Cómo Defender for Cloud Apps ayuda a proteger el entorno de Microsoft 365

Como conjunto de productividad importante que proporciona almacenamiento de archivos en la nube, colaboración, BI y herramientas de CRM, Microsoft 365 permite a los usuarios compartir sus documentos entre su organización y asociados de una manera simplificada y eficaz. El uso de Microsoft 365 puede exponer sus datos confidenciales no solo internamente, sino también a colaboradores externos, o incluso peor hacer que esté disponible públicamente a través de un vínculo compartido. Estos incidentes pueden producirse debido a un actor malintencionado o a un empleado que no lo conoce. Microsoft 365 también proporciona un gran ecosistema de aplicaciones de terceros para ayudar a aumentar la productividad. El uso de estas aplicaciones puede exponer su organización al riesgo de aplicaciones malintencionadas o el uso de aplicaciones con permisos excesivos.

La conexión de Microsoft 365 a Defender for Cloud Apps proporciona información mejorada sobre las actividades de los usuarios, proporciona detección de amenazas mediante detecciones de anomalías basadas en aprendizaje automático, detecciones de protección de la información (como la detección del uso compartido de información externa), habilita controles de corrección automatizados y detecta amenazas de aplicaciones de terceros habilitadas en su organización.

Defender for Cloud Apps se integra directamente con los registros de auditoría de Microsoft 365 y proporciona protección para todos los servicios admitidos. Para obtener una lista de los servicios admitidos, consulte Servicios de Microsoft 365 que admiten la auditoría.

Use este conector de aplicación para acceder a las características de Administración de posturas de seguridad de SaaS (SSPM), a través de controles de seguridad reflejados en Puntuación de seguridad de Microsoft. Más información.

Mejoras en el examen de archivos para Microsoft 365

Defender for Cloud Apps ha agregado nuevas mejoras de examen de archivos para SharePoint y OneDrive:

• Velocidad de examen casi en tiempo real más rápida para archivos en SharePoint y OneDrive.

• Mejor identificación para el nivel de acceso de un archivo en SharePoint: el nivel de acceso a archivos en SharePoint se marcará de forma predeterminada como Interno y no como Privado (ya que el propietario del sitio puede acceder a todos los archivos de SharePoint y no solo al propietario del archivo).

  Nota:

  Este cambio podría afectar a las directivas de archivo (si una directiva de archivo busca archivos internos o privados en SharePoint).

Principales amenazas

• Cuentas en peligro y amenazas internas
• Pérdida de datos
• Reconocimiento de seguridad insuficiente
• Aplicaciones malintencionadas de terceros
• Malware
• Suplantación de identidad (phishing)
• Ransomware
• No administrado traiga su propio dispositivo (BYOD)

Cómo Defender for Cloud Apps ayuda a proteger el entorno

• Detección de amenazas en la nube, cuentas en peligro y usuarios internos malintencionados
• Descubrir, clasificar, etiquetar y proteger la información regulada y confidencialidad almacenada en la nube
• Detección y administración de aplicaciones de OAuth que tienen acceso a su entorno
• Exigir DLP y directivas de cumplimiento para los datos almacenados en la nube
• Limitar la exposición de los datos compartidos y aplicar directivas de colaboración
• Usar la pista de auditoría de actividades para investigaciones forenses

Controlar Microsoft 365 con directivas y plantillas de directiva integradas

Puede usar las siguientes plantillas de directiva integradas para detectar y notificarle sobre posibles amenazas:

Tipo	Nombre
Directiva de detección de anomalías integrada	Actividad desde direcciones IP anónimas Actividad desde países o regiones poco frecuentes Actividad de direcciones IP sospechosas Desplazamiento imposible Actividad realizada por el usuario terminado (requiere Microsoft Entra ID como IdP) Detección de malware Intentos de varios inicios de sesión fallidos Detección de ransomware Actividad sospechosa de eliminación de correo electrónico (versión preliminar) Reenvío sospechoso de la bandeja de entrada Actividades inusuales de eliminación de archivos Actividades de recursos compartidos de archivos inusuales Actividades inusuales de descarga de archivos múltiples
Plantilla de directiva de actividad	Inicio de sesión desde una dirección IP de riesgo Descarga masiva por un solo usuario Actividad de ransomware potencial Cambio de nivel de acceso (Teams) Usuario externo agregado (Teams) Eliminación masiva (Teams)
Plantilla de directiva de archivo	Detección de un archivo compartido con un dominio no autorizado Detección de un archivo compartido con direcciones de correo electrónico personales Detección de archivos con PII/PCI/PHI
Directiva de detección de anomalías de aplicaciones de OAuth	Nombre de aplicación de OAuth engañoso Nombre del publicador engañoso para una aplicación de OAuth Consentimiento de la aplicación OAuth malintencionada

Para obtener más información sobre cómo crear directivas, vea Crear una directiva.

Automatización de controles de gobernanza

Además de la supervisión de posibles amenazas, puede aplicar y automatizar las siguientes acciones de gobernanza de Microsoft 365 para corregir las amenazas detectadas:

Tipo	Acción
Gobierno de datos	OneDrive: - Heredar permisos de carpeta primaria - Hacer que el archivo o la carpeta sean privados - Poner archivo o carpeta en cuarentena de administrador - Poner archivo o carpeta en cuarentena de usuario - Archivo o carpeta de la papelera - Eliminación de un colaborador específico - Eliminación de colaboradores externos en archivos o carpetas - Aplicar Microsoft Purview Information Protection etiqueta de confidencialidad - Quitar Microsoft Purview Information Protection etiqueta de confidencialidad SharePoint: - Heredar permisos de carpeta primaria - Hacer que el archivo o la carpeta sean privados - Poner archivo o carpeta en cuarentena de administrador - Poner archivo o carpeta en cuarentena de usuario - Poner archivo o carpeta en cuarentena de usuario y agregar permisos de propietario - Archivo o carpeta de la papelera - Eliminación de colaboradores externos en archivos o carpetas - Eliminación de un colaborador específico - Aplicar Microsoft Purview Information Protection etiqueta de confidencialidad - Quitar Microsoft Purview Information Protection etiqueta de confidencialidad
Gobernanza del usuario	- Notificar al usuario en alerta (a través de Microsoft Entra ID) - Requerir que el usuario vuelva a iniciar sesión (a través de Microsoft Entra ID) - Suspender usuario (a través de Microsoft Entra ID)
Gobernanza de aplicaciones de OAuth	- Revocación del permiso de aplicación de OAuth

Para obtener más información sobre cómo corregir las amenazas de las aplicaciones, consulte Administración de aplicaciones conectadas.

Protección de Microsoft 365 en tiempo real

Revise nuestros procedimientos recomendados para proteger y colaborar con usuarios externos y bloquear y proteger la descarga de datos confidenciales en dispositivos no administrados o de riesgo.

integración Defender for Cloud Apps con Microsoft 365

Defender for Cloud Apps admite la plataforma dedicada de Microsoft 365 heredada, así como las últimas ofertas de servicios de Microsoft 365, conocidas comúnmente como la familia de versiones vNext de Microsoft 365.

En algunos casos, una versión de servicio vNext difiere ligeramente en los niveles administrativo y de administración de la oferta estándar de Microsoft 365.

Registro de auditoría

Defender for Cloud Apps se integra directamente con los registros de auditoría de Microsoft 365 y recibe todos los eventos auditados de todos los servicios admitidos. Para obtener una lista de los servicios admitidos, consulte Servicios de Microsoft 365 que admiten la auditoría.

• El registro de auditoría del administrador de Exchange, que está habilitado de forma predeterminada en Microsoft 365, registra un evento en el registro de auditoría de Microsoft 365 cuando un administrador (o un usuario al que se le han asignado privilegios administrativos) realiza un cambio en la organización Exchange Online. Los cambios realizados mediante el Centro de administración de Exchange o mediante la ejecución de un cmdlet en Windows PowerShell se registran en el registro de auditoría del administrador de Exchange. Para obtener más información detallada sobre el registro de auditoría del administrador en Exchange, consulte Registro de auditoría de administrador.

• Los eventos de Exchange, Power BI y Teams solo aparecerán después de que se detecten actividades de esos servicios en el portal.

• Las implementaciones multigeográficas solo se admiten para OneDrive

integración Microsoft Entra

• Si el Microsoft Entra ID está establecido para sincronizarse automáticamente con los usuarios del entorno local de Active Directory, la configuración del entorno local invalida la configuración de Microsoft Entra y se revierte el uso de la acción Suspender gobernanza del usuario.

• Para Microsoft Entra actividades de inicio de sesión, Defender for Cloud Apps solo expone actividades de inicio de sesión interactivas y actividades de inicio de sesión de protocolos heredados como ActiveSync. Las actividades de inicio de sesión no interactivas se pueden ver en el registro de auditoría de Microsoft Entra.

