Creación de directivas de detección de anomalías Defender for Cloud Apps

Las directivas de detección de anomalías Microsoft Defender for Cloud Apps proporcionan análisis de comportamiento de usuarios y entidades (UEBA) y aprendizaje automático (ML) de forma que esté listo desde el principio para ejecutar la detección avanzada de amenazas en el entorno de nube. Dado que se habilitan automáticamente, las nuevas directivas de detección de anomalías inician inmediatamente el proceso de detección y intercalación de resultados, que tiene como destino numerosas anomalías de comportamiento entre los usuarios y las máquinas y dispositivos conectados a la red. Además, las directivas exponen más datos del motor de detección de Defender for Cloud Apps para ayudarle a acelerar el proceso de investigación y contener amenazas en curso.

Las directivas de detección de anomalías se habilitan automáticamente, pero Defender for Cloud Apps tiene un período de aprendizaje inicial de siete días durante los cuales no se generan todas las alertas de detección de anomalías. Después, a medida que se recopilan datos de los conectores de API configurados, cada sesión se compara con la actividad, cuando los usuarios estaban activos, las direcciones IP, los dispositivos, etc., detectados durante el último mes y la puntuación de riesgo de estas actividades. Tenga en cuenta que los datos pueden tardar varias horas en estar disponibles en los conectores de API. Estas detecciones forman parte del motor de detección de anomalías heurísticas que perfila el entorno y desencadena alertas con respecto a una línea base que se ha aprendido en la actividad de la organización. Estas detecciones también usan algoritmos de aprendizaje automático diseñados para generar perfiles de los usuarios y el patrón de inicio de sesión con el fin de reducir los falsos positivos.

Las anomalías se detectan mediante el examen de la actividad del usuario. El riesgo se evalúa examinando más de 30 indicadores de riesgo diferentes, agrupados en factores de riesgo, como se indica a continuación:

• Dirección IP arriesgada
• Errores de inicio de sesión
• Actividad administrativa
• Cuentas inactivas
• Ubicación
• Desplazamiento imposible
• Agente de dispositivo y de usuario
• Tasa de actividad

En función de los resultados de la directiva, se desencadenan alertas de seguridad. Defender for Cloud Apps examina cada sesión de usuario en la nube y le avisa cuando ocurre algo que es diferente de la línea base de la organización o de la actividad regular del usuario.

Además de las alertas de Defender for Cloud Apps nativas, también obtendrá las siguientes alertas de detección en función de la información recibida de Protección de Microsoft Entra ID:

• Credenciales filtradas: se desencadena cuando se han filtrado las credenciales válidas de un usuario. Para obtener más información, consulte detección de credenciales filtradas de Microsoft Entra ID.
• Inicio de sesión de riesgo: combina varias detecciones de inicio de sesión Protección de Microsoft Entra ID en una única detección. Para obtener más información, consulte detecciones de riesgos de inicio de sesión de Microsoft Entra ID.

Estas directivas aparecerán en la página directivas de Defender for Cloud Apps y se pueden habilitar o deshabilitar.

Directivas de detección de anomalías

Para ver las directivas de detección de anomalías en Microsoft Defender Portal, vaya a Aplicaciones en la nube ->Directivas ->Administración de directivas. A continuación, elija Directiva de detección de anomalías para el tipo de directiva.

Están disponibles las siguientes directivas de detección de anomalías:

Desplazamiento imposible

• • Esta detección identifica dos actividades de usuario (en una sola o varias sesiones) que se originan en ubicaciones geográficamente distantes dentro de un período de tiempo menor que el tiempo que habría tardado el usuario en viajar de la primera ubicación a la segunda, lo que indica que un usuario diferente usa las mismas credenciales. Esta detección usa un algoritmo de aprendizaje automático que omite los "falsos positivos" obvios que contribuyen a la condición de viaje imposible, como las VPN y las ubicaciones que usan regularmente otros usuarios de la organización. La detección tiene un período de aprendizaje inicial de siete días durante los cuales aprende el patrón de actividad de un nuevo usuario. La detección de viajes imposible identifica la actividad de usuario inusual e imposible entre dos ubicaciones. La actividad debe ser lo suficientemente inusual como para considerarse un indicador de peligro y digno de una alerta. Para que esto funcione, la lógica de detección incluye diferentes niveles de supresión para abordar escenarios que pueden desencadenar falsos positivos, como actividades de VPN o actividad de proveedores de nube que no indican una ubicación física. El control deslizante de confidencialidad permite afectar al algoritmo y definir qué tan estricta es la lógica de detección. Cuanto mayor sea el nivel de confidencialidad, menos actividades se suprimirán como parte de la lógica de detección. De este modo, puede adaptar la detección según sus necesidades de cobertura y sus destinos de SNR.

    Nota:

    • Cuando las direcciones IP de ambos lados del viaje se consideran seguras y el control deslizante de confidencialidad no está establecido en Alto, el viaje es de confianza y se excluye de desencadenar la detección de viajes imposibles. Por ejemplo, ambos lados se consideran seguros si se etiquetan como corporativos. Sin embargo, si la dirección IP de un solo lado del viaje se considera segura, la detección se desencadena con normalidad.
    • Las ubicaciones se calculan en un nivel de país o región. Esto significa que no habrá alertas para dos acciones que se originarán en el mismo país o región o en países o regiones limítrofanos.

Actividad desde países o regiones poco frecuentes

• Esta detección tiene en cuenta las ubicaciones de actividad pasadas para determinar las ubicaciones nuevas y poco frecuentes. El motor de detección de anomalías almacena información sobre las ubicaciones anteriores usadas por el usuario. Se desencadena una alerta cuando se produce una actividad desde una ubicación que el usuario no visitó recientemente o nunca. Para reducir las alertas de falsos positivos, la detección suprime las conexiones que se caracterizan por preferencias comunes para el usuario.

Detección de malware

Esta detección identifica archivos malintencionados en el almacenamiento en la nube, tanto si proceden de aplicaciones de Microsoft como de aplicaciones de terceros. Microsoft Defender for Cloud Apps usa la inteligencia sobre amenazas de Microsoft para reconocer si determinados archivos que coinciden con la heurística de riesgos, como el tipo de archivo y el nivel de uso compartido, están asociados a ataques de malware conocidos y son potencialmente malintencionados. Esta directiva integrada está deshabilitada forma predeterminada Una vez detectados los archivos malintencionados, puede ver una lista de archivos infectados. Seleccione el nombre de archivo de malware en el cajón de archivos para abrir un informe de malware que le proporcione información sobre el tipo de malware con el que está infectado el archivo.

Use esta detección para controlar las cargas y descargas de archivos en tiempo real con directivas de sesión.

Espacio aislado de archivos

Al habilitar el espacio aislado de archivos, los archivos que según sus metadatos y en función de la heurística propietaria sean potencialmente peligrosos, también se examinarán en un entorno seguro. El examen del espacio aislado puede detectar archivos que no se detectaron en función de orígenes de inteligencia sobre amenazas.

Defender for Cloud Apps admite la detección de malware para las siguientes aplicaciones:

• Box
• Dropbox
• Google Workspace

Nota:

• El espacio aislado de forma proactiva se realizará en aplicaciones de terceros (Box, Dropbox , etc.). En Los archivos de OneDrive y SharePoint se examinan y se encuentran en espacio aislado como parte del propio servicio.
• En Box, Dropbox y Google Workspace, Defender for Cloud Apps no bloquea automáticamente el archivo, pero el bloqueo puede realizarse según las funcionalidades de la aplicación y la configuración de la aplicación establecida por el cliente.
• Si no está seguro de si un archivo detectado es realmente malware o un falso positivo, vaya a la página de Inteligencia de seguridad de Microsoft en https://www.microsoft.com/wdsi/filesubmission y envíe el archivo para su posterior análisis.

Actividad desde direcciones IP anónimas

• Esta detección identifica que los usuarios estaban activos desde una dirección IP que se ha identificado como una dirección IP de proxy anónimo. Estos servidores proxy los usan las personas que quieren ocultar la dirección IP de su dispositivo y pueden usarse para intenciones malintencionadas. Esta detección usa un algoritmo de aprendizaje automático que reduce los "falsos positivos", como las direcciones IP mal etiquetadas que usan ampliamente los usuarios de la organización.

Actividad de ransomware

• Defender for Cloud Apps ampliado sus capacidades de detección de ransomware con la detección de anomalías para garantizar una cobertura más completa contra ataques ransomware sofisticados. Con nuestra experiencia en investigación de seguridad para identificar patrones de comportamiento que reflejan la actividad de ransomware, Defender for Cloud Apps garantiza una protección holística y sólida. Si Defender for Cloud Apps identifica, por ejemplo, una alta tasa de cargas de archivos o actividades de eliminación de archivos, puede representar un proceso de cifrado adverso. Estos datos se recopilan en los registros recibidos de las API conectadas y, a continuación, se combinan con patrones de comportamiento aprendidos e inteligencia sobre amenazas, por ejemplo, extensiones de ransomware conocidas. Para obtener más información sobre cómo Defender for Cloud Apps detecta ransomware, consulte Protección de su organización contra ransomware.

Actividad realizada por un usuario no autorizado

• Esta detección le permite identificar cuándo un empleado terminado continúa realizando acciones en las aplicaciones SaaS. Dado que los datos muestran que el mayor riesgo de amenaza interna proviene de los empleados que se fueron en malos términos, es importante mantener un ojo sobre la actividad en las cuentas de los empleados terminados. A veces, cuando los empleados dejan una empresa, sus cuentas se desaprovisionan desde aplicaciones corporativas, pero en muchos casos siguen conservando el acceso a determinados recursos corporativos. Esto es aún más importante cuando se tienen en cuenta las cuentas con privilegios, ya que el posible daño que puede hacer un administrador anterior es inherentemente mayor. Esta detección aprovecha la capacidad Defender for Cloud Apps de supervisar el comportamiento del usuario en todas las aplicaciones, lo que permite identificar la actividad regular del usuario, el hecho de que se eliminó la cuenta y la actividad real en otras aplicaciones. Por ejemplo, un empleado cuya cuenta de Microsoft Entra se eliminó, pero que todavía tiene acceso a la infraestructura corporativa de AWS, puede causar daños a gran escala.

La detección busca usuarios cuyas cuentas se eliminaron en Microsoft Entra ID, pero siguen realizando actividades en otras plataformas como AWS o Salesforce. Esto es especialmente relevante para los usuarios que usan otra cuenta (no su cuenta de inicio de sesión único principal) para administrar recursos, ya que estas cuentas a menudo no se eliminan cuando un usuario deja la empresa.

Actividad desde direcciones IP sospechosas

• Esta detección identifica que los usuarios estaban activos desde una dirección IP identificada como de riesgo por Microsoft Threat Intelligence. Estas direcciones IP están implicadas en actividades malintencionadas, como la difusión de contraseñas, Botnet C&C, y pueden indicar una cuenta en peligro. Esta detección usa un algoritmo de aprendizaje automático que reduce los "falsos positivos", como las direcciones IP mal etiquetadas que usan ampliamente los usuarios de la organización.

Reenvío sospechoso de la bandeja de entrada

• Esta detección busca reglas de reenvío de correo electrónico sospechosas, por ejemplo, si un usuario creó una regla de bandeja de entrada que reenvía una copia de todos los correos electrónicos a una dirección externa.

Nota:

Defender for Cloud Apps solo le alerta por cada regla de reenvío que se identifica como sospechosa, en función del comportamiento típico del usuario.

Reglas sospechosas de manipulación de la bandeja de entrada

• Esta detección genera perfiles de su entorno y desencadena alertas cuando se establecen reglas sospechosas que eliminan o mueven mensajes o carpetas en la bandeja de entrada de un usuario. Esto puede indicar que la cuenta del usuario está en peligro, que los mensajes se ocultan intencionadamente y que el buzón se usa para distribuir correo no deseado o malware en su organización.

Actividad sospechosa de eliminación de correo electrónico (versión preliminar)

• Esta directiva genera perfiles en el entorno y desencadena alertas cuando un usuario realiza actividades sospechosas de eliminación de correo electrónico en una sola sesión. Esta directiva puede indicar que los buzones de correo de un usuario pueden verse comprometidos por posibles vectores de ataque, como la comunicación de comandos y control (C&C/C2) por correo electrónico.

Nota:

Defender for Cloud Apps se integra con Microsoft Defender XDR para proporcionar protección para Exchange Online, incluida la detonación de direcciones URL, la protección contra malware, etc. Una vez habilitado Defender para Microsoft 365, comenzará a ver alertas en el registro de actividad de Defender for Cloud Apps.

Actividades sospechosas de descarga de archivos de aplicaciones de OAuth

• Examina las aplicaciones de OAuth conectadas a su entorno y desencadena una alerta cuando una aplicación descarga varios archivos de Microsoft SharePoint o Microsoft OneDrive de forma inusual para el usuario. Esto puede indicar que la cuenta de usuario está en peligro.

ISP inusual para una aplicación de OAuth

• Esta directiva perfila el entorno y desencadena alertas cuando una aplicación de OAuth se conecta a las aplicaciones en la nube desde un ISP poco común. Esta directiva puede indicar que un atacante intentó usar una aplicación legítima en peligro para realizar actividades malintencionadas en las aplicaciones en la nube.

Actividades inusuales (por usuario)

Estas detecciones identifican a los usuarios que realizan lo siguiente:

• Actividades inusuales de descarga de archivos múltiples
• Actividades de recursos compartidos de archivos inusuales
• Actividades inusuales de eliminación de archivos
• Actividades suplantadas inusuales
• Actividades administrativas inusuales
• Actividades inusuales de uso compartido de informes de Power BI (versión preliminar)
• Actividades inusuales de creación de varias máquinas virtuales (versión preliminar)
• Actividades inusuales de eliminación de almacenamiento múltiple (versión preliminar)
• Región inusual para el recurso en la nube (versión preliminar)
• Acceso a archivos inusual

Estas directivas buscan actividades dentro de una sola sesión con respecto a la línea base aprendida, lo que podría indicar un intento de infracción. Estas detecciones aprovechan un algoritmo de aprendizaje automático que perfila el patrón de inicio de sesión de los usuarios y reduce los falsos positivos. Estas detecciones forman parte del motor de detección de anomalías heurísticas que perfila el entorno y desencadena alertas con respecto a una línea base que se ha aprendido en la actividad de la organización.

Intentos de varios inicios de sesión fallidos

• Esta detección identifica a los usuarios que no pudieron realizar varios intentos de inicio de sesión en una sola sesión con respecto a la línea base aprendida, lo que podría indicar un intento de infracción.

Actividades de eliminación de varias máquinas virtuales

• Esta directiva genera perfiles en el entorno y desencadena alertas cuando los usuarios eliminan varias máquinas virtuales en una sola sesión, en relación con la línea base de su organización. Esto podría indicar un intento de vulneración.

Habilitación de la gobernanza automatizada

Puede habilitar acciones de corrección automatizadas en las alertas generadas por las directivas de detección de anomalías.

1. Seleccione el nombre de la directiva de detección en la página Directivas .
2. En la ventana Editar directiva de detección de anomalías que se abre, en Acciones de gobernanza , establezca las acciones de corrección que desea para cada aplicación conectada o para todas las aplicaciones.
3. Seleccione Actualizar.

