Compartir a través de


Crear directivas de sesión de Microsoft Defender for Cloud Apps

Las directivas de sesión de Microsoft Defender for Cloud Apps proporcionan visibilidad granular de las aplicaciones en la nube con supervisión en tiempo real de nivel de sesión. Utilice directivas de sesión para realizar diversas acciones, en función de la directiva que establezca para una sesión de usuario.

A diferencia de las directivas de acceso, que permiten o bloquean el acceso por completo, las directivas de sesión permiten el acceso mientras se supervisa la sesión. Agregue el control de aplicaciones de acceso condicional a las directivas de sesión para limitar actividades de sesión específicas.

Por ejemplo, puede que quiera permitir que los usuarios accedan a una aplicación desde dispositivos no administrados o desde ubicaciones específicas. Sin embargo, puede que quiera limitar la descarga de archivos confidenciales durante esas sesiones o requerir que determinados documentos estén protegidos para descargar, cargar o copiar al salir de la aplicación.

Las directivas creadas para una aplicación host no están conectadas a ninguna aplicación de recursos relacionada. Por ejemplo, las directivas de acceso que cree para Teams, Exchange o Gmail no están conectadas a SharePoint, OneDrive o Google Drive. Si necesitas una directiva para la aplicación de recursos además de la aplicación host, crea una directiva independiente.

No hay ningún límite en el número de directivas que se pueden aplicar.

Requisitos previos

Antes de empezar, asegúrese de que cumple los siguientes requisitos previos:

Para que la directiva de sesión funcione, también debe tener una directiva de acceso condicional de Microsoft Entra ID, que crea los permisos para controlar el tráfico.

Ejemplo: Creación de directivas de acceso condicional de Microsoft Entra ID para su uso con Defender for Cloud Apps

Este procedimiento proporciona un ejemplo general sobre cómo crear una directiva de acceso condicional para su uso con Defender for Cloud Apps.

  1. En Acceso condicional de Microsoft Entra ID, seleccione Crear nueva directiva.

  2. Escriba un nombre descriptivo para la directiva y, a continuación, seleccione el vínculo en Sesión para agregar controles a la directiva.

  3. En el área Sesión, seleccione Usar control de aplicaciones de acceso condicional.

  4. En el área Usuarios, seleccione incluir solo todos los usuarios o usuarios y grupos específicos.

  5. En las áreas Condiciones y Aplicaciones cliente, seleccione las condiciones y las aplicaciones cliente que quiera incluir en la directiva.

  6. Guarde la directiva estableciendo Solo informe en Activado y, a continuación, seleccione Crear.

Microsoft Entra ID admite directivas basadas en explorador y no basadas en explorador. Se recomienda crear ambos tipos para aumentar la cobertura de seguridad.

Repita este procedimiento para crear una directiva de acceso condicional no basada en explorador. En el área Aplicaciones cliente, cambie la opción Configurar a . A continuación, en Clientes de autenticación moderna, desactive la opción Explorador. Deje seleccionadas todas las demás selecciones predeterminadas.

Para obtener más información, consulte Directivas de acceso condicional habituales y Creación de una directiva de acceso condicional.

Cree una directiva de sesión de Defender for Cloud Apps

En este procedimiento se describe cómo crear una nueva directiva de sesión en Defender for Cloud Apps.

  1. En Microsoft Defender XDR, seleccione la pestaña Aplicaciones en la nube > Directivas > Administración de directivas > Acceso condicional.

  2. Seleccione Crear directiva>Directiva de sesión. Por ejemplo:

    Captura de pantalla de la página Crear una directiva de acceso condicional.

  3. En la página Crear directiva de sesión, empiece seleccionando una plantilla en la lista desplegable Plantilla de directiva o escribiendo todos los detalles manualmente.

  4. Introduzca la siguiente información básica para la directiva. Si usa una plantilla, gran parte del contenido ya estará rellenado automáticamente.

