Investigación de aplicaciones detectadas por Microsoft Defender para punto de conexión

Nota

Hemos cambiado el nombre de Microsoft Cloud App Security. Ahora se llama Microsoft Defender for Cloud Apps. En las próximas semanas, actualizaremos las capturas de pantalla y las instrucciones aquí y en las páginas relacionadas. Para obtener más información sobre el cambio, consulte este anuncio. Para obtener más información sobre el cambio de nombre reciente de los servicios de seguridad de Microsoft, consulte el blog seguridad de Microsoft Ignite.

La integración Microsoft Defender for Cloud Apps con Microsoft Defender para punto de conexión proporciona una solución de control y visibilidad de Shadow IT sin problemas. Nuestra integración permite a los administradores de aplicaciones Defender for Cloud investigar los dispositivos detectados, los eventos de red y el uso de aplicaciones.

Investigación de dispositivos detectados en aplicaciones de Defender for Cloud

Después de integrar Defender para punto de conexión en Defender for Cloud Apps, puede investigar los datos de dispositivo detectados en el panel de Cloud Discovery.

  1. En Defender for Cloud Aplicaciones, seleccione Cloud Discovery y, a continuación, panel de Cloud Discovery.

  2. En la barra de navegación superior, en Informes continuos, seleccione Usuarios del punto de conexión Win10. Defender for Endpoint report

  3. En la parte superior, verá el número de dispositivos detectados agregados después de la integración.

  4. Seleccione la pestaña Dispositivos.

  5. Puede explorar en profundidad cada dispositivo que aparece y usar las pestañas para ver los datos de investigación. Busque correlaciones entre los dispositivos, los usuarios, las direcciones IP y las aplicaciones implicadas en incidentes:

    • Información general
      • Nivel de riesgo del dispositivo: muestra el riesgo que el perfil del dispositivo es relativo a otros dispositivos de la organización, como se indica en la gravedad (alta, media, baja, informativa). Defender for Cloud Aplicaciones usa perfiles de dispositivo de Defender para punto de conexión para cada dispositivo en función del análisis avanzado. La actividad anómala a la línea base de un dispositivo se evalúa y determina el nivel de riesgo del dispositivo. Use el nivel de riesgo del dispositivo para determinar qué dispositivos investigar primero.
      • Transacciones: información sobre el número de transacciones que tuvieron lugar en el dispositivo durante el período de tiempo seleccionado.
      • Tráfico total: información sobre la cantidad total de tráfico (en MB) durante el período de tiempo seleccionado.
      • Cargas: información sobre la cantidad total de tráfico (en MB) cargada por el dispositivo durante el período de tiempo seleccionado.
      • Descargas: información sobre la cantidad total de tráfico (en MB) descargada por el dispositivo durante el período de tiempo seleccionado.
    • Aplicaciones detectadas
      Enumera todas las aplicaciones detectadas a las que ha accedido el dispositivo.
    • Historial de usuarios
      Enumera todos los usuarios que han iniciado sesión en el dispositivo.
    • Historial de direcciones IP
      Enumera todas las direcciones IP asignadas al dispositivo. Devices overview

Al igual que con cualquier otro origen de Cloud Discovery, puede exportar los datos del informe de usuarios del punto de conexión Win10 para fines de investigación.

Nota

  • Defender para punto de conexión reenvía datos a Defender for Cloud Aplicaciones en fragmentos de ~4 MB (transacciones de punto de conexión~4000)
  • Si el límite de 4 MB no se alcanza en un plazo de 1 hora, Defender para punto de conexión notifica todas las transacciones realizadas durante la última hora.
  • Si el dispositivo de punto de conexión está detrás de un proxy de reenvío, los datos de tráfico no serán visibles para Defender para punto de conexión y, por tanto, no se incluirán en los informes de Cloud Discovery. Se recomienda enrutar los registros del proxy de reenvío a Defender for Cloud Apps mediante la carga de registros automatizada para obtener visibilidad completa. Para obtener una manera alternativa de ver este tráfico e investigar las direcciones URL a las que acceden los dispositivos detrás del proxy de reenvío, consulte Supervisión de la conexión de red detrás del proxy de reenvío.

