Control de aplicaciones en la nube con directivas

  • Artículo
  • Tiempo de lectura: 11 minutos

Nota

  • Hemos cambiado el nombre de Microsoft Cloud App Security. Ahora se llama Microsoft Defender for Cloud Apps. En las próximas semanas, actualizaremos las capturas de pantalla y las instrucciones aquí y en las páginas relacionadas. Para obtener más información sobre el cambio, consulte este anuncio. Para obtener más información sobre el cambio de nombre reciente de los servicios de seguridad de Microsoft, consulte el blog seguridad de Microsoft Ignite.

  • Microsoft Defender for Cloud Apps ahora forma parte de Microsoft 365 Defender. El portal de Microsoft 365 Defender permite a los administradores de seguridad realizar sus tareas de seguridad en una ubicación. Esto simplificará los flujos de trabajo y agregará la funcionalidad de los demás servicios Microsoft 365 Defender. Microsoft 365 Defender será el hogar de la supervisión y administración de la seguridad en las identidades, los datos, los dispositivos, las aplicaciones y la infraestructura de Microsoft. Para obtener más información sobre estos cambios, consulte Microsoft Defender for Cloud Apps en Microsoft 365 Defender.

Las directivas permiten definir la forma en que quiere que los usuarios se comporten en la nube. Con ellas se puede detectar comportamientos arriesgados, infracciones o actividades y puntos de datos sospechosos en su entorno de la nube. Si es necesario, puede integrar flujos de trabajo de corrección para lograr una mitigación de riesgos completa. Hay varios tipos de directivas que se correlacionan con los diferentes tipos de información que quiere recopilar sobre el entorno de nube y los tipos de acciones correctoras que quizás quiera realizar.

Por ejemplo, si hay una amenaza de infracción de datos que quiere poner en cuarentena, necesitará un tipo de directiva distinto que si quiere bloquear el uso de una aplicación de riesgo en la nube en la organización.

Tipos de directiva

Cuando consulta la página Directiva, se pueden distinguir las distintas políticas y plantillas por tipo e icono para ver las directivas que estarán disponibles. Las directivas se pueden ver juntas en la pestaña Todas las directivas o en sus respectivas pestañas de categoría. Las directivas disponibles dependen del origen de datos y de lo que ha habilitado en Defender for Cloud Apps para su organización. Por ejemplo, si se cargan registros de Cloud Discovery, se muestran las directivas relativas a Cloud Discovery.

Pueden crearse los siguientes tipos de directivas:

Icono de tipo de directiva Tipo de directiva Category Uso
icono de directiva de actividad. Directiva de actividades Detección de amenazas. Las directivas de actividad permiten aplicar una amplia gama de procesos automatizados mediante las API del proveedor de aplicaciones. Estas directivas permiten supervisar actividades concretas realizadas por distintos usuarios o seguir niveles inesperadamente altos de un determinado tipo de actividad. Más información
icono de directiva de detección de anomalías. Directiva de detección de anomalías Detección de amenazas. Las directivas de detección de anomalías permiten buscar actividades inusuales en la nube. La detección se basa en los factores de riesgo que se configuran para avisarle cuando ocurre algo que es diferente de la línea base de la organización o de la actividad normal del usuario. Más información
Icono de directiva de aplicación de OAuth. Directiva de aplicación de OAuth Detección de amenazas. Las directivas de aplicación de OAuth permiten investigar qué permisos solicita cada aplicación de OAuth y aprueba o revoca automáticamente. Se trata de directivas integradas que vienen con Defender for Cloud Apps y no se pueden crear. Más información
Icono de directiva de detección de malware. Directiva de detección de malware Detección de amenazas. Las directivas de detección de malware le permiten identificar archivos malintencionados en el almacenamiento en la nube y aprobarlos o revocarlos automáticamente. Se trata de una directiva integrada que incluye Defender for Cloud Apps y no se puede crear. Más información
icono de directiva de archivo. Directiva de archivo Protección de la información Las directivas de archivo permiten examinar las aplicaciones en la nube para detectar tipos de archivo o archivos concretos (compartidos, compartidos con dominios externos), datos (información de propiedad, datos personales, información de tarjeta de crédito y otros tipos de datos) y aplicar acciones de gobernanza a los archivos (las acciones de gobernanza son específicas de la aplicación en la nube). Más información
icono de directiva de acceso. Directiva de acceso Acceso condicional Las directivas de acceso proporcionan funcionalidades de supervisión y control en tiempo real de los inicios de sesión de usuario en las aplicaciones en la nube. Más información
icono de directiva de sesión. Directiva de sesión Acceso condicional Las directivas de la sesión ofrecen supervisión y control en tiempo real de la actividad del usuario en las aplicaciones en la nube. Más información
icono de directiva de cloud Discovery. Directiva de detección de aplicaciones Shadow IT Las directivas de detección de aplicaciones permiten establecer alertas que notifican cuando se detectan nuevas aplicaciones en la organización. Más información
icono de directiva de detección de anomalías. Directiva de detección de anomalías de Cloud Discovery Shadow IT Las directivas de detección de anomalías de Cloud Discovery examinan los registros que se usan para detectar aplicaciones en la nube y buscan apariciones inusuales. Por ejemplo, cuando un usuario que nunca ha usado Dropbox de repente carga 600 GB o cuando hay muchas más transacciones de lo habitual en una aplicación determinada. Más información

La identificación de riesgos

Defender for Cloud Apps le ayuda a mitigar diferentes riesgos en la nube. Puede configurar cualquier directiva y alerta de modo que esté asociada con uno de los siguientes riesgos:

  • Control de acceso: ¿quién accede a qué desde dónde?

    Se supervisa el comportamiento en todo momento, se detectan actividades anómalas (incluidos ataques internos y externos de alto riesgo) y se aplica una directiva para alertar, bloquear o exigir verificación de identidad para cualquier aplicación o acción concreta dentro una aplicación. Se habilitan directivas de control de acceso locales y móviles basadas en el usuario, el dispositivo y la geografía con bloqueo general y vista, edición y bloqueo pormenorizados. Se detectan eventos de inicio de sesión sospechosos, incluidos errores de autenticación multifactor, errores de inicio de sesión de cuentas deshabilitadas y eventos de suplantación.

  • Cumplimiento normativo: ¿se infringen los requisitos de cumplimiento normativo?

    Se catalogan y se identifican los datos confidenciales o regulados, incluidos los permisos de uso compartido de cada archivo, almacenados en servicios de sincronización de archivos para garantizar el cumplimiento de normas como PCI, SOX e HIPAA.

  • Control de configuración: ¿se están realizando cambios no autorizados en la configuración?

    Se supervisan los cambios de configuración, incluida la manipulación de la configuración remota.

  • Cloud Discovery: ¿se están usando nuevas aplicaciones en la organización? ¿Tiene un problema de uso de aplicaciones de TI en la sombra del que no es consciente?

    La valoración del riesgo general de cada aplicación en la nube en función de las certificaciones normativas y del sector, y de las prácticas recomendadas. Permite supervisar el número de usuarios, las actividades, el volumen de tráfico y las horas de uso típicas de cada aplicación en la nube.

  • DLP: ¿se están compartiendo públicamente archivos de su propiedad? ¿Es necesario poner archivos en cuarentena?

    La integración DLP local proporciona integración y corrección de bucle cerrado con soluciones DLP locales existentes.

  • Cuentas con privilegios: ¿es necesario supervisar cuentas de administrador?

    Supervisión de actividad en tiempo real e informes de usuarios con privilegios y administradores.

  • Control de uso compartido: ¿cómo se comparten los datos en el entorno de nube?

    Inspeccione el contenido de archivos y el contenido en la nube y aplique directivas de uso compartido internas y externas. Supervise la colaboración y aplique directivas de uso compartido, por ejemplo el bloqueo del uso compartido de los archivos fuera de la organización.

  • Detección de amenazas: ¿hay actividades sospechosas que amenacen el entorno de nube?

    Reciba notificaciones en tiempo real de cualquier umbral de actividad o infracción de una directiva a través del correo electrónico o un mensaje de texto. Al aplicar algoritmos de aprendizaje automático, Defender for Cloud Apps le permite detectar el comportamiento que podría indicar que un usuario está utilizando datos incorrectos.

Cómo controlar el riesgo

Siga este proceso para controlar el riesgo con directivas:

  1. Cree una directiva a partir de una plantilla o una consulta.

  2. Ajuste la directiva para lograr los resultados esperados.

  3. Agregue acciones automatizadas para responder a los riesgos y corregirlos automáticamente.

Crear una directiva

Puede usar las plantillas de directiva de Defender for Cloud Apps como base para todas las directivas o crear directivas a partir de una consulta.

Las plantillas de directiva le ayudan a establecer los filtros correctos y las configuraciones necesarias para detectar eventos específicos de interés en el entorno. Las plantillas incluyen directivas de todos los tipos y se pueden aplicar a diversos servicios.

Para crear una directiva a partir de una plantilla de directiva, siga los pasos siguientes:

  1. En la consola, seleccione Control seguido de Plantillas.

    Cree la directiva a partir de una plantilla.

  2. Seleccione el signo más (+) situado en el extremo derecho de la fila de la plantilla que desea usar. Se abre una página de creación de directivas con la configuración predefinida de la plantilla.

  3. Modifique la plantilla según sea necesario para la directiva personalizada. Cada propiedad y campo de esta nueva directiva basada en plantilla se puede modificar según las propias necesidades.

    Nota

    Al usar los filtros de directiva, Contiene busca solo palabras completas, separadas por comas, puntos, espacios o caracteres de subrayado. Por ejemplo, si busca malware o virus, encontrará virus_malware_file.exe, pero no encontrará malwarevirusfile.exe. Si busca malware.exe, encontrará todos los archivos con malware o exe en su nombre de archivo, mientras que si busca "malware.exe" (con las comillas), solo encontrará archivos que contengan exactamente "malware.exe".
    Es igual a solo buscará la cadena completa. Por ejemplo, si busca malware.exe, encontrará malware.exe pero no malware.exe.txt.

