Compartir vía

Creación de directivas de aplicaciones en la gobernanza de aplicaciones

  • Artículo

Junto con un conjunto integrado de funcionalidades para detectar el comportamiento anómalo de la aplicación y generar alertas basadas en algoritmos de aprendizaje automático, las directivas de gobernanza de aplicaciones permiten:

  • Especificar las condiciones en las que la gobernanza de aplicaciones te avisa del comportamiento de la aplicación para la corrección automática o manual.

  • Aplicar las políticas de cumplimiento de aplicaciones de tu organización.

Usa la gobernanza de aplicaciones para crear directivas OAuth para aplicaciones conectadas a Microsoft Entra ID, Google Workspace y Salesforce.


Crear directivas de aplicación OAuth para Microsoft Entra ID

En el caso de las aplicaciones conectadas a Microsoft Entra ID, crea directivas de aplicación a partir de plantillas proporcionadas que se pueden personalizar o crea tu propia directiva de aplicación personalizada.

  1. Para crear una directiva de aplicación para aplicaciones de Azure AD, ve a Microsoft Defender XDR, > Gobernanza de aplicaciones, > Directivas, > Azure AD.

    Por ejemplo:

    Screenshot of the Azure AD tab.

  2. Selecciona la opción Crear nueva directiva y, a continuación, realiza uno de los pasos siguientes:

    • Para crear una nueva directiva de aplicación a partir de una plantilla, elige la categoría de plantilla pertinente seguida de la plantilla de esa categoría.
    • Para crear una directiva personalizada, selecciona la categoría Personalizado.

    Por ejemplo:

    Screenshot of a Choose a policy template page.

Plantillas de directivas de aplicaciones

Para crear una nueva directiva de aplicación basada en una plantilla de directiva de aplicación, en la página Elegir plantilla de directiva de aplicación, selecciona una categoría de plantilla de aplicación, selecciona el nombre de la plantilla y, a continuación, selecciona Siguiente.

En las siguientes secciones se describen las categorías de plantillas de directivas de aplicaciones.

Uso

En la tabla siguiente se enumeran las plantillas de gobernanza de aplicaciones admitidas para generar alertas para el uso de la aplicación.

Nombre de plantilla Descripción
Nueva aplicación con un uso elevado de datos Busca las aplicaciones recién registradas que han cargado o descargado grandes cantidades de datos mediante Graph API. Esta directiva comprueba las siguientes condiciones:

  • Edad de registro: siete días o menos (personalizable)
  • Uso de datos: mayor que 1 GB en un día (personalizable)
    		•
    Aumento de los usuarios Busca aplicaciones con un aumento considerable del número de usuarios. Esta directiva comprueba las siguientes condiciones:

  • Intervalo de tiempo: Últimos 90 días
  • Aumento del consentimiento de los usuarios: al menos el 50 % (personalizable)
    		•

    Permisos

    En la tabla siguiente se enumeran las plantillas de gobernanza de aplicaciones admitidas para generar alertas de permisos de aplicación.

    Nombre de plantilla Descripción
    Aplicación sobreprivilegiada Busca aplicaciones que tengan permisos de Microsoft Graph API sin usar. A estas aplicaciones se les han concedido permisos que podrían ser innecesarios para su uso normal.
    Nueva aplicación con privilegios elevados Busca las aplicaciones recién registradas a las que se ha concedido acceso de escritura y otros permisos eficaces de Graph API. Esta directiva comprueba las siguientes condiciones:

  • Edad de registro: siete días o menos (personalizable)
    		•
    Nueva aplicación con permisos que no son de Graph API Busca las aplicaciones recién registradas que tienen permisos para las API que no son de Graph. Estas aplicaciones pueden exponerte a riesgos si las API a las que acceden reciben soporte técnico y actualizaciones limitados.
    Esta directiva comprueba las siguientes condiciones:

  • Edad de registro: siete días o menos (personalizable)
  • Permisos que no son de Graph API: Sí
    		•

    Certificación

    En la tabla siguiente se enumeran las plantillas de gobernanza de aplicaciones admitidas para generar alertas para la certificación de Microsoft 365.

