Compartir por


Planeamiento de la implementación de Power BI: Defender for Cloud Apps para Power BI

Nota

Este artículo forma parte de la serie de artículos sobre el planeamiento de la implementación de Power BI. Esta serie se centra principalmente en la experiencia de Power BI en Microsoft Fabric. Para acceder a una introducción a la serie, consulte el planeamiento de la implementación de Power BI.

En este artículo se describen las actividades de planificación relacionadas con la implementación de Defender for Cloud Apps en relación con la supervisión de Power BI. Se dirige a:

  • Administradores de Power BI: los administradores responsables de supervisar Power BI en la organización. Los administradores de Power BI necesitan colaborar con el equipo de seguridad de la información y otros equipos relevantes.
  • Centro de excelencia, equipos de TI y BI: otros equipos que son responsables de supervisar Power BI en la organización. Es posible que necesiten colaborar con administradores de Power BI, equipos de seguridad de la información y otros equipos pertinentes.

Importante

La supervisión y la prevención de pérdida de datos (DLP) es un compromiso importante para toda la organización. Su ámbito e impacto son mucho mayores que Power BI por sí solo. Estos tipos de iniciativa requieren financiación, priorización y planificación. Espere implicar varios equipos multidisciplinarios en los esfuerzos de planificación, utilización y supervisión.

Se recomienda seguir un enfoque gradual y por fases para implementar Defender for Cloud Apps a fin de supervisar Power BI. Para obtener una descripción de los tipos de fases de lanzamiento que debe tener en cuenta, consulte Protección de la información para Power BI (fases de lanzamiento).

Propósito de la supervisión

Microsoft Defender for Cloud Apps (antes conocido como Microsoft Cloud App Security) es un agente de seguridad de acceso a la nube (CASB) que admite distintos modos de implementación. Tiene un amplio conjunto de funcionalidades que se extienden mucho más allá del ámbito de este artículo. Algunas funcionalidades son en tiempo real, mientras que otras no son en tiempo real.

Estos son algunos ejemplos de supervisión en tiempo real que puede implementar.

  • Bloquear descargas del servicio Power BI: puede crear una directiva de sesión para bloquear determinados tipos de actividades de usuario. Por ejemplo, cuando un usuario intenta descargar un informe del servicio Power BI al que se le ha asignado la etiqueta de confidencialidad Altamente restringido, la acción de descarga se puede bloquear en tiempo real.
  • Bloquear el acceso al servicio Power BI mediante un dispositivo no administrado: puede crear una directiva de acceso para impedir que los usuarios accedan a determinadas aplicaciones a menos que usen un dispositivo administrado. Por ejemplo, cuando un usuario intenta acceder al servicio Power BI desde su teléfono móvil personal, se puede bloquear esa acción.

Estos son algunos ejemplos de otras funcionalidades que no son en tiempo real.

  • Detectar y notificar determinadas actividades en el servicio Power BI: puede crear una directiva de actividad para generar una alerta cuando se produzcan determinados tipos de actividades. Por ejemplo, cuando se produce una actividad administrativa en el servicio Power BI (lo que indica que se cambió una configuración de inquilino), puede recibir una alerta por correo electrónico.
  • Supervisar actividades de seguridad avanzadas: puede ver y supervisar inicios de sesión y actividades de seguridad, anomalías e infracciones. Las alertas se pueden generar para situaciones como actividad sospechosa, ubicaciones inesperadas o una nueva ubicación.
  • Supervisar las actividades del usuario: puede ver y supervisar las actividades del usuario. Por ejemplo, un administrador de Power BI podría tener permiso para ver el registro de actividad de Power BI, además de la frecuencia de inicio de sesión del usuario en Defender for Cloud Apps.
  • Detectar y notificar un comportamiento inusual en el servicio Power BI: hay directivas integradas para la detección de anomalías. Por ejemplo, cuando un usuario descarga o exporta contenido del servicio Power BI con mayor frecuencia que los patrones normales, puede recibir una alerta por correo electrónico.
  • Buscar aplicaciones no autorizadas: puede encontrar aplicaciones no autorizadas en uso en la organización. Por ejemplo, puede preocuparse por los usuarios que comparten archivos (como archivos de Power BI Desktop o archivos de Excel) en un sistema de uso compartido de archivos de terceros. Puede bloquear el uso de una aplicación no autorizada y, a continuación, ponerse en contacto con los usuarios para informarlos sobre las formas adecuadas de compartir y colaborar con otros usuarios.

Sugerencia

El portal de Defender for Cloud Apps es un lugar cómodo para ver las actividades y alertas sin necesidad de crear un script para extraer y descargar los datos. Esta ventaja incluye la visualización de datos del registro de actividad de Power BI.

