Leer en inglés

Compartir a través de


Introducción a Expertos de Microsoft Defender para XDR

Se aplica a:

Para obtener instrucciones de incorporación, consulte este breve vídeo.

Una vez que el equipo de Expertos de Defender para XDR esté listo para incorporar su organización, recibirá un correo electrónico de bienvenida para continuar con la configuración y empezar.

Seleccione el vínculo en el correo electrónico de bienvenida para iniciar directamente la configuración de Expertos de Defender en el portal de Microsoft Defender. También puede abrir esta configuración si va a Configuración>Expertos de Defender y selecciona Introducción.

Captura de pantalla de la página Introducción en la guía paso a paso de configuración de XDR de Defender for Experts.

Concesión de permisos a nuestros expertos

Importante

Microsoft recomienda utilizar roles con la menor cantidad de permisos. Esto ayuda a mejorar la seguridad de la organización. Administrador global es un rol con muchos privilegios que debe limitarse a escenarios de emergencia cuando no se puede usar un rol existente.

De forma predeterminada, Defender Experts for XDR requiere acceso del proveedor de servicios que permite a nuestros expertos iniciar sesión en el inquilino y ofrecer servicios basados en roles de seguridad asignados. Más información sobre el acceso entre inquilinos

También debe conceder a nuestros expertos uno o ambos de los siguientes permisos:

  • Investigar incidentes y guiar mis respuestas (valor predeterminado): esta opción permite a nuestros expertos supervisar e investigar incidentes de forma proactiva y guiarle a través de las acciones de respuesta necesarias. (Nivel de acceso: Lector de seguridad)
  • Responder directamente a amenazas activas (recomendado): esta opción permite a nuestros expertos contener y corregir amenazas activas inmediatamente mientras investigan, lo que reduce el impacto de la amenaza y mejora la eficacia de la respuesta general. (Nivel de acceso: Operador de seguridad)

Captura de pantalla de la opción administrar exclusiones al configurar Expertos de Defender para XDR.

Importante

Si omite proporcionar permisos adicionales, nuestros expertos no podrán realizar determinadas acciones de respuesta para proteger su organización.

Aunque a nuestros expertos se les conceden estos permisos relativamente eficaces, solo tendrán acceso individual a áreas específicas durante un período limitado. Más información sobre cómo funcionan los expertos de Defender para permisos XDR

Para conceder permisos a nuestros expertos:

  1. En la misma configuración de expertos de Defender, en Permisos, elija los niveles de acceso que desea conceder a nuestros expertos.

  2. Si desea excluir los grupos de usuarios y dispositivos de su organización de las acciones de corrección, seleccione Administrar exclusiones.

  3. Seleccione Siguiente para agregar contactos o grupos.

Para editar o actualizar los permisos después de la configuración inicial, vaya a Configuración>Permisos deexpertos de> Defender.

Excluir dispositivos y usuarios de la corrección

Expertos de Defender para XDR le permite excluir dispositivos y usuarios de las acciones de corrección realizadas por nuestros expertos y, en su lugar, obtener instrucciones de corrección para esas entidades. Estas exclusiones se basan en grupos de dispositivos identificados en Microsoft Defender para punto de conexión y grupos de usuarios identificados en Microsoft Entra ID.

Para excluir grupos de dispositivos:

  1. En la misma configuración de configuración de Expertos de Defender, en Exclusiones, vaya a la pestaña Grupos de dispositivos .

  2. Seleccione + Agregar grupos de dispositivos y, a continuación, busque y elija los grupos de dispositivos que desea excluir.

    Nota

    En esta página solo se enumeran los grupos de dispositivos existentes. Si desea crear un nuevo grupo de dispositivos, primero debe ir a la configuración de Defender para punto de conexión en el portal de Microsoft Defender. A continuación, actualice esta página para buscar y elegir el grupo recién creado. Más información sobre la creación de grupos de dispositivos

  3. Seleccione Agregar grupos de dispositivos.

  4. De nuevo en la pestaña Grupos de dispositivos , revise la lista de grupos de dispositivos excluidos. Si desea quitar un grupo de dispositivos de la lista de exclusión, selecciónelo y seleccione Quitar grupo de dispositivos.

  5. Seleccione Siguiente para confirmar la lista de exclusión y continuar con la adición de contactos o grupos. De lo contrario, seleccione Omitir y se descartarán todas las exclusiones agregadas.

Captura de pantalla de la opción para excluir grupos de dispositivos.

Para excluir grupos de usuarios:

  1. En la misma configuración de expertos de Defender, en Exclusiones, vaya a la pestaña Grupos de usuarios .

  2. Seleccione + Agregar grupos de usuarios y, a continuación, busque y elija los grupos de usuarios que desea excluir.

    Nota

    En esta página solo se enumeran los grupos de usuarios existentes. Si desea crear un nuevo grupo de usuarios, primero debe iniciar sesión en el Centro de administración de Microsoft Entra ID como administrador global. A continuación, actualice esta página para buscar y elegir el grupo recién creado. Más información sobre la creación de grupos de usuarios

  3. Seleccione Agregar grupos de usuarios.

  4. De nuevo en la pestaña Grupos de usuarios, revise la lista de grupos de usuarios excluidos. Si desea quitar un grupo de usuarios de la lista de exclusión, selecciónelo y seleccione Quitar grupo de usuarios.

  5. Seleccione Siguiente para confirmar la lista de exclusión y continuar con la adición de contactos o grupos. De lo contrario, seleccione Omitir y se descartarán todas las exclusiones agregadas.

Captura de pantalla para excluir grupos de usuarios en Expertos de Defender para XDR.

Nota

Solo puede excluir usuarios si los agrega a un grupo de seguridad de Microsoft Entra ID. En este momento no se pueden excluir los usuarios de id. de entra local.

Para editar o actualizar exclusiones después de la configuración inicial, vaya a Configuración>Exclusiones deexpertos> de Defender y, a continuación, vaya a la pestaña Grupos de dispositivos o Grupos de usuarios.

Díganos con quién ponerse en contacto para asuntos importantes

Expertos de Defender para XDR le permite determinar las personas o grupos de su organización a los que se debe notificar si hay incidentes críticos, actualizaciones del servicio, consultas ocasionales y otras recomendaciones:

  • Contactos de notificación de incidentes : estos contactos son personas o equipos a los que podemos notificar para las acciones de respuesta administradas o cualquier comunicación que requiera una respuesta inmediata. Dada la naturaleza urgente de las comunicaciones, recomendamos que estos contactos estén siempre disponibles.
  • Contactos de revisión de servicio: estos contactos son personas o equipos con los que podemos interactuar para las sesiones informativas de seguridad continuas realizadas por nuestro equipo de entrega de servicios.

Una vez identificados, las personas o grupos recibirán un correo electrónico en el que se les notificará que eran contactos con fines de notificación de incidentes o revisión del servicio.

Captura de pantalla de la página Contactos de incidentes en la guía paso a paso de configuración de XDR de Defender for Experts.

Para agregar contactos de notificación:

  1. En la misma configuración de configuración de Expertos de Defender, en Contactos, busque y agregue la persona o equipo de contacto en el campo de texto proporcionado.

  2. Agregue un número de teléfono (opcional) al que los expertos de Defender puedan llamar para asuntos que requieran atención inmediata.

  3. En el cuadro desplegable Contacto para , elija Notificación de incidentes o Revisión del servicio.

  4. Seleccione Agregar.

  5. Seleccione Siguiente para confirmar la lista de contactos y continuar con la creación de un canal de Teams donde también puede recibir notificaciones de incidentes.

Para editar o actualizar los contactos de notificación después de la configuración inicial, vaya a Configuración> Contactos denotificaciónde expertos de> Defender.

Captura de pantalla de los contactos de notificación.

Recepción de notificaciones y actualizaciones de respuesta administrada en Microsoft Teams

Además del correo electrónico y el chat en el portal, también tiene que usar Microsoft Teams para recibir actualizaciones sobre las respuestas administradas y comunicarse con nuestros expertos en tiempo real. Cuando esta configuración está activada, se crea un nuevo equipo denominado Equipo de expertos de Defender , donde las notificaciones de respuesta administrada relacionadas con incidentes en curso se envían como nuevas publicaciones en el canal de respuesta administrada . Más información sobre el uso del chat de Teams

Importante

Los expertos de Defender tendrán acceso a todos los mensajes publicados en cualquier canal del equipo de expertos de Defender creado. Para evitar que los expertos de Defender accedan a los mensajes de este equipo, vaya a Aplicaciones en Teams y, a continuación, vaya a Administrar las aplicaciones>que quitan los expertos de> Defender. Esta acción de eliminación no se puede invertir.

Para activar las notificaciones y el chat de Teams:

  1. En la misma configuración de configuración de Expertos de Defender, en Teams, seleccione la casilla Comunicarse en Teams .

  2. Seleccione Siguiente para revisar la configuración.

  3. Seleccione Enviar. A continuación, la guía paso a paso completa la configuración inicial.

  4. Seleccione Ver evaluación de preparación para completar las acciones necesarias para optimizar la posición de seguridad.

Nota

Para configurar la aplicación Defender Experts Teams, debe tener asignado el rol administrador global o administrador de seguridad y una licencia de Microsoft Teams.

Para activar las notificaciones de Teams y chatear después de la configuración inicial, vaya a Configuración>Equipos de expertos de> Defender.

Captura de pantalla de la opción para activar Teams para recibir la respuesta administrada.

  • Para agregar nuevos miembros al canal, vaya al equipo >de expertos de DefenderMás opciones (...)>Administrar equipo>Agregar miembro.
  • Para limitar quién puede unirse a este equipo, vaya al equipo >de expertos de DefenderMás opciones (...)>Configuración>Editar>Administrar equipo>Privado.

Preparación del entorno para el servicio de expertos de Defender

Además de la entrega de servicios de incorporación, nuestra experiencia en el conjunto de productos XDR de Microsoft Defender permite a los expertos de Defender para XDR ejecutar una evaluación de preparación y ayudarle a sacar el máximo partido a sus productos de seguridad de Microsoft.

La evaluación de preparación se basa en el número de dispositivos e identidades protegidos en su entorno y en las recomendaciones de directivas de expertos de Defender. Para ver la evaluación, en el portal de Microsoft Defender, vaya a Configuración>Expertos de Defender y seleccione Estado del servicio.

Captura de pantalla del entorno de evaluación de preparación.

La evaluación de preparación tiene dos partes:

  • Acciones necesarias : en esta sección se muestra el número de acciones o la configuración de seguridad que necesita completar, que están en curso o que se han completado. Estas acciones se muestran en una tabla de la parte inferior de la página.

    En la lista se describen los pasos necesarios que debe seguir antes de iniciar el servicio. Priorice las acciones que tienen el estado Complete now (Completar ahora ) para que el servicio Defender Experts for XDR se inicie antes.

    Nota

    La configuración de seguridad puede tardar hasta 24 horas en obtener el estado más reciente.

  • Recursos protegidos : en esta sección se muestra el número actual de dispositivos e identidades protegidos frente a los que todavía necesita proteger para iniciar el servicio Defender Experts for XDR.

    Las cifras se basan en las licencias de Defender para punto de conexión y Defender for Identity; para lograr este número de recursos protegidos de destino, incorpore más dispositivos a Defender para punto de conexión o instale más sensores de Defender for Identity.

Importante

Expertos de Defender para XDR revisa periódicamente la evaluación de preparación, especialmente si hay cambios en el entorno, como la adición de nuevos dispositivos e identidades. Es importante supervisar y ejecutar periódicamente la evaluación de preparación más allá de la incorporación inicial para asegurarse de que el entorno tiene una fuerte posición de seguridad para reducir el riesgo.

Después de completar todas las tareas necesarias y cumplir los objetivos de incorporación en la evaluación de preparación, el administrador de entrega de servicios (SDM) inicia la fase de supervisión del servicio Defender Experts for XDR, donde, durante unos días, nuestros expertos comienzan a supervisar su entorno estrechamente para identificar amenazas latentes, orígenes de riesgo y actividad normal. A medida que comprendamos mejor sus recursos críticos, podemos optimizar el servicio y ajustar nuestras respuestas.

Una vez que nuestros expertos empiecen a realizar un trabajo de respuesta completo en su nombre, comenzará a recibir notificaciones sobre incidentes que requieren pasos de corrección y recomendaciones dirigidas sobre incidentes críticos. También puede chatear con nuestros expertos o con sus SDMs con respecto a consultas importantes y revisiones periódicas de la posición empresarial y de seguridad. Además, también puede ver informes en tiempo real sobre el número de incidentes que hemos investigado y resuelto en su nombre.

Paso siguiente

Vea también

Sugerencia

¿Desea obtener más información? Participe con la comunidad de Seguridad de Microsoft en nuestra Tech Community: Tech Community de Microsoft Defender XDR.