Procedimientos recomendados de Defender for Cloud Apps
Nota
Hemos cambiado el nombre de Microsoft Cloud App Security. Ahora se llama Microsoft Defender for Cloud Apps. En las próximas semanas, actualizaremos las capturas de pantalla e instrucciones aquí y en las páginas relacionadas. Para obtener más información sobre el cambio, consulte este anuncio. Para obtener más información sobre el cambio de nombre reciente de los servicios de seguridad de Microsoft, consulte el blog seguridad de Microsoft Ignite.
Microsoft Defender for Cloud Apps ahora forma parte de Microsoft 365 Defender. El portal de Microsoft 365 Defender permite a los administradores de seguridad realizar sus tareas de seguridad en una ubicación. Esto simplificará los flujos de trabajo y agregará la funcionalidad de los demás servicios Microsoft 365 Defender. Microsoft 365 Defender será el hogar para supervisar y administrar la seguridad en las identidades, los datos, los dispositivos, las aplicaciones y la infraestructura de Microsoft. Para obtener más información sobre estos cambios, consulte Microsoft Defender for Cloud Apps en Microsoft 365 Defender.
En este artículo se proporcionan procedimientos recomendados para proteger su organización mediante Microsoft Defender for Cloud Apps. Estos procedimientos recomendados proceden de nuestra experiencia con Defender for Cloud Apps y las experiencias de los clientes como usted.
Los procedimientos recomendados que se describen en este artículo son los siguientes:
- Detección y evaluación de aplicaciones en la nube
- Aplicación de directivas de gobernanza de la nube
- Limitación de la exposición de datos compartidos y aplicación de directivas de colaboración
- Detección, clasificación, etiquetado y protección de datos regulados y confidenciales almacenados en la nube
- Aplicación de directivas de cumplimiento y de DLP para datos almacenados en la nube
- Bloqueo y protección de la descarga de datos confidenciales en dispositivos no administrados o de riesgo
- Colaboración segura con usuarios externos mediante la aplicación de controles de sesión en tiempo real
- Detección de amenazas en la nube, cuentas en peligro, colaboradores malintencionados y ransomware
- Uso de la traza de auditoría de actividades para investigaciones forenses
- Servicios de IaaS seguros y aplicaciones personalizadas
Detección y evaluación de aplicaciones en la nube
La integración de Defender for Cloud Apps con Microsoft Defender para punto de conexión le ofrece la posibilidad de usar Cloud Discovery más allá de la red corporativa o de las puertas de enlace web seguras. Combinando la información de usuarios y dispositivos, puede identificar dispositivos o usuarios de riesgo, ver qué aplicaciones están usando e investigar más detalles en el portal de Defender para punto de conexión.
Práctica recomendada: habilitación de Shadow IT Discovery mediante Defender para punto de conexión
Detalle: Cloud Discovery analiza los registros de tráfico que recopila Defender para punto de conexión y evalúa las aplicaciones identificadas con respecto al catálogo de aplicaciones en la nube para proporcionar información de seguridad y cumplimiento normativo. Al configurar Cloud Discovery, obtiene visibilidad del uso de la nube, de shadow IT y de la supervisión continua de las aplicaciones no autorizadas que usan los usuarios.
Más información:
- integración de Microsoft Defender para punto de conexión con Defender for Cloud Apps
- Configuración de Cloud Discovery
- Detección y administración de shadow IT en la red
Práctica recomendada: Configuración de directivas de detección de aplicaciones para identificar de forma proactiva aplicaciones de riesgo, no conformes y populares
Detalles: Las directivas de detección de aplicaciones facilitan el seguimiento de las aplicaciones importantes detectadas en su organización para ayudarlo a administrarlas de forma eficaz. Cree directivas para recibir alertas cuando detecte nuevas aplicaciones que se identifican como peligrosas, no conformes, populares o de gran tamaño.
Más información:
- Crear directivas de Cloud Discovery
- Directiva de detección de anomalías de Cloud Discovery
- Obtención de análisis de comportamiento y detección de anomalías instantáneos
Práctica recomendada: Administración de aplicaciones de OAuth autorizadas por los usuarios
Detalle: Muchos usuarios conceden ocasionalmente permisos de OAuth a las aplicaciones de terceros para acceder a la información de su cuenta y, al hacerlo, también proporcionan involuntariamente acceso a sus datos en otras aplicaciones en la nube. Normalmente, el equipo de TI no tiene visibilidad en estas aplicaciones, por lo que resulta difícil sopesar el riesgo de seguridad de una aplicación frente a las ventajas de productividad que proporciona.
