Directivas recomendadas de Microsoft Defender for Cloud Apps para aplicaciones SaaS

Microsoft Defender for Cloud Apps se basa en las directivas de acceso condicional de Microsoft Entra para permitir la supervisión y el control en tiempo real de acciones granulares con aplicaciones SaaS, como el bloqueo de descargas, las cargas, la copia, el pegado y la impresión. Esta característica agrega seguridad a las sesiones que conllevan un riesgo inherente, como cuando se accede a recursos corporativos desde dispositivos no administrados o por parte de usuarios invitados.

Defender for Cloud Apps también se integra de forma nativa con Microsoft Purview Information Protection, proporcionando inspección de contenido en tiempo real para encontrar datos confidenciales basados en tipos de información confidencial y etiquetas de confidencialidad y tomar las medidas adecuadas.

Esta guía incluye recomendaciones para estos escenarios:

  • Incorporación de las aplicaciones SaaS a la administración informática
  • Ajuste de la protección para aplicaciones SaaS específicas
  • Configuración de la prevención de pérdida de datos (DLP) de Microsoft Purview para ayudar a cumplir la normativa de protección de datos

Incorporación de las aplicaciones SaaS a la administración informática

El primer paso para usar Defender for Cloud Apps para administrar aplicaciones SaaS es descubrirlas y luego agregarlas al inquilino de Microsoft Entra. Si necesita ayuda con la detección, consulte Descubrir y administrar aplicaciones SaaS en la red. Una vez descubiertas las aplicaciones, agréguelas al inquilino de Microsoft Entra.

Puede empezar a administrarlas haciendo lo siguiente:

  1. En primer lugar, en Microsoft Entra ID, cree una nueva directiva de acceso condicional y configúrela para "Usar control de aplicaciones de acceso condicional". Esto redirige la solicitud a Defender for Cloud Apps. Puede crear una directiva y agregar todas las aplicaciones SaaS a ella.
  2. A continuación, en Defender for Cloud Apps, cree directivas de sesión. Cree una directiva para cada control que desee aplicar.

Los permisos para las aplicaciones SaaS se basan normalmente en la necesidad empresarial de acceder a la aplicación. Estos permisos pueden ser muy dinámicos. Usar las directivas de Defender for Cloud Apps garantiza la protección de los datos de las aplicaciones, independientemente de si los usuarios están asignados a un grupo de Microsoft Entra asociado con el punto de partida, la empresa o la protección de seguridad especializada.

Para proteger los datos en toda su colección de aplicaciones SaaS, el siguiente diagrama ilustra la directiva de acceso condicional necesaria de Microsoft Entra, además de las directivas sugeridas que puede crear en Defender for Cloud Apps. En este ejemplo, las directivas creadas en Defender for Cloud Apps se aplican a todas las aplicaciones SaaS que esté administrando. Estas están diseñadas para aplicar los controles adecuados en función de si se administran dispositivos, así como de las etiquetas de confidencialidad ya aplicadas a los archivos.

Diagrama que muestra las directivas de administración de aplicaciones SaaS en Defender for Cloud Apps.

La siguiente tabla enumera la nueva directiva de acceso condicional que debe crear en Microsoft Entra ID.

Nivel de protección Directiva Información adicional
Todos los niveles de protección Uso del control de aplicaciones de acceso condicional en Defender for Cloud Apps Esto configura el IdP (Microsoft Entra ID) para trabajar con Defender for Cloud Apps.

La siguiente tabla enumera las directivas de ejemplo ilustradas anteriormente que puede crear para proteger todas las aplicaciones SaaS. Asegúrese de evaluar sus propios objetivos empresariales, de seguridad y de cumplimiento y, a continuación, cree directivas que proporcionen la protección más adecuada para su entorno.

Nivel de protección Directiva
Punto de partida Supervisión del tráfico de dispositivos no administrados

Adición de protección a las descargas de archivos desde dispositivos no administrados

Empresa Bloqueo de la descarga de archivos etiquetados como confidenciales o clasificados desde dispositivos no administrados (esto proporciona acceso solo desde el navegador)
Seguridad especializada Bloqueo de la descarga de archivos etiquetados como clasificados desde todos los dispositivos (esto proporciona acceso solo desde el navegador)

Para obtener instrucciones de un extremo a otro sobre la configuración del control de aplicaciones de acceso condicional, consulte Implementación del control de aplicaciones de acceso condicional para aplicaciones destacadas. Este artículo le guía a través del proceso de creación de la directiva de acceso condicional necesaria en Microsoft Entra ID y la prueba de sus aplicaciones SaaS.

Para obtener más información, vea Protección de aplicaciones con Control de aplicaciones de acceso condicional de Microsoft Cloud App Security.

Ajuste de la protección para aplicaciones SaaS específicas

Es posible que desee aplicar controles y supervisión adicionales a aplicaciones SaaS específicas del entorno. Defender for Cloud Apps le permite conseguirlo. Por ejemplo, si una aplicación como Box se usa mucho en el entorno, es lógico aplicar más controles. O, si su departamento jurídico o financiero usa una aplicación SaaS específica para datos económicos confidenciales, puede dirigir la protección adicional a estas aplicaciones.

Por ejemplo, puede proteger el entorno de Box con estos tipos de plantillas de directivas de detección de anomalías integradas:

  • Actividad desde direcciones IP anónimas
  • Actividad desde un país o región poco frecuente
  • Actividad desde direcciones IP sospechosas
  • Viaje imposible
  • Actividad realizada por un usuario finalizado (requiere microsoft Entra ID como IdP)
  • Detección de malware
  • Varios intentos incorrectos de inicio de sesión
  • Actividad de ransomware
  • Aplicación Oauth de riesgo
  • Actividad inusual de recursos compartidos

Estos son ejemplos. Periódicamente se agregan nuevos modelos de directivas. Para ver ejemplos de cómo aplicar protección adicional a aplicaciones específicas, consulte Protección de aplicaciones conectadas.

Cómo Defender for Cloud Apps ayuda a proteger el entorno de Box demuestra los tipos de controles que pueden ayudarle a proteger sus datos económicos en Box y otras aplicaciones con datos confidenciales.

Configuración de la prevención de pérdida de datos (DLP) para ayudar a cumplir la normativa de protección de datos

Defender for Cloud Apps puede ser una herramienta valiosa para configurar la protección de las normativas de cumplimiento. En este caso, se crean directivas específicas para buscar datos concretos a los que se aplica una normativa y se configura cada directiva para que tome las medidas oportunas.

La siguiente ilustración y tabla proporcionan varios ejemplos de directivas que se pueden configurar para ayudar a cumplir con el Reglamento general de protección de datos (RGPD). En estos ejemplos, las directivas buscan datos específicos. En función de la confidencialidad de los datos, cada directiva se configura para tomar las medidas adecuadas.

Diagrama que muestra las directivas de Defender for Cloud Apps para la página de prevención de pérdida de datos.

Nivel de protección Directivas de ejemplo
Punto de partida Emisión de una alerta cuando los archivos que contienen este tipo de información confidencial ("Número de tarjeta de crédito") se comparten fuera de la organización

Bloqueo de las descargas de archivos que contengan este tipo de información confidencial ("Número de tarjeta de crédito") en dispositivos no administrados

Empresa Protección de las descargas de archivos que contengan este tipo de información confidencial ("Número de tarjeta de crédito") en los dispositivos administrados

Bloqueo de las descargas de archivos que contengan este tipo de información confidencial ("Número de tarjeta de crédito") en dispositivos no administrados

Emisión de una alerta cuando un archivo con una de estas etiquetas se carga en OneDrive for Business o Box (datos de clientes, recursos humanos: datos salariales, recursos humanos, datos de empleados)

Seguridad especializada Emisión de una alerta cuando se descargan archivos con esta etiqueta ("Altamente clasificados") en los dispositivos administrados

Bloqueo de las descargas de archivos con esta etiqueta ("Altamente clasificados") en dispositivos no administrados

Pasos siguientes

Para obtener más información sobre cómo usar Defender for Cloud Apps, consulte Documentación de Microsoft Defender for Cloud Apps.