Compartir vía

Directiva de detección de anomalías de Cloud Discovery

  • Artículo

Una directiva de detección de anomalías de Cloud Discovery permite instalar y configurar la supervisión continua de incrementos poco habituales en el uso de la aplicación en la nube. Para ello, se tienen en cuenta los aumentos de datos descargados, los datos cargados, las transacciones y el número de usuarios de cada aplicación en la nube. Cada incremento se compara con el patrón de uso normal de la aplicación, según se desprende de usos anteriores. Los aumentos más acusados desencadenan alertas de seguridad.

En este artículo se describe cómo crear y configurar una directiva de detección de anomalías de Cloud Discovery en Microsoft Defender for Cloud Apps.

Importante

A partir de agosto de 2024, se va a retirar el servicio de anomalías de Cloud Discovery de Microsoft Defender for Cloud Apps. Por ello, el antiguo procedimiento presentado en este artículo se describe únicamente con fines informativos. Si quiere recibir alertas de seguridad similares a la detección de anomalías, siga los pasos descritos en Creación de una directiva de detección de aplicaciones.

Creación de una directiva de detección de aplicaciones

Aunque se ha retirado el servicio de detección de anomalías de Cloud Discovery, puede recibir alertas de seguridad similares si crea una directiva de detección de aplicaciones:

  1. En el portal de Microsoft Defender, expanda la sección Aplicaciones en la nube>Directivas en el menú de la izquierda y seleccione Administración de directivas.

  2. En la página Directivas, seleccione la pestaña Shadow IT.

  3. Abra el menú desplegable Crear directiva y seleccione la opción Directiva de detección de aplicaciones.

  4. Seleccione la opción Desencadenar una coincidencia de directiva si todo lo siguiente sucede en el mismo día:

    Captura de pantalla donde se ve cómo seleccionar la opción

  5. Configure los filtros y las opciones asociados, tal como se describe en Creación de una directiva de detección de anomalías.

(Versión obsoleta) Creación de directiva de detección de anomalías

Para cada directiva de detección de anomalías, se aplican filtros que permiten supervisar selectivamente el uso de la aplicación. Hay filtros disponibles para la aplicación, las vistas de datos seleccionadas y la fecha de inicio seleccionada. También puede fijar el grado de sensibilidad e indicar el número de alertas para que se aplique la directiva.

Siga los pasos para crear una directiva de detección de anomalías de Cloud Discovery:

  1. En el portal de Microsoft Defender, expanda la sección Aplicaciones en la nube>Directivas en el menú de la izquierda y seleccione Administración de directivas.

  2. En la página Directivas, seleccione la pestaña Shadow IT.

  3. Abra el menú desplegable Crear directiva y seleccione la opción Directiva de detección de anomalías de Cloud Discovery:

    Captura de pantalla que muestra cómo seleccionar la opción para crear una nueva directiva de detección de anomalías de Cloud Discovery.

    Se abrirá la página Crear directiva de detección de anomalías de Cloud Discovery, donde se pueden configurar los parámetros para que se cree la directiva.

  4. En la página Crear directiva de detección de anomalías de Cloud Discovery, la opción Plantilla de directiva incluye una lista de plantillas que puede usar como base para la directiva. De forma predeterminada, esta opción tiene activado el parámetro Sin plantilla.

    Si desea crear la directiva a partir de una plantilla, abra el menú desplegable y seleccione una plantilla:

    • Funcionamiento anómalo en usuarios detectados: avisa cuando se detecta algo anómalo en usuarios y aplicaciones detectados. Puede usar esta plantilla para comprobar grandes cantidades de datos cargados en comparación con otros usuarios o grandes transacciones de usuarios en comparación con el historial del usuario.

    • Funcionamiento anómalo de direcciones IP detectadas: avisa cuando se detecta algo anómalo en las aplicaciones y direcciones IP detectadas. Puede usar esta plantilla para comprobar grandes cantidades de datos cargados en comparación con otras direcciones IP o grandes de aplicaciones en comparación con el historial de la dirección IP.

    En la imagen siguiente se ve cómo seleccionar una plantilla que se usará como base para la nueva directiva en el portal de Microsoft Defender:

    Captura de pantalla donde se ve cómo seleccionar una plantilla que se va a usar como base para la nueva directiva.

  5. Escriba el Nombre de directiva y la Descripción de la nueva directiva.

  6. Cree un filtro en las aplicaciones que quiera supervisar mediante la opción Seleccionar filtro.

    • Abra el menú desplegable y filtre todas las aplicaciones que coincidan por Etiqueta de aplicación, Aplicaciones y dominio, Categoría, diferentes Factores de riesgo o Puntuación de riesgo.