Defender for Cloud Aplicaciones le proporciona la capacidad de investigar y supervisar los permisos de aplicación concedidos a los usuarios. Puede usar esta información para identificar una aplicación potencialmente sospechosa y, si determina que es arriesgado, puede prohibir el acceso a ella.
Más información:
Aplicación de directivas de gobernanza de la nube
Práctica recomendada: Etiquetado de aplicaciones y exportar scripts de bloqueo
Detalle: Después de revisar la lista de aplicaciones detectadas en su organización, puede proteger su entorno contra el uso no deseado de una aplicación. Puede aplicar la etiqueta Autorizada a las aplicaciones aprobadas por su organización y la etiqueta No autorizada a las aplicaciones que no lo están. Puede supervisar aplicaciones no autorizadas con filtros de detección o exportar un script para bloquear aplicaciones no autorizadas mediante los dispositivos de seguridad locales. El uso de etiquetas y scripts de exportación permite organizar las aplicaciones y proteger su entorno, ya que solo permite el acceso a las aplicaciones seguras.
Más información:
Limitación de la exposición de datos compartidos y aplicación de directivas de colaboración
Práctica recomendada: Conexión de Office 365
Detalle: Conectar Office 365 a Defender for Cloud Aplicaciones le ofrece visibilidad inmediata de las actividades de los usuarios, los archivos a los que acceden y proporciona acciones de gobernanza para Office 365, SharePoint, OneDrive, Teams, Power BI, Exchange y Dynamics.
Más información:
Procedimiento recomendado: Conectar las aplicaciones
Detalle: Conectar las aplicaciones a Defender for Cloud Aplicaciones proporciona información mejorada sobre las actividades de los usuarios, la detección de amenazas y las funcionalidades de gobernanza. Para ver qué API de aplicación de terceros se admiten, vaya a Conectar aplicaciones.
Más información:
Práctica recomendada: Revisión de la exposición de los datos de la organización
Detalle: Use los informes de exposición de archivos para obtener visibilidad sobre cómo los usuarios comparten archivos con aplicaciones en la nube. Los informes siguientes están disponibles y se pueden exportar para hacer un análisis más exhaustivo en herramientas como Microsoft Power BI:
Información general sobre el uso compartido de datos: Enumera los archivos por los permisos de acceso almacenados en cada una de las aplicaciones en la nube.
Uso compartido externo por dominio: Enumera los dominios con los que los empleados comparten los archivos corporativos.
Propietarios de archivos compartidos: Enumera los usuarios que comparten archivos corporativos de forma externa.
Más información:
Práctica recomendada: Creación de directivas para quitar el uso compartido con cuentas personales
Detalle: Conectar Office 365 a Defender for Cloud Aplicaciones le ofrece visibilidad inmediata de las actividades de los usuarios, los archivos a los que acceden y proporciona acciones de gobernanza para Office 365, SharePoint, OneDrive, Teams, Power BI, Exchange y Dynamics.
Más información:
Detección, clasificación, etiquetado y protección de datos regulados y confidenciales almacenados en la nube
Procedimiento recomendado: Integración con Microsoft Purview Information Protection
Detalle: La integración con Microsoft Purview Information Protection proporciona la capacidad de aplicar automáticamente etiquetas de confidencialidad y, opcionalmente, agregar protección de cifrado. Una vez que la integración está activada, puede aplicar etiquetas como una acción de gobernanza, ver archivos por clasificación, investigar archivos por nivel de clasificación y crear directivas granulares para asegurarse de que los archivos clasificados se controlan correctamente. Si no activa la integración, no podrá beneficiarse de la posibilidad de examinar, etiquetar y cifrar archivos automáticamente en la nube.
Más información:
- integración de Microsoft Purview Information Protection
- Tutorial: Aplicación automática de etiquetas de confidencialidad desde Microsoft Purview Information Protection
Práctica recomendada: Creación de directivas de exposición de datos
Detalle: Use directivas de archivo para detectar información de uso compartido y análisis de información confidencial en las aplicaciones en la nube. Cree las siguientes directivas de archivo para avisarle cuando se detecten exposiciones de datos:
- Archivos compartidos externamente que contienen datos confidenciales
- Archivos compartidos externamente y etiquetados como Confidencial
- Archivos compartidos con un dominio no autorizado
- Protección de archivos confidenciales en aplicaciones SaaS
Más información:
Práctica recomendada: Revisión de informes en la página Archivos
Detalle: una vez que haya conectado varias aplicaciones SaaS mediante conectores de aplicaciones, Defender for Cloud Aplicaciones examina los archivos almacenados por estas aplicaciones. Además, cada vez que se modifica un archivo, se vuelve a examinar. Puede usar la página Archivos para comprender e investigar los tipos de datos que se almacenan en las aplicaciones en la nube. Para ayudarle a investigar, puede filtrar por dominios, grupos, usuarios, fecha de creación, extensión, nombre de archivo y tipo, identificador de archivo, etiqueta de confidencialidad, etc. El uso de estos filtros permite controlar el modo en que decide investigar los archivos para asegurarse de que ninguno de los datos esté en riesgo. Una vez que comprenda mejor cómo se usan los datos, puede crear directivas para buscar contenido confidencial en estos archivos.
