Hace unos días por aquí estuvimos hablando de auditoría en Microsoft 365. Para seguir con el tema seguridad, en mi opinión muy importante, comenzamos una serie de post que irán orientados a exponer aquello más importante que tenemos en el Admin Center "Seguridad y Cumplimiento" dentro de Microsoft 365.
En esta era de la "transformación digital", "subirse a la nube" o como queráis describir a esta evolución tecnológica, la seguridad de la información juega un papel fundamental, no debemos cegarnos en que "una vez en la nube" todo funciona solo, estamos seguros, no existen ataques o, en este caso Microsoft, nos protege !no es del todo cierto!
Bien, en lo que respecta a Microsoft 365, nos ofrece una serie de funciones y controles que nos va a permitir a los administradores securizar, auditar, gobernar la información que reside en los distintos servicios de la plataforma como Exchange Online, Microsoft Teams, OneDrive, SharePoint y es consumida por los usuarios.
La puerta de entrada a estos controles es el centro de Seguridad y Cumplimiento, al cual accedemos a través de https://protection.office.com
Una vez realizada esta breve introducción, para abrir boca comenzamos con Cloud App Security que nos va a permitir entre otros:
- Configurar alertas y políticas avanzadas que nos van a permitir investigar aquellos comportamientos sospechosos o anómalos.
- Obtener información sobre el actual uso de Office 365 y otros servicios de productividad en la nube.
- Ver y controlar a que aplicaciones se han concedido permiso para obtener acceso al entorno Office 365.
En concreto vamos a ver como configurar alertas avanzadas que entre otros nos permitirán detectar descarga masiva de información por parte de algún usuario, detectar comportamientos anómalos como el inicio de sesión de un mismo usuario desde varias ubicaciones en un periodo corto de tiempo, comportamientos propios de actividad ramsomware y un claro ejemplo que no solo hablamos de supervisión de Microsoft 365 sino que también podemos supervisar y alertar si se detecta la eliminación de varias maquinas virtuales de Azure en una misma sesión de usuario...
En primer lugar accedemos a la gestión de alertas avanzadas o lo que es lo mismo Cloud App Security:
Para configurar estas alertas avanzadas podemos usar varias directivas, bien desde 0 o a partir de plantillas predefinidas, en nuestro caso vamos a configurar una directiva de "actividad" que nos alerte sobre descarga masiva de información a partir de una plantilla existente:
En el ejemplo de arriba estamos indicando una actividad repetida, el numero de repeticiones equivaldría al numero de archivos descargados en el periodo de tiempo indicado. En este caso 30 archivos en 5 minutos, por supuesto deberíamos subir el numero de archivos, o no, esto ya va en cada necesidad.
En la sección de actividades la plantilla contiene 11 selecciones relacionados con "download" tanto de OneDrive como SharePoint, si es desde web o mediante sync etc... No seria necesario configurar nada mas aquí. Solo quedaría habilitar las alertas para esta acción bien por sms o por correo electrónico. Tomar nota que podemos enviar las alertas a Microsoft Flow y desencadenar acciones :)
Por ultimo tenemos opciones de gobierno donde podemos indicar que ante esta alerta se suspenda el usuario en cuestión.
Directiva preparada para entrar en acción:
Cuando se cumple tendremos alerta en el portal...
También si el usuario es externo a la organización...
Y este sería el correo electrónico recibido por l@s interés@d@s...
Esto es solo un ejemplo de lo que podemos realizar con Cloud App Discovery en lo que a supervisión y alertas se refiere, aquí tenéis más información:
https://docs.microsoft.com/es-es/cloud-app-security/what-is-cloud-app-security
Un Saludo y buen fin de semana.
No hay comentarios:
Publicar un comentario