Tutorial: Detección y protección de la información confidencial de una organización

Nota:

  • Hemos cambiado el nombre de Microsoft Cloud App Security. Ahora se llama Microsoft Defender for Cloud Apps. En las próximas semanas, actualizaremos las capturas de pantalla y las instrucciones aquí y en las páginas relacionadas. Para obtener más información sobre el cambio, consulte este anuncio. Para obtener más información sobre el cambio de nombre reciente de los servicios de seguridad de Microsoft, consulte el blog seguridad de Microsoft Ignite.

  • Microsoft Defender for Cloud Apps ahora forma parte de Microsoft 365 Defender. El portal de Microsoft 365 Defender permite a los administradores de seguridad realizar sus tareas de seguridad en una ubicación. Esto simplificará los flujos de trabajo y agregará la funcionalidad de los demás servicios Microsoft 365 Defender. Microsoft 365 Defender será el hogar de la supervisión y administración de la seguridad en las identidades, los datos, los dispositivos, las aplicaciones y la infraestructura de Microsoft. Para obtener más información sobre estos cambios, consulte Microsoft Defender for Cloud Apps en Microsoft 365 Defender.

En un mundo ideal, todos los empleados entienden la importancia de la protección de la información y trabajan dentro de las directivas. En el mundo real, es probable que un asociado ocupado que trabaja con frecuencia con información de cuentas cargue accidentalmente un documento confidencial en el repositorio de Box con permisos incorrectos. Al cabo de una semana, se da cuenta de que información confidencial de su empresa se ha filtrado a la competencia.

Para ayudarle a evitar que esto suceda, Microsoft Defender for Cloud Apps proporciona un amplio conjunto de funcionalidades DLP que cubren los distintos puntos de fuga de datos que existen en las organizaciones.

En este tutorial, aprenderá a usar Defender for Cloud Aplicaciones para detectar datos confidenciales potencialmente expuestos y aplicar controles para evitar su exposición:

Detección y protección de la información confidencial de la organización

El enfoque adoptado para la protección de la información se puede dividir en las siguientes fases, que le permiten proteger los datos durante su ciclo de vida completo, en varias ubicaciones y dispositivos.

shadow IT lifecycle.

Fase 1: Detección de los datos

  1. Conectar aplicaciones: el primer paso para detectar qué datos se usan en su organización es conectar aplicaciones en la nube que se usan en su organización a Defender for Cloud Apps. Una vez conectado, Defender for Cloud Aplicaciones puede examinar los datos, agregar clasificaciones y aplicar directivas y controles. La forma en que se conectan las aplicaciones afectará a cómo y cuándo se aplican las detecciones y los controles. Puede conectar las aplicaciones de alguna de las siguientes maneras:

    • Usar un conector de aplicaciones: los conectores de aplicaciones usan las API proporcionadas por los proveedores de aplicaciones. Proporcionan mayor visibilidad y control sobre las aplicaciones que se usan en la organización. Las detecciones se realizan periódicamente (cada 12 horas) y en tiempo real (se desencadena cada vez que se detecta un cambio). Para más información e instrucciones sobre cómo agregar aplicaciones, vea Conectar aplicaciones.
    • Utilizar el Control de aplicaciones de acceso condicional: la solución Control de aplicaciones de acceso condicional usa una arquitectura de proxy inverso que se integra de forma única con el acceso condicional de Azure Active Directory (AD). Una vez configurado en Azure AD, los usuarios se enrutarán a Defender for Cloud Aplicaciones en las que se aplican directivas de acceso y sesión para proteger las aplicaciones de datos que intentan usar. Este método de conexión permite aplicar controles a cualquier aplicación. Para obtener más información, consulte Proteger aplicaciones con Defender for Cloud Apps Conditional Access App Control.
  2. Investigar: después de conectar una aplicación a Defender for Cloud Apps mediante su conector de API, Defender for Cloud Apps examina todos los archivos que usa. A continuación, puede ir a la página de investigación de archivos (Investigar>Archivos) para obtener información general de los archivos compartidos por las aplicaciones en la nube, su accesibilidad y su estado. Para más información, vea Investigar archivos.

