Prácticas recomendadas para proteger su organización con Defender para aplicaciones en la nube
Microsoft Defender for Cloud Apps ahora es parte de Microsoft 365 Defender y se puede acceder a través de su portal en: https://security.microsoft.com. Microsoft 365 Defender correlaciona las señales del conjunto de aplicaciones de Microsoft Defender en puntos finales, identidades, correo electrónico y aplicaciones SaaS para proporcionar capacidades de detección, investigación y respuesta potentes a nivel de incidentes. Mejora su eficiencia operativa con una mejor priorización y tiempos de respuesta más cortos que protegen a su organización de manera más efectiva.
Este artículo proporciona las mejores prácticas para proteger su organización mediante el uso de Microsoft Defender para aplicaciones en la nube. Estas mejores prácticas provienen de nuestra experiencia con Defender para aplicaciones en la nube y las experiencias de clientes como usted.
Las mejores prácticas discutidas en este artículo incluyen:
- Descubra y evalúe aplicaciones en la nube
- Aplicar políticas de gobierno de la nube
- Limite la exposición de los datos compartidos y haga cumplir las políticas de colaboración
- Descubra, clasifique, etiquete y proteja los datos confidenciales y regulados almacenados en la nube
- Aplique políticas de conformidad y DLP para los datos almacenados en la nube
- Bloquee y proteja la descarga de datos confidenciales a dispositivos no administrados o de riesgo
- Colaboración segura con usuarios externos mediante la aplicación de controles de sesión en tiempo real
- Detecte amenazas en la nube, cuentas comprometidas, infiltrados maliciosos y ransomware
- Utilice la pista de auditoría de actividades para investigaciones forenses
- Servicios seguros de IaaS y aplicaciones personalizadas
Descubra y evalúe aplicaciones en la nube
La integración de Defender para aplicaciones en la nube con Microsoft Defender para Endpoint le brinda la capacidad de usar Cloud Discovery más allá de su red corporativa o puertas de enlace web seguras. Con la información combinada de usuarios y dispositivos, puede identificar usuarios o dispositivos de riesgo, ver qué aplicaciones están usando e investigar más a fondo en el portal de Defender for Endpoint.
Práctica recomendada: habilite Shadow IT Discovery usando Defender para Endpoint
Detalle: Cloud Discovery analiza los registros de tráfico recopilados por Defender for Endpoint y evalúa las aplicaciones identificadas en el catálogo de aplicaciones en la nube para proporcionar información de cumplimiento y seguridad. Al configurar Cloud Discovery, obtiene visibilidad del uso de la nube, Shadow IT y monitoreo continuo de las aplicaciones no autorizadas que utilizan sus usuarios.
Práctica recomendada: configure las políticas de descubrimiento de aplicaciones para identificar de forma proactiva las aplicaciones de riesgo, las que no cumplen las normas y las que están de moda
Detalles: las políticas de descubrimiento de aplicaciones facilitan el seguimiento de las aplicaciones descubiertas significativas en su organización para ayudarlo a administrar estas aplicaciones de manera eficiente. Cree políticas para recibir alertas cuando detecte nuevas aplicaciones que se identifiquen como riesgosas, no conformes, populares o de alto volumen.
Práctica recomendada: administre las aplicaciones de OAuth que están autorizadas por sus usuarios
Detalle: Muchos usuarios otorgan casualmente permisos OAuth a aplicaciones de terceros para acceder a la información de su cuenta y, al hacerlo, sin darse cuenta, también dan acceso a sus datos en otras aplicaciones en la nube. Por lo general, TI no tiene visibilidad de estas aplicaciones, lo que dificulta sopesar el riesgo de seguridad de una aplicación frente al beneficio de productividad que proporciona.
Defender for Cloud Apps le brinda la capacidad de investigar y monitorear los permisos de la aplicación que otorgaron sus usuarios. Puede usar esta información para identificar una aplicación potencialmente sospechosa y, si determina que es riesgosa, puede prohibir el acceso a ella.
Aplicar políticas de gobierno de la nube
Práctica recomendada: etiquetar aplicaciones y exportar secuencias de comandos de bloque
Detalle: después de revisar la lista de aplicaciones detectadas en su organización, puede proteger su entorno contra el uso no deseado de aplicaciones. Puede aplicar la etiqueta Sancionada a las aplicaciones aprobadas por su organización y la etiqueta No autorizada a las aplicaciones que no lo están. Puede monitorear aplicaciones no autorizadas usando filtros de descubrimiento o exportar un script para bloquear aplicaciones no autorizadas usando sus dispositivos de seguridad locales. El uso de etiquetas y scripts de exportación le permite organizar sus aplicaciones y proteger su entorno al permitir solo el acceso a aplicaciones seguras.
Limite la exposición de los datos compartidos y haga cumplir las políticas de colaboración
Práctica recomendada: Conectar Office 365
Detalles: conectar Office 365 a Defender para aplicaciones en la nube le brinda visibilidad inmediata de las actividades de sus usuarios, los archivos a los que acceden y proporciona acciones de control para Office 365, SharePoint, OneDrive, Teams, Power BI, Exchange y Dynamics.
Práctica recomendada: conecte sus aplicaciones
Detalles: la conexión de sus aplicaciones a Defender para aplicaciones en la nube le brinda información mejorada sobre las actividades de sus usuarios, la detección de amenazas y las capacidades de gobierno. Para ver qué API de aplicaciones de terceros son compatibles, vaya a Conectar aplicaciones.
Práctica recomendada: crear políticas para eliminar el uso compartido con cuentas personales
Detalles: conectar Office 365 a Defender para aplicaciones en la nube le brinda visibilidad inmediata de las actividades de sus usuarios, los archivos a los que acceden y proporciona acciones de control para Office 365, SharePoint, OneDrive, Teams, Power BI, Exchange y Dynamics.
Descubra, clasifique, etiquete y proteja los datos confidenciales y regulados almacenados en la nube
Procedimiento recomendado: integración con Microsoft Purview Information Protection
Detalle: la integración con Microsoft Purview Information Protection le brinda la capacidad de aplicar automáticamente etiquetas de confidencialidad y, opcionalmente, agregar protección de cifrado. Una vez que se activa la integración, puede aplicar etiquetas como una acción de gobierno, ver archivos por clasificación, investigar archivos por nivel de clasificación y crear políticas granulares para asegurarse de que los archivos clasificados se manejen correctamente. Si no activa la integración, no podrá beneficiarse de la capacidad de escanear, etiquetar y cifrar automáticamente archivos en la nube.
Práctica recomendada: crear políticas de exposición de datos
Detalle: use políticas de archivos para detectar el intercambio de información y busque información confidencial en sus aplicaciones en la nube. Cree las siguientes políticas de archivo para alertarlo cuando se detecten exposiciones de datos:
- Archivos compartidos externamente que contienen datos confidenciales
- Archivos compartidos externamente y etiquetados como confidenciales
- Archivos compartidos con dominios no autorizados
- Proteja archivos confidenciales en aplicaciones SaaS
Práctica recomendada: revisar informes en la página Archivos
Detalle: una vez que haya conectado varias aplicaciones SaaS mediante conectores de aplicaciones, Defender for Cloud Apps analiza los archivos almacenados por estas aplicaciones. Además, cada vez que se modifica un archivo se vuelve a escanear. Puede usar la página Archivos para comprender e investigar los tipos de datos que se almacenan en sus aplicaciones en la nube. Para ayudarlo a investigar, puede filtrar por dominios, grupos, usuarios, fecha de creación, extensión, nombre y tipo de archivo, ID de archivo, etiqueta de confidencialidad y más. El uso de estos filtros le permite controlar cómo elige investigar los archivos para asegurarse de que ninguno de sus datos esté en riesgo. Una vez que tenga una mejor comprensión de cómo se utilizan sus datos, puede crear políticas para buscar contenido confidencial en estos archivos.
Aplique políticas de conformidad y DLP para los datos almacenados en la nube
Práctica recomendada: Proteja los datos confidenciales para que no se compartan con usuarios externos
Detalle: Cree una política de archivos que detecte cuando un usuario intenta compartir un archivo con la etiqueta de confidencialidad Confidencial con alguien externo a su organización y configure su acción de gobierno para eliminar usuarios externos. Esta política garantiza que sus datos confidenciales no salgan de su organización y que los usuarios externos no puedan acceder a ellos.
Bloquee y proteja la descarga de datos confidenciales a dispositivos no administrados o de riesgo
Práctica recomendada: administrar y controlar el acceso a dispositivos de alto riesgo
Detalle: utilice el control de aplicaciones de acceso condicional para establecer controles en sus aplicaciones SaaS. Puede crear políticas de sesión para monitorear sus sesiones de alto riesgo y baja confianza. Del mismo modo, puede crear políticas de sesión para bloquear y proteger las descargas de los usuarios que intentan acceder a datos confidenciales desde dispositivos no administrados o de riesgo. Si no crea políticas de sesión para monitorear sesiones de alto riesgo, perderá la capacidad de bloquear y proteger las descargas en el cliente web, así como la capacidad de monitorear sesiones de baja confianza tanto en aplicaciones de Microsoft como de terceros.
Colaboración segura con usuarios externos mediante la aplicación de controles de sesión en tiempo real
Práctica recomendada: supervisar sesiones con usuarios externos mediante el Control de aplicaciones de acceso condicional
Detalle: para asegurar la colaboración en su entorno, puede crear una política de sesión para monitorear las sesiones entre sus usuarios internos y externos. Esto no solo le brinda la capacidad de monitorear la sesión entre sus usuarios (y notificarles que sus actividades de sesión están siendo monitoreadas), sino que también le permite limitar actividades específicas. Al crear políticas de sesión para monitorear la actividad, puede elegir las aplicaciones y los usuarios que le gustaría monitorear.
Detecte amenazas en la nube, cuentas comprometidas, infiltrados maliciosos y ransomware
Práctica recomendada: ajuste las políticas de anomalías, establezca rangos de IP, envíe comentarios para alertas
Detalle: las políticas de detección de anomalías proporcionan análisis de comportamiento de usuarios y entidades (UEBA) y aprendizaje automático (ML) listos para usar para que pueda ejecutar de inmediato la detección avanzada de amenazas en su entorno de nube.
Las políticas de detección de anomalías se activan cuando los usuarios de su entorno realizan actividades inusuales. Defender for Cloud Apps monitorea continuamente las actividades de sus usuarios y usa UEBA y ML para aprender y comprender el comportamiento normal de sus usuarios. Puede ajustar la configuración de la política para que se ajuste a los requisitos de su organización, por ejemplo, puede establecer la confidencialidad de una política, así como el alcance de una política para un grupo específico.
- Políticas de detección de anomalías de ajuste y alcance: como ejemplo, para reducir la cantidad de falsos positivos dentro de la alerta de viaje imposible, puede establecer el control deslizante de sensibilidad de la política en bajo. Si tiene usuarios en su organización que son viajeros corporativos frecuentes, puede agregarlos a un grupo de usuarios y seleccionar ese grupo en el ámbito de la política.
- Establecer rangos de IP: Defender para aplicaciones en la nube puede identificar direcciones IP conocidas una vez que se configuran los rangos de direcciones IP. Con los intervalos de direcciones IP configurados, puede etiquetar, categorizar y personalizar la forma en que se muestran e investigan los registros y las alertas. Agregar rangos de direcciones IP ayuda a reducir las detecciones de falsos positivos y a mejorar la precisión de las alertas. Si elige no agregar sus direcciones IP, es posible que vea un mayor número de posibles falsos positivos y alertas para investigar.
- Enviar comentarios para alertas: al descartar o resolver alertas, asegúrese de enviar comentarios con el motivo por el que descartó la alerta o cómo se resolvió. Esta información ayuda a Defender for Cloud Apps a mejorar nuestras alertas y reducir los falsos positivos.
Práctica recomendada: Detectar actividad de ubicaciones o países inesperados
Detalle: Cree una política de actividad para recibir notificaciones cuando los usuarios inicien sesión desde ubicaciones o países/regiones inesperados. Estas notificaciones pueden alertarlo sobre sesiones posiblemente comprometidas en su entorno para que pueda detectar y remediar las amenazas antes de que ocurran.
Práctica recomendada: crear políticas de aplicaciones de OAuth
Detalle: Cree una política de aplicación de OAuth para notificarle cuando una aplicación de OAuth cumpla con ciertos criterios. Por ejemplo, puede optar por recibir una notificación cuando más de 100 usuarios accedan a una aplicación específica que requiere un alto nivel de permiso.
Utilice la pista de auditoría de actividades para investigaciones forenses
Práctica recomendada: utilizar el registro de auditoría de actividades al investigar alertas
Detalle: las alertas se activan cuando las actividades de usuario, administrador o inicio de sesión no cumplen con sus políticas. Es importante investigar las alertas para comprender si existe una posible amenaza en su entorno.
Puede investigar una alerta seleccionándola en la página Alertas y revisando el seguimiento de auditoría de las actividades relacionadas con esa alerta. El seguimiento de auditoría le brinda visibilidad de actividades del mismo tipo, mismo usuario, misma dirección IP y ubicación, para brindarle la historia general de una alerta. Si una alerta requiere una mayor investigación, cree un plan para resolver estas alertas en su organización.
Al descartar alertas, es importante investigar y comprender por qué no tienen importancia o si son falsos positivos. Si hay un gran volumen de tales actividades, también puede considerar revisar y ajustar la política que activa la alerta.
Servicios seguros de IaaS y aplicaciones personalizadas
Práctica recomendada: conecte Azure, AWS y GCP
Detalle: conectar cada una de estas plataformas en la nube a Defender para aplicaciones en la nube lo ayuda a mejorar sus capacidades de detección de amenazas. Al monitorear las actividades administrativas y de inicio de sesión para estos servicios, puede detectar y recibir notificaciones sobre posibles ataques de fuerza bruta, uso malintencionado de una cuenta de usuario con privilegios y otras amenazas en su entorno. Por ejemplo, puede identificar riesgos como eliminaciones inusuales de máquinas virtuales o incluso actividades de suplantación de identidad en estas aplicaciones.
Práctica recomendada: aplicaciones personalizadas integradas
Detalle: para obtener visibilidad adicional de las actividades de sus aplicaciones de línea de negocio, puede incorporar aplicaciones personalizadas a Defender para aplicaciones en la nube. Una vez que se configuran las aplicaciones personalizadas, verá información sobre quién las está usando, las direcciones IP desde las que se están usando y cuánto tráfico entra y sale de la aplicación.
Además, puede incorporar una aplicación personalizada como una aplicación de control de aplicaciones de acceso condicional para monitorear sus sesiones de baja confianza.
Leave a Reply