Compartir a través de

Trabajar con aplicaciones detectadas

  • Artículo

La página Cloud discovery ofrece un panel diseñado para proporcionar más información sobre la forma de usar las aplicaciones en la nube en la organización. El panel proporciona una vista general sobre los tipos de aplicaciones que en uso, las alertas abiertas y los niveles de riesgo de las aplicaciones de la organización. También muestra quiénes son los usuarios que más usan las aplicaciones y proporciona un mapa de ubicación de la Sede central de la aplicación.

Filtre los datos de Cloud Discovery para generar vistas específicas, en función de lo que más le interese. Para obtener más información, consulte: Detectar filtros de aplicaciones.

Requisitos previos

Para obtener información sobre los roles necesarios, consulte Administración del acceso de administrador.

Revisar el panel de cloud discovery

En este procedimiento se describe cómo se pude obtener una imagen inicial y general de las aplicaciones de cloud discovery en el panel Cloud Discovery .

  1. En el portal Microsoft Defender, seleccione aplicaciones Cloud > Cloud discovery.

    Por ejemplo:

    Captura de pantalla del panel Cloud discovery

    Las aplicaciones admitidas incluyen aplicaciones de Windows y macOS, que aparecen en la transmisión de puntos de conexión administrados de Defender.

  2. Revisa la información siguiente:

    1. Uso de la Información general sobre el uso de alto nivel para entender el uso general de aplicaciones en la nube en su organización.

    2. Profundice un nivel para entender las categorías que más se usan en la organización para cada uno de los diferentes parámetros de uso. Puede ver qué parte de este uso corresponde a aplicaciones autorizadas.

    3. Utilice la pestaña Aplicaciones detectadas para profundizar aún más y ver todas las aplicaciones de una categoría específica.

    4. Compruebe los principales usuarios y las direcciones IP de origen para identificar los usuarios predominantes de aplicaciones en la nube de la organización.

    5. Utilice el mapa de la sede central de la aplicación para comprobar cómo se extienden las aplicaciones detectadas según la ubicación geográfica, de acuerdo con su sede central.

    6. Utilice la información general sobre el riesgo de las aplicaciones para entender la puntuación de riesgo de la aplicación detectada y comprobar el estado de las alertas de detección para ver cuántas alertas abiertas debe investigar.

Profundizar en las aplicaciones detectadas

Para profundizar más en los datos de cloud discovery, use los filtros para comprobar si hay aplicaciones de riesgo o de uso frecuente.

Por ejemplo, si quiere identificar las aplicaciones de colaboración y de almacenamiento en la nube que entrañan riesgos y que se usan habitualmente, puede usar la página Aplicaciones detectadas para filtrar las aplicaciones que quiera. Después, no autorice o bloquee como se indica aquí:

  1. En el portal de Microsoft Defender, en Aplicaciones en la nube, seleccione Cloud Discovery. A continuación, seleccione la pestaña Aplicaciones detectadas.

  2. En la pestaña Aplicaciones detectadas, en Buscar por categoría, seleccione Almacenamiento en la nube y Colaboración.

  3. Utilice los filtros avanzados para establecer el Factor de riesgo de cumplimiento en SOC 2 = No.

  4. Para Uso, establezca Usuarios en más de 50 usuarios y Transacciones en más de 100.

  5. Establezca el Factor de riesgo para la seguridad para Data at rest encryption (Cifrado de datos en reposo) igual a No admitido. Después, establezca Puntuación de riesgo en un valor igual o menor que 6.

    Captura de pantalla de ejemplos de filtros de aplicaciones detectadas.

Una vez que se han filtrado los resultados, no autorice y bloquee las aplicaciones. Para ello, active la casilla de acción masiva para autorizar todas en una sola acción. Una vez se hayan catalogado como no autorizadas, puede usar un script de bloqueo para impedir que se usen en su entorno.

Puede que también quiera identificar instancias específicas de aplicación que se están usando al investigar los subdominios detectados. Por ejemplo, diferenciar entre los distintos sitios de SharePoint:

Filtro de subdominio.

Nota:

Solo se permite profundizar en las aplicaciones detectadas mediante los firewalls y servidores proxy que contienen datos de dirección URL de destino. Para obtener más información, consulte Firewalls y servidores proxy compatibles.

Si Defender for Cloud Apps no encuentra coincidencias entre el subdominio detectado en los registros de tráfico y los datos almacenados en el catálogo de aplicaciones, el subdominio se etiqueta como Otro.

Detección de recursos y aplicaciones personalizadas

Cloud discovery también le permite profundizar en los recursos de IaaS y PaaS. Detecte la actividad en las plataformas de hospedaje de recursos, ver el acceso a los datos en sus aplicaciones y recursos autohospedados, incluidas las cuentas de almacenamiento, la infraestructura y las aplicaciones personalizadas hospedadas en Azure, Google Cloud Platform y AWS. No solo puede ver el uso general de las soluciones de IaaS, sino que puede tener visibilidad de los recursos específicos hospedados en cada una y el uso general de los recursos, para ayudar a mitigar el riesgo por recurso.

Por ejemplo, si se carga una gran cantidad de datos, descubra en qué recurso se ha cargado y profundice para ver quién realizó la actividad.

Nota:

Esto solo se admite en los firewalls y servidores proxy que contienen datos de dirección URL de destino. Para obtener más información, vea la lista de dispositivos compatibles en Firewalls y servidores proxy compatibles.

Para ver los recursos detectados:

  1. En el portal de Microsoft Defender, en Aplicaciones en la nube, seleccione Cloud Discovery. A continuación, elija la pestaña Recursos detectados.

