to ensure a more comprehensive coverage against sophisticated Ransomware attacks. Al usar nuestra experiencia en investigación de seguridad para identificar patrones de comportamiento que reflejan la actividad de ransomware, Cloud App Security garantiza una protección holística y sólida.Using our security research expertise to identify behavioral patterns that reflect ransomware activity, Cloud App Security ensures holistic and robust protection. Puede que represente un proceso de cifrado adverso si Cloud App Security identifica, por ejemplo, una alta tasa de cargas de archivos o de actividades de eliminación de archivos.If Cloud App Security identifies, for example, a high rate of file uploads or file deletion activities it may represent an adverse encryption process. Estos datos se recopilan en los registros procedentes de las API conectadas y luego se combinan con los patrones de comportamiento aprendidos y la inteligencia sobre amenazas, por ejemplo, extensiones de ransomware conocidas.This data is collected in the logs received from connected APIs and is then combined with learned behavioral patterns and threat intelligence, for example, known ransomware extensions. Para obtener más información sobre cómo Cloud App Security detecta ransomware, vea Proteger la organización frente a ransomware.For more information about how Cloud App Security detects ransomware, see Protecting your organization against ransomware.

Actividad realizada por el usuario canceladoActivity performed by terminated user

  • Esta detección le permite identificar cuando un empleado que ya no trabaja en la compañía sigue realizando acciones en las aplicaciones SaaS.This detection enables you to able to identify when a terminated employee continues to perform actions on your SaaS apps. Dado que los datos muestran que el mayor riesgo de una amenaza interna procede de empleados que se fueron en malos términos, es importante estar atento a la actividad en las cuentas de empleados dados de baja.Because data shows that the greatest risk of insider threat comes from employees who left on bad terms, it's important to keep an eye on the activity on accounts from terminated employees. A veces, cuando los empleados dejan una compañía, sus cuentas se desaprovisionan de las aplicaciones corporativas, pero en muchos casos sigue conservando el acceso a determinados recursos corporativos.Sometimes, when employees leave a company, their accounts are de-provisioned from corporate apps, but in many cases they still retain access to certain corporate resources. Esto es incluso más importante si se tienen en cuenta las cuentas con privilegios, ya que el daño potencial que un ex administrador puede infligir es intrínsecamente mayor.This is even more important when considering privileged accounts, as the potential damage a former admin can do is inherently greater. Esta detección aprovecha las ventajas de capacidad de Cloud App Security para supervisar el comportamiento de usuario entre las aplicaciones, lo que permite la identificación de la actividad normal del usuario, el hecho de que la cuenta se ha cerrado y la actividad real en otras aplicaciones.This detection takes advantage of Cloud App Security's ability to monitor user behavior across apps, allowing identification of the regular activity of the user, the fact that the account was terminated, and actual activity on other apps. Por ejemplo, un empleado que es Azure AD cuenta se ha terminado pero todavía tiene acceso a la infraestructura de AWS corporativa, tiene la posibilidad de producir daños a gran escala.For example, an employee who's Azure AD account was terminated, but still has access to the corporate AWS infrastructure, has the potential to cause large-scale damage.

La detección busca los usuarios cuya cuenta de Azure AD ha quedado suspendida, pero siguen realizando actividades en otras plataformas, como AWS o Salesforce.The detection looks for users whose account was terminated in Azure AD, but still perform activities in other platforms such as AWS or Salesforce. Esto es especialmente pertinente para los usuarios que usen otra cuenta (distinta al inicio de sesión único principal) para administrar los recursos, ya que a menudo estas cuentas no se suspenden cuando el usuario deja la empresa.This is especially relevant for users who use another account (not their primary single sign-on account) to manage resources, since these accounts are often not terminated when a user leaves the company.

