Actividades

Nota

  • Hemos cambiado el nombre de Microsoft Cloud App Security. Ahora se llama Microsoft Defender for Cloud Apps. En las próximas semanas, actualizaremos las capturas de pantalla e instrucciones aquí y en las páginas relacionadas. Para obtener más información sobre el cambio, consulte este anuncio. Para obtener más información sobre el cambio de nombre reciente de los servicios de seguridad de Microsoft, consulte el blog seguridad de Microsoft Ignite.

  • Microsoft Defender for Cloud Apps ahora forma parte de Microsoft 365 Defender. El portal de Microsoft 365 Defender permite a los administradores de seguridad realizar sus tareas de seguridad en una ubicación. Esto simplificará los flujos de trabajo y agregará la funcionalidad de los demás servicios Microsoft 365 Defender. Microsoft 365 Defender será el hogar para supervisar y administrar la seguridad en las identidades, los datos, los dispositivos, las aplicaciones y la infraestructura de Microsoft. Para obtener más información sobre estos cambios, consulte Microsoft Defender for Cloud Apps en Microsoft 365 Defender.

Microsoft Defender for Cloud Apps proporciona visibilidad sobre todas las actividades de las aplicaciones conectadas. Después de conectar Defender for Cloud Aplicaciones a una aplicación mediante el Conector de aplicaciones, Defender for Cloud Apps examina todas las actividades que se produjeron( el período de tiempo de examen retroactivo difiere por aplicación) y, a continuación, se actualiza constantemente con nuevas actividades.

Nota

Para obtener una lista completa de las actividades de Office 365 supervisadas por Defender for Cloud Aplicaciones, consulte Búsqueda del registro de auditoría en el centro de cumplimiento.

Se puede filtrar el registro de actividades para que pueda buscar actividades específicas. Cree directivas basadas en las actividades y después definir sobre qué quiere recibir alertas y actuar en consecuencia. Puede buscar actividades realizadas en determinados archivos. El tipo de actividades y la información que obtenemos de cada actividad dependen de la aplicación y de qué tipo de datos puede proporcionar la aplicación.

Por ejemplo, puede usar el registro de actividad para buscar usuarios de la organización que usan sistemas operativos o exploradores que no están actualizados, como se indica a continuación: Después de conectar una aplicación a Defender for Cloud Aplicaciones en la página Registro de actividad, use el filtro avanzado y seleccione Etiqueta de agente de usuario. Después, seleccione Outdated browser (Explorador obsoleto) u Outdated operating system (Sistema operativo obsoleto).

Activity outdated browser example.

El filtro básico proporciona excelentes herramientas para empezar a filtrar sus actividades.

basic activity log filter.

Para explorar en profundidad las actividades más específicas, puede expandir el filtro básico seleccionando Avanzadas.

advanced activity log filter.

Nota

La etiqueta Heredado se agrega a cualquier directiva de actividad que use el filtro de "usuario" anterior. Este filtro seguirá funcionando como de costumbre. Si quiere quitar la etiqueta Heredado, puede quitar el filtro y volver a agregarlo con el nuevo filtro Nombre de usuario.

El cajón de actividades

Trabajo con el cajón de actividades

Para ver más información sobre cada actividad, seleccione la propia actividad en el registro de actividad. Se abrirá el cajón de actividades, que proporciona las siguientes acciones e información adicionales para cada actividad:

  • Directivas coincidentes: seleccione el vínculo Directivas coincidentes para ver una lista de directivas que coinciden con esta actividad.

  • Ver datos sin procesar: seleccione Ver datos sin procesar para ver los datos reales recibidos de la aplicación.

  • Usuario: seleccione el usuario para ver la página de usuario del usuario que realizó la actividad.

  • Tipo de dispositivo: seleccione Tipo de dispositivo para ver los datos sin procesar del agente de usuario.

  • Ubicación: seleccione la ubicación para ver la ubicación en Bing mapas.

  • Categoría y etiquetas de dirección IP: seleccione la etiqueta IP para ver la lista de etiquetas IP que se encuentran en esta actividad. Después, puede filtrar por todas las actividades que coinciden con esta etiqueta.

Los campos del cajón de actividades proporcionan vínculos contextuales a actividades adicionales y exploran en profundidad lo que desea realizar desde el cajón directamente. Por ejemplo, si mueve el cursor junto a la categoría dirección IP, puede usar el icono add to filter.agregar para filtrar para agregar la dirección IP inmediatamente al filtro de la página actual. También puede usar el icono settings icon de engranaje de configuración que aparece para llegar directamente a la página de configuración necesaria para modificar la configuración de uno de los campos, como grupos de usuarios.

