Configurar directivas de archivos en Microsoft Defender para las aplicaciones en la nube
- 8 minutos
Las directivas permiten definir el modo en que quiere que se comporten sus usuarios en la nube. Le permiten detectar comportamientos, infracciones o puntos de datos y actividades sospechosos en el entorno de la nube. Si es necesario, puede integrar flujos de trabajo de corrección para lograr la reducción de riesgos completa. Hay varios tipos de directivas que se correlacionan con los distintos tipos de información que una organización puede recopilar sobre su entorno en la nube. Las directivas también incluyen los tipos de acciones de corrección que puede realizar una organización.
Por ejemplo, supongamos que hay una amenaza de infracción de datos que quiere poner en cuarentena. El tipo de directiva para este escenario es diferente del tipo de directiva que impide que los usuarios usen una aplicación en la nube de riesgo.
Microsoft Defender for Cloud Apps puede supervisar cualquier tipo de archivo en función de más de 20 filtros de metadatos (por ejemplo, nivel de acceso, tipo de archivo, etc.). El motor de Microsoft Defender for Cloud Apps combina los tres aspectos siguientes en cada directiva:
Examen de contenido basado en plantillas preestablecidas o expresiones personalizadas.
Filtros de contexto, incluidos:
- Roles de usuario
- Metadatos de archivo
- Nivel de uso compartido
- Integración de grupos organizativos
- Contexto de colaboración
- Otros atributos personalizables
Acciones automatizadas para la gobernanza y la corrección.
Nota:
La primera directiva desencadenada garantiza la única acción de gobernanza que aplica el sistema. Por ejemplo, si una directiva de archivo ya ha aplicado una etiqueta de confidencialidad a un archivo, una segunda directiva de archivo no puede aplicar otra etiqueta de confidencialidad. Para obtener más información, consulte Control.
Una vez que una organización habilita una directiva, la directiva continuamente:
- Examina el entorno en la nube de la organización.
- Identifica los archivos que coinciden con el contenido y los filtros de contexto configurados por la organización.
- Aplica las acciones automatizadas solicitadas.
Las directivas de archivo detectan y corrigen las infracciones de la información en reposo o cuando los usuarios crean contenido nuevo. Los administradores pueden supervisar las directivas mediante alertas en tiempo real o informes generados por la consola.
Tipos de directivas
La página Directiva del portal de Microsoft Defender for Cloud Apps muestra las distintas directivas y plantillas. Puede distinguirlos por tipo para ayudar a identificar fácilmente qué directivas están disponibles. Las directivas aparecen juntas en la pestaña Todas las directivas o en sus respectivas pestañas de categoría. Las directivas disponibles dependen del origen de datos y de lo que haya habilitado en Microsoft Defender for Cloud Apps para su organización. Por ejemplo, si cargó registros de Cloud Discovery, el sistema muestra las directivas relacionadas con Cloud Discovery.
En la tabla siguiente se describen los tipos de directivas que las organizaciones pueden crear.
| Tipo de directiva | Categoría | Uso |
|---|---|---|
| Directiva de actividad | Detección de amenazas | Las directivas de actividad permiten a las organizaciones aplicar una amplia gama de procesos automatizados mediante las API de los proveedores de aplicaciones. Estas directivas le permiten supervisar actividades específicas realizadas por varios usuarios o seguir tasas inesperadamente altas de un determinado tipo de actividad. Más información. |
| Directiva de detección de anomalías | Detección de amenazas | Las directivas de detección de anomalías permiten a una organización buscar actividades inusuales en su nube. La detección se basa en los factores de riesgo que establezca. Estos factores de riesgo le avisan cuando ocurre algo diferente de la línea base de su organización o de la actividad regular del usuario. Más información. |
| Directiva de aplicaciones de OAuth | Detección de amenazas | Las directivas de aplicación de OAuth permiten a una organización investigar qué permisos solicitó cada aplicación de OAuth y, a continuación, aprobarlas o revocarlas automáticamente. Estas directivas integradas vienen con Defender for Cloud Apps. Más información. |
| Directiva de detección de malware | Detección de amenazas | Las directivas de detección de malware permiten a una organización identificar archivos malintencionados en su almacenamiento en la nube y, a continuación, aprobarlos o revocarlos automáticamente. Esta directiva integrada incluye Defender for Cloud Apps. Más información. |