    Nombre Descripción
    Nombre de directiva Un nombre descriptivo para la directiva, como Bloquear la descarga de documentos confidenciales en Box para usuarios de marketing
    Gravedad de la directiva Seleccione la gravedad que desea aplicar a esta directiva.
    Categoría Seleccione la categoría que desee aplicar.
    Descripción Escriba una descripción opcional y significativa de la directiva para ayudar a su equipo a comprender su propósito.
    Tipo de control de sesión Seleccione una de las siguientes opciones:

    - Solo supervisar. Solo supervisa la actividad del usuario y crea una directiva de Solo supervisar para las aplicaciones que seleccione.
    - Bloquear actividades. Bloquea las actividades específicas definidas por el filtro Tipo de actividad. Todas las actividades de las aplicaciones seleccionadas se supervisan y notifican en el registro de actividad.
    - Controlar descarga de archivos (con inspección). Supervisa las descargas de archivos y se puede combinar con otras acciones, como bloquear o proteger las descargas.
    - Controlar carga de archivos (con inspección). Supervisa las cargas de archivos y se puede combinar con otras acciones, como bloquear o proteger las cargas.

    Para obtener más información, consulte Actividades admitidas para directivas de sesión.
  5. En el área Actividades que coinciden con todo lo siguiente, seleccione más filtros de actividad para aplicarlos a la directiva. Los filtros incluyen las siguientes opciones:

    Nombre Descripción
    Tipo actividad Seleccione el tipo de actividad que desea aplicar, por ejemplo:

    - Impresión
    - Acciones del Portapapeles, como cortar, copiar, pegar
    - Envío, uso compartido, anulación de uso compartido o edición de elementos en aplicaciones compatibles.

    Por ejemplo, use una actividad de envío de elementos en las condiciones para detectar a un usuario que intenta enviar información en un canal de Slack o chat de Teams y bloquear el mensaje si contiene información confidencial, como una contraseña u otras credenciales.
    Aplicación Filtra una aplicación específica para incluirla en la directiva. Seleccione primero las aplicaciones seleccionando si usan la incorporación automatizada de Azure AD, para las aplicaciones de Microsoft Entra ID o la incorporación manual, para aplicaciones con IdP que no es de Microsoft. A continuación, seleccione la aplicación que desea incluir en el filtro de la lista.

    Si la aplicación con IdP que no es de Microsoft no está en la lista, asegúrese de que la ha incorporado completamente. Para más información, consulte:
    - Incorporación de aplicaciones de catálogo con IdP que no es de Microsoft para el control de aplicaciones de acceso condicional
    - Incorporación de aplicaciones personalizadas con IdP que no es de Microsoft para el control de aplicaciones de acceso condicional

    Si decide no usar el filtro Aplicación, la directiva se aplica a todas las aplicaciones marcadas como Habilitadas en la página Configuración > Aplicaciones en la nube > Aplicaciones conectadas > Aplicaciones de control de aplicaciones de acceso condicional.

    Nota: es posible que vea cierta superposición entre las aplicaciones que se incorporan y las que necesitan la incorporación manual. En caso de conflicto en el filtro entre las aplicaciones, las aplicaciones incorporadas manualmente tendrán prioridad.
    Device Filtre por etiquetas de dispositivo, como para un método de administración de dispositivos específico o tipos de dispositivo, como PC, móvil o tableta.
    Dirección IP Filtre por dirección IP o use las etiquetas de dirección IP previamente asignadas.
    Ubicación Filtre por ubicación geográfica. La ausencia de una ubicación claramente definida puede identificar actividades de riesgo.
    ISP registrado Filtre las actividades procedentes de un ISP específico.
    User Filtre por un usuario o grupo de usuarios específico.
    Cadena de agente de usuario Filtre por una cadena de agente de usuario específica.
    Etiqueta de agente de usuario Filtre por etiquetas de agente de usuario, como para exploradores o sistemas operativos obsoletos.

    Por ejemplo:

    Captura de pantalla de un filtro de ejemplo al crear una directiva de acceso.

    Seleccione Editar y obtener una vista previa de los resultados para obtener una vista previa de los tipos de actividades que se devolverían con la selección actual.

