Políticas de Nivel 1 para ThreatSync+ SaaS — Microsoft 365

Aplica A: ThreatSync+ SaaS Este tema se aplica a ThreatSync.

Cuando instala ThreatSync+ SaaS por primera vez con una integración de Microsoft 365, 10 de las 12 políticas de Nivel 1 están habilitadas de forma predeterminada. Le recomendamos que monitorice estas políticas durante las dos primeras semanas de monitorización de Microsoft 365 y, a continuación, ajuste sus políticas para que cumplan con los requisitos de su organización.

Cada sección de este tema incluye:

• Una descripción de una política de Nivel 1
• Cómo funciona la política para detectar amenazas
• Cómo puede ajustar la política para que funcione de forma más eficaz en su red

Para obtener detalles específicos sobre las políticas de Nivel 1, vaya a estas secciones:

• Actividad de Archivo Anónima
• Archivos Internos Hechos Públicos
• Archivos Internos Compartidos Externamente
• Nueva Dirección IP de Acceso
• Nueva Ubicación de Acceso
• Posible Intento de Acceso a la Cuenta Mediante Uso de Fuerza Bruta
• Ubicación de Acceso Sospechosa
• Hora de Acceso Sospechosa
• Frecuencia Sospechosa de Actividad en Archivos
• Intento de Uso de Fuerza Bruta
• Posible Intento de Pulverización de Contraseñas
• Intento de Pulverización de Contraseñas

Actividad de Archivo Anónima

Un usuario anónimo ha obtenido acceso a los archivos. Podría tratarse de un atacante que intenta cifrar o extraer sus datos.

Cómo Funciona

Los registros de Microsoft 365 indican que un usuario obtuvo acceso a un archivo disponible para acceso público a través de un enlace anónimo. Muchos usuarios crean enlaces anónimos para permitir que otras personas accedan fácilmente a los archivos sin necesidad de utilizar inicios de sesión autorizados ni de concederles permisos explícitamente.

Cuando estos enlaces se filtran a usuarios no autorizados, los datos pueden quedar expuestos.

Si no permite a los usuarios compartir enlaces anónimos, responda inmediatamente a esta alerta, póngase en contacto con la persona que compartió el archivo y aplique el control de acceso.

Cómo Ajustarla

Si siempre permite a los usuarios compartir este tipo de enlaces, puede desactivar esta política. Si desea permitir a los usuarios compartir archivos específicos, ajuste la política para excluir rutas de archivo específicas.

Archivos Internos Hechos Públicos

Esta política genera alertas cuando los archivos internos están disponibles para cualquier persona en Internet, lo que podría exponerlos a un atacante que intente exfiltrar sus datos.

Cómo Funciona

Esta política genera alertas cuando un usuario crea un enlace anónimo para un archivo. Este enlace se puede compartir con otras personas para permitir el acceso anónimo. Esta alerta le ayuda a eliminar el acceso no autorizado antes de que un atacante pueda exfiltrar datos.

Cómo Ajustarla

Si permite que partes específicas de su organización creen enlaces anónimos, puede excluirlos de esta política. Si cualquier persona de su organización puede crear enlaces anónimos, puede desactivar esta política.

Archivos Internos Compartidos Externamente

Esta política genera alertas cuando un usuario interno de su organización comparte archivos internos con un usuario externo. El acceso externo a sus datos puede suponer un riesgo para la organización.

Cómo Funciona

ThreatSync+ SaaS aprende sobre los usuarios de su dominio de Microsoft 365 y los clasifica en usuarios internos o externos. Cuando configura la integración SaaS con Microsoft 365, ThreatSync+ SaaS identifica a los usuarios internos por los dominios que configura. ThreatSync+ SaaS también considera internos los nombres de dominio similares.

