Guía operativa diaria: Microsoft Defender for Cloud Apps

En este artículo se enumeran las actividades operativas diarias que se recomienda realizar con Defender for Cloud Apps.

Revisión de alertas e incidentes

Las alertas y los incidentes son dos de los elementos más importantes que el equipo de operaciones de seguridad (SOC) debe revisar diariamente.

• Valore periódicamente los incidentes y las alertas de la cola de incidentes en Microsoft Defender XDR, priorizando las alertas de gravedad alta y media.

• Si trabaja con un sistema SIEM, el sistema SIEM suele ser la primera parada para la evaluación de prioridades. Los sistemas SIEM proporcionan más contexto con registros adicionales y funcionalidad SOAR. A continuación, use Microsoft Defender XDR para comprender mejor una escala de tiempo de alertas o incidentes.

Evaluar los incidentes de Microsoft Defender XDR

Dónde: en Microsoft Defender XDR, seleccione Incidentes & alertas

Persona: analistas de SOC

Al evaluar los incidentes:

1. En el panel de incidentes, filtre por los siguientes elementos:

   Filtro	Valores
   Estado	Nuevo, En curso
   Gravedad	Alto, Medio, Bajo
   Origen del servicio	Mantenga todos los orígenes de servicio comprobados. Mantener todo el origen de servicio activado debe mostrar las alertas con la mayor fidelidad, con correlación entre otras cargas de trabajo de Microsoft XDR. Seleccione Defender for Cloud Apps para ver los elementos que proceden específicamente de Defender for Cloud Apps.

2. Seleccione cada incidente para revisar todos los detalles. Revise todas las pestañas del incidente, el registro de actividad y la búsqueda avanzada.

   En la pestaña Evidencia y respuesta del incidente, seleccione cada elemento de evidencia. Seleccione el menú > de opciones Investigar y, a continuación, seleccione Registro de actividad o Buscar según sea necesario.

3. Evaluar los incidentes. Para cada incidente, seleccione Administrar incidente y, a continuación, seleccione una de las siguientes opciones:

   • Verdadero positivo
   • Falso positivo
   • Actividad informativa y esperada

   Para las alertas verdaderas, especifique el tipo de tratamiento para ayudar al equipo de seguridad a ver los patrones de amenazas y defender su organización del riesgo.

4. Cuando esté listo para iniciar la investigación activa, asigne el incidente a un usuario y actualice el estado del incidente a En curso.

5. Cuando se corrija el incidente, resolverlo para resolver todas las alertas activas vinculadas y relacionadas.

Para más información, vea:

• Priorización de incidentes en Microsoft Defender XDR
• Investigación de alertas en Microsoft Defender XDR
• Cuadernos de estrategias de respuesta a incidentes
• Investigación de alertas de detección de anomalías
• Administración de alertas de gobernanza de aplicaciones
• Investigación de alertas de detección de amenazas

Evaluación de los incidentes desde el sistema SIEM

Persona: analistas de SOC

Requisitos previos: debe estar conectado a un sistema SIEM y se recomienda la integración con Microsoft Sentinel. Para más información, vea:

• integración Microsoft Sentinel (versión preliminar)
• Conexión de datos de Microsoft Defender XDR a Microsoft Sentinel
• Integración de SIEM genérica

La integración de Microsoft Defender XDR con Microsoft Sentinel permite transmitir todos los incidentes de Microsoft Defender XDR en Microsoft Sentinel y mantenerlos sincronizados entre ambos portales. Microsoft Defender XDR incidentes en Microsoft Sentinel incluyen todas las alertas, entidades e información pertinente asociadas, lo que proporciona contexto suficiente para evaluar y ejecutar una investigación preliminar.

Una vez en Microsoft Sentinel, los incidentes permanecen sincronizados con Microsoft Defender XDR para que pueda usar las características de ambos portales en la investigación.

• Al instalar el conector de datos de Microsoft Sentinel para Microsoft Defender XDR, asegúrese de incluir la opción Microsoft Defender for Cloud Apps.
• Considere la posibilidad de usar una API de streaming para enviar datos a un centro de eventos, donde se pueden consumir a través de cualquier SIEM asociado con un conector del centro de eventos o colocarse en Azure Storage.

