Procedimientos recomendados para proteger tu organización con Defender for Cloud Apps

  • Artículo

En este artículo se describen los mejores procedimientos para proteger tu organización utilizando Microsoft Defender for Cloud Apps. Estos procedimientos recomendados proceden de nuestra experiencia con Defender for Cloud Apps y las experiencias de clientes como tú.

Estos son algunos de los procedimientos recomendados descritos en este artículo:

Detección y valoración de las aplicaciones en la nube

La integración de Defender for Cloud Apps con Microsoft Defender para punto de conexión ofrece la posibilidad de usar Cloud Discovery más allá de la red corporativa o las puertas de enlace web seguras. Con la información de usuario y dispositivo combinada, puedes identificar usuarios o dispositivos de riesgo, ver qué aplicaciones usan e investigar más en el portal de Defender para punto de conexión.

Procedimiento recomendado: Habilitación de la detección de SHADOW IT Discovery mediante Defender para punto de conexión
Detalle: Cloud Discovery analiza los registros de tráfico recopilados por Defender para punto de conexión y evalúa las aplicaciones identificadas en el catálogo de aplicaciones en la nube para proporcionar información de cumplimiento y seguridad. Al configurar Cloud Discovery, obtendrás visibilidad sobre el uso en la nube, Shadow IT y la supervisión continua de las aplicaciones no autorizadas que usan los usuarios.
Para obtener más información:

Procedimiento recomendado: Configuración de directivas de detección de aplicaciones para identificar de forma proactiva aplicaciones de riesgo, no compatibles y tendencias en aplicaciones
Detalles: las directivas de detección de aplicaciones facilitan el seguimiento de las aplicaciones detectadas importantes de tu organización para ayudarte a administrar estas aplicaciones de forma eficaz. Crea directivas para recibir alertas al detectar nuevas aplicaciones identificadas como de riesgo, no conformes, tendencias o un volumen elevado.
Para obtener más información:

Procedimiento recomendado: Administrar aplicaciones de OAuth autorizadas por los usuarios
Detalle: muchos usuarios conceden permisos de OAuth casualmente a aplicaciones de terceros para acceder a su información de cuenta y, al hacerlo, también proporcionan acceso involuntariamente a sus datos en otras aplicaciones en la nube. Normalmente, el equipo de TI no tiene visibilidad sobre estas aplicaciones, lo que dificulta la ponderación del riesgo de seguridad de una aplicación frente a la ventaja de productividad que proporciona.

Defender for Cloud Apps proporciona la capacidad de investigar y supervisar los permisos de aplicación concedidos a los usuarios. Puedes usar esta información para identificar una aplicación potencialmente sospechosa y, si determinas que es arriesgada, puedes prohibir el acceso a ella.
Para obtener más información:

Aplicación de directivas de gobernanza en la nube

Procedimiento recomendado: Etiquetar aplicaciones y exportar scripts de bloqueo
Detalle: Después de haber integrado la lista de aplicaciones descubiertas en tu organización, puedes proteger tu entorno contra el uso de aplicaciones no deseadas. Puedes aplicar la etiqueta Autorizada a las aplicaciones aprobadas por tu organización y la etiqueta No autorizada a las aplicaciones que no lo son. Puedes supervisar aplicaciones no autorizadas mediante filtros de detección o exportar un script para bloquear aplicaciones no autorizadas mediante los dispositivos de seguridad locales. El uso de etiquetas y scripts de exportación permite organizar las aplicaciones y proteger tu entorno solo permite el acceso a aplicaciones seguras.
Para obtener más información:

Limitación de la exposición de datos compartidos y aplicación de directivas de colaboración

Procedimiento recomendado: Conectar Microsoft 365
Detalle: Conectar Microsoft 365 a Defender for Cloud Apps proporciona visibilidad inmediata de las actividades de los usuarios, los archivos a los que acceden y proporciona acciones de gobernanza para Microsoft 365, SharePoint, OneDrive, Teams, Power BI, Exchange y Dynamics.
Para obtener más información:

Procedimiento recomendado: Conectar las aplicaciones
Detalles: Conectar las aplicaciones en Defender for Cloud Apps proporciona información mejorada sobre las actividades de los usuarios, la detección de amenazas y las funcionalidades de gobernanza. Para ver qué APIs de aplicación de terceros se admiten, ve a Conectar aplicaciones.

