Microsoft Defender

  • Artículo

Microsoft Defender XDR

Microsoft Defender XDR es un conjunto de defensa empresarial unificado previo y posterior a la vulneración. Defender XDR coordina de forma nativa la detección, la prevención, la investigación y la respuesta entre puntos de conexión, identidades, correo electrónico y aplicaciones para proporcionar protección integrada contra ataques sofisticados.

FastTrack proporciona instrucciones remotas para:

  • Proporcionar información general de la Centro de seguridad de Microsoft 365.
    • Proporcionar información general sobre los incidentes entre productos, incluido el enfoque en lo que es fundamental al garantizar el ámbito completo de ataques, los recursos afectados y las acciones de corrección automatizadas agrupadas.
    • Demostración de cómo Microsoft Defender XDR puede orquestar la investigación de recursos, usuarios, dispositivos y buzones que se ven comprometidos a través de la recuperación automática automatizada.
    • Explicar y proporcionar ejemplos de cómo los clientes pueden buscar de forma proactiva los intentos de intrusiones y la actividad de vulneración que afectan al correo electrónico, los datos, los dispositivos y las cuentas en varios conjuntos de datos.
    • Mostrar a los clientes cómo pueden revisar y mejorar su posición de seguridad holísticamente mediante La puntuación segura de Microsoft.

Fuera de ámbito

  • Instrucciones de implementación o educación sobre:
    • Cómo corregir o interpretar los distintos tipos de alertas y actividades supervisadas.
    • Cómo investigar un usuario, equipo, ruta de desplazamiento lateral o entidad.
    • Búsqueda de amenazas personalizada.
  • Información de seguridad y administración de eventos (SIEM) o integración de API.

Guías de implementación avanzada de Microsoft

Microsoft proporciona a los clientes tecnología e instrucciones para ayudar a implementar los servicios de seguridad, Microsoft Viva y Microsoft 365. Animamos a nuestros clientes a iniciar su recorrido de implementación con estas ofertas.

Para administradores que no son de TI, consulte Instalación de Microsoft 365.

Microsoft Defender for Cloud Apps

Microsoft Defender for Cloud Apps es una solución de seguridad de software como servicio (SaaS) de uso múltiple. Combina la administración de la posición de seguridad de SaaS, la prevención de pérdida de datos, la protección de aplicación a aplicación y la protección contra amenazas integrada para garantizar la cobertura holística de las aplicaciones. Mediante la adopción de un enfoque de seguridad de SaaS, puede identificar fácilmente configuraciones incorrectas. Esto mejora la posición general de la aplicación, implementa directivas para proteger los datos confidenciales y protege los escenarios de aplicación a aplicación para garantizar que solo las aplicaciones tengan los permisos aceptables para acceder a otros datos de la aplicación. Cuando se integra de forma nativa en Microsoft Defender XDR, organizaciones como la suya se benefician de usar la señal de SaaS para buscar activamente en sus entornos y combatir incidentes en sus aplicaciones, dispositivos, identidades y correo electrónico.

FastTrack proporciona instrucciones remotas para:

  • Configuración del portal, que incluye:
    • Importación de grupos de usuarios.
    • Administración del acceso y la configuración del administrador.
    • Determinar el ámbito de la implementación para seleccionar determinados grupos de usuarios para supervisar o excluir de la supervisión.
    • Configuración de intervalos IP y etiquetas.
    • Personalización de la experiencia del usuario final con su logotipo y mensajería personalizada.
  • Integración de servicios de primera entidad, entre los que se incluyen:
    • Microsoft Defender para punto de conexión.
    • Microsoft Defender for Identity.
    • Protección de Microsoft Entra ID.
    • Microsoft Purview Information Protection.
  • Configuración de la detección de la nube mediante:
    • Microsoft Defender para puntos de conexión.
    • Zscaler.
    • iboss.
  • Creación de etiquetas y categorías de aplicaciones.
  • Personalización de las puntuaciones de riesgo de la aplicación en función de las prioridades de su organización.
  • Sancionar y anular la autorización de aplicaciones.
  • Revisar los paneles de Defender for Cloud Apps y Cloud Discovery.
  • Habilitación de la gobernanza de aplicaciones.
    • Guía al cliente a través de la página de información general y crea hasta cinco (5) directivas de gobernanza de aplicaciones.
  • Conexión de aplicaciones destacadas mediante conectores de aplicaciones.
  • Protección de aplicaciones con control de aplicaciones de acceso condicional en el acceso condicional en los portales de Microsoft Entra ID y Defender for Cloud Apps.
  • Implementación del control de aplicaciones de acceso condicional para aplicaciones destacadas.
  • Revisar las funcionalidades de Administración de posturas de seguridad de SaaS (SSPM) en recomendaciones de puntuación segura para las aplicaciones disponibles.
  • Uso de los registros de actividad y archivos.
  • Administración de aplicaciones de OAuth.
  • Revisar y configurar plantillas de directiva.
  • Proporcionar asistencia de configuración con los principales casos de uso de SaaS (incluida la creación o actualización de hasta seis (6) directivas).
  • Descripción de la correlación de incidentes en el portal de Microsoft Defender.

