Directivas de detección de anomalías en seguridad de aplicación de nube de Office 365

Nota:  Nos gustaría proporcionarle el contenido de ayuda actual lo más rápido posible en su idioma. Esta página se ha traducido mediante un sistema automático y es posible que contenga imprecisiones o errores gramaticales. Nuestro objetivo es que este contenido sea útil para usted. ¿Puede informarnos sobre si la información le ha sido útil al final de la página? Aquí tiene el artículo en inglés para que pueda consultarlo fácilmente.

Administración de seguridad avanzada de Office 365 es ahora Office 365 Cloud App Security.

Evaluación    >

Planificación    >

Implementación    >

Utilización de   

Empezar a evaluar

Empiece a planear

¡Se encuentra aquí!

Siguiente paso

Empezar a utilizar

Comenzando con seguridad de aplicación de nube de Microsoft suelte 116, Office 365 Cloud App Security incluye diversas directivas de detección de anomalías predefinidas ("fuera de la caja") que incluyen usuario y analíticas comportamiento de entidad (UEBA) y aprendizaje (v).

Para ver las directivas de detección de anomalías, elija Control > directivas.

Estas directivas de detección de anomalías proporcionan resultados de inmediatos con detecciones de inmediatas, identificación numerosas anomalías comportamiento a través de los usuarios y los equipos y dispositivos conectados a su red. Además, las nuevas directivas exponen más datos desde el motor de detección de seguridad de la aplicación de nube para ayudarle a acelerar el proceso de investigación y contienen amenazas en curso.

Como administrador global o administrador de seguridad, puede revisar y, si es necesario, revisar las directivas predeterminadas que están disponibles con Office 365 Cloud App Security.

En este artículo:

Importante: Hay un período de aprendizaje inicial de siete (7) días durante el que no se activan las alertas de conducta anómala. El algoritmo de detección de anomalías está optimizado para reducir el número de alertas de falsos positivos.

Antes de empezar

Asegúrese de:

Ver las directivas de detección de anomalías

  1. Como administrador global o administrador de seguridad, vaya a https://protection.office.com e inicie sesión con su trabajo o educativa cuenta.

  2. En el Centro de cumplimiento y seguridad, elija alertas > Administrar avanzada alertas.

  3. Elija Ir a la aplicación de Office 365 nube seguridad.

    Se abrirá la página de directivas de Office 365 Cloud App Security.

  4. En la lista tipo, seleccione la Directiva de detección de anomalías.

    Su organización predeterminada (o una existente) se muestran las directivas de detección de anomalías.

    Hay varias directivas de detección de anomalías disponibles de forma predeterminada en seguridad de aplicación de nube de Office 365

  5. Seleccione una directiva para revisar o modificar su configuración.

  6. Elija Actualizar para guardar los cambios.

Más información acerca de las directivas de detección de anomalías

Directivas de detección de anomalías se activa automáticamente; Sin embargo, Office 365 Cloud App Security tiene un período de aprendizaje inicial de siete días durante el que no todos los anomalías se producen alertas de detección. Después de eso, cada sesión se compara con la actividad, cuando los usuarios ya estaba activos, direcciones IP, dispositivos, etc. detectadas sobre el mes pasado y la puntuación de riesgo de estas actividades. Estas detecciones forman parte del motor de detección de anomalías heurístico que su entorno de perfiles y activa alertas con respecto a una línea base que se ha aprendido en la actividad de su organización. Estas detecciones también aprovechan los algoritmos de aprendizaje de máquina diseñados para los usuarios y los modelos de registro para reducir falsos del perfil.

Anomalías se detectan mediante el análisis de actividad de usuario. El riesgo se evaluará consultando más de 30 indicadores de riesgo diferentes, agrupados en varios factores de riesgo, como arriesgada dirección IP, errores de inicio de sesión, actividades de administración, cuentas inactivas, ubicación, viajes impide, dispositivo y agente de usuario y tasa de actividad.

En función de los resultados de la directiva, se activan las alertas de seguridad. Office 365 Cloud App Security busca en cada sesión de usuario en Office 365 y le avisa cuando ocurre algo diferente de la línea de base de la organización o de la actividad de habitual de un usuario.

La siguiente tabla describe las directivas de detección de anomalías de forma predeterminada, lo que hacen y cómo funcionan.

Nombre de directiva de detección de anomalías

Cómo funciona

Imposible viajes

Identifica dos actividades de usuario (es un único o múltiples sesiones) que provienen de ubicaciones distancia geográfica dentro de un período de tiempo inferior al tiempo habría tomado el usuario viaje de la primera posición a la segunda, que indica que otro usa las mismas credenciales de usuario. Esta detección aprovecha una máquina de aprendizaje algoritmo que pasa por alto los "falsos positivos obvios" que contribuyen a la condición de viaje impide, como VPN y las ubicaciones que se usan con regularidad por otros usuarios de la organización. La detección tiene un período de aprendizaje inicial de siete días durante el cual aprende patrón de actividad de un usuario nuevo.

Actividad de país poco frecuentes

Se considera más allá de la actividad ubicaciones para determinar las ubicaciones nuevos y poco frecuentes. El motor de detección de anomalías almacena información acerca de las ubicaciones anterior usados por los usuarios de la organización. Se activa una alerta cuando se produce una actividad desde una ubicación que fue recientemente o nunca visitada por el usuario o por cualquier usuario de la organización.

Actividad de direcciones IP anónimas

Identifica que los usuarios estaban activos desde una dirección IP que se ha identificado como una dirección IP de proxy anónimo. Estos servidores proxy se utilizan los usuarios que desea ocultar la dirección IP de su dispositivo y puede utilizarse para malintencionados. Esta detección aprovecha una máquina de aprendizaje algoritmo que reduce "falsos", como las direcciones IP mal etiquetadas utilizados por los usuarios de la organización.

Actividad de direcciones IP que sospechosos

Identifica que los usuarios estaban activos desde una dirección IP que se ha identificado como arriesgado inteligencia amenaza de Microsoft. Estas direcciones IP están implicadas en actividades malintencionadas, como Botnet C & C y pueden indicar cuenta comprometida. Esta detección aprovecha una máquina de aprendizaje algoritmo que reduce "falsos", como las direcciones IP mal etiquetadas utilizados por los usuarios de la organización.

Actividades inusuales (por usuario)

Identifica los usuarios que realicen actividades inusuales, como por ejemplo:

  • Descargas de varios archivos

  • Actividades de uso compartido de archivos

  • Actividades de eliminación de archivo

  • Actividades de suplantación

  • Actividades administrativas

Estas directivas buscar actividades dentro de una única sesión con respecto a la línea de base que ha aprendido, que pueden indicar un intento de infracción. Estas detecciones aprovechar una máquina algoritmo de perfiles de los usuarios iniciar sesión en el modelo de aprendizaje y reduce los falsos positivos. Estas detecciones forman parte del motor de detección de anomalías heurístico que su entorno de perfiles y activa alertas con respecto a una línea base que se ha aprendido en la actividad de su organización.

Varios intentos de inicio de sesión

Identifica a los usuarios que no se pudo varios intentos de inicio de sesión en una única sesión con respecto a la línea de base que ha aprendido, lo que puede indicar un intento de infracción.

Alertas de detección de anomalías de evaluación de errores

Como entran alertas, puede procesar las alertas rápidamente y determinar cuáles tratar primero. Necesidad de contexto para una alerta le permite ver la imagen más grande y determinar si realmente está ocurriendo algo malintencionado. Utilice el procedimiento siguiente para empezar a explorar una alerta:

  1. Como administrador global o administrador de seguridad, vaya a https://protection.office.com e inicie sesión con su trabajo o educativa cuenta.

  2. En el Centro de cumplimiento y seguridad, elija alertas > Administrar avanzada alertas.

  3. Elija Ir a la aplicación de Office 365 nube seguridad.

  4. Elija alertas para ver las alertas.

  5. Para obtener el contexto de una alerta, siga estos pasos:

    1. Elija investigar > registro de actividad.

    2. Seleccione un elemento, como un usuario o la dirección IP. Se abrirá el cajón perspectivas pertinentes.

      En el registro de actividad, puede investigar una dirección IP.

    3. En la caja perspectivas pertinentes, haga clic en un comando disponible, como un icono en la sección Mostrar similares.

      En la caja de perspectivas pertinentes, haga clic en el icono de reloj para ver las actividades realizadas dentro de una actividad seleccionada 48 horas

    4. Obtenga información sobre el elemento seleccionado al continuar explorar detalles para ese elemento.

Una alerta en varios inicios de sesión erróneos hecho posible sospechosa y puede indicar un posible ataque de fuerza bruta. Sin embargo, como una alerta también puede ser un error de configuración de la aplicación, provocando la alerta de ser un positivo verdadero favorable. Si aparece una alerta de conexiones error varias actividades sospechosas adicionales, hay una mayor probabilidad de que una cuenta está comprometida. Por ejemplo, suponga que una alerta de login error múltiplo va seguida de actividad desde una dirección IP TOR y actividad de viaje impide, ambos indicadores fuerte de compromiso. Incluso es posible que vea que el mismo usuario realiza una actividad de descarga masivo, que suele ser un indicador de que el intruso efectuar exfiltration de datos. De cosas que puede explorar en Office 365 Cloud App Security para ver y clasificar las alertas y tomar medidas cuando sea necesario.

Pasos siguientes

Ampliar sus conocimientos de Office
Explorar los cursos
Obtener nuevas características primero
Únase a los participantes de Office Insider

¿Le ha sido útil esta información?

¡Gracias por sus comentarios!

Gracias por sus comentarios. Quizá le interese ponerse en contacto con uno de nuestros agentes de soporte de Office.

×