    Captura de pantalla del menú de recursos detectados.

  2. En la página Recursos detectados, puede explorar en profundidad cada recurso para ver qué tipos de transacciones se produjeron, quién accedió a él y, a continuación, explorar en profundidad para investigar a los usuarios aún más.

    Captura de pantalla de la pestaña Recursos detectados.

  3. En el caso de las aplicaciones personalizadas, seleccione el menú al final de la fila y después elija Agregar nueva aplicación personalizada. Se abrirá el diálogo Agregar esta aplicación, donde podrá asignar un nombre e identificar la aplicación para que se pueda incluir en el panel de cloud discovery.

Generación de un informe ejecutivo de cloud discovery

La mejor manera de obtener información general sobre el uso de Shadow IT en la organización es generar un informe ejecutivo de cloud discovery. Este informe permite identificar los principales riesgos posibles y agiliza el planeamiento de un flujo de trabajo para mitigarlos y administrarlos hasta que se resuelvan.

Para generar un informe ejecutivo de cloud discovery:

  1. En el portal de Microsoft Defender, en Aplicaciones en la nube, seleccione Cloud Discovery.

  2. En la página Cloud Discovery, seleccione Acciones>Generar informe ejecutivo de Cloud Discovery .

  3. Si lo prefiere, cambie el nombre del informe y, a continuación, seleccione Generar.

Excluir entidades

Si tiene usuarios de sistemas, direcciones IP o dispositivos que son ruidosos pero carecen de interés, o entidades que no deberían presentarse en los informes de Shadow IT, es posible que desee excluir sus datos de los datos de cloud discovery que se analizan. Por ejemplo, puede excluir toda la información que se origina en un host local.

Para crear una exclusión:

  1. En el portal Microsoft Defender, seleccione Configuración>Cloud Apps>Cloud Discovery>Excluir entidades.

  2. Seleccione la pestaña Usuarios excluidos, Grupos excluidos, Direcciones IP exluidas o Dispositivos excluidos y seleccione el botón +Agregar para añadir la exclusión.

  3. Añada un alias de usuario, una dirección IP o un nombre de dispositivo. Se recomienda agregar información sobre por qué se ha realizado la exclusión.

    Captura de pantalla de la exclusión de un usuario.

Nota:

Todas las exclusiones de entidades se aplican sólo a los datos recién recibidos. Los datos históricos de las entidades excluidas permanecen a través del período de retención (90 días).

Administrar informes continuos

Los informes continuos personalizados le proporcionan más granularidad al supervisar los datos de registro de cloud discovery de la organización. Crear informes personalizado para filtrar por ubicaciones geográficas concretas, redes y sitios o unidades organizativas. De forma predeterminada, solo aparecen los informes siguientes en el selector de informes de cloud discovery:

  • El informe global consolida toda la información del portal de todos los orígenes de datos incluidos en los registros. El informe global no incluye datos de Microsoft Defender para punto de conexión.

  • El informe específico de origen de datos muestra únicamente la información de un origen de datos concreto.

Para crear un informe continuo:

  1. En el portal de Microsoft Defender, seleccione Configuración>Cloud Apps>Cloud Discovery>Informe continuo>Crear informe.

  2. Escriba un nombre de informe.

  3. Seleccione los orígenes de datos que quiere incluir (todos u orígenes específicos).

  4. Establezca los filtros que quiera sobre los datos. Estos filtros pueden ser Grupos de usuarios, Etiquetas de dirección IP o Intervalos de direcciones IP. Para obtener más información sobre el trabajo con etiquetas de dirección IP e intervalos de direcciones IP, consulte Organize the data according to your needs (Organizar los datos de acuerdo a las necesidades).

    Captura de pantalla de la creación de un informe continuo personalizado.

Nota:

Todos los informes personalizados se limitan a un máximo de 1 GB de datos sin comprimir. Si hay más de 1 GB de datos, se exportará el primer GB de datos en el informe.

Eliminar datos de cloud discovery

Recomendamos eliminar los datos de cloud discovery en los siguientes casos:

  • Si cargó manualmente archivos de registro y ha pasado mucho tiempo desde que actualizó el sistema con nuevos archivos de registro y no quiere que los datos antiguos afecten a los resultados.

  • Cuando se establece una nueva vista de datos personalizada, solo se aplica a los nuevos datos a partir de ese momento. En esos casos, es posible que quiera borrar los datos antiguos y luego volver a cargar los archivos de registro para permitir que la vista de datos personalizada tome los eventos de los datos del archivo de registro.

  • Si hay muchos usuarios o direcciones IP que hayan vuelto a trabajar recientemente después de estar sin conexión durante algún tiempo, su actividad se identificará como anómala y es posible que obtenga muchas alertas de infracciones que sean falsos positivos.

Importante

Asegúrese de que desea eliminar datos antes de hacerlo. Esta acción es irreversbile y elimina todos los datos de Cloud Discovery del sistema.

Para eliminar datos de cloud discovery:

  1. En el portal Microsoft Defender, seleccione Configuración>Cloud Apps>Cloud Discovery>Eliminar datos.

  2. Seleccione el botón Eliminar.

    Captura de pantalla de eliminación de datos de cloud discovery.

Nota:

El proceso de eliminación tarda unos minutos y no es inmediato.

Pasos siguientes

Creación de informes de Cloud Discovery de instantáneas

Configurar la carga de registros automática para informes continuos

Trabajar con datos de Cloud Discovery

Detección de aplicaciones con la integración de Microsoft Defender para punto de conexión