Compartir a través de

Directiva de detección de anomalías de Cloud Discovery

  • Artículo

Una directiva de detección de anomalías de cloud discovery permite configurar y configurar la supervisión continua de aumentos inusuales en el uso de aplicaciones en la nube. Los aumentos en los datos descargados, los datos cargados, las transacciones y los usuarios se tienen en cuenta para cada aplicación en la nube. Cada aumento se compara con el patrón de uso normal de la aplicación, tal como se ha aprendido del uso anterior. Los incrementos más drásticos desencadenarán alertas de seguridad.

En este artículo se describe cómo crear y configurar una directiva de detección de anomalías de detección de nube en Microsoft Defender for Cloud Apps.

Importante

A partir de agosto de 2024, se retira la compatibilidad con anomalías de detección de nube para Microsoft Defender for Cloud Apps. Por lo tanto, el procedimiento heredado presentado en este artículo se proporciona solo con fines informativos. Si desea recibir alertas de seguridad similares a la detección de anomalías, complete los pasos descritos en Crear directiva de detección de aplicaciones.

Creación de una directiva de detección de aplicaciones

Aunque se ha retirado la compatibilidad con la detección de anomalías de cloud discovery, puede recibir alertas de seguridad similares mediante la creación de una directiva de detección de aplicaciones:

  1. En Microsoft Defender Portal, expanda la secciónDirectivas de Cloud Apps> en el menú de la izquierda y seleccione Administración de directivas.

  2. En la página Directivas , seleccione la pestaña Shadow IT .

  3. Expanda el menú desplegable Crear directiva y seleccione la opción Directiva de detección de aplicaciones.

  4. Seleccione la opción Desencadenar una coincidencia de directiva si ocurre lo siguiente en el mismo día :

    Captura de pantalla que muestra cómo seleccionar la opción

  5. Configure los filtros y los valores asociados, como se describe en Creación de una directiva de detección de anomalías.

(Heredado) Creación de una directiva de detección de anomalías

Para cada directiva de detección de anomalías, establezca filtros que le permitan supervisar de forma selectiva el uso de la aplicación. Los filtros están disponibles para la aplicación, las vistas de datos seleccionadas y una fecha de inicio seleccionada. También puede establecer la confidencialidad y especificar cuántas alertas debe desencadenar la directiva.

Siga los pasos para crear una directiva de detección de anomalías de cloud discovery:

  1. En Microsoft Defender Portal, expanda la secciónDirectivas de Cloud Apps> en el menú de la izquierda y seleccione Administración de directivas.

  2. En la página Directivas , seleccione la pestaña Shadow IT .

  3. Expanda el menú desplegable Crear directiva y seleccione la opción de directiva de detección de anomalías de Cloud Discovery :

    Captura de pantalla que muestra cómo seleccionar la opción para crear una nueva directiva de detección de anomalías de cloud discovery.

    Se abre la página Create Cloud Discovery anomaly detection policy (Crear directiva de detección de anomalías de Cloud Discovery ), donde se configuran los parámetros para la directiva que se va a crear.

  4. En la página Crear directiva de detección de anomalías de Cloud Discovery , la opción Plantilla de directiva proporciona una lista de plantillas entre las que puede elegir para usarlas como base para la directiva. De forma predeterminada, la opción se establece en Sin plantilla.

    Si desea basar la directiva en una plantilla, expanda el menú desplegable y seleccione una plantilla:

    • Comportamiento anómalo en los usuarios detectados: alerta cuando se detecta un comportamiento anómalo en usuarios y aplicaciones detectados. Puede usar esta plantilla para comprobar grandes cantidades de datos cargados en comparación con otros usuarios o transacciones de usuario grandes en comparación con el historial del usuario.

    • Comportamiento anómalo de las direcciones IP detectadas: alertas cuando se detecta un comportamiento anómalo en las aplicaciones y direcciones IP detectadas. Puede usar esta plantilla para comprobar grandes cantidades de datos cargados en comparación con otras direcciones IP o transacciones de aplicaciones grandes en comparación con el historial de la dirección IP.

    En la imagen siguiente se muestra cómo seleccionar una plantilla que se usará como base para la nueva directiva en el portal de Microsoft Defender:

    Captura de pantalla que muestra cómo seleccionar una plantilla que se usará como base para la nueva directiva.

  5. Escriba un nombre de directiva y una descripción para la nueva directiva.

  6. Cree un filtro para las aplicaciones que desea supervisar mediante la opción Seleccionar un filtro .

    • Expanda el menú desplegable y elija filtrar todas las aplicaciones coincidentes por etiqueta de aplicación, Aplicaciones y dominio, Categoría, varios factores de riesgo o Puntuación de riesgo.

