Compartir a través de

Procedimientos recomendados para proteger su organización con Defender for Cloud Apps

  • Artículo

En este artículo se proporcionan procedimientos recomendados para proteger su organización mediante Microsoft Defender for Cloud Apps. Estos procedimientos recomendados proceden de nuestra experiencia con Defender for Cloud Apps y las experiencias de clientes como usted.

Los procedimientos recomendados descritos en este artículo incluyen:

Descubrir y evaluar aplicaciones en la nube

La integración de Defender for Cloud Apps con Microsoft Defender para punto de conexión le permite usar la detección en la nube más allá de la red corporativa o puertas de enlace web seguras. Con la información de usuario y dispositivo combinada, puede identificar usuarios o dispositivos de riesgo, ver qué aplicaciones usan e investigar más en el portal de Defender para punto de conexión.

Procedimiento recomendado: Habilitación de la detección de Shadow IT mediante Defender para punto de conexión
Detalles: Cloud Discovery analiza los registros de tráfico recopilados por Defender para punto de conexión y evalúa las aplicaciones identificadas en el catálogo de aplicaciones en la nube para proporcionar información de cumplimiento y seguridad. Al configurar la detección de la nube, obtendrá visibilidad sobre el uso en la nube, Shadow IT y la supervisión continua de las aplicaciones no autorizadas que usan los usuarios.
Para obtener más información:

Procedimiento recomendado: Configuración de directivas de Detección de aplicaciones para identificar de forma proactiva aplicaciones de riesgo, no compatibles y de tendencias
Detalles: las directivas de detección de aplicaciones facilitan el seguimiento de las aplicaciones detectadas significativas en su organización para ayudarle a administrar estas aplicaciones de forma eficaz. Cree directivas para recibir alertas al detectar nuevas aplicaciones que se identifican como de riesgo, no compatibles, con tendencias o con un gran volumen.
Para obtener más información:

Procedimiento recomendado: Administración de aplicaciones de OAuth autorizadas por los usuarios
Detalles: muchos usuarios conceden ocasionalmente permisos de OAuth a aplicaciones de terceros para acceder a la información de su cuenta y, al hacerlo, también proporcionan acceso involuntariamente a sus datos en otras aplicaciones en la nube. Por lo general, el equipo de TI no tiene visibilidad sobre estas aplicaciones, lo que dificulta evaluar el riesgo de seguridad de una aplicación con respecto a la ventaja de productividad que proporciona.

Defender for Cloud Apps proporciona la capacidad de investigar y supervisar los permisos de aplicación concedidos por los usuarios. Puede usar esta información para identificar una aplicación potencialmente sospechosa y, si determina que es de riesgo, puede prohibir el acceso a ella.
Para obtener más información:

Aplicar directivas de gobierno de nube

Procedimiento recomendado: Etiquetar aplicaciones y exportar scripts de bloque
Detalles: después de revisar la lista de aplicaciones detectadas en su organización, puede proteger su entorno frente al uso de aplicaciones no deseadas. Puede aplicar la etiqueta Autorizada a las aplicaciones aprobadas por su organización y la etiqueta No autorizada a las aplicaciones que no lo son. Puede supervisar aplicaciones no autorizadas mediante filtros de detección o exportar un script para bloquear aplicaciones no autorizadas mediante los dispositivos de seguridad locales. El uso de etiquetas y scripts de exportación le permite organizar las aplicaciones y proteger su entorno, ya que solo permite el acceso a aplicaciones seguras.
Para obtener más información:

Limitar la exposición de los datos compartidos y aplicar directivas de colaboración

Procedimiento recomendado: Conexión a Microsoft 365
Detalle: la conexión de Microsoft 365 a Defender for Cloud Apps proporciona visibilidad inmediata de las actividades de los usuarios, los archivos a los que acceden y proporciona acciones de gobernanza para Microsoft 365, SharePoint, OneDrive, Teams, Power BI, Exchange y Dynamics.
Para obtener más información:

Procedimiento recomendado: Conexión de las aplicaciones
Detalles: la conexión de las aplicaciones a Defender for Cloud Apps proporciona información mejorada sobre las actividades de los usuarios, la detección de amenazas y las funcionalidades de gobernanza. Para ver qué API de aplicaciones de terceros se admiten, vaya a Conectar aplicaciones.