  6. Configure opciones adicionales disponibles para cualquier tipo de control de sesión específico.

    Por ejemplo, si seleccionó Bloquear actividades, seleccione Usar inspección de contenido para inspeccionar el contenido de la actividad y, a continuación, configure las opciones según sea necesario. En este caso, es posible que desee inspeccionar el texto que incluye expresiones específicas, como un número de seguridad social.

  7. Si seleccionó Controlar descarga de archivos (con inspección) o Controlar carga de archivos (con inspección), configure los ajustes de Archivos que coinciden con todo lo siguiente .

    1. Configure uno de los siguientes filtros de archivo:

      Nombre Descripción
      Etiqueta de confidencialidad Filtre por las etiquetas de confidencialidad de Microsoft Purview Information Protection si también usa Microsoft Purview y los datos están protegidos con etiquetas de confidencialidad.
      Nombre de archivo Filtre por archivos específicos.
      Extensión Filtre por tipos de archivo específicos, por ejemplo, bloquee la descarga de todos los archivos .xls.
      Tamaño de archivo (MB) Filtre por tamaños de archivo específicos, como archivos grandes o pequeños.
    2. En el área Aplicar a (versión preliminar):

      • Seleccione si se va a aplicar la directiva a todos los archivos o solo los archivos de carpetas especificadas.
      • Seleccione el método de inspección que se va a usar, como servicios de clasificación de datos o malware. Para obtener más información, vea Integración de los servicios de clasificación de datos de Microsoft.
      • Configure opciones más detalladas para la directiva, como escenarios basados en elementos como huellas digitales o clasificadores entrenables.
  8. En el área Acciones, seleccione una de las siguientes opciones:

    Nombre Descripción
    Auditoría Supervisa todas las actividades. Seleccione esta acción para permitir expresamente las descargas según los filtros de directiva que haya establecido.
    Bloquear Bloquea las descargas de archivos y supervisa todas las actividades. Seleccione esta acción para bloquear expresamente las descargas según los filtros de directiva que haya establecido.

    Las directivas de bloqueo también permiten seleccionar notificar a los usuarios por correo electrónico y personalizar el mensaje de bloqueo.
    Proteger Aplica una etiqueta de confidencialidad a la descarga y supervisa todas las actividades. Solo está disponible si ha seleccionado la opción Controlar descarga de archivos (con inspección).

    Si usa Microsoft Purview Information Protection, también puede seleccionar aplicar una etiqueta de confidencialidad a los archivos coincidentes, aplicar permisos personalizados al usuario que descarga archivos o bloquear la descarga de archivos específicos.

    Si tiene una directiva de acceso condicional de Microsoft Entra ID, también puede seleccionar para requerir autenticación paso a paso (versión preliminar).

    Opcionalmente, seleccione la opción Aplicar siempre la acción seleccionada aunque los datos no se puedan examinar según sea necesario para la directiva.

  9. En el área Alertas, configure cualquiera de las siguientes acciones según sea necesario:

    • Crear una alerta para cada evento coincidente con la gravedad de la directiva
    • Enviar una alerta como correo electrónico
    • Límite diario de alertas por directiva
    • Enviar alertas a Power Automate
  10. Seleccione Crear cuando haya terminado.

Prueba de la directiva

Después de crear la directiva de sesión, pruébela mediante la nueva autenticación en cada aplicación configurada en la directiva y la prueba del escenario que ha configurado en la directiva.

Se recomienda que:

  • Cierre la sesión de todas las sesiones existentes antes de volver a autenticarse en las aplicaciones.
  • Inicie sesión en aplicaciones móviles y de escritorio desde dispositivos administrados y no administrados para asegurarse de que las actividades se capturan por completo en el registro de actividad.

Asegúrese de iniciar sesión con un usuario que coincida con la directiva.

Para probar la directiva en la aplicación:

  • Compruebe si el icono de bloqueo aparece en el navegador, o bien si está trabajando en un navegador distinto de Microsoft Edge, compruebe que la dirección URL de la aplicación incluye el sufijo .mcas. Para obtener más información, consulte Protección integrada del explorador con Microsoft Edge para empresas (versión preliminar).

  • Visite todas las páginas de la aplicación que forman parte del proceso de trabajo de un usuario y compruebe que las páginas se representan correctamente.

