Investigación de riesgos de aplicaciones en la nube y actividad sospechosa

Después de que Microsoft Defender for Cloud Apps se ejecute en el entorno de nube, necesitará una fase de aprendizaje e investigación. Aprenda a usar las herramientas de Microsoft Defender for Cloud Apps para mejorar su comprensión de lo que sucede en el entorno de nube. Según su entorno concreto y su uso, puede identificar los requisitos para proteger su organización de posibles riesgos. En este artículo se describe cómo realizar una investigación para comprender mejor lo que está ocurriendo en su entorno en la nube.

Marcar aplicaciones como autorizadas o no autorizadas

Marcar aplicaciones como autorizadas o no autorizadas es un paso importante para comprender su entorno en la nube. Después de autorizar una aplicación, puede filtrar por las aplicaciones que no estén autorizadas e iniciar la migración a las aplicaciones autorizadas que sean del mismo tipo.

• En el portal de Microsoft Defender, en Aplicaciones en la nube, vaya al catálogo de aplicaciones en la nube o Cloud Discovery - >Aplicaciones detectadas.

• En la lista de aplicaciones, en la fila en la que aparezca la aplicación que desea etiquetar como autorizada, seleccione los tres puntos al final de la fila y elija Autorizada.

  

Usar las herramientas de investigación

1. En el portal de Microsoft Defender, en Aplicaciones en la nube, vaya al registro de actividad y filtre por una aplicación específica. Compruebe los siguientes elementos:

   • ¿Quién tiene acceso a su entorno en la nube?

   • ¿Desde qué intervalos IP?

   • ¿Cuál es la actividad de administrador?

   • ¿Desde qué ubicaciones se conectan los administradores?

   • ¿Hay dispositivos obsoletos que se conectan a su entorno en la nube?

   • ¿Hay inicios de sesión erróneos procedentes de direcciones IP esperadas?

2. En el portal de Microsoft Defender, en Aplicaciones en la nube, vaya a Archivos y compruebe los siguientes elementos:

   • ¿Cuántos archivos se comparten públicamente para que nadie pueda tener acceso a ellos sin un vínculo?

   • ¿Con qué asociados comparte archivos (uso compartido externo)?

   • ¿Todos los archivos tienen un nombre confidencial?

   • ¿Alguno de los archivos se comparte con la cuenta personal de alguien?

3. En el portal de Microsoft Defender, vaya a Identidades y compruebe los siguientes elementos:

   • ¿Las cuentas han estado inactivas en un servicio determinado durante un largo periodo de tiempo? Quizás pueda revocar la licencia para ese usuario a ese servicio.

   • ¿Quiere saber qué usuarios tienen un rol específico?

   • ¿Alguien al que se ha despedido sigue teniendo acceso a una aplicación y puede usar ese acceso para robar información?

   • ¿Quiere revocar el permiso de un usuario en una aplicación concreta o requerir a un usuario específico que use la autenticación multifactor?

   • Puede profundizar en la cuenta de usuario si selecciona los tres puntos al final de la fila de cuenta de usuario y selecciona la acción que realizar. Realice una acción como Suspender usuario o Quitar las colaboraciones del usuario. Si el usuario se importó desde Microsoft Entra ID, también puede seleccionar la configuración de la cuenta de Microsoft Entra para obtener un acceso sencillo a las características avanzadas de administración de usuarios. Los ejemplos de características de administración incluyen la administración de grupos, MFA, detalles sobre inicios de sesión del usuario y la capacidad de bloquear el inicio de sesión.

4. En el portal de Microsoft Defender, seleccione Configuración. A continuación, seleccione Aplicaciones en la nube. En Aplicaciones conectadas, seleccione Conectores de aplicaciones y, a continuación, seleccione una aplicación. El panel de la aplicación se abre y le presenta información y datos. Puede usar las pestañas de la parte superior para comprobar:

   • ¿Qué tipo de dispositivos usan los usuarios para conectarse a la aplicación?

   • ¿Qué tipos de archivos guardan en la nube?

   • ¿Qué actividad está teniendo lugar ahora mismo en la aplicación?

   • ¿Hay aplicaciones de terceros conectadas a su entorno?

   • ¿Conoce estas aplicaciones?

   • ¿Tienen autorización para el nivel de acceso para el que tienen permiso?

   • ¿Cuántos usuarios las han implementado? ¿Cómo son de comunes estas aplicaciones en general?

   

5. En el portal de Microsoft Defender, en Aplicaciones en la nube, vaya a Cloud Discovery. Seleccione la pestaña Panel y compruebe los siguientes elementos:

   • ¿Qué aplicaciones en la nube se están utilizando, en qué medida y qué usuarios las están utilizando?

   • ¿Con qué fines se usan?

   • ¿Qué cantidad de datos se está cargando en estas aplicaciones en la nube?

   • ¿En qué categorías tiene aplicaciones en la nube autorizadas y, aún así, los usuarios emplean soluciones alternativas?

   • Para soluciones alternativas, ¿quiere no autorizar algunas aplicaciones en su organización?

   • ¿Hay aplicaciones en la nube que se usan, pero no en conformidad con la directiva de su organización?

Ejemplo de investigación

Imaginemos que, en teoría, ninguna dirección IP de riesgo puede tener acceso a su entorno en la nube. Por ejemplo, supongamos que Tor. Pero crearemos una directiva para las IP de riesgo solo para asegurarnos de ello:

1. En el portal de Microsoft Defender, en Aplicaciones en la nube, vaya a Directivas ->Plantillas de directiva.

2. Elija la Directiva de actividad para el Tipo.

3. Al final de la fila Inicio de sesión desde una dirección IP de riesgo, haga clic en el signo más (+) para crear una directiva.

4. Cambie el nombre de la directiva para que pueda identificarla.

5. En Actividades que coinciden con todas las opciones siguientes, haga clic en + para agregar un filtro. Desplácese hasta Etiqueta IP y luego elija Tor.

   

Con la directiva en marcha, verá que recibe una alerta que indica que la directiva se ha infringido.

1. En el Portal de Microsoft Defender, vaya a Incidentes y alertas ->Alertas y vea la alerta sobre la infracción de la directiva.

2. Si ve que parece una infracción real, lo más conveniente será contener el riesgo o corregirlo.

   Para contener el riesgo, puede enviar una notificación al usuario para preguntarle si la infracción ha sido intencionada y si el usuario era consciente de ello.

   También puede profundizar en la alerta y suspender al usuario hasta averiguar qué hay que hacer.

3. Si es un evento permitido que no es probable que se repita, puede descartar la alerta.

   Si es un evento permitido y se espera que se repita, puede cambiar la directiva para evitar que este tipo de evento se considere una infracción en el futuro.

Pasos siguientes

• Control de aplicaciones conectadas

Si tienes algún problema, estamos aquí para ayudar. Para obtener ayuda o soporte técnico para el problema del producto, abre una incidencia de soporte técnico.