Para más información, vea:

• integración Microsoft Defender XDR con Microsoft Sentinel
• Navegar e investigar incidentes en Microsoft Sentinel
• Creación de reglas de análisis personalizadas para detectar amenazas

Revisión de los datos de detección de amenazas

Dónde: En el portal de Microsoft Defender XDR, seleccione:

• Alertas de & incidentes
• Detección de amenazas de administración de directivas de directivas > de aplicaciones >> en la nube
• Aplicaciones en la nube > de Oauth

Persona: administradores de seguridad y analistas de SOC

La detección de amenazas de aplicaciones en la nube es donde muchos analistas de SOC centran sus actividades diarias, identificando a los usuarios de alto riesgo que muestran un comportamiento anómalo.

Defender for Cloud Apps detección de amenazas usa datos de inteligencia sobre amenazas y de investigación de seguridad de Microsoft. Las alertas están disponibles en Microsoft Defender XDR y se deben evaluar periódicamente.

Cuando los administradores de seguridad y los analistas de SOC se ocupan de las alertas, controlan los siguientes tipos principales de directivas de detección de amenazas:

• Directivas de actividad
• Directivas de detección de anomalías
• Directivas de OAuth y directivas de gobernanza de aplicaciones

Persona: Administrador de seguridad

Asegúrese de crear las directivas de protección contra amenazas necesarias para su organización, incluido el control de los requisitos previos.

Revisión de la gobernanza de aplicaciones

Dónde: En el portal de Microsoft Defender XDR, seleccione:

• Alertas de & incidentes
• Alertas de & de incidentes/gobernanza de aplicaciones

Persona: analistas de SOC

La gobernanza de aplicaciones ofrece visibilidad y control detallados sobre las aplicaciones de OAuth. La gobernanza de aplicaciones ayuda a combatir campañas cada vez más sofisticadas que aprovechan las aplicaciones implementadas en el entorno local y en infraestructuras en la nube, estableciendo un punto de partida para la escalación de privilegios, el movimiento lateral y la filtración de datos.

La gobernanza de aplicaciones se proporciona junto con Defender for Cloud Apps. Las alertas también están disponibles en Microsoft Defender XDR y se deben evaluar periódicamente.

Para más información, vea:

• Alertas de detección
• Investigación de alertas de directiva de aplicaciones predefinidas
• Investigación y corrección de aplicaciones de OAuth de riesgo

Página de información general de comprobación de la gobernanza de aplicaciones

Dónde: En el portal de Microsoft Defender XDR, seleccione:

• Alertas de & incidentes
• Introducción a la gobernanza de > aplicaciones > en la nube

Persona: analistas de SOC y administrador de seguridad

Se recomienda ejecutar una evaluación rápida y diaria de la posición de cumplimiento de las aplicaciones y los incidentes. Por ejemplo, compruebe los detalles siguientes:

• Número de aplicaciones con privilegios excesivos o con privilegios elevados
• Aplicaciones con un publicador no comprobado
• Uso de datos para servicios y recursos a los que se accedió mediante Graph API
• Número de aplicaciones que accedieron a datos con las etiquetas de confidencialidad más comunes
• Número de aplicaciones que accedieron a datos con y sin etiquetas de confidencialidad en los servicios de Microsoft 365
• Introducción a los incidentes relacionados con la gobernanza de aplicaciones

En función de los datos que revise, es posible que quiera crear nuevas directivas de gobernanza de aplicaciones o ajustarla.

Para más información, vea:

• Ver y administrar incidentes y alertas
• Visualización de los detalles de la aplicación con la gobernanza de la aplicación
• Cree directivas de aplicación en la gobernanza de aplicaciones.

Revisión de los datos de la aplicación OAuth

Dónde: En el portal de Microsoft Defender XDR, seleccione:

• Alertas de & incidentes
• Gobernanza > de aplicaciones > en la nube de Azure AD

Se recomienda comprobar la lista de aplicaciones habilitadas para OAuth diariamente, junto con los metadatos de la aplicación y los datos de uso pertinentes. Seleccione una aplicación para ver información e información más detalladas.

La gobernanza de aplicaciones usa algoritmos de detección basados en aprendizaje automático para detectar un comportamiento anómalo de la aplicación en el inquilino de Microsoft Defender XDR y genera alertas que puede ver, investigar y resolver. Además de esta funcionalidad de detección integrada, puede usar un conjunto de plantillas de directiva predeterminadas o crear sus propias directivas de aplicación que generen otras alertas.

