Obtención de análisis de comportamiento y detección de anomalías

Nota:

  • Hemos cambiado el nombre de Microsoft Cloud App Security. Ahora se llama Microsoft Defender for Cloud Apps. En las próximas semanas, actualizaremos las capturas de pantalla y las instrucciones aquí y en las páginas relacionadas. Para obtener más información sobre el cambio, consulte este anuncio. Para obtener más información sobre el cambio de nombre reciente de los servicios de seguridad de Microsoft, consulte el blog seguridad de Microsoft Ignite.

  • Microsoft Defender for Cloud Apps ahora forma parte de Microsoft 365 Defender. El portal de Microsoft 365 Defender permite a los administradores de seguridad realizar sus tareas de seguridad en una ubicación. Esto simplificará los flujos de trabajo y agregará la funcionalidad de los demás servicios Microsoft 365 Defender. Microsoft 365 Defender será el hogar de la supervisión y administración de la seguridad en las identidades, los datos, los dispositivos, las aplicaciones y la infraestructura de Microsoft. Para obtener más información sobre estos cambios, consulte Microsoft Defender for Cloud Apps en Microsoft 365 Defender.

Las Microsoft Defender for Cloud Apps directivas de detección de anomalías proporcionan análisis de comportamiento de usuarios y entidades (UEBA) y aprendizaje automático (ML) listos para ejecutar la detección avanzada de amenazas en el entorno en la nube. Dado que se habilitan automáticamente, las nuevas directivas de detección de anomalías inician inmediatamente el proceso de detección y intercalación de resultados, que tienen como destino numerosas anomalías de comportamiento entre los usuarios y los equipos y dispositivos conectados a la red. Además, las directivas exponen más datos del motor de detección de Defender for Cloud Apps, para ayudarle a acelerar el proceso de investigación y contener amenazas en curso.

Las directivas de detección de anomalías se habilitan automáticamente, pero Defender for Cloud Apps tiene un período de aprendizaje inicial de siete días durante el cual no se generan todas las alertas de detección de anomalías. Después de eso, a medida que se recopilan datos de los conectores de API configurados, cada sesión se compara con la actividad, cuando los usuarios estaban activos, direcciones IP, dispositivos, etc., detectados durante el último mes y la puntuación de riesgo de estas actividades. Tenga en cuenta que los datos pueden tardar varias horas en estar disponibles en conectores de API. Estas detecciones forman parte del motor de detección de anomalías heurística que perfila el entorno y desencadena alertas con respecto a una línea base que se ha aprendido en la actividad de la organización. Estas detecciones también usan algoritmos de aprendizaje automático diseñados para generar perfiles de los usuarios e iniciar sesión con el fin de reducir los falsos positivos.

Las anomalías se detectan mediante el examen de la actividad del usuario. El riesgo se evalúa mediante el análisis de más de 30 indicadores de riesgo distintos, agrupados por factores de riesgo, que son los siguientes:

  • Dirección IP de riesgo
  • Errores de inicio de sesión
  • Actividad administrativa
  • Cuentas inactivas
  • Location
  • Viaje imposible
  • Agente de usuario y dispositivo
  • Tasa de actividad

Basándose en los resultados de la directiva, se activan alertas de seguridad. Defender for Cloud Apps examina cada sesión de usuario en la nube y le alerta cuando sucede algo diferente de la línea base de la organización o de la actividad normal del usuario.

Además de las alertas nativas de Defender for Cloud Apps, también obtendrá las siguientes alertas de detección en función de la información recibida de Azure Active Directory (AD) Identity Protection:

Estas directivas aparecerán en la página Directivas de Defender for Cloud Apps y se pueden habilitar o deshabilitar.

Directivas de detección de anomalías

Puede ver las directivas de detección de anomalías en el portal haciendo clic en Control y luego en Directivas. Seleccione Directiva de detección de anomalías para el tipo de directiva.

nuevas directivas de detección de anomalías.

