Directiva de detección de anomalías de Cloud Discovery

  • Artículo

En este artículo se proporciona información de referencia sobre las directivas. Se muestran las explicaciones de cada tipo de directiva y los campos que se pueden configurar para cada directiva.

Directiva de detección de anomalías de Cloud Discovery: Plazo de interrupción del servicio

Retiraremos gradualmente el soporte técnico de "Anomalías de Cloud Discovery" de Microsoft Defender for Cloud Apps en julio de 2024.

Tras analizarlo y estudiarlo en profundidad, hemos decidido retirar este servicio por el alto porcentaje de falsos positivos asociados a esta alerta. Hemos descubierto que esto no ha contribuido eficazmente a la seguridad general de la organización.

Tras investigar esto, nos dimos cuenta de que esta función no aportaba ningún valor significativo y no se armonizaba con nuestro objetivo estratégico de ofrecer soluciones de seguridad fiables y de alta calidad.

Estamos siempre comprometidos a mejorar nuestros servicios y a garantizar que se cubran sus necesidades y expectativas.

Para aquellos que deseen seguir usando esta alerta, le recomendamos que usen la opción "Directiva de detección de aplicaciones" y que en "Desencadenar una coincidencia de directiva si todo lo siguiente sucede en el mismo día" ajusten los filtros como corresponda.

Referencia de directiva de detección de anomalías de Cloud Discovery

Una directiva de detección de anomalías de Cloud Discovery permite instalar y configurar la supervisión continua de incrementos poco habituales en el uso de la aplicación en la nube. Para ello, se tienen en cuenta los aumentos de datos descargados, los datos cargados, las transacciones y el número de usuarios de cada aplicación en la nube. Cada incremento se compara con el patrón de uso normal de la aplicación, según se desprende de usos anteriores. Los aumentos más acusados desencadenan alertas de seguridad.

Para cada directiva, se establecen filtros que permiten supervisar selectivamente el uso de la aplicación. Los filtros incluyen un filtro de aplicación, vistas de datos seleccionadas y una fecha de inicio seleccionada. También puede establecer la sensibilidad, que le permite establecer cuántas alertas debe activar la directiva.

  1. En el Portal de Microsoft Defender, en Aplicaciones en la nube, vaya a Directivas ->Administración de directivas. A continuación, seleccione la pestaña Shadow IT.

  2. Seleccione Crear directiva y seleccione la directiva Detección de anomalías de Cloud Discovery.

    Cree una directiva de Cloud Discovery.

Esto te llevará a la página Crear directiva de detección de anomalías de Cloud Discovery.

Para cada directiva, establezca los siguientes parámetros:

  1. Decida si quiere basar la directiva en una plantilla. Una plantilla de directiva relevante es Comportamiento anómalo en usuarios detectados. Alerta cuando se detecta un comportamiento anómalo en los usuarios y aplicaciones detectados, como grandes cantidades de datos cargados en comparación con otros usuarios o grandes transacciones del usuario en comparación con su historial. También puede seleccionar la plantilla Comportamiento anómalo de direcciones IP detectadas. Esta plantilla alerta cuando se detecta un comportamiento anómalo en las direcciones IP y las aplicaciones detectadas, como grandes cantidades de datos cargados en comparación con otras direcciones IP o grandes transacciones de aplicaciones en comparación con el historial de la dirección IP.

    Seleccionar una plantilla de directiva.

  2. Proporcione un Nombre de la directiva y una Descripción.

    Seleccione el nombre y la descripción de la directiva.

  3. Crea un filtro para las aplicaciones que quieres supervisar seleccionando Seleccionar filtro. Puedes seleccionar un filtro por Etiqueta de aplicación, Aplicaciones y dominio, Categoría, varios Factores de riesgo o Puntuación de riesgo. Para crear filtros adicionales, selecciona Agregar un filtro.

    Seleccione el filtro para las aplicaciones.

  4. En Apply to (Aplicar a), establezca cómo quiere que se filtre el uso. El uso que se está supervisando se puede filtrar de dos maneras diferentes:

    • Informes continuados: seleccione si quiere supervisar Todos los informes continuados, el valor predeterminado, o elija Informes continuados específicos para supervisar.

      • Al seleccionar All continuous reports (Todos los informes continuados), cada aumento del uso se compara con el patrón de uso normal, según se desprende de todas las vistas de datos.
      • Al seleccionar Informes continuados específicos, cada aumento del uso se compara con el patrón de uso normal. El patrón se desprende de la misma vista de datos en la que se ha observado el aumento.

    • Usuarios y direcciones IP: cada uso de la aplicación en la nube está asociado con un usuario, con una dirección IP o con ambos.

      • Si se selecciona Usuarios, se ignora la asociación de uso de la aplicación con direcciones IP.

      • Si se selecciona Direcciones IP, se ignora la asociación de uso de la aplicación con usuarios.

      • Si se selecciona Usuarios y direcciones IP (el valor predeterminado), se tienen en cuenta ambas asociaciones, pero se pueden generar alertas duplicadas cuando haya una correspondencia estricta entre usuarios y direcciones IP.

    • Activar alertas solo para detectar actividades sospechosas ocurridas tras una fecha: se ignora cualquier aumento en el uso de la aplicación antes de la fecha seleccionada. En cambio, la actividad previa a la fecha seleccionada se tiene en cuenta para establecer el patrón de uso normal.

      Seleccione el uso que le vaya a dar.

  5. En Alertas puede establecer la sensibilidad de la alerta. Hay varias formas de controlar el número de alertas activadas por la directiva:

    • El control deslizante Select anomaly detection sensitivity (Seleccionar la sensibilidad de la detección de anomalías): desencadena alertas para las X actividades anómalas superiores por cada 1.000 usuarios por semana. Se activarán las alertas de las actividades con el riesgo más alto.

    • Selecciona Crear una alerta para cada evento coincidente con la gravedad de la directiva para establecer parámetros adicionales para la alerta:

      • Enviar alerta como correo electrónico: si activas esta casilla, escribe las direcciones de correo electrónico que deben recibir la alerta. Se enviará un máximo de 500 mensajes de correo electrónico por dirección de correo electrónico, por día (restableciendo a medianoche en la zona horaria UTC).
      • Límite de alertas diarias: puedes elegir restringir el número de alertas activadas en un solo día.
      • Enviar alertas a Power Automate: si activas esta casilla, puedes elegir un cuaderno de estrategias para ejecutar acciones cuando se genere una alerta.

    • Si seleccionas Guardar como configuración predeterminada, las opciones del límite de alertas diarias y la configuración de correo electrónico se convertirán en la configuración predeterminada de la organización. Para rellenar esta configuración predeterminada para una nueva directiva, selecciona Restaurar configuración predeterminada.

      Seleccione los ajustes de la alerta.

  6. Seleccione Crear.

  7. Como con todas las directivas, puede Editar, Deshabilitar y Habilitar la directiva haciendo clic en los tres puntos al final de la fila en la página Directivas. De forma predeterminada, la directiva está habilitada después de crearla.

Pasos siguientes

Prácticas recomendadas para proteger su organización

Si tienes algún problema, estamos aquí para ayudar. Para obtener ayuda o soporte técnico para el problema del producto, abre una incidencia de soporte técnico.