Para más información, vea:

• Ver y administrar incidentes y alertas
• Visualización de los detalles de la aplicación con la gobernanza de la aplicación
• Obtener información detallada sobre una aplicación

Creación y administración de directivas de gobernanza de aplicaciones

Dónde: en Microsoft Defender XDR Portal, seleccione Directivas de gobernanza > de aplicaciones > en la nube

Persona: Administradores de seguridad

Se recomienda comprobar las aplicaciones de OAuth diariamente para obtener visibilidad y control detallados normales. Genere alertas basadas en algoritmos de aprendizaje automático y cree directivas de aplicación para la gobernanza de aplicaciones.

Para más información, vea:

• Creación de directivas de aplicaciones en la gobernanza de aplicaciones
• Administrar directivas de aplicación

Revisión del control de aplicación de acceso condicional

Dónde: En el portal de Microsoft Defender XDR, seleccione:

• Alertas de & incidentes
• Acceso condicional de administración de directivas de directivas de aplicaciones >> en la > nube

Para configurar el control de aplicaciones de acceso condicional, seleccione Configuración Aplicaciones > en la nube > Control de aplicaciones de acceso condicional

Persona: Administrador de seguridad

El control de aplicaciones de acceso condicional le proporciona la capacidad de supervisar y controlar el acceso y las sesiones de la aplicación de usuario en tiempo real, en función de las directivas de acceso y sesión.

Las alertas generadas están disponibles en Microsoft Defender XDR y se deben evaluar periódicamente.

De forma predeterminada, no hay ninguna directiva de acceso o sesión implementada y, por lo tanto, no hay alertas relacionadas disponibles. Puede incorporar cualquier aplicación web para trabajar con controles de acceso y sesión, Microsoft Entra ID aplicaciones se incorporan automáticamente. Se recomienda crear directivas de sesión y acceso según sea necesario para su organización.

Para más información, vea:

• Ver y administrar incidentes y alertas
• Protección de aplicaciones con Microsoft Defender for Cloud Apps control de aplicaciones de acceso condicional
• Bloquear y proteger la descarga de datos confidenciales en dispositivos no administrados o de riesgo
• Proteger la colaboración con usuarios externos aplicando controles de sesión en tiempo real

Persona: administrador de SOC

Se recomienda revisar las alertas de control de aplicaciones de acceso condicional diariamente y el registro de actividad. Filtre los registros de actividad por origen, control de acceso y control de sesión.

Para obtener más información, consulte Revisión de alertas e incidentes.

Revisión de shadow IT: cloud discovery

Dónde: En el portal de Microsoft Defender XDR, seleccione:

• Alertas de & incidentes
• Cloud apps > Cloud Discovery/Catálogo de aplicaciones en la nube
• Administración de directivas de directivas de > aplicaciones >> en la nube Shadow IT

Persona: Administradores de seguridad

Defender para aplicaciones en la nube analiza los registros de tráfico en el catálogo de aplicaciones en la nube de más de 31 000 aplicaciones en la nube. Las aplicaciones se clasifican y puntúan en función de más de 90 factores de riesgo para proporcionar visibilidad continua sobre el uso en la nube, Shadow IT y los riesgos que Shadow IT supone para su organización.

Las alertas relacionadas con la detección de la nube están disponibles en Microsoft Defender XDR y se deben evaluar periódicamente.

Cree directivas de detección de aplicaciones para empezar a alertar y etiquetar las aplicaciones recién detectadas en función de determinadas condiciones, como puntuaciones de riesgo, categorías y comportamientos de la aplicación, como el tráfico diario y los datos descargados.

Sugerencia

Se recomienda integrar Defender for Cloud Apps con Microsoft Defender para punto de conexión para detectar aplicaciones en la nube más allá de la red corporativa o puertas de enlace seguras y aplicar acciones de gobernanza en los puntos de conexión.

Para más información, vea:

• Ver y administrar incidentes y alertas
• Directivas de detección de nube
• Creación de directivas de detección de nube
• Configuración de la detección en la nube
• Descubrir y evaluar aplicaciones en la nube

Persona: administradores de seguridad y cumplimiento, analistas de SOC

Si tiene un gran número de aplicaciones detectadas, es posible que desee usar las opciones de filtrado para obtener más información sobre las aplicaciones detectadas.

Para obtener más información, consulte Filtros y consultas de aplicaciones detectadas en Microsoft Defender for Cloud Apps.

Revisión del panel de detección de nube

Dónde: en Microsoft Defender XDR Portal, seleccione Cloud apps Cloud discovery Dashboard (Panel de detección > de nube de aplicaciones > en la nube).

Persona: administradores de seguridad y cumplimiento, analistas de SOC

Se recomienda revisar el panel de detección de nube diariamente. El panel de detección de la nube está diseñado para proporcionarle más información sobre cómo se usan las aplicaciones en la nube en su organización, con una visión general de los niños de las aplicaciones que se usan, las alertas abiertas y los niveles de riesgo de las aplicaciones de su organización.

En el panel de detección de nube:

1. Use los widgets de la parte superior de la página para comprender el uso general de la aplicación en la nube.

2. Filtre los gráficos del panel para generar vistas específicas, en función de su interés. Por ejemplo:

   • Comprenda las principales categorías de aplicaciones que se usan en su organización, especialmente para las aplicaciones autorizadas.
   • Revise las puntuaciones de riesgo de las aplicaciones detectadas.
   • Filtre las vistas para ver las principales aplicaciones en categorías específicas.
   • Vea los principales usuarios y direcciones IP para identificar a los usuarios que son los usuarios más dominantes de las aplicaciones en la nube de su organización.
   • Vea los datos de la aplicación en un mapa del mundo para comprender cómo se propagan las aplicaciones detectadas por ubicación geográfica.

Después de revisar la lista de aplicaciones detectadas en su entorno, se recomienda proteger el entorno mediante la aprobación de aplicaciones seguras (aplicaciones autorizadas ), la prohibición de aplicaciones no deseadas (aplicaciones no autorizadas ) o la aplicación de etiquetas personalizadas.

Es posible que también quiera revisar y aplicar etiquetas de forma proactiva a las aplicaciones disponibles en el catálogo de aplicaciones en la nube antes de que se detecten en su entorno. Para ayudarle a controlar esas aplicaciones, cree directivas de detección de nube relevantes, desencadenadas por etiquetas específicas.

Para más información, vea:

• Trabajar con datos de detección
• Trabajar con aplicaciones detectadas

Sugerencia

En función de la configuración del entorno, puede beneficiarse del bloqueo automático y sin problemas, o incluso de las características de advertencia y educación proporcionadas por Microsoft Defender para punto de conexión. Para obtener más información, consulte Integración de Microsoft Defender para punto de conexión con Microsoft Defender for Cloud Apps.

Revisión de la protección de la información

Dónde: En el portal de Microsoft Defender XDR, seleccione:

• Alertas de & incidentes
• Archivos de aplicaciones en la nube >
• Protección de la información de administración de directivas de directivas de > aplicaciones >> en la nube

Persona: administradores de seguridad y cumplimiento, analistas de SOC

Defender for Cloud Apps las alertas y las directivas de archivos le permiten aplicar una amplia gama de procesos automatizados. Cree directivas para proporcionar protección de la información, incluidos los exámenes de cumplimiento continuo, las tareas legales de eDiscovery y la protección contra pérdida de datos (DLP) para el contenido confidencial compartido públicamente.

Además de evaluar las alertas y los incidentes, se recomienda que los equipos de SOC ejecuten consultas y acciones proactivas adicionales. En la página Archivos de aplicaciones > en la nube, busque las siguientes preguntas:

• ¿Cuántos archivos se comparten públicamente para que cualquiera pueda acceder a ellos sin un vínculo?
• ¿A qué asociados va a compartir archivos mediante el uso compartido saliente?
• ¿Algún archivo tiene nombres confidenciales?
• ¿Se comparte alguno de los archivos con la cuenta personal de alguien?

Use los resultados de estas consultas para ajustar las directivas de archivo existentes o crear nuevas directivas.

Para más información, vea:

• Ver y administrar incidentes y alertas
• Directivas de protección de la información.

Contenido relacionado

guía operativa de Microsoft Defender for Cloud Apps