Directiva de detección de anomalíasAnomaly detection policy

En este artículo se proporciona información de referencia sobre directivas, se ofrecen explicaciones sobre cada tipo de directiva y se detallan los campos que se pueden configurar para cada directiva.This article provides reference details about policies, providing explanations for each policy type and the fields that can be configured for each policy.

Cuando la organización está protegida mediante Cloud App Security, todas las actividades en la nube se puntúan según diversos factores de riesgo predefinidos.After your organization is protected by Cloud App Security, all cloud activity is scored according to various pre-defined risk factors. Cloud App Security examina todas las sesiones de los usuarios en la nube y toma en consideración los factores de riesgo que se establezcan aquí para emitir alertas cuando ocurra algo diferente de la línea de base de la organización o de la actividad normal del usuario.Cloud App Security looks at every user session on your cloud and then takes into consideration the risk factors you set here to alert you when something happens that is different from either the baseline of your organization or from the user's regular activity. La página de la directiva de detección de anomalías permite configurar y personalizar qué familias de factores de riesgo se tendrán en cuenta en el proceso de puntuación de riesgo.The anomaly detection policy page allows you to configure and customize which risk factor families are considered in the risk scoring process. Las directivas se pueden aplicar de manera diferente a distintos usuarios, ubicaciones y sectores de la organización.The policies can be enforced differently for different users, locations, and organizational sectors. Por ejemplo, puede crear una directiva que le avise cuando los miembros del equipo de TI estén activos fuera de la oficina.For example, you can create a policy that alerts you when members of your IT team are active from outside your offices.

Cloud App Security tiene un período de aprendizaje inicial de siete días, durante el cual no marca ningún usuario nuevo, actividad, dispositivos o ubicaciones como erróneos.Cloud App Security has an initial learning period of seven days during which it does not flag any new users, activity, devices, or locations as anomalous. Transcurrido este tiempo, cada sesión se compara con la actividad, los momentos en que los usuarios estaban activos, las direcciones IP, los dispositivos, etc., que se detectaron durante el mes anterior y la puntuación de riesgo de estas actividades.After that, each session is compared to the activity, when users were active, IP addresses, devices, etc. detected over the past month and the risk score of these activities. Use el control de sensibilidad de la directiva para establecer la puntuación de riesgo mínima a partir de la cual se desencadenarán las alertas.Use the sensitivity slider in the policy to set the minimum risk score from which alerts are triggered. Se recomienda que, al crear una directiva de anomalías, se use el umbral de sensibilidad predeterminado durante una semana, antes de cambiarlo en función del número de alertas que se hayan recibido. Cloud App Security le enviará más o menos alertas para las diversas puntuaciones de riesgo cuando cambie la sensibilidad.It is recommended that when you create an anomaly policy, use the default sensitivity threshold for a week, before you change it in accordance with the number of alerts you received, Cloud App Security sends you more or fewer alerts for various risk scores when you change the sensitivity.

control de sensibilidad

Para configurar una directiva de detección de anomalías:To configure an anomaly detection policy:

  1. En la consola, haga clic en Control, seguido de Directivas.In the console, click on Control followed by Policies.

  2. Haga clic en Crear directiva y seleccione la directiva Detección de anomalías.Click Create policy and select Anomaly detection policy.

    menú de la directiva de detección de anomalíasAnomaly detection policy menu

  3. Rellene el nombre y la descripción de la directiva y vaya al campo Filtros de actividad, donde puede elegir la actividad a la que quiere aplicar la directiva.Fill in the policy's name and description, and continue to the Activity filters field where you can choose the activity for which you wish to apply the policy.

  4. Asigne un nombre y una descripción a la directiva. Si quiere, puede basarla en una plantilla. Para obtener más información sobre las plantillas de directiva, vea Controlar aplicaciones en la nube con directivas.Give your policy a name and description, if you want you can base it on a template, for more information on policy templates, see Control cloud apps with policies.

  5. Para aplicar la directiva a todas las actividades del entorno en la nube, seleccione Toda la actividad supervisada.To apply the policy to all activities in your cloud environment, select All monitored activity. Para limitar la directiva a tipos específicos de actividades, elija Actividad seleccionada.To limit the policy to specific types of activities, choose Selected activity. Haga clic en Agregar filtros y establezca los parámetros adecuados por los que se filtrará la actividad.Click on Add filters and set the appropriate parameters by which to filter the activity. Por ejemplo, para aplicar la directiva solo en las actividades realizadas por los administradores de Salesforce, puede elegir esta etiqueta de usuario.For example, to enforce the policy only on activity performed by Salesforce admins, choose this user tag.

