Home Blog Productos Autor Contacto

Shadow IT y visibilidad con Microsoft Defender for Cloud Apps

azure ciberseguridad defender xdr entra microsoft 365 seguridad Jul 17, 2024
Shadow IT y visibilidad con Microsoft Defender for Cloud Apps

Continuando con el tema de seguridad en Microsoft 365, uno de los principales problemas para las organizaciones es la falta de visibilidad necesaria para responder a cuestiones básicas como:

  • Qué aplicaciones usan los usuarios?
  • A qué datos acceden los usuarios?
  • Dónde almacenan datos los usuarios?
  • Desde dónde acceden a los datos?
  • Cómo usan estos datos?
  • Con quién comparten la información?

Sin un Cloud Access Security Broker (CASB), es muy difícil tener una visión completa de lo que sucede en el entorno. Aunque es posible obtener parte de esta información usando diversas fuentes, esto no sería práctico ni escalable. Se necesita una solución centralizada que permita responder fácilmente a estas preguntas, tomar las medidas correspondientes y actuar en consecuencia, comprendiendo los riesgos asociados a cada caso y conociendo la situación general de la seguridad de la organización.

Microsoft Defender for Cloud Apps

Microsoft Defender for Cloud Apps es la solución CASB de Microsoft (basicamente un intermediario entre los usuarios y servicios de nube) que proporciona visibilidad y control sobre aplicaciones, servicios y datos, permitiendo identificar, detectar y resolver amenazas. Con Defender for Cloud Apps, las organizaciones pueden tener una visión clara y centralizada, lo que les permite gestionar mejor la seguridad y los riesgos en su entorno en la nube.

Principales características de Microsoft Defender for Cloud Apps

Cloud Discovery

Usando la característica de “Cloud Discovery” es posible identificar las aplicaciones de nube que se encuentran en uso en la organización. Esto se puede hacer subiendo logs del firewall o proxy, o mediante la integración con Microsoft Defender for Endpoint.

En la siguiente imagen se ve el flujo de información donde Defender for Cloud Apps funciona como un intermediario entre aplicaciones, datos y usuarios:

Gestión de Aplicaciones en la Nube

Cloud Discovery permite saber exactamente lo que está sucediendo, las aplicaciones en uso, los usuarios que acceden, desde dónde y cómo se accede a la información, y cómo se mueven los datos. Defender for Cloud Apps cuenta con una interfaz intuitiva, que simplifica la comprensión de las actividades realizadas por los usuarios.

Análisis de Comportamiento y Detección de Anomalías

Proporciona análisis de comportamiento de usuarios y entidades (UEBA) y detección de anomalías, protección contra malware, protección de aplicaciones OAuth, investigación de incidentes y remediación. Monitorea alertas de anomalías de seguridad, como viajes imposibles, reglas sospechosas en bandejas de entrada y ransomware.

Control de Acceso Condicional a Aplicaciones (Conditional access app control)

Microsoft Defender for Cloud Apps permite el control de acceso condicional a aplicaciones, funcionando como un proxy reverso que se integra con Entra ID y otros proveedores de identidad. Esto permite monitorear en tiempo real y aplicar diversas restricciones sin necesidad de instalar nada en los dispositivos.

Algunas de las restricciones que se pueden aplicar incluyen:

  • Bloquear el acceso de un usuario basado en su nivel de riesgo.
  • Bloquear la descarga desde dispositivos no administrados.
  • Monitorear las sesiones de usuario.
  • Proteger archivos después de la descarga mediante la integración con Microsoft Purview Information Protection.
  • Bloquear la subida de contenido no clasificado.
  • Bloquear el intercambio de mensajes con datos sensibles en Microsoft Teams.

Beneficios de Microsoft Defender for Cloud Apps

Defender for Cloud Apps proporciona múltiples beneficios:

  • Visibilidad Completa. Identifica y controla el uso de aplicaciones en la nube, permitiendo gestionar más de 31,000 aplicaciones evaluando factores de riesgo para asegurar el cumplimiento.
  • Protección de Información Sensible. Clasifica y protege la información sensible en todas las aplicaciones, utilizando políticas predefinidas y procesos automatizados.
  • Protección contra Amenazas. Detecta comportamientos inusuales en las aplicaciones para identificar ransomware, usuarios comprometidos y actividades sospechosas.
  • Controles en Tiempo Real. Utiliza controles en tiempo real para habilitar la protección contra amenazas en los dispositivos de la organización.
  • Gestión de la Seguridad de las Aplicaciones SaaS. Investiga las brechas de configuración de seguridad en todas las aplicaciones y toma medidas basadas en recomendaciones de Microsoft Secure Score.
  • Gobierno de Aplicaciones. Monitorea, gobierna y protege aplicaciones habilitadas por OAuth que acceden a datos de Microsoft 365 a través de APIs de Microsoft Graph.

Detección de amenazas con Microsoft Defender for Cloud Apps

Como se mencionó anteriormente, Microsoft Defender for Cloud Apps ofrece políticas de detección de anomalías preconfiguradas que utilizan análisis de comportamiento de usuarios y entidades (UEBA) y aprendizaje automático para proporcionar detección avanzada de amenazas en el entorno en la nube. Estas detecciones se activan cuando hay comportamientos que se desvían de lo normal.

Proceso de Aprendizaje y Evaluación de Riesgos

Durante los primeros siete días, Microsoft Defender for Cloud Apps aprende sobre el entorno observando las direcciones IP, dispositivos y ubicaciones desde las que acceden los usuarios, así como las aplicaciones y servicios que utilizan. Este aprendizaje establece una línea base contra la cual se comparan todas las actividades futuras y alertas. 

Las anomalías se detectan escaneando la actividad del usuario y evaluando el riesgo a través de más de 30 indicadores diferentes, agrupados en factores de riesgo como:

  • Dirección IP riesgosa
  • Fallos de inicio de sesión
  • Actividad administrativa
  • Cuentas inactivas
  • Ubicación
  • Viaje imposible
  • Dispositivo y agente de usuario
  • Nivel de actividad

Políticas de Detección de Anomalías

Las políticas de detección de anomalías están configuradas para identificar una variedad de problemas de seguridad, entre los cuales destacan:

  • Viaje Imposible. Actividades del mismo usuario en diferentes ubicaciones en un tiempo no realista para que el viaje sea posible.
  • Actividad desde un país infrecuente. Actividades desde una ubicación no visitada recientemente o nunca por el usuario de la organización.
  • Detección de malware. Escanea archivos en aplicaciones en la nube y los pasa por el motor de inteligencia de amenazas de Microsoft.
  • Actividad de ransomware. Subida de archivos a la nube que podrían estar infectados con ransomware.
  • Actividad desde direcciones IP sospechosas. Actividades desde una dirección IP identificada como riesgosa por la inteligencia de amenazas de Microsoft.
  • Reenvío sospechoso de bandeja de entrada. Detección de reglas de reenvío sospechosas en la bandeja de entrada de un usuario.
  • Descargas múltiples inusuales de archivos. Detección de actividades de descarga de múltiples archivos en una sola sesión.

Licenciamiento de Microsoft Defender for Cloud Apps

Defender for Cloud Apps puede licenciarse de diversas formas, incluyendo versiones limitadas como Cloud App Discovery u Office 365 Cloud App Security. Las opciones completas se pueden obtener en paquetes como EMS E5, Microsoft 365 E5 o Microsoft 365 E5 Security, proporcionando una solución integral para la seguridad en la nube.

Ejemplo de Uso

Un caso de uso clásico es el asociado a Shadow IT, en este caso si el uso no autorizado de aplicaciones en la nube es una preocupación, se puede implementar Defender for Cloud Apps para descubrir y controlar estas aplicaciones. Por ejemplo, utilizando Cloud Discovery se pueden identificar todas las aplicaciones SaaS en uso dentro de la red corporativa, evaluar el riesgo asociado a cada una y aplicar políticas de seguridad para controlar el acceso. Si se detecta una aplicación no autorizada o de alto riesgo, la organización puede bloquear el acceso a dicha aplicación o restringir ciertas actividades, como la descarga de datos sensibles, asegurando que solo se utilicen aplicaciones aprobadas y seguras.

Despliegue de Microsoft Defender for Cloud Apps

Para un despliegue efectivo de Microsoft Defender for Cloud Apps, se recomienda comenzar con una fase de piloto para evaluar el entorno y ajustar las configuraciones según las necesidades específicas. A un nivel macro esto incluye:

  • Fase Piloto. En esta fase se define el alcance del piloto, los objetivos y métricas de exito. En complemento se selecciona un grupo representativo de usuarios y aplicaciones para el piloto.
  • Configuración Inicial. Se realiza la configuración asociada con Entra ID para la gestión de identidades y accesos, se realiza Cloud Discovery para el descubrimiento de aplicaciones en la nube y se configuran políticas de control de acceso condicional para la protección de datos y gestión del acceso a las aplicaciones.
  • Implementación de Seguridad y Monitoreo. En esta etapa se definen políticas de detección de anomalías y se utilizan las herramientas de monitoreo para observar el comportamiento de usuarios y aplicaciones, identificando actividades sospechosas y potenciales amenazas.
  • Evaluación y ajustes. En esta etapa se evaluan los resultados del piloto, se analizan los datos recolectados para evaluar la efectividad de las políticas y configuraciones. En base a esto se realizan los ajustes correspondientes.
  • Pasaje a producción. En esta etapa se amplia el alcance y se extiende la implementación al resto de la organización de forma paulatina aplicando las configuraciones y políticas validadas durante el piloto. Esto también implica la capacitación necesaria a los administradores y usuarios.
  • Monitoreo y mejora continua. Esta etapa se mantiene por tiempo indefinido, monitoreando de forma constante el entorno y ajustando las políticas de seguridad según sea necesario para enfrentar nuevas amenazas y cambios en el uso de aplicaciones.

Microsoft Defender for Cloud Apps y Zero Trust

Microsoft Defender for Cloud Apps es un componente fundamental en una estrategia Zero Trust, recopilando señales del uso de aplicaciones en la nube y protegiendo todo el flujo de datos en el entorno considerando aplicaciones autorizadas como no autorizadas.

Microsoft Defender for Cloud Apps se encuentra integrado con Microsoft Entra ID proporcionando una capa adicional a nivel de seguridad, esto permite monitorear y gestionar el acceso a las aplicaciones en la nube y responder rápidamente a comportamientos sospechosos.

Cuando Defender for Cloud Apps detecta un comportamiento sospechoso, informa a Microsoft Entra ID sobre estos eventos lo que permite a Entra ID tomar decisiones sobre el acceso de los usuarios. En estos casos, Defender for Cloud Apps puede alertar a Entra ID, indicando que el usuario puede estar comprometido o ser de alto riesgo.

Basado en estas alertas, Microsoft Entra ID podría tomar medidas adicionales como:

  • Verificación Adicional: Solicitar autenticación adicional (por ejemplo, MFA) para confirmar la identidad del usuario.
  • Bloqueo de Acceso: Bloquear el acceso del usuario hasta que se realice una revisión de seguridad.
  • Restricción de Acciones: Limitar las acciones que el usuario puede realizar, como descargar archivos o acceder a aplicaciones específicas.

Esta integración asegura que solo usuarios y dispositivos autenticados y autorizados puedan acceder a los recursos críticos, proporcionando una capa adicional de seguridad y reduciendo significativamente el riesgo de compromisos en el entorno de la nube.

En el próximo artículo entramos en el tema de Microsoft Defender for Cloud (nombre parecido pero no tiene relación con Defender for Cloud Apps).

 

Artículos en la serie

 

CAPITULO I - CONCEPTOS DE SEGURIDAD Y DESAFIOS EN LA NUBE

1. Microsoft 365: El problema de seguridad
2. Desafíos de seguridad en Microsoft 365
3. Responsabilidad Compartida en Microsoft 365 y Azure
 

 

CAPITULO II - ZERO TRUST

 4. Zero Trust con Microsoft 365

 

 

CAPITULO III - IDENTIDADES Y MANEJO DE DISPOSITIVOS

5. Protección de identidades en Microsoft 365 y Azure
6. Tipos de Identidades en Entra ID (Azure AD)
7. Manejo de dispositivos con Microsoft Intune

 

 

CAPITULO IV - MICROSOFT DEFENDER XDR

8. Microsoft Defender XDR
9. Microsoft Defender for Identity
10. Antispam y Phishing con Defender for Office 365
11. Protección de dispositivos con Microsoft Defender for Endpoint
12. Shadow IT y visibilidad con Microsoft Defender for Cloud Apps
13. Microsoft Defender for Cloud

 

 

CAPITULO V - MICROSOFT SENTINEL

14. SIEM y SOAR con Microsoft Sentinel

 

 

BONUS - TALLER DE FUNDAMENTOS DE CIBERSEGURIDAD CON MICROSOFT 365

15. TALLER DE FUNDAMENTOS DE CIBERSEGURIDAD CON MICROSOFT 365

 

 

Daniel Núñez Banega

Autor del sitio

Hola! Bienvenido a Black Phoenix Cybersecurity, soy Daniel Núñez Banega, autor del sitio y trabajo en IT hace más de 20 años, especializado en tecnologías Microsoft y con particular foco en el área de Ciberseguridad. Mi misión con Black Phoenix Cybersecurity es ayudarte a transformar tu carrera en IT aprovechando las oportunidades que surgen en el área de la ciberseguridad.