Administrar alertasManage alerts

Se aplica a: Microsoft Cloud App SecurityApplies to: Microsoft Cloud App Security

En este artículo se explica cómo trabajar con alertas generadas en el portal de Cloud App Security.This article explains how to work with alerts raised in the Cloud App Security portal.

Administración de alertasManage your alerts

Las alertas son los puntos de entrada para comprender el entorno de nube en más profundidad.Alerts are the entry points to understanding your cloud environment more deeply. Es posible que quiera crear nuevas directivas según lo que encuentre.You might want to create new policies based on what you find. Por ejemplo, es posible que vea un administrador iniciando sesión desde Groenlandia y nadie en su organización nunca inició sesión desde Groenlandia antes.For example, you might see an administrator signing in from Greenland, and no one in your organization ever signed in from Greenland before. Puede crear una directiva que suspende automáticamente una cuenta de administrador cuando se usa para iniciar sesión desde esa ubicación.You can create a policy that automatically suspends an admin account when it's used to sign in from that location.

Es buena idea revisar todas las alertas y usarlas como herramientas para modificar las directivas.It's a good idea to review all of your alerts and use them as tools for modifying your policies. Si hay eventos inofensivos que las directivas existentes consideran como infracciones, perfeccione las directivas para recibir menos alertas innecesarias.If harmless events are being considered violations to existing policies, refine your policies so that you receive fewer unnecessary alerts.

  1. En la página Alertas seleccione Abierto para el Estado de resolución.From the Alerts page, select Open for the Resolution Status.

    En esta sección del panel se proporciona visibilidad completa de cualquier actividad sospechosa o infracción de las políticas establecidas.This section of the dashboard provides full visibility into any suspicious activity or violation of your established policies. Puede ayudarle a proteger la postura de seguridad que ha definido para su entorno de la nube.It can help you safeguard the security posture you defined for your cloud environment.

    AlertasAlerts

  2. Debe investigar y determinar la naturaleza de la infracción y la respuesta necesaria en cada alerta.For each alert, you need to investigate and determine the nature of the violation and the required response.

    • Puede filtrar las alertas por Tipo de alerta o Gravedad para procesar primero las más importantes.You can filter the alerts by Alert type or by Severity to process the most important ones first.

    • Seleccione una alerta específica.Select a specific alert. Según el tipo de alerta del que se trate, verá varias acciones que pueden realizarse antes de resolver la alerta.Depending on what type of alert it is, you'll see various actions that can be taken before resolving the alert.

    • Puede filtrar en función de la aplicación: las aplicaciones que se muestran son aquellas para las que Cloud App Security detectó actividades.You can filter based on App - The apps listed are ones for which activities were detected by Cloud App Security.

    • Hay tres tipos de infracciones con los que deberá tratar al investigar las alertas:There are three types of violations you'll need to deal with when investigating alerts:

      • Serious violations (Infracciones graves): infracciones graves que exigen una respuesta inmediata.Serious violations - Serious violations require immediate response.
        Ejemplos:Examples:

        • En el caso de una alerta de actividad sospechosa, es posible que quiera suspender la cuenta hasta que el usuario cambie la contraseña.For a suspicious activity alert, you might want to suspend the account until the user changes their password.
        • En el caso de una filtración de datos, es posible que le interese restringir los permisos o poner el archivo en cuarentena.For a data leak you might want to restrict permissions or quarantine the file.
        • Si se detecta una aplicación nueva, es posible que quiera bloquear el acceso al servicio en el servidor proxy o el firewall.If a new app is discovered, you might want to block access to the service on your proxy or firewall.
      • Questionable violations (Infracciones cuestionables): infracciones cuestionables que exigen más investigación.Questionable violations - Questionable violations require further investigation.

        • Puede ponerse en contacto con el usuario o su administrador para hablar sobre la naturaleza de la actividad.You can contact the user or the user's manager about the nature of the activity.
        • Deje la actividad abierta hasta que disponga de más información.Leave the activity open until you have more information.
      • Authorized violations or anomalous behavior (Infracciones autorizadas o comportamientos anómalos): infracciones autorizadas o comportamientos anómalos que pueden deberse a un uso legítimo.Authorized violations or anomalous behavior - Authorized violations or anomalous behavior can result from legitimate use.