Más información:
Aplicación de directivas de cumplimiento y de DLP para datos almacenados en la nube
Práctica recomendada: Protección de los datos confidenciales para evitar que se compartan con usuarios externos
Detalle: cree una directiva de archivo que detecte cuándo un usuario intenta compartir un archivo con la etiqueta de confidencialidad confidencial con alguien externo a su organización y configurar su acción de gobernanza para quitar usuarios externos. Esta directiva garantiza que los datos confidenciales no salgan de la organización y que los usuarios externos no pueden acceder a ellos.
Más información:
Bloqueo y protección de la descarga de datos confidenciales en dispositivos no administrados o de riesgo
Práctica recomendada: Administración y control del acceso a dispositivos de alto riesgo
Detalle: Use Control de aplicaciones de acceso condicional para establecer controles en las aplicaciones SaaS. Puede crear directivas de sesión para supervisar las sesiones de bajo riesgo y con poco nivel de confianza. Del mismo modo, puede crear directivas de sesión para bloquear y proteger las descargas de los usuarios que intentan acceder a datos confidenciales desde dispositivos no administrados o de riesgo. Si no va a crear directivas de sesión para supervisar las sesiones de alto riesgo, no podrá bloquear y proteger las descargas en el cliente web, y tampoco supervisar sesiones de confianza baja en aplicaciones de Microsoft y de terceros.
Más información:
- Protección de aplicaciones con el control de aplicaciones de acceso condicional de Microsoft Defender for Cloud Apps
- Directivas de sesión
Colaboración segura con usuarios externos mediante la aplicación de controles de sesión en tiempo real
Práctica recomendada: Supervisión de sesiones con usuarios externos mediante Control de aplicaciones de acceso condicional
Detalle: Para proteger la colaboración en su entorno, puede crear una directiva de sesión para supervisar las sesiones entre los usuarios internos y externos. Esto no solo le ofrece la posibilidad de supervisar la sesión entre los usuarios (y notificarles que sus actividades de sesión se están supervisando), sino que también le permite limitar actividades específicas. Al crear directivas de sesión para supervisar la actividad, puede elegir las aplicaciones y los usuarios que quiere supervisar.
Más información:
- Protección de aplicaciones con el control de aplicaciones de acceso condicional de Microsoft Defender for Cloud Apps
- Directivas de sesión
Detección de amenazas en la nube, cuentas en peligro, colaboradores malintencionados y ransomware
Práctica recomendada: Ajuste de las directivas de anomalías, establecimiento de intervalos IP y envío de comentarios de alertas
Detalle: Las directivas de detección de anomalías proporcionan análisis de comportamiento de usuarios y entidades (UEBA) y aprendizaje automático (ML) para que pueda ejecutar inmediatamente la detección de amenazas avanzada en el entorno de nube.
Las directivas de detección de anomalías se desencadenan cuando los usuarios de su entorno realizan actividades inusuales. Defender for Cloud Aplicaciones supervisa continuamente las actividades de los usuarios y usa UEBA y ML para aprender y comprender el comportamiento normal de los usuarios. Puede ajustar la configuración de la directiva para que se adapte a los requisitos de su organización; por ejemplo, puede establecer la confidencialidad de una directiva, así como definir el ámbito de una directiva para un grupo específico.
Ajuste y ámbito de directivas de detección de anomalías: Por ejemplo, para reducir el número de falsos positivos dentro de la alerta de viaje imposible, puede establecer el control deslizante de confidencialidad de la directiva en Bajo. Si hay usuarios de su organización que realizan frecuentemente viajes corporativos, puede agregarlos a un grupo de usuarios y seleccionar ese grupo en el ámbito de la directiva.
Establecer intervalos IP: Defender for Cloud Aplicaciones pueden identificar direcciones IP conocidas una vez que se establecen intervalos de direcciones IP. Con los intervalos de direcciones IP configurados, puede etiquetar, clasificar y personalizar la forma en que se muestran e investigan los registros y las alertas. Agregar intervalos de direcciones IP ayuda a reducir las detecciones de falsos positivos y a mejorar la precisión de las alertas. Si decide no agregar las direcciones IP, es posible que vea un mayor número de posibles falsos positivos y alertas para investigar.
