Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Microsoft Defender for Cloud Apps incluye detecciones para usuarios en peligro, amenazas internas, filtración de datos y actividad de ransomware. El servicio usa detección de anomalías, análisis de comportamiento de usuarios y entidades (UEBA) y detecciones de actividad basadas en reglas para analizar la actividad del usuario en las aplicaciones conectadas.
Los cambios no autorizados o inesperados en un entorno de nube pueden introducir riesgos operativos y de seguridad. Por ejemplo, los cambios en los recursos corporativos clave, como los servidores que ejecutan el sitio web público o el servicio que proporciona a los clientes, pueden verse comprometidos.
Defender for Cloud Apps captura y analiza datos de varios orígenes para identificar las actividades de aplicaciones y usuarios de su organización. Este análisis proporciona a los analistas de seguridad visibilidad sobre el uso en la nube. Los datos recopilados están correlacionados, estandarizados y enriquecidos con información de inteligencia sobre amenazas y ubicación, para proporcionar una visión precisa y coherente de las actividades sospechosas.
Antes de ajustar las detecciones, configure los siguientes orígenes de datos:
| Origen | Description |
|---|---|
| Registro de actividad | Actividades de las aplicaciones conectadas a la API. |
| Registro de detección | Actividades extraídas del firewall y del registro de tráfico proxy que se reenvían a Defender for Cloud Apps. Los registros se analizan en el catálogo de aplicaciones en la nube, se clasifican y se puntúan en función de más de 90 factores de riesgo. |
| Registro de proxy | Actividades de las aplicaciones de control de aplicaciones de acceso condicional. |
Ajuste las siguientes directivas estableciendo filtros y umbrales dinámicos (UEBA) para entrenar sus modelos de detección. También puede establecer supresiones para reducir las detecciones comunes de falsos positivos:
- Detección de anomalías
- Detección de anomalías de cloud discovery
- Detección de actividad basada en reglas
Obtenga información sobre cómo optimizar las detecciones de actividad del usuario para identificar verdaderos riesgos y reducir las alertas innecesarias que resultan de grandes volúmenes de detecciones de falsos positivos:
Fase 1: Configuración de intervalos de direcciones IP
- Configure intervalos IP para ajustar cualquier tipo de directivas de detección de actividad de usuario sospechosas.
La configuración de direcciones IP conocidas ayuda a los algoritmos de aprendizaje automático a identificar ubicaciones conocidas y a considerarlas como parte de los modelos de aprendizaje automático. Por ejemplo, agregar el intervalo de direcciones IP de la VPN ayuda al modelo a clasificar correctamente este intervalo IP y excluirlo automáticamente de las detecciones de viajes imposibles porque la ubicación de VPN no representa la ubicación verdadera de ese usuario.
Nota:
Defender for Cloud Apps usa intervalos IP en todo el servicio, no solo para las detecciones. Los intervalos IP se usan en el registro de actividad, el acceso condicional y mucho más. Por ejemplo, la identificación de las direcciones IP de la oficina física le permite personalizar la forma de ver e investigar registros y alertas.
Revisión de alertas de detección de anomalías
Defender for Cloud Apps incluye un conjunto de alertas de detección de anomalías para identificar diferentes escenarios de seguridad. Comienzan a generar perfiles de actividad de usuario y generan alertas en cuanto se conectan los conectores de aplicaciones pertinentes.
Empiece por familiarizarse con las diferentes directivas de detección. Dé prioridad a los principales escenarios que considere más relevantes para su organización y ajuste las directivas en consecuencia.