Fase 2: Clasificación de información confidencial

  1. Definir qué información es confidencial: antes de buscar información confidencial en los archivos, primero debe definir qué cuentas son confidenciales para su organización. Como parte del servicio de clasificación de datos, se ofrecen más de 100 tipos de información confidencial predefinidos, o bien puede crear el suyo propio para adaptarse a la directiva de su empresa. Defender for Cloud Apps se integra de forma nativa con Microsoft Purview Information Protection y los mismos tipos y etiquetas confidenciales están disponibles en ambos servicios. Por lo tanto, cuando quiera definir información confidencial, diríjase al portal de Microsoft Purview Information Protection para crearlos y, una vez definidos, estarán disponibles en Defender for Cloud Aplicaciones. También puede usar tipos de clasificaciones avanzadas como la huella digital o la coincidencia exacta de datos (EDM).

    Para aquellos que ya han realizado el trabajo duro de identificar información confidencial y de aplicar las etiquetas de confidencialidad adecuadas, puede usar esas etiquetas en las directivas sin tener que volver a examinar el contenido.

  2. Habilitación de la integración de Microsoft Purview Information Protection

    1. En Defender for Cloud Aplicaciones, en el engranaje de configuración, seleccione la página Configuración en el encabezado Sistema.
    2. En Microsoft Purview Information Protection, seleccione Examinar automáticamente los nuevos archivos para las etiquetas de confidencialidad de Microsoft Purview Information Protection.

    Para obtener más información, consulte integración de Microsoft Purview Information Protection.

  3. Crear directivas para identificar información confidencial en archivos: una vez que conozca los tipos de información que desea proteger, es el momento de crear directivas para detectarlos. Empiece por crear las siguientes directivas:

    Directiva de archivo
    Use este tipo de directiva para examinar el contenido de los archivos almacenados en las aplicaciones en la nube conectadas a la API casi en tiempo real y los datos en reposo. Los archivos se examinan mediante uno de nuestros métodos de inspección admitidos, incluidos Microsoft Purview Information Protection contenido cifrado gracias a su integración nativa con Defender for Cloud Apps.

    1. Vaya a Directivas de control>, seleccioneCrear directiva y, a continuación, seleccione Directiva de archivo.

    2. En Método de inspección, elija y configure uno de los siguientes servicios de clasificación:

      • Servicios de clasificación de datos: usa las decisiones de clasificación que ha tomado en Office 365, Microsoft Purview Information Protection y aplicaciones de Defender for Cloud para proporcionar una experiencia de etiquetado unificada. Se trata del método de inspección de contenido preferido, ya que proporciona una experiencia coherente y unificada en todos los productos de Microsoft.
      • DLP integrado : se inspeccionan archivos en busca de información confidencial con el motor de inspección de contenido de DLP integrado.
      • Integración externa de DLP: para empresas que deseen usar sus propias soluciones DLP de terceros, las directivas de archivos de Defender for Cloud Apps pueden dirigir archivos de forma segura para la inspección a la solución DLP externa a través de un servidor ICAP.
    3. Si se trata de archivos muy confidenciales, seleccione Crear una alerta y elija las alertas que necesite, para que se le informe cuando haya archivos con información confidencial desprotegida en la organización.

    4. Seleccione Crear.

    Directiva de sesión
    Use este tipo de directiva para examinar y proteger el acceso a archivos en tiempo real para:

    • Prevenir la filtración de datos: se bloquean las opciones de descarga, corte, copia e impresión de documentos confidenciales en dispositivos no administrados, por ejemplo.
    • Proteger archivos al descargar: requerir que los documentos estén etiquetados y protegidos con Microsoft Purview Information Protection. Esta acción garantiza que el documento está protegido y el acceso del usuario se restringe en una sesión potencialmente arriesgada.
    • Evitar la carga de archivos sin etiqueta: se requiere que un archivo tenga la etiqueta y la protección correctas antes de que otros carguen, distribuyan y usen un archivo confidencial. Con esta acción, puede asegurarse de que los archivos sin etiqueta con contenido confidencial estén bloqueados para que no se carguen hasta que el usuario clasifique el contenido.
    1. Vaya a Directivas de control>, seleccioneCrear directiva y, a continuación, seleccione Directiva de sesión.

