Tutorial: Detección y administración de shadow IT

Cuando se pregunta a los administradores de TI cuántas aplicaciones en la nube creen que usan sus empleados, en promedio dicen 30 o 40, cuando en realidad, el promedio es de más de 1000 aplicaciones independientes que usan los empleados de su organización. Shadow IT le ayuda a conocer e identificar qué aplicaciones se usan y cuál es su nivel de riesgo. El 80 % de los empleados usan aplicaciones no autorizadas que nadie ha revisado y es posible que no cumplan las directivas de seguridad y cumplimiento. Y como los empleados pueden acceder a sus recursos y aplicaciones desde fuera de la red corporativa, ya no basta con tener reglas y directivas en los firewalls.

En este tutorial, aprenderá a usar la detección en la nube para detectar qué aplicaciones se usan, explorar el riesgo de estas aplicaciones, configurar directivas para identificar las nuevas aplicaciones de riesgo que se usan y anular la autenticación de estas aplicaciones con el fin de bloquearlas de forma nativa mediante el proxy o el dispositivo de firewall.

• Detección e identificación de Shadow IT
• Evaluación y análisis
• Administrar las aplicaciones
• Informes avanzados de detección de Shadow IT
• Control de aplicaciones autorizadas

Sugerencia

De forma predeterminada, Defender for Cloud Apps no puede detectar aplicaciones que no están en el catálogo.

Para ver Defender for Cloud Apps datos de una aplicación que no está actualmente en el catálogo, se recomienda comprobar nuestra hoja de ruta o crear una aplicación personalizada.

Cómo detectar y administrar Shadow IT en la red

Use este proceso para implementar shadow IT cloud discovery en su organización.

Fase 1: Detección e identificación de Shadow IT

1. Detectar Shadow IT: identifique la posición de seguridad de su organización mediante la ejecución de la detección de nube en su organización para ver lo que está sucediendo realmente en la red. Para obtener más información, consulte Configuración de la detección de la nube. Esto se puede hacer con cualquiera de los métodos siguientes:

   • Empiece a trabajar rápidamente con la detección de la nube mediante la integración con Microsoft Defender para punto de conexión. Esta integración nativa le permite empezar inmediatamente a recopilar datos sobre el tráfico en la nube en los dispositivos Windows 10 y Windows 11, dentro y fuera de la red.

   • Para la cobertura en todos los dispositivos conectados a la red, es importante implementar el recopilador de registros de Defender for Cloud Apps en los firewalls y otros servidores proxy para recopilar datos de los puntos de conexión y enviarlos a Defender for Cloud Apps para su análisis.

   • Integre Defender for Cloud Apps con el proxy. Defender for Cloud Apps se integra de forma nativa con algunos servidores proxy de terceros, incluido Zscaler.

   Dado que las directivas son diferentes entre grupos de usuarios, regiones y grupos de negocios, es posible que desee crear un informe de Shadow IT dedicado para cada una de estas unidades. Para obtener más información, consulte Creación de informes continuos personalizados.

   Ahora que la detección en la nube se ejecuta en la red, examine los informes continuos que se generan y examine el panel de detección de la nube para obtener una imagen completa de las aplicaciones que se usan en su organización. Es una buena idea verlos por categoría, ya que a menudo descubrirás que las aplicaciones no autorizadas se usan con fines legítimos relacionados con el trabajo que no fueron abordadas por una aplicación autorizada.

2. Identificar los niveles de riesgo de las aplicaciones: use el catálogo de Defender for Cloud Apps para profundizar en los riesgos relacionados con cada aplicación detectada. El catálogo de aplicaciones de Defender para la nube incluye más de 31 000 aplicaciones que se evalúan mediante más de 90 factores de riesgo. Los factores de riesgo se inician a partir de información general sobre la aplicación (dónde está la sede central de la aplicación, quién es el publicador) y a través de medidas y controles de seguridad (compatibilidad con el cifrado en reposo, proporciona un registro de auditoría de la actividad del usuario). Para obtener más información, consulte Trabajar con puntuación de riesgo,

   • En Microsoft Defender Portal, en Cloud Apps, seleccione Cloud Discovery. A continuación, vaya a la pestaña Aplicaciones detectadas . Filtre la lista de aplicaciones detectadas en su organización por los factores de riesgo que le preocupan. Por ejemplo, puede usar filtros avanzados para buscar todas las aplicaciones con una puntuación de riesgo inferior a 8.

