Obtener análisis de comportamiento y detección de anomalías

Las directivas de detección de anomalías de Microsoft Defender para Cloud Apps proporcionan análisis de comportamiento de usuarios y entidades (UEBA) y aprendizaje automático (ML) listos para usarse desde el principio para ejecutar la detección avanzada de amenazas en el entorno de nube. Dado que se habilitan automáticamente, las nuevas directivas de detección de anomalías inician inmediatamente el proceso de detección y intercalación de resultados, destinado a numerosas anomalías de comportamiento entre los usuarios y las máquinas y dispositivos conectados a la red. Además, las directivas exponen más datos del motor de detección de Defender para Cloud Apps, para ayudarle a acelerar el proceso de investigación y contener amenazas en curso.

Las directivas de detección de anomalías se habilitan automáticamente, pero Defender para Cloud Apps tiene un período de aprendizaje inicial de siete días durante el cual no se inician todas las alertas de detección de anomalías. Después, a medida que se recopilan datos de los conectores de API configurados, cada sesión se compara con la actividad, cuando los usuarios estaban activos, direcciones IP, dispositivos, entre otros, detectados durante el último mes y la puntuación de riesgo de estas actividades. Tenga en cuenta que los datos pueden tardar varias horas en estar disponibles en los conectores de API. Estas detecciones forman parte del motor de detección de anomalías heurísticas que genera perfiles de su entorno y desencadena alertas con respecto a una línea de base que se ha aprendido sobre la actividad de su organización. Estas detecciones también usan algoritmos de aprendizaje automático diseñados para generar perfiles de los usuarios y el patrón de inicio de sesión para reducir los falsos positivos.

Las anomalías se detectan mediante el examen de la actividad del usuario. El riesgo se evalúa mediante el análisis de más de 30 indicadores de riesgo distintos, agrupados por factores de riesgo, que son los siguientes:

• Dirección IP de riesgo
• Errores de inicio de sesión
• Actividad administrativa
• Cuentas inactivas
• Ubicación
• Viaje imposible
• Agente de usuario y dispositivo
• Tasa de actividad

Basándose en los resultados de la directiva, se activan alertas de seguridad. Defender para Cloud Apps examina cada sesión de usuario en la nube y le avisa cuando ocurre algo diferente de la línea de base de su organización o de la actividad normal del usuario.

Además de las alertas nativas de Defender para Cloud Apps, también se obtienen las siguientes alertas de detección en función de la información recibida de Azure Active Directory (AD) Identity Protection:

• Credenciales filtradas: se desencadena cuando se han filtrado las credenciales válidas de un usuario. Para obtener más información, vea Azure AD de Credenciales filtradas de datos.
• Inicio de sesión de riesgo: combina una serie de Azure AD de inicio de sesión de Identity Protection en una única detección. Para obtener más información, vea Azure AD de detecciones de riesgo de inicio de sesión de.

Estas directivas aparecerán en la página Directivas de Defender para Cloud Apps y se pueden habilitar o deshabilitar.

Directivas de detección de anomalías

Puede ver las directivas de detección de anomalías en el portal haciendo clic en Control y luego en Directivas. Seleccione Directiva de detección de anomalías para el tipo de directiva.

Están disponibles las directivas de detección de anomalías siguientes:

Viaje imposible

• Esta detección identifica dos actividades de usuario (en una o varias sesiones) que se origina en ubicaciones geográficamente lejanas en un período de tiempo menor que el tiempo que habría llevado al usuario a viajar desde la primera ubicación a la segunda, lo que indica que un usuario diferente usa las mismas credenciales. Esta detección usa un algoritmo de aprendizaje automático que omite falsos positivos obvios que contribuyan a la condición de viaje imposible, como las redes privadas virtuales y las ubicaciones que otros usuarios de la organización usen con frecuencia. La detección tiene un período de aprendizaje inicial de siete días durante el cual aprende el patrón de actividad de un nuevo usuario. La detección de viaje imposible identifica actividad inusual e imposible de usuario entre dos ubicaciones. La actividad debe ser lo suficientemente inusual como para ser considerada un indicador de peligro y digna de una alerta. Para solucionar este problema, la lógica de detección incluye diferentes niveles de supresión para abordar escenarios que pueden desencadenar falsos positivos, como las actividades de VPN. El control deslizante de confidencialidad le permite afectar al algoritmo y definir lo estricta que es la lógica de detección. Cuanto mayor sea el nivel de confidencialidad, se suprimirán menos actividades como parte de la lógica de detección. De este modo, puede adaptar la detección según sus necesidades de cobertura y destinos SNR.

