Supervisión de alertas en aplicaciones de Defender for Cloud

Nota

  • Hemos cambiado el nombre de Microsoft Cloud App Security. Ahora se llama Microsoft Defender for Cloud Apps. En las próximas semanas, actualizaremos las capturas de pantalla y las instrucciones aquí y en las páginas relacionadas. Para obtener más información sobre el cambio, consulte este anuncio. Para obtener más información sobre el cambio de nombre reciente de los servicios de seguridad de Microsoft, consulte el blog seguridad de Microsoft Ignite.

  • Microsoft Defender for Cloud Apps ahora forma parte de Microsoft 365 Defender. El portal de Microsoft 365 Defender permite a los administradores de seguridad realizar sus tareas de seguridad en una ubicación. Esto simplificará los flujos de trabajo y agregará la funcionalidad de los demás servicios Microsoft 365 Defender. Microsoft 365 Defender será el hogar de la supervisión y administración de la seguridad en las identidades, los datos, los dispositivos, las aplicaciones y la infraestructura de Microsoft. Para obtener más información sobre estos cambios, consulte Microsoft Defender for Cloud Apps en Microsoft 365 Defender.

Las alertas son los puntos de entrada para comprender el entorno de nube en más profundidad. En este artículo se proporcionan una lista y una descripción de todas las alertas.

Supervisión de las alertas

Revisar todas las alertas es una buena idea. Comprender por qué se produce una alerta le permite usarlas como herramientas para modificar las directivas.

Para ver las alertas: En el portal de Microsoft Defender for Cloud Apps, seleccione Alertas.

Alert menu.

  • Descarte una alerta después de verla y determinar que no es interesante.

    • Escriba un comentario para explicar por qué ha descartado la alerta.
    • Envíenos sus comentarios sobre esta alerta para que nuestro equipo de investigación de seguridad la revise para mejorar las alertas.
  • Resuelva la alerta si la ha investigado y ha mitigado el riesgo.

    • La alerta ya no se mostrará en la tabla de alertas.
    • Márquela como no leída si ha empezado a investigar un problema, pero quiere asegurarse de que no se olvida de continuar trabajando en él.
    • Ajuste la directiva que coincidía con la alerta para mejorar las coincidencias de próximas alertas.
    • La resolución de una alerta le ofrece la opción de escribir un comentario y Enviar comentarios al equipo de Defender for Cloud Apps.

Implementación de nuestra experiencia mejorada de supervisión y administración de alertas

Como parte de nuestras mejoras continuas en la supervisión y administración de alertas, la página de alertas de Defender for Cloud aplicaciones se ha mejorado en función de sus comentarios. En la experiencia mejorada, los estados Resueltos y Descartados se reemplazan por el estado Cerrado y las alertas cerradas tienen uno de los siguientes tipos de resolución:

  • Verdadero positivo: una alerta sobre una actividad malintencionada confirmada
  • Benigno: alerta sobre una actividad sospechosa pero no malintencionada, como una prueba de penetración u otra acción sospechosa autorizada.
  • Falso positivo: una alerta sobre una actividad no malintencionada

Nota

La experiencia mejorada solo se aplica a nuevas alertas y no afecta al estado de las alertas existentes (heredadas) que se resolvieron o descartaron.

Enhanced alerts page.

Supervisión de alertas mejorada

En la página alertas mejoradas, la columna Estado muestra si se abre o cierra una alerta y la columna Tipo de resolución muestra el tipo de resolución utilizado al cerrar una alerta. Puede usar el filtro Estado para ayudarle a identificar las alertas abiertas o cerradas y, a continuación, usar el filtro Avanzado , puede investigar aún más las alertas cerradas por tipo de resolución mediante tipos de resolución mejorados y heredados.

Enhanced alerts page showing advanced filter.

Administración de alertas mejorada

Al cerrar alertas, elija una de las siguientes opciones de resolución:

  • Cerrar como verdadero positivo: si la actividad se confirma como malintencionada
  • Cerrar como benigno: si la actividad es sospechosa pero no una actividad malintencionada, como una prueba de penetración u otra acción sospechosa autorizada
  • Cerrar como falso positivo: si la actividad se confirma como no malintencionada

En el elemento emergente que aparece, proporcione un motivo para cerrar la alerta y rellene el resto de los detalles según sea necesario y, a continuación, seleccione Cerrar alerta.

Enhanced alerts close popup.