Están disponibles las directivas de detección de anomalías siguientes:

Viaje imposible

  • Esta detección identifica dos actividades de usuario (en una o varias sesiones) que se originan en ubicaciones geográficamente distantes dentro de un período de tiempo inferior al tiempo que habría tardado el usuario en viajar desde la primera ubicación a la segunda, lo que indica que un usuario diferente usa las mismas credenciales. Esta detección usa un algoritmo de aprendizaje automático que omite "falsos positivos" obvios que contribuyen a la condición de viaje imposible, como VPN y ubicaciones que usan regularmente otros usuarios de la organización. La detección tiene un período de aprendizaje inicial de siete días durante el cual aprende el patrón de actividad de un nuevo usuario. La detección de viaje imposible identifica actividad inusual e imposible de usuario entre dos ubicaciones. La actividad debe ser lo suficientemente inusual como para ser considerada un indicador de peligro y digna de una alerta. Para que esto funcione, la lógica de detección incluye distintos niveles de supresión para abordar escenarios que pueden desencadenar falsos positivos, como actividades de VPN o actividad de proveedores de nube que no indican una ubicación física. El control deslizante de confidencialidad permite afectar al algoritmo y definir lo estricta que es la lógica de detección. Cuanto mayor sea el nivel de confidencialidad, se suprimirán menos actividades como parte de la lógica de detección. De este modo, puede adaptar la detección según sus necesidades de cobertura y destinos SNR.

    Nota:

    • Cuando las direcciones IP de ambos lados del viaje se consideran seguras, el viaje es de confianza y se excluye de desencadenar la detección de viajes imposible. Por ejemplo, ambos lados se consideran seguros si se etiquetan como corporativos. Sin embargo, si la dirección IP de solo un lado del viaje se considera segura, la detección se desencadena como normal.
    • Las ubicaciones se calculan en un nivel de país. Esto significa que no habrá alertas para dos acciones que se originen en el mismo país o en países fronterizos.

Actividad desde un país poco frecuente

  • Esta detección tiene en cuenta las ubicaciones de actividad anteriores para determinar las ubicaciones nuevas e infrecuentes. El motor de detección de anomalías almacena información sobre las ubicaciones anteriores utilizadas por los usuarios de la organización. Se desencadena una alerta cuando se produce una actividad desde una ubicación que ningún usuario de la organización ha visitado recientemente o nunca.

Detección de malware

  • Esta detección identifica los archivos maliciosos en el almacenamiento en nube, tanto si proceden de aplicaciones de Microsoft como de aplicaciones de terceros. Microsoft Defender for Cloud Apps usa la inteligencia sobre amenazas de Microsoft para reconocer si determinados archivos están asociados a ataques de malware conocidos y son potencialmente malintencionados. Esta directiva integrada está deshabilitada de forma predeterminada. Los archivos que se encuentran potencialmente peligrosos según nuestra heurística también se analizarán en el espacio aislado. Después de detectar archivos malintencionados, puede ver una lista de archivos infectados. Seleccione el nombre del archivo malicioso en el cajón de archivos para abrir un informe de malware que le proporciona información sobre el tipo de malware con el que está infectado el archivo.

    Puede usar esta detección en tiempo real mediante directivas de sesión para controlar las cargas y descargas de archivos.

    Defender for Cloud Apps admite la detección de malware para las aplicaciones siguientes:

    • Box
    • Dropbox
    • Google Workspace
    • Office 365 (requiere una licencia válida para Microsoft Defender para Office 365 P1)

    Nota:

    El malware detectado en Office 365 aplicaciones está bloqueado automáticamente por la aplicación y el usuario no puede acceder al archivo. Solo el administrador de la aplicación tiene acceso.

    En Box, Dropbox y Google Workspace, Defender for Cloud Apps no bloquea el archivo, pero el bloqueo se puede realizar según las funcionalidades de la aplicación y la configuración de la aplicación establecida por el cliente.

Actividad desde una dirección IP anónima

  • Esta detección identifica que los usuarios estaban activos desde una dirección IP que se ha identificado como una dirección IP de proxy anónima. Estos servidores proxy los usan las personas que quieren ocultar la dirección IP de su dispositivo y se pueden usar para la intención malintencionada. Esta detección usa un algoritmo de aprendizaje automático que reduce los "falsos positivos", como las direcciones IP etiquetadas erróneamente que usan ampliamente los usuarios de la organización.