        • Puede descartar la alerta.You can dismiss the alert.
  3. Es importante que, siempre que se descarte una alerta, envíe comentarios sobre por qué la descarta.Any time you dismiss an alert, it's important to submit feedback about why you're dismissing the alert. El equipo de Cloud App Security usa estos comentarios como indicación de la precisión de la alerta.The Cloud App Security team uses this feedback as an indication of the accuracy of the alert. Esta información se usa después para ajustar los modelos de Machine Learning para futuras alertas.This information is then used to fine-tune our machine learning models for future alerts. Puede seguir estas directrices para decidir cómo clasificar la alerta:You can follow these guidelines in deciding how to categorize the alert:

    • Si la alerta se ha desencadenado por un uso legítimo y no es un problema de seguridad, podría ser uno de los siguientes tipos:If legitimate use triggered the alert and it isn't a security issue, it could be one of these types:

      • Positivo inofensivo: la alerta es precisa, pero la actividad es legítima.Benign positive: The alert is accurate but the activity is legitimate. Puede descartar la alerta y establecer el motivo en La gravedad real es inferior o No es interesante.You can dismiss the alert and set the reason to Actual severity is lower or Not interesting.
      • Falso positivo: la alerta es inexacta.False positive: The alert is inaccurate. Descarte la alerta y establezca el motivo en La alerta no es precisa.Dismiss the alert and set the reason to Alert is not accurate.
    • Si hay demasiado ruido para determinar la legitimidad y la precisión de una alerta, descártela y establezca el motivo en Demasiadas alertas similares.If there's too much noise to determine the legitimacy and accuracy of an alert, dismiss it and set the reason to Too many similar alerts.

    • Verdadero positivo: si la alerta está relacionada con un evento de riesgo real que ha realizado de forma malintencionada o involuntaria un usuario interno o externo, debe establecer el evento en Resolver después de que se hayan tomado las medidas adecuadas para corregir el evento.True positive: If the alert is related to an actual risky event that was either committed maliciously or unintentionally by an insider or outsider, you should set the event to Resolve after all appropriate action has been taken to remediate the event.

Tipos de alertaAlert types

En la tabla siguiente se proporciona una lista de los tipos de alertas que pueden activarse y se recomiendan formas para resolverlas.The following table provides a list of the types of alerts that can be triggered and recommends ways you can resolve them.

Tipo de alertaAlert type DescripciónDescription Solución recomendadaRecommended resolution
Infracción de directiva de actividadActivity policy violation Este tipo de alerta es el resultado de una directiva que ha creado.This type of alert is the result of a policy you created. Para trabajar con este tipo de alerta en masa, se recomienda que trabaje en el centro de directivas para mitigarlas.To work with this type of alert in bulk, we recommend that you work in the Policy center to mitigate them.

Ajuste la directiva para excluir las entidades con ruido al agregar más filtros y controles más pormenorizados.Fine-tune the policy to exclude noisy entities by adding more filters and more granular controls.

Si la directiva es precisa, la alerta está garantizada y es una infracción que quiere detener inmediatamente, considere la posibilidad de agregar una corrección automática en la directiva.If the policy is accurate, the alert is warranted, and it's a violation you want to stop immediately, consider adding automatic remediation in the policy.
Infracción de directiva de archivoFile policy violation Este tipo de alerta es el resultado de una directiva que ha creado.This type of alert is the result of a policy you created. Para trabajar con este tipo de alerta en masa, se recomienda que trabaje en el centro de directivas para mitigarlas.To work with this type of alert in bulk, we recommend that you work in the Policy center to mitigate them.

Ajuste la directiva para excluir las entidades con ruido al agregar más filtros y controles más pormenorizados.Fine-tune the policy to exclude noisy entities by adding more filters and more granular controls.