Power BI es una de muchas aplicaciones y servicios que se pueden integrar con Defender for Cloud Apps. Si ya usa Defender for Cloud Apps con otros fines, también se puede usar para supervisar Power BI.

Las directivas creadas en Defender for Cloud Apps son una forma de la DLP. En el artículo Prevención de pérdida de datos para Power BI, se tratan las directivas de la DLP para Power BI configuradas en el portal de cumplimiento de Microsoft Purview. Se recomienda usar directivas de la DLP para Power BI con las funcionalidades descritas en este artículo. Aunque hay cierta superposición conceptual, las funcionalidades son diferentes.

Precaución

Este artículo se centra en las funcionalidades de Microsoft Defender for Cloud Apps que se pueden usar para supervisar y proteger el contenido de Power BI. Hay muchas otras funcionalidades de Defender for Cloud Apps que no se tratan en este artículo. Asegúrese de colaborar con otras partes interesadas y administradores del sistema para tomar decisiones que resulten adecuadas para todas las aplicaciones y casos de uso.

Requisitos previos de Defender for Cloud Apps para Power BI

Por ahora, debe haber completado los pasos de planificación de nivel de organización que se describen en el artículo Prevención de pérdida de datos para Power BI. Antes de continuar, debe tener claro lo siguiente:

  • Estado actual:estado actual de DLP en su organización. Debe comprender en qué medida DLP ya está en uso y quién es responsable de su administración.
  • Objetivos y requisitos:objetivos estratégicos para implementar DLP en su organización. Comprender los objetivos y los requisitos servirá como guía para los esfuerzos de implementación.

Normalmente, la protección de la información ya se implementa antes de implementar la DLP. Si se publican etiquetas de confidencialidad (que se describen en el artículo Protección de la información para Power BI), se pueden usar en determinadas directivas de Defender for Cloud Apps.

Es posible que ya haya implementado la DLP para Power BI (proceso que se describe en el artículo Prevención de pérdida de datos para Power BI). Esas funcionalidades de la DLP son diferentes a las funcionalidades que se administran en el portal de cumplimiento de Microsoft Purview. Todas las funcionalidades de la DLP descritas en este artículo se administran en el portal de Defender for Cloud Apps.

Decisiones y acciones clave

Tendrá que tomar algunas decisiones clave antes de que esté listo para configurar directivas en Defender for Cloud Apps.

Las decisiones relacionadas con las directivas de Defender for Cloud Apps deben admitir directamente los objetivos y requisitos para proteger los datos que ha identificado anteriormente.

Tipo de directiva y actividades

Deberá tener en cuenta qué actividades de usuario le interesan supervisar, bloquear o controlar. El tipo de directiva de Defender for Cloud Apps influye en lo siguiente:

  • Lo que puedes lograr.
  • Las actividades que se pueden incluir en la configuración.
  • El hecho de que los controles se produzcan en tiempo real o no.

Directivas en tiempo real

Las directivas de acceso y las directivas de sesión creadas en Defender for Cloud Apps permiten supervisar, bloquear o controlar las sesiones de usuario en tiempo real.

Las directivas de acceso y las directivas de sesión le permiten lo siguiente:

  • Responder mediante programación en tiempo real: detecte, notifique y bloquee el uso compartido inadvertido, inadecuado o de riesgo de datos confidenciales. Estas acciones le permiten lo siguiente:
    • Mejorar la configuración general de seguridad del inquilino de Power BI, con automatización e información.
    • Permitir casos de uso analítico que involucren datos confidenciales de forma que se puedan auditar.
  • Proporcionar a los usuarios notificaciones contextuales: esta funcionalidad le permite o siguiente:

Para proporcionar controles en tiempo real, las directivas de acceso y las directivas de sesión funcionan con el identificador de Entra de Microsoft, basándose en las funcionalidades de proxy inverso del control de aplicaciones de acceso condicional. Las solicitudes y respuestas del usuario, en lugar de pasar por la aplicación (el servicio Power BI en este caso), pasan por un proxy inverso (Defender for Cloud Apps).

El redireccionamiento no afecta a la experiencia del usuario. Sin embargo, la dirección URL del servicio Power BI cambiará a https://app.powerbi.com.mcas.ms una vez que haya configurado el Control de aplicaciones de acceso condicional en Microsoft Entra ID con Power BI. Además, los usuarios recibirán una notificación cuando inicien sesión en el servicio Power BI que anuncia que Defender for Cloud Apps supervisa la aplicación.

Importante

Las directivas de acceso y las directivas de sesión funcionan en tiempo real. Otros tipos de directivas de Defender for Cloud Apps conllevan un breve retraso en las alertas. La mayoría de los demás tipos de DLP y auditoría también experimentan latencia, como la DLP para Power BI y el registro de actividad de Power BI.

Directivas de acceso

Una directiva de acceso creada en Defender for Cloud Apps controla si un usuario puede iniciar sesión en una aplicación en la nube como el servicio Power BI. Las organizaciones que se encuentran en sectores altamente regulados se preocuparán por las directivas de acceso.

Estos son algunos ejemplos de cómo puede usar directivas de acceso para bloquear el acceso al servicio Power BI.

  • Usuario inesperado: puede bloquear el acceso a un usuario que no sea miembro de un grupo de seguridad específico. Por ejemplo, esta directiva podría resultar útil cuando tiene un proceso interno importante que supervisa los usuarios aprobados de Power BI a través de un grupo específico.
  • Dispositivo no administrado: puede bloquear el acceso a un dispositivo personal que no esté administrado por la organización.
  • Actualizaciones necesarias: puede bloquear el acceso a un usuario que use un sistema operativo o un explorador obsoletos.
  • Ubicación: puede bloquear el acceso a una ubicación en la que no tenga oficinas o usuarios, o desde una dirección IP desconocida.

Sugerencia

Si tiene usuarios externos que acceden a su inquilino de Power BI o a los empleados que viajan con frecuencia, esto puede afectar a la forma en que define las directivas de control de acceso. El equipo de TI se suele encargar de administrar estos tipos de directivas.

Directivas de sesión

Una directiva de sesión es útil cuando no desea permitir o bloquear completamente el acceso (lo que se puede hacer con una directiva de acceso como se ha descrito anteriormente). En concreto, permite el acceso al usuario mientras supervisa o limita lo que ocurre activamente durante su sesión.

Estos son algunos ejemplos de formas en que puede usar directivas de sesión para supervisar, bloquear o controlar las sesiones de usuario en el servicio Power BI.

  • Bloquear descargas: bloquee las descargas y exportaciones cuando se asigna una etiqueta de confidencialidad específica, como Altamente restringido, al elemento en el servicio Power BI.
  • Supervisar inicios de sesión: supervise cuándo un usuario, que cumple ciertas condiciones, inicia sesión. Por ejemplo, el usuario podría ser miembro de un grupo de seguridad específico o usar un dispositivo personal que no esté administrado por la organización.

Sugerencia

Crear una directiva de sesión (por ejemplo, para evitar descargas) para el contenido asignado a una etiqueta de confidencialidad determinada, como Altamente restringido, es uno de los casos de uso más eficaces para los controles de sesión en tiempo real con Power BI.

También es posible controlar las cargas de archivos con directivas de sesión. Sin embargo, normalmente quiere animar a los usuarios de BI de autoservicio a cargar contenido en el servicio Power BI (en lugar de compartir archivos de Power BI Desktop). Por lo tanto, plantéese detenidamente bloquear las cargas de archivos.

Lista de comprobación: al planificar las directivas en tiempo real en Defender for Cloud Apps, entre las decisiones y acciones clave se incluyen las siguientes:

  • Identificar casos de uso para bloquear el acceso: compile una lista de escenarios para cuando sea adecuado bloquear el acceso al servicio Power BI.
  • Identificar casos de uso para supervisar los inicios de sesión: compile una lista de escenarios para cuando sea adecuado supervisar los inicios de sesión en el servicio Power BI.
  • Identificar casos de uso para bloquear las descargas: determine cuándo se deben bloquear las descargas del servicio Power BI. Determine qué etiquetas de confidencialidad deben incluirse.

Directivas de actividad

Las directivas de actividad de Defender for Cloud Apps no funcionan en tiempo real.

Puede configurar una directiva de actividad para comprobar los eventos registrados en el registro de actividad de Power BI. La directiva puede actuar en una sola actividad o puede actuar en actividades repetidas por un solo usuario (cuando una actividad específica se produce más de un número establecido de veces en un número establecido de minutos).

Puede usar directivas de actividad para supervisar la actividad en el servicio Power BI de diferentes maneras. Estos son algunos ejemplos de lo que puede lograr.

  • Usuario no autorizado o inesperado ve contenido privilegiado: un usuario que no es miembro de un grupo de seguridad específico (o un usuario externo) ha visto un informe con privilegios elevados que se proporciona a la junta directiva.
  • Usuario no autorizado o inesperado actualiza una configuración de inquilino: un usuario que no es miembro de un grupo de seguridad específico, como el grupo de administradores de Power BI, ha actualizado la configuración del inquilino en el servicio Power BI. También puede optar por recibir notificaciones cada vez que se actualice una configuración de inquilino.
  • Gran número de eliminaciones: un usuario ha eliminado más de 20 áreas de trabajo o informes en un periodo de tiempo inferior a 10 minutos.
  • Gran número de descargas: un usuario ha descargado más de 30 informes en un periodo de tiempo inferior a cinco minutos.

Los administradores de Power BI como parte de la supervisión de Power BI suelen controlar los tipos de alertas de directivas de actividad que se describen en esta sección. Al configurar alertas en Defender for Cloud Apps, se recomienda centrarse en situaciones que representen un riesgo significativo para la organización. Esto se debe a que un administrador tendrá que revisar y cerrar cada alerta.

Advertencia

Dado que los eventos del registro de actividad de Power BI no están disponibles en tiempo real, no se pueden usar para la supervisión o el bloqueo en tiempo real. Sin embargo, puede usar operaciones del registro de actividad en las directivas de actividad. Asegúrese de colaborar con su equipo de seguridad de la información para comprobar lo que técnicamente es factible antes de avanzar demasiado en el proceso de planificación.

Lista de comprobación: al planificar las directivas de actividad, entre las decisiones y las acciones clave se incluyen las siguientes:

  • Identificar casos de uso para la supervisión de actividades: compile una lista de actividades específicas del registro de actividad de Power BI que representen un riesgo significativo para la organización. Determine si el riesgo se relaciona con una sola actividad o con actividades repetidas.
  • Coordinar el esfuerzo con los administradores de Power BI: analice las actividades de Power BI que se supervisarán en Defender for Cloud Apps. Asegúrese de que no haya una duplicación de esfuerzo entre distintos administradores.

Usuarios afectados

Una de las razones atractivas para integrar Power BI con Defender for Cloud Apps es beneficiarse de controles en tiempo real cuando los usuarios interactúan con el servicio Power BI. Este tipo de integración requiere el Control de aplicaciones de acceso condicional en Microsoft Entra ID.

Antes de configurar el Control de aplicaciones de acceso condicional en Microsoft Entra ID, deberá tener en cuenta qué usuarios se incluirán. Normalmente, se incluyen todos los usuarios. Sin embargo, puede haber razones para excluir usuarios específicos.

Sugerencia

Al configurar la directiva de acceso condicional, es probable que el administrador de Microsoft Entra excluya cuentas de administrador específicas. Ese enfoque impedirá el bloqueo de los administradores. Se recomienda que las cuentas excluidas sean administradores de Microsoft Entra en lugar de usuarios estándar de Power BI.

Ciertos tipos de directivas de Defender for Cloud Apps se pueden aplicar a determinados usuarios y grupos. La mayoría de las veces, estos tipos de directivas son aplicables a todos los usuarios. Sin embargo, es posible que encuentre una situación en la que tenga que excluir a propósito a determinados usuarios.

Lista de comprobación: al considerar qué usuarios se ven afectados, entre las decisiones y las acciones clave se incluyen las siguientes:

  • Tener en cuenta qué usuarios se incluyen: confirme si todos los usuarios se incluirán en la directiva de control de aplicaciones de acceso condicional de Microsoft Entra.
  • Identificar qué cuentas de administrador deben excluirse: determine qué cuentas de administrador específicas deben excluirse intencionadamente de la directiva de control de aplicaciones de acceso condicional de Microsoft Entra.
  • Determinar si ciertas directivas de Defender se aplican a subconjuntos de usuarios: para los casos de uso válidos, considere si deben ser aplicables a todos o a algunos usuarios (siempre que sea posible).

Mensajería de usuario

Después de identificar casos de uso, deberá tener en cuenta lo que debe ocurrir cuando haya actividad de usuario que coincida con la directiva.

Cuando se bloquea una actividad en tiempo real, es importante proporcionar al usuario un mensaje personalizado. El mensaje es útil cuando desea proporcionar más instrucciones y conocimiento a los usuarios durante su flujo de trabajo normal. Es más probable que los usuarios lean y absorban las notificaciones de usuario cuando sean:

  • Específicas: la correlación del mensaje con la directiva facilita la comprensión.
  • Procesables: ofrecer una sugerencia sobre lo que tienen que hacer o cómo encontrar más información.

Algunos tipos de directivas de Defender for Cloud Apps pueden tener un mensaje personalizado. A continuación, se incluyen dos ejemplos de notificaciones de usuario.

Ejemplo 1: Puede definir una directiva de control de sesión en tiempo real que impida todas las exportaciones y descargas cuando la etiqueta de confidencialidad del elemento de Power BI (como un informe o un modelo semántico) esté establecida en Altamente restringido. El mensaje de bloqueo personalizado en Defender for Cloud es el siguiente: No se permite descargar archivos con la etiqueta Altamente restringido desde el servicio Power BI. Consulte el contenido en línea en el servicio Power BI. Póngase en contacto con el equipo de soporte técnico de Power BI si tiene preguntas.

Ejemplo 2: Puede definir una directiva de acceso en tiempo real que impida que un usuario inicie sesión en el servicio Power BI cuando no use una máquina administrada por la organización. El mensaje de bloqueo personalizado de Defender for Cloud Apps lee: Es posible que no se tenga acceso al servicio Power BI en un dispositivo personal. Use el dispositivo proporcionado por la organización. Póngase en contacto con el equipo de soporte técnico de Power BI con cualquier pregunta.

Lista de comprobación: al considerar los mensajes de usuario en Defender for Cloud Apps, entre las decisiones y acciones clave se incluyen las siguientes:

  • Decidir cuándo se necesita un mensaje de bloqueo personalizado: para cada directiva que quiera crear, determine si se necesitará un mensaje de bloqueo personalizado.
  • Crear mensajes de bloqueo personalizados: para cada directiva, defina qué mensaje se debe mostrar a los usuarios. Planifique relacionar cada mensaje con la directiva para que sea específico y accionable.

Alertas para administradores

Las alertas son útiles cuando desea que los administradores de seguridad y cumplimiento sepan que se ha producido una infracción de una directiva. Al definir directivas en Defender for Cloud Apps, tenga en cuenta si se deben generar alertas. Para obtener más información, consulte los tipos de alertas de Defender for Cloud Apps.

Opcionalmente, puede configurar una alerta para enviar un correo electrónico a varios administradores. Cuando se requiera una alerta por correo electrónico, le recomendamos que utilice un grupo de seguridad habilitado para correo. Por ejemplo, puede utilizar un grupo denominado Alertas para administradores de seguridad y cumplimiento.

En situaciones de prioridad alta, es posible enviar alertas por mensaje de texto. También es posible crear flujos de trabajo y automatización de alertas personalizados mediante la integración con Power Automate.

Puede configurar cada alerta con una gravedad baja, media o alta. El nivel de gravedad es útil al priorizar la revisión de alertas abiertas. Un administrador tendrá que revisar cada alerta y tomar medidas. Una alerta se puede cerrar como verdadero positivo, falso positivo o inofensiva.

A continuación, se incluyen dos ejemplos de alertas para administradores.

Ejemplo 1: Puede definir una directiva de control de sesión en tiempo real que impida todas las exportaciones y descargas cuando la etiqueta de confidencialidad del elemento de Power BI (como un informe o un modelo semántico) esté establecida en Altamente restringido. Tiene un mensaje de bloqueo personalizado útil para el usuario. Sin embargo, en esta situación no es necesario generar una alerta.

Ejemplo 2: Puede definir una directiva de actividad que supervise si un usuario externo ha visto un informe con privilegios elevados que se proporciona a la junta directiva. Se puede configurar una alerta de gravedad alta para asegurarse de que la actividad se investigue rápidamente.

Sugerencia

En el ejemplo 2 se resaltan las diferencias entre la protección y la seguridad de la información. Su directiva de actividad puede ayudar a identificar escenarios en los que los usuarios de BI de autoservicio tienen permiso para administrar la seguridad del contenido. Sin embargo, estos usuarios pueden tomar medidas que la directiva de la organización desaconseja. Se recomienda configurar estos tipos de directivas solo en circunstancias específicas cuando la información es especialmente confidencial.

Lista de comprobación: al considerar las alertas para administradores en Defender for Cloud Apps, entre las decisiones y acciones clave se incluyen las siguientes:

  • Decidir cuándo son necesarias las alertas:: para cada directiva que pretenda crear, decida qué situaciones justifican el uso de alertas.
  • Aclarar roles y responsabilidades: determine las expectativas y la acción que debe llevarse a cabo cuando se genere una alerta.
  • Determinar quién recibirá las alertas: decida qué administradores de seguridad y cumplimiento revisarán las alertas abiertas y tomarán medidas. Confirme que se cumplen los permisos y los requisitos de licencia para cada administrador que usará Defender for Cloud Apps.
  • Crear un nuevo grupo: cuando sea necesario, cree un nuevo grupo de seguridad habilitado para correo que se usará para las notificaciones por correo electrónico.

Convención de nomenclatura de directivas

Antes de crear directivas en Defender for Cloud Apps, es recomendable crear primero una convención de nomenclatura. Una convención de nomenclatura es útil cuando hay muchos tipos de directivas para muchos tipos de aplicaciones. También es útil cuando los administradores de Power BI participan en la supervisión.

