Directivas de detección de nube

En este artículo se proporciona información general sobre cómo empezar a usar Defender for Cloud Apps para obtener visibilidad en toda la organización en Shadow IT mediante la detección de la nube.

Defender for Cloud Apps permite detectar y analizar aplicaciones en la nube que se usan en el entorno de la organización. El panel de detección de nube muestra todas las aplicaciones en la nube que se ejecutan en el entorno y las clasifica por función y preparación empresarial. Para cada aplicación, detecte los usuarios asociados, las direcciones IP, los dispositivos, las transacciones y realice la evaluación de riesgos sin necesidad de instalar un agente en los dispositivos de punto de conexión.

Detección de un nuevo uso de aplicaciones de gran volumen o ancho

Detecte nuevas aplicaciones que son muy usadas, en términos de número de usuarios o cantidad de tráfico en su organización.

Requisitos previos

Configure la carga automática de registros para informes de detección continua de nube, como se describe en Configuración de la carga automática de registros para informes continuos o habilitación de la integración Defender for Cloud Apps con Defender para punto de conexión, como se describe en Integración de Microsoft Defender para punto de conexión con Defender for Cloud Apps.

Pasos

1. En Microsoft Defender Portal, en Aplicaciones en la nube, vaya a Directivas ->Administración de directivas. Cree una nueva directiva de detección de aplicaciones.

2. En el campo Plantilla de directiva , seleccione Nueva aplicación de gran volumen o Nueva aplicación popular y aplique la plantilla.

3. Personalice los filtros de directiva para cumplir los requisitos de su organización.

4. Configure las acciones que se realizarán cuando se desencadene una alerta.

Nota:

Se genera una alerta una vez para cada nueva aplicación que no se detectó en los últimos 90 días.

Detección del nuevo uso de aplicaciones de riesgo o no compatibles

Detecte la posible exposición de su organización en aplicaciones en la nube que no cumplan los estándares de seguridad.

Requisitos previos

Configure la carga automática de registros para informes de detección continua de nube, como se describe en Configuración de la carga automática de registros para informes continuos o habilitación de la integración Defender for Cloud Apps con Defender para punto de conexión, como se describe en Integración de Microsoft Defender para punto de conexión con Defender for Cloud Apps.

Pasos

1. En Microsoft Defender Portal, en Aplicaciones en la nube, vaya a Directivas ->Administración de directivas. Cree una nueva directiva de detección de aplicaciones.

2. En el campo Plantilla de directiva , seleccione la plantilla Nueva aplicación de riesgo y aplique la plantilla.

3. En Aplicación que coincida con todo lo siguiente , establezca el control deslizante Puntuación de riesgo y el factor de riesgo de cumplimiento para personalizar el nivel de riesgo que desea desencadenar una alerta y establezca los demás filtros de directiva para satisfacer los requisitos de seguridad de su organización.

   1. Opcional: para obtener detecciones más significativas, personalice la cantidad de tráfico que desencadenará una alerta.

   2. Active la casilla Desencadenar una coincidencia de directiva si todo lo siguiente se produce en el mismo día .

   3. Seleccione Tráfico diario mayor que 2000 GB (u otro).

4. Configure las acciones de gobernanza que se realizarán cuando se desencadene una alerta. En Gobernanza, seleccione Etiquetar aplicación como no autorizada.
   El acceso a la aplicación se bloqueará automáticamente cuando se coincida con la directiva.

5. Opcional: aproveche Defender for Cloud Apps integraciones nativas con puertas de enlace web seguras para bloquear el acceso a la aplicación.

Detección del uso de aplicaciones empresariales no autorizadas

Puede detectar cuándo los empleados siguen usando aplicaciones no autorizadas como reemplazo de las aplicaciones listas para la empresa aprobadas.

Requisitos previos

• Configure la carga automática de registros para informes de detección continua de nube, como se describe en Configuración de la carga automática de registros para informes continuos o habilitación de la integración Defender for Cloud Apps con Defender para punto de conexión, como se describe en Integración de Microsoft Defender para punto de conexión con Defender for Cloud Apps.

Pasos

1. En el catálogo de aplicaciones en la nube, busque las aplicaciones listas para la empresa y selecciónelas con una etiqueta de aplicación personalizada.

2. Siga los pasos descritos en Detectar nuevo uso de aplicaciones de gran volumen o ancho.

3. Agregue un filtro de etiquetas de aplicación y elija las etiquetas de aplicación que creó para las aplicaciones listas para la empresa.