Fuera de ámbito

  • Discusiones que comparan Defender for Cloud Apps con otras ofertas de seguridad de Cloud Access Security Broker (CASB) o SaaS.
  • Configuración de Defender for Cloud Apps para cumplir requisitos normativos o de cumplimiento específicos.
  • Implementación del servicio en un entorno de prueba que no sea de producción.
  • Implementación de Cloud App Discovery como prueba de concepto.
  • Configuración de la infraestructura, instalación o implementación de cargas de registros automáticas para informes continuos mediante Docker o un recopilador de registros.
  • Creación de un informe de instantáneas de Cloud Discovery.
  • Bloquear el uso de aplicaciones mediante scripts de bloque.
  • Agregar aplicaciones personalizadas a Cloud Discovery.
  • Conexión de aplicaciones personalizadas con el control de aplicaciones de acceso condicional.
  • Incorporación e implementación del control de aplicaciones de acceso condicional para cualquier aplicación.
  • Integración con proveedores de identidades (IDP) de terceros y proveedores de prevención de pérdida de datos (DLP).
  • Aprendizaje o instrucciones sobre la búsqueda avanzada.
  • Investigación y corrección automatizadas, incluidos los cuadernos de estrategias de Microsoft Power Automate.
  • Integración de SIEM o API (incluido Microsoft Sentinel).

Guías de implementación avanzada de Microsoft

Microsoft proporciona a los clientes tecnología e instrucciones para ayudar a implementar los servicios de seguridad, Microsoft Viva y Microsoft 365. Animamos a nuestros clientes a iniciar su recorrido de implementación con estas ofertas.

Para administradores que no son de TI, consulte Instalación de Microsoft 365.

Microsoft Defender para punto de conexión

Microsoft Defender para punto de conexión es una plataforma diseñada para ayudar a las redes empresariales a prevenir, detectar, investigar y responder a amenazas avanzadas.

FastTrack proporciona instrucciones remotas para:

  • Evaluar la versión del sistema operativo y el enfoque de administración de dispositivos (incluidos Microsoft Intune, Configuration Manager de punto de conexión de Microsoft, directiva de grupo y configuraciones de terceros), así como el estado de los servicios de antivirus de Windows Defender u otro software de seguridad de puntos de conexión.
  • Incorporación de Microsoft Defender para punto de conexión P1 y P2 mediante:
    • Script local.
    • directiva de grupo.
    • Intune.
    • Configuration Manager.
    • Administración de la configuración de seguridad de Defender para punto de conexión.
  • Proporcionar instrucciones de configuración recomendadas para que el tráfico de Microsoft viaje a través de servidores proxy y firewalls, lo que restringe el tráfico de red para los dispositivos que no pueden conectarse directamente a Internet.
  • Habilitar el servicio Defender para punto de conexión explicando cómo implementar un perfil de agente de detección y respuesta de punto de conexión (EDR) mediante uno de los métodos de administración admitidos.
  • Guía de implementación, asistencia de configuración y educación sobre:
    • Características principales de administración de vulnerabilidades.
    • Reducción de la superficie expuesta a ataques. 1
    • Protección de nueva generación.
    • Detección y respuesta de puntos de conexión.
    • Investigación y corrección automatizadas.
    • Puntuación segura para dispositivos.
    • Microsoft Defender configuración de SmartScreen mediante Intune.
    • Detección de dispositivos. 2
  • Revisar simulaciones y tutoriales (como escenarios de práctica, malware falso e investigaciones automatizadas).
  • Información general sobre las características de informes y análisis de amenazas.
  • Integración de Microsoft Defender para Office 365, Microsoft Defender for Identity y Defender for Cloud Apps con Defender para punto de conexión.
  • Realice tutoriales del portal de Microsoft Defender.
  • Incorporación y configuración de los siguientes sistemas operativos:
    • Windows 10/11, incluidos los equipos en la nube de Windows 365.
    • Windows Server 2012 R2. 3
    • Windows Server 2016. 3
    • Windows Server 2019. 3
    • Windows Server 2022. 3
    • Windows Server 2019 Core Edition. 3
    • Versiones compatibles de macOS.
    • Android. 4
    • Ios. 4

1 Solo se admiten las reglas de reducción de superficie expuesta a ataques, el acceso controlado a carpetas y la protección de red. Todas las demás funcionalidades de reducción de superficie expuesta a ataques no están en el ámbito. Para obtener más información, consulte la siguiente sección Fuera del ámbito .