Por ejemplo, si su dominio es miempresa.com, ThreatSync+ SaaS también considera usuarios internos a los usuarios del dominio miempresa.en.microsoft.com. Cuando un usuario interno comparte un archivo o una carpeta en Microsoft 365 con un usuario externo, ThreatSync+ SaaS genera una alerta de política con detalles del archivo compartido, quién lo compartió y con quién lo compartió.

Esta política requiere un período de aprendizaje para categorizar a los usuarios internos, que pueden provenir de varios dominios de su organización.

Cómo Ajustarla

Si permite que usuarios específicos compartan archivos con dominios externos, puede agregar excepciones en la definición de la política.

Investigue esta alerta si su organización tiene una política de no compartir archivos con usuarios externos. Tome las medidas adecuadas, como bloquear al usuario o eliminar los permisos de archivo, entre otras.

Nueva Dirección IP de Acceso

Esta política genera una alerta cuando un usuario se conecta a recursos de su red desde una nueva dirección IP. Esto podría ser una señal de actividad maliciosa interna o de apropiación de cuentas.

Cómo Funciona

Cada vez que un usuario inicia sesión en un dominio de Microsoft 365 y se conecta a recursos, ThreatSync+ SaaS aprende y crea un valor de referencia de las direcciones IP desde las que se originan las solicitudes. Cuando ThreatSync+ SaaS identifica a un usuario que se conecta a un recurso desde una dirección IP desde la que nunca ha iniciado sesión anteriormente, ThreatSync+ SaaS genera esta alerta de política.

Cómo Ajustarla

Esta política genera alertas cuando los usuarios de su organización se conectan a recursos desde nuevos lugares (por ejemplo, una cafetería o el sitio de un cliente). Esta alerta de política es útil cuando los usuarios solo inician sesión de forma regular desde un conjunto limitado y uniforme de direcciones IP. Puede desactivar esta política o agregar excepciones para excluir a determinados grupos de usuarios.

Nueva Ubicación de Acceso

Esta política genera una alerta cuando un usuario se conecta a recursos de su red desde una nueva ubicación. Esto podría ser una señal de actividad maliciosa interna o de apropiación de cuentas.

Cómo Funciona

Cuando un usuario inicia sesión en un dominio de Microsoft 365 y se conecta a recursos, ThreatSync+ SaaS aprende y crea un valor de referencia de las ubicaciones geográficas desde las que se originan las solicitudes. Cuando un usuario se conecta a un recurso desde una ubicación desde la que nunca inició sesión anteriormente, ThreatSync+ SaaS genera una alerta de política.

Cómo Ajustarla

Esta política genera alertas cuando los usuarios de su organización se conectan a recursos desde nuevas ubicaciones (por ejemplo, una cafetería o las instalaciones de un cliente). Esta alerta de política es útil cuando sus usuarios solo inician sesión desde un conjunto limitado y uniforme de ubicaciones geográficas de forma habitual. Puede desactivar esta política o agregar excepciones para excluir a usuarios específicos.

Posible Intento de Acceso a la Cuenta Mediante Uso de Fuerza Bruta

Esta política genera alertas cuando un usuario intenta iniciar sesión en recursos de su red varias veces y no lo consigue.

Cómo Funciona

ThreatSync+ SaaS monitoriza los inicios de sesión fallidos en Microsoft 365 y crea continuamente un valor de referencia de actividad de fallos aceptables y benignos. Cuando los intentos fallidos de inicio de sesión contabilizados durante un periodo de 30 minutos superan el valor de referencia, ThreatSync+ SaaS genera una alerta.

Los usuarios maliciosos activan esta política cuando roban nombres de usuario e intentan iniciar sesión de forma reiterada con diferentes contraseñas.

Cómo Ajustarla

Si desea generar menos alertas, puede ajustar esta política y ajustar la sensibilidad de alerta de la Escala de Gravedad de Alertas en la configuración de la política.

Si aumenta la escala a un valor mayor, la detección será menos sensible y generará menos alertas. Para más información, vaya a Editar la Escala de Gravedad de Alertas de Política.

