Pilotar e implementar Microsoft Defender for Cloud Apps

Se aplica a:

• Microsoft Defender XDR

En este artículo se proporciona un flujo de trabajo para probar e implementar Microsoft Defender for Cloud Apps en su organización. Use estas recomendaciones para incorporar Microsoft Defender for Cloud Apps como parte de una solución de un extremo a otro con Microsoft Defender XDR.

En este artículo se supone que tiene un inquilino de Producción de Microsoft 365 y que está pilotando e implementando Microsoft Defender for Cloud Apps en este entorno. Esta práctica mantendrá cualquier configuración y personalización que configure durante el piloto para la implementación completa.

Defender para Office 365 contribuye a una arquitectura Confianza cero al ayudar a evitar o reducir los daños empresariales de una infracción. Para obtener más información, consulte El marco de adopción de Microsoft Confianza cero impedir o reducir los daños empresariales de un escenario empresarial de vulneración.

Implementación de un extremo a otro para Microsoft Defender XDR

Este es el artículo 5 de 6 de una serie para ayudarle a implementar los componentes de Microsoft Defender XDR, incluida la investigación y respuesta a incidentes.

Los artículos de esta serie corresponden a las siguientes fases de la implementación de un extremo a otro:

Fase	Vínculo
R. Iniciar el piloto	Iniciar el piloto
B. Piloto e implementación de componentes de Microsoft Defender XDR	- Prueba piloto e implementación de Defender for Identity - Pilotar e implementar Defender para Office 365 - Piloto e implementación de Defender para punto de conexión - Piloto e implementación Microsoft Defender for Cloud Apps (este artículo)
C. Investigar y responder a amenazas	Práctica de la investigación y respuesta a incidentes

Piloto e implementación del flujo de trabajo para Defender for Cloud Apps

En el diagrama siguiente se muestra un proceso común para implementar un producto o servicio en un entorno de TI.

Empiece por evaluar el producto o servicio y cómo funcionará dentro de su organización. A continuación, pilote el producto o servicio con un subconjunto adecuadamente pequeño de la infraestructura de producción para pruebas, aprendizaje y personalización. A continuación, aumente gradualmente el ámbito de la implementación hasta que se cubra toda la infraestructura o la organización.

Este es el flujo de trabajo para probar e implementar Defender for Cloud Apps en el entorno de producción.

Siga estos pasos:

1. Conexión a Defender for Cloud Apps
2. Integración con Microsoft Defender para punto de conexión
3. Implementación del recopilador de registros en los firewalls y otros servidores proxy
4. Creación de un grupo piloto
5. Detección y administración de aplicaciones en la nube
6. Configuración del control de aplicación de acceso condicional
7. Aplicación de directivas de sesión a aplicaciones en la nube
8. Probar funcionalidades adicionales

Estos son los pasos recomendados para cada fase de implementación.

Fase de implementación	Descripción
Calcular	Realice la evaluación del producto para Defender for Cloud Apps.
Piloto	Realice los pasos 1-4 y 5-8 para un subconjunto adecuado de aplicaciones en la nube en el entorno de producción.
Implementación completa	Realice los pasos del 5 al 8 para las aplicaciones en la nube restantes, ajustando el ámbito de los grupos de usuarios piloto o agregando grupos de usuarios para expandirse más allá del piloto e incluir todas las cuentas de usuario.

Protección de la organización frente a hackers

Defender for Cloud Apps proporciona una protección eficaz por sí sola. Sin embargo, cuando se combina con otras funcionalidades de Microsoft Defender XDR, Defender for Cloud Apps proporciona datos en las señales compartidas que, en conjunto, ayudan a detener los ataques.

Este es un ejemplo de un ciberataque y cómo los componentes de Microsoft Defender XDR ayudan a detectarlo y mitigarlo.

Defender for Cloud Apps detecta comportamientos anómalos, como viajes imposibles, acceso a credenciales y actividad inusual de descarga, recurso compartido de archivos o reenvío de correo, y muestra estos comportamientos en el Defender for Cloud Apps. Defender for Cloud Apps también ayuda a evitar el movimiento lateral de los hackers y la filtración de datos confidenciales.

Microsoft Defender XDR correlaciona las señales de todos los componentes de Microsoft Defender para proporcionar la historia de ataque completa.

Defender for Cloud Apps rol como CASB y mucho más

Un agente de seguridad de acceso a la nube (CASB) actúa como un selector para brokerar el acceso en tiempo real entre los usuarios empresariales y los recursos en la nube que usan, dondequiera que se encuentren los usuarios e independientemente del dispositivo que usen. Las aplicaciones de software como servicio (SaaS) son ubicuas en entornos de trabajo híbridos y la protección de las aplicaciones SaaS y los datos importantes que almacenan es un gran desafío para las organizaciones.