También puede usar los iconos de la parte superior de la pestaña para:

  • Ver las actividades del mismo tipo
  • Ver todas las actividades del mismo usuario
  • Ver las actividades de la misma dirección IP
  • Visualización de actividades desde la misma ubicación geográfica
  • Ver las actividades del mismo período (48 horas)

activity drawer.

Para obtener una lista de las acciones de control disponibles, vea Acciones de control de actividades.

Información de usuario

La experiencia de investigación incluye conclusiones sobre el usuario activo. Con un solo clic, puede obtener una descripción detallada del usuario, incluida la ubicación desde la que se ha conectado, con cuántas alertas abiertas está relacionado e información sobre sus metadatos.

Para ver la información de usuario:

  1. Seleccione la propia actividad en el registro de actividad.

  2. A continuación, seleccione la pestaña Usuario .
    Al seleccionar se abre la pestaña Usuario del cajón de actividad, se proporciona la siguiente información sobre el usuario:

    • Alertas abiertas: número de alertas abiertas relacionadas con el usuario.
    • Coincidencias: número de coincidencias de directa para archivos que pertenecen al usuario.
    • Actividades: número de actividades realizadas por el usuario durante los últimos 30 días.
    • Países: número de países desde los que se ha conectado el usuario durante los últimos 30 días.
    • ISP: número de ISP desde los que se ha conectado el usuario durante los últimos 30 días.
    • Direcciones IP: número de direcciones IP desde las que se ha conectado el usuario durante los últimos 30 días.

user insights in Defender for Cloud Apps.

Información de dirección IP

Debido a que la información de dirección IP es fundamental para casi todas las investigaciones, puede ver información detallada sobre las direcciones IP en el cajón de actividades. Desde una actividad específica, puede seleccionar la pestaña Dirección IP para ver los datos consolidados sobre la dirección IP, incluido el número de alertas abiertas para la dirección IP específica, un gráfico de tendencias de actividad reciente y un mapa de ubicación. Esto permite explorar en profundidad al investigar alertas de viajes imposibles, por ejemplo. Puede comprender fácilmente dónde se usó la dirección IP y si participó en actividades sospechosas o no. También puede realizar acciones directamente en el cajón de direcciones IP que le permiten etiquetar una dirección IP como de riesgo, VPN o corporativa para facilitar una investigación futura y la creación de directivas.

Para ver la información de dirección IP:

  1. Seleccione la propia actividad en el registro de actividad.

  2. A continuación, seleccione la pestaña Dirección IP .
    Se abrirá la pestaña Dirección IP del espacio de actividades, que ofrece la información siguiente sobre la dirección IP:

    • Alertas abiertas: número de alertas abiertas relacionadas con la dirección IP.
    • Actividades: número de actividades realizadas por la dirección IP durante los últimos 30 días.
    • Ubicación de IP: ubicaciones geográficas desde las cuales se conectó la dirección IP durante los últimos 30 días.
    • Actividades: número de actividades realizadas desde esta dirección IP durante los últimos 30 días.
    • Actividades administrativas: número de actividades administrativas realizadas desde esta dirección IP durante los últimos 30 días.
    • Puede realizar las siguientes acciones en la dirección IP:
      • Establezca como una dirección IP corporativa y agregue a la lista de permitidos.
      • Establezca como una dirección IP de VPN y agregue a la lista de permitidos.
      • Establezca como una dirección IP de riesgo y agregue a denylist.

    Nota

    Para evitar generar alertas de viaje imposibles cuando los empleados se conectan desde sus ubicaciones domésticas a través de la VPN corporativa, se recomienda etiquetar la dirección IP como VPN.

IP address insights in Defender for Cloud Apps.

Exportar actividades

Puede exportar todas las actividades de usuario a un archivo CSV.

En el registro de actividad, en la esquina superior derecha, seleccione el botón Exportar .

export button.

Nota

En este artículo se indican los pasos para eliminar los datos personales del dispositivo o del servicio y puede utilizarse para cumplir con sus obligaciones según el Reglamento general de protección de datos (RGPD). Si quiere obtener información general sobre este reglamento, vea la sección del RGPD del Portal de confianza de servicios.

Pasos siguientes

Si surgen problemas, estamos aquí para ayudarle. Para obtener ayuda o soporte técnico para el problema del producto, abra una incidencia de soporte técnico.