  4. Después de crear la nueva directiva basada en plantilla, aparece un vínculo a la nueva directiva en la columna Directivas vinculadas de la tabla de plantillas de directivas situada junto a la plantilla a partir de la que se ha creado la directiva. Puede crear tantas directivas como quiera de cada plantilla y todas pueden vincularse a la plantilla original. La vinculación permite realizar un seguimiento de todas las directivas creadas con la misma plantilla.

También puede crear una directiva durante la investigación. Si está investigando el registro de actividad, los archivos o las cuentas y los explora en profundidad en busca de algo concreto, puede crear una nueva directiva basada en los resultados de la investigación en cualquier momento.

Por ejemplo, si está examinando el registro de actividad y ve una actividad de administrador desde fuera de las direcciones IP de la oficina.

Para crear una directiva basada en los resultados de la investigación, siga estos pasos:

  1. En la consola, seleccione Investigar seguido de Registro de actividad, Archivos o Cuentas.

  2. Use los filtros en la parte superior de la página para limitar los resultados de búsqueda al área sospechosa. Por ejemplo, en la página Registro de actividad, seleccione Tipo de actividad y seleccione Escribir administradores en la operación de Azure. A continuación, en Dirección IP, seleccione Categoría y establezca el valor para que no incluya categorías de dirección IP que haya creado para los dominios reconocidos, como las direcciones IP de administrador, corporativas o de VPN.

    Cree un archivo a partir de la investigación.

  3. En la esquina superior derecha de la consola, seleccione Nueva directiva en la búsqueda.

    Nueva directiva desde el botón de búsqueda.

  4. Se abre una página de creación de directivas que contiene los filtros usados en la investigación.

  5. Modifique la plantilla según sea necesario para la directiva personalizada. Cada propiedad y campo de esta nueva directiva basada en investigación se puede modificar según las propias necesidades.

    Nota

    Al usar los filtros de directiva, Contiene busca solo palabras completas, separadas por comas, puntos, espacios o caracteres de subrayado. Por ejemplo, si busca malware o virus, encontrará virus_malware_file.exe, pero no encontrará malwarevirusfile.exe.
    Es igual a solo buscará la cadena completa. Por ejemplo, si busca malware.exe, encontrará malware.exe pero no malware.exe.txt.

    crear una directiva de actividad a partir de la investigación.

    Nota

    Para obtener más información sobre la configuración de los campos de la directiva, vea la documentación correspondiente de la directiva:

    Directivas de actividad de usuario

    Directivas de protección de datos

    Crear directivas de Cloud Discovery

Agregar acciones automatizadas para responder a los riesgos y corregirlos automáticamente

Para obtener una lista de acciones de control disponibles por aplicación, vea Control de aplicaciones conectadas.

También puede configurar la directiva para que recibir una alerta por correo electrónico o mensaje de texto cuando se detecten coincidencias.

Para establecer las preferencias de notificación, vaya a Personalizar el portal.

Nota

El número máximo de alertas que se enviarán por mensaje de texto es de diez al día por número de teléfono. El día se calcula según la zona horaria UTC.

Habilitar y deshabilitar directivas

Después de crear una directiva, puede habilitarla o deshabilitarla. Si la deshabilita, evita tener que eliminar una directiva después de crearla para detenerla. En su lugar, si por algún motivo quiere detener la directiva, tendrá que deshabilitarla hasta que decida volver a habilitarla.

  • Para habilitar una directiva, en la página Directiva , seleccione los tres puntos al final de la fila de la directiva que desea habilitar. Seleccione Habilitar.

    Habilite la directiva.

  • Para deshabilitar una directiva, en la página Directiva , seleccione los tres puntos al final de la fila de la directiva que desea deshabilitar. Seleccione Deshabilitar.

    Deshabilite la directiva.

De manera predeterminada, las directivas están habilitadas después de crearlas.

Informe de información general sobre directivas

Defender for Cloud Apps le permite exportar un informe de información general de directivas que muestra métricas de alerta agregadas por directiva para ayudarle a supervisar, comprender y personalizar las directivas para proteger mejor su organización.

Para exportar un registro, realice los pasos siguientes:

  1. En la página Directivas , seleccione el botón Exportar .

  2. Especifique el intervalo de tiempo necesario.

  3. Selecciona Export (Exportar). Este proceso puede tardar algún tiempo.

Para descargar el informe exportado:

  1. Una vez que el informe esté listo, vaya a Configuración y después a Informes exportados.

  2. En la tabla, seleccione el informe pertinente en la lista de informes de información general de directivas y seleccione Descargar.

    Botón descargar.

Pasos siguientes

Actividades diarias para proteger el entorno de nube

Si surgen problemas, estamos aquí para ayudarle. Para obtener ayuda o soporte técnico para el problema del producto, abra una incidencia de soporte técnico.