    • Para crear más filtros, seleccione Agregar un filtro.

    En la imagen siguiente se muestra cómo seleccionar un filtro para que la directiva se aplique a todas las aplicaciones coincidentes en el portal de Microsoft Defender:

    Captura de pantalla que muestra cómo seleccionar un filtro para que la directiva se aplique a todas las aplicaciones coincidentes.

  7. Configure los filtros de uso de la aplicación en la sección Aplicar a :

    1. Use el primer menú desplegable para elegir cómo supervisar informes de uso continuo:

      • Todos los informes continuos (valor predeterminado): compare cada aumento de uso con el patrón de uso normal tal y como se ha aprendido de todas las vistas de datos.

      • Informes continuos específicos: compare cada aumento de uso con el patrón de uso normal. El patrón se aprende de la misma vista de datos donde se observó el aumento.

    2. Use el segundo menú desplegable para especificar asociaciones supervisadas para cada uso de aplicaciones en la nube:

      • Usuarios: omita la asociación del uso de la aplicación con direcciones IP.

      • Direcciones IP: omita la asociación del uso de la aplicación con los usuarios.

      • Usuarios, direcciones IP (valor predeterminado): supervise la asociación del uso de la aplicación por parte de los usuarios y las direcciones IP. Esta opción puede generar alertas duplicadas cuando existe una correspondencia estrecha entre los usuarios y las direcciones IP.

    En la imagen siguiente se muestra cómo configurar filtros de uso de aplicaciones y la fecha de inicio para generar alertas de uso en el portal de Microsoft Defender:

    Captura de pantalla que muestra cómo configurar filtros de uso de aplicaciones y la fecha de inicio para generar alertas de uso.

  8. En la opción Generar alertas solo para las actividades sospechosas que se producen después , escriba la fecha para empezar a generar alertas de uso de la aplicación.

    Se omite cualquier aumento en el uso de la aplicación antes de la fecha de inicio especificada. Sin embargo, los datos de actividad de uso de antes de la fecha de inicio se aprenden para establecer el patrón de uso normal.

  9. En la sección Alertas , configure la confidencialidad de las alertas y las notificaciones. Hay varias maneras de controlar el número de alertas desencadenadas por la directiva:

    • Use el control deslizante Seleccionar confidencialidad de detección de anomalías para desencadenar alertas para las X actividades anómalas principales por cada 1000 usuarios por semana. Desencadenador de alertas para las actividades con mayor riesgo.

    • Seleccione la opción Create an alert for each matching event with the policy's severity (Crear una alerta para cada evento coincidente con la gravedad de la directiva ) y establezca otros parámetros para la alerta:

      • Enviar alerta como correo electrónico: escriba las direcciones de correo electrónico de los mensajes de alerta. Se puede enviar un máximo de 500 mensajes por dirección de correo electrónico al día. El recuento se restablece a medianoche en la zona horaria UTC.

      • Límite diario de alertas por directiva: use el menú desplegable y seleccione el límite deseado. Esta opción restringe el número de alertas que se generan en un solo día al valor especificado.

      • Enviar alertas a Power Automate: elija un cuaderno de estrategias para ejecutar acciones cuando se desencadene una alerta. También puede abrir un nuevo cuaderno de estrategias seleccionando Crear un cuaderno de estrategias en Power Automate.

    • Para establecer la configuración predeterminada de la organización para que use los valores de la configuración Límite diario de alertas y correo electrónico, seleccione Guardar como configuración predeterminada.

    • Para usar la configuración predeterminada de la organización para la configuración de límite de alertas diario y correo electrónico, seleccione Restaurar configuración predeterminada.

    En la imagen siguiente se muestra cómo configurar alertas para la directiva, incluida la confidencialidad, las notificaciones por correo electrónico y un límite diario en el portal de Microsoft Defender:

    Captura de pantalla que muestra cómo configurar alertas, incluida la confidencialidad, el correo electrónico y el límite diario.

  10. Confirme las opciones de configuración y seleccione Crear.

Trabajar con una directiva existente

Al crear una directiva, está habilitada de forma predeterminada. Puede deshabilitar una directiva y realizar otras acciones como Editar y Eliminar.

  1. En la página Directivas , busque la directiva que se va a actualizar en la lista de directivas.

  2. En la lista de directivas, desplácese a la derecha de la fila de directivas y seleccione Más opciones (...).

  3. En el menú emergente, seleccione la acción que se va a realizar en la directiva.

Paso siguiente

Exploración de los procedimientos recomendados para proteger la organización

Si tiene algún problema, estamos aquí para ayudarle. Para obtener ayuda o soporte técnico para el problema del producto, abra una incidencia de soporte técnico.