    Nombre de plantilla Descripción
    Nueva aplicación no certificada Busca las aplicaciones recién registradas que no tengan atestación de publicador o certificación de Microsoft 365. Esta directiva comprueba las siguientes condiciones:

  • Edad de registro: siete días o menos (personalizable)
  • Certificación: sin certificación (personalizable)
    		•

    Directivas personalizadas

    Usa una directiva de aplicación personalizada cuando necesites hacer algo que aún no haya hecho una de las plantillas integradas.

    1. Para crear una nueva directiva de aplicación personalizada, primero selecciona Crear nueva directiva en la página Directivas. En la página Elegir plantilla de directiva de aplicación, selecciona la categoría Personalizado , la plantilla Directiva personalizada y, a continuación, selecciona Siguiente.

    2. En la página Nombre y descripción, configura lo siguiente:

      • Nombre de directiva
      • Descripción de directiva
      • Selecciona la gravedad de la directiva, que establece la gravedad de las alertas generadas por esta directiva.
        • Alto
        • Media
        • Bajo

    3. En la página Elegir configuración y condiciones de directiva, para Elegir las aplicaciones a las que se aplica esta directiva, selecciona:

      • Todas las aplicaciones
      • Elegir aplicaciones específicas
      • Todas las aplicaciones excepto

    4. Si eliges aplicaciones específicas o todas las aplicaciones excepto para esta directiva, selecciona Agregar aplicaciones y selecciona las aplicaciones deseadas en la lista. En el panel Elegir aplicaciones , puedes seleccionar varias aplicaciones a las que se aplica esta directiva y, a continuación, seleccionar Agregar. Selecciona Siguiente cuando estés satisfecho con la lista.

    5. Selecciona Editar condiciones. Selecciona Agregar condición y elige una condición en la lista. Establece el umbral deseado para la condición seleccionada. Repite esta operación para agregar más condiciones. Selecciona Guardar para guardar la regla y, cuando termines de agregar reglas, selecciona Siguiente.

      Nota

      Algunas condiciones de directiva solo se aplican a las aplicaciones que acceden a los permisos de Graph API. Al evaluar las aplicaciones que solo acceden a las API que no son de Graph, la gobernanza de aplicaciones omitirá estas condiciones de directiva y solo comprobará otras condiciones de directiva.

    6. Estas son las condiciones disponibles para una directiva de aplicación personalizada:

      Condición Valores de condición aceptados Descripción Más información
      Edad de registro En los últimos X días Aplicaciones que se registraron en Microsoft Entra ID dentro de un período especificado a partir de la fecha actual
      Certificación Sin certificación, Publicador atestado, Certificado Microsoft 365 Las aplicaciones certificadas por Microsoft 365 tienen un informe de atestación del publicador o ninguno Certificación de Microsoft 365
      Publicador comprobado Sí o no Aplicaciones que tienen publicadores verificados Verificación del publicador
      Permisos de aplicación (solo Graph) Selecciona uno o más permisos de API de la lista Aplicaciones con permisos específicos de Graph API que se han concedido directamente Referencia de permisos de Microsoft Graph
      Permisos delegados (solo Graph) Selecciona uno o más permisos de API de la lista Aplicaciones con permisos específicos de Graph API proporcionados por un usuario Referencia de permisos de Microsoft Graph
      Con privilegios elevados (solo Graph) Sí o no Aplicaciones con permisos de Graph API relativamente eficaces Designación interna basada en la misma lógica que usa Defender for Cloud Apps.
      Sobreprivilegiado (solo Graph) Sí o no Aplicaciones con permisos de Graph API sin usar Aplicaciones con más permisos concedidos de los que usan esas aplicaciones.
      Permisos de API que no son de Graph Sí o no Aplicaciones con permisos para las API que no son de Graph. Estas aplicaciones pueden exponerte a riesgos si las API a las que acceden reciben soporte técnico y actualizaciones limitados.
      Uso de datos (solo Graph) Mayor que X GB de datos descargados y cargados al día Aplicaciones que han leído y escrito más de una cantidad especificada de datos mediante Graph API
      Tendencia de uso de datos (solo Graph) Aumento del X % en el uso de datos en comparación con el día anterior Las aplicaciones cuyos datos leen y escriben mediante Graph API han aumentado en un porcentaje especificado en comparación con el día anterior
      Acceso de API (solo Graph) Mayor que X llamadas API al día Aplicaciones que han realizado un número especificado de llamadas de Graph API en un día
      Tendencia de acceso de API (solo Graph) Aumento de X % en las llamadas API en comparación con el día anterior Aplicaciones cuyo número de llamadas a Graph API han aumentado en un porcentaje especificado en comparación con el día anterior
      Número de usuarios que dan su consentimiento (Mayor que o Menor que) X usuarios con consentimiento Aplicaciones que han dado su consentimiento un mayor o menor número de usuarios de los especificados
      Aumento del consentimiento de los usuarios Aumento del X % de los usuarios en los últimos 90 días Aplicaciones cuyo número de usuarios con consentimiento han aumentado en más de un porcentaje especificado en los últimos 90 días
      Consentimiento de la cuenta de prioridad dado Sí o no Aplicaciones que han dado su consentimiento a los usuarios prioritarios Un usuario con una cuenta de prioridad.
      Nombres de usuarios que dan su consentimiento Selecciona usuarios de la lista Aplicaciones que han dado su consentimiento a usuarios específicos
      Roles de usuarios que dan su consentimiento Seleccionar roles de la lista Aplicaciones que han dado su consentimiento a los usuarios con roles específicos Se permiten múltiples selecciones.

