Compartir a través de

Introducción a la gobernanza de aplicaciones en Defender for Cloud Apps

  • Artículo

Las soluciones de gobernanza de aplicaciones requieren una comprensión profunda del comportamiento de la aplicación dentro de un entorno para identificar y abordar las actividades que se encuentran dentro de un nivel de tolerancia que requiere más revisión para evaluar la intención malintencionada. Cuando se superpone a Defender for Cloud Apps, la gobernanza de aplicaciones le proporciona una gobernanza detallada frente al comportamiento de las aplicaciones de riesgo en su entorno.

En este artículo se describe cómo empezar a usar las características de gobernanza de aplicaciones en Microsoft Defender for Cloud Apps.

Requisitos previos

Paso 1: Obtener visibilidad e información

Para empezar, siga estos pasos para obtener visibilidad e información sobre las aplicaciones:

  1. Inicio de sesión: en el explorador, vaya a la página de gobernanza de aplicaciones de Microsoft Defender XDR > Cloud Apps>.

  2. Determinar la posición de cumplimiento: use los datos de la pestaña Información general sobre la gobernanza > de aplicaciones para evaluar la posición de cumplimiento de las aplicaciones y los incidentes en el inquilino. Vea detalles como cuántas aplicaciones con privilegios excesivos hay en el inquilino, el número de incidentes activos, el total Graph API acceso a datos, etc.

    Sugerencia

    También puede ver las recomendaciones relacionadas con la gobernanza de aplicaciones en Puntuación segura para ayudarle a administrar holísticamente su posición.

  3. Ver las aplicaciones: ordene los datos en las pestañas Gobernanza de aplicaciones por aplicaciones con un uso elevado de datos o el número de consentimientos dados, o filtre por aplicaciones con privilegios elevados, aplicaciones con permisos no utilizados o publicador no comprobado, etc.

    Use estas opciones de ordenación y filtrado para obtener información más detallada sobre las aplicaciones de OAuth, incluidos los metadatos de aplicación y los datos de uso pertinentes.

  4. Obtener información detallada de la aplicación: en las pestañas Gobernanza de aplicaciones, seleccione una aplicación en la cuadrícula para ver una página de detalles de la aplicación. Investigue el uso de datos de la cuenta de prioridad para una aplicación específica, trace exactamente a qué datos se accede, qué permisos se usan y qué permisos no se usan.

Para obtener más información, consulte Introducción a la visibilidad y la información.

Paso 2: Implementar directivas de aplicación

La gobernanza de aplicaciones usa algoritmos de detección basados en aprendizaje automático para detectar un comportamiento anómalo de la aplicación en su entorno y, a continuación, genera alertas que puede ver, investigar y resolver.

Más allá de esta funcionalidad de detección integrada, use un conjunto de plantillas de directiva predeterminadas o cree sus propias directivas de aplicación para generar otras alertas.

Las directivas para los patrones y comportamientos de aplicaciones y usuarios pueden proteger a los usuarios del uso de aplicaciones no compatibles o malintencionadas, y limitar el acceso de las aplicaciones de riesgo a los datos del inquilino.

La gobernanza de aplicaciones admite los siguientes tipos de directivas:

Tipo de directiva Descripción
Directivas predefinidas La gobernanza de aplicaciones está equipada con un conjunto de directivas predefinidas adaptadas a su entorno. Las directivas predefinidas permiten empezar a supervisar las aplicaciones incluso antes de configurar las directivas. Use directivas predefinidas para asegurarse de que se le notifican las anomalías de la aplicación al principio.
Directivas definidas por el usuario Además de las directivas predefinidas, los administradores también pueden usar las condiciones disponibles para crear sus directivas personalizadas o elegir entre las directivas recomendadas disponibles.

Para ver la lista de directivas de gobernanza de aplicaciones actuales, vaya a la pestaña Directivas de gobernanza > de aplicaciones de Microsoft Defender XDR > Cloud Apps>.

Nota:

Las directivas de detección de amenazas integradas no aparecen en la página Gobernanza de aplicaciones. Para obtener más información, consulte Investigación de alertas de detección de amenazas.

Para implementar directivas de aplicación:

  1. Trabajar con directivas predefinidas: la gobernanza de aplicaciones contiene un conjunto de directivas predefinidas para detectar comportamientos anómalo de la aplicación. Estas directivas se activan de forma predeterminada, pero puede desactivarlas si lo desea.

  2. Crear directivas de aplicación: La gobernanza de aplicaciones ofrece más de 20 condiciones de directiva y plantillas que puede usar. Las directivas de gobernanza de aplicaciones le ayudan a:

    • Especifique las condiciones por las que el gobierno de la aplicación puede alertarle del comportamiento de la aplicación para su corrección automática o manual.

    • Implemente las directivas de cumplimiento de aplicaciones para su organización.

  3. Administrar directivas de aplicación: para mantenerse al día con las aplicaciones más recientes que usa su organización, responder a nuevos ataques basados en aplicaciones y para realizar cambios continuos en las necesidades de cumplimiento de aplicaciones, es posible que tenga que administrar las directivas de aplicación de la siguiente manera:

    • Crear nuevas directivas destinadas a nuevas aplicaciones

    • Cambiar el estado de una directiva existente (activo, inactivo, modo de auditoría)

    • Cambiar las condiciones de una directiva existente

    • Cambiar las acciones de una directiva existente para la autoremediación de alertas

Para obtener más información, consulte Más información sobre las directivas de aplicación.

Paso 3: Detectar y corregir amenazas de aplicaciones

Use la gobernanza de aplicaciones para supervisar las alertas de amenazas generadas por métodos integrados de detección de gobernanza de aplicaciones para actividades malintencionadas de aplicaciones y alertas basadas en directivas generadas por directivas de aplicaciones activas que cree.

Estas alertas pueden indicar anomalías en la actividad de la aplicación y cuando se usan aplicaciones no compatibles, malintencionadas o de riesgo. También puede usar patrones en las alertas para crear nuevas directivas de aplicación o modificar la configuración de las directivas existentes para acciones más restrictivas.

También puede corregir alertas, manualmente después de la investigación o automáticamente a través de la configuración de acción en las directivas de aplicación activas.

Realice cualquiera de los pasos siguientes para detectar y corregir amenazas:

  • Introducción a la detección y corrección de amenazas de aplicaciones: La gobernanza de aplicaciones recopila alertas de amenazas generadas por métodos integrados de detección de gobernanza de aplicaciones controlados por el aprendizaje automático. Las alertas de amenazas se basan en actividades malintencionadas de aplicaciones y alertas basadas en directivas generadas por directivas de aplicación activas que se crean.

  • Supervisión y respuesta a aplicaciones con un uso de datos inusual: La gobernanza de aplicaciones proporciona información de uso de datos que puede ayudarle a identificar actividades de aplicaciones no deseadas y potencialmente malintencionadas.

  • Investigar alertas de detección de anomalías: La gobernanza de aplicaciones proporciona detecciones de seguridad y alertas para actividades malintencionadas. El objetivo de esta guía es proporcionarle información general y práctica sobre cada alerta, para ayudarle en sus tareas de investigación y corrección.

  • Corrección de amenazas de aplicaciones: Corregirá la actividad de aplicación y aplicación dañina identificada por las alertas de gobernanza de aplicaciones en Microsoft Defender XDR.

Para obtener más información, consulte Información sobre la detección y corrección de amenazas de aplicaciones.

Pasos siguientes

Preguntas más frecuentes sobre la gobernanza de aplicaciones