Tutorial: detección y administración de shadow IT en la redTutorial: Discover and manage shadow IT in your network

Se aplica a: Microsoft Cloud App SecurityApplies to: Microsoft Cloud App Security

Cuando se pregunta a los administradores de TI cuántas aplicaciones en la nube creen que usan sus empleados, la media es de 30 o 40. En realidad, la media de aplicaciones que usan los empleados de su organización es de más de 1000 aplicaciones distintas.When IT admins are asked how many cloud apps they think their employees use, on average they say 30 or 40, when in reality, the average is over 1,000 separate apps being used by employees in your organization. Shadow IT le permite conocer e identificar qué aplicaciones se usan y cuál es el nivel de riesgo que suponen.Shadow IT helps you know and identify which apps are being used and what your risk level is. El 80 % de los empleados usan aplicaciones no autorizadas que no ha revisado nadie y que es posible que no cumplan con las directivas de seguridad y cumplimiento.80% of employees use non-sanctioned apps that no one has reviewed, and may not be compliant with your security and compliance policies. Además, debido a que los clientes pueden acceder a sus recursos y aplicaciones desde fuera de la red corporativa, ya no es suficiente disponer de reglas y directivas en los firewalls.And because your employees are able to access your resources and apps from outside your corporate network, it's no longer enough to have rules and policies on your firewalls.

En este tutorial se proporcionan las instrucciones para usar Cloud Discovery, una herramienta con la que podrá detectar qué aplicaciones se usan, explorar el riesgo que estas suponen, configurar directivas para identificar el uso de nuevas aplicaciones peligrosas y desautorizar dichas aplicaciones para bloquearlas de forma nativa con su dispositivo de proxy o firewall.This tutorial provides instructions for using Cloud Discovery to discover which apps are being used, explore the risk of these apps, configure policies to identify new risky apps that are being used, and to unsanction these apps in order to block them natively using your proxy or firewall appliance.

  • Detección e identificación de shadow ITDiscover and identify Shadow IT
  • Evaluación y análisisEvaluate and analyze
  • Administración de las aplicacionesManage your apps
  • Creación avanzada de informes sobre detección de Shadow ITAdvanced Shadow IT discovery reporting
  • Control de aplicaciones autorizadasControl sanctioned apps

Detección y administración de shadow IT en su redHow to discover and manage Shadow IT in your network

Use este proceso para implementar Cloud Discovery de shadow IT en su organización.Use this process to roll out Shadow IT Cloud Discovery in your organization.

ciclo de vida de shadow IT

Fase 1: Detección e identificación de shadow ITPhase 1: Discover and identify Shadow IT

  1. Detección de shadow IT: ejecute Cloud Discovery para identificar la postura de seguridad de su organización y así ver qué sucede realmente en su red.Discover Shadow IT: Identify your organization's security posture by running Cloud Discovery in your organization to see what's actually happening in your network. Para obtener más información, consulte Configuración de Cloud Discovery.For more information, see Set up cloud discovery. Esto puede realizarse mediante cualquiera de los métodos siguientes:This can be done using any of the following methods:

    • Para tenerlo todo a punto rápidamente, use Cloud Discovery e intégrelo con Microsoft Defender ATP.Get up and running quickly with Cloud Discovery by integrating with Microsoft Defender ATP. Esta integración nativa le permite empezar inmediatamente a recopilar datos del tráfico de red en dispositivos Windows 10, tanto en la red como fuera de esta.This native integration enables you to immediately start collecting data on cloud traffic across your Windows 10 devices, on and off your network.

    • Para obtener cobertura en todos los dispositivos conectados a la red, es importante implementar el Recopilador de registros de Cloud App Security en los firewalls y otros servidores proxy para recopilar datos de los puntos de conexión y enviarlos a Cloud App Security para su análisis.For coverage on all devices connected to your network, it's important to deploy the Cloud App Security log collector on your firewalls and other proxies to collect data from your endpoints and send it to Cloud App Security for analysis.