Para obtener más información:

Procedimiento recomendado: Creación de directivas para quitar el uso compartido con cuentas personales
Detalle: la conexión de Microsoft 365 a Defender for Cloud Apps proporciona visibilidad inmediata de las actividades de los usuarios, los archivos a los que acceden y proporciona acciones de gobernanza para Microsoft 365, SharePoint, OneDrive, Teams, Power BI, Exchange y Dynamics.
Para obtener más información:

Descubrir, clasificar, etiquetar y proteger la información regulada y confidencial almacenada en la nube

Procedimiento recomendado: Integración con Microsoft Purview Information Protection
Detalle: la integración con Microsoft Purview Information Protection ofrece la capacidad de aplicar automáticamente etiquetas de confidencialidad y, opcionalmente, agregar protección de cifrado. Una vez activada la integración, puede aplicar etiquetas como una acción de gobernanza, ver los archivos por clasificación, investigar los archivos por nivel de clasificación y crear directivas granulares para asegurarse de que los archivos clasificados se administran correctamente. Si no activa la integración, no podrá beneficiarse de la capacidad de examinar, etiquetar y cifrar automáticamente los archivos en la nube.
Para obtener más información:

Procedimiento recomendado: Creación de directivas de exposición de datos
Detalles: use directivas de archivo para detectar el uso compartido de información y buscar información confidencial en las aplicaciones en la nube. Cree las siguientes directivas de archivo para alertarle cuando se detecten exposiciones de datos:

  • Archivos compartidos externamente que contienen datos confidenciales
  • Archivos compartidos externamente y etiquetados como Confidenciales
  • Archivos compartidos con dominios no autorizados
  • Protección de archivos confidenciales en aplicaciones SaaS

Para obtener más información:

Procedimiento recomendado: Revisar informes en la página Archivos
Detalles: una vez que haya conectado varias aplicaciones SaaS mediante conectores de aplicaciones, Defender for Cloud Apps examina los archivos almacenados por estas aplicaciones. Además, cada vez que se modifica un archivo, se vuelve a examinar. Puede usar la página Archivos para comprender e investigar los tipos de datos que se almacenan en las aplicaciones en la nube. Para ayudarle a investigar, puede filtrar por dominios, grupos, usuarios, fecha de creación, extensión, nombre y tipo de archivo, identificador de archivo, etiqueta de confidencialidad, etc. El uso de estos filtros le permite controlar cómo elegir investigar archivos para asegurarse de que ninguno de los datos está en riesgo. Una vez que comprenda mejor cómo se usan los datos, puede crear directivas para buscar contenido confidencial en estos archivos.
Para obtener más información:

Exigir DLP y directivas de cumplimiento para los datos almacenados en la nube

Procedimiento recomendado: Proteger los datos confidenciales de que se compartan con usuarios externos
Detalles: cree una directiva de archivo que detecte cuándo un usuario intenta compartir un archivo con la etiqueta Confidencialidad con alguien externo a su organización y configure su acción de gobernanza para quitar usuarios externos. Esta directiva garantiza que los datos confidenciales no salgan de su organización y que los usuarios externos no puedan acceder a ellos.
Para obtener más información:

Bloquear y proteger la descarga de datos confidenciales en dispositivos no administrados o de riesgo

Procedimiento recomendado: Administración y control del acceso a dispositivos de alto riesgo
Detalle: use el control de aplicaciones de acceso condicional para establecer controles en las aplicaciones SaaS. Puede crear directivas de sesión para supervisar las sesiones de alto riesgo y baja confianza. Del mismo modo, puede crear directivas de sesión para bloquear y proteger las descargas de los usuarios que intentan acceder a datos confidenciales desde dispositivos no administrados o de riesgo. Si no crea directivas de sesión para supervisar sesiones de alto riesgo, perderá la capacidad de bloquear y proteger las descargas en el cliente web, así como la capacidad de supervisar la sesión de baja confianza tanto en Microsoft como en aplicaciones de terceros.
Para obtener más información:

Proteger la colaboración con usuarios externos aplicando controles de sesión en tiempo real

Procedimiento recomendado: Supervisión de sesiones con usuarios externos mediante el control de aplicaciones de acceso condicional
Detalles: para proteger la colaboración en su entorno, puede crear una directiva de sesión para supervisar las sesiones entre los usuarios internos y externos. Esto no solo le ofrece la capacidad de supervisar la sesión entre los usuarios (y notificarles que sus actividades de sesión se están supervisando), sino que también le permite limitar actividades específicas. Al crear directivas de sesión para supervisar la actividad, puede elegir las aplicaciones y los usuarios que desea supervisar.
Para obtener más información:

Detectar amenazas en la nube, cuentas en peligro, intrusos malintencionados y ransomware

Procedimiento recomendado: Ajuste de directivas de anomalías, establecimiento de intervalos IP, envío de comentarios para alertas
Detalles: las directivas de detección de anomalías proporcionan análisis de comportamiento de usuario y entidad (UEBA) y aprendizaje automático (ML) para que pueda ejecutar inmediatamente la detección avanzada de amenazas en el entorno de nube.