Si la directiva es precisa, la alerta está garantizada y es una infracción que quiere detener inmediatamente, considere la posibilidad de agregar una corrección automática en la directiva.If the policy is accurate, the alert is warranted, and it's a violation you want to stop immediately, consider adding automatic remediation in the policy.
Cuenta en peligroCompromised account Este tipo de alerta se activa cuando Cloud App Security identifica una cuenta en peligro.This type of alert is triggered when Cloud App Security identifies an account that was compromised. Esto significa que hay una probabilidad muy alta de que la cuenta se usase de forma no autorizada.This means there's a very high probability that the account was used in an unauthorized way. Se recomienda suspender la cuenta hasta poder comunicarse con el usuario y asegurarse de que cambia la contraseña.We recommend that you suspend the account until you can reach the user and make sure they change their password.
Cuenta inactivaInactive account Esta alerta se activa cuando una cuenta no se ha usado en los últimos 60 días en ninguna de sus aplicaciones en la nube conectadas.This alert is triggered when an account hasn't been used in 60 days in one of your connected cloud apps. Póngase en contacto con el usuario y el administrador para determinar si la cuenta aún está activa.Contact the user and the user's manager to determine whether the account is still active. Si no es así, suspenda al usuario y finalice la licencia de la aplicación.If not, suspend the user and terminate the license for the app.
Nuevo usuario administradorNew admin user Advierte de cambios en las cuentas con privilegios de las aplicaciones conectadas.Alerts you to changes in your privileged accounts for connected apps. Confirme que los nuevos permisos de administrador en realidad son necesarios para el usuario.Confirm that the new admin permissions are in fact required for the user. Si no lo son, se recomienda revocar los privilegios de administrador para reducir la exposición.If they aren't, recommend revoking admin privileges to reduce exposure.
Nueva ubicación de administradorNew admin location Advierte de cambios en las cuentas con privilegios de las aplicaciones conectadas.Alerts you to changes in your privileged accounts for connected apps. Confirme que el inicio de sesión desde esta ubicación anómala era legítimo.Confirm that the sign-in from this anomalous location was legitimate. Si no es así, se recomienda revocar los permisos de administrador o la suspensión de la cuenta para reducir la exposición.If it's not, recommend revoking admin permissions or suspending the account to reduce exposure.
Nueva ubicaciónNew location Una alerta informativa sobre el acceso a una aplicación conectada desde una nueva ubicación y solo se activa una vez por país.An informative alert about access to a connected app from a new location, and it's triggered only once per country. Investigue la actividad del usuario concreto.Investigate the specific user's activity.
Nuevo servicio detectadoNew discovered service Esta es una alerta sobre Shadow IT.This alert is an alert about Shadow IT. Cloud Discovery ha detectado una nueva aplicación.A new app was detected by Cloud Discovery.
  • Evalúe el riesgo del servicio según el catálogo de aplicaciones.Assess the risk of the service based on the app catalog.
  • Explore la actividad en profundidad para entender los patrones de uso y la prevalencia.Drill down into the activity to understand usage patterns and prevalence.
  • Decida si quiere autorizar o no la aplicación.Decide whether to sanction or unsanction the app.

En el caso de las aplicaciones sin autorización:For unsanctioned apps:

  • Es posible que quiera bloquear el uso en el servidor proxy o el firewall.You may want to block use in your proxy or firewall.
  • Si tiene una aplicación sin autorización y una aplicación con autorización en la misma categoría, puede exportar una lista de usuarios de la aplicación sin autorización.If you have an unsanctioned app and a sanctioned app in the same category, you can export a list of users of the unsanctioned app. Luego, póngase en contacto con ellos para migrarlos a la aplicación autorizada.Then, contact them to migrate them to the sanctioned app.
Actividad sospechosaSuspicious activity Esta alerta permite saber que se ha detectado actividad anómala no alineada con actividades o usuarios esperados de la organización.This alert lets you know that anomalous activity has been detected that isn't aligned with expected activities or users in your organization. Investigue el comportamiento y confírmelo con el usuario.Investigate the behavior and confirm it with the user.

Este tipo de alerta es un buen punto para empezar a aprender más sobre el entorno y a crear nuevas directivas con estas alertas.This type of alert is a great place to start learning more about your environment and creating new policies with these alerts. Por ejemplo, si alguien carga repentinamente una gran cantidad de datos en una de las aplicaciones conectadas, puede establecer una regla para controlar ese tipo de comportamiento anómalo.For example, if someone suddenly uploads a large amount of data to one of your connected apps, you can set a rule to govern that type of anomalous behavior.
Uso sospechoso de la nubeSuspicious cloud use Esta alerta permite saber que se ha detectado actividad anómala no alineada con actividades o usuarios esperados de la organización.This alert lets you know that anomalous activity has been detected that isn't aligned with expected activities or users in your organization. Investigue el comportamiento y confírmelo con el usuario.Investigate the behavior and confirm it with the user.

Este tipo de alerta es un buen punto para empezar a aprender más sobre el entorno y a crear nuevas directivas con estas alertas.This type of alert is a great place to start learning more about your environment and creating new policies with these alerts. Por ejemplo, si alguien carga repentinamente una gran cantidad de datos en una de las aplicaciones conectadas, puede establecer una regla para controlar ese tipo de comportamiento anómalo.For example, if someone suddenly uploads a large amount of data to one of your connected apps, you can set a rule to govern that type of anomalous behavior.
Uso de cuenta personalUse of personal account Esta alerta permite saber que una nueva cuenta personal tiene acceso a recursos de las aplicaciones conectadas.This alert lets you know that a new personal account has access to resources in your connected apps. Quite las colaboraciones del usuario en la cuenta externa.Remove the user's collaborations in the external account.

Pasos siguientesNext steps

Para obtener más información acerca de la investigación de alertas, consulte Investigar.For more information about investigating alerts, see Investigate.

Los clientes Premier también pueden crear una solicitud de soporte técnico directamente en el portal Premier.Premier customers can also create a new support request directly in the Premier Portal.