  Nota

  • Cuando las direcciones IP de ambos lados del viaje se consideran seguras, el viaje es de confianza y se excluye de desencadenar la detección Viaje imposible viaje. Por ejemplo, ambos lados se consideran seguros si se etiquetan como corporativos. Sin embargo, si la dirección IP de solo un lado del viaje se considera segura, la detección se desencadena con normalidad.
  • Las ubicaciones se calculan en un nivel de país. Esto significa que no habrá ninguna alerta para dos acciones que se origine en el mismo país o en países limítrofes.

Actividad desde un país poco frecuente

• Esta detección tiene en cuenta las ubicaciones de actividad anteriores para determinar las ubicaciones nuevas e infrecuentes. El motor de detección de anomalías almacena información sobre las ubicaciones anteriores utilizadas por los usuarios de la organización. Se desencadena una alerta cuando se produce una actividad desde una ubicación que ningún usuario de la organización ha visitado recientemente o nunca.

Detección de malware

• Esta detección identifica los archivos maliciosos en el almacenamiento en nube, tanto si proceden de aplicaciones de Microsoft como de aplicaciones de terceros. Microsoft Defender para Cloud Apps usa la inteligencia sobre amenazas de Microsoft para reconocer si determinados archivos están asociados a ataques de malware conocidos y son potencialmente malintencionados. Esta directiva integrada está deshabilitada de forma predeterminada. No se analizan todos los archivos, pero se usa la heurística para buscar archivos potencialmente peligrosos. Una vez que se han detectado archivos, puede ver una lista de archivos infectados. Haga clic en el nombre del archivo de malware en el cajón de archivos para abrir un informe de malware que le proporciona información sobre el tipo de malware con el que está infectado el archivo.

  Puede usar esta detección en tiempo real mediante directivas de sesión para controlar las cargas y descargas de archivos.

  Nota

  Defender para Cloud Apps admite la detección de malware para las siguientes aplicaciones:

  • Box
  • Dropbox
  • Área de trabajo de Google
  • Office 365 (requiere una licencia válida para Microsoft Defender para Office 365 P1)

Actividad desde una dirección IP anónima

• Esta detección identifica que los usuarios estaban activos desde una dirección IP que se ha identificado como una dirección IP de proxy anónima. Estos servidores proxy los usan las personas que desean ocultar la dirección IP de su dispositivo y pueden usarse para intenciones malintencionadas. Esta detección usa un algoritmo de aprendizaje automático que reduce los falsos positivos, como las direcciones IP no etiquetadas que los usuarios de la organización usan habitualmente.

Actividad de ransomware

• Defender para Cloud Apps ha ampliado sus funcionalidades de detección de ransomware con detección de anomalías para garantizar una cobertura más completa frente a ataques de ransomware sofisticados. Con nuestra experiencia en investigación de seguridad para identificar patrones de comportamiento que reflejan la actividad de ransomware, Defender para Cloud Apps garantiza una protección holística y sólida. Si Defender para Cloud Apps identifica, por ejemplo, una alta tasa de cargas de archivos o actividades de eliminación de archivos, puede representar un proceso de cifrado adverso. Estos datos se recopilan en los registros procedentes de las API conectadas y luego se combinan con los patrones de comportamiento aprendidos y la inteligencia sobre amenazas, por ejemplo, extensiones de ransomware conocidas. Para obtener más información sobre cómo Defender para Cloud Apps detecta ransomware, consulte Protección de la organización frente a ransomware.

Actividad realizada por el usuario cancelado

• Esta detección le permite identificar cuando un empleado que ya no trabaja en la compañía sigue realizando acciones en las aplicaciones SaaS. Dado que los datos muestran que el mayor riesgo de una amenaza interna procede de empleados que se fueron en malos términos, es importante estar atento a la actividad en las cuentas de empleados dados de baja. A veces, cuando los empleados dejan una compañía, sus cuentas se desaprovisionan de las aplicaciones corporativas, pero en muchos casos sigue conservando el acceso a determinados recursos corporativos. Esto es incluso más importante si se tienen en cuenta las cuentas con privilegios, ya que el daño potencial que un ex administrador puede infligir es intrínsecamente mayor. Esta detección aprovecha la capacidad de Defender para Cloud Apps para supervisar el comportamiento del usuario entre aplicaciones, lo que permite la identificación de la actividad normal del usuario, el hecho de que la cuenta ha finalizado y la actividad real en otras aplicaciones. Por ejemplo, un empleado que tiene una cuenta Azure AD finalizó, pero todavía tiene acceso a la infraestructura corporativa de AWS, tiene el potencial de causar daños a gran escala.

La detección busca los usuarios cuya cuenta de Azure AD ha quedado suspendida, pero siguen realizando actividades en otras plataformas, como AWS o Salesforce. Esto es especialmente pertinente para los usuarios que usen otra cuenta (distinta al inicio de sesión único principal) para administrar los recursos, ya que a menudo estas cuentas no se suspenden cuando el usuario deja la empresa.

