Microsoft Cloud App Security: la guía definitiva (2022)

¿Quiere mejorar la protección de sus aplicaciones en la nube?

Entonces estás en el lugar correcto.

Porque hoy les mostraré las técnicas exactas que utilizo para mantener la visibilidad de mis aplicaciones en la nube.

1 ¿Qué es Microsoft Cloud App Security?

2 ¿Cómo funciona Microsoft Cloud App Security?

2.1 Descubrimiento

2.2 Sancionar y no sancionar

2.3 Conectores de aplicaciones

2.4 Configuración de políticas

3 ¿Qué proporciona Microsoft Cloud App Security?

4 Descubrimiento

4.1 ¿Cómo crear un nuevo informe de descubrimiento?

5 Control de datos

5.1 Creación de una política de descubrimiento de aplicaciones

6 Crear políticas de archivo

6.1 ¿Cómo crear una política de archivos?

7 Protección contra amenazas

7.1 Creación de políticas de actividad

8 Detección de malware

9 Investigación y corrección de alertas

9.1 Reducción de falsos positivos

9.2 Aplicaciones OAuth

9.3 Administrar aplicaciones OAuth

9.3.1 Prohibir o aprobar y aplicar:

9.3.2 Revocar aplicación

9.3.3 Políticas de OAuth

10 CASB para plataformas en la nube

11 Supervisión y control en tiempo real

12 Portal Azure – Directorio Activo Azure

13 Creación de una política de sesión

14 Licencia de seguridad de aplicaciones en la nube de Microsoft

¿Qué es la seguridad de aplicaciones en la nube de Microsoft?

• Microsoft Cloud App Security es Microsoft CASB (Cloud Access Security Broker) y es un componente crítico de la pila de Microsoft Cloud Security. Es una solución integral que puede ayudar a su organización a aprovechar al máximo la promesa de las aplicaciones en la nube, pero lo mantiene en control a través de una mejor visibilidad de la actividad.
• También ayuda a aumentar la protección de los datos críticos en las aplicaciones en la nube (Microsoft y terceros).
• Con herramientas que ayudan a descubrir TI en la sombra, evaluar riesgos, aplicar políticas, investigar actividades y detener amenazas, su organización puede migrar a la nube de manera más segura mientras mantiene el control de los datos críticos.

¿Cómo funciona Microsoft Cloud App Security?

Descubrimiento

El descubrimiento en la nube usa sus registros de tráfico para descubrir y analizar qué aplicaciones en la nube están en uso. Puede cargar archivos de registro manualmente para su análisis desde sus firewalls y proxies, o puede elegir la carga automática.

Sancionar y no sancionar

• MS Cloud App Security le permite sancionar/bloquear aplicaciones en su organización, utilizando el catálogo de aplicaciones en la nube.
• El catálogo de aplicaciones en la nube califica el riesgo de sus aplicaciones en la nube según las certificaciones reglamentarias, los estándares de la industria y las mejores prácticas.
• A continuación, puede personalizar las puntuaciones y los pesos de varios parámetros según las necesidades de su organización.
• En función de estos puntajes, Microsoft Cloud App Security le permite saber qué tan riesgosa es la aplicación, de acuerdo con más de 50 factores de riesgo que pueden afectar su entorno.

Conectores de aplicaciones

• Los conectores de aplicaciones aprovechan las API proporcionadas por varios proveedores de aplicaciones en la nube para permitir que la nube de Microsoft Cloud App Security se integre con otras aplicaciones en la nube y amplíe el control y la protección. Esto permite que Microsoft 365 Cloud App Security extraiga información directamente de las aplicaciones en la nube para su análisis.
• Para conectar una aplicación y extender la protección, el administrador de la aplicación autoriza a MS Cloud App Security a acceder a la aplicación y, luego, Cloud App Security consulta la aplicación en busca de registros de actividad y escanea datos, cuentas y contenido en la nube.
• Microsoft 365 Cloud App Security puede aplicar políticas, detectar amenazas y proporcionar acciones de control para resolver problemas.

Configuración de políticas

• Las políticas le permiten definir la forma en que desea que sus usuarios se comporten en la nube. Le permiten detectar comportamientos de riesgo, infracciones o puntos de datos sospechosos y actividades en su entorno de nube y, si es necesario, integrar procesos de remediación para lograr una mitigación completa del riesgo.
• Hay varios tipos de políticas que se correlacionan con los diferentes tipos de información que desea recopilar sobre su entorno de nube y los tipos de acciones correctivas que puede querer tomar.

¿Qué proporciona Microsoft Cloud App Security?

Descubrimiento

Descubrir qué aplicaciones están en uso en una organización es solo el primer paso para asegurarse de que los datos corporativos confidenciales estén protegidos. Comprender los casos de uso, identificar a los principales usuarios y determinar el riesgo asociado con cada aplicación son componentes importantes para comprender la postura de riesgo general de una organización. Microsoft Cloud App Security proporciona detección de riesgos continua, análisis e informes potentes sobre usuarios, patrones de uso, tráfico de carga/descarga y transacciones para que pueda identificar anomalías de inmediato.

¿Cómo crear un nuevo informe de descubrimiento?

• Acceda al portal " Microsoft Defender para aplicaciones en la nube"
• A la izquierda, seleccione el panel Discover y Cloud Discovery.

• A continuación, seleccione " Crear un nuevo informe "

A continuación, ingrese los detalles que desea y seleccione " Crear "

Nota : el análisis de creación de informes tarda hasta 24 horas en procesarse

Control de datos

Cree políticas de descubrimiento de aplicaciones en la nube para poder recibir alertas cuando se descubran nuevas aplicaciones que sean riesgosas, no cumplan con las normas o sean tendencia. Comience usando las plantillas integradas para crear políticas de descubrimiento de aplicaciones para aplicaciones riesgosas y de alto volumen. La configuración se puede ajustar si es necesario.

• Nueva aplicación de alto volumen: alertas cuando se descubren nuevas aplicaciones que tienen un tráfico diario total de más de 500 MB
• Aplicación arriesgada: alerta cuando se descubren nuevas aplicaciones con una puntuación de riesgo inferior a 6 y que son utilizadas por más de 50 usuarios con un uso diario total de más de 50 MB

Una vez que se crea la política, se le notificará cuando se descubra una aplicación con alto volumen y alto riesgo. Esto le permitirá monitorear de manera eficiente y continua las aplicaciones en su red.

Creación de una política de descubrimiento de aplicaciones

• Vaya al " Portal de seguridad de aplicaciones en la nube "
• Haga clic en " Control" y luego en "Políticas "
• Cree "Política" y elija "Política de descubrimiento de aplicaciones "

• Seleccione la plantilla para una nueva aplicación de alto volumen

• Desplácese hacia abajo y haga clic en "Crear "

Crear políticas de archivos

• Las políticas de archivos son una excelente herramienta para encontrar amenazas a sus políticas de protección de la información, por ejemplo, encontrar ubicaciones donde los usuarios almacenan información confidencial, números de tarjetas de crédito y archivos ICAP de terceros en su nube.
• Con Cloud App Security, no solo puede detectar estos archivos no deseados almacenados en su nube que lo dejan vulnerable, sino que también puede tomar medidas inmediatas para detenerlos y bloquear los archivos que representan una amenaza.
• Con la cuarentena de administrador, puede proteger sus archivos en la nube y solucionar problemas, así como evitar que se produzcan futuras fugas.
• Utilice políticas de archivo para detectar el intercambio de información y busque información confidencial en sus aplicaciones en la nube.

Cree las siguientes políticas de archivos para obtener visibilidad sobre cómo se utiliza la información dentro de su organización.

• Un archivo que contiene PII detectado en la nube (motor DLP integrado): alerta cuando nuestro motor integrado de prevención de pérdida de datos (DLP) detecta un archivo que contiene información de identificación personal (PII) en una aplicación en la nube sancionada.
• Archivos compartidos con dominios no autorizados: alerta cuando el archivo se comparte con un dominio no autorizado (como su competidor).
• Archivo compartido con direcciones de correo electrónico personales: alerta cuando un archivo se comparte con la dirección de correo electrónico personal de un usuario.

Use plantillas preestablecidas para comenzar, revise los archivos en la pestaña de políticas coincidentes. Alcance las políticas a un solo sitio de SharePoint/OneDrive para comprender cómo funcionan las políticas antes de agregar aplicaciones o sitios adicionales.

¿Cómo crear una política de archivos?

• Vaya al " Portal de seguridad de aplicaciones en la nube de Microsoft "
• Haga clic en " Control " y luego en "Políticas ".
• Cree " Política y elija" Política de archivo "

• Seleccione la plantilla para un archivo que contenga PII detectado en la nube (motor DLP incorporado)
• Alcance hasta SharePoint y OneDrive & Folder

• Haz clic en crear

Siga los mismos pasos y utilice las plantillas mencionadas anteriormente.

Para obtener información adicional sobre las políticas de archivo, siga este enlace .

Protección contra amenazas

Permisos : administrador global, administrador de seguridad o administrador de grupo de usuarios

La creación de una política de actividad puede ayudarlo a detectar el uso malintencionado de una cuenta de usuario final o privilegiada o una indicación de una posible sesión comprometida.

Creación de políticas de actividad

Siga este enlace para obtener más información sobre las políticas de actividad.

• Descarga masiva por un solo usuario: esta política le dará visibilidad sobre la posible filtración de datos. De forma predeterminada, esta política también alertará sobre las sincronizaciones del cliente de OneDrive.
• Múltiples intentos fallidos de inicio de sesión de usuario en una aplicación: posible ataque de fuerza bruta o cuenta comprometida.
• Inicie sesión desde una dirección IP de riesgo: posible cuenta comprometida.
• Actividad potencial de ransomware: alerta cuando un usuario sube archivos a la nube que podrían estar infectados con ransomware.

Detección de malware

• Esta detección identifica archivos maliciosos en su almacenamiento en la nube, ya sean de sus aplicaciones de Microsoft o de aplicaciones de terceros.
• Microsoft Cloud App Security usa la inteligencia de amenazas de Microsoft para reconocer si ciertos archivos están asociados con ataques de malware conocidos y son potencialmente maliciosos.
• Esta política integrada está deshabilitada de forma predeterminada.
• No se escanean todos los archivos, pero se utilizan heurísticas para buscar archivos que son potencialmente peligrosos. Una vez que se detectan los archivos, puede ver una lista de archivos infectados.
• Haga clic en el nombre del archivo de malware en el cajón de archivos para abrir un informe de malware que le brinda información sobre el tipo de malware con el que está infectado el archivo.

Nota : la detección de malware está desactivada de forma predeterminada. Asegúrese de habilitarlo para recibir alertas sobre posibles archivos infectados.

Investigación y corrección de alertas

Investigar y determinar la naturaleza de la infracción asociada con la alerta. Intente comprender si se trata de una infracción grave y cuestionable o de un comportamiento anómalo del usuario. Investigue más a fondo observando la descripción de la alerta y lo que se desencadenó, además de observar actividades similares.

Si descarta alertas, es importante comprender por qué no tienen importancia o si se trata de un falso positivo. Si entra demasiado ruido, asegúrese de revisar y ajustar la política que activa la alerta.

• En el " Portal de seguridad de aplicaciones en la nube de Microsoft ": vaya a "Alertas "

• Haga clic en una Alerta que le gustaría investigar. En este ejemplo, estamos investigando a un solo usuario que tuvo varios intentos de inicio de sesión fallidos, lo que podría ser un signo de fuerza bruta y una identidad comprometida.
• Lea la descripción de la alerta y mire los detalles provistos para ver si algo parece sospechoso.
• Vemos que este usuario es un administrador y ha tenido más de 12 inicios de sesión fallidos. Existe la posibilidad de que un atacante intente comprometer esta cuenta.

• Haga clic en ' Ver toda la actividad del usuario ' para ver las actividades de este usuario y obtener información adicional para su proceso de investigación.

• Si miramos las imágenes capturadas, podemos ver que es un administrador cuya cuenta ha sido comprometida. Podemos llegar a esa conclusión al ver que tuvo múltiples inicios de sesión fallidos desde una dirección IP de TOR e intentó filtrar datos mediante su alerta de descarga masiva.
• Ahora que tenemos suficiente información para inferir que la alerta es verdadera. Podemos resolver la alerta por las opciones que tenemos a nuestra disposición. En este caso, el mejor enfoque sería suspender al usuario ya que su cuenta está comprometida.

• Haga clic en Resolver y escriba cómo resolvió la alerta.

Reducción de falsos positivos

Las políticas de detección de anomalías se activan cuando son comportamientos inusuales realizados por los usuarios de su entorno. Microsoft Cloud App Security tiene un período de aprendizaje en el que utiliza análisis de comportamiento de entidades y aprendizaje automático para comprender el comportamiento " normal " de sus usuarios. Utilice el control deslizante de confidencialidad para decidir la confidencialidad de esa política además de definir el alcance de políticas específicas solo para un grupo determinado.

Por ejemplo, para reducir el número de falsos positivos dentro de la alerta de viaje imposible, puede establecer el control deslizante de sensibilidad en un nivel bajo. Si tiene usuarios en su organización que son viajeros corporativos frecuentes, puede agregarlos a un grupo de usuarios y seleccionar ese grupo en el ámbito de la política.

Agregue su dirección IP corporativa y rangos de VPN , verá menos alertas en relación con viajes imposibles y países poco frecuentes.

Haga clic en Configuración seguido de Rangos de direcciones IP
Asigne un nombre al rango
Ingrese el rango de direcciones IP
Seleccione una categoría
Agregue una etiqueta para etiquetar actividades específicas de este rango

Aplicaciones OAuth

Estas son las aplicaciones que instalan los usuarios comerciales en su organización que solicitan permiso para acceder a la información y los datos del usuario e iniciar sesión en nombre del usuario en otras aplicaciones en la nube, como Microsoft 365, G Suite y Salesforce. Cuando los usuarios instalan estas aplicaciones, a menudo hacen clic en Aceptar sin revisar detenidamente los detalles en el aviso, incluida la concesión de permisos a la aplicación.

Tendrá la capacidad de prohibir y revocar el acceso a estas aplicaciones.

Muchos usuarios otorgan acceso a sus cuentas corporativas de Microsoft 365, G-Suite y Salesforce cuando intentan acceder a una aplicación OAuth. El problema que surge es que TI generalmente no ha tenido visibilidad de estas aplicaciones o cuál es el nivel de riesgo asociado. Cloud App Security le brinda la capacidad de descubrir las aplicaciones OAuth que sus usuarios han instalado y qué cuenta corporativa están usando para iniciar sesión. Una vez que descubras qué aplicaciones de OAuth están siendo utilizadas por qué cuenta, puedes permitir o prohibir el acceso directamente en el portal.

Administrar aplicaciones OAuth

La página de OAuth contiene información sobre las aplicaciones a las que sus usuarios otorgan acceso mediante sus credenciales corporativas de Microsoft 365, Salesforce y G-Suite.

Prohibir o aprobar una aplicación:

• Vaya al " Portal de seguridad de aplicaciones en la nube de Microsoft " -> Haga clic en " Investigar" -> Haga clic en "Aplicaciones OAuth "
• Haga clic en el " Cajón de aplicaciones" para ver información adicional sobre cada aplicación y el permiso que se otorgó
• Puede prohibir o aprobar la aplicación haciendo clic en el icono de aprobar o prohibir

Nota : si decide prohibir una aplicación, puede notificar al usuario que la aplicación que instaló y a la que proporcionó permisos está prohibida y puede agregar un mensaje de notificación personalizado.

Revocar aplicación

Esta funcionalidad solo está disponible para las aplicaciones conectadas de G-Suite y Salesforce.

• En la página de aplicaciones de OAuth -> haga clic en los tres puntos a la derecha de la fila de la aplicación
• Haga clic en Revocar aplicación

Políticas de OAuth

Las políticas de OAuth le notifican cuando se descubre una aplicación de OAuth que cumple con los criterios específicos.

Siga este enlace sobre instrucciones para crear políticas de aplicaciones de OAuth.

CASB para plataformas en la nube

Permisos : administrador global

Nota : el rol global de Azure AD no proporciona automáticamente a los usuarios privilegiados acceso a las suscripciones de Azure.

Eleve los permisos a los usuarios privilegiados para agregar sus suscripciones de Azure: después de agregar las suscripciones, asegúrese de deshabilitar la elevación.

Para mejorar su postura de seguridad en la nube, agregue sus suscripciones de Azure a Cloud App Security; la integración con Azure Security Center le notificará cuando falten configuraciones y controles de seguridad. Podrá identificar anomalías en su entorno y pasar al portal de seguridad de Azure para aplicar estas recomendaciones y resolver las vulnerabilidades.

Para obtener más información sobre la integración con Azure Security Center, haga clic aquí .

Monitoreo y control en tiempo real

Permisos : administrador de seguridad o administrador global

• El control de aplicaciones de acceso condicional utiliza una arquitectura de proxy inverso y está integrado de forma única con el acceso condicional (CA) de Azure AD.
• El acceso condicional de Azure AD le permite aplicar controles de acceso a las aplicaciones de su organización en función de determinadas condiciones.
• Las condiciones definen "quién" (por ejemplo, un usuario o grupo de usuarios), "qué" (qué aplicaciones en la nube) y "dónde" (qué ubicaciones y redes) se aplica una política de acceso condicional.
• Una vez que haya determinado las condiciones, puede enrutar a los usuarios a MS Cloud App Security, donde puede proteger los datos con el Control de aplicaciones de acceso condicional mediante la aplicación de controles de acceso y sesión.
• El control de aplicaciones de acceso condicional permite monitorear y controlar el acceso a las aplicaciones y las sesiones de los usuarios en tiempo real en función de las políticas de acceso y sesión.
• Las políticas de acceso se usan para PC y dispositivos móviles y las políticas de sesión se usan para sesiones de navegador.

Las políticas de acceso y sesión le brindan las siguientes capacidades:

• Bloquear al descargar
• Proteger al descargar
• Impedir la copia/impresión de documentos
• Supervisar sesiones de baja confianza
• Bloquear acceso
• Crear modo de solo lectura
• Restrinja las sesiones de usuario de la red no corporativa
• Carga de bloques

Azure Portal – Azure Active Directory

• Vaya a " Azure Active Directory " (AAD) en " Proteger" , haga clic en " Acceso condicional "

• Cree una política dentro de AAD para habilitar aplicaciones condicionales
• Asigne un grupo de usuarios de prueba y una aplicación en la nube (SharePoint o una aplicación de terceros que esté configurada con SSO) para comenzar durante la prueba.
• Haga clic en Sesión y haga clic en " Usar control de aplicaciones de acceso condicional "
• Seleccione " Usar política personalizada " que enrutará la sesión a través del Portal de seguridad de aplicaciones en la nube de Microsoft

• Una vez que haya creado la política, asegúrese de cerrar sesión en cada aplicación configurada y volver a iniciar sesión.
• Vuelva a iniciar sesión en el portal de CAS, vaya a Configuración y haga clic en Control de aplicaciones de acceso condicional

• Las aplicaciones configuradas deberían aparecer en el portal como aplicaciones de control de aplicaciones de acceso condicional.

Creación de una política de sesión

Crearemos una política de sesión usando una plantilla para monitorear todas las actividades para comenzar.

Cree políticas adicionales utilizando las plantillas preestablecidas para probar los diferentes controles disponibles.

• Vaya al " Portal de seguridad de aplicaciones en la nube "
• Haga clic en " Control" y luego en "Políticas "
• Cree "Política " y elija " Política de sesión "

• Seleccione la plantilla para monitorear todas las actividades

• Haz clic en Crear

Licencia de seguridad de aplicaciones en la nube de Microsoft

El precio de las licencias comerciales de Microsoft Cloud App Security varía según el programa, la región y el tipo de contrato. En el canal Directo, hay precios de lista independientes de ERP. Consulte los detalles sobre las configuraciones de precios aquí . Además, si los clientes desean usar la función Control de aplicaciones de acceso condicional de Microsoft Cloud App Security, también deben tener al menos una licencia de Azure Active Directory Premium P1 (AAD P1) para todos los usuarios que pretenden habilitar para esta función.

Los planes de licencias disponibles para los clientes del gobierno de EE. UU. que incluyen Microsoft Cloud App Security se describen en las tablas de licencias a continuación. Se pueden encontrar detalles adicionales en nuestras descripciones de licencias y precios:

• Microsoft 365 Gobierno de EE. UU.
• Gobierno de Microsoft 365
• Enterprise Mobility + Security para el gobierno de EE. UU.

Al final de esto, debe comprender las capacidades de protección de la información, monitoreo en tiempo real y protección contra amenazas de Microsoft 365 Cloud App Security.

Ahora me gustaría saber de usted:

¿Qué estrategia de la publicación de hoy vas a probar primero? O tal vez no mencioné uno de sus consejos de seguridad de aplicaciones en la nube favoritos.

De cualquier manera, házmelo saber dejando un comentario a continuación ahora mismo.

¿Quiere mejorar su experiencia de Exchange Online para mejorar la productividad? Echa un vistazo a los consejos y trucos mencionados aquí .