Integración de Microsoft Defender for Identity

Se aplica a: Microsoft Cloud App Security

Importante

Los nombres de productos de protección contra amenazas de Microsoft están cambiando. Obtenga más información sobre esta y otras actualizaciones en este artículo. Vamos a actualizar los nombres de los productos y en los documentos en un futuro próximo.

Microsoft Cloud App Security se integra con Microsoft defender para que la identidad proporcione análisis del comportamiento de la entidad de usuario (UEBA) en un entorno híbrido, tanto en la aplicación en la nube como en el entorno local, para obtener más información, consulte Tutorial: investigar usuarios de riesgo. Para obtener más información sobre el aprendizaje automático y el análisis de comportamiento proporcionado por defender for Identity, vea ¿Qué es defender para Identity?

Nota

Cloud App Security no envía notificaciones por correo electrónico de defender para las alertas de identidad. Sin embargo, puede configurar notificaciones por correo electrónico para ellas en el portal de defender for Identity.

Requisitos previos

Para realizar una investigación completa de los usuarios en un entorno híbrido, debe tener:

  • Una licencia válida de Microsoft defender para la identidad conectada a la instancia de Active Directory
  • Debe ser un administrador global de Azure Active Directory para habilitar la integración entre defender para identidad y Cloud App Security

Nota

  • Si no tiene una suscripción para Microsoft Cloud App Security, todavía podrá usar Cloud App Security para obtener defender para obtener información de identidades.
  • Defender para administradores de identidad puede requerir nuevos permisos para obtener acceso a Cloud App Security. Para información sobre cómo asignar permisos a Cloud App Security, consulte Administrar acceso de administrador.

Habilitar defender para identidad

Para habilitar la integración de Cloud App Security con defender para la identidad:

  1. En Cloud App Security, en el engranaje de configuración, seleccione configuración.

    Menú Configuración

  2. En protección contra amenazas, seleccione Microsoft defender para identidad.

    habilitación de la protección contra amenazas avanzada de Azure

  3. Seleccione Habilitar Microsoft defender para la integración de datos de identidad y, a continuación, haga clic en Guardar.

Nota

Puede tardar hasta 12 horas hasta que la integración surta efecto.

Después de habilitar defender para la integración de identidades, podrá ver las actividades locales para todos los usuarios de su organización. También obtendrá información avanzada sobre los usuarios que combinan alertas y actividades sospechosas en los entornos locales y en la nube. Además, las directivas de defender para identidad aparecerán en la página directivas de Cloud App Security. Para obtener una lista de las directivas de identidad de defender, consulte alertas de seguridad. Para editar estas directivas, consulte exclusión de entidades de detecciones.

También debe usar los vínculos defender for Identity Configuration para configurar defender para la configuración de identidades que sean relevantes para Cloud App Security. Use la siguiente información para obtener más información acerca de estas opciones:

Deshabilitar defender para identidad

Para deshabilitar la integración de Cloud App Security con defender para la identidad:

  1. En Cloud App Security, en el engranaje de configuración, seleccione configuración.

  2. En protección contra amenazas, seleccione Microsoft defender para identidad.

  3. Desactive Habilitar Microsoft defender para la integración de datos de identidad y haga clic en Guardar.

Nota

Cuando se deshabilita la integración, el defender existente para los datos de identidad se mantiene de acuerdo con las directivas de retención de Cloud App Security, pero se quita la sección de evaluaciones de postura de seguridad de identidad.

Problemas conocidos

Actualizaciones de alertas de SIEM que faltan

Este problema afecta a las alertas que se desencadenan más de una vez. La primera instancia de la alerta se envía al SIEM, pero no se envían los desencadenadores posteriores de la misma alerta.

Solución

En este caso, no hay ninguna solución conocida.

Pasos siguientes

Si surgen problemas, estamos aquí para ayudarle. Para obtener ayuda o soporte técnico para el problema del producto, abra una incidencia de soporte técnico.