    • Integre Cloud App Security con el proxy.Integrate Cloud App Security with your proxy. Cloud App Security se integra de forma nativa con algunos servidores proxy de terceros, incluido Zscaler.Cloud App Security natively integrates with some third-party proxies, including Zscaler.

Dado que las directivas no son las mismas en todos los grupos de usuarios, regiones y grupos de negocios, es posible que quiera crear un informe de shadow IT dedicado para cada una de estas unidades.Because policies are different across user groups, regions and business groups, you might want to create a dedicated Shadow IT report for each of these units. Para obtener más información, vea Docker en Windows local.For more information, see Docker on Windows on-premises.

Ahora que Cloud Discovery se está ejecutando en la red, examine los informes continuos que se generan y consulte el panel de Cloud Discovery para obtener una visión completa de las aplicaciones que se usan en su organización.Now that Cloud Discovery is running on your network, look at the continuous reports that are generated and look at the Cloud Discovery dashboard to get a full picture of what apps are being used in your organization. Le recomendamos que las examine por categoría, porque muchas veces verá que se usan aplicaciones no autorizadas para propósitos relacionados con el trabajo legítimos que no podía realizar una aplicación autorizada.It's a good idea to look at them by category, because you will often find that non-sanctioned apps are being used for legitimate work-related purposes that were not addressed by a sanctioned app.

  1. Identifique los niveles de riesgo de las aplicaciones: Use el catálogo de aplicaciones en la nube de Cloud App Security para profundizar más en los riesgos relacionados con las aplicaciones detectadas.Identify the risk levels of your apps: Use the Cloud App Security cloud app catalog to dive deeper into the risks that are involved with each discovered app. El catálogo de riesgo de Cloud App Security incluye más de 16 000 aplicaciones que se evalúan con más de 80 factores de riesgo.Cloud App Security's risk catalog includes over 16,000 apps that are assessed using over 80 risk factors. Los factores de riesgo abarcan desde información general sobre la aplicación (dónde está la sede de la aplicación o quién es el editor) hasta los controles y las medidas de seguridad (compatibilidad para el cifrado en reposo o proporción de un registro de auditoría de la actividad del usuario).The risk factors start from general information about the app (where are the app's headquarters, who is the publisher), and through security measures and controls (support for encryption at rest, provides an audit log of user activity). Para obtener más información, vea Trabajo con la puntuación de riesgo.For more information, see Working with risk score,

    • En el portal de Cloud App Security, en Detección, haga clic en Aplicaciones detectadas.In the Cloud App Security portal, under Discover, click Discovered apps. Filtre la lista de aplicaciones detectadas en su organización según los factores de riesgo que quiera analizar.Filter the list of apps discovered in your organization by the risk factors you are concerned about. Por ejemplo, puede usar los filtros avanzados para encontrar todas las aplicaciones con una puntuación de riesgo inferior a 8.For example, you can use the Advanced filters to find all apps with a risk score lower than 8.

    • Para explorar la aplicación en profundidad y obtener más información sobre los factores de riesgo de seguridad de la aplicación, haga clic en el nombre y, a continuación, en la pestaña Información.You can drill down into the app to understand more about its compliance by clicking the app name and then clicking the Info tab to see details about the app's security risk factors.

Fase 2: Evaluación y análisisPhase 2: Evaluate and analyze

  1. Evalúe el cumplimiento: compruebe si las aplicaciones están certificadas como compatibles según los estándares de su organización, como HIPAA, SOC2 o RGPD.Evaluate compliance: Check whether the apps are certified as compliant with your organization's standards, such as HIPAA, SOC2, GDPR.

    • En el portal de Cloud App Security, en Detección, haga clic en Aplicaciones detectadas.In the Cloud App Security portal, under Discover, click Discovered apps. Filtre la lista de aplicaciones detectadas en su organización según los factores de riesgo de cumplimiento que quiera analizar.Filter the list of apps discovered in your organization by the compliance risk factors you are concerned about. Por ejemplo, use la consulta sugerida para filtrar las aplicaciones que no cumplen con la normativa.For example, use the suggested query to filter out non-compliant apps.