Actividad desde direcciones IP sospechosasActivity from suspicious IP addresses

  • Se identifica la actividad de los usuarios desde una dirección IP considerada como de riesgo en Microsoft Threat Intelligence.This detection identifies that users were active from an IP address identified as risky by Microsoft Threat Intelligence. Estas direcciones IP están implicadas en actividades malintencionadas como Botnet C&C y pueden indicar que la cuenta está en peligro.These IP addresses are involved in malicious activities, such as Botnet C&C, and may indicate compromised account. Esta detección usa un algoritmo de aprendizaje automático que reduce los falsos positivos, como las direcciones IP no etiquetadas que los usuarios de la organización usan habitualmente.This detection uses a machine learning algorithm that reduces "false positives", such as mis-tagged IP addresses that are widely used by users in the organization.

Reenvío sospechoso desde la bandeja de entradaSuspicious inbox forwarding

  • Esta detección busca reglas de reenvío de correo electrónico sospechosas, por ejemplo, si un usuario creó una regla de bandeja de entrada que reenvía una copia de todos los correos electrónicos a una dirección externa.This detection looks for suspicious email forwarding rules, for example, if a user created an inbox rule that forwards a copy of all emails to an external address.

Nota

Cloud App Security le avisa solo para cada regla de reenvío que se identifica como sospechosa, en función del comportamiento típico para el usuario.Cloud App Security only alerts you for each forwarding rule that is identified as suspicious, based on the typical behavior for the user.

Reglas de manipulación sospechosa de la bandeja de entradaSuspicious inbox manipulation rules

  • Esta detección genera un perfil del entorno y activa alertas cuando se establecen reglas sospechosas que eliminan o mueven mensajes o carpetas en la bandeja de entrada de un usuario.This detection profiles your environment and triggers alerts when suspicious rules that delete or move messages or folders are set on a user's inbox. Esto puede indicar que la cuenta del usuario está en peligro, que los mensajes se están ocultando de manera intencionada o que el buzón se está usando para enviar correo no deseado y malware en la organización.This may indicate that the user's account is compromised, that messages are being intentionally hidden, and that the mailbox is being used to distribute spam or malware in your organization.

Actividad de eliminación de correo electrónico sospechoso (versión preliminar)Suspicious email deletion activity (Preview)

  • Esta directiva genera perfiles de su entorno y desencadena alertas cuando un usuario realiza actividades de eliminación de correo electrónico sospechosas en una sola sesión.This policy profiles your environment and triggers alerts when a user performs suspicious email deletion activities in a single session. Esta Directiva puede indicar que los buzones de un usuario pueden estar en peligro por posibles vectores de ataque, como la comunicación de comando y control (C&C/C2) por correo electrónico.This policy may indicate that a user's mailboxes may be compromised by potential attack vectors such as command-and-control communication (C&C/C2) over email.

Nota

Cloud App Security se integra con protección contra amenazas avanzada de Office (ATP de Office) para proporcionar protección para Exchange Online, incluida la detonación de direcciones URL, la protección contra malware y mucho más.Cloud App Security integrates with Office Advanced Threat Protection (Office ATP) to provide protection for Exchange online, including URL detonation, malware protection, and more. Una vez habilitada la ATP de Office, comenzará a ver alertas en el registro de actividad de Cloud App Security.Once Office ATP is enabled, you'll start seeing alerts in the Cloud App Security activity log.

Actividades de descarga de archivos de la aplicación OAuth sospechosaSuspicious OAuth app file download activities

  • Examina las aplicaciones de OAuth conectadas a su entorno y desencadena una alerta cuando una aplicación descarga varios archivos de Microsoft SharePoint o Microsoft OneDrive de una manera inusual para el usuario.Scans the OAuth apps connected to your environment and triggers an alert when an app downloads multiple files from Microsoft SharePoint or Microsoft OneDrive in a manner that is unusual for the user. Esto puede indicar que la cuenta de usuario está en peligro.This may indicate that the user account is compromised.

