Prueba piloto e implementación de Microsoft Defender para aplicaciones en la nube
Se aplica a:
- Microsoft Defender XDR
En este artículo se proporciona un flujo de trabajo para pilotar e implementar Aplicaciones de Microsoft Defender para la nube en su organización. Puede usar estas recomendaciones para incorporar Microsoft Defender for Cloud Apps como una herramienta de ciberseguridad individual o como parte de una solución de un extremo a otro con XDR de Microsoft Defender.
En este artículo se supone que tiene un inquilino de Producción de Microsoft 365 y que está pilotando e implementando Microsoft Defender for Cloud Apps en este entorno. Esta práctica mantendrá cualquier configuración y personalización que configure durante el piloto para la implementación completa.
Defender para Office 365 contribuye a una arquitectura de confianza cero al ayudar a evitar o reducir los daños empresariales de una infracción. Para obtener más información, consulte Prevención o reducción de daños empresariales de un escenario empresarial de vulneración en el marco de adopción de Confianza cero de Microsoft.
Implementación de un extremo a otro para XDR de Microsoft Defender
Este es el artículo 5 de 6 de una serie para ayudarle a implementar los componentes de XDR de Microsoft Defender, incluida la investigación y la respuesta a incidentes.
Artículos de esta serie:
| Fase | Vínculo |
|---|---|
| R. Iniciar el piloto | Iniciar el piloto |
| B. Piloto e implementación de componentes XDR de Microsoft Defender | - Prueba piloto e implementación de Defender for Identity - Prueba piloto e implementación de Defender para Office 365 - Piloto e implementación de Defender para punto de conexión - Prueba piloto e implementación de Microsoft Defender para Aplicaciones en la nube (este artículo) |
| C. Investigar y responder a amenazas | Práctica de la investigación y respuesta a incidentes |
Piloto e implementación del flujo de trabajo para Defender for Cloud Apps
En el diagrama siguiente se muestra un proceso común para implementar un producto o servicio en un entorno de TI.
Empiece por evaluar el producto o servicio y cómo funcionará dentro de su organización. A continuación, pilote el producto o servicio con un subconjunto adecuadamente pequeño de la infraestructura de producción para pruebas, aprendizaje y personalización. A continuación, aumente gradualmente el ámbito de la implementación hasta que se cubra toda la infraestructura o la organización.
Este es el flujo de trabajo para pilotar e implementar Defender for Cloud Apps en el entorno de producción.
Siga estos pasos:
- Conexión al portal de Defender for Cloud Apps
- Integración con Microsoft Defender para punto de conexión
- Implementación del recopilador de registros en los firewalls y otros servidores proxy
- Creación de un grupo piloto
- Detección y administración de aplicaciones en la nube
- Configuración del control de aplicaciones de acceso condicional
- Aplicación de directivas de sesión a aplicaciones en la nube
- Probar funcionalidades adicionales
Estos son los pasos recomendados para cada fase de implementación.
| Fase de implementación | Descripción |
|---|---|
| Calcular | Realice la evaluación de productos para Defender for Cloud Apps. |
| Piloto | Realice los pasos 1-4 y 5-8 para un subconjunto adecuado de aplicaciones en la nube en el entorno de producción. |
| Implementación completa | Realice los pasos del 5 al 8 para las aplicaciones en la nube restantes, ajustando el ámbito de los grupos de usuarios piloto o agregando grupos de usuarios para expandirse más allá del piloto e incluir todas las cuentas de usuario. |
Protección de la organización frente a hackers
Defender for Cloud Apps proporciona una protección eficaz por sí sola. Sin embargo, cuando se combina con otras funcionalidades de XDR de Microsoft Defender, Defender for Cloud Apps proporciona datos en las señales compartidas que, en conjunto, ayudan a detener los ataques.
Este es un ejemplo de un ciberataque y cómo los componentes de XDR de Microsoft Defender ayudan a detectarlo y mitigarlo.
Defender for Cloud Apps detecta comportamientos anómalos, como viajes imposibles, acceso a credenciales y actividad inusual de descarga, recurso compartido de archivos o reenvío de correo, y muestra estos comportamientos en el portal de Defender for Cloud Apps. Defender for Cloud Apps también ayuda a evitar el movimiento lateral de los hackers y la filtración de datos confidenciales.
XDR de Microsoft Defender correlaciona las señales de todos los componentes de Microsoft Defender para proporcionar la historia completa de ataques.
Rol de Defender for Cloud Apps como CASB
Un agente de seguridad de acceso a la nube (CASB) actúa como un selector para brokerar el acceso en tiempo real entre los usuarios empresariales y los recursos en la nube que usan, dondequiera que se encuentren los usuarios e independientemente del dispositivo que usen. Defender for Cloud Apps es un CASB para las aplicaciones en la nube de su organización. Defender for Cloud Apps se integra de forma nativa con las funcionalidades de seguridad de Microsoft, incluido Microsoft Defender XDR.
Sin Defender for Cloud Apps, las aplicaciones en la nube que usa su organización no se administran y no están protegidas.
En la ilustración:
- El uso de aplicaciones en la nube por parte de una organización no está supervisado y no protegido.
- Este uso queda fuera de las protecciones logradas dentro de una organización administrada.
Para detectar las aplicaciones en la nube que se usan en su entorno, puede implementar uno o ambos de los métodos siguientes:
- Póngase en marcha rápidamente con Cloud Discovery mediante la integración con Microsoft Defender para punto de conexión. Esta integración nativa le permite empezar inmediatamente a recopilar datos sobre el tráfico en la nube en los dispositivos Windows 10 y Windows 11, dentro y fuera de la red.
- Para detectar todas las aplicaciones en la nube a las que acceden todos los dispositivos conectados a la red, implemente el recopilador de registros de Defender for Cloud Apps en los firewalls y otros servidores proxy. Esta implementación ayuda a recopilar datos de los puntos de conexión y los envía a Defender for Cloud Apps para su análisis. Defender for Cloud Apps se integra de forma nativa con algunos servidores proxy de terceros para obtener aún más funcionalidades.
En este artículo se incluyen instrucciones para ambos métodos.
Paso 1. Conexión al portal de Defender for Cloud Apps
Para comprobar las licencias y conectarse al portal de Defender for Cloud Apps, consulte Inicio rápido: Introducción a Microsoft Defender for Cloud Apps.
Si no puede conectarse inmediatamente al portal, es posible que tenga que agregar la dirección IP a la lista de permitidos del firewall. Consulte Configuración básica para Defender for Cloud Apps.
Si sigue teniendo problemas, revise Requisitos de red.
Paso 2: Integración con Microsoft Defender para punto de conexión
Microsoft Defender for Cloud Apps se integra con Microsoft Defender para punto de conexión de forma nativa. La integración simplifica la implementación de Cloud Discovery, amplía las funcionalidades de Cloud Discovery más allá de la red corporativa y permite la investigación basada en dispositivos. Esta integración revela las aplicaciones en la nube y los servicios a los que se accede desde dispositivos Windows 10 y Windows 11 administrados por TI.
Si ya ha configurado Microsoft Defender para punto de conexión, la configuración de la integración con Defender for Cloud Apps es un botón de alternancia en XDR de Microsoft Defender. Una vez activada la integración, puede volver al portal de Defender for Cloud Apps y ver datos enriquecidos en el panel de Cloud Discovery.
Para realizar estas tareas, consulte Integración de Microsoft Defender para punto de conexión con Microsoft Defender for Cloud Apps.
Paso 3: Implementación del recopilador de registros de Defender for Cloud Apps en los firewalls y otros servidores proxy
Para obtener cobertura en todos los dispositivos conectados a la red, implemente el recopilador de registros de Defender for Cloud Apps en los firewalls y otros servidores proxy para recopilar datos de los puntos de conexión y enviarlos a Defender for Cloud Apps para su análisis.
Si usa una de las siguientes puertas de enlace web seguras (SWG), Defender for Cloud Apps proporciona una implementación e integración sin problemas:
- Zscaler
- iboss
- Corrata
- Menlo Security
Para obtener más información sobre la integración con estos dispositivos de red, consulte Configuración de Cloud Discovery.
Paso 4. Creación de un grupo piloto: ámbito de la implementación piloto a determinados grupos de usuarios
Microsoft Defender for Cloud Apps le permite establecer el ámbito de la implementación. El ámbito permite seleccionar determinados grupos de usuarios que se van a supervisar para las aplicaciones o excluirlos de la supervisión. Puede incluir o excluir grupos de usuarios. Para limitar la implementación piloto, consulte Implementación con ámbito.
Paso 5. Detección y administración de aplicaciones en la nube
Para que Defender for Cloud Apps proporcione la máxima protección, debe detectar todas las aplicaciones en la nube de su organización y administrar cómo se usan.
Detección de aplicaciones en la nube
El primer paso para administrar el uso de aplicaciones en la nube es detectar qué aplicaciones en la nube usa la organización. En este diagrama siguiente se muestra cómo funciona la detección de nube con Defender for Cloud Apps.