    • Para explorar la aplicación en profundidad y obtener más información sobre de los factores de riesgo del cumplimiento de la aplicación, haga clic en el nombre y, a continuación, en la pestaña Información.You can drill down into the app to understand more about its compliance by clicking the app name and then clicking the Info tab to see details about the app's compliance risk factors.

    Sugerencia

    Reciba una notificación cuando una aplicación detectada esté asociada a una vulneración de seguridad publicada recientemente mediante la alerta de vulneración de seguridad para aplicaciones detectadas.Get notified when a discovered app is associated with a recently published security breach using the built-in Discovered app security breach alert. Investigue todos los usuarios, direcciones IP y dispositivos que acceden a la aplicación vulnerada en los últimos 90 días y aplique los controles pertinentes.Investigate all users, IP addresses, and devices accessing the breached app in the last 90 days, and apply relevant controls.

  2. Analice el uso: ahora que sabe si quiere o no que se use la aplicación en la organización, querrá investigar cómo y quién la usa.Analyze usage: Now that you know whether or not you want the app to be used in your organization, you want to investigate how and who is using it. Si solo se usa de forma limitada en la organización, es posible que no suponga un problema, pero si el uso aumenta puede que quiera recibir una notificación para decidir si quiere bloquear la aplicación.If it's only used in a limited way in your organization maybe it's ok, but maybe if the use is growing you want to be notified about it so you can decide if you want to block the app.

    • En el portal de Cloud App Security, en Detección, haga clic en Aplicaciones detectadas y, a continuación, explore en profundidad haciendo clic en la aplicación específica que quiera investigar.In the Cloud App Security portal, under Discover, click Discovered apps and then drill down by clicking on the specific app you want to investigate. La pestaña Uso le permite saber cuántos usuarios activos están usando la aplicación y cuánto tráfico genera.The Use tab lets you know how many active users are using the app and how much traffic it's generating. Esto ya puede proporcionarle una buena idea de lo que ocurre con la aplicación.This can already give you a pretty good picture of what's happening with the app. Después, si quiere ver quién está usando la aplicación en concreto, puede profundizar más haciendo clic en Total de usuarios activos.Then, if you want to see who, specifically, is using the app, you can drill down further by clicking Total active users. Este paso importante puede proporcionarle información pertinente. Por ejemplo, si detecta que todos los usuarios de una aplicación específica pertenecen al departamento de marketing, es posible que haya una necesidad empresarial de esta aplicación y, si es peligrosa, debería comunicarse con ese departamento para encontrar una alternativa antes de bloquearla.This important step can give you pertinent information, for example, if you discover that all the users of a specific app are from the Marketing department, it's possible that there's a business need for this app, and if it's risky you should talk to them about an alternative before blocking it.

    • Profundice aún más al investigar el uso de aplicaciones detectadas.Dive even deeper when investigating use of discovered apps. Vea subdominios y recursos para obtener información sobre actividades específicas, acceso a datos y uso de recursos en los servicios en la nube.View subdomains and resources to learn about specific activities, data access, and resource usage in your cloud services. Para obtener más información, consulte Análisis detallado de las aplicaciones detectadas y Detección de recursos y aplicaciones personalizadas.For more information, see Deep dive into Discovered apps and Discover resources and custom apps.

  3. Identificación de aplicaciones alternativas: Use el catálogo de aplicaciones en la nube para identificar aplicaciones más seguras que consigan una funcionalidad empresarial similar a la de las aplicaciones de riesgo detectadas y que cumplan con la directiva de la organización.Identify alternative apps: Use the cloud app catalog to identify safer apps that achieve similar business functionality as the detected risky apps, but do comply with your organization's policy. Para ello, puede usar los filtros avanzados a fin de buscar aplicaciones de la misma categoría que cumplan los requisitos para superar los diferentes controles de seguridad.You can do this by using the advanced filters to find apps in the same category that meet with your different security controls.

