InvestigarInvestigate

Después de que Cloud App Security se ejecute en su entorno en la nube, será necesaria una fase de aprendizaje e investigación sobre el uso de las herramientas de Cloud App Security para adquirir un mayor conocimiento de lo que ocurre en su entorno en la nube.After Cloud App Security runs in your cloud environment, you'll need a stage of learning and investigating how to use the tools in Cloud App Security to gain a deeper understanding of what's happening in your cloud environment. Luego, y según su entorno concreto y su uso, puede identificar los requisitos para proteger su organización de posibles riesgos.Then, based on your particular environment and how it's being used, you can identify the requirements for protecting your organization from risk.

En este tema se describe cómo realizar una investigación para comprender mejor lo que está ocurriendo en su entorno en la nube.This topic describes how to perform an investigation to get a better understanding of your cloud environment.

PanelesDashboards

Los siguientes paneles están disponibles para ayudarle a investigar las aplicaciones en su entorno en la nube:The following dashboards are available to help you investigate apps in your cloud environment:

DashboardDashboard DescripciónDescription
Panel principalMain dashboard Información general sobre el estado en la nube (usuarios, archivos y actividades), así como las acciones necesarias (alertas, infracciones de actividad e infracciones de contenido)Overview of cloud status (users, files, activities) and required actions (alerts, activity violations and content violations)
Panel de la aplicación: generalApplication dashboard: overall Información general sobre el uso de las aplicaciones por ubicación, gráficos de uso por número de usuarios.Overview of application usage per location, usage graphs per number of users
Panel de la aplicación: datosApplication dashboard: insights Análisis de los datos almacenados en la aplicación; desglose por tipo de archivo y por nivel de uso compartido de archivosAnalysis of data stored in the app, broken down by file type and file-sharing level
Panel de la aplicación: archivosApplication dashboard: files Profundización en archivos, posibilidad de filtrar por propietario, nivel de uso compartido, etc., así como realización de acciones de gobierno (como poner en cuarentena)Drill-down into files; ability to filter according to owner, sharing level, etc., as well as perform governance actions (like quarantine)
Panel de la aplicación: aplicaciones de tercerosApplication dashboard: third-party apps Profundización en las aplicaciones de terceros implementadas actualmente, como G Suite, y definición de directivas para esas aplicacionesDrill-down into third-party apps currently deployed, like G Suite, and defining policies for them
Panel del usuarioUser dashboard Información general completa del perfil de usuario en la nube, incluidos grupos, ubicaciones, actividades recientes, alertas relacionadas y exploradores usadosA complete overview of the user profile in the cloud, including groups, locations, recent activities, related alerts, and browsers used

Marcar aplicaciones como autorizadas o no autorizadasTag apps as sanctioned or unsanctioned

Marcar aplicaciones como autorizadas o no autorizadas es un paso importante para comprender su entorno en la nube.An important step to understanding your cloud is to tag apps as sanctioned or unsanctioned. Después de autorizar una aplicación, puede filtrar por las aplicaciones que no estén autorizadas e iniciar la migración a las aplicaciones autorizadas que sean del mismo tipo.After you sanction an app, you can filter for apps that aren't sanctioned and start migration to sanctioned apps of the same type.

  • En la consola de Cloud App Security, vaya a Catálogo de aplicaciones o Aplicaciones detectadas.In the Cloud App Security console, go to the App catalog or Discovered apps.

  • En la lista de aplicaciones, en la fila que contenga la aplicación que quiera marcar como autorizada, elija los tres puntos al final de la fila Puntos para marcar como autorizada y elija Marcar como autorizada.In the list of apps, on the row in which the app you want to tag as sanctioned appears, choose the three dots at the end of the row Tag as sanctioned dots and choose Mark as sanctioned.

    Marcar como autorizadaTag as sanctioned

Usar las herramientas de investigaciónUse the investigation tools

  1. En el portal de Cloud App Security, vaya a Investigar y, después, eche un vistazo al Registro de actividades y filtre por una aplicación específica.In the Cloud App Security portal, go to Investigate and then look at the Activity log and filter by a specific app. Compruebe lo siguiente:Check the following:

    • ¿Quién tiene acceso a su entorno en la nube?Who is accessing your cloud environment?

    • ¿Desde qué intervalos IP?From what IP ranges?

    • ¿Cuál es la actividad de administrador?What is the admin activity?

    • ¿Desde qué ubicaciones se conectan los administradores?From what locations are admins connecting?

    • ¿Hay dispositivos obsoletos que se conectan a su entorno en la nube?Are any outdated devices connecting to your cloud environment?

    • ¿Hay inicios de sesión erróneos procedentes de direcciones IP esperadas?Are failed logins coming from expected IP addresses?

  2. Vaya a Investigar y, luego, a Archivos y compruebe lo siguiente:Go to Investigate and then Files, and check the following:

    • ¿Cuántos archivos se comparten públicamente para que nadie pueda tener acceso a ellos sin un vínculo?How many files are shared publicly so that anyone can access them without a link?

    • ¿Con qué asociados comparte archivos (uso compartido externo)?With which partners are you sharing files (outbound sharing)?

    • ¿Todos los archivos tienen un nombre confidencial?Do any files have a sensitive name?

    • ¿Alguno de los archivos se comparte con la cuenta personal de alguien?Are any of the files being shared with someone's personal account?

  3. Vaya a Investigar y, luego, a Cuentas y compruebe lo siguiente:Go to Investigate and then Accounts, and check the following:

    • ¿Las cuentas han estado inactivas en un servicio determinado durante un largo periodo de tiempo?Have any accounts been inactive in a particular service for a long time? (Quizás pueda revocar la licencia para ese usuario a ese servicio)(Maybe you can revoke the license for that user to that service?)

    • ¿Quiere saber qué usuarios tienen un rol específico?Do you want to know which users have a specific role?

    • ¿Alguien al que se ha despedido sigue teniendo acceso a una aplicación y puede usar ese acceso para robar información?Was someone fired but they still have access to an app and can use that access to steal information?

    • ¿Quiere revocar el permiso de un usuario en una aplicación concreta o requerir a un usuario específico que realice una autenticación multifactor?Do you want to revoke a user's permission to a specific app or require a specific user to perform multi-factor authentication?

    • Puede también profundizar en la cuenta de usuario haciendo clic en el engranaje al final de la fila de cuenta de usuario y seleccionando la acción que realizar, como Suspender usuario o Quitar las colaboraciones del usuario.You can also drill down into the user's account by clicking the cog at the end of the user's account row and selecting an action to take, such as Suspend user or Remove user's collaborations. Si el usuario se ha importado desde Azure Active Directory, también puede hacer clic en Configuración de la cuenta de Azure AD para obtener acceso fácil a las características de administración de usuario avanzadas como la administración de grupos, MFA, detalles sobre inicios de sesión del usuario y la capacidad de bloquear el inicio de sesión.If the user was imported from Azure Active Directory, you can also click on Azure AD account settings to get easy access to advanced user management features like group management, MFA, details about the user's sign ins and the ability to block sign in.

  4. Vaya a Investigar y, luego, seleccione una aplicación.Go to Investigate and then select an app. El panel de la aplicación se abre y le presenta información y datos.The app dashboard opens and gives you information and insights. Puede usar las fichas de la parte superior para comprobar lo siguiente:You can use the tabs across the top to check the following:

    Panel de la aplicaciónApp dashboard

    • ¿Qué tipo de dispositivos usan los usuarios para conectarse a la aplicación?What kind of devices are your users using to connect to the app?

    • ¿Qué tipos de archivos guardan en la nube?What types of files are they saving in the cloud?

    • ¿Qué actividad está teniendo lugar ahora mismo en la aplicación?What activity is happening in the app right now?

    • ¿Hay aplicaciones de terceros conectadas a su entorno?Are there any connected third-party apps to your environment?

    • ¿Conoce estas aplicaciones?Are you familiar with these apps?

    • ¿Tienen autorización para el nivel de acceso para el que tienen permiso?Are they authorized for the level of access they are permitted to?

    • ¿Cuántos usuarios las han implementado?How many users have deployed them? ¿Cómo son de comunes estas aplicaciones en general?How common are these apps in general?

  5. Vaya al panel de Cloud Discovery y compruebe lo siguiente:Go to the Cloud Discovery dashboard and check the following:

    • ¿Qué aplicaciones en la nube se están utilizando, en qué medida y quién las está utilizando?What cloud apps are being used, to what extent, and by whom?

    • ¿Con qué fines se usan?For what purposes are they being used?

    • ¿Qué cantidad de datos se está cargando en estas aplicaciones en la nube?How much data is being uploaded to these cloud apps?

    • ¿En qué categorías tiene aplicaciones en la nube autorizadas y, aún así, los usuarios emplean soluciones alternativas?In which categories do you have sanctioned cloud apps, and yet, users are using alternative solutions?

    • Para soluciones alternativas, ¿quiere no autorizar algunas aplicaciones en su organización?For the alternative solutions, do you want to unsanction any cloud apps in your organization?

    • ¿Hay aplicaciones en la nube que se usan, pero no en conformidad con la directiva de su organización?Are there cloud apps that are used but not in compliance with your organization’s policy?

Utilizar los informes para investigar riesgosUse reports to investigate risk

Cuando se empieza a tener control sobre el entorno de nube, se realizan determinadas suposiciones en función de lo que se espera encontrar. Realmente, aún no conoce la nube.When you start trying to gain control over your cloud environment, you make certain assumptions based on what you expect to find — you don't really know your cloud yet. Y, según esas suposiciones, se crean directivas.Based on these assumptions, you create policies.

Después de que Cloud App Security se ejecute en su entorno de nube, utilice los informes integrados (y los informes personalizados) para ver qué está ocurriendo en la nube.After Cloud App Security runs on your cloud environment, you use the built-in reports (and custom reports) to see what's going on in your cloud. Atendiendo a ello, ajuste las directivas de nuevo para incluir las excepciones; de tal modo que la directiva detecta finalmente muy pocos falsos positivos.Based on this, you adjust your policies again to include exceptions so that eventually your policy catches very few false positives.

Los informes integrados proporcionan vistas agregadas de cara a la investigación.Built-in reports offer you aggregated views for investigation. Para utilizar los informes integrados, vaya a Investigar y, luego, a Informes integrados.To work with built-in reports, go to Investigate and then Built-in reports. Para obtener más información sobre los distintos informes integrados, consulte Referencia de informes integrados.For more information about the different built-in reports, see the Built-in report reference.

Ejemplo de investigaciónSample investigation

Imaginemos que, en teoría, ninguna dirección IP de riesgo puede tener acceso a su entorno en la nube (por ejemplo, servidores proxy anónimos y Tor).Let's say that you assume you don't have any access to your cloud environment by risky IP addresses (for example, anonymous proxies and Tor). Pero crearemos una directiva para las IP de riesgo solo para asegurarnos de ello:But you create a policy for risk IPs just to make sure:

  1. En el portal, vaya a Control y elija Directivas.In the portal, go to Control and choose Policies.

  2. En el Centro de directivas, elija la pestaña Plantillas.In the Policy center, choose the Templates tab.

  3. Al final de la fila Inicio de sesión de usuario desde una dirección IP no categorizada, elija el signo más (+) para crear una directiva nueva.At the end of the User logon from a non-categorized IP address row, choose the plus sign (+) to create a new policy.

  4. Cambie el nombre de la directiva para que sea fácil de identificar.Change the policy name so you'll be able to identify this policy.

  5. En Filtros de actividad, elija + para agregar un filtro.Under Activity filters, choose + to add a filter. Desplácese hasta Etiqueta IP y, luego, elija Anónimo y Tor.Scroll down to IP tag, and then choose Anonymous and Tor.

    Ejemplo de directiva de IP de riesgoExample policy for risky IPs

Con la directiva en marcha, le sorprenderá ver que recibe una alerta que indica que la directiva se ha infringido.Now that you have the policy in place, you're surprised to see that you get an alert that the policy was violated.

  1. Vaya a la página Alertas y vea la alerta sobre esta infracción de directiva.Go to the Alerts page and view the alert about the policy violation.

  2. Si ve que parece una infracción real, lo más conveniente será contener el riesgo o corregir.If you see that it looks like a real violation, you want to contain risk or remediate.

    Para contener el riesgo, puede enviar una notificación al usuario para preguntarle si la infracción ha sido intencionada y si el usuario era consciente de ello.To contain risk, you can send the user a notification to ask if the violation was intentional and if the user was aware of it.

    También puede profundizar en la alerta y suspender al usuario hasta averiguar qué hay que hacer.You can also drill down into the alert and suspend the user until you can figure out what needs to be done.

  3. Si es un evento permitido que no es probable que se repita, puede descartar la alerta.If it's an allowed event that isn't likely to recur, you can dismiss the alert.

    Si es un evento permitido y se espera que se repita, puede cambiar la directiva para evitar que este tipo de evento se considere una infracción en el futuro.If it's allowed and you expect it to recur, you can change the policy so that this type of event won't be considered a violation in the future.

Consulta tambiénSee also

Para obtener información sobre cómo controlar la aplicación de la nube de su organización, consulte Control.To learn how to control your organization's cloud app, see Control.

Los clientes Premier también pueden elegir Cloud App Security directamente desde el Portal Premier.Premier customers can also choose Cloud App Security directly from the Premier portal.