El aumento del uso de aplicaciones, combinado con el acceso de los empleados a los recursos de la empresa fuera del perímetro corporativo, también ha introducido nuevos vectores de ataque. Para combatir estos ataques de forma eficaz, los equipos de seguridad necesitan un enfoque que proteja sus datos dentro de las aplicaciones en la nube más allá del ámbito tradicional de los agentes de seguridad de acceso a la nube (CASB).

Microsoft Defender for Cloud Apps ofrece protección completa para las aplicaciones SaaS, lo que le ayuda a supervisar y proteger los datos de la aplicación en la nube en las siguientes áreas de características:

• Funcionalidad fundamental del agente de seguridad de acceso a la nube (CASB), como la detección de Shadow IT, la visibilidad del uso de aplicaciones en la nube, la protección contra amenazas basadas en aplicaciones desde cualquier lugar de la nube y las evaluaciones de cumplimiento y protección de la información.

• Características de Administración de posturas de seguridad de SaaS (SSPM), que permiten a los equipos de seguridad mejorar la posición de seguridad de la organización

• Protección contra amenazas avanzada, como parte de la solución de detección y respuesta extendida (XDR) de Microsoft, lo que permite una correlación eficaz de señal y visibilidad en toda la cadena de eliminación de ataques avanzados.

• Protección de aplicación a aplicación, ampliando los escenarios de amenazas principales a las aplicaciones habilitadas para OAuth que tienen permisos y privilegios para datos y recursos críticos.

Métodos de detección de aplicaciones en la nube

Sin Defender for Cloud Apps, las aplicaciones en la nube que usa la organización no se administran y no están protegidas. Para detectar las aplicaciones en la nube que se usan en su entorno, puede implementar uno o ambos de los métodos siguientes:

• Empiece a trabajar rápidamente con Cloud Discovery mediante la integración con Microsoft Defender para punto de conexión. Esta integración nativa le permite empezar inmediatamente a recopilar datos sobre el tráfico en la nube en los dispositivos Windows 10 y Windows 11, dentro y fuera de la red.
• Para detectar todas las aplicaciones en la nube a las que acceden todos los dispositivos conectados a la red, implemente el recopilador de registros de Defender for Cloud Apps en los firewalls y otros servidores proxy. Esta implementación ayuda a recopilar datos de los puntos de conexión y los envía a Defender for Cloud Apps para su análisis. Defender for Cloud Apps se integra de forma nativa con algunos servidores proxy de terceros para obtener aún más funcionalidades.

En este artículo se incluyen instrucciones para ambos métodos.

Paso 1. Conexión a Defender for Cloud Apps

Para comprobar las licencias y conectarse a Defender for Cloud Apps, consulte Inicio rápido: Introducción a Microsoft Defender for Cloud Apps.

Si no puede conectarse inmediatamente al portal, es posible que tenga que agregar la dirección IP a la lista de permitidos del firewall. Para obtener más información, consulte Configuración básica para Defender for Cloud Apps.

Si sigue teniendo problemas, revise Requisitos de red.

Paso 2: Integración con Microsoft Defender para punto de conexión

Microsoft Defender for Cloud Apps se integra con Microsoft Defender para punto de conexión de forma nativa. La integración simplifica la implementación de Cloud Discovery, amplía las funcionalidades de Cloud Discovery más allá de la red corporativa y permite la investigación basada en dispositivos. Esta integración revela las aplicaciones en la nube y los servicios a los que se accede desde dispositivos de Windows 10 y Windows 11 administrados por TI.

Si ya ha configurado Microsoft Defender para punto de conexión, la configuración de la integración con Defender for Cloud Apps es un botón de alternancia en Microsoft Defender XDR. Una vez activada la integración, puede volver a Defender for Cloud Apps y ver datos enriquecidos en el panel de Cloud Discovery.

Para realizar estas tareas, consulte Integración de Microsoft Defender para punto de conexión con Microsoft Defender for Cloud Apps.

Paso 3: Implementación del recopilador de registros de Defender for Cloud Apps en los firewalls y otros servidores proxy

• Para obtener cobertura en todos los dispositivos conectados a la red, implemente el recopilador de registros de Defender for Cloud Apps en los firewalls y otros servidores proxy para recopilar datos de los puntos de conexión y enviarlos a Defender for Cloud Apps para su análisis. Para obtener más información, consulte Configuración de la carga automática de registros para informes continuos.

• Defender for Cloud Apps proporciona conectores de aplicaciones integrados para aplicaciones en la nube populares. Estos conectores usan las API de los proveedores de aplicaciones para permitir una mayor visibilidad y control sobre cómo se usan estas aplicaciones en su organización. Para obtener más información, consulte Conexión de aplicaciones para obtener visibilidad y control con Microsoft Defender for Cloud Apps.