• Si las aplicaciones de Office están habilitadas, los grupos que forman parte de Microsoft 365 también se importan a Defender for Cloud Apps de las aplicaciones específicas de Office, por ejemplo, si SharePoint está habilitado, los grupos de Microsoft 365 también se importan como grupos de SharePoint.

Compatibilidad con cuarentena

• En SharePoint y OneDrive, Defender for Cloud Apps solo admite la cuarentena de usuarios para archivos de bibliotecas de documentos compartidos (SharePoint Online) y archivos de la biblioteca de documentos (OneDrive para la Empresa).

• En SharePoint, Defender for Cloud Apps admite tareas de cuarentena solo para archivos con documentos compartidos en la ruta de acceso en inglés.

Conexión de Microsoft 365 a Microsoft Defender for Cloud Apps

En esta sección se proporcionan instrucciones para conectar Microsoft Defender for Cloud Apps a la cuenta de Microsoft 365 existente mediante la API del conector de aplicaciones. Esta conexión proporciona visibilidad y control sobre el uso de Microsoft 365. Para obtener información sobre cómo Defender for Cloud Apps protege Microsoft 365, consulte Protección de Microsoft 365.

Use este conector de aplicación para acceder a las características de Administración de posturas de seguridad de SaaS (SSPM), a través de controles de seguridad reflejados en Puntuación de seguridad de Microsoft. Más información.

Requisitos previos:

• Debe tener al menos una licencia de Microsoft 365 asignada para conectar Microsoft 365 a Defender for Cloud Apps.

• Para habilitar la supervisión de las actividades de Microsoft 365 en Defender for Cloud Apps, es necesario habilitar la auditoría en Microsoft Purview.

• El registro de auditoría del buzón de Exchange debe estar activado para cada buzón de usuario antes de que se registre la actividad del usuario en Exchange Online, consulte Actividades del buzón de Exchange.

• Debe habilitar la auditoría en Power BI para obtener los registros desde allí. Una vez habilitada la auditoría, Defender for Cloud Apps comienza a obtener los registros (con un retraso de 24 a 72 horas).

• Debe habilitar la auditoría en Dynamics 365 para obtener los registros desde allí. Una vez habilitada la auditoría, Defender for Cloud Apps comienza a obtener los registros (con un retraso de 24 a 72 horas).

Para conectar Microsoft 365 a Defender for Cloud Apps:

1. En el portal de Microsoft Defender, seleccione Configuración. A continuación, elija Aplicaciones en la nube. En Aplicaciones conectadas, seleccione Conectores de aplicaciones.

2. En la página Conectores de aplicaciones, seleccione +Conectar una aplicación y, a continuación, seleccione Microsoft 365.

   

3. En la página Seleccionar componentes de Microsoft 365 , seleccione las opciones que necesite y, a continuación, seleccione Conectar.

   Nota:

   • Para obtener la mejor protección, se recomienda seleccionar todos los componentes de Microsoft 365.
   • El componente de archivos de Azure AD requiere el componente de actividades de Azure AD y Defender for Cloud Apps supervisión de archivos (Configuración> dearchivos>en la nube>Habilitar supervisión de archivos).

   

4. En la página Seguir el vínculo , seleccione Conectar Microsoft 365.

5. Una vez que Microsoft 365 se muestre como conectado correctamente, seleccione Listo.

6. En el portal de Microsoft Defender, seleccione Configuración. A continuación, elija Aplicaciones en la nube. En Aplicaciones conectadas, seleccione Conectores de aplicaciones. Asegúrese de que el estado del conector de aplicaciones conectado es Conectado.

Los datos de Administración de posturas de seguridad de SaaS (SSPM) se muestran en el portal de Microsoft Defender de la página Puntuación segura. Para obtener más información, consulte Administración de la posición de seguridad para aplicaciones SaaS.

Nota:

Después de conectar Microsoft 365, verá los datos de una semana atrás, incluidas las aplicaciones de terceros conectadas a Microsoft 365 que están tirando de LAS API. En el caso de las aplicaciones de terceros que no tiraban de las API antes de la conexión, verá eventos desde el momento en que se conecta Microsoft 365 porque Defender for Cloud Apps activa las API que se habían desactivado de forma predeterminada.

Si tiene problemas para conectar la aplicación, consulte Solución de problemas de conectores de aplicaciones.

Pasos siguientes

Controlar las aplicaciones en la nube con directivas

Si tiene algún problema, estamos aquí para ayudarle. Para obtener ayuda o soporte técnico para el problema del producto, abra una incidencia de soporte técnico.