Tutorial: Protección de los archivos con la cuarentena de administrador

Las directivas de archivo son una excelente herramienta para buscar amenazas en las directivas de protección de la información. Por ejemplo, cree directivas de archivo que busquen los lugares en los que los usuarios almacenan información confidencial, números de tarjetas de crédito y archivos ICAP de terceros en la nube.

En este tutorial obtendrá información sobre cómo usar Microsoft Cloud App Security para detectar archivos no deseados almacenados en la nube que le hagan vulnerable. También aprenderá a emprender acciones inmediatas para detenerlos y bloquear aquellos que supongan una amenaza mediante la cuarentena de administrador. De este modo, podrá proteger los archivos en la nube, solucionar los problemas y evitar que se produzcan vulneraciones en el futuro.

• Funcionamiento de la cuarentena
• Configuración de la cuarentena de administrador

Funcionamiento de la cuarentena

Nota:

• Para obtener una lista de las aplicaciones que admiten la cuarentena de administrador, vea la lista de acciones de gobernanza.
• Los archivos etiquetados por Defender for Cloud Apps no se pueden poner en cuarentena.
• Las acciones de cuarentena de administrador de Defender for Cloud Apps se limitan a 100 acciones al día.
• Los sitios de Sharepoint cuyo nombre se cambia directamente o como parte del cambio de nombre de dominio no se pueden usar como ubicación de carpeta para la cuarentena del administrador.

1. Cuando un archivo coincida con una directiva, la opción de cuarentena de administrador estará disponible para el archivo.

2. Realice una de las acciones siguientes para poner en cuarentena el archivo:

   • Aplique manualmente la acción de cuarentena de administrador:

     

   • Establézcala como una acción de cuarentena automatizada en la directiva:

     

3. Cuando se aplica la cuarentena de administrador, ocurre lo siguiente en segundo plano:

   1. El archivo original se mueve a la carpeta de cuarentena de administrador que haya establecido.

   2. Se elimina el archivo original.

   3. Se carga un archivo de marcador de exclusión en la ubicación original del archivo.

      

   4. El usuario solo puede acceder al archivo de marcador de exclusión. En él, puede leer las instrucciones personalizadas que ha proporcionado el departamento de TI y el identificador de correlación que tiene que darle al profesional de TI para liberar el archivo.

4. Cuando reciba la alerta de que se ha puesto en cuarentena un archivo, vaya a Directivas ->Administración de directivas. A continuación, seleccione la pestaña Protección de información. En la fila con la directiva de archivo, elija los tres puntos al final de la línea y seleccione Ver todas las coincidencias. Esto le entregará el informe de coincidencias, donde puede ver los archivos coincidentes y en cuarentena:

   

5. Una vez que un archivo se ha puesto en cuarentena, siga el proceso siguiente para corregir la situación de amenaza:

   1. Inspeccione el archivo en la carpeta en cuarentena en SharePoint Online.
   2. También puede consultar los registros de auditoría para profundizar en las propiedades del archivo.
   3. Si descubre que el archivo infringe la directiva corporativa, ejecute el proceso de respuesta a incidentes (IR) de la organización.
   4. Si descubre que el archivo es inofensivo, puede restaurarlo de la cuarentena. En ese momento se libera el archivo original, lo que significa que se vuelve a copiar en la ubicación original, se elimina el marcador de exclusión y el usuario puede acceder a él.

   

6. Compruebe que la directiva se ejecuta sin problemas. Después, puede usar las acciones de gobernanza automáticas de la directiva para evitar más fugas y aplicar automáticamente una cuarentena de administrador cuando se produzca una coincidencia con la directiva.

Nota:

Al restaurar un archivo:

• No se restauran los recursos compartidos originales y se aplica la herencia de carpetas predeterminada.
• El archivo restaurado solo contiene la versión más reciente.
• La administración del acceso al sitio de la carpeta de cuarentena es responsabilidad del cliente.

Configuración de la cuarentena de administrador

1. Establezca directivas de archivo que detecten las vulneraciones. Entre los ejemplos de estos tipos de directivas se incluyen los siguientes:

   • Una directiva de solo metadatos, como una etiqueta de confidencialidad en SharePoint Online.
   • Una directiva DLP nativa, como una directiva que busca números de tarjetas de crédito.
   • Una directiva ICAP de terceros, como una directiva que busca Vontu.

2. Establezca una ubicación de cuarentena:

   1. En el caso de Microsoft 365 SharePoint o OneDrive para la Empresa de Office 365, no puede colocar los archivos en cuarentena de administrador como parte de una directiva hasta que la configure:

      Para establecer la configuración de cuarentena de administrador, en el Portal de Microsoft Defender, seleccione Configuración. A continuación, seleccione Aplicaciones en la nube. En Protección de información, elija Administrar cuarentena. Proporcione la ubicación de las carpetas en cuarentena y la notificación que recibirá el usuario cuando su archivo se ponga en cuarentena.

      Nota:

      Defender for Cloud Apps creará una carpeta de cuarentena en el sitio seleccionado.

   2. En el caso de Box, no se pueden personalizar la ubicación de la carpeta de cuarentena ni el mensaje de usuario. La ubicación de la carpeta es la unidad del administrador que ha conectado Box con Defender for Cloud Apps y el mensaje de usuario es el siguiente: "Este archivo se puso en cuarentena en la unidad del administrador porque es posible que infrinja las directivas de cumplimiento y de seguridad de la empresa. Póngase en contacto con el administrador de TI para obtener ayuda".

Pasos siguientes

Prácticas recomendadas para proteger su organización

Si tienes algún problema, estamos aquí para ayudar. Para obtener ayuda o soporte técnico para el problema del producto, abre una incidencia de soporte técnico.