Actividades inusuales (realizadas por un usuario)Unusual activities (by user)

Estas detecciones identifican a los usuarios que realizan:These detections identify users who perform:

  • Varias actividades inusuales de descarga de archivosUnusual multiple file download activities
  • Actividades inusuales de uso compartido de archivosUnusual file share activities
  • Actividades inusuales de eliminación de archivosUnusual file deletion activities
  • Actividades inusuales de suplantaciónUnusual impersonated activities
  • Actividades inusuales administrativasUnusual administrative activities
  • Actividades inusuales de uso compartido de informes de Power BI (versión preliminar)Unusual Power BI report sharing activities (preview)
  • Actividades de creación de varias máquinas virtuales inusuales (versión preliminar)Unusual multiple VM creation activities (preview)
  • Actividades inusuales de eliminación de almacenamiento múltiple (versión preliminar)Unusual multiple storage deletion activities (preview)
  • Región inusual para el recurso de nube (versión preliminar)Unusual region for cloud resource (preview)

Estas directivas buscan actividades dentro de una única sesión según la línea base establecida, lo que podría indicar un intento de vulneración.These policies look for activities within a single session with respect to the baseline learned, which could indicate on a breach attempt. Estas detecciones aprovechan un algoritmo de aprendizaje automático que crea perfiles a partir del patrón de inicio de sesión de los usuarios y reduce los falsos positivos.These detections leverage a machine learning algorithm that profiles the users log on pattern and reduces false positives. Estas detecciones forman parte del motor de detección de anomalías heurísticos que genera perfiles de su entorno y desencadena alertas con respecto a una línea base que se aprendió en la actividad de su organización.These detections are part of the heuristic anomaly detection engine that profiles your environment and triggers alerts with respect to a baseline that was learned on your organization's activity.

Varios intentos incorrectos de inicio de sesiónMultiple failed login attempts

  • Se identifica a los usuarios que intentan iniciar sesión varias veces sin éxito en una única sesión según la línea base establecida, lo que podría indicar un intento de vulneración.This detection identifies users that failed multiple login attempts in a single session with respect to the baseline learned, which could indicate on a breach attempt.

Filtración de datos a aplicaciones no autorizadasData exfiltration to unsanctioned apps

  • Esta directiva se habilita automáticamente para enviarle una alerta cada vez que un usuario o una dirección IP usan una aplicación que no tiene permitido realizar una actividad que parezca un intento de filtrar información de la organización.This policy is automatically enabled to alert you when a user or IP address uses an app that is not sanctioned to perform an activity that resembles an attempt to exfiltrate information from your organization.

Varias actividades de eliminación de VMMultiple delete VM activities

  • Esta directiva crea un perfil del entorno y activa alertas cuando los usuarios eliminan varias máquinas virtuales en una única sesión, en relación con la línea base de la organización.This policy profiles your environment and triggers alerts when users delete multiple VMs in a single session, relative to the baseline in your organization. Esto podría indicar un intento de infracción de seguridad.This might indicate an attempted breach.

Habilitación de la gobernanza automatizadaEnable automated governance

Puede habilitar acciones de corrección automatizadas en las alertas generadas por directivas de detección de anomalías.You can enable automated remediation actions on alerts generated by anomaly detection policies.

  1. Haga clic en el nombre de la directiva de detección en la página Directiva.Click on the name of the detection policy in the Policy page.
  2. En la ventana Editar directiva de detección de anomalías que se abre, en Gobernanza, establezca las acciones de corrección que quiera para cada aplicación conectada o para todas las aplicaciones.In the Edit anomaly detection policy window that opens, under Governance set the remediation actions you want for each connected app or for all apps.
  3. Haga clic en Update(Actualizar).Click Update.