Envío de comentarios de alertas:
Al descartar o resolver las alertas, asegúrese de enviar comentarios con el motivo por el que descartó la alerta o cómo se resolvió. Esta información ayuda a Defender for Cloud Aplicaciones a mejorar nuestras alertas y a reducir los falsos positivos.
Más información:
- Obtención de análisis de comportamiento y detección de anomalías instantáneos
- Trabajo con etiquetas e intervalos IP
- Supervisión de alertas en aplicaciones de Defender for Cloud
Práctica recomendada: Detección de actividad desde ubicaciones o países inesperados
Detalle: Cree una directiva de actividad que le avise cuando los usuarios inicien sesión desde ubicaciones o países inesperados. Estas notificaciones pueden alertarlo de posibles sesiones en peligro en su entorno para que pueda detectar y corregir amenazas antes de que se produzcan.
Más información:
Práctica recomendada: Creación de directivas de aplicación de OAuth
Detalle: Cree una directiva de aplicación de OAuth para recibir una notificación cuando una aplicación de OAuth cumpla determinados criterios. Por ejemplo, puede optar por recibir una notificación cuando una aplicación específica que requiera un nivel de permisos elevado sea accesible por más de 100 usuarios.
Más información:
Uso de la traza de auditoría de actividades para investigaciones forenses
Práctica recomendada: Uso de la pista de auditoría de las actividades al investigar alertas
Detalle: Las alertas se desencadenan cuando las actividades de usuario, administrador o inicio de sesión no cumplen las directivas. Es importante investigar las alertas para saber si hay una posible amenaza en el entorno.
Puede investigar una alerta seleccionándola en la página Alertas y revisando la pista de auditoría de las actividades relacionadas con esa alerta. La pista de auditoría ofrece visibilidad de las actividades del mismo tipo, el mismo usuario, la misma dirección IP y la misma ubicación, para así proporcionarle la historia general de una alerta. Si una alerta garantiza más investigación, cree un plan para resolver esas alertas en su organización.
Al descartar las alertas, es importante investigar y comprender por qué no son de importancia o si son falsos positivos. Si hay un gran volumen de estas actividades, también puede plantearse revisar y optimizar la directiva que desencadena la alerta.
Más información:
Servicios de IaaS seguros y aplicaciones personalizadas
Práctica recomendada: Conexión de Azure, AWS y GCP
Detalle: Conectar cada una de estas plataformas en la nube a Defender for Cloud Apps le ayuda a mejorar las funcionalidades de detección de amenazas. Mediante la supervisión de las actividades administrativas e inicios de sesión de estos servicios, puede detectar y recibir notificaciones sobre posibles ataques por fuerza bruta, el uso malintencionado de una cuenta de usuario con privilegios y otras amenazas del entorno. Por ejemplo, puede identificar riesgos tales como eliminaciones inusuales de máquinas virtuales o incluso actividades de suplantación en estas aplicaciones.
Más información:
- Conectar Azure a Microsoft Defender for Cloud Apps
- Conectar AWS a Microsoft Defender for Cloud Apps
- Conectar GCP a Microsoft Defender for Cloud Apps (versión preliminar)
Práctica recomendada: Revisión de las evaluaciones de configuración de seguridad para Azure, AWS y GCP
Detalle: La integración con Microsoft Defender for Cloud proporciona una evaluación de la configuración de seguridad de su entorno de Azure. Esta evaluación proporciona recomendaciones para la configuración y el control de seguridad que faltan. Revisar estas recomendaciones ayuda a identificar anomalías y posibles vulnerabilidades en su entorno, y podrá acceder directamente a la ubicación correspondiente del portal de seguridad de Azure para resolverlas.
AWS y GCP ofrecen la posibilidad de obtener visibilidad de las recomendaciones de configuración de seguridad sobre cómo mejorar la seguridad en la nube.
Siga estas recomendaciones para supervisar el estado de cumplimiento y la posición de seguridad de toda la organización, incluidas las suscripciones de Azure, las cuentas de AWS y los proyectos de GCP.
Más información:
- Configuración de seguridad para Azure
- Configuración de seguridad para AWS
- Configuración de seguridad para GCP
Práctica recomendada: Incorporación de aplicaciones personalizadas
Detalle: para obtener visibilidad adicional de las actividades de las aplicaciones de línea de negocio, puede incorporar aplicaciones personalizadas a Defender for Cloud Apps. Una vez configuradas las aplicaciones personalizadas, verá información sobre quién las usa, las direcciones IP desde las que se usan y la cantidad de tráfico que entra y sale de la aplicación.
Además, puede incorporar una aplicación personalizada, como Control de aplicaciones de acceso condicional, para supervisar sus sesiones de confianza baja.
Más información: