Compartir a través de

Guía operativa mensual: Microsoft Defender for Cloud Apps

  • Artículo

En este artículo se enumeran las actividades operativas mensuales que se recomienda realizar con Microsoft Defender for Cloud Apps.

Las actividades mensuales se pueden realizar con más frecuencia o según sea necesario, en función del entorno y las necesidades.

Revisión de las evaluaciones de directivas

Dónde: en Microsoft Defender XDR Portal, seleccione Administración de directivas de directivas > de aplicaciones > en la nube.

Persona: administradores de seguridad y cumplimiento

Revise las directivas y realice las actualizaciones necesarias para asegurarse de que siguen siendo adecuadas para su organización.

  • Compruebe si hay tasas de falsos positivos y verdaderos positivos benignos, y ajuste las directivas donde las tasas son demasiado altas. Por ejemplo, asegúrese de que cualquier nueva dirección IP corporativa esté configurada correctamente en la configuración de Defender for Cloud Apps para evitar falsos positivos de viaje imposibles.

  • Revise las necesidades empresariales y evalúe los requisitos de las directivas personalizadas. Por ejemplo, ¿sigue siendo relevante la amenaza detectada por cada directiva? ¿O hay una nueva solución integrada para detectar esa amenaza?

  • Borrar alertas antiguas. Por ejemplo:

    1. Ver alertas de los últimos seis meses. Filtre las alertas marcadas como Resueltas y agrupe alertas similares para que la visualización sea más sencilla.
    2. Compruebe por qué no se aborda cada alerta mostrada.
    3. Si las alertas son benignas, úselas y ajuste las directivas según sea necesario.

Para obtener más información, consulte Control de aplicaciones en la nube con directivas.

Revisión de los registros de actividad

Dónde: en Microsoft Defender XDR Portal, en Aplicaciones en la nube, seleccione Registro de actividad.

Persona: administradores de seguridad y cumplimiento

Con frecuencia, los registros de actividad se revisan en relación con las alertas y como parte de las investigaciones de amenazas. Se recomienda volver a consultar el registro de actividad mensualmente para comprobar si la misma entidad realiza actividades repetidas, como varias búsquedas o inicios de sesión por parte del mismo usuario.

  1. Resultados dinámicos por tipo de actividad, como inicios de sesión con errores o eliminación o asignación de privilegios.
  2. Restringir la actividad a una aplicación o a un usuario.
  3. Use los resultados para crear una nueva directiva que le ayude a supervisar más estrechamente y responder a posibles amenazas.

Para obtener más información, vea Consultas de actividad.

Contenido relacionado

guía operativa de Microsoft Defender for Cloud Apps