Fase 2: Ajuste de las directivas de detección de anomalías
Defender for Cloud Apps incluye varias directivas de detección de anomalías integradas preconfiguradas para casos de uso de seguridad comunes. Las detecciones más populares incluyen:
| Detección | Description |
|---|---|
| Viaje imposible | Actividades del mismo usuario en ubicaciones diferentes dentro de un período de tiempo inferior al tiempo de viaje estimado entre las dos ubicaciones. |
| Actividad desde un país poco frecuente | Actividad desde una ubicación que el usuario no visitó recientemente o nunca. |
| Detección de malware | Examina los archivos de las aplicaciones en la nube y ejecuta archivos sospechosos a través del motor de inteligencia sobre amenazas de Microsoft para comprobar si están asociados con malware conocido. |
| Actividad de ransomware | Los archivos se cargan en la nube que pueden estar infectados con ransomware. |
| Actividad de direcciones IP sospechosas | Actividad de una dirección IP que Microsoft Threat Intelligence identificó como de riesgo. |
| Reenvío de bandeja de entrada sospechoso | Detecta reglas de reenvío sospechosas de la bandeja de entrada que se han establecido en la bandeja de entrada de un usuario. |
| Actividades inusuales de descarga de archivos múltiples | Detecta actividades de descarga de varios archivos en una sola sesión con respecto a la línea base aprendida, lo que podría indicar un intento de vulneración de seguridad. |
| Actividades administrativas inusuales | Detecta múltiples actividades administrativas en una sola sesión con respecto a la línea de base aprendida, lo que podría indicar un intento de vulneración de seguridad. |
Nota:
Algunas detecciones de anomalías se centran en la detección de escenarios de seguridad problemáticos, mientras que otras ayudan a identificar e investigar comportamientos anómalo del usuario que podrían no indicar necesariamente un riesgo. Para estas detecciones, puede usar comportamientos que están disponibles en la Microsoft Defender XDR experiencia de búsqueda avanzada.
Directivas de ámbito para usuarios o grupos específicos
El ámbito de las directivas a usuarios específicos puede ayudar a reducir el ruido de las alertas que no son relevantes para su organización. Puede configurar cada directiva para incluir o excluir usuarios y grupos específicos, como en los ejemplos siguientes:
-
Simulaciones de ataque
Muchas organizaciones usan un usuario o un grupo para simular ataques constantemente. La recepción constante de alertas de las actividades de estos usuarios crea ruido innecesario. Configure las directivas para excluir estos usuarios o grupos. Esta acción ayuda a los modelos de aprendizaje automático a identificar a estos usuarios y a ajustar sus umbrales dinámicos. -
Detecciones dirigidas
Es posible que quiera investigar un grupo específico de usuarios VIP, como los miembros de un administrador o un grupo de directores de experiencia (CXO). En este caso, cree una directiva para las actividades que desea detectar y elija incluir solo el conjunto de usuarios o grupos que le interesen.
-
Simulaciones de ataque
Ajuste de detecciones de inicio de sesión anómalas
Las alertas resultantes de actividades de inicio de sesión erróneas pueden indicar que alguien intenta dirigirse a una o varias cuentas de usuario.
Las credenciales en peligro son una causa común de adquisición de cuentas y actividad no autorizada. Los viajes imposibles, la actividad de direcciones IP sospechosas y las alertas de detección de países o regiones poco frecuentes le ayudan a detectar actividades que sugieren que una cuenta puede estar en peligro.
Ajuste de la sensibilidad del viaje imposibleConfigure el control deslizante de confidencialidad que determina el nivel de supresiones aplicadas al comportamiento anómalo antes de desencadenar una alerta de viaje imposible. Las organizaciones interesadas en la alta fidelidad deben considerar la posibilidad de aumentar el nivel de confidencialidad. Si su organización tiene muchos usuarios que viajan, considere la posibilidad de reducir el nivel de confidencialidad para suprimir las actividades de las ubicaciones comunes de un usuario aprendidas de las actividades anteriores. Puede elegir entre los siguientes niveles de confidencialidad:
- Bajo: supresión del sistema, inquilino y usuario
- Medio: supresión del sistema y del usuario
- Alto: solo supresiones del sistema
Donde:
Tipo de supresión Descripción Sistema Detecciones integradas que siempre se suprimirán. Espacio empresarial Actividades comunes basadas en actividades previas del espacio empresarial. Por ejemplo, suprimir las actividades de un ISP en el que se ha alertado previamente en su organización. Usuario Actividades comunes basadas en actividades anteriores de un usuario específico. Por ejemplo, suprimir las actividades de una ubicación que el usuario usa habitualmente.
Fase 3: Ajuste de las directivas de detección de anomalías de cloud discovery
Puede ajustar varias directivas integradas de detección de anomalías de cloud discovery o crear sus propias directivas para identificar otros escenarios que merece la pena investigar. Estas directivas usan registros de detección de nube, con funcionalidades de optimización que se centran en el comportamiento anómalo de las aplicaciones y la filtración de datos.