Actividad de ransomware

  • Defender for Cloud Apps ha ampliado sus funcionalidades de detección de ransomware con detección de anomalías para garantizar una cobertura más completa frente a ataques sofisticados de ransomware. Con nuestra experiencia en investigación de seguridad para identificar patrones de comportamiento que reflejan la actividad de ransomware, Defender for Cloud Apps garantiza una protección holística y sólida. Si Defender for Cloud Apps identifica, por ejemplo, una alta tasa de cargas de archivos o actividades de eliminación de archivos, puede representar un proceso de cifrado adverso. Estos datos se recopilan en los registros procedentes de las API conectadas y luego se combinan con los patrones de comportamiento aprendidos y la inteligencia sobre amenazas, por ejemplo, extensiones de ransomware conocidas. Para obtener más información sobre cómo Defender for Cloud Apps detecta ransomware, consulte Protección de su organización contra ransomware.

Actividad realizada por el usuario cancelado

  • Esta detección le permite identificar cuando un empleado que ya no trabaja en la compañía sigue realizando acciones en las aplicaciones SaaS. Dado que los datos muestran que el mayor riesgo de una amenaza interna procede de empleados que se fueron en malos términos, es importante estar atento a la actividad en las cuentas de empleados dados de baja. A veces, cuando los empleados dejan una compañía, sus cuentas se desaprovisionan de las aplicaciones corporativas, pero en muchos casos sigue conservando el acceso a determinados recursos corporativos. Esto es incluso más importante si se tienen en cuenta las cuentas con privilegios, ya que el daño potencial que un ex administrador puede infligir es intrínsecamente mayor. Esta detección aprovecha la capacidad de Defender for Cloud Apps para supervisar el comportamiento del usuario entre aplicaciones, lo que permite la identificación de la actividad regular del usuario, el hecho de que se eliminó la cuenta y la actividad real en otras aplicaciones. Por ejemplo, un empleado cuya cuenta de Azure AD se eliminó, pero todavía tiene acceso a la infraestructura corporativa de AWS, tiene la posibilidad de causar daños a gran escala.

La detección busca usuarios cuyas cuentas se eliminaron en Azure AD, pero siguen realizando actividades en otras plataformas, como AWS o Salesforce. Esto es especialmente relevante para los usuarios que usan otra cuenta (no su cuenta de inicio de sesión único principal) para administrar los recursos, ya que estas cuentas a menudo no se eliminan cuando un usuario abandona la empresa.

Actividad desde direcciones IP sospechosas

  • Se identifica la actividad de los usuarios desde una dirección IP considerada como de riesgo en Microsoft Threat Intelligence. Estas direcciones IP están implicadas en actividades malintencionadas, como la difusión de contraseñas, Botnet C C&y pueden indicar una cuenta en peligro. Esta detección usa un algoritmo de aprendizaje automático que reduce los "falsos positivos", como las direcciones IP etiquetadas erróneamente que usan ampliamente los usuarios de la organización.

Reenvío sospechoso desde la bandeja de entrada

  • Esta detección busca reglas de reenvío de correo electrónico sospechosas, por ejemplo, si un usuario creó una regla de bandeja de entrada que reenvía una copia de todos los correos electrónicos a una dirección externa.

Nota:

Defender for Cloud Apps solo le avisa de cada regla de reenvío que se identifica como sospechosa, en función del comportamiento típico para el usuario.

Reglas de manipulación sospechosa de la bandeja de entrada

  • Esta detección genera un perfil del entorno y activa alertas cuando se establecen reglas sospechosas que eliminan o mueven mensajes o carpetas en la bandeja de entrada de un usuario. Esto puede indicar que la cuenta del usuario está en peligro, que los mensajes se están ocultando de manera intencionada o que el buzón se está usando para enviar correo no deseado y malware en la organización.

Actividad de eliminación de correo electrónico sospechosa (versión preliminar)

  • Esta directiva genera perfiles de su entorno y desencadena alertas cuando un usuario realiza actividades sospechosas de eliminación de correo electrónico en una sola sesión. Esta directiva puede indicar que los buzones de un usuario pueden verse comprometidos por posibles vectores de ataque, como la comunicación de comando y control (C&/C2) a través del correo electrónico.