   • Puede explorar en profundidad la aplicación para obtener más información sobre su cumplimiento seleccionando el nombre de la aplicación y, a continuación, seleccionando la pestaña Información para ver detalles sobre los factores de riesgo de seguridad de la aplicación.

Fase 2: Evaluación y análisis

1. Evaluar el cumplimiento: compruebe si las aplicaciones están certificadas como compatibles con los estándares de su organización, como HIPAA o SOC2.

   • En Microsoft Defender Portal, en Cloud Apps, seleccione Cloud Discovery. A continuación, vaya a la pestaña Aplicaciones detectadas . Filtre la lista de aplicaciones detectadas en su organización por los factores de riesgo de cumplimiento que le preocupan. Por ejemplo, use la consulta sugerida para filtrar aplicaciones no compatibles.

   • Puede explorar en profundidad la aplicación para obtener más información sobre su cumplimiento seleccionando el nombre de la aplicación y, a continuación, seleccionando la pestaña Información para ver detalles sobre los factores de riesgo de cumplimiento de la aplicación.

2. Analizar el uso: ahora que sabe si quiere o no que la aplicación se use en su organización, quiere investigar cómo y quién la usa. Si solo se usa de forma limitada en su organización, quizás esté bien, pero tal vez si el uso está creciendo, quiere recibir una notificación al respecto para que pueda decidir si quiere bloquear la aplicación.

   • En Microsoft Defender Portal, en Cloud Apps, seleccione Cloud Discovery. A continuación, vaya a la pestaña Aplicaciones detectadas y, a continuación, explore en profundidad seleccionando la aplicación específica que desea investigar. La pestaña Uso le permite saber cuántos usuarios activos usan la aplicación y cuánto tráfico está generando. Esto ya puede darte una buena idea de lo que sucede con la aplicación. A continuación, si desea ver quién, específicamente, usa la aplicación, puede explorar en profundidad si selecciona Total de usuarios activos. Este paso importante puede proporcionarle información pertinente, por ejemplo, si detecta que todos los usuarios de una aplicación específica son del departamento de marketing, es posible que haya una necesidad empresarial para esta aplicación y, si es arriesgado, debe hablar con ellos sobre una alternativa antes de bloquearla.

   • Profundizar aún más al investigar el uso de aplicaciones detectadas. Vea los subdominios y recursos para obtener información sobre actividades específicas, el acceso a datos y el uso de recursos en los servicios en la nube. Para obtener más información, consulte Profundización en aplicaciones detectadas y Detección de recursos y aplicaciones personalizadas.

3. Identificar aplicaciones alternativas: use el catálogo de aplicaciones en la nube para identificar aplicaciones más seguras que logran una funcionalidad empresarial similar a la de las aplicaciones de riesgo detectadas, pero cumplen con la directiva de su organización. Para ello, use los filtros avanzados para buscar aplicaciones en la misma categoría que cumplan con los distintos controles de seguridad.

Fase 3: Administración de las aplicaciones

• Administración de aplicaciones en la nube: Defender for Cloud Apps le ayuda con el proceso de administración del uso de aplicaciones en su organización. Después de identificar los diferentes patrones y comportamientos usados en su organización, puede crear nuevas etiquetas de aplicación personalizadas para clasificar cada aplicación según su estado empresarial o justificación. A continuación, estas etiquetas se pueden usar con fines de supervisión específicos, por ejemplo, identificar el tráfico elevado que va a las aplicaciones que se etiquetan como aplicaciones de almacenamiento en la nube de riesgo. Las etiquetas de aplicación se pueden administrar en ConfiguraciónCloud AppsCloud Discovery App tags (Etiquetas>de aplicación deCloud Apps> Cloud Discovery>). Estas etiquetas se pueden usar más adelante para filtrar en las páginas de detección de nube y crear directivas con ellas.

