Investigación de aplicaciones detectadas por Microsoft Defender para punto de conexión

La integración de Microsoft Defender for Cloud Apps en Microsoft Defender para punto de conexión proporciona una solución de control y visibilidad de shadow IT sin problemas. La integración permite a los administradores de Defender for Cloud Apps investigar los dispositivos detectados, los eventos de red y el uso de aplicaciones.

Requisitos previos

Antes de realizar los procedimientos de este artículo, asegúrese de haber integrado Microsoft Defender Endpoint con Microsoft Defender for Cloud Apps.

Investigación de dispositivos detectados en Defender for Cloud Apps

Después de integrar Defender for Endpoint con Defender for Cloud Apps, investigue los datos de dispositivo detectados en el panel de cloud discovery.

1. En el portal Microsoft Defender, en Cloud Apps, seleccione Cloud Discovery>Panel.

2. En la parte superior de la página, seleccione Puntos de conexión administrados por Defender. Esta secuencia contiene datos de los sistemas operativos mencionados en los requisitos previos de Defender for Cloud Apps.

En la parte superior, verá el número de dispositivos detectados que se ha agregado después de la integración.

1. Seleccione la pestaña Dispositivos .

2. Explore en profundidad cada dispositivo que se muestra y use las pestañas para ver los datos de la investigación. Busque correlaciones entre los dispositivos, los usuarios, las direcciones IP y las aplicaciones que estuvieron implicados en incidentes:

   • Información general:

     • Nivel de riesgo del dispositivo: muestra el riesgo que el perfil del dispositivo es relativo a otros dispositivos de la organización, como se indica en función de la gravedad (alta, media, baja, informativa). Defender for Cloud Apps usa perfiles de dispositivo de Defender para punto de conexión para cada dispositivo en función del análisis avanzado. La actividad anómala con respecto a la línea de base de un dispositivo se evalúa y determina el nivel de riesgo del dispositivo. Use el nivel de riesgo del dispositivo para determinar qué dispositivos investigar primero.
     • Transacciones: le proporciona información sobre el número de transacciones que tuvieron lugar en el dispositivo en el período de tiempo seleccionado.
     • Tráfico total: información sobre la cantidad total de tráfico (en MB) durante el período de tiempo seleccionado.
     • Carga de archivos: información sobre la cantidad total de tráfico (en MB) que ha cargado el dispositivo durante el período de tiempo seleccionado.
     • Descargas: información sobre la cantidad total de tráfico (en MB) que ha descargado el dispositivo durante el período de tiempo seleccionado.

   • Aplicaciones detectadas: Enumera todas las aplicaciones detectadas a las que tuvo acceso el dispositivo.

   • Historial de usuarios: Enumera todos los usuarios que iniciaron sesión en el dispositivo.

   • Historial de direcciones IP:: Enumera todas las direcciones IP que se asignaron al dispositivo.

Al igual que con cualquier otro origen de Cloud Discovery, puede exportar los datos del informe de puntos de conexión administrados de Defender para fines de investigación.

Nota:

• Defender para punto de conexión reenvía los datos a Defender for Cloud Apps en fragmentos de ~4 MB (~4000 transacciones de punto de conexión)
• Si no se alcanza el límite de 4 MB en un plazo de 1 hora, Defender para punto de conexión notifica todas las transacciones realizadas durante la última hora.

Detección de aplicaciones a través de Defender para punto de conexión cuando el punto de conexión está detrás de un proxy de red

Defender for Cloud Apps ahora puede descubrir eventos de red de Shadow IT detectados desde dispositivos Defender for Endpoint que funcionan en el mismo entorno que un proxy de red. Por ejemplo, si el dispositivo de punto de conexión de Windows 10 está en el mismo entorno que ZScalar, Defender for Cloud Apps puede detectar aplicaciones de Shadow IT a través del flujo de usuarios del punto de conexión de Win10.

Investigar eventos de red de dispositivos en Microsoft Defender XDR

Nota:

Los eventos de red deben usarse para investigar las aplicaciones detectadas y no para depurar los datos que faltan.

Siga estos pasos para obtener una visibilidad más detallada de la actividad de red del dispositivo en Microsoft Defender para punto de conexión:

1. En el portal de Microsoft Defender, en Aplicaciones en la nube, seleccione Cloud Discovery. A continuación, seleccione la pestaña Dispositivos .
2. Seleccione la máquina que desea investigar y, a continuación, en la parte superior izquierda, seleccione Ver en Microsoft Defender para punto de conexión.
3. En Microsoft Defender XDR, en Activos ->Dispositivos> {dispositivo seleccionado}, seleccione Escala de tiempo.
4. En Filtros, seleccione Eventos de red.
5. Investigue los eventos de red del dispositivo según sea necesario.

Investigación del uso de aplicaciones en Microsoft Defender XDR con la búsqueda avanzada de amenazas

Siga estos pasos para obtener una visibilidad más detallada de los eventos de red relacionados con la aplicación en Defender para punto de conexión:

1. En el portal de Microsoft Defender, en Aplicaciones en la nube, seleccione Cloud Discovery. A continuación, seleccione la pestaña Aplicaciones detectadas.

2. Seleccione la aplicación que desea investigar para abrir su categoría.

3. Seleccione la lista Dominio de la aplicación y, a continuación, copie la lista de dominios.

4. En Microsoft Defender XDR, en Búsqueda de amenazas, seleccione Búsqueda avanzada de amenazas.

5. Pegue la consulta siguiente y reemplace <DOMAIN_LIST> por la lista de dominios que copió anteriormente.

   DeviceNetworkEvents
   | where RemoteUrl has_any ("<DOMAIN_LIST>")
   | order by Timestamp desc
   

6. Ejecute la consulta e investigue los eventos de red de esta aplicación.

   

Investigar aplicaciones no autorizadas en Microsoft Defender XDR

Cada intento de acceder a una aplicación no autorizada desencadena una alerta en Microsoft Defender XDR con detalles detallados sobre toda la sesión. Esto le permite realizar investigaciones más profundas sobre los intentos de acceder a aplicaciones no autorizadas, así como proporcionar información adicional relevante para su uso en la investigación de dispositivos de punto de conexión.

A veces, el acceso a una aplicación no autorizada no está bloqueado, ya sea porque el dispositivo de punto de conexión no está configurado correctamente o porque la directiva de cumplimiento aún no se ha propagado al punto de conexión. En este caso, los administradores de Defender para punto de conexión recibirán una alerta en Microsoft Defender XDR de que no se bloqueó la aplicación no autorizada.

Nota:

• Se tarda hasta dos horas después de etiquetar una aplicación como No autorizada para que los dominios de la aplicación se propaguen a los dispositivos de punto de conexión.
• De forma predeterminada, las aplicaciones y los dominios marcados como No autorizados en Defender for Cloud Apps se bloquearán para todos los dispositivos de punto de conexión de la organización.
• Actualmente, no se admiten direcciones URL completas para aplicaciones no autorizadas. Por lo tanto, al cancelar aplicaciones configuradas con direcciones URL completas, estas no se propagan a Defender para punto de conexión y no se bloquearán. Por ejemplo, no se admite google.com/drive, pero se admite drive.google.com.
• Las notificaciones en el explorador pueden variar entre diferentes exploradores.

Pasos siguientes

Gobernanza de aplicaciones detectadas por Microsoft Defender para punto de conexión

Controlar las aplicaciones en la nube con directivas

Vídeos relacionados

• Búsqueda de amenazas con datos de Microsoft Cloud App Security

• Detección y bloqueo de Shadow IT mediante Defender para punto de conexión

• Detección de Shadow IT más allá de la red corporativa

Si tiene algún problema, estamos aquí para ayudar. Para obtener ayuda o soporte técnico para el problema del producto, abre una incidencia de soporte técnico.