| Directiva de archivo | Protección de la información | Las directivas de archivo permiten a una organización examinar sus aplicaciones en la nube para: : archivos o tipos de archivo especificados, como compartidos y compartidos con dominios externos. - datos, como información de propiedad, datos personales, información de tarjeta de crédito y otros tipos de datos. A continuación, las directivas de archivo pueden aplicar acciones de gobernanza a los archivos (las acciones de gobernanza son específicas de la aplicación en la nube). Más información. |
| Directiva de acceso | Acceso condicional | Las directivas de acceso proporcionan a una organización supervisión y control en tiempo real sobre los inicios de sesión de usuario en sus aplicaciones en la nube. Más información. |
| Directiva de sesión | Acceso condicional | Las directivas de sesión proporcionan a una organización supervisión y control en tiempo real de la actividad de los usuarios en sus aplicaciones en la nube. Más información. |
| Directiva de detección de aplicaciones | Shadow IT | Las directivas de detección de aplicaciones permiten a una organización establecer alertas que le notifican cuando Cloud Discovery detecta nuevas aplicaciones. Más información. |
| Directiva de detección de anomalías de Cloud Discovery | Shadow IT | Cloud Discovery las directivas de detección de anomalías examinan los registros que usa una organización para detectar aplicaciones en la nube y buscar repeticiones inusuales. Por ejemplo, cuando un usuario que nunca había usado Dropbox carga de repente 600 GB en Dropbox, o cuando hay muchas más transacciones de lo habitual en una aplicación concreta. Más información. |
Identificación del riesgo
Defender for Cloud Apps ayuda a las organizaciones a mitigar los diferentes riesgos en la nube. Puede configurar cualquier directiva y alerta para que se asocie a uno de los riesgos de la tabla siguiente.
| Riesgo | ¿Qué debe tener en cuenta? | Descripción |
|---|---|---|
| Control de acceso | ¿Quién accede a qué y desde dónde? | Supervise continuamente el comportamiento y detecte actividades anómalas, incluidos los ataques internos y externos de alto riesgo. A continuación, puede aplicar una directiva para alertar, bloquear o requerir la verificación de identidad para cualquier aplicación o acción específica dentro de una aplicación. Habilita las directivas de control de acceso local y móvil basadas en el usuario, el dispositivo y la geografía con bloqueo general y vista granular, edición y bloqueo. Detecte eventos de inicio de sesión sospechosos, incluidos errores de autenticación multifactor, errores de inicio de sesión de cuenta deshabilitada y eventos de suplantación. |
| Cumplimiento | ¿Se incumplen sus requisitos de cumplimiento? | Cataloge e identifique datos confidenciales o regulados almacenados en servicios de sincronización de archivos, como permisos de uso compartido para cada archivo. Esto garantiza el cumplimiento de normativas como PCI, SOX e HIPAA. |
| Control de configuración | ¿Se realizan cambios no autorizados en la configuración? | Supervise los cambios de configuración, incluida la manipulación de la configuración remota. |
| Cloud Discovery | ¿Se usan nuevas aplicaciones en su organización? | ¿Usaron los usuarios aplicaciones de Shadow IT que no conoce? Valore el riesgo general de cada aplicación en la nube en función de las certificaciones y procedimientos recomendados normativos y del sector. Permite supervisar el número de usuarios, actividades, volumen de tráfico y horas de uso típicas de cada aplicación en la nube. |
| DLP | ¿Los archivos propietarios se comparten públicamente? | ¿Necesita poner en cuarentena los archivos? La integración de DLP local proporciona integración y corrección de bucles cerrados con soluciones DLP locales existentes. |
| Cuentas con privilegios | ¿Necesita supervisar las cuentas de administrador? | Supervisión de la actividad en tiempo real e informes de usuarios y administradores con privilegios. |
| Control de uso compartido | ¿Cómo se comparten los datos en el entorno de nube? | Inspeccione el contenido de los archivos y el contenido en la nube y aplique directivas de uso compartido internas y externas. Supervise la colaboración y aplique directivas de uso compartido, como impedir que los usuarios compartan archivos fuera de su organización. |
| Detección de amenazas | ¿Hay actividades sospechosas que amenacen su entorno en la nube? | Reciba notificaciones en tiempo real de cualquier infracción de directiva o umbral de actividad a través de un mensaje de texto o correo electrónico. Mediante la aplicación de algoritmos de aprendizaje automático, Defender for Cloud Apps permite detectar comportamientos que podrían indicar que un usuario usa datos incorrectamente. |
Ejemplos de diferentes directivas de archivo
En los ejemplos siguientes se describen varias directivas de archivo que las organizaciones pueden crear:
- Archivos compartidos públicamente. Para recibir una alerta sobre cualquier archivo compartido públicamente en la nube, seleccione todos los archivos con un nivel de uso compartido establecido en Público.
