Directivas comunes de protección contra amenazas Defender for Cloud Apps
Defender for Cloud Apps permite identificar problemas de uso de alto riesgo y seguridad en la nube, detectar comportamientos anómalos del usuario y evitar amenazas en las aplicaciones en la nube autorizadas. Obtenga visibilidad de las actividades de los usuarios y administradores y defina directivas para recibir alertas automáticamente cuando se detecten comportamientos sospechosos o actividades específicas que usted considere peligrosas. Aproveche la enorme cantidad de datos de inteligencia de amenazas e investigación de seguridad de Microsoft para asegurarse de que sus aplicaciones autorizadas dispongan de todos los controles de seguridad necesarios y mantener el control sobre ellas.
Nota:
Al integrar Defender for Cloud Apps con Microsoft Defender for Identity, las directivas de Defender for Identity también aparecen en la página directivas. Para obtener una lista de las directivas de Defender for Identity, consulte Alertas de seguridad.
Detección y control de la actividad del usuario desde ubicaciones desconocidas
Detección automática del acceso de usuario o la actividad desde ubicaciones desconocidas que nadie más de su organización visitó nunca.
Requisitos previos
Debe tener al menos una aplicación conectada mediante conectores de aplicaciones.
Pasos
Esta detección se configura automáticamente de forma inmediata para alertarle cuando hay acceso desde nuevas ubicaciones. No es necesario realizar ninguna acción para configurar esta directiva. Para obtener más información, consulte Directivas de detección de anomalías.
Detectar la cuenta en peligro por ubicación imposible (viaje imposible)
Detección automática de acceso de usuario o actividad desde dos ubicaciones diferentes en un período de tiempo más corto que el tiempo necesario para viajar entre los dos.
Requisitos previos
Debe tener al menos una aplicación conectada mediante conectores de aplicaciones.
Pasos
Esta detección se configura automáticamente de forma inmediata para alertarle cuando hay acceso desde ubicaciones imposibles. No es necesario realizar ninguna acción para configurar esta directiva. Para obtener más información, consulte Directivas de detección de anomalías.
Opcional: puede personalizar las directivas de detección de anomalías:
Personalización del ámbito de detección en términos de usuarios y grupos
Elija los tipos de inicios de sesión que se deben tener en cuenta.
Establecer la preferencia de confidencialidad para las alertas
Cree la directiva de detección de anomalías.
Detección de actividad sospechosa de un empleado "de permiso"
Detecte cuándo un usuario, que está de vacaciones sin pagar y no debe estar activo en ningún recurso de la organización, está accediendo a cualquiera de los recursos en la nube de la organización.
Requisitos previos
Debe tener al menos una aplicación conectada mediante conectores de aplicaciones.
Cree un grupo de seguridad en Microsoft Entra ID para los usuarios con permiso no remunerado y agregue todos los usuarios que quiera supervisar.
Pasos
En la pantalla Grupos de usuarios, seleccione Crear grupo de usuarios e importe el grupo de Microsoft Entra correspondiente.
En Microsoft Defender Portal, en Aplicaciones en la nube, vaya a Directivas ->Administración de directivas. Cree una nueva directiva de actividad.
Establezca el filtro Grupo de usuarios igual al nombre de los grupos de usuarios que creó en Microsoft Entra ID para los usuarios que dejan sin pagar.
Opcional: establezca las acciones de gobernanza que se realizarán en los archivos cuando se detecte una infracción. Las acciones de gobernanza disponibles varían entre servicios. Puede elegir Suspender usuario.
Cree la directiva de archivo.
Detectar y notificar cuándo se usa el sistema operativo del explorador obsoleto
Detecte cuándo un usuario usa un explorador con una versión de cliente obsoleta que podría suponer riesgos de cumplimiento o seguridad para su organización.
Requisitos previos
Debe tener al menos una aplicación conectada mediante conectores de aplicaciones.
Pasos
En Microsoft Defender Portal, en Aplicaciones en la nube, vaya a Directivas ->Administración de directivas. Cree una nueva directiva de actividad.
Establezca el filtro Etiqueta de agente de usuario igual a Explorador obsoleto y Sistema operativo obsoleto.
Establezca las acciones de gobernanza que se realizarán en los archivos cuando se detecte una infracción. Las acciones de gobernanza disponibles varían entre servicios. En Todas las aplicaciones, seleccione Notificar al usuario para que los usuarios puedan actuar sobre la alerta y actualizar los componentes necesarios.
Cree la directiva de actividad.
Detectar y alertar cuando se detecta Administración actividad en direcciones IP de riesgo
Detecte las actividades de administración realizadas desde y la dirección IP que se considera una dirección IP de riesgo, y notifique al administrador del sistema para que realice una investigación adicional o establezca una acción de gobernanza en la cuenta del administrador.
Requisitos previos
Debe tener al menos una aplicación conectada mediante conectores de aplicaciones.
En el engranaje Configuración, seleccione Intervalos de direcciones IP y seleccione + para agregar intervalos de direcciones IP para las subredes internas y sus direcciones IP públicas de salida. Establezca la categoría enInterno.
Pasos
En Microsoft Defender Portal, en Aplicaciones en la nube, vaya a Directivas ->Administración de directivas. Cree una nueva directiva de actividad.
Establezca Act on enSingle activity (Actividad única).
Establezca la dirección IP del filtro en Categoría igual a Riesgo.
Establezca el filtro Actividad administrativa en True
Establezca las acciones de gobernanza que se realizarán en los archivos cuando se detecte una infracción. Las acciones de gobernanza disponibles varían entre servicios. En Todas las aplicaciones, seleccione Notificar al usuario para que los usuarios puedan actuar sobre la alerta y actualizar los componentes necesarios CC el administrador del usuario.
Cree la directiva de actividad.
Detección de actividades por cuenta de servicio desde direcciones IP externas
Detecte las actividades de la cuenta de servicio que se originen desde direcciones IP no internas. Esto podría indicar un comportamiento sospechoso o una cuenta en peligro.
Requisitos previos
Debe tener al menos una aplicación conectada mediante conectores de aplicaciones.
En el engranaje Configuración, seleccione Intervalos de direcciones IP y seleccione + para agregar intervalos de direcciones IP para las subredes internas y sus direcciones IP públicas de salida. Establezca la categoría enInterno.
Estandarizar las convenciones de nomenclatura de las cuentas de servicio de su entorno, por ejemplo, establezca todos los nombres de cuenta para que comiencen por "svc".
Pasos
En Microsoft Defender Portal, en Aplicaciones en la nube, vaya a Directivas ->Administración de directivas. Cree una nueva directiva de actividad.
Establezca el filtro Usuario en Nombre y, a continuación, Comience con y escriba la convención de nomenclatura, como svc.
Establezca la dirección IP del filtro en Categoría no es igual a Otros y Corporativo.
Establezca las acciones de gobernanza que se realizarán en los archivos cuando se detecte una infracción. Las acciones de gobernanza disponibles varían entre servicios.
Cree la directiva.
Detectar descarga masiva (filtración de datos)
Detecte cuándo un usuario determinado accede o descarga un número masivo de archivos en un breve período de tiempo.
Requisitos previos
Debe tener al menos una aplicación conectada mediante conectores de aplicaciones.
Pasos
En Microsoft Defender Portal, en Aplicaciones en la nube, vaya a Directivas ->Administración de directivas. Cree una nueva directiva de actividad.
Establezca las direcciones IP de filtro en Etiqueta no es igual a Microsoft Azure. Esto excluirá las actividades no interactivas basadas en dispositivos.
Establezca los tipos de actividad de filtro en y, a continuación, seleccione todas las actividades de descarga pertinentes.
Establezca las acciones de gobernanza que se realizarán en los archivos cuando se detecte una infracción. Las acciones de gobernanza disponibles varían entre servicios.
Cree la directiva.
Detección de actividad de ransomware potencial
Detección automática de actividad de ransomware potencial.
Requisitos previos
Debe tener al menos una aplicación conectada mediante conectores de aplicaciones.
Pasos
Esta detección se configura automáticamente de forma inmediata para alertarle cuando se detecta un posible riesgo de ransomware. No es necesario realizar ninguna acción para configurar esta directiva. Para obtener más información, consulte Directivas de detección de anomalías.
Es posible configurar el ámbito de la detección y personalizar las acciones de gobernanza que se deben realizar cuando se desencadena una alerta. Para obtener más información sobre cómo Defender for Cloud Apps identifica ransomware, consulte Protección de su organización frente a ransomware.
Nota:
Esto se aplica a Microsoft 365, Google Workspace, Box y Dropbox.
Detección de malware en la nube
Detecte archivos que contengan malware en los entornos de nube mediante la integración Defender for Cloud Apps con el motor de Inteligencia sobre amenazas de Microsoft.
Requisitos previos
- Para la detección de malware de Microsoft 365, debe tener una licencia válida para Microsoft Defender para Microsoft 365 P1.
- Debe tener al menos una aplicación conectada mediante conectores de aplicaciones.
Pasos
- Esta detección se configura automáticamente de forma inmediata para alertarle cuando hay un archivo que puede contener malware. No es necesario realizar ninguna acción para configurar esta directiva. Para obtener más información, consulte Directivas de detección de anomalías.
Detectar la adquisición de un administrador no autorizado
Detecte una actividad de administración repetida que pueda indicar intenciones malintencionadas.
Requisitos previos
Debe tener al menos una aplicación conectada mediante conectores de aplicaciones.
Pasos
En Microsoft Defender Portal, en Aplicaciones en la nube, vaya a Directivas ->Administración de directivas. Cree una nueva directiva de actividad.
Establezca Act on enRepeated activity (Actividad repetida ), personalice las actividades repetidas mínimas y establezca un período de tiempo para cumplir con la directiva de su organización.
Establezca el filtro User (Usuario) en From group equals ( De grupo es igual a) y seleccione todo el grupo de administración relacionado solo como Actor.
Establezca el tipo de actividad de filtro igual a todas las actividades relacionadas con las actualizaciones de contraseñas, los cambios y los restablecimientos.
Establezca las acciones de gobernanza que se realizarán en los archivos cuando se detecte una infracción. Las acciones de gobernanza disponibles varían entre servicios.
Cree la directiva.
Detectar reglas sospechosas de manipulación de bandeja de entrada
Si se estableció una regla de bandeja de entrada sospechosa en la bandeja de entrada de un usuario, puede indicar que la cuenta de usuario está en peligro y que el buzón se usa para distribuir correo no deseado y malware en su organización.
Requisitos previos
- Uso de Microsoft Exchange para correo electrónico.
Pasos
- Esta detección se configura automáticamente de forma inmediata para alertarle cuando hay un conjunto de reglas de bandeja de entrada sospechoso. No es necesario realizar ninguna acción para configurar esta directiva. Para obtener más información, consulte Directivas de detección de anomalías.
Detección de credenciales filtradas
Cuando los delincuentes cibernéticos ponen en peligro las contraseñas válidas de los usuarios legítimos, a menudo comparten esas credenciales. Esto se hace normalmente publicándolos públicamente en la web oscura o pegar sitios o negociando o vendiendo las credenciales en el mercado negro.
Defender for Cloud Apps usa la inteligencia sobre amenazas de Microsoft para hacer coincidir dichas credenciales con las que se usan dentro de la organización.
Requisitos previos
Debe tener al menos una aplicación conectada mediante conectores de aplicaciones.
Pasos
Esta detección se configura automáticamente de forma inmediata para alertarle cuando se detecta una posible fuga de credenciales. No es necesario realizar ninguna acción para configurar esta directiva. Para obtener más información, consulte Directivas de detección de anomalías.
Detección de descargas anómalas de archivos
Detecte cuándo los usuarios realizan varias actividades de descarga de archivos en una sola sesión, en relación con la línea base aprendida. Esto podría indicar un intento de vulneración.
Requisitos previos
Debe tener al menos una aplicación conectada mediante conectores de aplicaciones.
Pasos
Esta detección se configura automáticamente de forma inmediata para alertarle cuando se produce una descarga anómala. No es necesario realizar ninguna acción para configurar esta directiva. Para obtener más información, consulte Directivas de detección de anomalías.
Es posible configurar el ámbito de la detección y personalizar la acción que se realizará cuando se desencadene una alerta.
Detección de recursos compartidos de archivos anómalo por parte de un usuario
Detecte cuándo los usuarios realizan varias actividades de uso compartido de archivos en una sola sesión con respecto a la línea base aprendida, lo que podría indicar un intento de infracción.
Requisitos previos
Debe tener al menos una aplicación conectada mediante conectores de aplicaciones.
Pasos
Esta detección se configura automáticamente de forma inmediata para alertarle cuando los usuarios realizan varios usos compartidos de archivos. No es necesario realizar ninguna acción para configurar esta directiva. Para obtener más información, consulte Directivas de detección de anomalías.
Es posible configurar el ámbito de la detección y personalizar la acción que se realizará cuando se desencadene una alerta.
Detección de actividades anómalas desde países o regiones poco frecuentes
Detecte actividades desde una ubicación que no fue recientemente o que nunca fue visitada por el usuario o por ningún usuario de la organización.
Requisitos previos
Debe tener al menos una aplicación conectada mediante conectores de aplicaciones.
Pasos
Esta detección se configura automáticamente de forma inmediata para alertarle cuando se produce una actividad anómala desde un país o región poco frecuentes. No es necesario realizar ninguna acción para configurar esta directiva. Para obtener más información, consulte Directivas de detección de anomalías.
Es posible configurar el ámbito de la detección y personalizar la acción que se realizará cuando se desencadene una alerta.
Nota:
La detección de ubicaciones anómalas requiere un período de aprendizaje inicial de 7 días. Durante el período de aprendizaje, Defender for Cloud Apps no genera alertas para nuevas ubicaciones.
Detección de la actividad realizada por un usuario terminado
Detecte cuándo un usuario que ya no es empleado de su organización realiza una actividad en una aplicación autorizada. Esto puede indicar la actividad malintencionada de un empleado terminado que todavía tiene acceso a los recursos corporativos.
Requisitos previos
Debe tener al menos una aplicación conectada mediante conectores de aplicaciones.
Pasos
Esta detección se configura automáticamente de forma inmediata para alertarle cuando un empleado terminado realiza una actividad. No es necesario realizar ninguna acción para configurar esta directiva. Para obtener más información, consulte Directivas de detección de anomalías.
Es posible configurar el ámbito de la detección y personalizar la acción que se realizará cuando se desencadene una alerta.
Pasos siguientes
Si tiene algún problema, estamos aquí para ayudarle. Para obtener ayuda o soporte técnico para el problema del producto, abra una incidencia de soporte técnico.