Tutorial: detección y administración de shadow IT en la red

Nota

• Hemos cambiado el nombre de Microsoft Cloud App Security. Ahora se llama Microsoft Defender for Cloud Apps. En las próximas semanas, actualizaremos las capturas de pantalla e instrucciones aquí y en las páginas relacionadas. Para obtener más información sobre el cambio, consulte este anuncio. Para obtener más información sobre el cambio de nombre reciente de los servicios de seguridad de Microsoft, consulte el blog seguridad de Microsoft Ignite.

• Microsoft Defender for Cloud Apps ahora forma parte de Microsoft 365 Defender. El portal de Microsoft 365 Defender permite a los administradores de seguridad realizar sus tareas de seguridad en una ubicación. Esto simplificará los flujos de trabajo y agregará la funcionalidad de los demás servicios Microsoft 365 Defender. Microsoft 365 Defender será el hogar para supervisar y administrar la seguridad en las identidades, los datos, los dispositivos, las aplicaciones y la infraestructura de Microsoft. Para obtener más información sobre estos cambios, consulte Microsoft Defender for Cloud Apps en Microsoft 365 Defender.

Cuando se pregunta a los administradores de TI cuántas aplicaciones en la nube creen que usan sus empleados, la media es de 30 o 40. En realidad, la media de aplicaciones que usan los empleados de su organización es de más de 1000 aplicaciones distintas. Shadow IT le ayuda a saber e identificar qué aplicaciones se usan y cuál es el nivel de riesgo. El 80 % de los empleados usan aplicaciones no autorizadas que nadie ha revisado y es posible que no cumplan las directivas de seguridad y cumplimiento. Además, debido a que los clientes pueden acceder a sus recursos y aplicaciones desde fuera de la red corporativa, ya no es suficiente disponer de reglas y directivas en los firewalls.

En este tutorial aprenderá a usar Cloud Discovery para detectar qué aplicaciones se usan, explorar el riesgo que estas suponen, configurar directivas para identificar el uso de nuevas aplicaciones peligrosas y desautorizar dichas aplicaciones para bloquearlas de forma nativa con su dispositivo de proxy o firewall.

• Detección e identificación de shadow IT
• Evaluación y análisis
• Administración de las aplicaciones
• Creación avanzada de informes sobre detección de Shadow IT
• Control de aplicaciones autorizadas

Detección y administración de shadow IT en su red

Use este proceso para implementar Cloud Discovery de shadow IT en su organización.

Fase 1: Detección e identificación de shadow IT

1. Detección de shadow IT: ejecute Cloud Discovery para identificar la postura de seguridad de su organización y así ver qué sucede realmente en su red. Para obtener más información, consulte Configuración de Cloud Discovery. Esto puede realizarse mediante cualquiera de los métodos siguientes:

   • Para tenerlo todo a punto rápidamente, use Cloud Discovery e intégrelo con Microsoft Defender para punto de conexión. Esta integración nativa le permite empezar a recopilar inmediatamente datos sobre el tráfico en la nube en los dispositivos Windows 10 y Windows 11 dentro y fuera de la red.

   • Para la cobertura en todos los dispositivos conectados a la red, es importante implementar el recopilador de registros de aplicaciones de Defender for Cloud en los firewalls y otros servidores proxy para recopilar datos de los puntos de conexión y enviarlos a Defender for Cloud Aplicaciones para su análisis.

   • Integre Defender for Cloud Apps con el proxy. Defender for Cloud Apps se integra de forma nativa con algunos servidores proxy de terceros, incluido Zscaler.

Dado que las directivas no son las mismas en todos los grupos de usuarios, regiones y grupos de negocios, es posible que quiera crear un informe de shadow IT dedicado para cada una de estas unidades. Para obtener más información, vea Docker en Windows local.

Ahora que Cloud Discovery se está ejecutando en la red, examine los informes continuos que se generan y consulte el panel de Cloud Discovery para obtener una visión completa de las aplicaciones que se usan en su organización. Es una buena idea examinarlas por categoría, ya que a menudo encontrará que las aplicaciones no autorizadas se usan con fines legítimos relacionados con el trabajo que no se han abordado mediante una aplicación autorizada.