Investigación de eventos de red de dispositivos en Microsoft 365 Defender

Nota

Los eventos de red deben usarse para investigar las aplicaciones detectadas y no usarse para depurar los datos que faltan.

Siga estos pasos para obtener una visibilidad más detallada de la actividad de red del dispositivo en Microsoft Defender para punto de conexión:

  1. En Defender for Cloud Aplicaciones, en Detección y, a continuación, seleccione Dispositivos.
  2. Seleccione la máquina que desea investigar y, a continuación, en la parte superior derecha, seleccione Ver en Microsoft Defender para punto de conexión.
  3. En Microsoft 365 Defender, en Dispositivos> {dispositivo seleccionado}, seleccione Escala de tiempo.
  4. En Filtros, seleccione Eventos de red.
  5. Investigue los eventos de red del dispositivo según sea necesario.

Screenshot showing device timeline in Microsoft 365 Defender

Investigación del uso de aplicaciones en Microsoft 365 Defender con búsqueda avanzada

Siga estos pasos para obtener una visibilidad más detallada de los eventos de red relacionados con la aplicación en Defender para punto de conexión:

  1. En Defender for Cloud Aplicaciones, en Detección, seleccione Aplicaciones detectadas.

  2. Seleccione la aplicación que desea investigar para abrir su cajón.

  3. Seleccione la lista Dominio de la aplicación y copie la lista de dominios.

  4. En Microsoft 365 Defender, en Dispositivos, seleccione Búsqueda avanzada.

  5. Pegue la siguiente consulta y reemplace por <DOMAIN_LIST> la lista de dominios que copió anteriormente.

    DeviceNetworkEvents
    | where RemoteUrl in ("<DOMAIN_LIST>")
    | order by Timestamp desc
    
  6. Ejecute la consulta e investigue los eventos de red de esta aplicación.

Screenshot showing Microsoft 365 Defender advanced hunting

Investigar aplicaciones no autorizadas en Microsoft 365 Defender

Cada intento de acceder a una aplicación no autorizada desencadena una alerta en Microsoft 365 Defender con detalles detallados sobre toda la sesión. Esto le permite realizar investigaciones más profundas sobre los intentos de acceder a aplicaciones no autorizadas, así como proporcionar información adicional relevante para su uso en la investigación de dispositivos de punto de conexión.

A veces, no se bloquea el acceso a una aplicación no autorizada, ya sea porque el dispositivo de punto de conexión no está configurado correctamente o si la directiva de cumplimiento aún no se ha propagado al punto de conexión. En este caso, los administradores de Defender para punto de conexión recibirán una alerta en Microsoft 365 Defender de que la aplicación no autorizada no se bloqueó.

Screenshot showing Defender for Endpoint unsanctioned app alert

Nota

  • Se tarda hasta dos horas después de etiquetar una aplicación como No autorizada para que los dominios de aplicación se propaguen a los dispositivos de punto de conexión.
  • De forma predeterminada, las aplicaciones y los dominios marcados como No autorizadas en Defender for Cloud Apps se bloquearán para todos los dispositivos de punto de conexión de la organización.
  • Actualmente, no se admiten direcciones URL completas para aplicaciones no autorizadas. Por lo tanto, cuando las aplicaciones no autorizadas configuradas con direcciones URL completas, no se propagan a Defender para punto de conexión y no se bloquearán. Por ejemplo, google.com/drive no se admite, mientras drive.google.com que se admite .
  • Las notificaciones en el explorador pueden variar entre distintos exploradores.

Pasos siguientes

Si surgen problemas, estamos aquí para ayudarle. Para obtener ayuda o soporte técnico para el problema del producto, abra una incidencia de soporte técnico.