Pilotar e implementar Microsoft Defender for Cloud Apps
Se aplica a:
- Microsoft Defender XDR
En este artículo se proporciona un flujo de trabajo para probar e implementar Microsoft Defender for Cloud Apps en su organización. Puede usar estas recomendaciones para incorporar Microsoft Defender for Cloud Apps como una herramienta de ciberseguridad individual o como parte de una solución de un extremo a otro con Microsoft Defender XDR.
En este artículo se supone que tiene un inquilino de Producción de Microsoft 365 y que está pilotando e implementando Microsoft Defender for Cloud Apps en este entorno. Esta práctica mantendrá cualquier configuración y personalización que configure durante el piloto para la implementación completa.
Defender para Office 365 contribuye a una arquitectura Confianza cero al ayudar a evitar o reducir los daños empresariales de una infracción. Para obtener más información, consulte El marco de adopción de Microsoft Confianza cero impedir o reducir los daños empresariales de un escenario empresarial de vulneración.
Implementación de un extremo a otro para Microsoft Defender XDR
Este es el artículo 5 de 6 de una serie para ayudarle a implementar los componentes de Microsoft Defender XDR, incluida la investigación y respuesta a incidentes.
Los artículos de esta serie corresponden a las siguientes fases de la implementación de un extremo a otro:
| Fase | Vínculo |
|---|---|
| R. Iniciar el piloto | Iniciar el piloto |
| B. Piloto e implementación de componentes de Microsoft Defender XDR |
-
Prueba piloto e implementación de Defender for Identity - Pilotar e implementar Defender para Office 365 - Piloto e implementación de Defender para punto de conexión - Piloto e implementación Microsoft Defender for Cloud Apps (este artículo) |
| C. Investigar y responder a amenazas | Práctica de la investigación y respuesta a incidentes |
Piloto e implementación del flujo de trabajo para Defender for Cloud Apps
En el diagrama siguiente se muestra un proceso común para implementar un producto o servicio en un entorno de TI.
Empiece por evaluar el producto o servicio y cómo funcionará dentro de su organización. A continuación, pilote el producto o servicio con un subconjunto adecuadamente pequeño de la infraestructura de producción para pruebas, aprendizaje y personalización. A continuación, aumente gradualmente el ámbito de la implementación hasta que se cubra toda la infraestructura o la organización.
Este es el flujo de trabajo para probar e implementar Defender for Cloud Apps en el entorno de producción.
Siga estos pasos:
- Conexión al portal de Defender for Cloud Apps
- Integración con Microsoft Defender para punto de conexión
- Implementación del recopilador de registros en los firewalls y otros servidores proxy
- Creación de un grupo piloto
- Detección y administración de aplicaciones en la nube
- Configuración del control de aplicaciones de acceso condicional
- Aplicación de directivas de sesión a aplicaciones en la nube
- Probar funcionalidades adicionales
Estos son los pasos recomendados para cada fase de implementación.
| Fase de implementación | Descripción |
|---|---|
| Calcular | Realice la evaluación del producto para Defender for Cloud Apps. |
| Piloto | Realice los pasos 1-4 y 5-8 para un subconjunto adecuado de aplicaciones en la nube en el entorno de producción. |
| Implementación completa | Realice los pasos del 5 al 8 para las aplicaciones en la nube restantes, ajustando el ámbito de los grupos de usuarios piloto o agregando grupos de usuarios para expandirse más allá del piloto e incluir todas las cuentas de usuario. |
Protección de la organización frente a hackers
Defender for Cloud Apps proporciona una protección eficaz por sí sola. Sin embargo, cuando se combina con otras funcionalidades de Microsoft Defender XDR, Defender for Cloud Apps proporciona datos en las señales compartidas que, en conjunto, ayudan a detener los ataques.
Este es un ejemplo de un ciberataque y cómo los componentes de Microsoft Defender XDR ayudan a detectarlo y mitigarlo.
Defender for Cloud Apps detecta comportamientos anómalos, como viajes imposibles, acceso a credenciales y actividad inusual de descarga, recurso compartido de archivos o reenvío de correo, y muestra estos comportamientos en el portal de Defender for Cloud Apps. Defender for Cloud Apps también ayuda a evitar el movimiento lateral de los hackers y la filtración de datos confidenciales.
Microsoft Defender XDR correlaciona las señales de todos los componentes de Microsoft Defender para proporcionar la historia de ataque completa.
Defender for Cloud Apps rol como CASB
Un agente de seguridad de acceso a la nube (CASB) actúa como un selector para brokerar el acceso en tiempo real entre los usuarios empresariales y los recursos en la nube que usan, dondequiera que se encuentren los usuarios e independientemente del dispositivo que usen. Defender for Cloud Apps es un CASB para las aplicaciones en la nube de la organización. Defender for Cloud Apps se integra de forma nativa con las funcionalidades de seguridad de Microsoft, incluidos Microsoft Defender XDR.
Sin Defender for Cloud Apps, las aplicaciones en la nube que usa la organización no se administran y no están protegidas.
En la ilustración:
- El uso de aplicaciones en la nube por parte de una organización no está supervisado y no protegido.
- Este uso queda fuera de las protecciones logradas dentro de una organización administrada.
Para detectar las aplicaciones en la nube que se usan en su entorno, puede implementar uno o ambos de los métodos siguientes:
- Empiece a trabajar rápidamente con Cloud Discovery mediante la integración con Microsoft Defender para punto de conexión. Esta integración nativa le permite empezar inmediatamente a recopilar datos sobre el tráfico en la nube en los dispositivos Windows 10 y Windows 11, dentro y fuera de la red.
- Para detectar todas las aplicaciones en la nube a las que acceden todos los dispositivos conectados a la red, implemente el recopilador de registros de Defender for Cloud Apps en los firewalls y otros servidores proxy. Esta implementación ayuda a recopilar datos de los puntos de conexión y los envía a Defender for Cloud Apps para su análisis. Defender for Cloud Apps se integra de forma nativa con algunos servidores proxy de terceros para obtener aún más funcionalidades.
En este artículo se incluyen instrucciones para ambos métodos.
Paso 1. Conexión al portal de Defender for Cloud Apps
Para comprobar las licencias y conectarse al portal de Defender for Cloud Apps, consulte Inicio rápido: Introducción a Microsoft Defender for Cloud Apps.
Si no puede conectarse inmediatamente al portal, es posible que tenga que agregar la dirección IP a la lista de permitidos del firewall. Consulte Configuración básica para Defender for Cloud Apps.
Si sigue teniendo problemas, revise Requisitos de red.
Paso 2: Integración con Microsoft Defender para punto de conexión
Microsoft Defender for Cloud Apps se integra con Microsoft Defender para punto de conexión de forma nativa. La integración simplifica la implementación de Cloud Discovery, amplía las funcionalidades de Cloud Discovery más allá de la red corporativa y permite la investigación basada en dispositivos. Esta integración revela las aplicaciones en la nube y los servicios a los que se accede desde dispositivos de Windows 10 y Windows 11 administrados por TI.
Si ya ha configurado Microsoft Defender para punto de conexión, la configuración de la integración con Defender for Cloud Apps es un botón de alternancia en Microsoft Defender XDR. Una vez activada la integración, puede volver al portal de Defender for Cloud Apps y ver datos enriquecidos en el panel de Cloud Discovery.
Para realizar estas tareas, consulte Microsoft Defender para punto de conexión integración con Microsoft Defender for Cloud Apps.
Paso 3: Implementación del recopilador de registros de Defender for Cloud Apps en los firewalls y otros servidores proxy
Para obtener cobertura en todos los dispositivos conectados a la red, implemente el recopilador de registros de Defender for Cloud Apps en los firewalls y otros servidores proxy para recopilar datos de los puntos de conexión y enviarlos a Defender for Cloud Apps para su análisis.
Si usa una de las siguientes puertas de enlace web seguras (SWG), Defender for Cloud Apps proporciona una implementación e integración sin problemas:
- Zscaler
- iboss
- Corrata
- Menlo Security
Para obtener más información sobre la integración con estos dispositivos de red, consulte Configuración de Cloud Discovery.
Paso 4. Creación de un grupo piloto: ámbito de la implementación piloto a determinados grupos de usuarios
Microsoft Defender for Cloud Apps permite limitar la implementación. El ámbito permite seleccionar determinados grupos de usuarios que se van a supervisar para las aplicaciones o excluirlos de la supervisión. Puede incluir o excluir grupos de usuarios. Para limitar la implementación piloto, consulte Implementación con ámbito.
Paso 5. Detección y administración de aplicaciones en la nube
Para que Defender for Cloud Apps proporcione la máxima protección, debe detectar todas las aplicaciones en la nube de su organización y administrar cómo se usan.
Detección de aplicaciones en la nube
El primer paso para administrar el uso de aplicaciones en la nube es detectar qué aplicaciones en la nube usa la organización. En este diagrama siguiente se muestra cómo funciona la detección de la nube con Defender for Cloud Apps.
En esta ilustración, hay dos métodos que se pueden usar para supervisar el tráfico de red y detectar las aplicaciones en la nube que usa la organización.
Cloud App Discovery se integra con Microsoft Defender para punto de conexión de forma nativa. Defender for Endpoint informa de que se accede a aplicaciones y servicios en la nube desde dispositivos de Windows 10 y Windows 11 administrados por TI.
Para la cobertura en todos los dispositivos conectados a una red, instale el recopilador de registros de Defender for Cloud Apps en firewalls y otros servidores proxy para recopilar datos de puntos de conexión. El recopilador envía estos datos a Defender for Cloud Apps para su análisis.
Vea el panel de Cloud Discovery para ver qué aplicaciones se usan en su organización.
El panel de Cloud Discovery está diseñado para proporcionarle más información sobre cómo se usan las aplicaciones en la nube en su organización. Proporciona una visión general de los tipos de aplicaciones que se usan, las alertas abiertas y los niveles de riesgo de las aplicaciones de su organización.
Para empezar a usar el panel de Cloud Discovery, consulte Trabajar con aplicaciones detectadas.
Administración de aplicaciones en la nube
Después de detectar aplicaciones en la nube y analizar cómo la organización usa estas aplicaciones, puede empezar a administrar las aplicaciones en la nube que elija.
En esta ilustración:
- Algunas aplicaciones están autorizadas para su uso. La sanción es una forma sencilla de empezar a administrar aplicaciones.
- Puede habilitar una mayor visibilidad y control mediante la conexión de aplicaciones con conectores de aplicaciones. Los conectores de aplicaciones usan las API de los proveedores de aplicaciones.
Puede empezar a administrar aplicaciones mediante la sanción, la no autorización o el bloqueo total de las aplicaciones. Para empezar a administrar aplicaciones, consulte Gobernanza de las aplicaciones detectadas.
Paso 6. Configuración del control de aplicaciones de acceso condicional
Una de las protecciones más eficaces que puede configurar es el control de aplicaciones de acceso condicional. Esta protección requiere la integración con Microsoft Entra ID. Le permite aplicar directivas de acceso condicional, incluidas las directivas relacionadas (como requerir dispositivos en buen estado), a las aplicaciones en la nube que ha autorizado.
Es posible que ya haya agregado aplicaciones SaaS al inquilino de Microsoft Entra para aplicar la autenticación multifactor y otras directivas de acceso condicional. Microsoft Defender for Cloud Apps se integra de forma nativa con Microsoft Entra ID. Todo lo que debe hacer es configurar una directiva en Microsoft Entra ID para usar el control de aplicaciones de acceso condicional en Defender for Cloud Apps. Esto enruta el tráfico de red de estas aplicaciones SaaS administradas a través de Defender for Cloud Apps como proxy, lo que permite a Defender for Cloud Apps supervisar este tráfico y aplicar controles de sesión.
En esta ilustración:
- Las aplicaciones SaaS se integran con el inquilino de Microsoft Entra. Esta integración permite Microsoft Entra ID aplicar directivas de acceso condicional, incluida la autenticación multifactor.
- Se agrega una directiva a Microsoft Entra ID para dirigir el tráfico de las aplicaciones SaaS a Defender for Cloud Apps. La directiva especifica a qué aplicaciones SaaS aplicar esta directiva. Después de Microsoft Entra ID aplica las directivas de acceso condicional que se aplican a estas aplicaciones SaaS, Microsoft Entra ID, a continuación, dirige (proxies) el tráfico de sesión a través de Defender for Cloud Apps.
- Defender for Cloud Apps supervisa este tráfico y aplica las directivas de control de sesión configuradas por los administradores.
Es posible que haya detectado y autorizado aplicaciones en la nube mediante Defender for Cloud Apps que no se han agregado a Microsoft Entra ID. Puede aprovechar el control de aplicaciones de acceso condicional agregando estas aplicaciones en la nube al inquilino de Microsoft Entra y al ámbito de las reglas de acceso condicional.
El primer paso para usar Microsoft Defender for Cloud Apps para administrar aplicaciones SaaS es detectar estas aplicaciones y, a continuación, agregarlas al inquilino de Microsoft Entra. Si necesita ayuda con la detección, consulte Detección y administración de aplicaciones SaaS en la red. Una vez que haya detectado aplicaciones, agregue estas aplicaciones al inquilino de Microsoft Entra.