Ajuste de directivas de detección de anomalíasTune anomaly detection policies

Para influir en el motor de detección de anomalías con el fin de suprimir o exponer alertas de acuerdo con sus preferencias, haga lo siguiente:To affect the anomaly detection engine to suppress or surface alerts according to your preferences:

  • En la directiva de viaje imposible, puede establecer el control deslizante de sensibilidad para determinar el nivel de comportamiento anómalo necesario antes de que se desencadene una alerta.In the Impossible Travel policy, you can set the sensitivity slider to determine the level of anomalous behavior needed before an alert is triggered. Por ejemplo, si se establece en Low, se suprimirán las alertas de viaje imposibles de las ubicaciones comunes de un usuario y, si se establece en alto, se mostrarán dichas alertas.For example, if you set it to low, it will suppress Impossible Travel alerts from a user's common locations, and if you set it to high, it will surface such alerts. Puede elegir entre los niveles de sensibilidad siguientes:You can choose from the following sensitivity levels:

    • Bajo: suprimes del sistema, del inquilino y del usuarioLow: System, tenant and user suppressions

    • Media: supresiones del usuario y el sistemaMedium: System and user suppressions

    • Alta: solo supresiones del sistemaHigh: Only system suppressions

      Donde:Where:

      Tipo de supresiónSuppression type DescripciónDescription
      SistemaSystem Detecciones integradas que siempre se suprimen.Built-in detections that are always suppressed.
      InquilinoTenant Actividades comunes basadas en la actividad anterior del inquilino.Common activities based on previous activity in the tenant. Por ejemplo, la supresión de actividades de un ISP sobre el que se alertó anteriormente en la organización.For example, suppressing activities from an ISP previously alerted on in your organization.
      UsuarioUser Actividades comunes basadas en la actividad anterior del usuario específico.Common activities based on previous activity of the specific user. Por ejemplo, la supresión de actividades de una ubicación que suele utilizar el usuario.For example, suppressing activities from a location that is commonly used by the user.
  • También puede configurar si las alertas de actividad de un país o región poco frecuente, direcciones IP anónimas, direcciones IP sospechosas y viajes imposibles deben analizar tanto inicios de sesión con errores como correctos o simplemente inicios de sesión correctos.You can also configure whether the alerts for Activity from infrequent country/region, anonymous IP addresses, suspicious IP addresses, and impossible travel should analyze both failed and successful logins or just successful logins.

Nota

De forma predeterminada, los protocolos de inicio de sesión heredados, como los que no usan la autenticación multifactor (por ejemplo, WS-Trust), no se supervisan con la Directiva de viajes imposibles.By default, legacy sign-in protocols, such as those that don't use multi-factor authentication (for example, WS-Trust), are not monitored by the impossible travel policy. Si su organización usa protocolos heredados, para evitar que falten actividades relevantes, edite la Directiva y, en Configuración avanzada, establezca analizar las actividades de inicio de sesión en todos los inicios de sesión.If your organization uses legacy protocols, to avoid missing relevant activities, edit the policy and under Advanced configuration, set Analyze sign in activities to All sign ins.

Ámbito de directivas de detección de anomalíasScope anomaly detection policies

Se puede establecer un ámbito para cada directiva de detección de anomalías por separado para que se aplique solo a los usuarios y grupos que desea incluir y excluir en la directiva.Each anomaly detection policy can be independently scoped so that it applies only to the users and groups you want to include and exclude in the policy. Por ejemplo, puede establecer la actividad a partir de la detección de condados poco frecuentes para omitir un usuario específico que viaja de forma habitual.For example, you can set the Activity from infrequent county detection to ignore a specific user who travels frequently.

Para establecer el ámbito de una directiva de detección de anomalías:To scope an anomaly detection policy:

  1. Haga Controlclic en > directivasde control y establezca el filtro de tipo en Directiva de detección de anomalías.Click Control > Policies, and set the Type filter to Anomaly detection policy.

  2. Haga clic en la directiva cuyo ámbito desea establecer.Click on the policy you want to scope.

  3. En Ámbito, cambie la lista desplegable de la configuración predeterminada de Todos los usuarios y grupos a Usuarios y grupos específicos.Under Scope, change the drop-down from the default setting of All users and groups, to Specific users and groups.

  4. Seleccione Incluir para especificar los usuarios y grupos para los que se aplicará esta directiva.Select Include to specify the users and groups for whom this policy will apply. Cualquier usuario o grupo que no se seleccione aquí no se considerará una amenaza y no generará una alerta.Any user or group not selected here won't be considered a threat and won't generate an alert.