• Si usa una de las siguientes puertas de enlace web seguras (SWG), Defender for Cloud Apps proporciona una implementación e integración sin problemas:

  • Zscaler
  • iboss
  • Corrata
  • Menlo Security
  • Sistemas abiertos

Para obtener más información, consulte Información general sobre la detección de aplicaciones en la nube.

Paso 4. Creación de un grupo piloto: ámbito de la implementación piloto a determinados grupos de usuarios

Microsoft Defender for Cloud Apps permite limitar la implementación. El ámbito permite seleccionar determinados grupos de usuarios que se van a supervisar para las aplicaciones o excluirlos de la supervisión. Puede incluir o excluir grupos de usuarios.

Para obtener más información, consulte Ámbito de la implementación a usuarios o grupos de usuarios específicos.

Paso 5. Detección y administración de aplicaciones en la nube

Para que Defender for Cloud Apps proporcione la máxima protección, debe detectar todas las aplicaciones en la nube de su organización y administrar cómo se usan.

Detección de aplicaciones en la nube

El primer paso para administrar el uso de aplicaciones en la nube es detectar qué aplicaciones en la nube usa la organización. En el diagrama siguiente se muestra cómo funciona la detección de la nube con Defender for Cloud Apps.

En esta ilustración, hay dos métodos que se pueden usar para supervisar el tráfico de red y detectar las aplicaciones en la nube que usa la organización.

1. Cloud App Discovery se integra con Microsoft Defender para punto de conexión de forma nativa. Defender for Endpoint informa de que se accede a aplicaciones y servicios en la nube desde dispositivos de Windows 10 y Windows 11 administrados por TI.

2. Para la cobertura en todos los dispositivos conectados a una red, instale el recopilador de registros de Defender for Cloud Apps en firewalls y otros servidores proxy para recopilar datos de puntos de conexión. El recopilador envía estos datos a Defender for Cloud Apps para su análisis.

Vea el panel de Cloud Discovery para ver qué aplicaciones se usan en su organización.

El panel de cloud discovery está diseñado para proporcionarle más información sobre cómo se usan las aplicaciones en la nube en su organización. Proporciona una visión general de los tipos de aplicaciones que se usan, las alertas abiertas y los niveles de riesgo de las aplicaciones de su organización.

Para obtener más información, consulte Visualización de aplicaciones detectadas con el panel de detección de nube.

Administración de aplicaciones en la nube

Después de detectar aplicaciones en la nube y analizar cómo la organización usa estas aplicaciones, puede empezar a administrar las aplicaciones en la nube que elija.

En esta ilustración, algunas aplicaciones están autorizadas para su uso. La sanción es una forma sencilla de empezar a administrar aplicaciones. Para obtener más información, consulte Gobernanza de las aplicaciones detectadas.

Paso 6. Configuración del control de aplicación de acceso condicional

Una de las protecciones más eficaces que puede configurar es el control de aplicaciones de acceso condicional. Esta protección requiere la integración con Microsoft Entra ID. Le permite aplicar directivas de acceso condicional, incluidas las directivas relacionadas (como requerir dispositivos en buen estado), a las aplicaciones en la nube que ha autorizado.

Es posible que ya haya agregado aplicaciones SaaS al inquilino de Microsoft Entra para aplicar la autenticación multifactor y otras directivas de acceso condicional. Microsoft Defender for Cloud Apps se integra de forma nativa con Microsoft Entra ID. Todo lo que debe hacer es configurar una directiva en Microsoft Entra ID para usar el control de aplicaciones de acceso condicional en Defender for Cloud Apps. Esto enruta el tráfico de red de estas aplicaciones SaaS administradas a través de Defender for Cloud Apps como proxy, lo que permite a Defender for Cloud Apps supervisar este tráfico y aplicar controles de sesión.

En esta ilustración:

• Las aplicaciones SaaS se integran con el inquilino de Microsoft Entra. Esta integración permite Microsoft Entra ID aplicar directivas de acceso condicional, incluida la autenticación multifactor.
• Se agrega una directiva a Microsoft Entra ID para dirigir el tráfico de las aplicaciones SaaS a Defender for Cloud Apps. La directiva especifica a qué aplicaciones SaaS aplicar esta directiva. Después de Microsoft Entra ID aplica las directivas de acceso condicional que se aplican a estas aplicaciones SaaS, Microsoft Entra ID, a continuación, dirige (proxies) el tráfico de sesión a través de Defender for Cloud Apps.
• Defender for Cloud Apps supervisa este tráfico y aplica las directivas de control de sesión configuradas por los administradores.