  • Compruebe que el comportamiento y la funcionalidad de la aplicación no se ven afectados negativamente mediante la realización de acciones comunes, como descargar y cargar archivos.

  • Si está trabajando con aplicaciones personalizadas, con IdP que no es de Microsoft, compruebe cada uno de los dominios que ha agregado manualmente para la aplicación.

Si encuentra errores o problemas, use la barra de herramientas de administración para recopilar recursos como archivos .har y sesiones grabadas para presentar una incidencia de soporte técnico.

Para comprobar si hay actualizaciones en Microsoft Defender XDR:

  1. En el Portal de Microsoft Defender, en Aplicaciones en la nube, vaya a Directivas y, a continuación, seleccione Administración de directivas.

  2. Seleccione la directiva que ha creado para ver el informe de directivas. Una coincidencia de directiva de sesión debe aparecer en breve.

En el informe de directiva se muestran los inicios de sesión que se han redirigido a Microsoft Defender for Cloud Apps para someterlos a un control de sesión, así como otras acciones, como los archivos que se han descargado o bloqueado en las sesiones supervisadas.

Desactivación de la configuración de notificaciones de usuario

De forma predeterminada, se notifica a los usuarios cuando se supervisan sus sesiones. Si prefiere que no se notifique a los usuarios o si desea para personalizar el mensaje de notificación, configure las opciones de notificación.

En Microsoft Defender XDR, seleccione Configuración > Aplicaciones en la nube > Control de aplicaciones de acceso condicional > Supervisión de usuarios.

Realice una de las siguientes selecciones:

  • Desactive la opción Notificar a los usuarios que su actividad se está supervisando
  • Mantenga la selección y seleccione usar el mensaje predeterminado o para personalizar el mensaje.

Seleccione el vínculo Vista previa para ver un ejemplo del mensaje configurado en una nueva pestaña del explorador.

Exportación de registros de Cloud Discovery

El control de aplicaciones de acceso condicional crea registros de tráfico de cada sesión de usuario que pasa a través de él. Los registros de tráfico reflejan la hora, la dirección IP, los agentes de usuario, las direcciones URL visitadas y el número de bytes cargados y descargados. Estos registros se analizan y un informe continuo, Control de aplicaciones de acceso condicional de Defender for Cloud Apps, se agrega a la lista de informes de Cloud Discovery en el panel de Cloud Discovery.

Para exportar registros de Cloud Discovery desde el panel de Cloud Discovery:

  1. En el portal de Microsoft Defender, seleccione Configuración. A continuación, seleccione Aplicaciones en la nube. En Aplicaciones conectadas, seleccione Control de aplicaciones de acceso condicional.

  2. Encima de la tabla, seleccione el botón Exportar. Por ejemplo:

    Captura de pantalla del botón Exportar.

  3. Seleccione el intervalo del informe y seleccione Exportar. Este proceso puede tardar algún tiempo.

  4. Para descargar el registro exportado después de que el informe esté listo, en el Portal de Microsoft Defender, vaya a Informes ->Aplicaciones en la nube y, a continuación, Informes exportados.

  5. En la tabla, seleccione el informe que proceda en la lista de registros de tráfico del control de aplicaciones de acceso condicional y seleccione Descargar. Por ejemplo:

    Captura de pantalla del botón Descargar.

Actividades admitidas para directivas de sesión

En las secciones siguientes se proporcionan más detalles sobre cada actividad compatible con las directivas de sesión de Defender for Cloud Apps.

Solo supervisar

El tipo de control de sesión Solo supervisar solo supervisa la actividad de Iniciar sesión.

Para supervisar otras actividades, seleccione uno de los otros tipos de control de sesión y use la acción Auditar.

Para supervisar actividades que no sean descargas ni cargas, debe tener al menos una directiva de bloquear por actividad en su directiva de supervisión.

Bloqueo de todas las descargas

Cuando Controlar descarga de archivos (con inspección) está establecido como el tipo de control de sesión y Bloquear está establecido como la acción, el control de aplicaciones de acceso condicional impide que los usuarios descarguen un archivo según los filtros de archivo de directivas.