  6. Debajo de este campo, establezca los Factores de riesgo.Underneath this field set the Risk factors. Puede elegir qué familias de riesgos quiere que se tengan en cuenta al calcular la puntuación de riesgo.You can choose which risk families you want to consider while calculating the risk score. Puede usar el botón Activar/Desactivar situado a la derecha de la fila para habilitar y deshabilitar los distintos riesgos.On the right of the row, you can use the On/Off button to enable and disable the various risks. Además, para una mayor granularidad, puede elegir la actividad en la que quiere habilitar cada familia de riesgos.Additionally, for greater granularity, you can choose the activity on which to enable each particular risk family.

    Los factores de riesgo son los siguientes:Risk factors are as follows:

    • Errores de inicio de sesión: ¿intentan los usuarios iniciar sesión y se producen varios errores en un período de tiempo breve?Login failures: Are users attempting to log in and failing multiple times over a short period?

    • Actividad de administración: ¿usan los administradores sus cuentas con privilegios para iniciar sesión desde ubicaciones inusuales o a horas extrañas?Admin activity: Are admins using their privileged accounts to log in from unusual locations or at strange hours?

    • Cuentas inactivas: ¿hay repentinamente actividad en una cuenta que no se ha usado durante un tiempo?Inactive accounts: Is there suddenly activity on an account that hasn't been in use for some time?

    • Ubicación: ¿hay actividad en una ubicación nueva, sospechosa o inusual?Location: Is there activity in an unusual, suspicious, or new location?

    • Viaje imposible: ¿ha iniciado sesión un usuario en Denver y diez minutos después en París?Impossible travel: Is a user logging in from Denver and 10 minutes later logging in from Paris?

    • Agente de usuario y dispositivo: ¿hay actividad en un dispositivo desconocido o no administrado?Device and user agent: Is there activity from an unrecognized or unmanaged device?

    • Velocidad de la actividad: ¿Repentinamente hay mucha actividad en una aplicación en concreto?Activity rate: Is there suddenly a lot of activity on a particular app? ¿Hay descargas o eliminaciones grandes , se ha compartido un gran número de archivos o se ha producido un nivel elevado de actividad de administradores inesperada?Are there large downloads or deletes, or mass number of files shared or a lot of unexpected admin activity?

      Puede usar estos parámetros para definir escenarios complejos, por ejemplo, para excluir el intervalo IP de la oficina de los factores de riesgo considerados en la detección de anomalías, crear una etiqueta específica "office IP" (IP de la oficina) y filtrar el intervalo para que no se incluya entre los parámetros considerados.You can use these parameters to define complex scenarios, for example, to exclude your office's IP range from the considered risk factors for anomaly detection, create a specific "office IP" tag and filter the range out of the considered parameters. Después, para que el intervalo que ha creado se excluya de la detección de anomalías de la actividad de administración:To then exclude the range that you created from the admin activity anomaly detection:

    • En Tipo de riesgo, busque Actividad de administración.Within Risk type, find Admin activity.

    • Cambie Aplicar a a Actividad seleccionada.Change Apply to to Selected Activity.

    • En Filtros de actividad, establezca Aplicar a en Actividad seleccionada y, en Activities matching all of the following (Actividades que coincidan con todo lo siguiente), establezca que la Actividad administrativa es True.Under Activity filters, set Apply to to Selected activity and under Activities matching all of the following, choose Administrative activity is True.

    • Haga clic en el icono +, seleccione IP tag does not equal (La etiqueta IP no es igual a) y seleccione la etiqueta "office IP".Click on the + icon and select IP tag does not equal and select the Office IP tag.

  7. En Sensibilidad, seleccione la frecuencia con la que quiere recibir alertas.Under Sensitivity, select how often you want to receive alerts.

    El valor de sensibilidad determina cuántas alertas semanales se desencadenan por término medio por cada mil usuarios.The sensitivity value determines how many weekly alerts are triggered on average for every 1,000 users.

    IP de detección de anomalíasanomaly detection IPs

  8. Haga clic en Crear.Click Create.

Referencia de directivas de detección de anomalíasAnomaly detection policy reference

Una directiva de detección de anomalías permite preparar y configurar la supervisión continua de la actividad de los usuarios para detectar anomalías de comportamiento.An anomaly detection policy enables you to set up and configure continuous monitoring of user activity for behavioral anomalies. Las anomalías se detectan mediante el examen de la actividad del usuario.Anomalies are detected by scanning user activity. El riesgo se evalúa mediante el análisis de más de 30 indicadores de riesgo distintos agrupados en seis factores de riesgo.The risk is evaluated by looking at over 30 different risk indicators, grouped into 6 risk factors. Basándose en los resultados de la directiva, se activan alertas de seguridad.Based on the policy results, security alerts are triggered.
Cada directiva se compone de las siguientes partes:Each policy is composed of the following parts:

  • Filtros de actividad: permiten analizar de forma selectiva únicamente la actividad de usuario filtrada para detectar anomalías.Activity filters – Enable you to selectively scan only filtered user activity for anomalies.

