Administrar y responder a alertas en Microsoft Defender para aplicaciones en la nube

  • 3 minutos

Las alertas son los puntos de entrada para que las organizaciones comprendan mejor sus entornos en la nube. En función de la información que recopilan de las alertas, es posible que las organizaciones quieran crear nuevas directivas en función de lo que encuentren. Por ejemplo, supongamos que detecta que un administrador ha iniciado sesión desde Groenlandia, aunque nadie de su organización haya iniciado sesión antes desde Groenlandia. Puede crear una directiva que suspenda automáticamente una cuenta cuando alguien la use para iniciar sesión desde esa ubicación.

Supervisión de alertas

Es una buena idea revisar todas las alertas y usarlas como herramientas para modificar las directivas. Si los eventos inofensivos se consideran infracciones de las directivas existentes, refina las directivas para recibir menos alertas innecesarias.

  1. En el portal de Microsoft Defender, en el panel de navegación izquierdo, seleccione Incidentes & alertas para expandir el grupo y, a continuación, seleccione Alertas.
  2. En la página Alertas , seleccione Agregar filtro en la barra de menús.
  3. En el menú Agregar filtro que aparece, seleccione los filtros específicos de la investigación actual y, a continuación, seleccione Agregar. Seleccione los filtros que proporcionan visibilidad completa de cualquier actividad sospechosa o infracción de las directivas establecidas. Por ejemplo, puede:

    1. Seleccione la opción Orígenes de servicio o detección y, a continuación, seleccione Agregar.

    2. En la página Alertas , seleccione la opción Orígenes de servicio/detección: Cualquier filtro en la barra de menús.

    3. En el menú Orígenes de servicio/detección que aparece, seleccione Microsoft Defender for Cloud Apps servicio y, a continuación, seleccione Aplicar para ver las alertas relacionadas con las aplicaciones en la nube de su organización.

      Captura de pantalla de la página Alertas de Microsoft Defender que muestra el menú Agregar filtro.

      Captura de pantalla de la página Alertas de Microsoft Defender que muestra el menú de filtro Orígenes de detección de servicios.

Las alertas que aparecen pueden ayudarle a proteger la posición de seguridad que definió para el entorno de nube. Para cada alerta, debes investigar y determinar la naturaleza de la infracción y la respuesta necesaria.

  • Puede filtrar las alertas por tipo de alerta o gravedad para procesar primero las más importantes.
  • Selecciona una alerta específica. En función del tipo de alerta que sea, verá varias acciones que puede realizar antes de resolver las alertas.
  • Puedes filtrar en función de una aplicación. Las aplicaciones enumeradas son aquellas para las que Microsoft Defender para aplicaciones en la nube detectó actividades.
  • Hay tres tipos de infracciones que debe tratar al investigar alertas:
    • Infracciones graves. Requerir respuesta inmediata. Algunos ejemplos son:
      • Para una alerta de actividad sospechosa, quiere suspender la cuenta hasta que el usuario cambie su contraseña.
      • Para una fuga de datos, quiere restringir los permisos o poner en cuarentena el archivo.
      • Si Cloud Discover detecta una nueva aplicación, quiere bloquear el acceso al servicio en el proxy o firewall.
    • Infracciones cuestionables. Requerir una investigación más detallada. Algunos ejemplos son:
      • Puedes ponerte en contacto con el usuario o con el administrador del usuario para conocer la naturaleza de la actividad.
      • Deja abierta la actividad hasta que tengas más información.
    • Infracciones autorizadas o comportamiento anómalo. Puede ser el resultado de un uso legítimo.
      • Puedes descartar la alerta.

Al descartar una alerta, resulta útil si envías comentarios sobre por qué la descartas. El equipo de Microsoft Defender para aplicaciones en la nube usa estos comentarios como una indicación de la precisión de la alerta. También usa esta información para ajustar nuestros modelos de aprendizaje automático para futuras alertas. Si selecciona el cuadro It's OK to contact me about this alert (Está bien ponerse en contacto conmigo sobre esta alerta ), en algunos casos, Microsoft podría ponerse en contacto con usted para obtener información adicional.

Puedes seguir estas directrices para decidir cómo clasificar la alerta:

  • Si una actividad legítima desencadenó la alerta y no es un problema de seguridad, podría ser uno de estos tipos:
    • Positivo benigno. La alerta es precisa, pero la actividad es legítima. Puedes descartar la alerta y establecer el motivo para La gravedad real es menor o No es interesante.
    • Falso positivo. La alerta es inexacta. Descarta la alerta y establece el motivo en La alerta no es precisa.
  • Si alguna actividad desencadenó la alerta y es un problema de seguridad, la alerta es:
    • Positivo verdadero. Si la alerta está relacionada con un evento de riesgo real que un usuario interno o externo ha confirmado de forma malintencionada o involuntaria, debe establecer el evento en Resolver después de que la organización haya completado todas las acciones adecuadas para corregir el evento.
  • Si hay demasiado ruido para determinar la legitimidad y precisión de una alerta, descártala y establece el motivo en Demasiadas alertas similares.