Es posible que haya detectado y autorizado aplicaciones en la nube mediante Defender for Cloud Apps que no se han agregado a Microsoft Entra ID. Para aprovechar las ventajas del control de aplicaciones de acceso condicional, agregue estas aplicaciones en la nube al inquilino de Microsoft Entra y al ámbito de las reglas de acceso condicional.

El primer paso para usar Microsoft Defender for Cloud Apps para administrar aplicaciones SaaS es detectar estas aplicaciones y, a continuación, agregarlas al inquilino de Microsoft Entra. Si necesita ayuda con la detección, consulte Detección y administración de aplicaciones SaaS en la red. Una vez que haya detectado aplicaciones, agregue estas aplicaciones al inquilino de Microsoft Entra.

Puede empezar a administrar estas aplicaciones con las siguientes tareas:

1. En Microsoft Entra ID, cree una nueva directiva de acceso condicional y configúrela para usar el control de aplicación de acceso condicional. Esta configuración ayuda a redirigir la solicitud a Defender for Cloud Apps. Puede crear una directiva y agregar todas las aplicaciones SaaS a esta directiva.

2. A continuación, en Defender for Cloud Apps, cree directivas de sesión. Cree una directiva para cada control que quiera aplicar. Para obtener más información, incluidas las aplicaciones y los clientes admitidos, consulte Creación de directivas de sesión de Microsoft Defender for Cloud Apps.

Para ver las directivas de ejemplo, consulte Directivas de Microsoft Defender for Cloud Apps recomendadas para aplicaciones SaaS. Estas directivas se basan en un conjunto de directivas comunes de acceso a dispositivos e identidades que se recomiendan como punto de partida para todos los clientes.

Paso 7. Aplicación de directivas de sesión a aplicaciones en la nube

Una vez configuradas las directivas de sesión, aplíquelas a las aplicaciones en la nube para proporcionar acceso controlado a esas aplicaciones.

En la ilustración:

• El acceso a las aplicaciones en la nube autorizadas desde usuarios y dispositivos de la organización se enruta a través de Defender for Cloud Apps.
• Las aplicaciones en la nube que no haya autorizado o no autorizado explícitamente no se verán afectadas.

Las directivas de sesión le permiten aplicar parámetros a la forma en que su organización usa las aplicaciones en la nube. Por ejemplo, si su organización usa Salesforce, puede configurar una directiva de sesión que permita que solo los dispositivos administrados accedan a los datos de su organización en Salesforce. Un ejemplo más sencillo podría ser configurar una directiva para supervisar el tráfico desde dispositivos no administrados, de modo que pueda analizar el riesgo de este tráfico antes de aplicar directivas más estrictas.

Para obtener más información, consulte Control de aplicaciones de acceso condicional en Microsoft Defender for Cloud Apps.

Paso 8. Probar funcionalidades adicionales

Use estos artículos Defender for Cloud Apps para ayudarle a detectar riesgos y proteger su entorno:

• Detección de actividad sospechosa de usuario
• Investigación de usuarios de riesgo
• Investigación de aplicaciones de OAuth de riesgo
• Detección y protección de información confidencial
• Protección de cualquier aplicación de la organización en tiempo real
• Bloquear descargas de información confidencial
• Protección de los archivos con cuarentena de administrador
• Requerir autenticación paso a paso por acción de riesgo

Para obtener más información sobre la búsqueda avanzada en Microsoft Defender for Cloud Apps datos, vea este vídeo.

Integración de SIEM

Puede integrar Defender for Cloud Apps con Microsoft Sentinel como parte de la plataforma de operaciones de seguridad unificada de Microsoft o un servicio genérico de administración de eventos e información de seguridad (SIEM) para habilitar la supervisión centralizada de alertas y actividades desde aplicaciones conectadas. Con Microsoft Sentinel, puede analizar eventos de seguridad de forma más completa en toda la organización y crear cuadernos de estrategias para obtener una respuesta eficaz e inmediata.

Microsoft Sentinel incluye una Microsoft Defender para que el conector de datos XDR traiga todas las señales de Defender XDR, incluidos los Defender for Cloud Apps, a Microsoft Sentinel. Use la plataforma de operaciones de seguridad unificadas en el portal de Defender como plataforma única para operaciones de seguridad de un extremo a otro (SecOps).

Para más información, vea:

• Conexión de Microsoft Sentinel al portal de Microsoft Defender
• integración Microsoft Sentinel
• Integración de SIEM genérica

Paso siguiente

Realice la administración del ciclo de vida para Defender for Cloud Apps.

Siguiente paso para la implementación de un extremo a otro de Microsoft Defender XDR

Continúe con la implementación de un extremo a otro de Microsoft Defender XDR con Investigar y responder mediante Microsoft Defender XDR.

Sugerencia

¿Desea obtener más información? Participe con la comunidad de Seguridad de Microsoft en nuestra Tech Community: Tech Community de Microsoft Defender XDR.