4. Configure las acciones de gobernanza que se realizarán cuando se desencadene una alerta. En Gobernanza, seleccione Etiquetar aplicación como no autorizada.
   El acceso a la aplicación se bloqueará automáticamente cuando se coincida con la directiva.

5. Opcional: aproveche Defender for Cloud Apps integraciones nativas con puertas de enlace web seguras para bloquear el acceso a la aplicación.

Detectar patrones de uso inusuales en la red

Detecte patrones de uso de tráfico anómalos (cargas o descargas) en las aplicaciones en la nube, que se originan en usuarios o direcciones IP dentro de la red de la organización.

Requisitos previos

Configure la carga automática de registros para informes de detección continua de nube, como se describe en Configuración de la carga automática de registros para informes continuos o habilitación de la integración Defender for Cloud Apps con Defender para punto de conexión, como se describe en Integración de Microsoft Defender para punto de conexión con Defender for Cloud Apps.

Pasos

1. En Microsoft Defender Portal, en Aplicaciones en la nube, vaya a Directivas ->Administración de directivas. Cree una nueva directiva de detección de anomalías de Cloud Discovery.

2. En el campo Plantilla de directiva , seleccione Comportamiento anómalo en los usuarios detectados o Comportamiento anómalo en las direcciones IP detectadas.

3. Personalice los filtros para satisfacer los requisitos de su organización.

4. Si desea recibir una alerta solo cuando haya anomalías que impliquen aplicaciones de riesgo, use los filtros puntuación de riesgo y establezca el intervalo en el que las aplicaciones se consideran de riesgo.

5. Use el control deslizante para seleccionar la confidencialidad de detección de anomalías.

Nota:

Una vez establecida la carga continua del registro, el motor de detección de anomalías tarda unos días hasta que se establece una línea base (período de aprendizaje) para el comportamiento esperado en la organización. Una vez establecida una línea base, comienza a recibir alertas en función de las discrepancias del comportamiento de tráfico esperado en las aplicaciones en la nube realizadas por los usuarios o desde direcciones IP.

Detección de un comportamiento anómalo de la detección de la nube en aplicaciones de almacenamiento que no están autorizadas

Detecte un comportamiento anómalo por parte de un usuario en una aplicación de almacenamiento en la nube que no esté autorizada.

Requisitos previos

Configure la carga automática de registros para informes de detección continua de nube, como se describe en Configuración de la carga automática de registros para informes continuos o habilitación de la integración Defender for Cloud Apps con Defender para punto de conexión, como se describe en Integración de Microsoft Defender para punto de conexión con Defender for Cloud Apps.

Pasos

1. En Microsoft Defender Portal, en Aplicaciones en la nube, vaya a Directivas ->Administración de directivas. Cree una nueva directiva de detección de anomalías de Cloud Discovery.

2. Seleccione la categoría de filtro Aplicación igual a Almacenamiento en la nube.

3. Seleccione el filtro Etiqueta de aplicación no es igual a Autorizada.

4. Active la casilla Crear una alerta para cada evento coincidente con la gravedad de la directiva.

5. Configure las acciones que se realizarán cuando se desencadene una alerta.

Detección de aplicaciones de OAuth de riesgo

Obtenga visibilidad y control sobre las aplicaciones de OAuth instaladas dentro de aplicaciones como Google Workspace, Microsoft 365 y Salesforce. Las aplicaciones de OAuth que solicitan permisos elevados y tienen un uso poco frecuente de la comunidad pueden considerarse de riesgo.

Requisitos previos

Debe tener la aplicación Google Workspace, Microsoft 365 o Salesforce conectada mediante conectores de aplicaciones.

Pasos

1. 1. En Microsoft Defender Portal, en Aplicaciones en la nube, vaya a Directivas ->Administración de directivas. Cree una nueva directiva de aplicación de OAuth.

2. Seleccione el filtro Aplicación y establezca la aplicación que la directiva debe cubrir, Área de trabajo de Google, Microsoft 365 o Salesforce.

3. Seleccione Filtro de nivel de permiso igual a Alto (disponible para Google Workspace y Microsoft 365).

4. Agregue el filtro Uso de la comunidad igual a Rare.

5. Configure las acciones que se realizarán cuando se desencadene una alerta. Por ejemplo, para Microsoft 365, compruebe Revocar aplicación para aplicaciones de OAuth detectadas por la directiva.

Nota:

Compatible con las tiendas de aplicaciones de Google Workspace, Microsoft 365 y Salesforce.

Pasos siguientes

Procedimientos recomendados para proteger su organización

Si tiene algún problema, estamos aquí para ayudarle. Para obtener ayuda o soporte técnico para el problema del producto, abra una incidencia de soporte técnico.