    2. En Tipo de control de sesión, elija una de las opciones con DLP.

    3. En Método de inspección, elija y configure uno de los siguientes servicios de clasificación:

      • Servicios de clasificación de datos: usa las decisiones de clasificación que ha tomado en Office 365, Microsoft Purview Information Protection y aplicaciones de Defender for Cloud para proporcionar una experiencia de etiquetado unificada. Se trata del método de inspección de contenido preferido, ya que proporciona una experiencia coherente y unificada en todos los productos de Microsoft.
      • DLP integrado : se inspeccionan archivos en busca de información confidencial con el motor de inspección de contenido de DLP integrado.
    4. Si se trata de archivos muy confidenciales, seleccione Crear una alerta y elija las alertas que necesite, para que se le informe cuando haya archivos con información confidencial desprotegida en la organización.

    5. Seleccione Crear.

Debe crear tantas directivas como sea necesario para detectar datos confidenciales a fin de cumplir con la directiva de la empresa.

Fase 3: Proteger los datos

Por lo tanto, ahora puede detectar archivos con información confidencial, pero lo que realmente desea hacer es proteger esa información frente a posibles amenazas. Una vez que conoce un incidente, puede corregir manualmente la situación o puede usar una de las acciones de gobernanza automática proporcionadas por Defender for Cloud Aplicaciones para proteger los archivos. Entre las acciones se incluyen, entre otras, Microsoft Purview Information Protection controles nativos, acciones proporcionadas por la API y supervisión en tiempo real. El tipo de gobernanza que se puede aplicar depende del tipo de directiva que configure, como se indica a continuación:

  1. Acciones de gobernanza de directivas de archivos : se usan la API del proveedor de aplicaciones en la nube y las integraciones nativas para proteger archivos. Entre tales acciones, se incluyen:

    • Desencadenar alertas y enviar notificaciones por correo electrónico sobre el incidente.
    • Administrar etiquetas aplicadas a un archivo para aplicar controles de Microsoft Purview Information Protection nativos
    • Cambiar el acceso compartido a un archivo.
    • Poner un archivo en cuarentena.
    • Quitar permisos específicos de archivos o carpetas en Office 365.
    • Enviar un archivo a la carpeta de la papelera.
  2. Controles de directivas de sesión: se usan las funcionalidades del proxy inverso para proteger archivos. Entre ellas, se incluyen:

    • Desencadenar alertas y enviar notificaciones por correo electrónico sobre el incidente.
    • Supervisar todas las actividades: permite explícitamente la descarga o carga de archivos y supervisa todas las actividades relacionadas.
    • Bloquear: bloquea explícitamente la descarga o carga de archivos. Use esta opción para proteger los archivos confidenciales de su organización contra la filtración o la infiltración desde cualquier dispositivo, incluidos los dispositivos no administrados.
    • Proteger: aplica automáticamente una etiqueta de confidencialidad a los archivos que coinciden con los filtros de archivos de la directiva. Use esta opción para proteger la descarga de archivos confidenciales.

Fase 4: Supervisión e informes de los datos

Las directivas están diseñadas para inspeccionar y proteger los datos. Ahora, deberá comprobar el panel diariamente para ver qué nuevas alertas se han activado. Es un buen lugar para vigilar el estado del entorno en la nube. El panel le ayudará a tener una idea de lo que está ocurriendo y, si es necesario, iniciar una investigación.

Una de las formas más efectivas de supervisar los incidentes con los archivos confidenciales es consultar la página Directivas y revisar las coincidencias con las directivas configuradas. Además, si ha configurado las alertas, también debe considerar la opción de supervisar periódicamente las alertas de archivos en la página Alertas, especificando la categoría como DLP y revisando qué directivas relacionadas con los archivos se van a activar. Revisar estos incidentes puede ayudarle a ajustar las directivas para que se centren en las amenazas que son de interés para la organización.

En conclusión, administrar de esta forma la información confidencial garantiza que los datos que se guardan en la nube tienen la máxima protección contra la filtración e infiltración malintencionadas. Además, en caso de que un archivo se comparta o se pierda, solo los usuarios autorizados podrán acceder a él.

Consulte también

Si surgen problemas, estamos aquí para ayudarle. Para obtener ayuda o soporte técnico para el problema del producto, abra una incidencia de soporte técnico.