  • Factores de riesgo: permiten seleccionar qué factores de riesgo se incluyen al evaluar el riesgo.Risk factors – Enable you to choose which risk factors to include when evaluating risk.

  • Sensibilidad: permite establecer cuántas alertas debe activar la directiva.Sensitivity – Enable you to set how many alerts the policy should trigger.

Filtros de actividadActivity filters

Para obtener una lista de filtros de actividad, consulte escribir aquí la descripción del vínculo.For a list of Activity filters, see enter link description here.

Factores de riesgoRisk factors

A continuación, se proporciona una lista de los factores de riesgo que se tienen en cuenta a la hora de evaluar el riesgo de la actividad del usuario.Below is a list of the risk factors that are considered when evaluating the risk of user activity. Cada factor de riesgo se puede activar o desactivar.Each risk factor can be toggled on or off. En el campo Aplicar a de cada factor de riesgo hay dos opciones que determinan si se incluye en la evaluación del riesgo de la actividad del usuario:For each risk factor there are two options under the Apply to field, which determine whether to include it when evaluating the risk of user activity:

  • Toda la actividad supervisada: se incluye para toda la actividad de usuario que pasa el filtro de actividad de directiva.All monitored activity – include it for all user activity that passes the policy activity filter.

  • Actividad seleccionada: se incluye para la actividad de usuario que pasa tanto los filtros de actividad de directiva como los filtros de actividad que aparecen en este factor de riesgo.Selected activity – include it for user activity that passes both the policy activity filters and the activity filters that appear under this risk factor. Cuando esta opción está seleccionada, aparece un selector de filtro de actividad en el factor de riesgo que funciona exactamente igual que el filtro de actividad de directiva.When this option is selected an activity filter selector appears under the risk factor, which works exactly the same as the policy activity filter.

Cada factor de riesgo, cuando se incluye en la evaluación del riesgo, tiene sus propios desencadenadores que provocan un aumento del riesgo evaluado de actividad de usuario:Each risk factor, when included in the risk evaluation, has its own triggers that cause an increase in the evaluated risk of user activity:

  • Errores de inicio de sesión: un gran número de errores de inicio de sesión o una actividad que consta únicamente de errores de inicio de sesión.Login failures – a high number of login failures or activity comprised entirely of login failures.

  • Actividad de administración: actividad administrativa realizada por un usuario inesperado o desde una IP, un ISP o una ubicación que son nuevos o que ningún otro usuario de la organización ha usado.Admin activity - administrative activity performed by an unexpected user, or performed from an IP, ISP, or location that are new, or not used by any other user in the organization.

  • Cuentas inactivas: actividad realizada por un usuario que no ha estado activo durante mucho tiempo.Inactive accounts - activity performed by a user that was not active for a long time.

  • Ubicación: actividad realizada desde una IP, un ISP o una ubicación que nunca ha usado otro usuario, este usuario concreto nunca ha usado, nunca se ha usado en absoluto o solo se ha usado para errores de inicio de sesión en el pasado.Location - activity performed from an IP, ISP, or location that were either never used by any other user, never used by this particular user, never used at all, or used only for login failures in the past.

  • Viaje imposible: actividad desde ubicaciones remotas en un breve lapso de tiempo.Impossible travel - activity from remote locations within a short time.

  • Agente de usuario y dispositivo: actividad realizada por un usuario mediante un agente de usuario o dispositivo que nunca ha usado otro usuario, este usuario concreto nunca ha usado o nunca se ha usado en absoluto.Device and user agent - activity performed by a user using a user agent or device that was either never used by any other user, never used by this particular user, or never used at all.

  • Tasa de actividad: actividades repetidas que realiza un usuario durante un breve período.Activity rate - repeated activities performed by a user within a short period.

SensibilidadSensitivity

Hay dos formas de controlar el número de alertas activadas por la directiva:There are two ways to control the number of alerts triggered by the policy:

  • Control de sensibilidad: seleccione cuántas alertas se activan por cada 1 000 usuarios a la semana.Sensitivity slider – choose how many alerts to trigger per 1,000 users per week. Se activarán las alertas de las actividades con el riesgo más alto.The alerts are triggered of the activities with the highest risk.

  • Límite de alertas diarias: restrinja el número de alertas activadas en un solo día.Daily alert limit – restrict the number of alerts raised on a single day.

Consulte tambiénSee Also

Actividades diarias para proteger el entorno de nube Daily activities to protect your cloud environment
Para obtener soporte técnico, visite la página de soporte técnico asistido de Cloud App Security. For technical support, visit the Cloud App Security assisted support page.
Los clientes Premier también pueden elegir Cloud App Security directamente desde el Portal Premier.Premier customers can also choose Cloud App Security directly from the Premier Portal.