Alertas integradas

Se mostrarán los siguientes tipos de alertas.

Nombre de la alerta Id. de alerta Descripción
Cuenta en peligro ALERT_COMPROMISED_ACCOUNT Si se ha producido una infracción en una aplicación y se publica la lista de cuentas vulneradas, Defender for Cloud Aplicaciones descarga la lista y la compara con la lista de usuarios. incluidos los usuarios internos, los usuarios externos y las cuentas personales.
Nuevo usuario administrador ALERT_ADMIN_USER Se ha detectado un nuevo administrador de una aplicación específica. Puede tratarse de una persona que es un administrador de una aplicación y ahora es un administrador de otra aplicación. Esta alerta está relacionada con el tipo de administrador específico, por lo que se mostrará cada vez que cambie el tipo de administrador. Si un usuario había perdido los privilegios de administrador y los ha recuperado, se mostrará esta alerta.
Nueva ubicación ALERT_GEOLOCATION_NEW_COUNTRY Se ha detectado una nueva ubicación desde que comenzó el examen (hasta 6 meses). Esta alerta solo se muestra una vez para cada país o región de toda la organización.
Cuenta inactiva ALERT_ZOMBIE_USER Si un usuario está inactivo durante 60 días por aplicación( por ejemplo, si alguien está activo en Box pero no ha tocado Google Workspace durante 60 días, el usuario se considerará inactivo en Google Workspace. Se agrega una etiqueta a estos usuarios, por lo que se pueden buscar cuentas inactivas.
Actividad de ransomware ALERT_ANUBIS_DETECTION_RANSOMWARE Se detecta un patrón de actividad que es típico de un ataque de ransomware.
Ubicación de administrador inesperada ALERT_NEW_ADMIN_LOCATION Se ha detectado una nueva ubicación de los administradores desde que comenzó el examen (hasta 6 meses). Esta alerta solo se muestra una vez para cada país o región para cualquier administrador de toda la organización.

Alertas personalizadas

Se mostrarán los siguientes tipos de alertas.

Nombre de la alerta Id. de alerta Descripción
Alerta de actividad sospechosa ALERT_SUSPICIOUS_ACTIVITY Las actividades sospechosas se puntúan según lo sospechoso que es la actividad anómala (¿Hay alguna cuenta inactiva implicada? ¿Es desde una nueva ubicación?) Estos criterios se calculan conjuntamente para proporcionar una puntuación de riesgo basada en los siguientes factores de riesgo:
El usuario es un administrador
Usuario estrictamente remoto
Proxy anónimo
Todos los inicios de sesión son erróneos
Numerosos inicios de sesión fallidos
Nuevo (administrador)
IP/ISP/país/agente de usuario para usuario/inquilino
IP/ISP/país/agente de usuario usado solo por el usuario (administrador)
Primera actividad de usuario (administrador) tras un tiempo
Primera vez que se realiza esta actividad administrativa tras un tiempo
Esta actividad administrativa no es común o no se había realizado nunca
Esta dirección IP solo tuvo inicios de sesión erróneos en el pasado
Viaje imposible
Alerta de uso sospechoso de la nube ALERT_DISCOVERY_ANOMALY_DETECTION La detección de anomalías de Cloud Discovery comprueba el patrón de comportamiento normal y busca los usuarios o las aplicaciones que se usan de manera inusual.
Infracción de directiva de actividad ALERT_CABINET_EVENT_MATCH_AUDIT Esta alerta le informa cuando se detecta una coincidencia de directiva.
Infracción de directiva de archivo ALERT_CABINET_EVENT_MATCH_FILE Esta alerta le informa cuando se detecta una coincidencia de directiva.
Infracción de directiva de proxy ALERT_CABINET_INLINE_EVENT_MATCH Esta alerta le informa cuando se detecta una coincidencia de directiva.
Infracción de directiva de campo ALERT_CABINET_EVENT_MATCH_OBJECT Esta alerta le informa cuando se detecta una coincidencia de directiva.
Nuevo servicio detectado ALERT_CABINET_DISCOVERY_NEW_SERVICE Se ha detectado una nueva aplicación.
Uso de cuenta personal ALERT_PERSONAL_USER_SAGE El motor de detección busca cuentas personales en función de los recursos compartidos de archivos y los nombres de usuario.

Pasos siguientes

Si surgen problemas, estamos aquí para ayudarle. Para obtener ayuda o soporte técnico para el problema del producto, abra una incidencia de soporte técnico.