2 Solo se admiten algunos aspectos de la detección de dispositivos. Para obtener más información, consulte la siguiente sección Fuera del ámbito .

3 Windows Server 2012 compatibilidad con R2 y 2016 se limita a la incorporación y configuración del agente unificado. Los servidores deben administrarse mediante una versión compatible de Configuration Manager.

4 Para obtener más información, consulte la siguiente sección Fuera del ámbito para obtener detalles sobre la defensa contra amenazas móviles.

Fuera de ámbito

  • Guía de incorporación y habilitación para las características en versión preliminar.
  • Solución de problemas detectados durante la interacción (incluidos los dispositivos que no se pueden incorporar).
  • Compatibilidad con Microsoft Defender para Empresas.
  • Incorporación o configuración para los siguientes agentes de Defender para punto de conexión:
    • Windows Server 2008.
    • Linux.
    • Infraestructura de escritorio virtual (VDI) (persistente o no persistente), incluidas las soluciones de Azure Virtual Desktop y VDI de terceros.
  • Incorporación y configuración del servidor:
    • Configuración de un servidor proxy para las comunicaciones sin conexión.
    • Configuración de paquetes de implementación de Configuration Manager en versiones y instancias de Configuration Manager de nivel inferior.
    • Servidores no administrados por Configuration Manager.
    • Integración de Defender para punto de conexión con Microsoft Defender para servidores (Microsoft Defender for Cloud).
  • Incorporación y configuración de macOS:
    • Implementación basada en JAMF.
    • Otra implementación basada en productos de administración de dispositivos móviles (MDM).
    • Implementación manual.
  • Incorporación y configuración de Mobile Threat Defense (Android e iOS):
    • No administrado traiga sus propios dispositivos (BYOD) o dispositivos administrados por otros sistemas de administración de movilidad empresarial.
    • Configure directivas de protección de aplicaciones (como administración de aplicaciones móviles (MAM)..
    • Dispositivos Android inscritos por el administrador.
    • Asistencia con la coexistencia de varios perfiles de VPN.
    • Incorporación de dispositivos a Intune. Para obtener más información sobre la ayuda de incorporación, consulte Microsoft Intune.
  • Configuración de las siguientes funcionalidades de reducción de la superficie de ataque:
    • Aislamiento de aplicación y explorador basado en hardware (incluidos los Protección de aplicaciones).
    • Control de aplicaciones, incluidos AppLocker y Windows Defender Control de aplicaciones.
    • Control de dispositivo.
    • Protección contra vulnerabilidades de seguridad.
    • Firewalls de red y punto de conexión.
  • Configuración o administración de características de protección de cuentas como:
    • Credential Guard.
    • Pertenencia a grupos de usuarios locales.
  • Configuración o administración de BitLocker.

Nota:

Para obtener información sobre la ayuda de BitLocker con Windows 11, consulte Windows 11.

  • Configuración o administración de la detección de dispositivos de red.
  • Configuración o administración de las siguientes funcionalidades de detección de dispositivos:
    • Incorporación de dispositivos no administrados que no están en el ámbito de FastTrack (como Linux).
    • Configuración o corrección de dispositivos de Internet de las cosas (IoT), incluidas las evaluaciones de vulnerabilidades de los dispositivos IoT a través de Defender para IoT.
    • Integración con herramientas de terceros.
    • Exclusiones para la detección de dispositivos.
    • Asistencia de red preliminar.
    • Solución de problemas de red.
  • Simulaciones de ataque (incluidas las pruebas de penetración).
  • Inscripción o configuración de Expertos en amenazas de Microsoft.
  • Guía de configuración o entrenamiento para las conexiones API o SIEM.
  • Aprendizaje o instrucciones sobre la búsqueda avanzada.
  • Entrenamiento o orientación sobre el uso o la creación de consultas de Kusto.
  • Entrenamiento o instrucciones sobre la configuración de SmartScreen de Defender mediante objetos de directiva de grupo (GPO), Seguridad de Windows o Microsoft Edge.
  • Complemento de administración de vulnerabilidades de Defender.
  • Administración de vulnerabilidades de Defender independiente.

Póngase en contacto con un partner de Microsoft para obtener ayuda con estos servicios.