Ubicación de Acceso Sospechosa

Esta política genera una alerta cuando un usuario se conecta a recursos de su red desde una ubicación sospechosa. Esto podría ser una señal de actividad maliciosa interna o de apropiación de cuentas.

Cómo Funciona

ThreatSync+ SaaS monitoriza la ubicación de origen de todos los inicios de sesión de los usuarios y crea un valor de referencia. Cuando un usuario inicia sesión desde una ubicación significativamente diferente de la ubicación de referencia, ThreatSync+ SaaS genera una alerta. Si un usuario no tiene suficiente actividad para generar un valor de referencia confiable, ThreatSync+ SaaS utiliza una referencia de la organización. Si ese usuario inicia sesión desde una ubicación significativamente diferente de las ubicaciones de otros usuarios, ThreatSync+ SaaS genera una alerta.

Cómo Ajustarla

Si desea generar menos alertas, puede ajustar esta política y ajustar la sensibilidad de alerta de la Escala de Gravedad de Alertas en la configuración de la política.

Si aumenta la escala a un valor mayor, la detección será menos sensible y generará menos alertas. Para más información, vaya a Editar la Escala de Gravedad de Alertas de Política.

Hora de Acceso Sospechosa

Esta política genera una alerta cuando un usuario se conecta a recursos de su red en un momento sospechoso. Esto podría ser una señal de actividad maliciosa interna o de apropiación de cuentas.

Cómo Funciona

ThreatSync+ SaaS monitoriza la hora del día y los días de la semana en que un usuario inicia sesión y crea un valor de referencia. Cuando los inicios de sesión de los usuarios se desvían significativamente del valor de referencia, ThreatSync+ SaaS genera una alerta.

Cómo Ajustarla

Si desea generar menos alertas, puede ajustar esta política y ajustar la sensibilidad de alerta de la Escala de Gravedad de Alertas en la configuración de la política.

Si aumenta la escala a un valor mayor, la detección será menos sensible y generará menos alertas. Para más información, vaya a Editar la Escala de Gravedad de Alertas de Política.

Frecuencia Sospechosa de Actividad en Archivos

Se detecta una frecuencia sospechosa de creación, eliminación o modificación de archivos. Esto puede ocurrir cuando un atacante cifra sus archivos con ransomware o los exfiltra.

Cómo Funciona

ThreatSync+ SaaS monitoriza la actividad de los archivos por usuario y crea un valor de referencia para cada usuario con el fin de realizar un seguimiento de una amplia gama de actividades del archivo. Cuando la actividad de los archivos del usuario (modificación, eliminación o creación) se desvía de los valores de referencia actuales, ThreatSync+ SaaS genera la alerta. Esta política puede ayudar a prevenir ataques de ransomware en curso.

Cómo Ajustarla

Si desea generar menos alertas, puede ajustar esta política y ajustar la sensibilidad de alerta de la Escala de Gravedad de Alertas en la configuración de la política.

Si aumenta la escala a un valor mayor, la detección será menos sensible y generará menos alertas. Para más información, vaya a Editar la Escala de Gravedad de Alertas de Política.

Hay varias formas de ajustar esta política para centrarse en tipos específicos de anomalías o restringir las alertas para incluir o excluir ubicaciones, archivos y usuarios específicos.

Dado que esta política puede generar alertas para más de 100 tipos específicos de alertas relacionadas con archivos, a menudo es conveniente dividirla en varias definiciones de política que generen alertas para diferentes tipos de actividad del archivo. Puede ajustar la Escala de Gravedad de Alertas u otros filtros, como la ubicación o los nombres de los archivos, para cada política.

Intento de Uso de Fuerza Bruta

Esta política genera alertas cuando un usuario intenta iniciar sesión en recursos de su red varias veces sin éxito y, a continuación, lo consigue.

