Directiva de detección de anomalías de Cloud DiscoveryCloud Discovery anomaly detection policy

En este artículo se proporciona información de referencia sobre directivas, se ofrecen explicaciones sobre cada tipo de directiva y se detallan los campos que se pueden configurar para cada directiva.This article provides reference details about policies, providing explanations for each policy type and the fields that can be configured for each policy.

Referencia de directiva de detección de anomalías de Cloud DiscoveryCloud discovery anomaly detection policy reference

Una directiva de detección de anomalías de Cloud Discovery permite instalar y configurar la supervisión continua de incrementos poco habituales en el uso de la aplicación en la nube.A Cloud discovery anomaly detection policy enables you to set up and configure continuous monitoring of unusual increases in cloud application usage. Para ello, se tienen en cuenta los aumentos de datos descargados, los datos cargados, el número de transacciones y el número de usuarios de cada aplicación en la nube.For each cloud application, increases in downloaded data, uploaded data, number of transactions and number of users are considered. Cada incremento se compara con el patrón de uso normal de la aplicación, según se desprende de usos anteriores.Each increase is compared to the normal usage pattern of the application as learned from past usage. Los aumentos más acusados desencadenan alertas de seguridad.The most extreme increases trigger security alerts.

Para cada directiva puede establecer filtros que permitan supervisar selectivamente el uso de la aplicación según un filtro de aplicación, las vistas de datos seleccionadas y una fecha de inicio seleccionada.For each policy you can set filters that enable you to selectively monitor application usage, based on an application filter, selected data views, and a selected start date. También puede establecer la sensibilidad, que le permite establecer cuántas alertas debe activar la directiva.You can also set the sensitivity, which enables you to set how many alerts the policy should trigger.

Para cada directiva, establezca los siguientes parámetros:For each policy, set the following parameters:

  1. Decida si quiere basar la directiva en una plantilla, las plantillas de directiva correspondientes son la plantilla Comportamiento anómalo de los usuarios detectados, que envía una alerta cuando se detectan comportamientos anómalos en los usuarios y aplicaciones detectados, como grandes cantidades de datos cargados en comparación con otros usuarios, grandes transacciones de usuario en comparación con el historial del usuario.Decide if you want to base the policy on a template, relevant policy templates are the Anomalous behavior in discovered users template that alerts when anomalous behavior is detected in discovered users and apps, such as: large amounts of uploaded data compared to other users, large user transactions compared to the user's history. También puede seleccionar la plantilla Comportamiento erróneo de direcciones IP detectadas, que envía una alerta cuando se detectan comportamientos anómalos en las direcciones IP y las aplicaciones detectadas, como grandes cantidades de datos cargados en comparación con otras direcciones IP, grandes transacciones de aplicaciones en comparación con el historial de la dirección IP.You can also select the Anomalous behavior of discovered IP addresses template, which alerts when anomalous behavior is detected in discovered IP addresses and apps, such as: large amounts of uploaded data compared to other IP addresses, large app transactions compared to the IP address's history.

  2. Proporcione un Nombre de la directiva y una Descripción.Provide a Policy name and Description.

  3. Cree un filtro para las aplicaciones que quiere supervisar haciendo clic en Agregar filtro.Create a filter for the apps you want to monitor by clicking Add filter. Puede seleccionar una aplicación específica, una Categoría de aplicación o filtrar por Nombre, **Dominio y Factor de riesgo, y hacer clic en Guardar.You can select a specific app, an app Category, or filter by Name, **Domain, and Risk factor, and click Save.

  4. En Apply to (Aplicar a), establezca cómo quiere que se filtre el uso.Under Apply to, set how you want the usage to be filtered. El uso que se está supervisando se puede filtrar de dos maneras diferentes:The usage being monitored can be filtered in two different ways:

    • Informes continuados: seleccione si quiere supervisar All continuous reports (Todos los informes continuados), el valor predeterminado, o elija Specific continuous reports (Informes continuados específicos) para supervisar.Continuous reports – select whether to monitor All continuous reports (default), or choose Specific continuous reports to monitor.

      • Al seleccionar All continuous reports (Todos los informes continuados), cada aumento del uso se compara con el patrón de uso normal, según se desprende de todas las vistas de datos.When selecting All continuous reports, each usage increase is compared to the normal usage pattern as learned from all the data views.

      • Al seleccionar Specific continuous reports (Informes continuados específicos), cada aumento del uso se compara con el patrón de uso normal, según se desprende de la misma vista de datos en la que se ha observado el aumento.When selecting Specific continuous reports, each usage increase is compared to the normal usage pattern as learned from the same data view as the increase was observed in.

    • Usuarios y direcciones IP: cada uso de la aplicación en la nube está asociado con un usuario, con una dirección IP o con ambos.Users and IP addresses – every cloud application usage is associated either with a user, an IP address, or both.

      • Si se selecciona Usuarios, se ignora la asociación de uso de la aplicación con direcciones IP, si la hay.Selecting Users ignores the association of application usage with IP addresses if there is any.

      • Si se selecciona Direcciones IP, se ignora la asociación de uso de la aplicación con usuarios, si la hay.Selecting IP addresses ignores the association of application usage with users if there is any.

      • Si se selecciona Usuarios y direcciones IP (el valor predeterminado), se tienen en cuenta ambas asociaciones, pero se pueden generar alertas duplicadas cuando haya una correspondencia estricta entre usuarios y direcciones IP.Selecting Users and IP addresses (default) considers both associations, but may produce duplicate alerts when there is a tight correspondence between users and IP addresses.

    • Desencadenar alertas solo para detectar actividades sospechosas ocurridas tras una fecha: se ignora cualquier aumento en el uso de la aplicación antes de la fecha seleccionada.Trigger alerts only for suspicious activities occurring after date – any increase in application usage before the selected date is ignored. En cambio, la actividad previa a la fecha seleccionada se tiene en cuenta para establecer el patrón de uso normal.However, activity from before the selected date is learned for the purpose of establishing the normal usage pattern.

  5. En Alertas puede establecer la sensibilidad de la alerta.Under Alerts, you can set the alert sensitivity. Hay varias formas de controlar el número de alertas activadas por la directiva:There are a number of ways to control the number of alerts triggered by the policy:

    • El control deslizante Select anomaly detection sensitivity (Seleccionar la sensibilidad de la detección de anomalías): desencadena alertas para las X actividades anómalas superiores por cada 1.000 usuarios por semana.The Select anomaly detection sensitivity slider – Trigger alerts for the top X anomalous activities per 1,000 users per week. Se activarán las alertas de las actividades con el riesgo más alto.The alerts are triggered for the activities with the highest risk.

    • Límite de alertas diarias: restrinja el número de alertas activadas en un solo día.Daily alert limit – restrict the number of alerts raised on a single day. Puede seleccionar si quiere Enviar alerta por correo electrónico, Enviar alerta como mensaje de texto o ambas opciones.You can select whether to Send alert as email, Send alert as text message or both. Los mensajes enviados por mensaje de texto se limitan a diez por día para la zona horaria UTC, lo que significa que el límite de diez mensajes se restablece a medianoche en la zona horaria UTC.Messages sent by text message are limited to 10 per day, for the UTC time zone, meaning that the 10 message limit resets at midnight in the UTC time zone.

    • También puede seleccionar la opción de Usar la configuración predeterminada de la organización, que rellena el correo electrónico Límite de alertas diarias, y la configuración de mensajes de texto de la configuración predeterminada de la organización.You can also select the option to Use your organization's default settings, which fills in the Daily alert limit, email, and text message settings from your organization's default settings. Para establecer el valor predeterminado, rellene la Configuración de alerta y haga clic en Guardar esta configuración de alerta como el valor predeterminado para su organización.To set the default, fill out the Alert configuration settings and click Save these alert settings as the default for your organization.

  6. Haga clic en Crear.Click Create.

  7. Como con todas las directivas, puede Editar, Deshabilitar y Habilitar la directiva haciendo clic en los tres puntos al final de la fila en la página Directivas.Like with all policies, you can Edit, Disable, and Enable the policy by clicking the three dots at the end of the row in the Policies page. De forma predeterminada, la directiva está habilitada después de crearla.By default, when you create a policy it is enabled.

Consulte tambiénSee Also

Actividades diarias para proteger el entorno de nubeDaily activities to protect your cloud environment

Los clientes Premier también pueden elegir Cloud App Security directamente desde el Portal Premier.Premier customers can also choose Cloud App Security directly from the Premier Portal.