Nota:

Defender for Cloud Apps se integra con Microsoft Defender para Office 365 para proporcionar protección para Exchange Online, incluida la detonación de direcciones URL, la protección contra malware, etc. Una vez habilitado Defender para Office 365, comenzará a ver alertas en el registro de actividad de Defender for Cloud Apps.

Actividades sospechosas de descarga de archivos de aplicación de OAuth

  • Examina las aplicaciones de OAuth conectadas a su entorno y desencadena una alerta cuando una aplicación descarga varios archivos de Microsoft SharePoint o Microsoft OneDrive de una manera inusual para el usuario. Esto puede indicar que la cuenta de usuario está en peligro.

ISP inusual para una aplicación de OAuth

  • Esta directiva genera perfiles de su entorno y desencadena alertas cuando una aplicación de OAuth se conecta a las aplicaciones en la nube desde un ISP poco común. Esta directiva puede indicar que un atacante intentó usar una aplicación en peligro legítima para realizar actividades malintencionadas en las aplicaciones en la nube.

Actividades inusuales (realizadas por un usuario)

Estas detecciones identifican a los usuarios que realizan:

  • Varias actividades inusuales de descarga de archivos
  • Actividades inusuales de uso compartido de archivos
  • Actividades inusuales de eliminación de archivos
  • Actividades inusuales de suplantación
  • Actividades inusuales administrativas
  • Actividades inusuales de uso compartido de informes de Power BI (versión preliminar)
  • Actividades inusuales de creación de varias máquinas virtuales (versión preliminar)
  • Actividades inusuales de eliminación de varios almacenamientos (versión preliminar)
  • Región inusual para el recurso en la nube (versión preliminar)
  • Acceso inusual a archivos

Estas directivas buscan actividades dentro de una única sesión según la línea base establecida, lo que podría indicar un intento de vulneración. Estas detecciones aprovechan un algoritmo de aprendizaje automático que perfila el patrón de inicio de sesión de los usuarios y reduce los falsos positivos. Estas detecciones forman parte del motor de detección de anomalías heurística que perfila el entorno y desencadena alertas con respecto a una línea base que se ha aprendido en la actividad de la organización.

Varios intentos incorrectos de inicio de sesión

  • Se identifica a los usuarios que intentan iniciar sesión varias veces sin éxito en una única sesión según la línea base establecida, lo que podría indicar un intento de vulneración.

Filtración de datos a aplicaciones no autorizadas

  • Esta directiva se habilita automáticamente para enviarle una alerta cada vez que un usuario o una dirección IP usan una aplicación que no tiene permitido realizar una actividad que parezca un intento de filtrar información de la organización.

Varias actividades de eliminación de VM

  • Esta directiva crea un perfil del entorno y activa alertas cuando los usuarios eliminan varias máquinas virtuales en una única sesión, en relación con la línea base de la organización. Esto podría indicar un intento de infracción de seguridad.

Habilitación de la gobernanza automatizada

Puede habilitar acciones de corrección automatizadas en las alertas generadas por directivas de detección de anomalías.

  1. Seleccione el nombre de la directiva de detección en la página Directiva .
  2. En la ventana Editar directiva de detección de anomalías que se abre, en Gobernanza, establezca las acciones de corrección que quiera para cada aplicación conectada o para todas las aplicaciones.
  3. Seleccione Actualizar.

Ajuste de directivas de detección de anomalías

Para influir en el motor de detección de anomalías con el fin de suprimir o exponer alertas de acuerdo con sus preferencias, haga lo siguiente:

  • En la directiva de viaje imposible, puede establecer el control deslizante de sensibilidad para determinar el nivel de comportamiento anómalo necesario antes de que se desencadene una alerta. Por ejemplo, si la establece en baja o media, suprimirá las alertas de Viaje imposible de las ubicaciones comunes de un usuario y, si la establece en alta, mostrará dichas alertas. Puede elegir entre los niveles de sensibilidad siguientes:

    • Bajo: supresiones del usuario, el inquilino y el sistema

    • Media: supresiones del usuario y el sistema

    • Alta: solo supresiones del sistema

      Donde:

      Tipo de supresión Descripción
      Sistema Detecciones integradas que siempre se suprimen.
      Inquilino Actividades comunes basadas en la actividad anterior del inquilino. Por ejemplo, la supresión de actividades de un ISP sobre el que se alertó anteriormente en la organización.
      Usuario Actividades comunes basadas en la actividad anterior del usuario específico. Por ejemplo, la supresión de actividades de una ubicación que suele utilizar el usuario.

