Supervisión de alertas en Cloud App SecurityMonitor alerts in Cloud App Security

Se aplica a: Microsoft Cloud App SecurityApplies to: Microsoft Cloud App Security

Las alertas son los puntos de entrada para comprender el entorno de nube en más profundidad.Alerts are the entry points to understanding your cloud environment more deeply. En este artículo se proporcionan una lista y una descripción de todas las alertas.This article provides a list and description of all alerts.

Supervisión de las alertasMonitoring your alerts

Revisar todas las alertas es una buena idea.It's a good idea to review all of your alerts. Comprender por qué se produce una alerta le permite usarlas como herramientas para modificar las directivas.Understanding why an alert is occurring allows you to use them as tools for modifying your policies.

Para ver las alertas: en el portal de Microsoft Cloud App Security, haga clic en Alertas.To view alerts: In the Microsoft Cloud App Security portal, click on Alerts.

Menú Alertas

  • Descarte una alerta después de verla y determinar que no es interesante.Dismiss an alert after you look at it and determine it's not interesting.

    • Escriba un comentario para explicar por qué ha descartado la alerta.Enter a comment to explain why you dismissed the alert
    • Envíenos sus comentarios sobre esta alerta para que nuestro equipo de investigación de seguridad la revise para mejorar las alertas.Send us feedback about this alert to be reviewed by our security research team for improving the alerts.
  • Resuelva la alerta si la ha investigado y ha mitigado el riesgo.Resolve the alert if you investigate it and mitigate the risk.

    • La alerta ya no se mostrará en la tabla de alertas.The alert will no longer show up in the alerts table.
    • Márquela como no leída si ha empezado a investigar un problema, pero quiere asegurarse de que no se olvida de continuar trabajando en él.Mark as unread if you started investigating an issue but you want to make sure you remember to continue.
    • Ajuste la directiva que coincidía con la alerta para mejorar las coincidencias de próximas alertas.Adjust the policy that matched the alert to improve future alert matches.
    • Al resolver una alerta, puede escribir un comentario y enviarlo al equipo de Cloud App Security.Resolving an alert gives you the option to enter a comment and Send feedback to the Cloud App Security team.

Alertas integradasBuilt-in alerts

Se mostrarán los siguientes tipos de alertas.The following alerts types will be displayed.

Nombre de alertaAlert name Id. de alertaAlertID DescripciónDescription
Nueva ubicaciónNew location ALERT_GEOLOCATION_NEW_COUNTRYALERT_GEOLOCATION_NEW_COUNTRY Se ha detectado una nueva ubicación desde que comenzó el examen (hasta 6 meses).A new location was detected since the scan began (up to 6 months). Esta alerta solo se muestra una vez para cada país para toda la organización.This alert only shows up once for each country for your entire organization.
Nuevo usuario administradorNew admin user ALERT_ADMIN_USERALERT_ADMIN_USER Se ha detectado un nuevo administrador de una aplicación específica.A new admin was detected for a specific app. Puede tratarse de una persona que es un administrador de una aplicación y ahora es un administrador de otra aplicación.This admin can be someone who is an admin in one application and is now an admin for another application. Esta alerta está relacionada con el tipo de administrador específico, por lo que se mostrará cada vez que cambie el tipo de administrador.This alert relates to the specific admin type, so it will show up each time the type of admin changes. Si un usuario había perdido los privilegios de administrador y los ha recuperado, se mostrará esta alerta.If a user lost admin privileges and then got them again, this alert will be displayed.
Cuenta inactivaInactive account ALERT_ZOMBIE_USERALERT_ZOMBIE_USER Si un usuario está inactivo durante 60 días por aplicación (por ejemplo, si alguien está activo en Box pero no ha tocado G Suite durante 60 días), el usuario se considerará inactivo en G Suite.If a user is inactive for 60 days per application – for example, if someone is active in Box but hasn't touched G Suite for 60 days, the user will be considered inactive in G Suite. Se agrega una etiqueta a estos usuarios, por lo que se pueden buscar cuentas inactivas.A tag is added to these users so you can search for inactive accounts.
Ubicación de administrador inesperadaUnexpected admin location ALERT_NEW_ADMIN_LOCATIONALERT_NEW_ADMIN_LOCATION Se ha detectado una nueva ubicación de los administradores desde que comenzó el examen (hasta 6 meses).A new location was detected for administrators since the scan began (up to 6 months). Esta alerta solo se muestra una vez para cada país para cualquier administrador de la organización.This alert only shows up once for each country for any admin across your organization.
Cuenta en peligroCompromised account ALERT_COMPROMISED_ACCOUNTALERT_COMPROMISED_ACCOUNT Si se ha producido una infracción en una aplicación y se publica la lista de cuentas que se han infringido, Cloud App Security descarga la lista y la compara con la lista de usuarios,If there was a breach in an application and the list of breached accounts is published, Cloud App Security downloads the list and compares it to your list of users. incluidos los usuarios internos, los usuarios externos y las cuentas personales.The user list includes internal users, external users, and personal accounts.