Sugerencia

Considere la posibilidad de conceder acceso a Defender for Cloud Apps a los administradores de Power BI. Use el rol de administrador, que permite ver el registro de actividad, los eventos de inicio de sesión y los eventos relacionados con el servicio Power BI.

Considere una plantilla de convención de nomenclatura que incluya marcadores de posición de componentes: <Aplicación> - <Descripción> - <Acción> - <Tipo de directiva>

A continuación, se incluyen algunos ejemplos de convenciones de nomenclatura.

Tipo de directiva En tiempo real Nombre de directiva
Directiva de sesión Power BI - Etiqueta altamente restringida - Bloquear descargas - RT
Directiva de acceso Todo - Dispositivo no administrado - Bloquear acceso - RT
Directiva de actividades No Power BI - Actividad administrativa
Directiva de actividades No Power BI - Un usuario externo ve un informe ejecutivo

Los componentes de la convención de nomenclatura incluyen lo siguiente:

  • Aplicación: nombre de la aplicación. El prefijo Power BI ayuda a agrupar todas las directivas específicas de Power BI cuando se ordenan. Sin embargo, algunas directivas se aplicarán a todas las aplicaciones en la nube en lugar de solo al servicio Power BI.
  • Descripción: la parte de descripción del nombre variará más. Puede incluir etiquetas de confidencialidad afectadas o el tipo de actividad que se está supervisando.
  • Acción: (opcional) en los ejemplos, una directiva de sesión tiene una acción de bloqueo de descargas. Normalmente, una acción solo es necesaria cuando se trata de una directiva en tiempo real.
  • Tipo de directiva: (opcional) en el ejemplo, el sufijo RT indica que es una directiva en tiempo real. Designar si es en tiempo real o no ayuda a administrar las expectativas.

Hay otros atributos que no necesitan incluirse en el nombre de la directiva. Estos atributos incluyen el nivel de gravedad (bajo, medio o alto) y la categoría (como detección de amenazas o DLP). Ambos atributos se pueden filtrar en la página de alertas.

Sugerencia

Puede cambiar el nombre de una directiva en Defender for Cloud Apps. Sin embargo, no es posible cambiar el nombre de las directivas de detección de anomalías integradas. Por ejemplo, Uso compartido sospechoso de informes de Power BI es una directiva integrada cuyo nombre no se puede cambiar.

Lista de comprobación: cuando considere la convención de nomenclatura de las directivas, entre las decisiones y las acciones clave se incluyen las siguientes:

  • Elegir una convención de nomenclatura: use las primeras directivas para establecer una convención de nomenclatura coherente que se interprete directamente. Céntrese en el uso de un prefijo y un sufijo coherentes.
  • Documentar la convención de nomenclatura: proporcione documentación de referencia sobre la convención de nomenclatura de directivas. Asegúrese de que los administradores del sistema conocen la convención de nomenclatura.
  • Actualizar directivas existentes: actualice las directivas de Defender existentes para cumplir con la nueva convención de nomenclatura.

Requisitos de concesión de licencia

Las licencias específicas deben estar implementadas para supervisar un inquilino de Power BI. Los administradores deben tener una de las siguientes licencias.

  • Microsoft Defender for Cloud Apps: proporciona funcionalidades de Defender for Cloud Apps para todas las aplicaciones admitidas (incluido el servicio Power BI).
  • Cloud App Security de Office 365: proporciona funcionalidades de Defender for Cloud Apps para aplicaciones de Office 365 que forman parte del conjunto de Office 365 E5 (incluido el servicio Power BI).

Además, si los usuarios necesitan usar directivas de acceso en tiempo real o directivas de sesión en Defender for Cloud Apps, necesitarán una licencia de Microsoft Entra ID P1.

Sugerencia

Si necesita aclaraciones sobre los requisitos de licencia, hable con su equipo de cuentas de Microsoft.

Lista de comprobación: al evaluar los requisitos de licencia, entre las decisiones y acciones clave se incluyen las siguientes:

  • Revisar los requisitos de licencia del producto: asegúrese de haber revisado todos los requisitos de licencia para trabajar con Defender for Cloud Apps.
  • Adquirir licencias adicionales: si procede, adquiera más licencias para desbloquear la funcionalidad que desea utilizar.
  • Asignar licencias: asigne una licencia a cada uno de los administradores de seguridad y cumplimiento que vayan a usar Defender for Cloud Apps.