- Archivo compartido públicamente contiene el nombre de la organización. Reciba una alerta sobre cualquier archivo que contenga el nombre de su organización que alguien haya compartido públicamente.
- Compartir con dominios externos. Reciba una alerta sobre cualquier archivo compartido con cuentas propiedad de dominios externos específicos. Por ejemplo, archivos compartidos con el dominio de un competidor. Seleccione el dominio externo con el que desea limitar el uso compartido.
- Cuarentena de archivos compartidos no modificados durante el último periodo. Reciba una alerta sobre los archivos compartidos que nadie haya modificado recientemente, para ponerlos en cuarentena o elija activar una acción automatizada. Excluya todos los archivos privados que los usuarios no modificaron durante un intervalo de fechas especificado. En Google Workspace, puede optar por poner en cuarentena estos archivos mediante la casilla "Archivo de cuarentena" de la página de creación de directivas.
- Uso compartido con usuarios no autorizados. Reciba una alerta sobre los archivos compartidos con un grupo no autorizado de usuarios de su organización. Seleccione los usuarios para los que no se ha autorizado el uso compartido.
- Extensión del archivo confidencial. Reciba una alerta sobre los archivos expuestos con extensiones específicas. Seleccione la extensión específica (por ejemplo, crt para certificados) o el nombre de archivo y excluya esos archivos con el nivel de uso compartido privado.
Crear una nueva directiva de archivo
Complete los siguientes pasos para crear una nueva directiva de archivos:
- En el portal Microsoft Defender for Cloud Apps, seleccione Control en el panel de navegación y luego seleccione Directivas.
- En la página Directivas, la pestaña Todos las directivas se muestra de forma predeterminada. Seleccione la pestaña Información de protección.
- En la pestaña Información de protección, seleccione +Crear directiva en la barra de menús. En el menú desplegable que aparece, seleccione Directiva de archivo.
- En la página Crear directiva de archivo, debe configurar la siguiente información para la directiva:
- Plantilla de directiva. Use este campo si desea basar la directiva en una plantilla. Seleccione este campo para mostrar la lista de plantillas predefinidas y, a continuación, seleccione la plantilla adecuada. Si desea crear una directiva personalizada, seleccione No plantilla. Para obtener más información sobre las plantillas de directiva, consulte Control de aplicaciones en la nube con directivas.
- Nombre de la directiva. Asigne un nombre a la directiva.
- Gravedad de directiva. Si establece Defender for Cloud Apps para enviarle notificaciones sobre las coincidencias de directiva para un nivel de gravedad de directiva específico, este nivel determina si las coincidencias de la directiva desencadenan una notificación.
- Categoría. Vincule la directiva al tipo de riesgo más adecuado. Este campo solo es informativo. El sistema podría preseleccionar el riesgo según la categoría para la que eligió crear la directiva. De forma predeterminada, el sistema establece la categoría Directivas de archivo en DLP, aunque puede seleccionar un valor diferente si es necesario.
- Descripción. Escriba una descripción opcional para la directiva.
-
Archivos que coinciden con todos los siguientes (filtros). Cree un filtro para los archivos en los que actúa esta directiva para establecer qué aplicaciones detectadas desencadenan esta directiva. Reducir los filtros de directiva hasta que llegue a un conjunto preciso de archivos sobre los que desea actuar. Sea lo más restrictivo posible para evitar falsos positivos. Por ejemplo, si desea quitar permisos públicos, recuerde agregar el filtro Público. O, si desea quitar un usuario externo, utilice el filtro "Externo". Cuando se usa un filtro de directiva, la cláusula Contains busca solo palabras completas que debe separar con comas, puntos, espacios o caracteres de subrayado. Por ejemplo:
- Si busca las palabras "malware" o "virus":
- Encuentra virus_malware_file.exe.
- No encuentra malware spywarefile.exe.
- Si busca malware.exe:
- Busca TODOS los archivos con malware o exe en su nombre de archivo.