Fase 3: Administración de las aplicacionesPhase 3: Manage your apps

  • Administre las aplicaciones en la nube: Cloud App Security le ayuda con el proceso de administración del uso de aplicaciones en su organización.Manage cloud apps: Cloud App Security helps you with the process for managing app use in your organization. Después de identificar los distintos patrones y comportamientos usados en su organización, puede crear nuevas etiquetas de aplicaciones personalizadas para clasificar las aplicaciones según su estado de negocio o su justificación.After you identified the different patterns and behaviors used in your organization, you can create new custom app tags in order to classify each app according to its business status or justification. Estas etiquetas se pueden usar para fines de supervisión específicos, por ejemplo, para identificar si hay un tráfico elevado dirigido a aplicaciones etiquetadas como aplicaciones de almacenamiento en la nube peligrosas.These tags can be then used for specific monitoring purposes, for example, identify high traffic that is going to apps that are tagged as risky cloud storage apps. Las etiquetas de las aplicaciones se pueden administrar en la configuración de Cloud Discovery > Etiquetas de aplicación.App tags can be managed under Cloud Discovery settings > App tags. Estas etiquetas se pueden usar posteriormente para el filtrado en las páginas de Cloud Discovery y crear directivas con ellas.These tags can then be used later for filtering in the Cloud Discovery pages and creating policies using them.

  • Administre aplicaciones detectadas en la galería de Azure Active Directory (Azure AD) : Cloud App Security también aprovecha su integración nativa con Azure AD para permitir administrar las aplicaciones detectadas en la galería de Azure AD.Manage discovered apps using Azure Active Directory (Azure AD) Gallery: Cloud App Security also leverages its native integration with Azure AD to enable you to manage your discovered apps in Azure AD Gallery. En el caso de las aplicaciones que ya aparecen en la galería de Azure AD, puede aplicar el inicio de sesión único y administrar la aplicación con Azure AD.For apps that already appear in the Azure AD Gallery, you can apply single sign-on and manage the app with Azure AD. Para ello, en la fila donde se muestra la aplicación pertinente, seleccione el signo de tres puntos al final de la fila y, después, haga clic en Administrar aplicación con Azure AD.To do so, on the row where the relevant app appears, choose the three dots at the end of the row, and then choose Manage app with Azure AD.

    ciclo de vida de shadow IT

  • Supervisión continua: ahora que ha investigado en profundidad las aplicaciones, es posible que quiera establecer directivas que supervisen las aplicaciones y proporcionen control cuando sea necesario.Continuous monitoring: Now that you have thoroughly investigated the apps, you might want to set policies that monitor the apps and provide control where needed.

Ahora es el momento de crear directivas para que se le avise automáticamente cuando se produzca algo sospechoso.Now it's time to create policies so you can be automatically alerted when something happens that you're concerned about. Por ejemplo, puede que quiera crear una directiva de detección de aplicaciones que le permita saber cuándo hay un pico en las descargas o en el tráfico de una aplicación sospechosa.For example, you might want to create an App discovery policy that lets you know when there is a spike in downloads or traffic from an app you're concerned about. Para conseguirlo, debe habilitar las directivas Comportamiento anómalo en usuarios detectados, Comprobación de cumplimiento de la aplicación de almacenamiento en la nube y Nueva aplicación de riesgo.To achieve this, you should enable Anomalous behavior in discovered users policy, Cloud storage app compliance check, and New risky app. Puede además establecer la directiva para recibir notificaciones por correo electrónico o mensaje de texto.You should also set the policy to notify you by email or text message. Para obtener más información, vea referencia de la plantilla de directiva, más sobre directivas de Cloud Discovery y configuración de directivas de detección de aplicaciones.For more information, see policy template reference, more about Cloud Discovery policies and Configure App discovery policies.