  5. Seleccione Excluir para especificar los usuarios para los que no se aplicará esta directiva.Select Exclude to specify users for whom this policy won't apply. Cualquier usuario que seleccione aquí no se considerará una amenaza y no generará una alerta, incluso si es miembro de los grupos seleccionados en Incluir.Any user selected here won't be considered a threat and won't generate an alert, even if they're members of groups selected under Include.

    ámbito de detección de anomalías

Evaluación de las alertas de detección de anomalíasTriage anomaly detection alerts

Puede evaluar la prioridad de las diversas alertas desencadenadas por las nuevas directivas de detección de anomalías rápidamente y decidir cuáles es necesario atender primero.You can triage the various alerts triggered by the new anomaly detection policies quickly and decide which ones need to be taken care of first. Para ello, necesita el contexto de la alerta, de forma que pueda ver la imagen más grande y comprender si realmente está ocurriendo algo malintencionado.To do this, you need the context for the alert, so you're able to see the bigger picture and understand whether something malicious is indeed happening.

  1. En el registro de actividades, puede abrir una actividad para mostrar el cajón de actividades.In the Activity log, you can open an activity to display the Activity drawer. Haga clic en usuario para ver la pestaña información de usuario. Esta pestaña incluye información como el número de alertas, las actividades y el lugar desde el que se han conectado, lo que es importante en una investigación.Click on User to view the user insights tab. This tab includes information like number of alerts, activities, and where they've connected from, which is important in an investigation.

    detección de anomalías alert1  detección de anomalías alert2anomaly detection alert1 anomaly detection alert2

  2. Esto le permite comprender qué actividades sospechosas realizó el usuario y aumentar la confianza en cuanto a si la cuenta se vio comprometida.This enables you to understand what the suspicious activities are that the user performed and gain deeper confidence as to whether the account was compromised. Por ejemplo, una alerta sobre varios inicios de sesión erróneos realmente puede ser sospechosa y puede indicar posibles ataques por fuerza bruta, pero también puede ser un error de configuración de aplicación, haciendo que la alerta resulte ser verdadera.For example, an alert on multiple failed logins may indeed be suspicious and can indicate potential brute force attack, but it can also be an application misconfiguration, causing the alert to be a benign true positive. Sin embargo, si ve una alerta de varios inicios de sesión erróneos con actividades sospechosas adicionales, entonces hay una mayor probabilidad de que la cuenta se vea comprometida.However, if you see a multiple failed logins alert with additional suspicious activities, then there is a higher probability that the account is compromised. En el ejemplo siguiente, puede ver que, después de la alerta de los diversos intentos de inicio de sesión erróneos, hubo actividad desde una dirección IP TOR y actividad de viaje imposible, ambas buenos indicadores de riesgo (IOC) por sí mismas.In the example below, you can see that the Multiple failed login attempts alert was followed by Activity from a TOR IP address and Impossible travel activity, both strong indicators of compromise (IOCs) by themselves. Si esto no era lo suficientemente sospechoso, puede ver que el mismo usuario realizó una actividad de descarga masiva, que suele ser un indicador del atacante que realiza la exfiltración de datos.If this wasn't suspicious enough, then you can see that the same user performed a Mass download activity, which is often an indicator of the attacker performing exfiltration of data.

    detección de anomalías alert3

  3. En el caso de los archivos infectados con malware, una vez que se han detectado, puede ver una lista de archivos infectados.For malware infected files, After files are detected, you can then see a list of Infected files. Haga clic en el nombre de archivo de malware en el cajón de archivos para abrir un informe de malware con información sobre el tipo de malware con el que está infectado el archivo.Click on the malware file name in the file drawer to open a malware report that provides you with information about that type of malware the file is infected with.

Pasos siguientesNext steps

Si surgen problemas, estamos aquí para ayudarle.If you run into any problems, we're here to help. Para obtener ayuda o soporte técnico para el problema del producto, abra una incidencia de soporte técnico.To get assistance or support for your product issue, please open a support ticket.