Investigación de riesgos de aplicaciones en la nube y actividad sospechosa
Después de Microsoft Defender for Cloud Apps se ejecuta en el entorno de nube, necesitará una fase de aprendizaje e investigación. Aprenda a usar las herramientas de Microsoft Defender for Cloud Apps para obtener un conocimiento más profundo de lo que sucede en el entorno de nube. En función de su entorno concreto y de cómo se usa, puede identificar los requisitos para proteger su organización frente a riesgos. En este artículo se describe cómo realizar una investigación para comprender mejor el entorno de nube.
Etiquetar las aplicaciones como autorizadas o no autorizadas
Un paso importante para comprender la nube es etiquetar las aplicaciones como autorizadas o no autorizadas. Después de autorizar una aplicación, puede filtrar las aplicaciones que no están autorizadas e iniciar la migración a aplicaciones autorizadas del mismo tipo.
En Microsoft Defender Portal, en Aplicaciones en la nube, vaya al catálogo de aplicaciones en la nube o a Cloud discovery - Discovered apps (Detección de la nube:> aplicaciones detectadas).
En la lista de aplicaciones, en la fila en la que aparece la aplicación que quieres etiquetar como autorizada, elige los tres puntos al final de la fila y elija Sancionado.
Uso de las herramientas de investigación
En Microsoft Defender Portal, en Cloud Apps, vaya al registro de actividad y filtre por una aplicación específica. Compruebe los siguientes elementos:
¿Quién accede al entorno de nube?
¿Desde qué intervalos IP?
¿Cuál es la actividad de administrador?
¿Desde qué ubicaciones se conectan los administradores?
¿Hay dispositivos obsoletos que se conecten a su entorno en la nube?
¿Los inicios de sesión con errores proceden de direcciones IP esperadas?
En Microsoft Defender Portal, en Cloud Apps, vaya a Archivos y compruebe los siguientes elementos:
¿Cuántos archivos se comparten públicamente para que cualquiera pueda acceder a ellos sin un vínculo?
¿Con qué asociados comparte archivos (uso compartido saliente)?
¿Algún archivo tiene un nombre confidencial?
¿Se comparte alguno de los archivos con la cuenta personal de alguien?
En el portal de Microsoft Defender, vaya a Identidades y compruebe los siguientes elementos:
¿Alguna cuenta ha estado inactiva en un servicio determinado durante mucho tiempo? Tal vez pueda revocar la licencia de ese usuario a ese servicio.
¿Desea saber qué usuarios tienen un rol específico?
¿Se ha despedido a alguien, pero todavía tiene acceso a una aplicación y puede usar ese acceso para robar información?
¿Desea revocar el permiso de un usuario a una aplicación específica o requerir que un usuario específico use la autenticación multifactor?
Puede explorar en profundidad la cuenta del usuario seleccionando los tres puntos al final de la fila de la cuenta del usuario y seleccionando una acción que realizar. Realice una acción como Suspender usuario o Quitar las colaboraciones del usuario. Si el usuario se importó desde Microsoft Entra ID, también puede seleccionar Microsoft Entra configuración de la cuenta para obtener acceso fácil a las características avanzadas de administración de usuarios. Entre los ejemplos de características de administración se incluyen la administración de grupos, MFA, detalles sobre los inicios de sesión del usuario y la capacidad de bloquear el inicio de sesión.
En el portal de Microsoft Defender, seleccione Configuración. A continuación, elija Aplicaciones en la nube. En Aplicaciones conectadas, seleccione Conectores de aplicaciones y, a continuación, seleccione una aplicación. El panel de la aplicación se abre y le proporciona información e información. Puede usar las pestañas de la parte superior para comprobar lo siguiente:
¿Qué tipo de dispositivos usan los usuarios para conectarse a la aplicación?
¿Qué tipos de archivos guardan en la nube?
¿Qué actividad está ocurriendo en la aplicación en este momento?
¿Hay alguna aplicación de terceros conectada a su entorno?
¿Está familiarizado con estas aplicaciones?
¿Están autorizados para el nivel de acceso que se les permite?
¿Cuántos usuarios los han implementado? ¿Cuán comunes son estas aplicaciones en general?
En Microsoft Defender Portal, en Cloud Apps, vaya a Cloud Discovery. Seleccione la pestaña Panel y compruebe los siguientes elementos:
¿Qué aplicaciones en la nube se usan, en qué medida y por qué usuarios?
¿Para qué se usan?
¿Cuántos datos se cargan en estas aplicaciones en la nube?
¿En qué categorías ha autorizado las aplicaciones en la nube y, sin embargo, los usuarios usan soluciones alternativas?
En el caso de las soluciones alternativas, ¿desea anular la aceptación de las aplicaciones en la nube de su organización?
¿Hay aplicaciones en la nube que se usan pero no cumplen con la directiva de su organización?
Investigación de ejemplo
Supongamos que no tiene acceso a su entorno en la nube mediante direcciones IP de riesgo. Por ejemplo, digamos Tor. Pero cree una directiva para las direcciones IP de riesgo solo para asegurarse de lo siguiente:
En Microsoft Defender Portal, en Aplicaciones en la nube, vaya a Directivas ->Plantillas de directiva.
Elija la directiva de actividad para el tipo.
Al final del inicio de sesión desde una fila de dirección IP de riesgo , elija el signo más (+) para crear una nueva directiva.
Cambie el nombre de la directiva para que pueda identificarla.
En Actividades que coinciden con todo lo siguiente, elija + agregar un filtro. Desplácese hacia abajo hasta etiqueta IP y, a continuación, elija Tor.
Ahora que tiene la directiva en vigor, descubre que tiene una alerta de que se ha infringido la directiva.
En Microsoft Defender Portal, vaya a Incidentes & alertas ->Alertas y vea la alerta sobre la infracción de directiva.
Si ve que parece una infracción real, quiere contener el riesgo o corregirlo.
Para contener el riesgo, puede enviar al usuario una notificación para preguntar si la infracción fue intencionada y si el usuario era consciente de ello.
También puede explorar en profundidad la alerta y suspender al usuario hasta que pueda averiguar qué se debe hacer.
Si es un evento permitido que no es probable que se repita, puede descartar la alerta.
Si se permite y espera que se repita, puede cambiar la directiva para que este tipo de evento no se considere una infracción en el futuro.
Pasos siguientes
Si tiene algún problema, estamos aquí para ayudarle. Para obtener ayuda o soporte técnico para el problema del producto, abra una incidencia de soporte técnico.