Protección avanzada contra amenazas en SharePoint Online



Como ya anuncié en algunos eventos de seguridad en los que hablaba de Office 365 y EMS, Advanced Threat Protection (ATP) también ofrecería protección para SharePoint Online, OneDrive for Business y Microsoft Teams... ¡pues ya está disponible globalmente!



Office 365 ATP para SharePoint, OneDrive y Microsoft Teams es un servicio que está incluido para usuarios de Office 365 Enterprise E5 y Education A5, y disponible como componente individual para usuarios de otros planes.
  

¿Cómo funciona Office 365 ATP?


La protección avanzada que ofrece Office 365 ATP para SharePoint Online funciona de manera diferente a Exchange Online ATP, ya que el servicio ATP de Exchange Online sólo tiene que trabajar sobre los flujos de correo entrantes y salientes. Sin embargo, el escenario que presenta el servicio de SharePoint Online es muy distinto.

Para empezar, SharePoint no sólo tiene un punto de entrada y salida sobre el cual se pueda analizar el contenido. Este es el mismo problema con el que se encontró el equipo de producto de Data Loss Prevention (DLP) cuando deseaban consultar documentos para clasificarlos como datos confidenciales, tales como información bancaria o números de la Seguridad Social. DLP no intenta analizar cada archivo para identificar datos confidenciales, sino que actúa cuando los usuarios se disponen a compartirlos. Del mismo modo, ATP no escanea cada archivo. Lo que hace ATP es analizar los archivos de forma asíncrona a medida que los usuarios desean utilizar o compartir los archivos, de esa manera se logra detectar posibles problemas a un paso por delante. Este método de protección es tan eficaz como si se estuviesen analizando todos los archivos. Asimismo, debemos tener en cuenta que si se analizasen todos los archivos de SharePoint Online y OneDrive for Business, esta operación consumiría una cantidad enorme de recursos.



Además, ATP utiliza otros mecanismos de protección que previene posibles riesgos con la compartición de archivos, incluyendo un avanzado sistema de heurística inteligente, e inteligencia sobre amenazas potenciales.

¿Cómo actúa Office 356 ATP frente a propagación de malware?


La propagación de malware sólo podría producirse si un usuario comparte archivos infectados con otras personas, y luego estos abren y activan el contenido malicioso. Pero Office 365 ATP es capaz de encontrar malware en los archivos, el cual se bloquea e impide que otros usuarios lo puedan abrir, descargar o compartir. El archivo bloqueado permanece en la biblioteca y el usuario puede eliminarlo si lo desea.




Los administradores pueden estar al tanto de lo que sucede con el informe de estado de la protección contra amenazas del Centro de Seguridad y Cumplimiento de Office 365, donde se puede ver un informe de todos los archivos detectados y bloqueados por SharePoint Online ATP. 

Además, ATP registra un nuevo evento de auditoría alertando de que se ha detectado malware en un archivo. Al igual que otros eventos de auditoría, se pueden crear reglas de actividad o política de actividad para recibir correos electrónicos avisándonos de este tipo de incidencias.

¿Cómo funciona ATP en Microsoft Teams?


Realmente es muy sencillo. Cada Teams cuenta con un sitio en SharePoint Online y una biblioteca de documentos, por lo que cada Teams puede almacenar documentos, de modo que aprovecha la misma protección que ofrece SharePoint Online ATP.

 Activar Office 365 ATP para SharePoint

Es muy fácil activar el servicio SharePoint Online ATP. Una vez tengamos las licencias necesarias, debemos hacer lo siguiente:
1.      Ir al Centro de Seguridad y Cumplimiento de Office 365
2.      Abrir Administración de amenazas > Directiva > Archivos adjuntos seguros de ATP
3.      Marcar la casilla “Activar ATP para SharePoint, OneDrive y Microsoft Teams.




Después de activar ATP, puede demorar hasta 30 minutos hasta que se efectúen los cambios. Pero tranquilo, no vas a recibir un bombardeo de notificaciones, recuerda que el análisis se centra únicamente en el momento que un usuario trata de abrir o compartir archivos.

Configurar alertas de Office 365 ATP


Si deseamos recibir notificaciones cuando un archivo se haya identificado como malintencionado en SharePoint Online, OneDrive for Business o Microsoft Teams, podemos configurar alertas desde el Centro de Seguridad y Cumplimiento de Office 365. Para ello:
1.      Desde Seguridad y Cumplimiento, nos vamos a Alertas > Administrar Alertas.
2.      Pulsamos sobre el botón Nueva directiva de alertas.
3.      Especificamos un nombre para la alerta.
·        Por ejemplo, “Malware en bibliotecas”.
4.      Escribimos una breve descripción para la alerta.
·        Por ejemplo, “Notifica a los administradores cuando se detectan archivos infectados en SPO, OneDrive y Teams.
5.      En la sección “Enviar esta alerta cuando…”, debemos hace lo siguiente:
·        En la lista de actividades, elegimos Se ha detectado Malware en archivo.
·        En el campo de los usuarios, lo dejamos en blanco.
6.      En la sección “Enviar esta alerta a…”, seleccionamos uno o varios administradores globales o administradores de seguridad que deseamos que reciban estas alertas.
7.      Por último, guardamos.





No hay comentarios :

Publicar un comentario