Creación de directivas de actividad de Microsoft Defender for Cloud Apps
Las directivas de actividad permiten aplicar toda una variedad de procesos automatizados usando las API del proveedor de aplicaciones. Estas directivas permiten supervisar actividades concretas realizadas por distintos usuarios o seguir niveles inesperadamente altos de un determinado tipo de actividad.
Una vez que se ha establecido una directiva de detección de actividad, empieza a generar alertas, pero únicamente para las actividades que se producen después de haber creado la directiva.
Nota:
- Las directivas que desencadenan más de 200 000 coincidencias al día o 100 000 coincidencias por 3 horas, se pueden deshabilitar automáticamente. Puede probar a refinar las directivas agregando filtros adicionales o, si usa directivas con fines de informes, considere la posibilidad de guardarlas como consultas en su lugar.
- La configuración de una nueva directiva en la implementación puede tardar hasta 15 minutos.
Alertas personalizadas
Las directivas de actividad permiten enviar alertas personalizadas o realizar acciones cuando se detecta actividad del usuario. Por ejemplo, quiere saber cada vez que ocurre lo siguiente:
- Un usuario intenta iniciar sesión y se produce un error 70 veces durante un minuto.
- Un usuario descarga 7000 archivos.
- Un usuario ha iniciado sesión desde un país o región desconocidos
Puede establecer que se le envíen alertas de actividad a usted o al usuario cuando se producen estos eventos. Incluso puede suspender el usuario hasta que haya terminado de investigar lo sucedido.
Para crear una nueva directiva de actividad, siga este procedimiento:
En el Portal de Microsoft Defender, en Aplicaciones en la nube, vaya a Directivas ->Administración de directivas. A continuación, seleccione la pestaña Detección de amenazas.
Haga clic en Crear directiva y seleccione Directiva de actividad.
Asigne un nombre y una descripción a la directiva. Si quiere, puede basarla en una plantilla. Para obtener más información sobre las plantillas de directiva, vea Controlar aplicaciones en la nube con directivas.
Para establecer qué acciones o qué otras métricas desencadenan esta directiva, trabaje con filtros de actividad.
Para asegurarse de que solo incluya resultados en los que el campo de filtro especificado tenga un valor, se recomienda volver a agregar el mismo campo mediante la prueba establecida. Por ejemplo, cuando el filtrado por Ubicación no es igual a una lista especificada de países o regiones, también se establece un filtro para Ubicación. También puede obtener una vista previa de los resultados del filtro seleccionando Editar y obtener una vista previa de los resultados. Por ejemplo:
Cuando un filtro se establece en no es igual a y el atributo no existe en el evento, el evento no se filtrará. Por ejemplo, el filtrado en la etiqueta de dispositivo no es igual a "Unido híbrido a Microsoft Entra" no filtrará los eventos que no contienen la etiqueta de dispositivo, incluso si el dispositivo está unido a Microsoft Entra.
En el caso de un usuario invitado, puede haber casos en los que el filtro Usuario de grupo no reconozca la cuenta por su dominio. Para asegurarse de que se incluyen todos los usuarios invitados, use Usuarios externos como grupo, si satisface sus necesidades para la directiva.
En Crear filtros para la directiva, seleccione cuándo se desencadenará una infracción de directiva. Elija que se desencadene cuando una única actividad coincida con los filtros o solo cuando se detecte un número especificado de actividades repetidas.
- Si elige Actividad repetida, puede establecer En una única aplicación. Esta configuración desencadenará una coincidencia de directiva solo cuando se producen las actividades repetidas en la misma aplicación. Por ejemplo, cinco descargas en 30 minutos desde Box desencadenan una coincidencia de directiva.
Configure las acciones que deben realizarse cuando se encuentra una coincidencia.
Observe estos ejemplos:
Varios inicios de sesión erróneos
Puede establecer la directiva de forma que reciba una alerta cuando se produce un gran número de inicios de sesión erróneos durante un breve período de tiempo. Para configurar este tipo de directiva, elija el filtro de actividad adecuado en la página New Activity Policy (Nueva directiva de actividad).
Bajo el campo Filtros de actividad, configure los parámetros para los que se desencadenará la alerta.
Frecuencia de descarga alta
Puede establecer la directiva de modo que reciba una alerta cuando se produzca un nivel de actividad de descarga inesperado o inusitado. Para configurar este tipo de directiva, en el parámetro Frecuencia, elija los parámetros que desencadenen la alerta.
Referencia de directiva de actividad
En esta sección se proporciona información de referencia sobre directivas, se ofrecen explicaciones sobre cada tipo de directiva y se detallan los campos que se pueden configurar en cada directiva.
Una directiva de actividad es una directiva basada en API que le permite supervisar las actividades de la organización en la nube. La directiva tiene en cuenta más de 20 filtros de metadatos de archivo, incluidos el tipo de dispositivo y la ubicación. Basándose en los resultados de la directiva, se pueden generar notificaciones y se puede suspender a usuarios de la aplicación en la nube. Cada directiva se compone de las siguientes partes:
Filtros de actividad: permiten crear condiciones pormenorizadas basadas en metadatos.
Parámetros de coincidencia de actividad: permiten establecer un umbral de número de veces que se repite una actividad para que se considere que coincide con la directiva. Especifique el número de actividades repetidas necesarias para que coincida con la directiva. Por ejemplo, establezca una directiva para que alerte cuando un usuario intente iniciar sesión incorrectamente diez veces en un período de tiempo de dos minutos. De forma predeterminada, Parámetros de coincidencia de actividad, genera una coincidencia para cada actividad única que cumple todos los filtros de la actividad.
- Si usa Actividad repetida, puede establecer el número de actividades repetidas y el período de tiempo durante el que se cuentan las actividades. También puede especificar que todas las actividades debe realizarlas el mismo usuario y en la misma aplicación en la nube.
Acciones: la directiva proporciona un conjunto de acciones de gobernanza que se pueden aplicar automáticamente cuando se detectan infracciones.
Pasos siguientes
Si tienes algún problema, estamos aquí para ayudar. Para obtener ayuda o soporte técnico para el problema del producto, abre una incidencia de soporte técnico.