Para obtener más información:

Procedimiento recomendado: Crear directivas para quitar el uso compartido con cuentas personales
Detalle: Conectar Microsoft 365 a Defender for Cloud Apps proporciona visibilidad inmediata de las actividades de los usuarios, los archivos a los que acceden y proporciona acciones de gobernanza para Microsoft 365, SharePoint, OneDrive, Teams, Power BI, Exchange y Dynamics.
Para obtener más información:

Detección, clasificación, etiquetado y protección de datos regulados y confidenciales almacenados en la nube

Procedimiento recomendado: Integración con Microsoft Purview Information Protection
Detalle: La integración con Microsoft Purview Information Protection ofrece la capacidad de aplicar automáticamente etiquetas de confidencialidad y, opcionalmente, agregar protección de cifrado. Una vez activada la integración, puedes aplicar etiquetas como una acción de gobernanza, ver archivos por clasificación, investigar archivos por nivel de clasificación y crear directivas granulares para asegurarte de que los archivos clasificados se administran correctamente. Si no activas la integración, no puedes beneficiarte de la capacidad de examinar, etiquetar y cifrar archivos automáticamente en la nube.
Para obtener más información:

Procedimiento recomendado: Creación de directivas de exposición de datos
Detalle: usa directivas de archivo para detectar el uso compartido de información y buscar información confidencial en las aplicaciones en la nube. Crea las siguientes directivas de archivo para avisarte cuando se detecten exposiciones de datos:

  • Archivos compartidos externamente que contienen datos confidenciales
  • Archivos compartidos externamentes y etiquetados como confidenciales
  • Archivos compartidos con dominios no autorizados
  • Protección de archivos confidenciales en aplicaciones SaaS

Para obtener más información:

Procedimiento recomendado: Revisión de informes en la página Archivos
Detalle: una vez que hayas conectado varias aplicaciones SaaS mediante conectores de aplicaciones, Defender for Cloud Apps examina los archivos almacenados por estas aplicaciones. Además, cada vez que se modifica un archivo, se vuelve a examinar. Puedes usar la página Archivos para comprender e investigar los tipos de datos que se almacenan en las aplicaciones en la nube. Para ayudarte a investigar, puedes filtrar por dominios, grupos, usuarios, fecha de creación, extensión, nombre de archivo y tipo, identificador de archivo, etiqueta de confidencialidad, etc. El uso de estos filtros te permite controlar cómo decides investigar archivos para asegurarte de que ninguno de los datos está en riesgo. Una vez que tengas una mejor comprensión de cómo se usan los datos, puedes crear directivas para buscar contenido confidencial en estos archivos.
Para obtener más información:

Aplicación de directivas de cumplimiento y DLP para los datos almacenados en la nube

Procedimiento recomendado: Proteger los datos confidenciales de compartirse con usuarios externos
Detalle: crea una directiva de archivo que detecte cuándo un usuario intenta compartir un archivo con la etiqueta de confidencialidad confidencial con alguien externo a tu organización y configura su acción de gobernanza para quitar usuarios externos. Esta directiva garantiza que los datos confidenciales no abandonen la organización y los usuarios externos no puedan obtener acceso a ellos.
Para obtener más información:

Bloqueo y protección de la descarga de documentos confidenciales en dispositivos no administrados o peligrosos

Procedimiento recomendado: Administración y control del acceso a dispositivos de alto riesgo
Detalle: Usa el control de aplicaciones de acceso condicional para establecer controles en las aplicaciones SaaS. Puedes crear directivas de sesión para supervisar las sesiones de alto riesgo y de confianza baja. Del mismo modo, puedes crear directivas de sesión para bloquear y proteger las descargas por parte de los usuarios que intentan acceder a datos confidenciales desde dispositivos no administrados o de riesgo. Si no creas directivas de sesión para supervisar las sesiones de alto riesgo, perderás la capacidad de bloquear y proteger las descargas en el cliente web, así como la capacidad de supervisar la sesión de baja confianza tanto en aplicaciones de Microsoft como de terceros.
Para obtener más información:

Protección de la colaboración con usuarios externos aplicando controles de sesión en tiempo real

Procedimiento recomendado: Supervisión de sesiones con usuarios externos mediante el control de aplicaciones de acceso condicional
Detalle: Para proteger la colaboración en tu entorno, puedes crear una directiva de sesión para supervisar las sesiones entre los usuarios internos y externos. Esto no solo ofrece la capacidad de supervisar la sesión entre los usuarios (y notificarles que sus actividades de sesión se están supervisando), sino que también te permite limitar actividades específicas. Al crear directivas de sesión para supervisar la actividad, puedes elegir las aplicaciones y los usuarios que deseas supervisar.
Para obtener más información:

Detección de amenazas en la nube, cuentas en peligro, usuarios internos malintencionados y ransomware

Procedimiento recomendado: Optimizar las directivas de anomalías, establecer intervalos IP, enviar comentarios para alertas
Detalle:Las directivas de detección de anomalías de Cloud App Security proporcionan análisis de comportamiento de usuarios y entidades (UEBA) y aprendizaje automático (ML) al instante para que puedas ejecutar inmediatamente la detección de amenazas avanzada en el entorno de nube.

