Cómo configurar la inteligencia de amenazas de Global Secure Access

Visión general

La inteligencia sobre amenazas le permite proteger a los usuarios de acceder a destinos malintencionados en Internet, en función de los datos en tiempo real de las amenazas actuales.

Puede configurar una directiva de inteligencia sobre amenazas para bloquear a los usuarios de destinos de Internet malintencionados conocidos de alta gravedad. En esta directiva, Microsoft Entra Internet Access bloquea el tráfico en función de los indicadores de dominio y dirección URL tanto de Microsoft como de proveedores de inteligencia sobre amenazas de terceros. Con el motor de reglas de inteligencia sobre amenazas, también puede configurar listas de autorización para gestionar falsos positivos. Todas estas directivas pueden volverse conscientes del contexto con el marco de Perfiles de Seguridad, vinculando las directivas de seguridad de Acceso Seguro Global (GSA) al Acceso Condicional.

Prerrequisitos

  • Los administradores que interactúen con las características de Acceso global seguro deben tener asignados uno o varios de los siguientes roles en función de las tareas que realicen.
  • Complete la guía Introducción al acceso seguro global .
  • Instale el cliente de Acceso seguro global en dispositivos de usuario final.
  • Debe deshabilitar el sistema de nombres de dominio (DNS) a través de HTTPS (DNS seguro) para tunelizar el tráfico de red. Use las reglas de los nombres de dominio completos (FQDN) en el perfil de reenvío de tráfico. Para obtener más información, consulte Configuración del cliente DNS para admitir DoH.
  • Deshabilite el cliente DNS integrado en Chrome y Microsoft Edge.
  • El cliente no adquiere el tráfico IPv6 y, por tanto, se transfiere directamente a la red. Para permitir que todo el tráfico pertinente se tunelizará, establezca las propiedades del adaptador de red en IPv4 preferido.
  • No se admite el tráfico del Protocolo de datagramas de usuario (UDP) (es decir, QUIC). La mayoría de los sitios web admiten la reversión al Protocolo De Control De Transmisión (TCP) cuando no se puede establecer QUIC. Para obtener una experiencia de usuario mejorada, puede implementar una regla de firewall de Windows que bloquee UDP 443 saliente:
New-NetFirewallRule -DisplayName "Block QUIC" -Direction Outbound -Action Block -Protocol UDP -RemotePort 443

Pasos de alto nivel

Hay varios pasos para configurar la inteligencia sobre amenazas. Tome nota de dónde debe configurar una directiva de acceso condicional.

  1. Habilite el reenvío de tráfico de Internet.
  2. Cree una directiva de inteligencia sobre amenazas.
  3. Configure la lista de permitidos (opcional).
  4. Cree un perfil de seguridad.
  5. Vincule el perfil de seguridad a una directiva de acceso condicional.

Habilitación del reenvío de tráfico de Internet

El primer paso es habilitar el perfil de reenvío de tráfico de Acceso a Internet. Para obtener más información sobre el perfil y cómo habilitarlo, consulte Administración del perfil de reenvío de tráfico de acceso a Internet.

Puede definir el ámbito del perfil de acceso a Internet a usuarios y grupos específicos. Para obtener más información sobre la asignación de usuarios y grupos, consulte Asignación y administración de usuarios y grupos con perfiles de reenvío de tráfico.

Creación de una directiva de inteligencia sobre amenazas

  1. Vaya a Global Secure Access>Segura>Directivas de inteligencia sobre amenazas.
  2. Seleccione Crear directiva.
  3. Escriba un nombre y una descripción para la directiva y seleccione Siguiente.
  4. La acción predeterminada para la inteligencia sobre amenazas es "Permitir". Esto significa que si el tráfico no coincide con una regla en la política de inteligencia de amenazas, el motor de políticas permitirá que el tráfico pase al siguiente control de seguridad.
  5. Seleccione Siguiente y Revise la nueva directiva de inteligencia sobre amenazas.
  6. Seleccione Crear

Importante

Esta directiva se crea con una regla que bloquea el acceso a destinos donde se detectan amenazas de gravedad alta. Microsoft define amenazas de gravedad alta como dominios o direcciones URL asociadas a la distribución de malware activa, campañas de suplantación de identidad (phishing), infraestructura de comando y control (C2) y otros subprocesos, identificados por Microsoft y fuentes de inteligencia sobre amenazas de terceros con una elevada confianza.

Configuración de la lista de permitidos (opcional)

Si conoce sitios que pueden ser críticos para la empresa o se etiquetan como falsos positivos, puede configurar reglas que permitan estos sitios. Tenga en cuenta los riesgos de seguridad implicados en esta acción, ya que el panorama de amenazas de Internet está cambiando.

  1. En Acceso Seguro Global>Directivas de Inteligencia de Amenazas>, seleccione su directiva de inteligencia de amenazas preferida.
  2. Seleccione Reglas.
  3. Seleccione Agregar regla.
  4. Escriba un nombre, una descripción, una prioridad y un estado para la regla.
  5. Edite FQDN de destino y seleccione la lista de dominios de la lista de permitidos. Puede escribir estos FQDN como dominios separados por comas.
  6. Selecciona Agregar.

Creación de un perfil de seguridad o configuración del perfil de línea base

Los perfiles de seguridad son una agrupación de controles de seguridad, como el filtrado de contenido web y las directivas de inteligencia sobre amenazas. Puede asignar o vincular perfiles de seguridad con las directivas de acceso condicional de Microsoft Entra. Un perfil de seguridad puede contener una directiva de cada tipo.

En este paso, creará un perfil de seguridad para agrupar directivas de filtrado como el filtrado de contenido web o la inteligencia sobre amenazas. A continuación, asigne o vincule los perfiles de seguridad con una directiva de acceso condicional para que sean conscientes del usuario o del contexto.

Dado que la inteligencia sobre amenazas es fundamental para la posición de seguridad básica de los usuarios, también puede vincular la directiva de inteligencia sobre amenazas al perfil de seguridad de línea de base, que aplica la directiva al tráfico de todos los usuarios del inquilino.

Nota:

Solo puede configurar la directiva de inteligencia de amenazas para cada perfil de seguridad. Las prioridades de regla dentro de cada control de seguridad controlan las excepciones, y los controles de seguridad siguen la ordenación: (1) inspección de TLS > (2) Filtrado de contenido web > (3) Inteligencia de amenazas > (4) Tipo de archivo > (5) Prevención de pérdida de datos > (6) Terceros

  1. Vaya a Acceso seguro global>Seguro>Perfiles de seguridad.
  2. Seleccione Crear perfil.
  3. Escriba un nombre y una descripción para el perfil y seleccione Siguiente.
  4. Seleccione Vincular una directiva y, a continuación, seleccione Directiva de inteligencia sobre amenazas existente.
  5. Seleccione la directiva de inteligencia sobre amenazas que ya ha creado y seleccione Agregar.
  6. Seleccione Siguiente para revisar el perfil de seguridad y la directiva asociada.
  7. Seleccione Crear perfil.
  8. Seleccione Actualizar para ver el nuevo perfil.

Cree una directiva de acceso condicional para los usuarios finales o grupos y entregue el perfil de seguridad a través de controles de sesión de acceso condicional. Acceso Condicional es el mecanismo de implementación para la conciencia del usuario y del contexto de las políticas de acceso a Internet.

  1. Vaya a Identidad>Protección>Acceso condicional.
  2. Seleccione Crear nueva directiva.
  3. Escriba un nombre y asigne un usuario o grupo.
  4. Seleccione Recursos de destino y Todos los recursos de Internet con acceso seguro global.
  5. Seleccione Sesión>Usar el perfil de seguridad de acceso seguro global y elija un perfil de seguridad.
  6. Elija Seleccionar.
  7. En la sección Habilitar directiva , asegúrese de que Activado está seleccionado.
  8. Selecciona Crear.

Nota:

La aplicación de un nuevo perfil de seguridad puede tardar hasta 60-90 minutos, ya que los perfiles de seguridad se aplican a través de tokens de acceso.

Nota:

Para acelerar los cambios de configuración del acceso condicional para las pruebas, revoque las sesiones de usuario en el Centro de administración de Entra (seleccione Revocar sesiones en la página de información general del usuario). Esto obliga a los usuarios a obtener nuevos tokens con directivas actualizadas. Obtenga más información sobre la evaluación continua del acceso.

Comprobación de la aplicación de directivas de usuario final

Use un dispositivo Windows con el cliente de acceso seguro global instalado. Inicie sesión como usuario que tenga asignado el perfil de adquisición de tráfico de Internet. Pruebe que la navegación a sitios web malintencionados está bloqueada según lo previsto.

Nota:

Después de configurar una directiva de inteligencia sobre amenazas, es posible que tenga que borrar la memoria caché del explorador para validar la aplicación de directivas.

  1. Haga clic con el botón derecho en el icono del cliente de Global Secure Access en la bandeja del administrador de tareas y abra Diagnósticos Avanzados>perfil de reenvío. Asegúrese de que las reglas de adquisición de acceso a Internet estén presentes.
  2. Vaya a un sitio malintencionado conocido (por ejemplo, entratestthreat.com o smartscreentestratings2.net). Asegúrese de que está bloqueado y que el campo Tipo de amenaza no está vacío en los registros de tráfico. Los registros de tráfico pueden tardar hasta 5 minutos en aparecer en el portal.
  3. Si está bloqueado por Microsoft Defender o SmartScreen, sobreescriba y acceda al sitio para probar el mensaje de bloqueo de Global Secure Access. Para ello, elija "Continuar con el sitio no seguro (no recomendado)" en "Más información".
  4. Para probar la lista de permitidos, cree una regla en la directiva inteligencia sobre amenazas para permitir el acceso al sitio. En un plazo de 2 minutos, debería poder acceder a él. (Es posible que tenga que borrar la memoria caché del explorador).
  5. Evalúe el resto de la fuente de amenazas contra los indicadores de amenazas conocidos.

Captura de pantalla que muestra un error del explorador de texto no cifrado para el tráfico HTTP no cifrado o TLS inspeccionado.

Precaución

Las pruebas con sitios malintencionados reales deben realizarse en un entorno de espacio aislado o de prueba para proteger el dispositivo y la empresa.

Pasos siguientes

  • Last updated on