Ajuste de las directivas de detección de anomalías

Para afectar al motor de detección de anomalías para suprimir o exponer alertas según sus preferencias:

• En la directiva Viaje imposible, puede establecer el control deslizante de confidencialidad para determinar el nivel de comportamiento anómalo necesario antes de que se desencadene una alerta. Por ejemplo, si lo establece en bajo o medio, suprimirá las alertas de Viaje imposible de las ubicaciones comunes de un usuario y, si la establece en alta, se mostrarán dichas alertas. Puede elegir entre los siguientes niveles de confidencialidad:

  • Bajo: supresión del sistema, inquilino y usuario

  • Medio: supresión del sistema y del usuario

  • Alto: solo supresiones del sistema

    Donde:

    Tipo de supresión	Descripción
    Sistema	Detecciones integradas que siempre se suprimirán.
    Espacio empresarial	Actividades comunes basadas en actividades previas del espacio empresarial. Por ejemplo, suprimir las actividades de un ISP en el que se ha alertado previamente en su organización.
    Usuario	Actividades comunes basadas en actividades anteriores de un usuario específico. Por ejemplo, suprimir las actividades de una ubicación que el usuario usa habitualmente.

Nota:

Los viajes imposibles, la actividad de países o regiones poco frecuentes, la actividad de direcciones IP anónimas y la actividad de alertas de direcciones IP sospechosas no se aplican a inicios de sesión con errores ni a inicios de sesión no interactivos.

Directivas de detección de anomalías de ámbito

Cada directiva de detección de anomalías puede tener un alcance independiente para que se aplique solo a los usuarios y grupos que se desea incluir y excluir en la directiva. Por ejemplo, puede configurar la Detección de actividad de condado poco frecuente para que ignore a un usuario concreto que viaja con frecuencia.

Para detectar una directiva de detección anómala:

1. En Microsoft Defender Portal, vaya a Aplicaciones en la nube ->Directivas ->Administración de directivas. A continuación, elija Directiva de detección de anomalías para el tipo de directiva.

2. Seleccione la directiva que desee.

3. En Ámbito, cambie la lista desplegable de la configuración predeterminada de Todos los usuarios y grupos a Usuarios y grupos específicos.

4. Seleccione Incluir para especificar los usuarios y grupos a los que se aplicará esta directiva. Cualquier usuario o grupo no seleccionado aquí no se considerará una amenaza y no generará una alerta.

5. Seleccione Excluir para especificar los usuarios a los que no se aplicará esta directiva. Cualquier usuario seleccionado aquí no se considerará una amenaza y no generará una alerta, incluso si son miembros de grupos seleccionados en Incluir.

   

Evaluación de alertas de detección de anomalías

Puede evaluar las distintas alertas desencadenadas por las nuevas directivas de detección de anomalías rápidamente y decidir cuáles deben cuidarse primero. Para ello, necesita el contexto de la alerta, de modo que pueda ver el panorama más general y comprender si realmente está sucediendo algo malintencionado.

1. En el registro de actividad, puede abrir una actividad para mostrar el cajón de actividad. Seleccione Usuario para ver la pestaña conclusiones de usuario. Esta pestaña incluye información como el número de alertas, actividades y desde dónde se han conectado, lo que es importante en una investigación.

   

2. En el caso de los archivos infectados por malware, después de que se detecten los archivos, puede ver una lista de archivos infectados. Seleccione el nombre de archivo de malware en el cajón de archivos para abrir un informe de malware que le proporcione información sobre ese tipo de malware con el que está infectado el archivo.

Vídeos relacionados

Seminario web de protección contra amenazas

Pasos siguientes

Procedimientos recomendados para proteger su organización

Si tiene algún problema, estamos aquí para ayudarle. Para obtener ayuda o soporte técnico para el problema del producto, abra una incidencia de soporte técnico.