Actividad desde direcciones IP sospechosas

• Se identifica la actividad de los usuarios desde una dirección IP considerada como de riesgo en Microsoft Threat Intelligence. Estas direcciones IP están implicadas en actividades malintencionadas, como la realización de la aspersión de contraseñas, Botnet C C y pueden & indicar una cuenta en peligro. Esta detección usa un algoritmo de aprendizaje automático que reduce los falsos positivos, como las direcciones IP no etiquetadas que los usuarios de la organización usan habitualmente.

Reenvío sospechoso desde la bandeja de entrada

• Esta detección busca reglas de reenvío de correo electrónico sospechosas, por ejemplo, si un usuario creó una regla de bandeja de entrada que reenvía una copia de todos los correos electrónicos a una dirección externa.

Reglas de manipulación sospechosa de la bandeja de entrada

• Esta detección genera un perfil del entorno y activa alertas cuando se establecen reglas sospechosas que eliminan o mueven mensajes o carpetas en la bandeja de entrada de un usuario. Esto puede indicar que la cuenta del usuario está en peligro, que los mensajes se están ocultando de manera intencionada o que el buzón se está usando para enviar correo no deseado y malware en la organización.

Actividad sospechosa de eliminación de correo electrónico (versión preliminar)

• Esta directiva genera perfiles de su entorno y desencadena alertas cuando un usuario realiza actividades sospechosas de eliminación de correo electrónico en una sola sesión. Esta directiva puede indicar que los buzones de un usuario pueden verse comprometidos por vectores de ataque potenciales, como la comunicación de comandos y control (C C/C2) a través del & correo electrónico.

Actividades sospechosas de descarga de archivos de aplicación de OAuth

• Examina las aplicaciones de OAuth conectadas a su entorno y desencadena una alerta cuando una aplicación descarga varios archivos de Microsoft SharePoint o Microsoft OneDrive de una manera inusual para el usuario. Esto puede indicar que la cuenta de usuario está en peligro.

ISP inusual para una aplicación de OAuth

• Esta directiva genera perfiles del entorno y desencadena alertas cuando una aplicación de OAuth se conecta a las aplicaciones en la nube desde un ISP poco común. Esta directiva puede indicar que un atacante intentó usar una aplicación legítima en peligro para realizar actividades malintencionadas en las aplicaciones en la nube.

Actividades inusuales (realizadas por un usuario)

Estas detecciones identifican a los usuarios que realizan:

• Varias actividades inusuales de descarga de archivos
• Actividades inusuales de uso compartido de archivos
• Actividades inusuales de eliminación de archivos
• Actividades inusuales de suplantación
• Actividades inusuales administrativas
• Actividades inusuales Power BI uso compartido de informes (versión preliminar)
• Actividades inusuales de creación de varias máquinas virtuales (versión preliminar)
• Actividades inusuales de eliminación de almacenamiento (versión preliminar)
• Región inusual para recursos en la nube (versión preliminar)
• Acceso inusual a archivos

Estas directivas buscan actividades dentro de una única sesión según la línea base establecida, lo que podría indicar un intento de vulneración. Estas detecciones aprovechan un algoritmo de aprendizaje automático que crea perfiles a partir del patrón de inicio de sesión de los usuarios y reduce los falsos positivos. Estas detecciones forman parte del motor de detección de anomalías heurísticas que genera perfiles de su entorno y desencadena alertas con respecto a una línea de base que se ha aprendido sobre la actividad de su organización.

Varios intentos incorrectos de inicio de sesión

• Se identifica a los usuarios que intentan iniciar sesión varias veces sin éxito en una única sesión según la línea base establecida, lo que podría indicar un intento de vulneración.

Filtración de datos a aplicaciones no autorizadas

• Esta directiva se habilita automáticamente para enviarle una alerta cada vez que un usuario o una dirección IP usan una aplicación que no tiene permitido realizar una actividad que parezca un intento de filtrar información de la organización.

Varias actividades de eliminación de VM

• Esta directiva crea un perfil del entorno y activa alertas cuando los usuarios eliminan varias máquinas virtuales en una única sesión, en relación con la línea base de la organización. Esto podría indicar un intento de infracción de seguridad.

Habilitación de la gobernanza automatizada

Puede habilitar acciones de corrección automatizadas en las alertas generadas por directivas de detección de anomalías.

1. Haga clic en el nombre de la directiva de detección en la página Directiva.
2. En la ventana Editar directiva de detección de anomalías que se abre, en Gobernanza, establezca las acciones de corrección que quiera para cada aplicación conectada o para todas las aplicaciones.
3. Haga clic en Update(Actualizar).

