Trabajar con aplicaciones detectadas

Nota

Hemos cambiado el nombre Microsoft Cloud App Security. Ahora se denomina Microsoft Defender para Cloud Apps. En las próximas semanas, actualizaremos las capturas de pantalla y las instrucciones aquí y en las páginas relacionadas. Para obtener más información sobre el cambio, vea este anuncio. Para obtener más información sobre el cambio de nombre reciente de los servicios de seguridad de Microsoft, consulte el blog de Seguridad de Microsoft Ignite.

El panel de Cloud Discovery está diseñado para proporcionar más información sobre cómo se usan las aplicaciones en la nube en la organización. Proporciona información general de un vistazo sobre qué tipos de aplicaciones se usan, las alertas abiertas y los niveles de riesgo de las aplicaciones de su organización. También muestra quiénes son los usuarios que más usan las aplicaciones y proporciona un mapa de ubicación de la sede central de la aplicación. El panel de Cloud Discovery tiene muchas opciones para filtrar los datos. Con el filtrado se pueden generar vistas específicas en función de lo que más le interese y gráficos fáciles de entender para que se haga una idea general de un vistazo.

panel de cloud discovery.

Revisar el panel de Cloud Discovery

Lo primero que debe hacer para obtener una visión general de sus aplicaciones de Cloud Discovery es ir al panel de Cloud Discovery y revisar esta información:

  1. En primer lugar, consulte el uso general de la aplicación en la nube de su organización en información general sobre el uso de alto nivel.

  2. A continuación, profundice un nivel para ver cuáles son las categorías principales que se usan en la organización para cada uno de los distintos parámetros de uso. Puede ver qué porcentaje de este uso lo realizan las aplicaciones autorizadas.

  3. Vaya aún más y vea todas las aplicaciones de una categoría específica en la pestaña Aplicaciones detectadas.

  4. Puede ver los principales usuarios y las direcciones IP de origen para identificar qué usuarios son los usuarios más dominantes de las aplicaciones en la nube de su organización.

  5. Compruebe cómo se propagan las aplicaciones detectadas según la ubicación geográfica (según su sede central) en el mapa de la oficina central de la aplicación.

  6. Por último, no olvide revisar la puntuación de riesgo de la aplicación detectada en La introducción al riesgo de la aplicación. Compruebe el estado de las alertas de detección para ver cuántas alertas abiertas debe investigar.

Análisis detallado de las aplicaciones detectadas

Si quiere profundizar en los datos proporcionados por Cloud Discovery, use los filtros para revisar qué aplicaciones entrañan riesgos y cuáles se usan habitualmente.

Por ejemplo, si quiere identificar las aplicaciones de colaboración y de almacenamiento en la nube que entrañan riesgos y que se usan habitualmente, puede usar la página Aplicaciones detectadas para filtrar las aplicaciones que quiera. Después, puede no autorizarlas o bloquearlas, como se indica aquí:

  1. En la página Aplicaciones detectadas, en Buscar por categoría, seleccione Almacenamiento en la nube y Colaboración.

  2. Luego use los filtros avanzados y establezca Factor de riesgo de cumplimiento en SOC 2 igual a False

  3. En Uso, establezca Usuarios en mayor que 50 usuarios y Uso para transacciones en mayor que 100.

  4. Establezca el Factor de riesgo para la seguridad para Data at rest encryption (Cifrado de datos en reposo) igual a No admitido. Después, establezca Puntuación de riesgo en un valor igual o menor que 6.

Filtros de aplicación detectados.

Una vez que se han filtrado los resultados, puede no autorizar y bloquear las aplicaciones. Para ello, active la casilla de acción masiva para no autorizarlas en una sola acción. Después de no autorizarlas, puede usar un script de bloqueo para impedir que se usen en su entorno.

Cloud Discovery permite profundizar aún más en el uso de la nube de la organización. Puede identificar instancias específicas que se están usando al investigar los subdominios detectados.

Por ejemplo, puede diferenciar entre los distintos sitios de SharePoint.

Esto solo se admite en los firewalls y servidores proxy que contienen datos de dirección URL de destino. Para obtener más información, vea la lista de dispositivos compatibles en Firewalls y servidores proxy compatibles.

información de subdominio.

Detección de recursos y aplicaciones personalizadas

Cloud Discovery también le permite sumergirse en sus recursos IaaS y PaaS. Puede detectar actividad entre plataformas en las que hospede recursos y consultar el acceso a los datos en aplicaciones y recursos autohospedados, como es el caso de las cuentas de almacenamiento, la infraestructura y las aplicaciones personalizadas hospedadas en Azure, Google Cloud Platform y AWS. No solo puede conocer el uso general de sus soluciones IaaS, sino también obtener visibilidad sobre recursos específicos hospedados en ellas y datos sobre el uso general de estos para mitigar el riesgo individual de cada recurso.

Por ejemplo, desde Defender para Cloud Apps puede supervisar la actividad, por ejemplo, si se cargan muchos datos, puede detectar en qué recurso se cargan y explorar en profundidad para ver quién realizó la actividad.

Nota

Esto solo se admite en los firewalls y servidores proxy que contienen datos de dirección URL de destino. Para obtener más información, vea la lista de dispositivos compatibles en Firewalls y servidores proxy compatibles.

Para consultar los recursos detectados:

  1. En el portal de Defender para Cloud Apps,seleccione Detectar y, a continuación, Recursos detectados.

    Menú Recursos detectados.

  2. En la página Recursos detectados, puede explorar en profundidad cada recurso y consultar los tipos de interacciones que han tenido lugar y los usuarios que han accedo a ellos. A partir de aquí, continuar con la exploración en profundidad para obtener más información concreta sobre los usuarios.

    Recursos de detección.

  3. Para las aplicaciones personalizadas, puede hacer clic en los tres botones que verá al final de la fila y seleccionar Agregar aplicación personalizada. Esta acción abrirá la ventana Agregar aplicación personalizada, donde podrá asignar un nombre a la aplicación e identificarla para poder incluirla en el panel de Cloud Discovery.

Generación de un informe ejecutivo de Cloud Discovery

La mejor manera de obtener información general sobre el uso de Shadow IT en la organización es generar un informe ejecutivo de Cloud Discovery. Este informe permite identificar los principales riesgos posibles y agiliza el planeamiento de un flujo de trabajo para mitigarlos y administrarlos hasta que se resuelvan.

Para generar un informe ejecutivo de Cloud Discovery:

  1. En el panel Cloud Discovery, haga clic en los tres puntos de la esquina superior derecha del panel y, a continuación, seleccione Generar Cloud Discovery informe ejecutivo.

  2. Opcionalmente, cambie el nombre del informe.

  3. Seleccione Generar.

Excluir entidades

Si tiene usuarios del sistema, direcciones IP o dispositivos ruidosos pero poco interesados, o entidades que no deben presentarse en los informes de Shadow IT, puede que quiera excluir sus datos de los datos Cloud Discovery que se analizan. Por ejemplo, es posible que desee excluir toda la información que se origina desde un host local.

Para crear una exclusión:

  1. En el portal, en el icono de configuración, seleccione Configuración.

  2. En Cloud Discovery, seleccione la pestaña Excluir entidades.

  3. Elija la pestaña Usuarios excluidos,Grupos de usuarios, Direcciones IPo Dispositivos excluidos y seleccione el botón para agregar la exclusión.

  4. Agregue un alias de usuario, una dirección IP o un nombre de dispositivo. Se recomienda agregar información sobre por qué se ha realizado la exclusión.

    excluir usuario.

Nota

Cualquier exclusión de entidad se aplica a los datos recién recibidos. Los datos históricos de las entidades excluidas permanecerán durante el período de retención (90 días).

Administrar informes continuos

Los informes continuos personalizados proporcionan más granularidad al supervisar los datos de registro de Cloud Discovery de la organización. Mediante la creación de informes personalizados, es posible filtrar por ubicaciones geográficas, redes y sitios específicos, o unidades organizativas. De forma predeterminada, solo aparecen los informes siguientes en el selector de informes de Cloud Discovery:

  • El informe global consolida toda la información del portal de todos los orígenes de datos incluidos en los registros. El informe global no incluye datos de Microsoft Defender para endpoint.

  • El informe específico de origen de datos muestra únicamente la información de un origen de datos concreto.

Para crear un informe continuo:

  1. En el portal, en el icono de configuración, seleccione Configuración.

  2. En Cloud Discovery, seleccione Informe continuo.

  3. Seleccione el botón Crear informe.

  4. Escriba un nombre de informe.

  5. Seleccione los orígenes de datos que quiere incluir (todos u orígenes específicos).

  6. Establezca los filtros que quiera sobre los datos. Estos filtros pueden ser Grupos de usuarios, Etiquetas de dirección IP o Intervalos de direcciones IP. Para obtener más información sobre el trabajo con etiquetas de dirección IP e intervalos de direcciones IP, consulte Organize the data according to your needs (Organizar los datos de acuerdo a las necesidades).

    crear un informe continuo personalizado.

Nota

Todos los informes personalizados se limitan a un máximo de 1 GB de datos sin comprimir. Si hay más de 1 GB de datos, se exportará el primer GB de datos en el informe.

Eliminar datos de Cloud Discovery

Hay una serie de razones por las que puede que quiera eliminar los datos de Cloud Discovery. Se recomienda eliminarlos en los casos siguientes:

  • Si cargó manualmente archivos de registro y ha pasado mucho tiempo desde que actualizó el sistema con nuevos archivos de registro y no quiere que los datos antiguos afecten a los resultados.

  • Cuando se establece una nueva vista de datos personalizada, solo se aplica a los nuevos datos a partir de ese momento. Por eso, es posible que quiera borrar los datos antiguos y luego volver a cargar los archivos de registro para permitir que la vista de datos personalizada tome los eventos de los datos del archivo de registro.

  • Si hay muchos usuarios o direcciones IP que hayan vuelto a trabajar recientemente después de estar sin conexión durante algún tiempo, su actividad se identificará como anómala y es posible que obtenga muchas infracciones positivas falsas.

Para eliminar datos de Cloud Discovery:

  1. En el portal, en el icono de configuración, seleccione Configuración.

  2. En Cloud Discovery, seleccione la pestaña Eliminar datos.

    Es importante estar seguro de querer eliminar los datos antes de continuar: esta acción no se puede deshacer y elimina todos los datos de Cloud Discovery del sistema.

  3. Seleccione el botón Eliminar.

    eliminar datos.

    Nota

    El proceso de eliminación tarda unos minutos y no es inmediato.

Pasos siguientes