- Si busca "malware.exe" (con las comillas):
- Solo busca archivos que contengan exactamente "malware.exe" (incluidas las comillas). Igual a busca solo la cadena completa. Por ejemplo, si busca malware.exe, encuentra malware.exe pero no malware.exe.txt.
- Si busca las palabras "malware" o "virus":
- Aplicar a. Para este filtro, seleccione todos los archivos, todos los archivos excluidos las carpetas seleccionadas o carpetas seleccionadas. Puede aplicar la directiva de archivos en todos los archivos de la aplicación o en carpetas específicas. El sistema le redirige a iniciar sesión en la aplicación en la nube y, a continuación, agrega las carpetas pertinentes.
- Seleccione grupos de usuarios. Seleccione todos los propietarios de archivos, los propietarios de archivos de los grupos de usuarios seleccionados o todos los propietarios de archivos excluyendo los grupos seleccionados. A continuación, seleccione los grupos de usuarios pertinentes para determinar qué usuarios y grupos se incluirán en la directiva.
-
Método de inspección. Puede seleccionar el método DLP integrado o Servidor de clasificación de datos.
Servicios de clasificación de datos es el método recomendado. Una vez habilitada la inspección de contenido, puede hacer lo siguiente:
- Elija usar expresiones preestablecidas o buscar otras expresiones personalizadas.
- Especifique una expresión regular para excluir un archivo de los resultados. Esta opción es muy útil si tiene un estándar de palabra clave de clasificación interna que desea excluir de la directiva.
- Establezca el número mínimo de infracciones de contenido que desea que coincidan antes de que el sistema considere que el archivo es una infracción. Por ejemplo, puede elegir 10 si desea que el sistema le avise sobre los archivos con al menos 10 números de tarjeta de crédito encontrados en su contenido.
- Quite la máscara de los últimos cuatro caracteres de una coincidencia. Cuando el sistema coincide con el contenido de la expresión seleccionada, reemplaza el texto infringido por caracteres "X". De forma predeterminada, el sistema enmascara las infracciones y las muestra en su contexto. Al hacerlo, muestra 100 caracteres antes y después de la infracción. Reemplaza los números en el contexto de la expresión por caracteres "#" y nunca los almacena en Defender for Cloud Apps. Puede seleccionar la opción de quitar la máscara de los últimos cuatro caracteres de una infracción para quitar la máscara de los últimos cuatro caracteres de la infracción en sí. Es necesario establecer qué tipos de datos busca la expresión regular: contenido, metadatos o nombre de archivo. De forma predeterminada, busca el contenido y los metadatos.
- Acciones de gobierno. Seleccione la acción que desea que Defender for Cloud Apps realice cuando el sistema detecte una coincidencia.
- Una vez creada la directiva, puede verla en la pestaña Directiva de archivo . Siempre puede editar una directiva, calibrar sus filtros o cambiar las acciones automatizadas.
Al crear una nueva directiva, el sistema la habilita automáticamente. Por lo tanto, comienza a examinar sus archivos en la nube inmediatamente. Tenga cuidado al establecer acciones de gobernanza. Las acciones establecidas incorrectamente pueden provocar la pérdida irreversible de permisos de acceso a sus archivos.
Microsoft recomienda usar varios campos de búsqueda para restringir los filtros. Al hacerlo, se reduce la lista de archivos a los exactos sobre los que desea actuar. Cuanto más reducidos son los filtros, mejor. Para obtener instrucciones, puede usar el botón Editar y obtener una vista previa de los resultados en la sección Filtros.
Las coincidencias de directivas de archivos son archivos que el sistema sospecha que podrían infringir la directiva. Para ver estos archivos:
- En el panel de navegación Microsoft Defender for Cloud Apps, seleccione Control y luego seleccione Directivas.
- En la página Directivas, en la sección Filtros de la parte superior de la página, selecciona el filtro Tipo para mostrar la lista de tipos de directiva. Seleccione el tipo adecuado.
- Para obtener más información sobre las coincidencias de una directiva específica, seleccione la directiva.
- El sistema muestra los archivos "Coincidencia ahora" de la directiva. Seleccione la pestaña Historial para ver los últimos seis meses de archivos que coinciden con la directiva.
Comprobación de conocimientos
Elija la mejor respuesta para cada una de las siguientes preguntas.
Compruebe sus conocimientos
Comentarios
¿Le ha resultado útil esta página?
No
¿Necesita ayuda con este tema?
¿Desea intentar usar Ask Learn para aclarar o guiarle a través de este tema?