Compartir a través de

Investigación de actividades

  • Artículo

Microsoft Defender for Cloud Apps te ofrece visibilidad de todas las actividades de las aplicaciones conectadas. Después de conectar Defender for Cloud Apps con una aplicación mediante el conector de aplicaciones, Defender for Cloud Apps examina todas las actividades que se han producido (el período de tiempo de examen retroactivo varía según la aplicación) y después se actualiza constantemente con nuevas actividades.

Nota:

Para obtener una lista completa de las actividades de Microsoft 365 supervisadas por Defender for Cloud Apps, consulta Buscar en el registro de auditoría del centro de cumplimiento.

Se puede filtrar el registro de actividades para que pueda buscar actividades específicas. Cree directivas basadas en las actividades y después definir sobre qué quiere recibir alertas y actuar en consecuencia. También puedes buscar actividades realizadas en determinados archivos. El tipo de actividades y la información que obtenemos de cada actividad dependen de la aplicación y de qué tipo de datos puede proporcionar la aplicación.

Por ejemplo, puedes usar el registro de actividades para buscar usuarios de la organización que usan sistemas operativos o exploradores que no están actualizados de la siguiente forma: después de conectar una aplicación a Defender for Cloud Apps en la página del registro de actividades, usa el filtro avanzado y selecciona Etiqueta de agente de usuario. Después, seleccione Outdated browser (Explorador obsoleto) u Outdated operating system (Sistema operativo obsoleto).

Ejemplo de actividad de explorador obsoleto.

El filtro básico proporciona excelentes herramientas para empezar a filtrar tus actividades.

filtro de registro de actividad básico.

Para profundizar en actividades más específicas, puede ampliar el filtro básico seleccionando Filtros avanzados.

filtro de registro de actividad avanzado.

Nota:

  • La etiqueta Heredado se agrega a cualquier directiva de actividad que use el filtro de "usuario" anterior. Este filtro seguirá funcionando como de costumbre. Si quiere quitar la etiqueta Heredado, puede quitar el filtro y volver a agregarlo con el nuevo filtro Nombre de usuario.

  • En algunos casos poco frecuentes, el recuento de los eventos presentados en el registro de actividad puede mostrar un número ligeramente mayor que el número real de eventos que se aplican al filtro y que se presentan.

El cajón de actividades

Trabajo con el cajón de actividades

Para ver más información sobre cada actividad, selecciona la misma actividad en el registro de actividades. Se abrirá el cajón de actividades, que proporciona las siguientes acciones e información adicionales para cada actividad:

  • Directivas coincidentes: selecciona el vínculo Directivas coincidentes para ver una lista de las directivas con las que coincide esta actividad.

  • Ver datos sin procesar: selecciona Ver los datos sin procesar para ver los datos reales recibidos desde la aplicación.

  • Usuario: haz clic en el usuario para ver la página correspondiente al usuario que realizó la actividad.

  • Tipo de dispositivo: selecciona Tipo de dispositivo para ver los datos sin procesar del agente de usuario.

  • Ubicación: selecciona la ubicación para ver la ubicación en los mapas de Bing.

  • Categoría y etiquetas de la dirección IP: selecciona la etiqueta IP para ver la lista de etiquetas IP que se encuentran en esta actividad. Después, puede filtrar por todas las actividades que coinciden con esta etiqueta.

Los campos del cajón de actividades proporcionan vínculos contextuales a actividades adicionales y exploran en profundidad lo que deseas realizar desde el cajón directamente. Por ejemplo, si mueves el cursor junto a la categoría de dirección IP, puedes utilizar el icono agregar a filtro Filtro Agregar a.para agregar la dirección IP inmediatamente al filtro de la página actual. También puedes utilizar el icono de engranaje de configuraciónicono Configuración que aparece para llegar directamente a la página de configuración necesaria para modificar la configuración de uno de los campos, como Grupos de usuarios.

También puede usar los iconos de la parte superior de la pestaña para:

  • Ver las actividades del mismo tipo
  • Ver todas las actividades del mismo usuario
  • Ver las actividades de la misma dirección IP
  • Ver las actividades de la ubicación geográfica exacta
  • Ver las actividades del mismo período (48 horas)

cajón de actividades.

Para obtener una lista de las acciones de control disponibles, vea Acciones de control de actividades.

Información de usuario

La experiencia de investigación incluye conclusiones sobre el usuario activo. Con un solo clic, puedes obtener una descripción detallada del usuario, incluida la ubicación desde la que se ha conectado, con cuántas alertas abiertas está relacionado e información sobre sus metadatos.

Para ver la información de usuario:

  1. Selecciona la actividad en el Registro de actividades.

  2. A continuación, selecciona la pestaña Usuario.
    Al hacer clic se abre la pestaña Usuario del cajón de actividades, que contiene estas conclusiones sobre el usuario:

    • Alertas abiertas: número de alertas abiertas relacionadas con el usuario.
    • Coincidencias: número de coincidencias de directa para archivos que pertenecen al usuario.
    • Actividades: número de actividades realizadas por el usuario durante los últimos 30 días.
    • Países: número de países desde los que se ha conectado el usuario durante los últimos 30 días.
    • ISPs: número de ISPs desde los que se ha conectado el usuario durante los últimos 30 días.
    • Direcciones IP: número de direcciones IP desde las que se ha conectado el usuario durante los últimos 30 días.

información del usuario en Defender for Cloud Apps.

Información de dirección IP

Debido a que la información de dirección IP es fundamental para casi todas las investigaciones, puede ver información detallada sobre las direcciones IP en el cajón de actividades. Desde una actividad específica, puedes hacer clic en la pestaña de dirección IP para ver los datos consolidados sobre la dirección IP, incluido el número de alertas abiertas para la dirección IP específica, un gráfico de tendencias de la actividad reciente y un mapa de ubicación. Esto permite explorar en profundidad al investigar alertas de viajes imposibles, por ejemplo. Además, puedes comprender fácilmente dónde se usó la dirección IP y si participó en actividades sospechosas o no. También puede realizar acciones directamente en el cajón de direcciones IP que le permiten etiquetar una dirección IP como de riesgo, VPN o corporativa para facilitar una investigación futura y la creación de directivas.

Para ver la información de dirección IP:

  1. Selecciona la actividad en el Registro de actividades.

  2. Después, selecciona la pestaña Dirección IP.

    Se abrirá la pestaña Dirección IP del espacio de actividades, que ofrece la información siguiente sobre la dirección IP:

    • Alertas abiertas: número de alertas abiertas relacionadas con la dirección IP.

    • Actividades: número de actividades realizadas por la dirección IP durante los últimos 30 días.

    • Ubicación de IP: ubicaciones geográficas desde las cuales se conectó la dirección IP durante los últimos 30 días.

    • Actividades: número de actividades realizadas desde esta dirección IP durante los últimos 30 días.

    • Actividades administrativas: número de actividades administrativas realizadas desde esta dirección IP durante los últimos 30 días. Puede realizar las siguientes acciones en la dirección IP:

      • Etiquetar como IP de empresa y agregar a la lista de permitidas
      • Etiquetar como dirección IP de VPN y agregar a la lista de permitidas
      • Etiquetar como IP de riesgo y agregar a la lista de bloqueadas

Información de direcciones IP en Defender for Cloud Apps.

Nota:

  • Las direcciones IP IPv4 o IPv6 internas auditadas por las aplicaciones en la nube conectadas a la API pueden indicar comunicaciones de servicios internos dentro de la red de la aplicación en la nube y no deben confundirse con las direcciones IP internas de la red de origen desde la que se ha conectado el dispositivo, ya que la aplicación en la nube no está expuesta a las direcciones IP internas de los dispositivos.
  • Para evitar generar alertas de viaje imposibles cuando los empleados se conectan desde sus ubicaciones domésticas a través de la VPN corporativa, se recomienda etiquetar la dirección IP como VPN.

Exportar actividades

Puede exportar todas las actividades de usuario a un archivo CSV.

En el Registro de actividad, en la esquina superior izquierda, haz clic en el botón Exportar.

botón Exportar.

Nota:

En este artículo se presentan los pasos para eliminar los datos personales del dispositivo o el servicio, y pueden utilizarse para cumplir con sus obligaciones en el marco del RGPD. Si desea obtener información general sobre el RGPD, consulte la sección sobre RGPD del Portal de confianza de servicio.

Pasos siguientes

Prácticas recomendadas para proteger su organización

Si tienes algún problema, estamos aquí para ayudar. Para obtener ayuda o soporte técnico para el problema del producto, abre una incidencia de soporte técnico.