Tutorial: Configuración de directivas de inteligencia sobre amenazas

Microsoft define amenazas de alta gravedad como dominios o direcciones URL asociados a amenazas como la distribución de malware activa, las campañas de suplantación de identidad (phishing) y la infraestructura de comando y control (C2). Microsoft y fuentes de inteligencia sobre amenazas no Microsoft identifican estas amenazas con una elevada confianza. Al configurar la inteligencia sobre amenazas, puede bloquear automáticamente estos destinos web malintencionados conocidos.

En este tutorial aprenderá a:

  • Cree una directiva de inteligencia sobre amenazas para bloquear sitios malintencionados conocidos.
  • Configure una lista de permitidos para falsos positivos o sitios críticos para la empresa.
  • Vincule una directiva de inteligencia sobre amenazas a un perfil de seguridad.
  • Compruebe la aplicación de directivas de usuario.

Conceptos clave

¿Qué es la inteligencia sobre amenazas?

La inteligencia sobre amenazas es datos seleccionados sobre dominios maliciosos conocidos, URLs y direcciones IP. Esta lista se actualiza continuamente a medida que Microsoft agrega inteligencia de varios orígenes, como los ejemplos de la tabla siguiente.

Fuente Descripción
Inteligencia contra amenazas de Microsoft Defender Datos de Microsoft productos de seguridad que protegen miles de millones de puntos de conexión.
Seguridad de Microsoft Research Conclusiones de los equipos de investigación de amenazas dedicados de Microsoft.
Fuentes no Microsoft Inteligencia de proveedores de seguridad de confianza y CERT.
Inteligencia de la comunidad Indicadores compartidos de la comunidad de seguridad global.

Estos son algunos ejemplos de amenazas bloqueadas. Para obtener la lista completa, consulte la lista de tipos de amenazas de inteligencia de acceso seguro global.

  • MaliciousUrl: direcciones URL que distribuyen el malware.
  • Phishing: indicadores relacionados con una campaña de suplantación de identidad (phishing).
  • C2: nodo de comando y control de una red de botnet.
  • Malware: indicadores que describen un archivo o archivos malintencionados.
  • CryptoMining: tráfico que implica la minería de cifrado o el abuso de recursos.

Diferencias entre la inteligencia sobre amenazas y el filtrado de contenido web

  • Bloques de filtrado de contenido web por categoría (como juegos de azar o contenido para adultos).
  • La inteligencia de amenazas bloquea actores malintencionados conocidos independientemente de la categoría.
  • Un sitio de noticias legítimo que estaba en peligro está bloqueado por la inteligencia sobre amenazas, no por el filtrado de contenido web.
  • Si la inspección de seguridad de la capa de transporte (TLS) no está habilitada, la inteligencia sobre amenazas no puede protegerse contra direcciones URL malintencionadas. Los tipos de detección restantes se siguen detectando y bloqueando.

Objetivo

En este tutorial, creará una directiva de inteligencia sobre amenazas para bloquear sitios malintencionados conocidos. Opcionalmente, puede configurar una lista de permisos para falsos positivos o sitios críticos para la empresa. A continuación, vincule la directiva a un perfil de seguridad y compruebe la aplicación de directivas de usuario.

Vídeos de tutorial de ejemplo

En el vídeo siguiente se muestra cómo configurar una directiva de inteligencia sobre amenazas.

En el vídeo siguiente se muestra cómo probar una directiva de inteligencia sobre amenazas.

Paso 1: Crear una directiva de inteligencia sobre amenazas

  1. En el centro de administración de Microsoft Entra, vaya a Global Secure Access>Secure>políticas de inteligencia de amenazas.

  2. Seleccione Crear una directiva.

  3. Escriba un nombre y una descripción para la directiva y, a continuación, seleccione Siguiente.

  4. Mantenga la acción predeterminada como Permitir.

    Nota:

    La acción predeterminada para la inteligencia sobre amenazas es Permitir. Si el tráfico no coincide con una regla en la directiva de inteligencia sobre amenazas (es decir, no se detecta ninguna amenaza), el motor de directivas permite el tráfico. Otro tipo de directiva podría seguir evaluando y bloqueando el tráfico, como el filtrado de contenido web.

  5. Seleccione Siguiente y revise la nueva directiva de inteligencia sobre amenazas.

  6. Selecciona Crear.

Paso 2: Configurar la lista de permitidos (opcional)

Si conoce sitios que podrían ser críticos para la empresa o que están etiquetados como falsos positivos, puede configurar reglas que permitan estos sitios.

Advertencia

La omisión de un dominio de la inteligencia sobre amenazas es arriesgada. Solo lo haga si está seguro de que el destino es seguro.

  1. En Acceso Seguro Global: Directivas de inteligencia de amenazas>, seleccione la política de inteligencia sobre amenazas elegida.

  2. Seleccione Reglas.

  3. Seleccione Agregar regla.

  4. Escriba un nombre, una descripción, una prioridad y un estado para la regla.

  5. Edite FQDNs de destino y seleccione los dominios para su lista de permitidos.

    Puede escribir estos nombres de dominio completos (FQDN) como dominios separados por comas.

  6. Selecciona Agregar.

  1. Vaya a Acceso seguro global>Seguro>Perfiles de seguridad.
  2. Seleccione el perfil de seguridad que creó en el tutorial de inspección de TLS.
  3. Vaya al panel Políticas enlazadas.
  4. Seleccione Vincular una directiva y, a continuación, seleccione Directiva de inteligencia sobre amenazas existente.
  5. Seleccione la directiva de inteligencia sobre amenazas que creó y, a continuación, seleccione Agregar.

Compruebe que el perfil de seguridad está asignado a una directiva de Acceso condicional de Microsoft Entra.

Paso 4: Comprobar la aplicación de directivas

Nota:

Después de configurar una directiva de inteligencia sobre amenazas, es posible que tenga que borrar la memoria caché del explorador para comprobar la aplicación de directivas.

  1. Para probarlo, vaya a uno de los sitios siguientes:

    • entratestthreat.com
    • smartscreentestratings2.net

    Los ejemplos anteriores son sitios de prueba para validar si funcionan las directivas de seguridad. Son benignos y seguros de usar.

  2. Compruebe que el acceso al sitio está bloqueado. Expanda Más información y compruebe que el tipo de amenaza es URL malicioso.

    Captura de pantalla que muestra la página del bloque de inteligencia sobre amenazas que muestra el tipo de amenaza como MaliciousUrl.

  3. También puede ver los registros de tráfico y revisar el campo Tipo de amenaza .

Si Windows Defender o SmartScreen le bloquean, omita el bloqueo y acceda al sitio para probar el mensaje de bloqueo de Global Secure Access. Para realizar este paso, en Más información, seleccione Continuar con el sitio no seguro (no recomendado). Realice este paso solo en un entorno de prueba de concepto o laboratorio, no en producción.

Lo que ha aprendido

En este tutorial, ha realizado las siguientes tareas:

  • Protección contra amenazas automatizada habilitada: Ha aprendido que su organización ahora está protegida contra miles de sitios malintencionados conocidos sin mantener manualmente listas de bloqueo. Microsoft actualiza continuamente esta lista de amenazas en función de sus señales de inteligencia.
  • Ha comprendido el modelo "permitir predeterminado": Ha aprendido que las directivas de inteligencia sobre amenazas solo bloquean el tráfico que coincide con una amenaza conocida. Otras directivas evalúan el resto del tráfico que pasa.
  • Reglas de excepción configuradas: Ha aprendido a omitir dominios específicos si es necesario por motivos empresariales, aunque debe realizar este paso con moderación.
  • Clasificación de tipo de amenaza observada: Ha aprendido que la página del bloque muestra el tipo de amenaza específico, como MaliciousUrl, phishing y C2. Esta información le ayuda a comprender por qué se bloqueó el tráfico.

Estrategia de defensa en profundidad

┌─────────────────────────────────────────────────────────┐
│                 Security layers                         │
├─────────────────────────────────────────────────────────┤
│ Layer 1: Web content filtering                          │
│   • Blocks unwanted categories like gambling or adult.  │
├─────────────────────────────────────────────────────────┤
│ Layer 2: Threat intelligence                            │
│   • Blocks known malicious destinations.                │
├─────────────────────────────────────────────────────────┤
│ Layer 3: File controls                                  │
│   • Prevents data exfiltration via file uploads.        │
├─────────────────────────────────────────────────────────┤
│ Layer 4: Microsoft Defender for Endpoint                │
│   • Is the last line of defense on the endpoint.        │
└─────────────────────────────────────────────────────────┘

¿Por qué varias capas?

  • La inteligencia sobre amenazas es reactiva. Solo sabe sobre las amenazas detectadas.
  • Los nuevos sitios de malware y phishing se crean constantemente.
  • Cada capa detecta amenazas que otras podrían pasar por alto.

Paso siguiente

Configuración de la detección de aplicaciones

  • Last updated on