Examine la página de alertas y use el filtro Tipo de directiva para ver las alertas de detección de aplicaciones.Look at the alerts page and use the Policy type filter to look at app discovery alerts. En el caso de las aplicaciones que coincidan con las directivas de detección de aplicaciones, se recomienda realizar una investigación en profundidad para obtener más información sobre la justificación empresarial del uso de la aplicación, por ejemplo, poniéndose en contacto con los usuarios de la aplicación.For apps that were matched by your app discovery policies, it is recommended that you do an advanced investigation to learn more about the business justification for using the app, for example, by contacting the users of the app. Después, repita los pasos de la fase 2 para evaluar el riesgo de la aplicación.Then, repeat the steps in Phase 2 to evaluate the risk of the app. A continuación, determine los siguientes pasos para la aplicación, tanto si aprueba su uso en el futuro como si quiere bloquearla la próxima vez que un usuario accede a ella, en cuyo caso debe etiquetarla como no autorizada para que se pueda bloquear mediante el firewall, el proxy o la puerta de enlace web segura.Then determine next steps for the application, whether you approve use of it in the future or want to block it the next time a user accesses it, in which case you should tag it as unsanctioned so it can be blocked using your firewall, proxy, or secure web gateway. Para obtener más información, consulte Integración con ATP de Microsoft Defender, Integración con Zscaler, Integración con iboss y Exportar un script de bloque para controlar aplicaciones detectadas.For more information, see Integrate with Microsoft Defender ATP, Integrate with Zscaler, Integrate with iboss, and Export a block script to govern discovered apps.

Fase 4: Creación avanzada de informes sobre detección de Shadow ITPhase 4: Advanced Shadow IT discovery reporting

Además de las opciones de informes disponibles en Cloud App Security, puede integrar los registros de Cloud Discovery en Azure Sentinel para profundizar en su investigación y análisis.In addition to the reporting options available in Cloud App Security, you can integrate Cloud Discovery logs into Azure Sentinel for further investigation and analysis. Una vez que los datos están en Azure Sentinel, puede verlos en paneles, ejecutar consultas mediante el lenguaje de consultas de Kusto, exportar consultas a Microsoft Power BI, integrarlos con otros orígenes y crear alertas personalizadas.Once the data is in Azure Sentinel, you can view it in dashboards, run queries using Kusto query language, export queries to Microsoft Power BI, integrate with other sources, and create custom alerts. Para más información, consulte Integración con Azure Sentinel.For more information, see Azure Sentinel integration.

Fase 5: Control de aplicaciones autorizadasPhase 5: Control sanctioned apps

  1. Para habilitar el control de aplicaciones a través de las API, conecte aplicaciones a través de API para la supervisión continua.To enable app control via APIs, connect apps via API for continuous monitoring.

  2. Proteja aplicaciones con el Control de aplicaciones de acceso condicional.Protect apps using Conditional Access App Control.

La naturaleza de las aplicaciones en la nube conlleva una actualización diaria de estas, así como la aparición de nuevas a diario.The nature of cloud apps means that they are updated daily and new apps appear all the time. Por este motivo, los empleados usan continuamente nuevas aplicaciones y es importante mantener, revisar y actualizar las directivas, comprobar qué aplicaciones utilizan los usuarios y ver cuáles son los patrones de uso y comportamiento.Because of this, employees are continuously using new apps and it's important to keep tracking and reviewing and updating your policies, checking which apps your users are using, as well as their usage and behavior patterns. Siempre puede ir al panel de Cloud Discovery, ver las nuevas aplicaciones que se están usando y seguir las instrucciones de este artículo para asegurarse de que la organización y los datos están protegidos.You can always go to the Cloud Discovery dashboard and see what new apps are being used, and follow the instructions in this article again to make sure your organization and your data are protected.

Consulte tambiénSee Also

Si surgen problemas, estamos aquí para ayudarle.If you run into any problems, we're here to help. Para obtener ayuda o soporte técnico para el problema del producto, abra una incidencia de soporte técnico.To get assistance or support for your product issue, please open a support ticket.