Documentación y capacitación de los usuarios

Antes de implementar Defender for Cloud Apps, le recomendamos que cree y publique documentación para los usuarios. Una página de SharePoint o una página wiki en su portal centralizado puede funcionar bien porque será fácil de mantener. Un documento subido a una biblioteca compartida o a un sitio de Teams también es una buena solución.

El objetivo de la documentación es lograr una experiencia de usuario fluida. Preparar la documentación del usuario también le ayudará a asegurarse de que lo ha tenido todo en cuenta.

Incluya información sobre a quién dirigirse cuando los usuarios tengan preguntas o problemas técnicos.

Las preguntas frecuentes y los ejemplos son especialmente útiles para la documentación del usuario.

Lista de comprobación: a la hora de preparar la documentación y la capacitación de los usuarios, entre las decisiones y las acciones clave se incluyen las siguientes:

  • Actualizar la documentación para creadores y consumidores de contenidos: actualice sus preguntas frecuentes y ejemplos para incluir información relevante sobre las directivas que se pueden encontrar los usuarios.
  • Publicar cómo obtener ayuda: asegúrese de que sus usuarios saben cómo obtener ayuda cuando experimentan algo inesperado o que no entienden.
  • Determine si se necesita formación específica: cree o actualice su entrenamiento de usuarios para incluir información útil, especialmente si existe un requisito normativo para hacerlo.

Asistencia técnica de usuario

Es importante verificar quién será el responsable de la asistencia al usuario. Es habitual que sea un departamento de soporte técnico de TI centralizado el que use Defender for Cloud Apps para supervisar Power BI.

Es posible que tenga que crear documentación para el departamento de soporte técnico y realizar algunas sesiones de transferencia de conocimiento para asegurarse de que el departamento de soporte técnico está listo para responder a las solicitudes de soporte técnico.

Lista de comprobación: Al preparar la función de soporte al usuario, las decisiones y acciones clave incluyen:

  • Identificar quién proporcionará soporte técnico al usuario: Al definir roles y responsabilidades, asegúrese de tener en cuenta cómo los usuarios obtendrán ayuda con los problemas que puedan encontrar.
  • Asegurarse de que el equipo de asistencia al usuario esté preparado: cree documentación y lleve a cabo sesiones de transferencia de conocimientos para asegurarse de que el departamento de soporte técnico está preparado para ayudar con estos procesos.
  • Comunicarse entre equipos: analice los mensajes que pueden ver los usuarios y el proceso para resolver alertas abiertas con los administradores de Power BI y el Centro de excelencia. Asegúrese de que todos los implicados estén preparados para las posibles preguntas de los usuarios de Power BI.

Resumen de la implementación

Una vez que se han tomado las decisiones y se ha preparado un plan de lanzamiento, es el momento de iniciar la implementación.

Si tiene previsto usar directivas en tiempo real (directivas de sesión o directivas de acceso), la primera tarea consiste en configurar el Control de aplicaciones de acceso condicional de Microsoft Entra. Deberá configurar el servicio Power BI como una aplicación de catálogo que se controlará mediante Defender for Cloud Apps.

Una vez configurado y probado el control de aplicaciones de acceso condicional de Microsoft Entra, puede crear directivas en las aplicaciones de Defender for Cloud.

Importante

Se recomienda introducir esta funcionalidad en un pequeño número de usuarios de prueba en primer lugar. También hay un modo de solo supervisión que puede resultar útil para introducir esta funcionalidad de forma ordenada.

La siguiente lista de comprobación incluye una lista resumida de los pasos de implantación de un extremo a otro. Muchos de los pasos tienen otros detalles que se trataron en secciones anteriores de este artículo.

Lista de comprobación: al implementar Defender for Cloud Apps con Power BI, entre las decisiones y las acciones clave se incluyen las siguientes:

  • Verificar el estado actual y los objetivos: asegúrese de tener claro el estado actual de la DLP para su uso con Power BI. Todos los objetivos y requisitos para implementar la DLP deben estar claros y utilizarse activamente para impulsar el proceso de toma de decisiones.
  • Llevar a cabo el proceso de toma de decisiones: revise y analice todas las decisiones necesarias. Esta tarea debe realizarse antes de configurar nada en producción.
  • Revisar los requisitos de licencia: Asegúrese de que comprende los requisitos de licencia del producto y de usuario. Si es necesario, obtenga y asigne más licencias.
  • Publique documentación para el usuario: publique la información que los usuarios necesitarán para responder a sus preguntas y aclarar sus expectativas. Proporcione orientación, comunicaciones y capacitación a sus usuarios para que estén preparados.
  • Crear una directiva de acceso condicional de Microsoft Entra: cree una directiva de acceso condicional en Microsoft Entra ID para habilitar controles en tiempo real para supervisar el servicio Power BI. En primer lugar, habilite la directiva de acceso condicional de Microsoft Entra para algunos usuarios de prueba.
  • Establecer Power BI como una aplicación conectada en Defender for Cloud Apps: agregue o compruebe que Power BI aparece como una aplicación conectada en Defender for Cloud Apps para el Control de aplicaciones de acceso condicional.
  • Realizar pruebas iniciales: inicie sesión en el servicio Power BI como uno de los usuarios de prueba. Compruebe que el acceso funciona. Compruebe también que el mensaje que se muestra le informa de que Defender for Cloud Apps supervisa el servicio Power BI.
  • Crear y probar una directiva en tiempo real: con los casos de uso ya compilados, cree una directiva de acceso o una directiva de sesión en Defender for Cloud Apps.
  • Realizar pruebas iniciales: como usuario de prueba, realice una acción que desencadenará la directiva en tiempo real. Compruebe que la acción está bloqueada (si procede) y que se muestran los mensajes de alerta esperados.
  • Recopilar comentarios de los usuarios: obtenga comentarios sobre el proceso y la experiencia del usuario. Identifique áreas de confusión, resultados inesperados con tipos de información confidencial y otros problemas técnicos.
  • Continuar las versiones iterativas: agregue gradualmente más directivas en Defender for Cloud Apps hasta que se resuelvan todos los casos de uso.
  • Revisar las directivas integradas: busque las directivas de detección de anomalías integradas en Defender for Cloud Apps (que tienen Power BI en su nombre). Actualice la configuración de alertas para las directivas integradas, cuando sea necesario.
  • Continuar con un lanzamiento más amplio: continúe trabajando a través del plan de lanzamiento iterativo. Actualice la directiva de acceso condicional de Microsoft Entra para que se aplique a un conjunto más amplio de usuarios, según corresponda. Actualice las directivas individuales en Defender for Cloud Apps para que se apliquen a un conjunto más amplio de usuarios, según corresponda.
  • Supervisar, afinar y ajustar: invierta recursos para revisar con frecuencia las alertas de coincidencia de directivas y los registros de auditoría. Investigue los falsos positivos y ajuste las directivas cuando sea necesario.

Sugerencia

Estos elementos de la lista de comprobación se resumen a efectos de planificación. Para obtener más información sobre los elementos de esta lista de comprobación, consulte las secciones anteriores de este artículo.

Para obtener más información específica sobre cómo implementar Power BI como una aplicación de catálogo en Defender for Cloud Apps, consulte los pasos para implementar aplicaciones de catálogo.

Supervisión continua

Una vez completada la implementación, debe dirigir su atención a la supervisión, aplicación y ajuste de las directivas de Defender for Cloud Apps en función de su utilización.

Los administradores de Power BI y los administradores de seguridad y cumplimiento tendrán que colaborar de vez en cuando. Para el contenido de Power BI, existen dos audiencias para la supervisión.

  • Administradores de Power BI: además de las alertas generadas por Defender for Cloud Apps, las actividades del registro de actividad de Power BI también se muestran en el portal de Defender for Cloud Apps.
  • Administradores de seguridad y cumplimiento: los administradores de seguridad y cumplimiento de la organización suelen utilizar las alertas de Defender for Cloud Apps.

Es posible proporcionar a los administradores de Power BI una vista limitada en Defender for Cloud Apps. Usa un rol con ámbito para ver el registro de actividad, los eventos de inicio de sesión y los eventos relacionados con el servicio Power BI. Esta funcionalidad es una comodidad para los administradores de Power BI.

Lista de comprobación: al supervisar Defender for Cloud Apps, entre las decisiones y las acciones clave se incluyen las siguientes:

  • Verificar roles y responsabilidades: asegúrese de tener claro quién es responsable de cada acción. Instruya a los administradores de Power BI y comuníquese con ellos si van a ser responsables de cualquier aspecto de la supervisión.
  • Administrar el acceso para los administradores de Power BI: agregue los administradores de Power BI al rol de administrador con ámbito en Defender for Cloud Apps. Comuníquese con ellos para que conozcan lo que pueden hacer con esta información adicional.
  • Crear o validar su proceso de revisión de la actividad: asegúrese de que los administradores de seguridad y cumplimiento tienen claras las expectativas de revisión periódica del explorador de actividad.
  • Crear o validar su proceso de resolución de alertas: asegúrese de que los administradores de seguridad y cumplimiento disponen de un proceso para investigar y resolver las alertas abiertas.

En el siguiente artículo de esta serie, obtenga información sobre la auditoría para la protección de la información y la prevención de pérdida de datos para Power BI.