Alertas personalizadasCustom Alerts

Se mostrarán los siguientes tipos de alertas.The following alerts types will be displayed.

Nombre de alertaAlert name Id. de alertaAlertID DescripciónDescription
Alerta de actividad sospechosaSuspicious activity alert ALERT_SUSPICIOUS_ACTIVITYALERT_SUSPICIOUS_ACTIVITY Las actividades sospechosas se puntúan según lo sospechosa que sea la actividad anómala (¿hay una cuenta inactiva implicada?,Suspicious activities are scored according to how suspicious the anomalous activity is (Is there an inactive account involved? ¿se produce desde una nueva ubicación?). Todos estos criterios se calculan juntos para proporcionar una puntuación de riesgo en función de los siguientes factores de riesgo:Is it from a new location?) These criteria are all calculated together to provide a risk score based on the following risk factors:
El usuario es un administradorUser is administrator
Usuario estrictamente remotoStrictly remote user
Proxy anónimoAnonymous proxy
Todos los inicios de sesión son erróneosEntire session is failed logins
Numerosos inicios de sesión fallidosNumerous failed logins
Nuevo (administrador)New (admin)
IP/ISP/país/agente de usuario para usuario/inquilinoIP/ISP/country/user-agent for user/tenant
IP/ISP/país/agente de usuario usado solo por el usuario (administrador)IP/ISP/country/user-agent used only by (admin) user
Primera actividad de usuario (administrador) tras un tiempoFirst (admin) user activity in a while
Primera vez que se realiza esta actividad administrativa tras un tiempoFirst time this particular administrative activity is performed in a while
Esta actividad administrativa no es común o no se había realizado nuncaThis particular administrative activity isn't common / was never performed before
Esta dirección IP solo tuvo inicios de sesión erróneos en el pasadoThis IP had only failed logins in the past
Viaje imposibleImpossible travel
Alerta de uso sospechoso de la nubeSuspicious cloud use alert ALERT_DISCOVERY_ANOMALY_DETECTIONALERT_DISCOVERY_ANOMALY_DETECTION La detección de anomalías de Cloud Discovery comprueba el patrón de comportamiento normal y busca los usuarios o las aplicaciones que se usan de manera inusual.Cloud Discovery anomaly detection checks the pattern of regular behavior and looks for users or apps that are used in an unusual way.
Infracción de directiva de actividadActivity policy violation ALERT_CABINET_EVENT_MATCH_AUDITALERT_CABINET_EVENT_MATCH_AUDIT Esta alerta le informa cuando se detecta una coincidencia de directiva.This alert lets you know when a policy match was detected.
Infracción de directiva de archivoFile policy violation ALERT_CABINET_EVENT_MATCH_FILEALERT_CABINET_EVENT_MATCH_FILE Esta alerta le informa cuando se detecta una coincidencia de directiva.This alert lets you know when a policy match was detected.
Infracción de directiva de proxyProxy policy violation ALERT_CABINET_INLINE_EVENT_MATCHALERT_CABINET_INLINE_EVENT_MATCH Esta alerta le informa cuando se detecta una coincidencia de directiva.This alert lets you know when a policy match was detected.
Infracción de directiva de campoField policy violation ALERT_CABINET_EVENT_MATCH_OBJECTALERT_CABINET_EVENT_MATCH_OBJECT Esta alerta le informa cuando se detecta una coincidencia de directiva.This alert lets you know when a policy match was detected.
Nuevo servicio detectadoNew service discovered ALERT_CABINET_DISCOVERY_NEW_SERVICEALERT_CABINET_DISCOVERY_NEW_SERVICE Se ha detectado una nueva aplicación.A new app was discovered.
Uso de cuenta personalUse of personal account ALERT_PERSONAL_USER_SAGEALERT_PERSONAL_USER_SAGE El motor de detección busca cuentas personales en función de los recursos compartidos de archivos y los nombres de usuario.Based on file shares and user names, the detection engine searches for personal accounts.

Pasos siguientesNext steps

Actividades diarias para proteger el entorno de nubeDaily activities to protect your cloud environment

Los clientes Premier también pueden crear una solicitud de soporte técnico directamente en el portal Premier.Premier customers can also create a new support request directly in the Premier Portal.