1. Identificar los niveles de riesgo de las aplicaciones: use el catálogo de aplicaciones de Defender for Cloud para profundizar en los riesgos implicados en cada aplicación detectada. El catálogo de aplicaciones de Defender for Cloud incluye más de 25 000 aplicaciones que se evalúan con más de 80 factores de riesgo. Los factores de riesgo abarcan desde información general sobre la aplicación (dónde está la sede de la aplicación o quién es el editor) hasta los controles y las medidas de seguridad (compatibilidad para el cifrado en reposo o proporción de un registro de auditoría de la actividad del usuario). Para obtener más información, vea Trabajo con la puntuación de riesgo.

   • En el portal Defender for Cloud Aplicaciones, en Detectar, seleccione Aplicaciones detectadas. Filtre la lista de aplicaciones detectadas en su organización por los factores de riesgo que le preocupa. Por ejemplo, puede usar los filtros avanzados para encontrar todas las aplicaciones con una puntuación de riesgo inferior a 8.

   • Puede explorar en profundidad la aplicación para comprender más sobre su cumplimiento seleccionando el nombre de la aplicación y seleccionando la pestaña Información para ver detalles sobre los factores de riesgo de seguridad de la aplicación.

Fase 2: Evaluación y análisis

1. Evalúe el cumplimiento: compruebe si las aplicaciones están certificadas como compatibles según los estándares de su organización, como HIPAA, SOC2 o RGPD.

   • En el portal Defender for Cloud Aplicaciones, en Detectar, seleccione Aplicaciones detectadas. Filtre la lista de aplicaciones detectadas en su organización por los factores de riesgo de cumplimiento que le preocupa. Por ejemplo, use la consulta sugerida para filtrar las aplicaciones que no cumplen con la normativa.

   • Puede explorar en profundidad la aplicación para comprender más sobre su cumplimiento seleccionando el nombre de la aplicación y seleccionando la pestaña Información para ver detalles sobre los factores de riesgo de cumplimiento de la aplicación.

   Sugerencia

   Reciba una notificación cuando una aplicación detectada esté asociada a una vulneración de seguridad publicada recientemente mediante la alerta de vulneración de seguridad para aplicaciones detectadas. Investigue todos los usuarios, direcciones IP y dispositivos que acceden a la aplicación vulnerada en los últimos 90 días y aplique los controles pertinentes.

2. Analice el uso: ahora que sabe si quiere o no que se use la aplicación en la organización, querrá investigar cómo y quién la usa. Si solo se usa de forma limitada en la organización, es posible que no suponga un problema, pero si el uso aumenta puede que quiera recibir una notificación para decidir si quiere bloquear la aplicación.

   • En el portal Defender for Cloud Aplicaciones, en Detectar, seleccione Aplicaciones detectadas y, a continuación, explore en profundidad seleccionando la aplicación específica que desea investigar. La pestaña Uso le permite saber cuántos usuarios activos están usando la aplicación y cuánto tráfico genera. Esto ya puede darle una buena imagen de lo que sucede con la aplicación. Después, si quiere ver quién, en concreto, usa la aplicación, puede explorar en profundidad si selecciona Total de usuarios activos. Este paso importante puede proporcionarle información pertinente. Por ejemplo, si detecta que todos los usuarios de una aplicación específica pertenecen al departamento de marketing, es posible que haya una necesidad empresarial de esta aplicación y, si es peligrosa, debería comunicarse con ese departamento para encontrar una alternativa antes de bloquearla.

   • Profundice aún más al investigar el uso de aplicaciones detectadas. Vea subdominios y recursos para obtener información sobre actividades específicas, acceso a datos y uso de recursos en los servicios en la nube. Para obtener más información, consulte Análisis detallado de las aplicaciones detectadas y Detección de recursos y aplicaciones personalizadas.

3. Identificar aplicaciones alternativas: use el catálogo de aplicaciones en la nube para identificar aplicaciones más seguras que logren una funcionalidad empresarial similar a las aplicaciones de riesgo detectadas, pero cumplan con la directiva de su organización. Para ello, puede usar los filtros avanzados a fin de buscar aplicaciones de la misma categoría que cumplan los requisitos para superar los diferentes controles de seguridad.

Fase 3: Administración de las aplicaciones

• Administrar aplicaciones en la nube: Defender for Cloud Aplicaciones le ayuda con el proceso de administración del uso de aplicaciones en su organización. Después de identificar los distintos patrones y comportamientos usados en su organización, puede crear nuevas etiquetas de aplicaciones personalizadas para clasificar las aplicaciones según su estado de negocio o su justificación. Estas etiquetas se pueden usar para fines de supervisión específicos, por ejemplo, para identificar si hay un tráfico elevado dirigido a aplicaciones etiquetadas como aplicaciones de almacenamiento en la nube peligrosas. Las etiquetas de las aplicaciones se pueden administrar en la configuración de Cloud Discovery>Etiquetas de aplicación. Estas etiquetas se pueden usar posteriormente para el filtrado en las páginas de Cloud Discovery y crear directivas con ellas.