      Cualquier rol de Microsoft Entra con miembro asignado debe estar disponible en esta lista.
      Etiquetas de confidencialidad a las que se ha accedido Selecciona una o varias etiquetas de confidencialidad en la lista Aplicaciones que accedieron a datos con etiquetas de confidencialidad específicas en los últimos 30 días.
      Servicios a los que se accede (solo Graph) Exchange, OneDrive, SharePoint o Teams Apliciaciones que han accedido a OneDrive, SharePoint o Exchange Online mediante Graph API Se permiten múltiples selecciones.
      Tasa de errores (solo Graph) La tasa de errores es mayor que X % en los últimos siete días Aplicaciones cuyas tasas de errores de Graph API en los últimos siete días son mayores que un porcentaje especificado

      Se deben cumplir todas las condiciones especificadas para que esta directiva de aplicación genere una alerta.

    7. Cuando hayas terminado de especificar las condiciones, selecciona Guardar y, a continuación, selecciona Siguiente.

    8. En la página Definir acciones de directiva, selecciona Deshabilitar aplicación si deseas que la gobernanza de aplicaciones deshabilite la aplicación cuando se genere una alerta basada en esta directiva y, a continuación, selecciona Siguiente. Ten cuidado al aplicar acciones, porque una directiva puede afectar a los usuarios y al uso legítimo de la aplicación.

    9. En la página Definir estado de directiva, selecciona una de estas opciones:

      • Modo auditoría: las directivas se evalúan pero no se producirán acciones configuradas. Las directivas del modo de auditoría aparecen con el estado Auditoría en la lista de directivas. Debes usar el modo auditoría para probar una nueva directiva.
      • Activo: se evalúan las directivas y se producirán acciones configuradas.
      • Inactivo: las directivas no se evalúan y no se producirán acciones configuradas.

    10. Revisa cuidadosamente todos los parámetros de la directiva personalizada. Seleccione Enviar cuando estés satisfecho. También puedes volver atrás y cambiar la configuración seleccionando Editar debajo de cualquiera de las opciones de configuración.

    Prueba y supervisión de la nueva directiva de aplicación

    Ahora que se ha creado la directiva de aplicación, debes supervisarla en la página Directivas para asegurarte de que registras un número esperado de alertas activas y alertas totales durante las pruebas.

    Screenshot of the app governance policies summary page in Microsoft Defender XDR, with a highlighted policy.

    Si el número de alertas es un valor inesperadamente bajo, edita la configuración de la directiva de aplicación para asegurarte de que la has configurado correctamente antes de establecer su estado.