Nota:

De forma predeterminada, los protocolos de inicio de sesión heredados, como los que no usan la autenticación multifactor (por ejemplo, WS-Trust), no se supervisan mediante la directiva de viaje imposible. Si su organización usa protocolos heredados, para evitar que falten actividades pertinentes, edite la directiva y, en Configuración avanzada, establezca Analizar actividades de inicio de sesión enTodos los inicios de sesión.

Ámbito de directivas de detección de anomalías

Se puede establecer un ámbito para cada directiva de detección de anomalías por separado para que se aplique solo a los usuarios y grupos que desea incluir y excluir en la directiva. Por ejemplo, puede establecer la actividad a partir de la detección de condados poco frecuentes para omitir un usuario específico que viaja de forma habitual.

Para establecer el ámbito de una directiva de detección de anomalías:

  1. Seleccione Directivas de control> y establezca el filtro Tipo en Directiva de detección de anomalías.

  2. Seleccione la directiva que desea definir como ámbito.

  3. En Ámbito, cambie la lista desplegable de la configuración predeterminada de Todos los usuarios y grupos a Usuarios y grupos específicos.

  4. Seleccione Incluir para especificar los usuarios y grupos para los que se aplicará esta directiva. Cualquier usuario o grupo que no se seleccione aquí no se considerará una amenaza y no generará una alerta.

  5. Seleccione Excluir para especificar los usuarios para los que esta directiva no se aplicará. Cualquier usuario que seleccione aquí no se considerará una amenaza y no generará una alerta, incluso si es miembro de los grupos seleccionados en Incluir.

    ámbito de detección de anomalías.

Evaluación de las alertas de detección de anomalías

Puede evaluar la prioridad de las diversas alertas desencadenadas por las nuevas directivas de detección de anomalías rápidamente y decidir cuáles es necesario atender primero. Para ello, necesita el contexto de la alerta, por lo que puede ver la imagen más grande y comprender si algo malintencionado está ocurriendo realmente.

  1. En el registro de actividades, puede abrir una actividad para mostrar el cajón de actividades. Seleccione Usuario para ver la pestaña información del usuario. Esta pestaña incluye información como el número de alertas, actividades y desde dónde se han conectado, lo que es importante en una investigación.

    alerta de detección de anomalías1.alerta de detección de anomalías2.

  2. Esto le permite comprender qué actividades sospechosas realizó el usuario y aumentar la confianza en cuanto a si la cuenta se vio comprometida. Por ejemplo, una alerta sobre varios inicios de sesión erróneos realmente puede ser sospechosa y puede indicar posibles ataques por fuerza bruta, pero también puede ser un error de configuración de aplicación, haciendo que la alerta resulte ser verdadera. Sin embargo, si ve una alerta de inicios de sesión con varios errores con actividades sospechosas adicionales, hay una mayor probabilidad de que la cuenta esté en peligro. En el ejemplo siguiente, puede ver que, después de la alerta de los diversos intentos de inicio de sesión erróneos, hubo actividad desde una dirección IP TOR y actividad de viaje imposible, ambas buenos indicadores de riesgo (IOC) por sí mismas. Si esto no era lo suficientemente sospechoso, puede ver que el mismo usuario realizó una actividad de descarga masiva, que suele ser un indicador del atacante que realiza la filtración de datos.

    alerta de detección de anomalías3.

  3. En el caso de los archivos infectados con malware, una vez que se han detectado, puede ver una lista de archivos infectados. Seleccione el nombre de archivo malicioso en el cajón de archivos para abrir un informe de malware que le proporciona información sobre ese tipo de malware con el que está infectado el archivo.

Pasos siguientes

Si surgen problemas, estamos aquí para ayudarle. Para obtener ayuda o soporte técnico para el problema del producto, abra una incidencia de soporte técnico.