• Administrar aplicaciones detectadas mediante Microsoft Entra Gallery: Defender for Cloud Apps también usa su integración nativa con Microsoft Entra ID para permitirle administrar las aplicaciones detectadas en Microsoft Entra Galería. En el caso de las aplicaciones que ya aparecen en la Galería de Microsoft Entra, puede aplicar el inicio de sesión único y administrar la aplicación con Microsoft Entra ID. Para ello, en la fila donde aparece la aplicación correspondiente, elija los tres puntos al final de la fila y, a continuación, elija Administrar aplicación con Microsoft Entra ID.

  

• Supervisión continua: ahora que ha investigado exhaustivamente las aplicaciones, es posible que quiera establecer directivas que supervisen las aplicaciones y proporcionen control cuando sea necesario.

Ahora es el momento de crear directivas para que se le puedan alertar automáticamente cuando ocurre algo que le preocupa. Por ejemplo, es posible que quiera crear una directiva de detección de aplicaciones que le permita saber cuándo hay un pico de descargas o tráfico desde una aplicación que le preocupa. Para ello, debe habilitar el comportamiento anómalo en la directiva de usuarios detectados, la comprobación de cumplimiento de aplicaciones de almacenamiento en la nube y la nueva aplicación de riesgo. También debe establecer la directiva para que se lo notifique por correo electrónico. Para obtener más información, consulte referencia de plantilla de directiva, más información sobre las directivas de detección de nube y Configuración de directivas de detección de aplicaciones.

Examine la página de alertas y use el filtro Tipo de directiva para ver las alertas de detección de aplicaciones. En el caso de las aplicaciones que coincidieron con las directivas de detección de aplicaciones, se recomienda realizar una investigación avanzada para obtener más información sobre la justificación empresarial para usar la aplicación, por ejemplo, poniéndose en contacto con los usuarios de la aplicación. A continuación, repita los pasos de la fase 2 para evaluar el riesgo de la aplicación. A continuación, determine los pasos siguientes para la aplicación, si aprueba su uso en el futuro o quiere bloquearlo la próxima vez que un usuario acceda a ella, en cuyo caso debe etiquetarla como no autorizada para que se pueda bloquear mediante el firewall, el proxy o la puerta de enlace web segura. Para obtener más información, vea Integrar con Microsoft Defender para punto de conexión, Integrar con Zscaler, Integrar con iboss y Bloquear aplicaciones mediante la exportación de un script de bloque.

Fase 4: Informes avanzados de detección de Shadow IT

Además de las opciones de informes disponibles en Defender for Cloud Apps, puede integrar los registros de detección de nube en Microsoft Sentinel para una investigación y análisis adicionales. Una vez que los datos están en Microsoft Sentinel, puede verlos en paneles, ejecutar consultas mediante el lenguaje de consulta Kusto, exportar consultas a Microsoft Power BI, integrarlas con otros orígenes y crear alertas personalizadas. Para obtener más información, consulte integración Microsoft Sentinel.

Fase 5: Control de aplicaciones autorizadas

1. Para habilitar el control de aplicaciones a través de las API, conecte las aplicaciones a través de la API para la supervisión continua.

2. Proteja las aplicaciones mediante el control de aplicaciones de acceso condicional.

La naturaleza de las aplicaciones en la nube significa que se actualizan diariamente y que las nuevas aplicaciones aparecen todo el tiempo. Por este motivo, los empleados usan continuamente nuevas aplicaciones y es importante realizar un seguimiento y revisar y actualizar las directivas, comprobar qué aplicaciones usan los usuarios, así como sus patrones de uso y comportamiento. Siempre puede ir al panel de detección de la nube y ver qué nuevas aplicaciones se usan y seguir de nuevo las instrucciones de este artículo para asegurarse de que su organización y sus datos están protegidos.

Pasos siguientes

Procedimientos recomendados para proteger su organización

Si tiene algún problema, estamos aquí para ayudarle. Para obtener ayuda o soporte técnico para el problema del producto, abra una incidencia de soporte técnico.

Más información

• Pruebe nuestra guía interactiva: Detección y administración del uso de aplicaciones en la nube con Microsoft Defender for Cloud Apps