Compartir a través de

Creación de directivas de actividad de Microsoft Defender for Cloud Apps

  • Artículo

Las directivas de actividad permiten aplicar una amplia gama de procesos automatizados mediante las API del proveedor de aplicaciones. Estas directivas permiten supervisar actividades específicas realizadas por varios usuarios o seguir tasas inesperadamente altas de un determinado tipo de actividad.

Después de establecer una directiva de detección de actividad, comienza a generar alertas: las alertas solo se generan en las actividades que se producen después de crear la directiva.

Nota:

  • Las directivas que desencadenan más de 200 000 coincidencias al día o 100 000 coincidencias cada 3 horas pueden deshabilitarse automáticamente. Puede intentar refinar directivas agregando filtros adicionales o, si usa directivas con fines de informes, considere la posibilidad de guardarlos como consultas en su lugar.
  • La configuración de una nueva directiva en la implementación puede tardar hasta 15 minutos.

Alertas personalizadas

Las directivas de actividad permiten enviar alertas personalizadas o realizar acciones cuando se detecta la actividad del usuario. Por ejemplo, quiere saber cada vez:

  • Un usuario intenta iniciar sesión y produce un error 70 veces en un minuto
  • Un usuario descarga 7000 archivos
  • Un usuario ha iniciado sesión desde un país o región desconocidos.

Puede establecer alertas de actividad que se enviarán a usted mismo o al usuario cuando se produzcan estos eventos. Incluso puede suspender al usuario hasta que haya terminado de investigar lo que ha ocurrido.

Para crear una nueva directiva de actividad, siga este procedimiento:

  1. En Microsoft Defender Portal, en Aplicaciones en la nube, vaya a Directivas ->Administración de directivas. A continuación, seleccione la pestaña Detecciones de amenazas .

  2. Haga clic en Crear directiva y seleccione Directiva de actividad.

    Cree una directiva de detección de amenazas.

  3. Asigne un nombre y una descripción a la directiva; si quiere, puede basarla en una plantilla. Para obtener más información sobre las plantillas de directiva, consulte Control de aplicaciones en la nube con directivas.

  4. Para establecer qué acciones u otras métricas desencadenarán esta directiva, trabaje con los filtros de actividad.

    Para asegurarse de que solo incluya los resultados en los que el campo de filtro especificado tenga un valor, se recomienda volver a agregar el mismo campo mediante la prueba is set . Por ejemplo, cuando el filtrado por ubicaciónno es igual a una lista especificada de países o regiones, también se agrega un filtro para Ubicación establecida. También puede obtener una vista previa de los resultados del filtro seleccionando Editar y obtener una vista previa de los resultados. Por ejemplo:

    Captura de pantalla de la configuración del filtro, en la que se muestra que el campo de ubicación está establecido.

    Cuando un filtro se establece en no es igual y el atributo no existe en el evento, el evento no se filtrará. Por ejemplo, el filtrado en etiqueta de dispositivo no es igual Microsoft Entra unido a híbridos no filtra los eventos que no contienen la etiqueta Device, incluso si el dispositivo está Microsoft Entra unido.

    En el caso de un usuario invitado, puede haber casos en los que el filtro Usuario desde grupo no reconozca la cuenta por su dominio. Para asegurarse de que se incluyen todos los usuarios invitados, use los usuarios externos como grupo, si satisface sus necesidades para la directiva.

  5. En Crear filtros para la directiva, seleccione cuándo se desencadenará una infracción de directiva. Elija desencadenar cuando una actividad Single coincida con los filtros o solo cuando se detecte un número especificado de actividades repetidas .

    • Si elige Actividad repetida, puede establecer En una sola aplicación. Esta configuración desencadenará una coincidencia de directiva solo cuando las actividades repetidas se produzcan en la misma aplicación. Por ejemplo, cinco descargas en 30 minutos desde Box desencadenan una coincidencia de directiva.

  6. Configure las acciones que se deben realizar cuando se encuentra una coincidencia.

Eche un vistazo a estos ejemplos:

  • Varios inicios de sesión con errores

    Puede establecer la directiva para que reciba una alerta cuando se produzca un gran número de inicios de sesión con errores en un breve período de tiempo. Para configurar este tipo de directiva, elija el filtro de actividad adecuado en la página Nueva directiva de actividad .

    Debajo del campo Filtros de actividad , configure los parámetros para los que se desencadenará la alerta.

    Ejemplo de directiva para varios intentos de inicio de sesión erróneos.

  • Alta tasa de descarga

    Puede establecer la directiva para que reciba una alerta cuando haya habido un nivel inesperado o poco práctico de actividad de descarga. Para configurar este tipo de directiva, en Parámetros de velocidad , elija los parámetros para desencadenar la alerta.

    ejemplo de velocidad de descarga alta.

Referencia de directiva de actividad

Esta sección tiene detalles de referencia sobre directivas, explicaciones para cada tipo de directiva y los campos que se pueden configurar para cada directiva.

Una directiva de actividad es una directiva basada en API que le permite supervisar las actividades de su organización en la nube. La directiva tiene en cuenta más de 20 filtros de metadatos de archivo, incluidos el tipo de dispositivo y la ubicación. En función de los resultados de la directiva, se pueden generar notificaciones y los usuarios se pueden suspender desde la aplicación en la nube. Cada directiva se compone de las siguientes partes:

  • Filtros de actividad: permite crear condiciones granulares basadas en metadatos.

  • Parámetros de coincidencia de actividad: permite establecer un umbral para el número de veces que se repite una actividad para que se considere que coincide con la directiva. Especifique el número de actividades repetidas necesarias para que coincidan con la directiva. Por ejemplo, establezca una directiva para que alerte cuando un usuario tenga 10 intentos de inicio de sesión incorrectos en un período de tiempo de 2 minutos. De forma predeterminada, los parámetros de coincidencia de actividad generan una coincidencia para cada actividad que cumple todos los filtros de actividad.

    • Con la actividad Repetida , puede establecer el número de actividades repetidas, la duración del período de tiempo en el que se cuentan las actividades. También puede especificar que todas las actividades las realice el mismo usuario y en la misma aplicación en la nube.

  • Acciones: la directiva proporciona un conjunto de acciones de gobernanza que se pueden aplicar automáticamente cuando se detectan infracciones.

Pasos siguientes

Directivas de protección de datos

Si tiene algún problema, estamos aquí para ayudarle. Para obtener ayuda o soporte técnico para el problema del producto, abra una incidencia de soporte técnico.