Tipo de alerta

En la tabla siguiente se proporciona una lista de los tipos de alertas y se recomiendan las formas en que una organización puede resolverlas.

Tipo de alerta Descripción Resolución recomendada
Infracción de directiva de actividad Este tipo de alerta es el resultado de una directiva que creaste. Para trabajar con este tipo de alerta de forma masiva, Microsoft recomienda que las organizaciones trabajen en el Centro de directivas para mitigarlas.

Ajusta la directiva para excluir entidades ruidosas agregando más filtros y controles más granulares.

Esta alerta es una alerta justificada si la directiva es precisa. Como tal, es una infracción que quieres detener inmediatamente. Considere la posibilidad de agregar la corrección automática en la directiva.
Infracción de la política de archivos Este tipo de alerta es el resultado de una directiva que creaste. Para trabajar con este tipo de alerta de forma masiva, Microsoft recomienda que las organizaciones trabajen en el Centro de directivas para mitigarlas.

Ajusta la directiva para excluir entidades ruidosas agregando más filtros y controles más granulares.

Esta alerta es una alerta justificada si la directiva es precisa. Como tal, es una infracción que quieres detener inmediatamente. Considere la posibilidad de agregar la corrección automática en la directiva.
Cuenta en peligro Microsoft Defender for Cloud Apps desencadena esta alerta cuando identifica una cuenta en peligro Una cuenta en peligro significa que hay una alta probabilidad de que alguien haya usado la cuenta de forma no autorizada. Microsoft recomienda que las organizaciones suspendan las cuentas en peligro hasta que puedan ponerse en contacto con los usuarios y comprobar que fueron ellas las que cambiaron sus contraseñas.
Cuenta inactiva Microsoft Defender for Cloud Apps desencadena esta alerta cuando nadie usó una cuenta en una de las aplicaciones en la nube conectadas de la organización en los últimos 60 días. Ponte en contacto con el usuario y el administrador del usuario para determinar si la cuenta sigue activa. Si no es así, suspende al usuario y finaliza la licencia de la aplicación.
Nuevo usuario de administrador Te avisa de los cambios en las cuentas con privilegios para las aplicaciones conectadas. Confirme que un usuario requiere los nuevos permisos de administrador. Si no lo hacen, recomienda revocar privilegios de administrador para reducir la exposición.
Nueva ubicación de administración Te avisa de los cambios en las cuentas con privilegios para las aplicaciones conectadas. Confirma que el inicio de sesión desde esta ubicación anómala era legítimo. Si no es así, recomienda revocar los permisos de administrador o suspender la cuenta para reducir la exposición.
Nueva ubicación Alerta informativa sobre el acceso a una aplicación conectada desde una nueva ubicación. Microsoft Defender for Cloud Apps solo desencadena esta alerta una vez por país o región. Investiga la actividad del usuario específico.
Se detectó un nuevo servicio Esta alerta es sobre Shadow IT. Cloud Discovery detectó una nueva aplicación. Para aplicaciones autorizadas:

1. Evalúa el riesgo del servicio en función del catálogo de aplicaciones.

2. Profundiza en la actividad para comprender los patrones de uso y la frecuencia.

3. Decide si se va a autorizar o no la aplicación.

Para aplicaciones no autorizadas:

1. Es posible que desee bloquear el uso en el proxy o firewall.

2. Si tienes una aplicación no autorizada y una aplicación autorizada en la misma categoría, puedes exportar una lista de usuarios de la aplicación no autorizada. A continuación, ponte en contacto con ellos para migrarlos a la aplicación autorizada.
Actividad sospechosa Esta alerta le permite saber que Microsoft Defender for Cloud Apps detecta actividad anómala no alineada con las actividades esperadas o los usuarios de la organización. Investiga el comportamiento y confírmalo con el usuario.

Este tipo de alerta es un excelente lugar para empezar a obtener más información sobre tu entorno y crear nuevas directivas con estas alertas. Por ejemplo, supongamos que alguien carga repentinamente una gran cantidad de datos en una de las aplicaciones conectadas. Puedes establecer una regla para controlar ese tipo de comportamiento anómalo.
Uso de una cuenta personal Esta alerta te permite saber que una nueva cuenta personal tiene acceso a los recursos de las aplicaciones conectadas. Quita las colaboraciones del usuario en la cuenta externa.