Puede empezar a administrar estas aplicaciones con las siguientes tareas:
- En Microsoft Entra ID, cree una nueva directiva de acceso condicional y configúrela en "Usar el control de aplicaciones de acceso condicional". Esta configuración ayuda a redirigir la solicitud a Defender for Cloud Apps. Puede crear una directiva y agregar todas las aplicaciones SaaS a esta directiva.
- A continuación, en Defender for Cloud Apps, cree directivas de sesión. Cree una directiva para cada control que quiera aplicar.
Para obtener más información, incluidas las aplicaciones y los clientes admitidos, consulte Protección de aplicaciones con Microsoft Defender for Cloud Apps control de aplicaciones de acceso condicional.
Para ver directivas de ejemplo, consulte Directivas de Microsoft Defender for Cloud Apps recomendadas para aplicaciones SaaS. Estas directivas se basan en un conjunto de directivas comunes de acceso a dispositivos e identidades que se recomiendan como punto de partida para todos los clientes.
Paso 7. Aplicación de directivas de sesión a aplicaciones en la nube
Microsoft Defender for Cloud Apps actúa como proxy inverso, lo que proporciona acceso de proxy a las aplicaciones en la nube autorizadas. Esta disposición permite Defender for Cloud Apps aplicar las directivas de sesión que configure.
En la ilustración:
- El acceso a las aplicaciones en la nube autorizadas desde usuarios y dispositivos de la organización se enruta a través de Defender for Cloud Apps.
- Este acceso de proxy permite aplicar directivas de sesión.
- Las aplicaciones en la nube que no haya autorizado o no autorizado explícitamente no se verán afectadas.
Las directivas de sesión le permiten aplicar parámetros a la forma en que su organización usa las aplicaciones en la nube. Por ejemplo, si su organización usa Salesforce, puede configurar una directiva de sesión que permita que solo los dispositivos administrados accedan a los datos de su organización en Salesforce. Un ejemplo más sencillo podría ser configurar una directiva para supervisar el tráfico desde dispositivos no administrados, de modo que pueda analizar el riesgo de este tráfico antes de aplicar directivas más estrictas.
Para obtener más información, consulte Creación de directivas de sesión.
Paso 8. Probar funcionalidades adicionales
Use estos tutoriales de Defender for Cloud Apps para ayudarle a detectar riesgos y proteger su entorno:
- Detección de actividad sospechosa de usuario
- Investigación de usuarios de riesgo
- Investigación de aplicaciones de OAuth de riesgo
- Detección y protección de información confidencial
- Protección de cualquier aplicación de la organización en tiempo real
- Bloquear descargas de información confidencial
- Protección de los archivos con cuarentena de administrador
- Requerir autenticación paso a paso por acción de riesgo
Para obtener más información sobre la búsqueda avanzada en Microsoft Defender for Cloud Apps datos, vea este vídeo.
Integración de SIEM
Puede integrar Defender for Cloud Apps con Microsoft Sentinel o un servicio genérico de administración de eventos e información de seguridad (SIEM) para habilitar la supervisión centralizada de alertas y actividades de aplicaciones conectadas. Con Microsoft Sentinel, puede analizar eventos de seguridad de forma más completa en toda la organización y crear cuadernos de estrategias para obtener una respuesta eficaz e inmediata.
Microsoft Sentinel incluye un conector de Defender for Cloud Apps. Esto le permite no solo obtener visibilidad sobre las aplicaciones en la nube, sino también obtener análisis sofisticados para identificar y combatir ciberamenazas y controlar cómo viajan los datos. Para obtener más información, consulte Microsoft Sentinel alertas de integración y Stream y registros de Cloud Discovery de Defender for Cloud Apps a Microsoft Sentinel.
Para obtener información sobre la integración con sistemas SIEM de terceros, consulte Integración siem genérica.
Paso siguiente
Realice la administración del ciclo de vida para Defender for Cloud Apps.
Siguiente paso para la implementación de un extremo a otro de Microsoft Defender XDR
Continúe con la implementación de un extremo a otro de Microsoft Defender XDR con Investigar y responder mediante Microsoft Defender XDR.
Sugerencia
¿Desea obtener más información? Participe con la comunidad de Seguridad de Microsoft en nuestra Tech Community: Tech Community de Microsoft Defender XDR.