Cuando un usuario inicia una descarga, aparece un mensaje de Descarga restringida para el usuario y el archivo descargado se reemplaza por un archivo de texto. Configure el mensaje del archivo de texto para el usuario según sea necesario para su organización.

Requerir la autenticación paso a paso

La acción Requerir autenticación paso a paso está disponible cuando el tipo de control de sesión está establecido en Bloquear actividades, Controlar descarga de archivos (con inspección) o Controlar carga de archivos (con inspección).

Cuando se seleccione esta acción, Defender for Cloud Apps redirige la sesión al acceso condicional de Microsoft Entra para la reevaluación de directivas, siempre que se produzca la actividad seleccionada.

Utilice esta opción para comprobar afirmaciones como la autenticación multifactor y el cumplimiento del dispositivo durante una sesión, en función del contexto de autenticación configurado en Microsoft Entra I.

Bloqueo de actividades específicas

Cuando Bloquear actividades está establecido como tipo de control de sesión, pueden seleccionarse determinadas actividades para bloquear aplicaciones específicas.

  • Todas las actividades de las aplicaciones configuradas se supervisan y notifican en Aplicaciones en la nube > Registro de actividad.

  • Para bloquear actividades específicas, seleccione aún más la acción Bloquear y seleccione las actividades que desee bloquear.

  • Para generar alertas para actividades específicas, seleccione la acción Auditar y configure las opciones de alerta.

Por ejemplo, quizá desee bloquear las actividades siguientes:

  • Mensaje enviado de Teams. Bloquee a los usuarios para que no envíen mensajes desde Microsoft Teams o bloquee los mensajes de Teams que contengan contenido específico.

  • Imprimir. Bloquear todas las acciones de impresión.

  • Copiar. Bloquee todas las acciones de copia en el Portapapeles o bloquee solo la copia de contenido específico.

Protección de archivos en la descarga

Seleccione el tipo de control de sesión Bloquear actividades para bloquear actividades específicas, que se definen mediante el filtro Tipo de actividad.

Todas las actividades de las aplicaciones configuradas se supervisan y notifican en Aplicaciones en la nube > Registro de actividad.

  • Seleccione la acción Bloquear para bloquear actividades específicas, o bien seleccione la acción Auditar y defina la configuración de alertas para generar alertas para actividades específicas.

  • Seleccione la acción Proteger para proteger los archivos con etiquetas de confidencialidad y otras protecciones según los filtros de archivo de la directiva.

    Las etiquetas de confidencialidad se configuran en Microsoft Purview y deben configurarse para aplicar el cifrado para que aparezca como opción en la directiva de sesión de Defender for Cloud Apps.

    Cuando haya configurado la directiva de sesión con una etiqueta específica y el usuario descargue un archivo que cumpla los criterios de la directiva, la etiqueta y las protecciones y permisos correspondientes se aplican en el archivo.

    El archivo original permanece tal cual en la aplicación en la nube, mientras que el archivo descargado está protegido. Los usuarios que intenten descargar al archivo deben cumplir los requisitos de permiso establecidos por la protección aplicada.

Defender for Cloud Apps admite actualmente la aplicación de etiquetas de confidencialidad de Microsoft Purview Information Protection para los siguientes tipos de archivo:

  • Word: docm, docx, dotm, dotx
  • Excel: xlam, xlsm, xlsx, xltx
  • PowerPoint: potm, potx, ppsx, ppsm, pptm, pptx
  • PDF

Nota:

Los archivos PDF deben etiquetarse con etiquetas unificadas.

La opción Proteger no admite la sobrescritura de archivos con una etiqueta existente en las directivas de sesión.

Protección de cargas de archivos confidenciales

Seleccione el tipo de control de sesión Controlar carga de archivos (con inspección) para evitar que un usuario cargue un archivo según los filtros de archivo de la directiva.

Si el archivo que se va a cargar tiene datos confidenciales y no tiene la etiqueta correcta, se bloquea la carga de archivos.

Por ejemplo, cree una directiva que examine el contenido de un archivo para determinar si contiene una coincidencia de contenido confidencial, como un número del seguro social. Si contiene contenido confidencial y no está etiquetado con una etiqueta confidencial de Microsoft Purview Information Protection, la carga de archivos se bloquea.