Optimización de la supervisión del uso
Establezca los filtros de uso para controlar el ámbito y el período de actividad para detectar comportamientos anómalo. Por ejemplo, reciba alertas de actividades anómalas de empleados de nivel ejecutivo.
Ajuste de la confidencialidad de las alertas
Para reducir las alertas innecesarias, configure la confidencialidad de las alertas. Use el control deslizante de confidencialidad para controlar el número de alertas de alto riesgo enviadas por cada 1000 usuarios por semana. Las sensibilidades más altas requieren menos varianza para considerarse una anomalía y generar más alertas. En general, establezca una baja confidencialidad para los usuarios que no tienen acceso a datos confidenciales.
Fase 4: Ajuste de las directivas de detección basada en reglas (actividad)
Las directivas de detección basadas en reglas complementan las directivas de detección de anomalías con requisitos específicos de la organización. Cree directivas basadas en reglas mediante una de las plantillas de directiva de actividad.
Si su organización no tiene presencia en un país o región determinados, cree una directiva que detecte las actividades anómalas desde esa ubicación. En el caso de las organizaciones con ramas grandes en ese país o región, estas actividades son normales y no tiene sentido detectar dichas actividades.
- Vaya a Plantillas>de directivas y establezca el filtro Tipo en Directiva de actividad. Configure filtros de actividad para detectar comportamientos que no son normales para su entorno.
-
Ajuste del volumen de actividad
Elija el volumen de actividad necesario antes de que la detección genere una alerta. Si su organización no tiene presencia en un país o región, incluso una sola actividad es significativa y garantiza una alerta. Un error de inicio de sesión único podría ser un error humano y solo de interés si hay muchos errores en un breve período de tiempo. -
Ajustar filtros de actividad
Establezca los filtros necesarios para detectar el tipo de actividad en la que desea alertar. Por ejemplo, para detectar actividad de un país o región, use el parámetro Location . -
Optimización de alertas
Para reducir las alertas innecesarias, establezca el límite diario de alertas.
Fase 5: Configuración de alertas
Nota:
Microsoft desaprobó la característica Alertas/SMS (mensajes de texto) el 15 de diciembre de 2022. Si desea recibir alertas de texto, use Microsoft Power Automate para la automatización de alertas personalizada. Para obtener más información, consulte Integración con Microsoft Power Automate para la automatización de alertas personalizada.
Para obtener alertas inmediatas en cualquier momento del día, elija recibirlas por correo electrónico.
También es posible que desee la capacidad de analizar alertas en el contexto de otras alertas desencadenadas por otros productos de la organización. Este análisis le ofrece una visión holística de una posible amenaza. Por ejemplo, es posible que desee correlacionar entre eventos locales y basados en la nube para ver si hay alguna otra evidencia mitigante que confirme un ataque.
Puede usar el Microsoft Power Automate para desencadenar la automatización de alertas personalizada. Cuando se desencadena una alerta, puede hacer lo siguiente:
- Configuración de un cuaderno de estrategias
- Crear un problema en ServiceNow
- Envío de un correo electrónico de aprobación para ejecutar una acción de gobernanza personalizada cuando se desencadena una alerta
Use las siguientes directrices para configurar las alertas:
-
Correo electrónico
Elija esta opción para recibir alertas por correo electrónico. -
SIEM
Existen varias opciones de integración siem, como Microsoft Sentinel, API para seguridad de Microsoft Graph y otros SIEMs genéricos. Elija la integración que mejor se adapte a sus requisitos. -
Automatización de Power Automate
Cree los cuadernos de estrategias de automatización que necesita y establézcalo como alerta de la directiva en la acción de Power Automate.
Fase 6: Investigación y corrección
Para optimizar la protección, configure acciones de corrección automáticas para minimizar el riesgo para su organización. Las directivas permiten aplicar acciones de gobernanza con las alertas para que el riesgo para su organización se reduzca incluso antes de empezar a investigar. El tipo de directiva determina las acciones disponibles, incluidas acciones como pausar un usuario o bloquear el acceso al recurso solicitado.