Directivas comunes de protección contra amenazas de Defender for Cloud Apps
Defender for Cloud Apps le permite identificar usos de alto riesgo y problemas de seguridad en la nube, detectar comportamientos inusuales de los usuarios y prevenir amenazas en sus aplicaciones autorizadas en la nube. Supervise las las actividades de los usuarios y administradores y defina directivas para alertar automáticamente cuando se detecten comportamientos sospechosos o actividades específicas que considere de riesgo. Aproveche la gran cantidad de datos de inteligencia sobre amenazas e investigación de seguridad de Microsoft para asegurarse de que sus aplicaciones autorizadas cuentan con todos los controles de seguridad que necesita y ayudarle a mantener el control sobre ellas.
Nota:
Al integrar Defender for Cloud Apps con Microsoft Defender for Identity, las directivas de Defender for Identity también aparecen en la página de directivas. Para obtener una lista de las directivas de Defender for Identity, consulte Alertas de seguridad.
Detección y control de la actividad de usuarios desde ubicaciones desconocidas
Detección automática del acceso o la actividad de usuarios desde ubicaciones desconocidas a las que nunca ha ido nadie más de su organización.
Requisitos previos
Debe tener al menos una aplicación conectada mediante conectores de aplicaciones.
Pasos
Esta detección se configura automáticamente para avisarle cuando se produce un acceso desde nuevas ubicaciones. No es necesario realizar ninguna acción para configurar esta directiva. Para más información, consulte Directivas de detección de anomalías.
Detección de una cuenta en peligro por ubicación imposible (viaje imposible)
Detección automática del acceso o la actividad de usuarios desde dos ubicaciones diferentes dentro de un período de tiempo menor que el tiempo necesario para viajar entre ambas.
Requisitos previos
Debe tener al menos una aplicación conectada mediante conectores de aplicaciones.
Pasos
Esta detección se configura automáticamente para avisarle cuando se produce un acceso desde ubicaciones imposibles. No es necesario realizar ninguna acción para configurar esta directiva. Para más información, consulte Directivas de detección de anomalías.
Opcional: puede personalizar las directivas de detección de anomalías:
Personalización del ámbito de detección en términos de usuarios y grupos
Elija los tipos de inicios de sesión que se deben tener en cuenta.
Establecer la preferencia de confidencialidad para las alertas
Cree la directiva de detección de anomalías.
Detección de actividades sospechosas de un empleado "de baja"
Detecte cuándo un usuario, que está de baja sin sueldo y no debería estar activo en ningún recurso de la organización, está accediendo a cualquiera de los recursos en la nube de su organización.
Requisitos previos
Debe tener al menos una aplicación conectada mediante conectores de aplicaciones.
Cree un grupo de seguridad en Microsoft Entra ID para los usuarios con permiso no retribuido y añada todos los usuarios que desee supervisar.
Pasos
En la pantalla Grupos de usuarios, seleccione Crear grupo de usuarios e importe el grupo Microsoft Entra correspondiente.
En el portal de Microsoft Defender, en Aplicaciones en la nube, vaya a Directivas ->Administración de directivas. Cree una nueva Directiva de actividad.
Establezca el filtro Grupo de usuarios igual al nombre de los grupos de usuarios que creó en Microsoft Entra ID para los usuarios de permisos no retribuidos.
Opcional: establezca las acciones de gobernanza que se realizarán en los archivos cuando se detecte una infracción. Las acciones de gobernanza disponibles varían entre los servicios. Puede elegir Suspender usuario.
Cree la directiva de archivo.
Detección y notificación cuando se usa el sistema operativo de un explorador obsoleto
Detecte cuándo un usuario usa un explorador con una versión de cliente obsoleta que podría suponer riesgos de cumplimiento o seguridad para su organización.
Requisitos previos
Debe tener al menos una aplicación conectada mediante conectores de aplicaciones.
Pasos
En el portal de Microsoft Defender, en Aplicaciones en la nube, vaya a Directivas ->Administración de directivas. Cree una nueva Directiva de actividad.
Establezca el filtro Etiqueta de agente de usuario igual a Navegador obsoleto y Sistema operativo obsoleto.
Establezca las acciones de gobernanza que se realizarán en los archivos cuando se detecte una infracción. Las acciones de gobernanza disponibles varían entre los servicios. En Todas las aplicaciones, seleccione Notificar al usuario para que los usuarios puedan actuar sobre la alerta y actualizar los componentes necesarios CC del administrador del usuario.
Cree la directiva de actividad.
Detectar y alertar cuando se detecta actividad administrativa en direcciones IP de riesgo
Detecte las actividades de administración realizadas desde una dirección IP que se considere de riesgo y notifíquelo al administrador del sistema para que investigue más a fondo o establezca una acción de gobernanza en la cuenta del administrador.
Requisitos previos
Debe tener al menos una aplicación conectada mediante conectores de aplicaciones.