Sugerencia

Configure un mensaje personalizado para el usuario cuando se bloquee un archivo, indicándole cómo etiquetar el archivo para poder cargarlo, lo que le ayudará a garantizar que los archivos almacenados en sus aplicaciones en la nube cumplen con sus directivas.

Para obtener más información, consulte Instruir a los usuarios para proteger archivos confidenciales.

Bloqueo de malware al cargar o descargar

Seleccione Controlar carga de archivos (con inspección) o Controlar descarga de archivos (con inspección) como tipo de control de sesión y Detección de malware como método de inspección para impedir que un usuario cargue o descargue un archivo con malware. Los archivos se examinan en busca de malware mediante el motor de inteligencia sobre amenazas de Microsoft.

Para ver los archivos marcados como malware potencial, acceda a Aplicaciones en la nube > Registro de actividad y filtre por Posible malware detectado. Para obtener más información, consulte Filtros de actividad y consultas.

Instruir a los usuarios para proteger archivos confidenciales

Se recomienda instruir a los usuarios cuando incumplan las directivas para que aprendan a cumplir los requisitos de su organización.

Dado que cada empresa tiene necesidades y directivas únicas, Defender for Cloud Apps permite personalizar los filtros de una directiva y el mensaje que se muestra al usuario cuando se detecta una infracción.

Proporcione instrucciones específicas a los usuarios, por ejemplo, sobre cómo etiquetar correctamente un archivo o cómo inscribir un dispositivo no administrado, para asegurarse de que los archivos se cargan correctamente.

Por ejemplo, si un usuario carga un archivo sin una etiqueta de confidencialidad, configure un mensaje para que se muestre, en el que se explique que el archivo contiene contenido confidencial y requiere una etiqueta adecuada. De forma similar, si un usuario intenta cargar un documento desde un dispositivo no administrado, configure un mensaje para que se muestre con instrucciones sobre cómo inscribir ese dispositivo o uno que proporcione una explicación adicional de por qué se debe inscribir el dispositivo.

Controles de acceso en directivas de sesión

Muchas organizaciones que eligen usar controles de sesión para aplicaciones en la nube para controlar las actividades en sesión, también aplican controles de acceso para bloquear el mismo conjunto de aplicaciones cliente móviles y de escritorio integradas, lo que proporciona una seguridad completa para las aplicaciones.

Bloquee el acceso a aplicaciones cliente móviles y de escritorio integradas con directivas de acceso estableciendo el filtro de aplicación cliente en Móvil y escritorio. Algunas aplicaciones cliente integradas se pueden reconocer individualmente, mientras que otras que forman parte de un conjunto de aplicaciones solo se pueden identificar como su aplicación de nivel superior. Por ejemplo, las aplicaciones como SharePoint Online solo se pueden reconocer mediante la creación de una directiva de acceso aplicada a aplicaciones de Microsoft 365.

Nota:

A menos que el filtro de aplicación cliente se establezca específicamente en Móvil y escritorio, la directiva de acceso resultante solo se aplicará a las sesiones del explorador. Esto está pensado para evitar sesiones de usuario proxy involuntarias.

Aunque la mayoría de los exploradores principales admiten la realización de una comprobación de certificados de cliente, algunas aplicaciones móviles y de escritorio usan exploradores integrados que pueden no admitir esta comprobación. Por lo tanto, el uso de este filtro puede afectar a la autenticación de estas aplicaciones.

Conflictos entre directivas

Cuando hay un conflicto entre dos directivas de sesión, gana la más restrictiva.

Por ejemplo:

  • Si una sesión de usuario coincide con una directiva en la que se bloquean las descargas
  • Y una directiva en la que se etiquetan los archivos tras la descarga o dónde se auditan las descargas,
  • La opción de descarga de archivos está bloqueada para cumplir con la directiva más restrictiva.

Para más información, vea:

Si tienes algún problema, estamos aquí para ayudar. Para obtener ayuda o soporte técnico para el problema del producto, abre una incidencia de soporte técnico.