Se aplica a: Microsoft Cloud App SecurityApplies to: Microsoft Cloud App Security

Obtención de análisis de comportamiento y detección de anomalías instantáneosGet instantaneous behavioral analytics and anomaly detection

Las directivas de detección de anomalías de Microsoft Cloud App Security ofrecen análisis de comportamiento de usuarios y entidades (UEBA) y aprendizaje automático (ML) de serie para que pueda ejecutar inmediatamente la detección de amenazas avanzada en el entorno en la nube.Microsoft Cloud App Security's anomaly detection policies provide out-of-the-box user and entity behavioral analytics (UEBA) and machine learning (ML) so that you can immediately run advanced threat detection across your cloud environment. Dado que se habilitan automáticamente, las nuevas directivas de detección de anomalías ofrecen resultados al instante proporcionando detecciones inmediatas, dirigidas a numerosas anomalías de comportamientos entre los usuarios, las máquinas y los dispositivos conectados a la red.Because they are automatically enabled, the new anomaly detection policies provide immediate results by providing immediate detections, targeting numerous behavioral anomalies across your users and the machines and devices connected to your network. Además, las nuevas directivas exponen más datos a partir del motor de detección de Cloud App Security, lo que le ayuda a agilizar el proceso de investigación y contener las amenazas en curso.In addition, the new policies expose more data from the Cloud App Security detection engine, to help you speed up the investigation process and contain ongoing threats.

Las directivas de detección de anomalías se habilitan automáticamente, pero Cloud App Security tiene un período de aprendizaje inicial de siete días durante el cual no todas las alertas de detección de anomalías se generan.The anomaly detection policies are automatically enabled, but Cloud App Security has an initial learning period of seven days during which not all anomaly detection alerts are raised. Transcurrido este tiempo, cada sesión se compara con la actividad, los momentos en que los usuarios estaban activos, las direcciones IP, los dispositivos, etc., que se detectaron durante el mes anterior y la puntuación de riesgo de estas actividades.After that, each session is compared to the activity, when users were active, IP addresses, devices, etc. detected over the past month and the risk score of these activities. Estas detecciones son parte del motor de detección de anomalías heurístico, que genera perfiles a partir de su entorno y desencadena alertas con respecto a una línea base que se define en función de la actividad de su organización.These detections are part of the heuristic anomaly detection engine that profiles your environment and triggers alerts with respect to a baseline that was learned on your organization’s activity. Estas detecciones también aprovechan los algoritmos de aprendizaje automático diseñados para generar perfiles de los usuarios y el patrón de inicio de sesión para reducir los falsos positivos.These detections also leverage machine learning algorithms designed to profile the users and log-on pattern to reduce false positives.

Las anomalías se detectan mediante el examen de la actividad del usuario.Anomalies are detected by scanning user activity. El riesgo se evalúa mediante el análisis de más de 30 indicadores de riesgo distintos agrupados en varios factores de riesgo, que son los siguientes:The risk is evaluated by looking at over 30 different risk indicators, grouped into multiple risk factors, as follows:

  • Dirección IP de riesgoRisky IP address
  • Errores de inicio de sesiónLogin failures
  • Actividad administrativaAdmin activity
  • Cuentas inactivasInactive accounts
  • UbicaciónLocation
  • Viaje imposibleImpossible travel
  • Agente de usuario y dispositivoDevice and user agent
  • Tasa de actividadActivity rate

Basándose en los resultados de la directiva, se activan alertas de seguridad.Based on the policy results, security alerts are triggered. Cloud App Security examina todas las sesiones de los usuarios en la nube y le alerta cuando ocurre algo que es diferente a la línea base de la organización o de la actividad normal del usuario.Cloud App Security looks at every user session on your cloud alerts you when something happens that is different from the baseline of your organization or from the user's regular activity.