En el engranaje de Configuración, seleccione Intervalos de direcciones IP y seleccione + para agregar intervalos de direcciones IP para las subredes internas y sus direcciones IP públicas de salida. Establezca la categoría en Interna.
Pasos
En el portal de Microsoft Defender, en Aplicaciones en la nube, vaya a Directivas ->Administración de directivas. Cree una nueva Directiva de actividad.
Establezca Actuar sobre en Actividad única.
Establezca el filtro dirección IP en Categoría igual Arriesgado
Establezca el filtro Actividad administrativa en True
Establezca las acciones de gobernanza que se realizarán en los archivos cuando se detecte una infracción. Las acciones de gobernanza disponibles varían entre los servicios. En Todas las aplicaciones, seleccione Notificar al usuario para que los usuarios puedan actuar sobre la alerta y actualizar los componentes necesarios CC del administrador del usuario.
Cree la directiva de actividad.
Detección de actividades por cuenta de servicio desde direcciones IP externas
Detecte actividades de cuenta de servicio que se originan en direcciones IP no internas. Esto podría indicar un comportamiento sospechoso o una cuenta en peligro.
Requisitos previos
Debe tener al menos una aplicación conectada mediante conectores de aplicaciones.
En el engranaje de Configuración, seleccione Intervalos de direcciones IP y seleccione + para agregar intervalos de direcciones IP para las subredes internas y sus direcciones IP públicas de salida. Establezca la categoría en Interna.
Normalice una convención de nomenclatura para las cuentas de servicio de su entorno; por ejemplo, establezca que todos los nombres de cuenta empiecen por "svc".
Pasos
En el portal de Microsoft Defender, en Aplicaciones en la nube, vaya a Directivas ->Administración de directivas. Cree una nueva Directiva de actividad.
Establezca el filtro Usuario en Nombre y, a continuación, Comience con y escriba la convención de nomenclatura, como, por ejemplo, svc.
Establezca el filtro Dirección IP en Categoría no es igual a Otro y Corporativo.
Establezca las acciones de gobernanza que se realizarán en los archivos cuando se detecte una infracción. Las acciones de gobernanza disponibles varían entre los servicios.
Cree la directiva.
Detección de descargas masivas (filtración de datos)
Detectar cuando un determinado usuario accede o descarga un número masivo de archivos en un corto periodo de tiempo.
Requisitos previos
Debe tener al menos una aplicación conectada mediante conectores de aplicaciones.
Pasos
En el portal de Microsoft Defender, en Aplicaciones en la nube, vaya a Directivas ->Administración de directivas. Cree una nueva Directiva de actividad.
Establezca el filtro Direcciones IP en Etiqueta no es igual a Microsoft Azure. Esto excluirá las actividades no interactivas basadas en dispositivos.
Establezca el filtro Tipos de actividad y seleccione todas las actividades de descarga relevantes.
Establezca las acciones de gobernanza que se realizarán en los archivos cuando se detecte una infracción. Las acciones de gobernanza disponibles varían entre los servicios.
Cree la directiva.
Detectar posibles actividades de ransomware
Detección automática de la posible actividad de ransomware.
Requisitos previos
Debe tener al menos una aplicación conectada mediante conectores de aplicaciones.
Pasos
Esta detección se configura automáticamente de forma predeterminada para avisarle cuando se detecta un riesgo potencial de ransomware. No es necesario realizar ninguna acción para configurar esta directiva. Para más información, consulte Directivas de detección de anomalías.
Es posible configurar el ámbito de la detección y personalizar las acciones de gobernanza que se deben realizar cuando se desencadena una alerta. Para obtener más información sobre cómo Defender for Cloud Apps identifica el ransomware, consulte Protección de su organización frente al ransomware.
Nota:
Esto se aplica a Microsoft 365, Google Workspace, Box y Dropbox.
Detección de malware en la nube
Detecte archivos que contienen malware en los entornos en la nube mediante la integración de Defender for Cloud Apps con el motor de inteligencia sobre amenazas de Microsoft.
Requisitos previos
- Para usar la detección de malware de Microsoft 365, debe tener una licencia válida de Microsoft Defender para Microsoft 365 P1.
- Debe tener al menos una aplicación conectada mediante conectores de aplicaciones.
Pasos
- Esta detección se configura automáticamente de forma predeterminada para avisarle cuando hay un archivo que puede contener malware. No es necesario realizar ninguna acción para configurar esta directiva. Para más información, consulte Directivas de detección de anomalías.
Detección de la adquisición de administradores no autorizados
Detecte la actividad repetida de los administradores que pueda indicar intenciones maliciosas.
Requisitos previos
Debe tener al menos una aplicación conectada mediante conectores de aplicaciones.
Pasos
En el portal de Microsoft Defender, en Aplicaciones en la nube, vaya a Directivas ->Administración de directivas. Cree una nueva Directiva de actividad.
Establezca Actuar en en Actividad repetida y personalice las actividades repetidas mínimas y establezca un período de tiempo para cumplir con la directiva de su organización.