Ajuste de directivas de detección de anomalías

Para influir en el motor de detección de anomalías con el fin de suprimir o exponer alertas de acuerdo con sus preferencias, haga lo siguiente:

• En la directiva de viaje imposible, puede establecer el control deslizante de sensibilidad para determinar el nivel de comportamiento anómalo necesario antes de que se desencadene una alerta. Por ejemplo, si la establece en baja, suprimirá las alertas de viaje imposible de las ubicaciones comunes de un usuario y, si la establece en alta, mostrará dichas alertas. Puede elegir entre los niveles de sensibilidad siguientes:

  • Bajo: supresiones del usuario, el inquilino y el sistema

  • Media: supresiones del usuario y el sistema

  • Alta: solo supresiones del sistema

    Donde:

    Tipo de supresión	Descripción
    Sistema	Detecciones integradas que siempre se suprimen.
    Inquilino	Actividades comunes basadas en la actividad anterior del inquilino. Por ejemplo, la supresión de actividades de un ISP sobre el que se alertó anteriormente en la organización.
    Usuario	Actividades comunes basadas en la actividad anterior del usuario específico. Por ejemplo, la supresión de actividades de una ubicación que suele utilizar el usuario.

• También puede configurar si las alertas de actividad de un país o región poco frecuentes, las direcciones IP anónimas, las direcciones IP sospechosas y los viajes imposibles deben analizar los inicios de sesión con errores y correctos o simplemente los inicios de sesión correctos.

Ámbito de directivas de detección de anomalías

Se puede establecer un ámbito para cada directiva de detección de anomalías por separado para que se aplique solo a los usuarios y grupos que desea incluir y excluir en la directiva. Por ejemplo, puede establecer la actividad a partir de la detección de condados poco frecuentes para omitir un usuario específico que viaja de forma habitual.

Para establecer el ámbito de una directiva de detección de anomalías:

1. Haga clic en ControlDirectivas y establezca el filtro Tipo en Directiva de detección de anomalías.

2. Haga clic en la directiva cuyo ámbito desea establecer.

3. En Ámbito, cambie la lista desplegable de la configuración predeterminada de Todos los usuarios y grupos a Usuarios y grupos específicos.

4. Seleccione Incluir para especificar los usuarios y grupos para los que se aplicará esta directiva. Cualquier usuario o grupo que no se seleccione aquí no se considerará una amenaza y no generará una alerta.

5. Seleccione Excluir para especificar los usuarios para los que no se aplicará esta directiva. Cualquier usuario que seleccione aquí no se considerará una amenaza y no generará una alerta, incluso si es miembro de los grupos seleccionados en Incluir.

   

Evaluación de las alertas de detección de anomalías

Puede evaluar la prioridad de las diversas alertas desencadenadas por las nuevas directivas de detección de anomalías rápidamente y decidir cuáles es necesario atender primero. Para ello, necesita el contexto de la alerta, para que pueda ver la imagen más amplia y comprender si realmente está ocurriendo algo malintencionado.

1. En el registro de actividades, puede abrir una actividad para mostrar el cajón de actividades. Haga clic en Usuario para ver la pestaña Información del usuario. Esta pestaña incluye información como el número de alertas, actividades y desde dónde se han conectado, lo que es importante en una investigación.

   

2. Esto le permite comprender qué actividades sospechosas realizó el usuario y aumentar la confianza en cuanto a si la cuenta se vio comprometida. Por ejemplo, una alerta sobre varios inicios de sesión erróneos realmente puede ser sospechosa y puede indicar posibles ataques por fuerza bruta, pero también puede ser un error de configuración de aplicación, haciendo que la alerta resulte ser verdadera. Sin embargo, si ve una alerta de varios inicios de sesión erróneos con actividades sospechosas adicionales, entonces hay una mayor probabilidad de que la cuenta se vea comprometida. En el ejemplo siguiente, puede ver que, después de la alerta de los diversos intentos de inicio de sesión erróneos, hubo actividad desde una dirección IP TOR y actividad de viaje imposible, ambas buenos indicadores de riesgo (IOC) por sí mismas. Si esto no era lo suficientemente sospechoso, puede ver que el mismo usuario realizó una actividad de descarga masiva ,que a menudo es un indicador del atacante que realiza la filtración de datos.

   

3. En el caso de los archivos infectados con malware, una vez que se han detectado, puede ver una lista de archivos infectados. Haga clic en el nombre de archivo de malware en el cajón de archivos para abrir un informe de malware con información sobre el tipo de malware con el que está infectado el archivo.

Vídeos relacionados

Pasos siguientes

Si surgen problemas, estamos aquí para ayudarle. Para obtener ayuda o soporte técnico para el problema del producto, abra una incidencia de soporte técnico.