    • Para crear más filtros, seleccione Agregar un filtro.

    En la imagen siguiente se ve cómo seleccionar un filtro para que la directiva se aplique en todas las aplicaciones coincidentes en el portal de Microsoft Defender:

    Captura de pantalla donde se ve cómo seleccionar un filtro para que la directiva se aplique a todas las aplicaciones coincidentes.

  7. Configure los filtros de uso de aplicaciones en la sección Aplicar a:

    1. Use el primer menú desplegable para elegir cómo supervisar los informes de uso continuo:

      • Todos los informes continuos (predeterminado): Cada aumento del uso se compara con el patrón de uso normal, según se desprenda de todas las vistas de datos.

      • Informes continuos específicos: Cada aumento del uso se compara con el patrón de uso normal. El patrón se extrae de la misma vista de datos en la que se ha observado el aumento.

    2. Use el segundo menú desplegable para indicar las asociaciones supervisadas en cada uso de las aplicaciones en la nube:

      • Usuarios: Se ignora la asociación de uso de la aplicación con direcciones IP.

      • Direcciones IP: Se ignora la asociación de uso de la aplicación con usuarios.

      • Usuarios, direcciones IP (predeterminado): Se supervisa la asociación del uso de la aplicación a través de los usuarios y las direcciones IP. Esta opción puede generar alertas duplicadas cuando existe una correspondencia estrecha entre los usuarios y las direcciones IP.

    En la imagen siguiente se ve cómo configurar filtros de uso de aplicaciones y la fecha de inicio para generar alertas de uso en el portal de Microsoft Defender:

    Captura de pantalla donde se ve cómo configurar filtros de uso de aplicaciones y la fecha de inicio para generar alertas de uso.

  8. En la opción Generar alertas solo para actividades sospechosas que ocurran después, escriba la fecha para empezar a generar alertas de uso de la aplicación.

    Se ignorará cualquier aumento en el uso de la aplicación antes de la fecha de inicio indicada. En cambio, los datos de uso de actividad previa a la fecha de inicio se tendrán en cuenta para establecer el patrón de uso normal.

  9. En la sección Alertas, configure la sensibilidad y las notificaciones de alertas. Hay varias formas de controlar el número de alertas activadas por la directiva:

    • Use el control deslizante Seleccionar sensibilidad de la detección de anomalías para generar alertas de las X actividades anómalas principales por cada 1000 usuarios por semana. Se activarán las alertas de las actividades con el riesgo más alto.

    • Seleccione la opción Crear una alerta para cada evento coincidente con la gravedad de la directiva para ajustar otros parámetros para la alerta:

      • Enviar alerta como correo electrónico: escriba las direcciones de correo electrónico para los mensajes de alerta. Se puede enviar un máximo de 500 mensajes por dirección de correo electrónico al día. El límite se restablece a medianoche según la zona horaria UTC.

      • Límite diario de alertas por directiva: use el menú desplegable y seleccione el límite deseado. Esta opción restringe el número de alertas generadas en un solo día al valor indicado.

      • Enviar alertas a Power Automate: elija un cuaderno de estrategias para ejecutar acciones cuando se genere una alerta. También puede abrir un nuevo cuaderno de estrategias si selecciona Crear un cuaderno de estrategias en Power Automate.

    • Para ajustar la configuración predeterminada de su organización para usar los valores del Límite diario de alertas y configurar el correo electrónico, seleccione Guardar como configuración predeterminada.

    • Para usar la configuración predeterminada de la organización para el Límite diario de alertas y configurar el correo electrónico, seleccione Restaurar configuración predeterminada.

    En la imagen siguiente se ve cómo configurar alertas de la directiva, incluida la sensibilidad, las notificaciones por correo electrónico y un límite diario en el portal de Microsoft Defender:

    Captura de pantalla donde se ve cómo configurar alertas, como la sensibilidad, el correo electrónico y el límite diario.

  10. Confirme las opciones de configuración y seleccione Crear.

Uso de una directiva existente

Cuando cree una directiva, esta ya está activada de forma predeterminada. Puede deshabilitar una directiva y realizar otras acciones como Editar y Eliminar.

  1. En la página Directivas, busque la directiva que se va a actualizar en la lista de directivas.

  2. En la lista de directivas, desplácese a la derecha en la fila de directivas y seleccione Más opciones (...).

  3. En el menú emergente, seleccione la acción que se va a realizar en la directiva.

Paso siguiente

Descubra los procedimientos recomendados para proteger su organización

Si tienes algún problema, estamos aquí para ayudar. Para obtener ayuda o soporte técnico para el problema del producto, abre una incidencia de soporte técnico.