Puede ver las directivas de detección de anomalías en el portal haciendo clic en Control y luego en Directivas.You can see the anomaly detection policies in the portal by clicking on Control and then Policies.

nuevas directivas de detección de anomalías

Están disponibles las directivas de detección de anomalías siguientes:The following anomaly detection policies are available:

Viaje imposibleImpossible travel

  • Esta detección identifica dos actividades de usuario (en una o varias sesiones) que se originan desde ubicaciones distantes geográficamente dentro de un período de tiempo menor que el que el usuario habría necesitado para desplazarse desde la primera hasta la segunda, lo que indica que otro usuario está usando las mismas credenciales.This detection identifies two user activities (is a single or multiple sessions) originating from geographically distant locations within a time period shorter than the time it would have taken the user to travel from the first location to the second, indicating that a different user is using the same credentials. Esta detección usa un algoritmo de aprendizaje automático que omite falsos positivos obvios que contribuyan a la condición de viaje imposible, como las redes privadas virtuales y las ubicaciones que otros usuarios de la organización usen con frecuencia.This detection leverages a machine learning algorithm that ignores obvious "false positives" contributing to the impossible travel condition, such as VPNs and locations regularly used by other users in the organization. La detección tiene un período de aprendizaje inicial de siete días durante el cual se memoriza el patrón de actividad de un usuario nuevo.The detection has an initial learning period of seven days during which it learns a new user’s activity pattern.

Actividad desde un país poco frecuenteActivity from infrequent country

  • Esta detección tiene en cuenta las ubicaciones de actividad anteriores para determinar ubicaciones nuevas e infrecuentes.This detection considers past activity locations to determine new and infrequent locations. El motor de detección de anomalías almacena información sobre las ubicaciones anteriores que usan los usuarios de la organización.The anomaly detection engine stores information about previous locations used by users in the organization. Se desencadena una alerta cuando una actividad se produce en una ubicación que el usuario (o cualquier usuario de la organización) no ha visitado recientemente o nunca.An alert is triggered when an activity occurs from a location that was not recently or never visited by the user or by any user in the organization.

Actividad desde direcciones IP anónimasActivity from anonymous IP addresses

  • Se identifica la actividad de los usuarios desde una dirección IP considerada como dirección IP anónima de proxy.This detection identifies that users were active from an IP address that has been identified as an anonymous proxy IP address. Los usuarios que quieren ocultar la dirección IP de sus dispositivos usan estos servidores proxy, a veces de forma malintencionada.These proxies are used by people who want to hide their device’s IP address, and may be used for malicious intent. Esta detección usa un algoritmo de aprendizaje automático que reduce los falsos positivos, como las direcciones IP no etiquetadas que los usuarios de la organización usan habitualmente.This detection leverages a machine learning algorithm that reduces "false positives", such as mis-tagged IP addresses that are widely used by users in the organization.

Actividad de ransomwareRansomware activity

  • Cloud App Security ha ampliado sus funcionalidades de detección de ransomware con la detección de anomalías para garantizar una cobertura más completa frente a ataques de ransomware sofisticados.Cloud App Security extended its ransomware detection capabilities with anomaly detection to ensure a more comprehensive coverage against sophisticated Ransomware attacks. Con nuestra experiencia en investigación de seguridad para identificar patrones de comportamiento que reflejan la actividad de ransomware, Cloud App Security garantiza una protección integral y sólida.Using our security research expertise to identify behavioral patterns that reflect ransomware activity, Cloud App Security ensures holistic and robust protection. Puede que represente un proceso de cifrado adverso si Cloud App Security identifica, por ejemplo, una alta tasa de cargas de archivos o de actividades de eliminación de archivos.If Cloud App Security identifies, for example, a high rate of file uploads or file deletion activities it may represent an adverse encryption process. Estos datos se recopilan en los registros procedentes de las API conectadas y luego se combinan con los patrones de comportamiento aprendidos y la inteligencia sobre amenazas, por ejemplo, extensiones de ransomware conocidas.This data is collected in the logs received from connected APIs and is then combined with learned behavioral patterns and threat intelligence, for example, known ransomware extensions. Para obtener más información sobre cómo Cloud App Security detecta ransomware, vea Proteger la organización frente a ransomware.For more information about how Cloud App Security detects ransomware, see Protecting your organization against ransomware.

Actividad de usuarios dados de bajaTerminated user activity

  • Esta detección le permite identificar cuando un empleado que ya no trabaja en la compañía sigue realizando acciones en las aplicaciones SaaS.This detection enables you to able to identify when a terminated employee continues to perform actions on your SaaS apps. Dado que los datos muestran que el mayor riesgo de una amenaza interna procede de empleados que se fueron en malos términos, es importante estar atento a la actividad en las cuentas de empleados dados de baja.Because data shows that the greatest risk of insider threat comes from employees who left on bad terms, it is important to keep an eye on the activity on accounts from terminated employees. A veces, cuando los empleados dejan una compañía, sus cuentas se desaprovisionan de las aplicaciones corporativas, pero en muchos casos sigue conservando el acceso a determinados recursos corporativos.Sometimes, when employees leave a company, their accounts are de-provisioned from corporate apps, but in many cases they still retain access to certain corporate resources. Esto es incluso más importante si se tienen en cuenta las cuentas con privilegios, ya que el daño potencial que un ex administrador puede infligir es intrínsecamente mayor.This is even more important when considering privileged accounts, as the potential damage a former admin can do is inherently greater. Esta detección aprovecha las ventajas de capacidad de Cloud App Security para supervisar el comportamiento de usuario entre las aplicaciones, lo que permite la identificación de la actividad normal del usuario, el hecho de que la cuenta se ha cerrado y la actividad real en otras aplicaciones.This detection takes advantage of Cloud App Security's ability to monitor user behavior across apps, allowing identification of the regular activity of the user, the fact that the account was terminated, and actual activity on other apps. Por ejemplo, un empleado cuya cuenta de Azure AD se ha cerrado, pero aún tiene acceso a la infraestructura AWS corporativa, tiene el potencial de causar daños a gran escala.For example, an employee who’s Azure AD account was terminated, but still has access to the corporate AWS infrastructure, has the potential to cause large-scale damage.

Actividad desde direcciones IP sospechosasActivity from suspicious IP addresses

  • Se identifica la actividad de los usuarios desde una dirección IP considerada como de riesgo en Microsoft Threat Intelligence.This detection identifies that users were active from an IP address that has been identified as risky by Microsoft Threat Intelligence. Estas direcciones IP están implicadas en actividades malintencionadas como Botnet C&C y pueden indicar que la cuenta está en peligro.These IP addresses are involved in malicious activities, such as Botnet C&C, and may indicate compromised account. Esta detección usa un algoritmo de aprendizaje automático que reduce los falsos positivos, como las direcciones IP no etiquetadas que los usuarios de la organización usan habitualmente.This detection leverages a machine learning algorithm that reduces "false positives", such as mis-tagged IP addresses that are widely used by users in the organization.

Actividades inusuales (realizadas por un usuario)Unusual activities (by user)

Estas detecciones identifican a los usuarios que realizan:These detections identify users who perform:

  • Varias actividades inusuales de descarga de archivosUnusual multiple file download activities
  • Actividades inusuales de uso compartido de archivosUnusual file share activities
  • Actividades inusuales de eliminación de archivosUnusual file deletion activities
  • Actividades inusuales de suplantaciónUnusual impersonated activities
  • Actividades inusuales administrativasUnusual administrative activities

Estas directivas buscan actividades dentro de una única sesión según la línea base establecida, lo que podría indicar un intento de vulneración.These policies look for activities within a single session with respect to the baseline learned, which could indicate on a breach attempt. Estas detecciones aprovechan un algoritmo de aprendizaje automático que crea perfiles a partir del patrón de inicio de sesión de los usuarios y reduce los falsos positivos.These detections leverage a machine learning algorithm that profiles the users log on pattern and reduces false positives. Estas detecciones son parte del motor de detección de anomalías heurístico, que genera perfiles a partir de su entorno y desencadena alertas con respecto a una línea base que se define en función de la actividad de su organización.These detections are part of the heuristic anomaly detection engine that profiles your environment and triggers alerts with respect to a baseline that was learned on your organization’s activity.

Varios intentos incorrectos de inicio de sesiónMultiple failed login attempts

  • Se identifica a los usuarios que intentan iniciar sesión varias veces sin éxito en una única sesión según la línea base establecida, lo que podría indicar un intento de vulneración.This detection identifies users that failed multiple login attempts in a single session with respect to the baseline learned, which could indicate on a breach attempt.

Ámbito de directivas de detección de anomalíasScope anomaly detection policies

Se puede establecer un ámbito para cada directiva de detección de anomalías por separado para que se aplique solo a los usuarios y grupos que desea incluir y excluir en la directiva.Each anomaly detection policy can be independently scoped so that it applies only to the users and groups you want to include and exclude in the policy. Por ejemplo, puede establecer la actividad desde la detección de condado poco frecuente hasta omitir un usuario específico que viaja con frecuencia.For example, you can set the Activity from infrequent county detection to ignore a specific user who travels frequently.

Para establecer el ámbito de una directiva de detección de anomalías:To scope an anomaly detection policy:

  1. Haga clic en Control > Directivas y establezca el filtro Tipo en Directiva de detección de anomalías.Click Control > Policies, and set the Type filter to Anomaly detection policy.
  2. Haga clic en la directiva cuyo ámbito desea establecer.Click on the policy you want to scope.
  3. En Ámbito, cambie la lista desplegable de la configuración predeterminada de Todos los usuarios y grupos a Usuarios y grupos específicos.Under Scope, change the drop-down from the default setting of All users and groups, to Specific users and groups.
  4. Seleccione Incluir para especificar los usuarios y grupos para los que se aplicará esta directiva.Select Include to specify the users and groups for whom this policy will apply. Cualquier usuario o grupo que no se seleccione aquí no se considerará una amenaza y no generará una alerta.Any user or group not selected here will not be considered a threat and will not generate an alert.
  5. Seleccione Excluir para especificar los usuarios para los que no se aplicará esta directiva.Select Exclude to specify users for whom this policy will not apply. Cualquier usuario que seleccione aquí no se considerará una amenaza y no generará una alerta, incluso si es miembro de los grupos seleccionados en Incluir.Any user selected here will not be considered a threat and will not generate an alert, even if they are members of groups selected under Include.

ámbito de detección de anomalías

Evaluación de las alertas de detección de anomalíasTriage anomaly detection alerts

Puede evaluar la prioridad de las diversas alertas desencadenadas por las nuevas directivas de detección de anomalías rápidamente y decidir cuáles es necesario atender primero.You can triage the various alerts triggered by the new anomaly detection policies quickly and decide which ones need to be taken care of first. Para ello, necesita el contexto de la alerta, de forma que pueda ver la imagen más grande y comprender si realmente está ocurriendo algo malintencionado.To do this, you need the context for the alert, so you are able to see the bigger picture and understand whether something malicious is indeed happening.

  1. En el registro de actividades, puede abrir una actividad para mostrar el cajón de actividades.In the Activity log, you can open an activity to display the Activity drawer. Haga clic en Usuario para ver la pestaña de información del usuario. Esto incluye información como el número de alertas, las actividades y desde dónde se han conectado, lo que es importante en una investigación.Click on User to view the user insights tab. This includes information like number of alerts, activities, and where they have connected from, which is important in an investigation.

    alerta1 de detección de anomalías alerta1 de detección de anomalíasanomaly detection alert1 anomaly detection alert1

  2. Esto le permite comprender qué actividades sospechosas realizó el usuario y aumentar la confianza en cuanto a si la cuenta se vio comprometida.This enables you to understand what the suspicious activities are that the user performed and gain deeper confidence as to whether the account was compromised. Por ejemplo, una alerta sobre varios inicios de sesión erróneos realmente puede ser sospechosa y puede indicar posibles ataques por fuerza bruta, pero también puede ser un error de configuración de aplicación, haciendo que la alerta resulte ser verdadera.For example, an alert on multiple failed logins may indeed be suspicious and can indicate potential brute force attack, but it can also be an application misconfiguration, causing the alert to be a benign true positive. Sin embargo, si ve una alerta de varios inicios de sesión erróneos con actividades sospechosas adicionales, entonces hay una mayor probabilidad de que la cuenta se vea comprometida.However, if you see a multiple failed logins alert with additional suspicious activities, then there is a higher probability that the account is compromised. En el ejemplo siguiente, puede ver que, después de la alerta de los diversos intentos de inicio de sesión erróneos, hubo actividad desde una dirección IP TOR y actividad de viaje imposible, ambas buenos indicadores de riesgo (IOC) por sí mismas.In the example below, you can see that the Multiple failed login attempts alert was followed by Activity from a TOR IP address and Impossible travel activity, both strong indicators of compromise (IOCs) by themselves. Si esto no fue suficientemente sospechoso, puede ver que el mismo usuario realizó una actividad de descarga masiva, que suele ser un indicador de que el atacante está realizando exfiltración de datos.If this wasn’t suspicious enough, then you can see that the same user performed a Mass download activity, which is often an indicator of the attacker performing exfiltration of data.

    alerta1 de detección de anomalías alerta1 de detección de anomalíasanomaly detection alert1 anomaly detection alert1

Consulte tambiénSee Also

Actividades diarias para proteger el entorno de nubeDaily activities to protect your cloud environment

Los clientes Premier también pueden elegir Cloud App Security directamente desde el Portal Premier.Premier customers can also choose Cloud App Security directly from the Premier Portal.