Cómo Funciona

ThreatSync+ SaaS monitoriza los inicios de sesión fallidos en Microsoft 365 y crea continuamente un valor de referencia de actividad de fallos aceptables y benignos. Cuando los intentos fallidos de inicio de sesión contabilizados durante un período de 30 minutos superan este valor de referencia, se genera un evento de Alta Tasa de Intentos de Inicio de Sesión Fallidos. ThreatSync+ SaaS aprende y crea un valor de referencia de las ubicaciones geográficas desde las que se originan las solicitudes. Cuando un usuario se conecta a un recurso desde una ubicación desde la que nunca inició sesión anteriormente, ThreatSync+ SaaS genera un evento de Nuevo Acceso Remoto de un usuario. La alerta de política Intento de Uso de Fuerza Bruta se activa cuando se detecta un inicio de sesión correcto en correlación con un evento de inicio de sesión fallido y un nuevo acceso remoto para un usuario.

Los usuarios maliciosos activan esta política cuando roban nombres de usuario e intentan iniciar sesión de forma reiterada con diferentes contraseñas.

Cómo Ajustarla

Esta política genera alertas cuando un atacante puede iniciar sesión después de varios intentos fallidos. Revise la dirección IP de origen y la información del usuario de la alerta de política. Si no se trata de un intento legítimo de inicio de sesión, puede deshabilitar al usuario, forzar un cambio de contraseña o agregar autenticación multifactor (MFA) para el usuario.

Le recomendamos que también revise otras alertas de política generadas para el usuario afectado en busca de posibles exfiltraciones de datos, como Archivos Internos Compartidos Externamente, Frecuencia Sospechosa de Actividad en Archivos y Archivos Internos Hechos Públicos.

Si estos intentos de inicio de sesión son legítimos, puede editar esta política y agregar una excepción para incluir la dirección IP de origen en la lista de exclusión.

Posible Intento de Pulverización de Contraseñas

Esta política genera alertas cuando un atacante intenta forzar el inicio de sesión en función de una lista de nombres de usuario con contraseñas predeterminadas en la aplicación.

Cómo Funciona

Esta política monitoriza los intentos fallidos de inicio de sesión realizados en varios usuarios durante un breve período de tiempo desde la misma ubicación y lista de objetivos.

Cómo Ajustarla

Si estos intentos de inicio de sesión son legítimos, puede editar esta política y agregar una excepción para incluir la dirección IP de origen en la lista de exclusión.

Intento de Pulverización de Contraseñas

Esta política genera alertas cuando un atacante logra iniciar sesión mediante el uso de fuerza bruta basándose en una lista de nombres de usuario con contraseñas predeterminadas en la aplicación.

Cómo Funciona

Esta política monitoriza los intentos de inicio de sesión fallidos y correctos realizados en varios usuarios durante un breve periodo de tiempo desde la lista de objetivos.

Cómo Ajustarla

Dado que el atacante pudo iniciar sesión en algunas cuentas tras el intento de pulverización de contraseñas, debe revisar la dirección IP de origen y la información del usuario de la alerta de política. Si no se trata de un intento legítimo de inicio de sesión, puede deshabilitar al usuario, forzar un cambio de contraseña o agregar autenticación multifactor (MFA) para el usuario.

Le recomendamos que también revise otras alertas de política generadas para el usuario afectado en busca de posibles exfiltraciones de datos, como Archivos Internos Compartidos Externamente, Frecuencia Sospechosa de Actividad en Archivos y Archivos Internos Hechos Públicos.

Si estos intentos de inicio de sesión son legítimos, puede editar esta política y agregar una excepción para incluir la dirección IP de origen en la lista de exclusión.

Temas Relacionados

Configurar Políticas de ThreatSync+

Administrar Zonas de ThreatSync+

Ajuste de Política

Políticas de Nivel 1 de ThreatSync+ NDR

Administrar Zonas de ThreatSync+