Las directivas de detección de anomalías se desencadenan cuando los usuarios realizan actividades inusuales en el entorno. Defender for Cloud Apps supervisa continuamente las actividades de los usuarios y usa UEBA y ML para aprender y comprender el comportamiento normal de los usuarios. Puedes ajustar la configuración de directiva para que se ajuste a los requisitos de las organizaciones, por ejemplo, puedes establecer la confidencialidad de una directiva, así como definir el ámbito de una directiva en un grupo específico.

  • Ajustar y definir directivas de detección de anomalías de ámbito: por ejemplo, para reducir el número de falsos positivos dentro de la alerta de viaje imposible, puedes establecer el control de sensibilidad de confidencialidad de la directiva en bajo. Si tienes usuarios de tu organización que son viajeros corporativos frecuentes, puedes agregarlos a un grupo de usuarios y seleccionar ese grupo en el ámbito de la directiva.

  • Establecer intervalos IP: Defender for Cloud Apps puede identificar direcciones IP conocidas una vez que se establecen intervalos de direcciones IP. Los intervalos de direcciones IP permiten etiquetar, clasificar y personalizar la forma en que los registros y alertas se muestran e investigan. Agregar intervalos de direcciones IP ayuda a reducir las detecciones de falsos positivos y a mejorar la precisión de las alertas. Si decides no agregar tus direcciones IP, es posible que veas un mayor número de posibles falsos positivos y alertas que investigar.

  • Enviar comentarios para alertas

    Al descartar o resolver alertas, asegúrate de enviar comentarios con el motivo por el que descartaste la alerta o cómo se ha resuelto. Esta información ayuda a Defender for Cloud Apps a mejorar nuestras alertas y a reducir los falsos positivos.

Para obtener más información:

Mejor procedimiento:Detectar actividad desde ubicaciones, países o regiones inesperados
Detalle: crea una directiva de actividad para notificarte cuando los usuarios inicien sesión desde ubicaciones o países o regiones inesperados. Estas notificaciones pueden alertarte de sesiones posiblemente comprometidas en tu entorno para que puedas detectar y corregir amenazas antes de que se produzcan.
Para obtener más información:

Procedimiento recomendado: Creación de directivas de aplicación de OAuth
Detalle: crea una directiva de aplicación de OAuth para que te notifique cuando una aplicación OAuth cumpla determinados criterios. Por ejemplo, puedes optar por recibir una notificación cuando más de 100 usuarios hayan accedido a una aplicación específica que requiera un nivel de permisos alto.
Para obtener más información:

Uso de la pista de auditoría de actividades para investigaciones forenses

Procedimiento recomendado: Usar la pista de auditoría de las actividades al investigar alertas
Detalle: las alertas se desencadenan cuando las actividades de usuario, administrador o inicio de sesión no cumplen las directivas. Es importante investigar las alertas para comprender si hay una posible amenaza en el entorno.

Para investigar una alerta, selecciónala en la página Alertas y revisa la pista de auditoría de las actividades relacionadas con esa alerta. La pista de auditoría proporciona visibilidad sobre las actividades del mismo tipo, el mismo usuario, la misma dirección IP y ubicación, para proporcionarte el caso general de una alerta. Si una alerta garantiza una investigación adicional, crea un plan para resolver estas alertas en tu organización.

Al descartar alertas, es importante investigar y comprender por qué no son importantes o si son falsos positivos. Si hay un gran volumen de estas actividades, también puedes considerar la posibilidad de revisar y ajustar la directiva que desencadena la alerta.
Para obtener más información:

Protección de servicios IaaS y aplicaciones personalizadas

Procedimiento recomendado: Conectar Azure, AWS y GCP
Detalle: Conectar cada una de estas plataformas en la nube a Defender for Cloud Apps te ayuda a mejorar las funcionalidades de detección de amenazas. Al supervisar las actividades administrativas e de inicio de sesión de estos servicios, puedes detectar y recibir notificaciones sobre posibles ataques por fuerza bruta, el uso malintencionado de una cuenta de usuario con privilegios y otras amenazas en tu entorno. Por ejemplo, puedes identificar riesgos como eliminaciones inusuales de máquinas virtuales o incluso actividades de suplantación en estas aplicaciones.
Para obtener más información:

Procedimiento recomendado: Incorporación de aplicaciones personalizadas
Detalle: para obtener visibilidad adicional de las actividades de las aplicaciones de línea de negocio, puedes incorporar aplicaciones personalizadas a Defender for Cloud Apps. Una vez configuradas las aplicaciones personalizadas, verás información sobre quién las usa, las direcciones IP desde las que se usan y la cantidad de tráfico que entra y sale de la aplicación.

Además, puedes incorporar una aplicación personalizada como una aplicación de control de aplicaciones de acceso condicional para supervisar sus sesiones de confianza baja.
Para obtener más información: