Directivas de sesión

Se aplica a: Microsoft Cloud App Security

Importante

Los nombres de productos de protección contra amenazas de Microsoft están cambiando. Obtenga más información sobre esta y otras actualizaciones en este artículo. Vamos a actualizar los nombres de los productos y en los documentos en un futuro próximo.

Las directivas de sesión de Microsoft Cloud App Security permiten las supervisiones en tiempo real y en el nivel de sesión, lo que le proporciona una visibilidad granular de las aplicaciones en la nube, así como la posibilidad de realizar distintas acciones según la directiva establecida para una sesión de usuario. En lugar de permitir o bloquear el acceso por completo, con el control de sesión, puede permitir el acceso mientras supervisa la sesión o limita determinadas actividades de la sesión usando las funciones de proxy inverso de control de aplicaciones de acceso condicional.

Por ejemplo, puede decidir que, desde cualquier dispositivo no administrado o en sesiones que provienen de ubicaciones específicas, quiere permitir el acceso del usuario a la aplicación, pero también limitar la descarga de archivos confidenciales o requerir que algunos documentos estén protegidos al descargarse. Las directivas de sesión permiten establecer estos controles de sesión de usuario, ademas del acceso, y le permite realizar lo siguiente:

Requisitos previos para usar directivas de sesión

Crear una directiva de sesión de Cloud App Security

Haga lo siguiente para crear una directiva de sesión:

  1. Vaya a Directivas de control > Acceso > condicional.

  2. Seleccione Crear directiva y directiva de sesión.

    Cree una directiva de acceso condicional.

  3. En la ventana Directiva de sesión, especifique un nombre para la directiva, como Bloquear descarga de documentos confidenciales en Box de usuarios de marketing.

  4. En el campo Tipo de control de sesión, haga lo siguiente:

    1. Seleccione Monitor only (Solo supervisar) si solo quiere supervisar las actividades de los usuarios. Esta selección creará una directiva de solo supervisión para las aplicaciones que seleccionó en la que, todos los inicios de sesión, descargas heurísticas y tipos de actividad, se descargarán.

    2. Seleccione Controlar descarga de archivos (con inspección) si desea supervisar las actividades del usuario. Puede realizar acciones adicionales como bloquear o proteger las descargas para los usuarios.

    3. Seleccione Bloquear actividades para bloquear actividades específicas que se pueden seleccionar con el filtro Tipo de actividad. Todas las actividades de las aplicaciones seleccionadas se supervisarán (y notificarán en el registro de actividad). Las actividades específicas que seleccione se bloquearán si selecciona la acción Bloquear. Las actividades específicas que seleccione generarán alertas si selecciona la acción Probar y hay alertas activadas.

  5. En la sección Actividades que coinciden con todo lo siguiente de Origen de la actividad, seleccione más filtros de actividad para aplicarlos a la directiva. Los filtros incluyen las siguientes opciones:

    • Etiqueta de dispositivo: use este filtro para identificar los dispositivos no administrados.

    • Ubicación: use este filtro para identificar las ubicaciones desconocidas (por tanto, que entrañan riesgo).

    • Dirección IP: use este filtro para filtrar por direcciones IP o usar las etiquetas de dirección IP previamente asignadas.

    • Etiqueta de agente de usuario: use este filtro para habilitar la heurística que permite identificar las aplicaciones de escritorio y móviles. Este filtro se puede establecer en "igual a" o "no es igual a" Cliente nativo. Este filtro se debe probar con las aplicaciones de escritorio y móviles para cada aplicación en la nube.

    Nota

    Las directivas de sesión no admiten aplicaciones móviles y de escritorio. Las aplicaciones móviles y de escritorio también pueden bloquearse o permitirse con la creación de una directiva de acceso.

  6. Si ha seleccionado la opción Controlar la descarga de archivos (con inspección):

    1. En la sección Archivos que coinciden con todo lo siguiente de Origen de la actividad, seleccione más filtros de archivo para aplicarlos a la directiva. Los filtros incluyen las siguientes opciones:

      • Etiqueta de clasificación: use este filtro si su organización usa Azure Information Protection y los datos están protegidos por sus etiquetas de clasificación. Podrá filtrar los archivos por la etiqueta de clasificación que tengan aplicada. Para obtener más información sobre la integración con Azure Information Protection, vea Integración de Azure Information Protection.

      • Nombre de archivo: use este filtro para aplicar la directiva a archivos concretos.

      • Tipo de archivo: use este filtro para aplicar la directiva a tipos de archivo concretos, por ejemplo, para bloquear la descarga de cualquier archivo .xls.

    2. En la sección Inspección de contenido, establezca si quiere permitir que el motor DLP examine documentos y el contenido de los archivos.

    3. En Acciones, seleccione uno de los siguientes elementos:

      • Test (Monitor all activities) (Probar [supervisar todas las actividades]): establezca esta acción para permitir expresamente las descargas según los filtros de directiva que haya establecido.

      • Block (Block file download and monitor all activities) (Bloquear [bloquear descargas de archivos y supervisar todas las actividades]): establezca esta acción para bloquear expresamente las descargas según los filtros de directiva que haya establecido. Para más información, vea Cómo funciona el bloqueo de descargas.

      • Proteger (aplicar etiqueta de clasificación para descargar y supervisar todas las actividades): esta opción solo está disponible si seleccionó Controlar descarga de archivos (con inspección) en Directiva de sesión. Si la organización usa Azure Information Protection, puede establecer una acción que aplique al archivo una etiqueta de clasificación establecida en Azure Information Protection. Para más información, vea Cómo funciona la protección de descargas.

  7. Puede Crear una alerta para cada evento coincidente con la gravedad de la directiva y establecer un límite de alerta. Seleccione si quiere que la alerta se envíe como mensaje de correo electrónico, de texto o ambos.

Supervisar todas las actividades

Cuando se crea una directiva de sesión, cada sesión de usuario que coincida con la directiva se redirige al control de sesión, y no directamente a la aplicación. El usuario verá una notificación de supervisión que le avisa de que sus sesiones se están supervisando.

Si prefiere no avisar al usuario de que se le está supervisando, puede deshabilitar el mensaje de notificación.

  1. En el engranaje Configuración, seleccione Configuración general.

  2. Después, en Control de aplicación de acceso condicional, active Supervisión de usuarios y desactive la casilla Notificar a los usuarios.

Para mantener al usuario dentro de la sesión, el control de aplicaciones de acceso condicional reemplaza todas las direcciones URL, scripts de Java y cookies pertinentes de la sesión de aplicación por direcciones URL de Microsoft Cloud App Security. Por ejemplo, si la aplicación devuelve una página con vínculos cuyos dominios terminan con myapp.com, Control de aplicaciones de acceso condicional reemplaza los vínculos por dominios que terminan por algo como myapp.com.mcas.ms . De esta forma, la sesión completa se supervisa por medio de Microsoft Cloud App Security.

El control de aplicaciones de acceso condicional crea registros de tráfico de cada sesión de usuario que pasa a través de él. Los registros de tráfico reflejan la hora, la dirección IP, los agentes de usuario, las direcciones URL visitadas y el número de bytes cargados y descargados. Estos registros se analizan, mientras que un informe constantemente activo denominado Cloud App Security Conditional Access App Control (Control de aplicaciones de acceso condicional de Cloud App Security) se agrega a la lista de informes de Cloud Discovery en el panel de Cloud Discovery.

Para exportar estos registros, haga lo siguiente:

  1. Vaya al engranaje de configuración y seleccione Control de aplicaciones de acceso condicional.

  2. En el lado derecho de la tabla, seleccione el botón Exportar.

    botón exportar.

  3. Seleccione el intervalo del informe y seleccione Exportar. Este proceso puede tardar un tiempo.

Para descargar el registro exportado:

  1. Una vez que el informe esté listo, vaya a Configuración y después a Informes exportados.

  2. En la tabla , seleccione el informe pertinente de la lista de registros Control de aplicaciones de acceso condicional tráfico y selet Download.

    botón de descarga.

Bloqueo de todas las descargas

Cuando Bloquear se establece como la acción que quiere realizar en la directiva de sesión de Cloud App Security, Control de aplicaciones de acceso condicional impide que un usuario descargue un archivo según los filtros de archivo de la directiva. Microsoft Cloud App Security reconoce un evento de descarga para cada aplicación cuando un usuario inicia una descarga. El Control de aplicaciones de acceso condicional interviene en tiempo real para evitar que se ejecute. Cuando se recibe la señal de que un usuario ha iniciado una descarga, el control de aplicaciones de acceso condicional devuelve al usuario un mensaje que indica que la descarga está restringida y reemplaza el archivo descargado por un archivo de texto. El mensaje de dicho archivo se puede configurar y personalizar para el usuario en la directiva de sesión.

Requerir autenticación paso a paso (contexto de autenticación)

Cuando Tipo de control de sesión se establece en Bloquear actividades, Controlar descarga de archivos (con inspección), Controlar carga de archivos (con inspección), puede seleccionar una acción de Requerir autenticación paso a paso por instrucciones. Cuando se selecciona esta acción, Cloud App Security redirigirá la sesión a Azure AD acceso condicional para la reevaluación de directivas, siempre que se produzca la actividad seleccionada. En función del contexto de autenticación configurado en Azure AD, se pueden comprobar notificaciones como la autenticación multifactor y el cumplimiento de dispositivos durante una sesión.

Bloqueo de actividades específicas

Cuando Bloquear actividades se establece como Tipo de actividad, pueden seleccionarse determinadas actividades para bloquear aplicaciones específicas. Todas las actividades de las aplicaciones seleccionadas se supervisarán y notificarán en el registro de actividad. Las actividades específicas que seleccione se bloquearán si selecciona la acción Bloquear. Las actividades específicas que seleccione generarán alertas si selecciona la acción Probar y hay alertas activadas.

Bloquee actividades específicas y aplíquelo a grupos específicos para crear un modo de solo lectura completo para la organización.

Protección de archivos en la descarga

Seleccione Bloquear actividades para bloquear actividades específicas que se pueden buscar con el filtro Tipo de actividad. Todas las actividades de las aplicaciones seleccionadas se supervisarán (y notificarán en el registro de actividad). Las actividades específicas que seleccione se bloquearán si selecciona la acción Bloquear. Las actividades específicas que seleccione generarán alertas si selecciona la acción Probar y hay alertas activadas.

Cuando Proteger se establece como acción que se va a realizar en la directiva de sesión de Cloud App Security, Control de aplicaciones de acceso condicional aplica el etiquetado y la protección posterior de un archivo según los filtros de archivo de la directiva. Las etiquetas se configuran en la consola de Azure Information Protection y Proteger debe estar seleccionado en la etiqueta para que aparezca como una opción en la directiva de Cloud App Security. Cuando se selecciona una etiqueta y se descarga un archivo que cumple los criterios de la directiva de Cloud App Security, tanto la etiqueta como la protección correspondiente (con permisos) se aplican al archivo de descarga. El archivo original permanece tal cual en la aplicación en la nube, mientras que el archivo descargado ahora está protegido. Los usuarios que intenten acceder al archivo deben cumplir los requisitos de permiso establecidos por la protección aplicada.

Cloud App Security actualmente admite la aplicación de Azure Information Protection etiquetas de clasificación para los siguientes tipos de archivo:

  • Word: docm, docx, dotm, dotx
  • Excel: xlam, xlsm, xlsx, xltx
  • PowerPoint: potm, potx, ppsx, ppsm, pptm, pptx
  • PDF

    Nota

    Para PDF, debe usar etiquetas unificadas.

Protección de las cargas de archivos confidenciales

Cuando controle la carga de archivos (con inspección) como tipo de control de sesión en la directiva de sesión de Cloud App Security, Control de aplicaciones de acceso condicional impide que un usuario cargue un archivo según los filtros de archivo de la directiva. Cuando se reconoce un evento de carga, Control de aplicaciones de acceso condicional interviene en tiempo real para determinar si el archivo es confidencial y necesita protección. Si el archivo tiene datos confidenciales y no tiene una etiqueta adecuada, se bloquea la carga del archivo.

Por ejemplo, puede crear una directiva que examina el contenido de un archivo para determinar si contiene una coincidencia de contenido confidencial, como un número de la seguridad social. Si contiene contenido confidencial y no está etiquetado con una Azure Information Protection confidencial, se bloquea la carga de archivos. Cuando se bloquea el archivo, puede mostrar un mensaje personalizado al usuario que le indica cómo etiquetar el archivo para cargarlo. Al hacerlo, se asegura de que los archivos almacenados en las aplicaciones en la nube cumplen las directivas.

Bloquear malware al cargar

Cuando la carga de archivos de control (con inspección) se establece como el tipo de control de sesión y la detección de malware se establece como método de inspección en la directiva de sesión de Cloud App Security, Control de aplicaciones de acceso condicional impide que un usuario cargue un archivo en tiempo real si se detecta    **** malware. Los archivos se examinan mediante el motor de inteligencia sobre amenazas de Microsoft.

Puede ver los archivos marcados como malware potencial mediante el filtro Posible malware detectado en el registro de actividad.

También puede configurar directivas de sesión para bloquear el malware en la descarga.

Educación a los usuarios para proteger archivos confidenciales

Es importante formar a los usuarios cuando incumplen una directiva para que aprendan a cumplir las directivas de la organización. Dado que cada empresa tiene necesidades y directivas únicas, Cloud App Security permite personalizar los filtros de una directiva y el mensaje que muestra al usuario cuando se detecta una infracción. Puede proporcionar instrucciones específicas a los usuarios, como proporcionar instrucciones sobre cómo etiquetar correctamente un archivo o cómo inscribir un dispositivo no administrado para asegurarse de que los archivos se cargan correctamente.

Por ejemplo, si un usuario carga un archivo sin una etiqueta Azure Information Protection, se puede mostrar un mensaje que explica que el archivo contiene contenido confidencial que requiere una etiqueta adecuada. De forma similar, si un usuario intenta cargar un documento desde un dispositivo no administrado, se puede mostrar un mensaje con instrucciones sobre cómo inscribir ese dispositivo o uno que proporciona una explicación adicional de por qué se debe inscribir el dispositivo.

Pasos siguientes

Consulte también

Si surgen problemas, estamos aquí para ayudarle. Para obtener ayuda o soporte técnico para el problema del producto, abra una incidencia de soporte técnico.