• Administración de aplicaciones detectadas mediante la Galería de Azure Active Directory (Azure AD): Defender for Cloud Apps también usa su integración nativa con Azure AD para permitirle administrar las aplicaciones detectadas en la Galería de Azure AD. En el caso de las aplicaciones que ya aparecen en la galería de Azure AD, puede aplicar el inicio de sesión único y administrar la aplicación con Azure AD. Para ello, en la fila donde se muestra la aplicación pertinente, seleccione el signo de tres puntos al final de la fila y, después, haga clic en Administrar aplicación con Azure AD.

  

• Supervisión continua: ahora que ha investigado exhaustivamente las aplicaciones, es posible que quiera establecer directivas que supervisen las aplicaciones y proporcionen control cuando sea necesario.

Ahora es el momento de crear directivas para que se le avise automáticamente cuando se produzca algo sospechoso. Por ejemplo, es posible que quiera crear una directiva de detección de aplicaciones que le permita saber cuándo hay un pico en las descargas o el tráfico de una aplicación que le preocupa. Para conseguirlo, debe habilitar las directivas Comportamiento anómalo en usuarios detectados, Comprobación de cumplimiento de la aplicación de almacenamiento en la nube y Nueva aplicación de riesgo. Puede además establecer la directiva para recibir notificaciones por correo electrónico o mensaje de texto. Para más información, consulte la referencia de la plantilla de directiva, más información sobre las directivas de Cloud Discovery y Configuración de directivas de detección de aplicaciones.

Examine la página de alertas y use el filtro Tipo de directiva para ver las alertas de detección de aplicaciones. En el caso de las aplicaciones que coincidan con las directivas de detección de aplicaciones, se recomienda realizar una investigación avanzada para obtener más información sobre la justificación comercial para usar la aplicación, por ejemplo, poniéndose en contacto con los usuarios de la aplicación. Después, repita los pasos de la fase 2 para evaluar el riesgo de la aplicación. A continuación, determine los siguientes pasos para la aplicación, tanto si aprueba su uso en el futuro como si quiere bloquearla la próxima vez que un usuario accede a ella, en cuyo caso debe etiquetarla como no autorizada para que se pueda bloquear mediante el firewall, el proxy o la puerta de enlace web segura. Para obtener más información, consulte Integración con Microsoft Defender para punto de conexión, Integración con Zscaler, Integración con iboss y Bloquear aplicaciones mediante la exportación de un script de bloque.

Fase 4: Creación avanzada de informes sobre detección de Shadow IT

Además de las opciones de informes disponibles en Defender for Cloud Apps, puede integrar los registros de Cloud Discovery en Microsoft Sentinel para una investigación y un análisis más detallados. Una vez que los datos están en Microsoft Sentinel, puede verlos en paneles, ejecutar consultas mediante Kusto lenguaje de consulta, exportar consultas a Microsoft Power BI, integrarse con otros orígenes y crear alertas personalizadas. Para más información, consulte Integración de Microsoft Sentinel.

Fase 5: Control de aplicaciones autorizadas

1. Para habilitar el control de aplicaciones a través de las API, conecte aplicaciones a través de API para la supervisión continua.

2. Proteja aplicaciones con el Control de aplicaciones de acceso condicional.

La naturaleza de las aplicaciones en la nube significa que se actualizan diariamente y que las nuevas aplicaciones aparecen todo el tiempo. Por este motivo, los empleados usan continuamente nuevas aplicaciones y es importante realizar un seguimiento y revisar y actualizar las directivas, comprobar qué aplicaciones usan los usuarios, así como sus patrones de uso y comportamiento. Siempre puede ir al panel de Cloud Discovery, ver las nuevas aplicaciones que se están usando y seguir las instrucciones de este artículo para asegurarse de que la organización y los datos están protegidos.

Pasos siguientes

Actividades diarias para proteger el entorno de nube

Si surgen problemas, estamos aquí para ayudarle. Para obtener ayuda o soporte técnico para el problema del producto, abra una incidencia de soporte técnico.

Más información

• Pruebe nuestra guía interactiva: Detección y administración del uso de aplicaciones en la nube con Microsoft Defender for Cloud Apps