Las directivas de detección de anomalías se desencadenan cuando los usuarios realizan actividades inusuales en su entorno. Defender for Cloud Apps supervisa continuamente las actividades de los usuarios y usa UEBA y ML para aprender y comprender el comportamiento normal de los usuarios. Puede ajustar la configuración de la directiva para ajustarla a los requisitos de su organización; por ejemplo, puede establecer la confidencialidad de una directiva, así como el ámbito de una directiva en un grupo específico.

  • Optimizar y limitar las directivas de detección de anomalías: por ejemplo, para reducir el número de falsos positivos dentro de la alerta de viaje imposible, puede establecer el control deslizante de confidencialidad de la directiva en bajo. Si tiene usuarios en su organización que son viajeros corporativos frecuentes, puede agregarlos a un grupo de usuarios y seleccionar ese grupo en el ámbito de la directiva.

  • Establecer intervalos IP: Defender for Cloud Apps puede identificar direcciones IP conocidas una vez establecidos los intervalos de direcciones IP. Con los intervalos de direcciones IP configurados, puede etiquetar, clasificar y personalizar la forma en que se muestran e investigan los registros y las alertas. La adición de intervalos de direcciones IP ayuda a reducir las detecciones de falsos positivos y a mejorar la precisión de las alertas. Si decide no agregar las direcciones IP, es posible que vea un mayor número de posibles falsos positivos y alertas para investigar.

  • Enviar comentarios para alertas

    Al descartar o resolver alertas, asegúrese de enviar comentarios con el motivo por el que descartó la alerta o cómo se ha resuelto. Esta información ayuda a Defender for Cloud Apps a mejorar nuestras alertas y reducir los falsos positivos.

Para obtener más información:

Procedimiento recomendado: Detección de actividad desde ubicaciones inesperadas o países o regiones
Detalles: cree una directiva de actividad para notificarle cuando los usuarios inicien sesión desde ubicaciones o países o regiones inesperados. Estas notificaciones pueden alertarle de sesiones posiblemente en peligro en su entorno para que pueda detectar y corregir amenazas antes de que se produzcan.
Para obtener más información:

Procedimiento recomendado: Creación de directivas de aplicación de OAuth
Detalles: cree una directiva de aplicación de OAuth para notificarle cuando una aplicación de OAuth cumple determinados criterios. Por ejemplo, puede optar por recibir una notificación cuando más de 100 usuarios accedieron a una aplicación específica que requiere un nivel de permisos alto.
Para obtener más información:

Usar la pista de auditoría de actividades para investigaciones forenses

Procedimiento recomendado: Usar el seguimiento de auditoría de actividades al investigar alertas
Detalle: las alertas se desencadenan cuando las actividades de usuario, administrador o inicio de sesión no cumplen las directivas. Es importante investigar las alertas para saber si hay una posible amenaza en el entorno.

Puede investigar una alerta seleccionándola en la página Alertas y revisando el seguimiento de auditoría de las actividades relacionadas con esa alerta. El seguimiento de auditoría proporciona visibilidad sobre las actividades del mismo tipo, el mismo usuario, la misma dirección IP y ubicación, para proporcionarle la historia general de una alerta. Si una alerta garantiza una investigación adicional, cree un plan para resolver estas alertas en su organización.

Al descartar alertas, es importante investigar y comprender por qué no tienen importancia o si son falsos positivos. Si hay un gran volumen de estas actividades, es posible que también quiera considerar la posibilidad de revisar y ajustar la directiva que desencadena la alerta.
Para obtener más información:

Proteger servicios IaaS y aplicaciones personalizadas

Procedimiento recomendado: Conexión de Azure, AWS y GCP
Detalles: la conexión de cada una de estas plataformas en la nube a Defender for Cloud Apps le ayuda a mejorar las funcionalidades de detección de amenazas. Al supervisar las actividades administrativas y de inicio de sesión de estos servicios, puede detectar y recibir notificaciones sobre posibles ataques por fuerza bruta, uso malintencionado de una cuenta de usuario con privilegios y otras amenazas en su entorno. Por ejemplo, puede identificar riesgos como eliminaciones inusuales de máquinas virtuales o incluso actividades de suplantación en estas aplicaciones.
Para obtener más información:

Procedimiento recomendado: Incorporación de aplicaciones personalizadas
Detalles: para obtener visibilidad adicional de las actividades de las aplicaciones de línea de negocio, puede incorporar aplicaciones personalizadas a Defender for Cloud Apps. Una vez configuradas las aplicaciones personalizadas, verá información sobre quién las usa, las direcciones IP desde las que se usan y la cantidad de tráfico que entra y sale de la aplicación.

Además, puede incorporar una aplicación personalizada como una aplicación de control de aplicaciones de acceso condicional para supervisar sus sesiones de baja confianza. Microsoft Entra ID aplicaciones se incorporan automáticamente.

Para obtener más información: