Configuración de Microsoft Cloud App Security (MCAS) para la gobernanza SaaS

Configuración de Microsoft Cloud App Security (MCAS) para la gobernanza SaaS

01/07/2024

Este artículo técnico y educativo tiene como objetivo guiar a los analistas de seguridad, administradores de TI e ingenieros de sistemas en la configuración y el uso de Microsoft Cloud App Security (MCAS), ahora parte de Microsoft Defender for Cloud Apps (MDCA), para la gestión de aplicaciones SaaS (software como servicio). MDCA es una solución integral de Cloud Access Security Broker (CASB) que proporciona visibilidad, control de datos y protección contra amenazas para sus aplicaciones en la nube, lo que ayuda a garantizar la seguridad y el cumplimiento en un entorno de nube en constante expansión [1].

Introducción

La adopción masiva de aplicaciones SaaS ha traído numerosos beneficios de productividad, pero también ha introducido nuevos desafíos de seguridad. Las organizaciones a menudo pierden visibilidad y control sobre los datos que se almacenan y comparten entre aplicaciones en la nube, creando lo que se conoce como "TI en la sombra". Además, proteger contra amenazas en tiempo real y garantizar el cumplimiento de estas aplicaciones es complejo. Microsoft Defender para aplicaciones en la nube aborda estos desafíos al permitir a las empresas descubrir y controlar el uso de aplicaciones en la nube, proteger datos confidenciales y detectar comportamientos anómalos que podrían indicar amenazas [2].

Esta guía práctica cubrirá la configuración de MDCA, desde el descubrimiento de Shadow IT y la conexión de aplicaciones hasta la creación de políticas de acceso, sesión, actividad y detección de anomalías. Se proporcionarán instrucciones paso a paso, ejemplos de configuración y métodos de validación para que el lector pueda implementar una estrategia sólida de gobernanza de SaaS, protegiendo sus datos y usuarios en aplicaciones en la nube y fortaleciendo la postura de seguridad de su organización.

¿Por qué es crucial Microsoft Cloud App Security?

  • Shadow IT Discovery: Identifica todas las aplicaciones en la nube en uso en su organización, evalúa sus riesgos y le permite controlarlas.
  • Protección de datos: Previene la filtración de datos confidenciales y garantiza el cumplimiento de las políticas DLP (Prevención de pérdida de datos) en aplicaciones en la nube.
  • Controles de acceso y sesión: le permite aplicar controles de acceso granulares y monitorear las actividades de la sesión en tiempo real para las aplicaciones conectadas.
  • Detección de amenazas: utiliza análisis de comportamiento y aprendizaje automático para detectar actividades anómalas y amenazas cibernéticas en aplicaciones en la nube.
  • Gobierno de aplicaciones: ayuda a administrar los permisos de las aplicaciones, las actividades de los usuarios y la configuración de seguridad para las aplicaciones SaaS.
  • Integración con Microsoft 365 Defender: correlaciona las señales MDCA con otras soluciones de Defender para obtener una vista unificada de los incidentes.

Requisitos previos

Para implementar Microsoft Cloud App Security, necesitará los siguientes elementos:

  1. Licencia: una licencia que incluye Microsoft Defender para aplicaciones en la nube (por ejemplo, Microsoft 365 E5, Microsoft 365 E5 Security, Enterprise Mobility + Security E5 o una licencia independiente MDCA) [3].
  2. Acceso administrativo: una cuenta con el rol de Administrador global, Administrador de seguridad o Administrador de seguridad de aplicaciones en la nube en el portal de Microsoft 365 Defender (https://security.microsoft.com).
  3. Fuentes de registro (para Shadow IT): Registros de firewall y proxy para el descubrimiento de Shadow IT. Para una integración más profunda, conectores API para aplicaciones SaaS específicas (por ejemplo, Office 365, Salesforce, Box).
  4. Microsoft Defender para Endpoint (opcional, pero recomendado): para un descubrimiento más profundo de Shadow IT y un control de aplicaciones en dispositivos administrados.

Paso a paso: configurar la seguridad de Microsoft para aplicaciones en la nube

Exploremos la configuración de MDCA para la gobernanza de SaaS.

1. Acceso al portal de Microsoft 365 Defender

  1. Abra su navegador y navegue hasta https://security.microsoft.com.
  2. Inicie sesión con una cuenta que tenga los permisos necesarios.
  3. En el panel de navegación izquierdo, seleccione Aplicaciones en la nube.

2. Descubrimiento de aplicaciones (TI en la sombra)

El descubrimiento de aplicaciones es el primer paso para obtener visibilidad del uso de SaaS en su organización.

  1. En el panel de navegación izquierdo de MDCA, seleccione Descubrimiento > Instantáneas de registros o Recopiladores de registros.

  2. Instantáneas de registro: para una evaluación rápida, puede cargar registros de tráfico de firewall o proxy manualmente.

    • Haga clic en Crear instantánea de registro y siga las instrucciones para cargar un archivo de registro.

  3. Recopiladores de registros: para un descubrimiento continuo y automatizado, configure un recopilador de registros en su entorno.

    • Haga clic en Agregar recopilador de registros y siga las instrucciones para configurar el recopilador (generalmente una máquina virtual o un contenedor que reenvía registros a MDCA).

  4. Defender para integración de endpoints: si tiene Defender for Endpoint, el descubrimiento de TI en la sombra se habilita automáticamente, lo que proporciona datos de uso de aplicaciones en la nube directamente desde los endpoints.

  5. Después de la recopilación de datos, vaya a Descubrimiento > Aplicaciones descubiertas para ver la lista de aplicaciones en la nube, sus niveles de riesgo y estadísticas de uso.

3. Conexión de aplicaciones (conectores API)

Para una gobernanza y protección más profundas, conecte aplicaciones SaaS directamente a través de API.

  1. En el panel de navegación izquierdo de MDCA, seleccione Configuración > Conectores de aplicaciones.
  2. Haga clic en + Conectar una aplicación.
  3. Seleccione la aplicación que desea conectar (por ejemplo: Office 365, Salesforce, Box).
  4. Siga las instrucciones específicas de cada aplicación para otorgar los permisos necesarios. Por lo general, esto implica iniciar sesión como administrador de la aplicación y autorizar MDCA.

4. Creación de políticas de acceso y sesión

Las políticas de acceso y sesión le permiten controlar el acceso y las actividades de los usuarios en tiempo real.

  1. En el panel de navegación izquierdo de MDCA, seleccione Control > Políticas.
  2. Haga clic en Crear política > Política de acceso o Política de sesión.

Ejemplo: Política de sesión para bloquear la descarga de datos confidenciales

Esta política puede evitar que los usuarios descarguen archivos confidenciales desde una aplicación SaaS cuando acceden a ellos desde un dispositivo no administrado.

  1. Tipo de política: Política de sesión.
  2. Nombre: Bloquear la descarga de datos confidenciales a un dispositivo no administrado.
  3. Severidad: "Alta".
  4. Categoría: Prevención de pérdida de datos.
  5. Filtros de actividad: Configura las condiciones:
    • Aplicaciones: seleccione la aplicación SaaS de destino (por ejemplo, SharePoint Online).
    • Usuarios: seleccione usuarios o grupos de destino.
    • Dispositivo: seleccione Marca del dispositivo = No compatible o No unido a Azure AD híbrido.
    • Tipo de actividad: Descargar.
    • Inspección de contenido: Configure para detectar datos confidenciales (por ejemplo, "Número de tarjeta de crédito", "CPF").
  6. Acciones: Seleccione Bloquear (para descargas) y Monitorear.
  7. Haga clic en Crear.

5. Creación de políticas de actividad

Las políticas de actividad le permiten detectar y controlar acciones específicas de los usuarios en aplicaciones conectadas.

  1. En el panel de navegación izquierdo de MDCA, seleccione Control > Políticas.
  2. Haga clic en Crear política > Política de actividad.
  3. Nombre: Alerta de eliminación masiva de archivos en OneDrive.
  4. Severidad: "Media".
  5. Categoría: Detección de amenazas.
  6. Filtros de actividad: Configura las condiciones:
    • Aplicaciones: OneDrive para Empresas.
    • Tipo de actividad: Eliminar archivo.
    • Recuento de actividad: Mayor que 10 (en un período de 5 minutos).
  7. Acciones: Seleccione Generar alerta y Enviar alerta por correo electrónico a los administradores.
  8. Haga clic en Crear.

6. Creación de políticas de detección de anomalías

Las políticas de detección de anomalías utilizan el aprendizaje automático para identificar comportamientos inusuales que podrían indicar un ataque.

  1. En el panel de navegación izquierdo de MDCA, seleccione Control > Políticas.
  2. Haga clic en Crear política > Política de detección de anomalías.
  3. MDCA ofrece varias políticas de anomalías predefinidas (por ejemplo, "Actividad de descarga de archivos inusual", "Actividad de inicio de sesión desde una dirección IP sospechosa", "Actividad de inicio de sesión desde un país/región a la que rara vez se accede").
  4. Puede habilitar y ajustar la configuración de estas políticas.

Validación y pruebas

Validar la implementación de MDCA es crucial para garantizar que las políticas funcionen como se espera.

1. Sesión de prueba y políticas de acceso

  1. Simule el escenario: intente acceder a una aplicación SaaS (por ejemplo, SharePoint Online) desde un dispositivo no administrado o un dispositivo local.No soy confiable.
  2. Intente realizar la acción restringida por la política (por ejemplo, descargar un archivo confidencial).
  3. Verifique que la política de sesión bloquee la acción y muestre una notificación al usuario.

2. Comprobación de alertas y anomalías de actividad

  1. Simule la actividad: en un entorno de prueba, ejecute la actividad que configuró para generar una alerta (por ejemplo, eliminar rápidamente varios archivos en OneDrive).
  2. Espere unos minutos.
  3. En el portal de Microsoft 365 Defender, vaya a Incidentes y alertas > Alertas.
  4. Filtre por Servicio = Microsoft Defender para aplicaciones en la nube y verifique si se generó la alerta.

3. Revisar el registro de actividad

El registro de actividad de MDCA registra todas las acciones detectadas en las aplicaciones conectadas.

  1. En el panel de navegación izquierdo de MDCA, seleccione Registros > Registro de actividad.
  2. Filtre por usuario, aplicación o tipo de actividad para verificar que se registren las acciones esperadas y se apliquen las políticas.

Consejos de seguridad y mejores prácticas

  • Comience con la visibilidad: priorice el descubrimiento de TI en la sombra para comprender el panorama de aplicaciones en la nube de su organización antes de implementar controles estrictos.
  • Implementación gradual: Comience con políticas en modo "Monitorizar" o "Solo auditoría" para comprender el impacto y realizar ajustes antes de aplicar acciones de bloqueo.
  • Integración completa: integre MDCA con Microsoft Defender para endpoints para mejorar el descubrimiento de Shadow IT y la protección de endpoints.
  • Políticas integrales: cree políticas que cubran el acceso, la sesión, la actividad y la detección de anomalías para una protección de múltiples capas.
  • Clasificación de datos: use Microsoft Information Protection (MIP) para clasificar y etiquetar datos confidenciales, y use estas etiquetas en las políticas MDCA DLP.
  • Educación del usuario: comunicar a los usuarios sobre las políticas MDCA y la importancia de utilizar aplicaciones aprobadas y seguras para datos corporativos.
  • Revisión continua: revise y ajuste las políticas MDCA periódicamente para adaptarse a los cambios en el uso de las aplicaciones, el panorama de amenazas y los requisitos de cumplimiento.

Solución de problemas comunes

  • Aplicaciones que no aparecen en la detección: verifique que los registros de firewall/proxy se estén cargando correctamente o que la integración con Defender for Endpoint esté activa. Asegúrese de capturar el tráfico relevante.
  • Los conectores de la aplicación fallan: verifique los permisos otorgados a MDCA en la aplicación SaaS. Verifique los registros de conexión en MDCA para ver si hay mensajes de error. Es posible que deba volver a autorizar el conector.
  • Las políticas no se aplican: Verifique que la política esté habilitada y que el usuario y la aplicación estén dentro del alcance de la política. Verifique los filtros de actividad para asegurarse de que se cumplan las condiciones. Para las políticas de sesión, asegúrese de que el tráfico se enrute a través del proxy de control de acceso condicional MDCA.
  • Falsos positivos: ajuste la sensibilidad de las políticas de detección de anomalías o agregue exclusiones para actividades legítimas. Para las políticas de actividad, refine los filtros para que sean más específicos.
  • Problemas de rendimiento: el uso del proxy de control de acceso condicional puede introducir una pequeña cantidad de latencia. Supervise el rendimiento y optimice las políticas si es necesario.

Conclusión

Microsoft Defender para aplicaciones en la nube (MDCA) es una herramienta indispensable para cualquier organización que busque proteger sus datos y usuarios en entornos de aplicaciones SaaS. Al brindar visibilidad de Shadow IT, controles granulares de acceso y sesión y detección avanzada de amenazas, MDCA permite a las empresas extender de manera efectiva su postura de seguridad a la nube. La implementación cuidadosa de las políticas MDCA, combinada con las mejores prácticas de gobernanza de SaaS y la integración con otras soluciones de Microsoft 365 Defender, fortalece significativamente la ciberresiliencia de su organización. Con esta guía práctica, los profesionales de la seguridad podrán configurar y administrar MDCA para garantizar que sus aplicaciones en la nube sean seguras, conformes y estén en control.

Referencias:

[1] Microsoft aprende. ¿Qué es Microsoft Defender para aplicaciones en la nube?. Disponible en: https://learn.microsoft.com/pt-br/defender-cloud-apps/what-is-defender-for-cloud-apps [2] Microsoft aprende. Descubrimiento de la TI en la sombra. Disponible en: https://learn.microsoft.com/pt-br/defender-cloud-apps/shadow-it-discovery [3] Microsoft aprende. Requisitos de licencia de Microsoft Defender para aplicaciones en la nube. Disponible en: https://learn.microsoft.com/pt-br/defender-cloud-apps/what-is-defender-for-cloud-apps#licensing-requirements