Controlar las aplicaciones en la nube con directivas

Las directivas permiten definir el modo en que quiere que se comporten sus usuarios en la nube. Le permiten detectar comportamientos, infracciones o puntos de datos y actividades sospechosos en el entorno de la nube. Si es necesario, puede integrar flujos de trabajo de corrección para lograr la reducción de riesgos completa. Existen varios tipos de directivas que se corresponden con los distintos tipos de información que quiere recopilar sobre el entorno de la nube y los tipos de acciones de corrección que es posible que quiera realizar.

Por ejemplo, si hay una amenaza de infracción de datos que quiere poner en cuarentena, necesita un tipo de directiva diferente que si desea impedir que su organización use una aplicación en la nube de riesgo.

Tipo de directivas

Cuando consulte la página Administración de directivas, puede distinguir las distintas directivas y plantillas por tipo e icono para ver las directivas que están disponibles. Las directivas se pueden ver juntas en la pestaña Todos las directivas o en sus respectivas pestañas de categoría. Las directivas disponibles dependen del origen de datos y de lo que haya habilitado en Defender for Cloud Apps para su organización. Por ejemplo, si ha cargado registros de Cloud Discovery, se mostrarán las directivas relacionadas con Cloud Discovery.

Pueden crearse los siguientes tipos de directivas:

Icono de tipo de directiva	Tipo de directiva	Categoría	Uso
	Directiva de actividad	Detección de amenazas	Las directivas de actividad permiten aplicar toda una variedad de procesos automatizados usando las API del proveedor de aplicaciones. Estas directivas le permiten supervisar actividades específicas realizadas por varios usuarios o seguir tasas inesperadamente altas de un determinado tipo de actividad. Más información
	Directiva de detección de anomalías	Detección de amenazas	Las directivas de detección de anomalías permiten buscar actividades inusuales en la nube. La detección se basa en los factores de riesgo que se establecen para alertarle cuando ocurre algo que es diferente de la línea base de la organización o de la actividad normal del usuario. Más información
	Directiva de aplicaciones de OAuth	Detección de amenazas	Las directivas de aplicación de OAuth le permiten investigar qué permisos solicitó cada aplicación de OAuth y aprobarla o revocarla automáticamente. Estas son directivas incorporadas que vienen con Defender for Cloud Apps y no se pueden crear. Más información
	Directiva de detección de malware	Detección de amenazas	Las directivas de detección de malware le permiten identificar archivos maliciosos en su almacenamiento en la nube y aprobarlos o revocarlos automáticamente. Esta es una directiva integrada que incluye Defender for Cloud Apps y no se puede crear. Más información
	Directiva de archivo	Protección de la información	Las directivas de archivo permiten examinar las aplicaciones en la nube para detectar tipos de archivo o archivos concretos (compartidos, compartidos con dominios externos), datos (información de propiedad, datos personales, información de tarjeta de crédito y otros tipos de datos) y aplicar acciones de gobernanza a los archivos (las acciones de gobernanza son específicas de la aplicación en la nube). Más información
	Directiva de acceso	Acceso condicional	Las directivas de acceso proporcionan funcionalidades de supervisión y control en tiempo real de los inicios de sesión de usuario en las aplicaciones en la nube. Más información
	Directiva de sesión	Acceso condicional	Las directivas de sesión proporcionan control de la actividad de los usuarios en sus aplicaciones de nube y supervisión en tiempo real. Más información
	Directiva de detección de aplicaciones	Shadow IT	Las directivas de detección de aplicaciones le permiten establecer alertas que le notifican cuando se detectan aplicaciones nuevas en su organización. Más información
	Directiva de detección de anomalías de Cloud Discovery	Shadow IT	Las directivas de detección de anomalías de Cloud Discovery examinan los registros que se usan para detectar aplicaciones en la nube y buscan apariciones inusuales. Por ejemplo, cuando un usuario que nunca había usado Dropbox carga de repente 600 GB en Dropbox, o cuando hay muchas más transacciones de lo habitual en una aplicación concreta. Más información

Identificación del riesgo

Defender for Cloud Apps le ayuda a mitigar distintos riesgos en la nube. Puede configurar cualquier directiva y alerta para asociarse a uno de los siguientes riesgos:

• Control de acceso: ¿quién accede a qué desde dónde?

  Se supervisa el comportamiento en todo momento, se detectan actividades anómalas (incluidos ataques internos y externos de alto riesgo) y se aplica una directiva para alertar, bloquear o exigir verificación de identidad para cualquier aplicación o acción concreta dentro una aplicación. Habilita las directivas de control de acceso local y móvil basadas en el usuario, el dispositivo y la geografía con bloqueo general y vista granular, edición y bloqueo. Se detectan eventos de inicio de sesión sospechosos, incluidos errores de autenticación multifactor, errores de inicio de sesión de cuentas deshabilitadas y eventos de suplantación.

• Cumplimiento normativo: ¿se infringen los requisitos de cumplimiento normativo?

  Se catalogan y se identifican los datos confidenciales o regulados, incluidos los permisos de uso compartido de cada archivo, almacenados en servicios de sincronización de archivos para garantizar el cumplimiento de normas como PCI, SOX e HIPAA.

• Control de configuración: ¿se están realizando cambios no autorizados en la configuración?

  Supervise los cambios de configuración, incluida la manipulación de la configuración remota.

• Cloud Discovery: ¿se están usando nuevas aplicaciones en la organización? ¿Tienes un problema con el uso de aplicaciones de Shadow IT que no conoces?

  Valore el riesgo general de cada aplicación en la nube en función de las certificaciones y procedimientos recomendados normativos y del sector. Permite supervisar el número de usuarios, actividades, volumen de tráfico y horas de uso típicas de cada aplicación en la nube.

• DLP: ¿se están compartiendo públicamente archivos de su propiedad? ¿Necesita poner en cuarentena los archivos?

  La integración de DLP local proporciona integración y corrección de bucles cerrados con soluciones DLP locales existentes.

• Cuentas con privilegios: ¿es necesario supervisar cuentas de administrador?

  Supervisión de la actividad en tiempo real e informes de usuarios y administradores con privilegios.

• Control de uso compartido: ¿cómo se comparten los datos en el entorno de nube?

  Inspeccione el contenido de los archivos y el contenido en la nube y aplique directivas de uso compartido internas y externas. Supervise la colaboración y aplique directivas de uso compartido, como bloquear el uso compartido de archivos fuera de su organización.

• Detección de amenazas: ¿hay actividades sospechosas que amenacen el entorno de nube?

  Reciba notificaciones en tiempo real de cualquier infracción de directiva o umbral de actividad a través de un correo electrónico. Mediante la aplicación de algoritmos de aprendizaje automático, Defender for Cloud Apps permite detectar comportamientos que podrían indicar que un usuario usa datos incorrectamente.

Cómo controlar el riesgo

Siga este proceso para controlar el riesgo con directivas:

1. Cree una directiva a partir de una plantilla o una consulta.

2. Ajuste la directiva para lograr los resultados esperados.

3. Agregue acciones automatizadas para responder a los riesgos y corregirlos automáticamente.

Crear una directiva

Puede usar plantillas de directiva de Defender for Cloud Apps como base para todas las directivas o crear directivas a partir de una consulta.

Las plantillas de directiva le ayudan a establecer los filtros correctos y las configuraciones necesarias para detectar eventos específicos de interés en el entorno. Las plantillas incluyen directivas de todos los tipos y se pueden aplicar a diversos servicios.

Para crear una directiva a partir de una plantilla de directiva, siga los pasos siguientes:

1. En el portal de Microsoft Defender, en Aplicaciones en la nube, vaya a Directivas ->Plantillas de directiva.

   

2. Seleccione el signo más (+) situado en el extremo derecho de la fila de la plantilla que desee utilizar. Se abre una página de creación de directivas con la configuración predefinida de la plantilla.

3. Modifique la plantilla según sea necesario para la directiva personalizada. Cada propiedad y campo de esta nueva directiva basada en plantilla se puede modificar según las propias necesidades.

   Nota:

   Al usar filtros de directiva, Contiene solo buscará palabras completas separadas por comas, puntos, espacios o caracteres de subrayado. Por ejemplo, si busca malware o virus, encontrará virus_malware_file.exe, pero no encontrará malwarevirusfile.exe. Si busca malware.exe, encontrará TODOS los archivos que contengan malware o exe en el nombre de archivo, mientras que si busca "malware.exe" (con comillas) solo encontrará los archivos que contengan exactamente "malware.exe".
   Es igual a solo buscará la cadena completa. Por ejemplo, si busca malware.exe, encontrará malware.exe pero no malware.exe.txt.

4. Después de crear la nueva directiva basada en plantilla, aparece un vínculo a la nueva directiva en la columna Directivas vinculadas de la tabla de plantillas de directivas situada junto a la plantilla a partir de la que se ha creado la directiva. Puede crear tantas directivas como quiera de cada plantilla y todas pueden vincularse a la plantilla original. La vinculación permite realizar un seguimiento de todas las directivas creadas con la misma plantilla.

También puede crear una directiva durante la investigación. Si está investigando el registro de actividad, los archivos o las identidades y los explora en profundidad en busca de algo concreto, puede crear una nueva directiva basada en los resultados de la investigación en cualquier momento.

Por ejemplo, es posible que quiera crear una si está consultando el registro de actividad y observa una actividad de administrador que no proviene de la dirección IP de su oficina.

Para crear una directiva basada en los resultados de la investigación, siga estos pasos:

1. En el portal de Microsoft Defender, vaya a una de estas opciones:

   • Aplicaciones en la nube ->Registro de actividad
   • Aplicaciones en la nube ->Archivos
   • Activos ->Identidades

2. Use los filtros en la parte superior de la página para limitar los resultados de búsqueda al área sospechosa. Por ejemplo, en la página Registro de actividad, seleccione Actividad administrativa y seleccione Verdadero. A continuación, en Dirección IP, seleccione Categoría y establezca el valor para que no incluya categorías de dirección IP que haya creado para los dominios reconocidos, como las direcciones IP de administrador, corporativas o de VPN.

   

3. Debajo de la consulta, seleccione Nueva directiva en la búsqueda.

   

4. Se abre una página de creación de directivas que contiene los filtros usados en la investigación.

5. Modifique la plantilla según sea necesario para la directiva personalizada. Cada propiedad y campo de esta nueva directiva basada en investigación se puede modificar según las propias necesidades.

   Nota:

   Al usar filtros de directiva, Contiene solo buscará palabras completas separadas por comas, puntos, espacios o caracteres de subrayado. Por ejemplo, si busca malware o virus, encontrará virus_malware_file.exe, pero no encontrará malwarevirusfile.exe.
   Es igual a solo buscará la cadena completa. Por ejemplo, si busca malware.exe, encontrará malware.exe pero no malware.exe.txt.

   

   Nota:

   Para obtener más información sobre la configuración de los campos de la directiva, vea la documentación correspondiente de la directiva:

   Directivas de actividad de usuario

   Directivas de protección de datos

   Crear directivas de Cloud Discovery

Agregar acciones automatizadas para responder a los riesgos y corregirlos automáticamente

Para obtener una lista de acciones de control disponibles por aplicación, vea Control de aplicaciones conectadas.

También puede configurar la directiva para que recibir una alerta por correo electrónico cuando se detecten coincidencias.

Para establecer las preferencias de notificación, vaya a Preferencias de notificación por correo electrónico.

Habilitar y deshabilitar directivas

Después de crear una directiva, puede habilitarla o deshabilitarla. Si la deshabilita, evita tener que eliminar una directiva después de crearla para detenerla. En su lugar, si por algún motivo quiere detener la directiva, tendrá que deshabilitarla hasta que decida volver a habilitarla.

• Para habilitar una directiva, en la página Directiva, seleccione los tres puntos al final de la fila de la directiva que quiera habilitar. Seleccione Habilitar.

  

• Para deshabilitar una directiva, en la página Directiva, seleccione los tres puntos al final de la fila de la directiva que quiera deshabilitar. Seleccione Deshabilitar.

  

De manera predeterminada, las directivas están habilitadas después de crearlas.

Informe general sobre directivas

Defender for Cloud Apps le permite exportar un informe de información general de directivas que muestra métricas de alerta agregadas por directiva para ayudarle a supervisar, comprender y personalizar las directivas para proteger mejor su organización.

Para exportar un registro, realice los siguientes pasos:

1. En la página Directivas, seleccione el botón Exportar.

2. Especifique el intervalo de tiempo requerido.

3. Seleccione Exportar. Este proceso puede tardar algún tiempo.

Para descargar el informe exportado:

1. Cuando el informe esté listo, en el portal de Microsoft Defender, vaya a Informes y, después, a Aplicaciones en la nube ->Informes exportados.

2. En la tabla, seleccione el informe correspondiente y, a continuación, seleccione Descargar.

   

Pasos siguientes

Prácticas recomendadas para proteger su organización

Si tienes algún problema, estamos aquí para ayudar. Para obtener ayuda o soporte técnico para el problema del producto, abre una incidencia de soporte técnico.