Establezca el filtro Usuario en Del grupo y seleccione todos los grupos de administradores relacionados como Solo actor.
Establezca el filtro Tipo de actividad en todas las actividades relacionadas con actualizaciones, cambios y restablecimientos de contraseñas.
Establezca las acciones de gobernanza que se realizarán en los archivos cuando se detecte una infracción. Las acciones de gobernanza disponibles varían entre los servicios.
Cree la directiva.
Detectar reglas de manipulación sospechosa de la bandeja de entrada
Si se ha establecido una regla de bandeja de entrada sospechosa en la bandeja de entrada de un usuario, puede indicar que la cuenta de usuario está en peligro y que el buzón se usa para distribuir correo no deseado y malware en su organización.
Requisitos previos
- Uso de Microsoft Exchange para correo electrónico.
Pasos
- Esta detección se configura automáticamente de forma predeterminada para avisarle cuando hay un conjunto de reglas de bandeja de entrada sospechoso. No es necesario realizar ninguna acción para configurar esta directiva. Para más información, consulte Directivas de detección de anomalías.
Detectar las credenciales filtradas
Cuando los cibercriminales llegan a poner en peligro las contraseñas válidas de usuarios legítimos, es frecuente que las compartan. Suelen hacer esto publicándolas en la Web oscura o sitios de pegado, o bien mediante el intercambio o la venta de esas credenciales en el mercado negro.
Defender for Cloud Apps utiliza la inteligencia sobre amenazas de Microsoft para comparar estas credenciales con las que se usan dentro de la organización.
Requisitos previos
Debe tener al menos una aplicación conectada mediante conectores de aplicaciones.
Pasos
Esta detección se configura automáticamente de forma inmediata para avisarle cuando se detecta una posible exposición de credenciales. No es necesario realizar ninguna acción para configurar esta directiva. Para más información, consulte Directivas de detección de anomalías.
Detección de descargas de archivos anómalos
Detecte cuándo los usuarios realizan varias actividades de descarga de archivos en una sola sesión, en relación con la línea base aprendida. Esto podría indicar un intento de infracción de seguridad.
Requisitos previos
Debe tener al menos una aplicación conectada mediante conectores de aplicaciones.
Pasos
Esta detección se configura automáticamente de forma inmediata para avisarle cuando se produce una descarga anómala. No es necesario realizar ninguna acción para configurar esta directiva. Para más información, consulte Directivas de detección de anomalías.
Es posible configurar el ámbito de la detección y personalizar la acción que se debe realizar cuando se desencadena una alerta.
Detección de recursos compartidos de archivos anómalos por parte de un usuario
Detectar cuando los usuarios realizan varias actividades de intercambio de archivos en una misma sesión con respecto a la línea de base aprendida, lo que podría indicar un intento de vulneración.
Requisitos previos
Debe tener al menos una aplicación conectada mediante conectores de aplicaciones.
Pasos
Esta detección se configura automáticamente de forma inmediata para avisarle cuando los usuarios realizan varios usos compartidos de archivos. No es necesario realizar ninguna acción para configurar esta directiva. Para más información, consulte Directivas de detección de anomalías.
Es posible configurar el ámbito de la detección y personalizar la acción que se debe realizar cuando se desencadena una alerta.
Detección de actividades anómalas desde un país o una región poco frecuente
Detecte actividades desde una ubicación que no ha sido visitada recientemente o que nunca ha sido visitada por el usuario o por ningún usuario de su organización.
Requisitos previos
Debe tener al menos una aplicación conectada mediante conectores de aplicaciones.
Pasos
Esta detección se configura automáticamente de forma inmediata para avisarle cuando se produce una actividad anómala desde un país o una región poco frecuente. No es necesario realizar ninguna acción para configurar esta directiva. Para más información, consulte Directivas de detección de anomalías.
Es posible configurar el ámbito de la detección y personalizar la acción que se debe realizar cuando se desencadena una alerta.
Nota:
La detección de ubicaciones anómalas requiere un período de aprendizaje inicial de 7 días. Durante el período de aprendizaje, Defender for Cloud Apps no genera alertas para nuevas ubicaciones.
Detectar la actividad realizada por un usuario finalizado
Detecte cuándo un usuario que ya no es empleado de su organización realiza una actividad en una aplicación autorizada. Esto puede indicar actividades malintencionadas por parte de un empleado despedido que todavía tiene acceso a los recursos corporativos.
Requisitos previos
Debe tener al menos una aplicación conectada mediante conectores de aplicaciones.
Pasos
Esta detección se configura automáticamente de forma inmediata para avisarle cuando un empleado despedido realiza una actividad. No es necesario realizar ninguna acción para configurar esta directiva. Para más información, consulte Directivas de detección de anomalías.
Es posible configurar el ámbito de la detección y personalizar la acción que se debe realizar cuando se desencadena una alerta.
Pasos siguientes
Si tienes algún problema, estamos aquí para ayudar. Para obtener ayuda o soporte técnico para el problema del producto, abre una incidencia de soporte técnico.