En esta ilustración, hay dos métodos que se pueden usar para supervisar el tráfico de red y detectar las aplicaciones en la nube que usa la organización.
Cloud App Discovery se integra con Microsoft Defender para punto de conexión de forma nativa. Defender para punto de conexión informa de que se accede a aplicaciones y servicios en la nube desde dispositivos Windows 10 y Windows 11 administrados por TI.
Para obtener cobertura en todos los dispositivos conectados a una red, instale el recopilador de registros de Defender for Cloud Apps en firewalls y otros servidores proxy para recopilar datos de puntos de conexión. El recopilador envía estos datos a Defender for Cloud Apps para su análisis.
Vea el panel de Cloud Discovery para ver qué aplicaciones se usan en su organización.
El panel de Cloud Discovery está diseñado para proporcionarle más información sobre cómo se usan las aplicaciones en la nube en su organización. Proporciona una visión general de los tipos de aplicaciones que se usan, las alertas abiertas y los niveles de riesgo de las aplicaciones de su organización.
Para empezar a usar el panel de Cloud Discovery, consulte Trabajar con aplicaciones detectadas.
Administración de aplicaciones en la nube
Después de detectar aplicaciones en la nube y analizar cómo la organización usa estas aplicaciones, puede empezar a administrar las aplicaciones en la nube que elija.
En esta ilustración:
- Algunas aplicaciones están autorizadas para su uso. La sanción es una forma sencilla de empezar a administrar aplicaciones.
- Puede habilitar una mayor visibilidad y control mediante la conexión de aplicaciones con conectores de aplicaciones. Los conectores de aplicaciones usan las API de los proveedores de aplicaciones.
Puede empezar a administrar aplicaciones mediante la sanción, la no autorización o el bloqueo total de las aplicaciones. Para empezar a administrar aplicaciones, consulte Gobernanza de las aplicaciones detectadas.
Paso 6. Configuración del control de aplicaciones de acceso condicional
Una de las protecciones más eficaces que puede configurar es el control de aplicaciones de acceso condicional. Esta protección requiere la integración con Microsoft Entra ID. Le permite aplicar directivas de acceso condicional, incluidas las directivas relacionadas (como requerir dispositivos en buen estado), a las aplicaciones en la nube que ha autorizado.
Es posible que ya tenga aplicaciones SaaS agregadas al inquilino de Microsoft Entra para aplicar la autenticación multifactor y otras directivas de acceso condicional. Microsoft Defender for Cloud Apps se integra de forma nativa con Microsoft Entra ID. Todo lo que debe hacer es configurar una directiva en Microsoft Entra ID para usar el control de aplicaciones de acceso condicional en Defender for Cloud Apps. Esto enruta el tráfico de red de estas aplicaciones SaaS administradas a través de Defender for Cloud Apps como proxy, lo que permite a Defender for Cloud Apps supervisar este tráfico y aplicar controles de sesión.
Retrabajo de la ilustración
En esta ilustración:
- Las aplicaciones SaaS se integran con el inquilino de Microsoft Entra. Esta integración permite que Microsoft Entra ID aplique directivas de acceso condicional, incluida la autenticación multifactor.
- Se agrega una directiva a Microsoft Entra ID para dirigir el tráfico de las aplicaciones SaaS a Defender for Cloud Apps. La directiva especifica a qué aplicaciones SaaS aplicar esta directiva. Una vez que Microsoft Entra ID aplica las directivas de acceso condicional que se aplican a estas aplicaciones SaaS, Microsoft Entra ID dirige (proxies) el tráfico de sesión a través de Defender for Cloud Apps.
- Defender for Cloud Apps supervisa este tráfico y aplica las directivas de control de sesión configuradas por los administradores.
Es posible que haya detectado y autorizado aplicaciones en la nube mediante Defender for Cloud Apps que no se han agregado a Microsoft Entra ID. Puede aprovechar el control de aplicaciones de acceso condicional agregando estas aplicaciones en la nube al inquilino de Microsoft Entra y al ámbito de las reglas de acceso condicional.
El primer paso para usar Microsoft Defender for Cloud Apps para administrar aplicaciones SaaS es detectar estas aplicaciones y agregarlas a su inquilino de Microsoft Entra. Si necesita ayuda con la detección, consulte Detección y administración de aplicaciones SaaS en la red. Una vez que haya detectado aplicaciones, agregue estas aplicaciones al inquilino de Microsoft Entra.