    Este es un ejemplo de un proceso para crear una nueva directiva, probarla y, a continuación, activarla:

    1. Crea la nueva directiva con gravedad, aplicaciones, condiciones y acciones establecidas en valores iniciales y el estado establecido en Modo auditoría.
    2. Comprueba el comportamiento esperado, como las alertas generadas.
    3. Si no se espera el comportamiento, edita las aplicaciones de directiva, las condiciones y la configuración de acción según sea necesario y vuelve al paso 2.
    4. Si se espera el comportamiento, edita la directiva y cambia su estado a Activo.

    Por ejemplo, en el siguiente gráfico de flujo se muestran los pasos necesarios:

    Diagram of the create app policy workflow.

    Creación de una nueva directiva para aplicaciones de OAuth conectadas a Salesforce y Google Workspace

    Las directivas para aplicaciones de OAuth desencadenan alertas solo en las directivas autorizadas por los usuarios del inquilino.

    Para crear una nueva directiva de aplicaciones para Salesforce, Google y otras aplicaciones:

    1. Ve a Microsoft Defender XDR, > Gobernanza de aplicaciones, > Directivas, > Otras aplicaciones. Por ejemplo:

      Other apps-policy creation

    2. Filtre las aplicaciones según sus necesidades. Por ejemplo, puede que quieras ver todas las aplicaciones que solicitan Permiso para Modificar calendarios en tu buzón de correo.

      Sugerencia

      Puedes usar el filtro Uso de la comunidad para saber si conceder permiso a esta aplicación es común, poco frecuente o raro. Este filtro puede ser útil si tiene una aplicación que es poco frecuente y solicita un permiso que tiene un nivel de gravedad alto o solicita permiso de muchos usuarios.

    3. Puede que quieras establecer la directiva según la pertenencia a grupos de los usuarios que autorizaron las aplicaciones. Por ejemplo, un administrador puede decidir establecer una directiva que revoca aplicaciones no comunes si requieren permisos elevados, solo si el usuario que autoriza los permisos es miembro del grupo de administradores.

    Por ejemplo:

    new OAuth app policy.

    Directivas de detección de anomalías para aplicaciones de OAuth conectadas a Salesforce y Google Workspace

    Además de las directivas de aplicaciones Oauth que puedes crear, Defender for Cloud Apps proporciona directivas de detección de anomalías integradas que generan perfiles de metadatos de aplicaciones de OAuth para identificar los que son potencialmente malintencionados.

    Esta sección solo es relevante para las aplicaciones Salesforce y Google Workspace.

    Nota

    Las directivas de detección de anomalías solo están disponibles para las aplicaciones de OAuth autorizadas en Microsoft Entra ID. No se puede modificar la gravedad de las directivas de detección de anomalías de aplicaciones de OAuth.

    En la tabla siguiente se describen las directivas de detección de anomalías integradas proporcionadas por Defender for Cloud Apps:

    Directiva Descripción
    Nombre engañoso de aplicación de OAuth Examina las aplicaciones de OAuth conectadas al entorno y desencadena una alerta cuando se detecta una aplicación con un nombre engañoso. Los nombres engañosos, como letras extranjeras similares a letras latinas, podrían indicar un intento de ocultar una aplicación malintencionada como una aplicación conocida y de confianza.
    Nombre engañoso de publicador para una aplicación de OAuth Examina las aplicaciones de OAuth conectadas al entorno y desencadena una alerta cuando se detecta una aplicación con un nombre de publicador engañoso. Los nombres de editor engañosos, como letras extranjeras que se asemejan a letras latinas, podrían indicar un intento de ocultar una aplicación malintencionada como una aplicación procedente de un editor conocido y de confianza.
    Consentimiento relativo a una aplicación de OAuth malintencionada Examina las aplicaciones de OAuth conectadas al entorno y desencadena una alerta cuando se autoriza una aplicación potencialmente malintencionada. Las aplicaciones OAuth malintencionadas se pueden usar como parte de una campaña de suplantación de identidad (phishing) en un intento de poner en peligro a los usuarios. Esta detección aprovecha la investigación de seguridad de Microsoft y la experiencia en inteligencia contra amenazas para identificar aplicaciones malintencionadas.
    Actividades sospechosas de descarga de archivos de aplicaciones OAuth Para más información, consulte Directivas de detección de anomalías.

    Paso siguiente

    Administración de directivas de aplicaciones