Puede empezar a administrar estas aplicaciones con las siguientes tareas:
- En Microsoft Entra ID, cree una nueva directiva de acceso condicional y configúrela en "Use Conditional Access App Control". Esta configuración ayuda a redirigir la solicitud a Defender for Cloud Apps. Puede crear una directiva y agregar todas las aplicaciones SaaS a esta directiva.
- A continuación, en Defender for Cloud Apps, cree directivas de sesión. Cree una directiva para cada control que quiera aplicar.
Para obtener más información, incluidas las aplicaciones y los clientes admitidos, consulte Protección de aplicaciones con el control de aplicaciones de acceso condicional de Microsoft Defender for Cloud Apps.
Para ver directivas de ejemplo, consulte Directivas recomendadas de Microsoft Defender para aplicaciones en la nube para aplicaciones SaaS. Estas directivas se basan en un conjunto de directivas comunes de acceso a dispositivos e identidades que se recomiendan como punto de partida para todos los clientes.
Paso 7. Aplicación de directivas de sesión a aplicaciones en la nube
Microsoft Defender for Cloud Apps actúa como proxy inverso, lo que proporciona acceso proxy a las aplicaciones en la nube autorizadas. Esta aprovisionamiento permite que Defender for Cloud Apps aplique las directivas de sesión que configure.
En la ilustración:
- El acceso a las aplicaciones en la nube autorizadas desde usuarios y dispositivos de su organización se enruta a través de Defender for Cloud Apps.
- Este acceso de proxy permite aplicar directivas de sesión.
- Las aplicaciones en la nube que no haya autorizado o no autorizado explícitamente no se verán afectadas.
Las directivas de sesión le permiten aplicar parámetros a la forma en que su organización usa las aplicaciones en la nube. Por ejemplo, si su organización usa Salesforce, puede configurar una directiva de sesión que permita que solo los dispositivos administrados accedan a los datos de su organización en Salesforce. Un ejemplo más sencillo podría ser configurar una directiva para supervisar el tráfico desde dispositivos no administrados, de modo que pueda analizar el riesgo de este tráfico antes de aplicar directivas más estrictas.
Para obtener más información, consulte Creación de directivas de sesión.
Paso 8. Probar funcionalidades adicionales
Use estos tutoriales de Defender for Cloud Apps para ayudarle a detectar riesgos y proteger su entorno:
- Detección de actividad sospechosa de usuario
- Investigación de usuarios de riesgo
- Investigación de aplicaciones de OAuth de riesgo
- Detección y protección de información confidencial
- Protección de cualquier aplicación de la organización en tiempo real
- Bloquear descargas de información confidencial
- Protección de los archivos con cuarentena de administrador
- Requerir autenticación paso a paso por acción de riesgo
Para obtener más información sobre la búsqueda avanzada en datos de Microsoft Defender for Cloud Apps, vea este vídeo.
Integración de SIEM
Puede integrar Defender for Cloud Apps con Microsoft Sentinel o un servicio genérico de administración de eventos e información de seguridad (SIEM) para habilitar la supervisión centralizada de alertas y actividades de aplicaciones conectadas. Con Microsoft Sentinel, puede analizar de forma más completa los eventos de seguridad en toda la organización y crear cuadernos de estrategias para obtener una respuesta eficaz e inmediata.
Microsoft Sentinel incluye un conector de Defender for Cloud Apps. Esto le permite no solo obtener visibilidad sobre las aplicaciones en la nube, sino también obtener análisis sofisticados para identificar y combatir ciberamenazas y controlar cómo viajan los datos. Para obtener más información, consulte Integración de Microsoft Sentinel y Alertas de Stream y Registros de Cloud Discovery de Defender for Cloud Apps en Microsoft Sentinel.
Para obtener información sobre la integración con sistemas SIEM de terceros, consulte Integración siem genérica.
Paso siguiente
Realice la administración del ciclo de vida para Defender for Cloud Apps.
Paso siguiente para la implementación de un extremo a otro de Microsoft Defender XDR
Continúe con la implementación de un extremo a otro de Microsoft Defender XDR con Investigar y responder mediante XDR de Microsoft Defender.
Sugerencia
¿Desea obtener más información? Interactúe con la comunidad de seguridad de Microsoft en nuestra comunidad tecnológica: Comunidad tecnológica XDR de Microsoft Defender.
Comentarios
Próximamente: A lo largo de 2024 iremos eliminando gradualmente GitHub Issues como mecanismo de comentarios sobre el contenido y lo sustituiremos por un nuevo sistema de comentarios. Para más información, vea: https://aka.ms/ContentUserFeedback.
Enviar y ver comentarios de