Guías de implementación avanzada de Microsoft

Microsoft proporciona a los clientes tecnología e instrucciones para ayudar a implementar los servicios de seguridad, Microsoft Viva y Microsoft 365. Animamos a nuestros clientes a iniciar su recorrido de implementación con estas ofertas.

Para administradores que no son de TI, consulte Instalación de Microsoft 365.

Microsoft Defender for Identity

Microsoft Defender for Identity es una solución de seguridad basada en la nube. Aprovecha las señales de Active Directory locales para identificar, detectar e investigar amenazas avanzadas, identidades comprometidas y acciones internas maliciosas dirigidas a su organización

FastTrack proporciona instrucciones remotas para:

  • Ejecución de la herramienta de ajuste de tamaño para el planeamiento de la capacidad de recursos.
  • Creación de la instancia de Defender for Identity.
  • Configuración de la recopilación de eventos de Windows en Servicios de dominio de Active Directory (AD DS), Servicios de federación de Active Directory (AD FS) (AD FS) y Servicios de certificados de Active Directory (AD CS).
  • Administración del acceso de administrador con grupos de roles.
  • Descarga, implementación y configuración del sensor en los controladores de dominio de Active Directory para entornos de bosque único y varios.
  • Descarga, implementación y configuración del sensor en los servidores de AD FS.
  • Configuración del portal, que incluye:
    • Etiquetado de cuentas, dispositivos o grupos confidenciales.
    • Email notificaciones de problemas de mantenimiento y alertas de seguridad.
    • Exclusiones de alertas.
    • Informes programados.
  • Proporcionar instrucciones de implementación, asistencia de configuración y educación sobre:
    • Informes de evaluación de la posición de seguridad de identidad dentro de La puntuación segura de Microsoft.
    • Puntuación de prioridad de investigación de usuarios e informes de clasificación de investigación de usuarios.
    • Informes de usuarios inactivos.
    • Opciones de corrección en una cuenta en peligro.
  • Facilitar la migración de Advanced Threat Analytics (ATA) a Defender for Identity (si procede).

Fuera de ámbito

  • Implementación de Defender for Identity como prueba de concepto.
  • Implementar o realizar las siguientes actividades de sensor de Defender for Identity:
    • Planeamiento manual de la capacidad.
    • Implementación del sensor independiente.
    • Implementación del sensor mediante un adaptador de formación de equipos de tarjeta de interfaz de red (NIC).
    • Implementación del sensor a través de una herramienta de terceros.
    • Conexión al servicio en la nube de Defender for Identity a través de una conexión de proxy web.
  • Crear y configurar cuentas de servicio de directorio o administrar cuentas de acción en Active Directory, incluidas las cuentas de servicio administradas por grupo (gMSA).
  • Crear y configurar permisos para la base de datos de AD FS.
  • Creación y administración de dispositivos o cuentas de honeytokens.
  • Habilitación de la resolución de nombres de red (NNR).
  • Habilitación y configuración del contenedor Objetos eliminados.
  • Instrucciones de implementación o educación sobre:
    • Corrección o interpretación de varios tipos de alertas y actividades supervisadas.
    • Investigar un usuario, equipo, ruta de desplazamiento lateral o entidad.
    • Amenaza o búsqueda avanzada.
    • Respuesta a incidentes.
  • Proporcionar un tutorial de laboratorio de alertas de seguridad para Defender for Identity.
  • Proporcionar una notificación cuando Defender for Identity detecta actividades sospechosas mediante el envío de alertas de seguridad al servidor syslog a través de un sensor designado.
  • Configuración de Defender for Identity para realizar consultas mediante el protocolo remoto de administrador de cuentas de seguridad (SAMR) para identificar administradores locales en máquinas específicas.
  • Configuración de soluciones VPN para agregar información desde la conexión VPN a la página de perfil de un usuario.
  • Integración de SIEM o API (incluido Microsoft Sentinel).

Expectativas del entorno de origen

  • Alineado con los requisitos previos de Defender for Identity.
  • Se implementaron Active Directory, AD FS y AD CS.
  • Los controladores de dominio de Active Directory en los que va a instalar los sensores de Defender for Identity tienen conectividad a Internet con el servicio en la nube de Defender for Identity.
    • El firewall y el proxy deben estar abiertos para comunicarse con el servicio en la nube de Defender for Identity (*.atp.azure.com puerto 443 debe estar abierto).
  • Controladores de dominio que se ejecutan en uno de los siguientes servidores:
    • Windows Server 2016.
    • Windows Server 2019 con KB4487044 (compilación del sistema operativo 17763.316 o posterior).
    • Windows Server 2022.
  • Microsoft .NET Framework 4.7 o posterior.
  • Se requiere un mínimo de seis (6) GB de espacio en disco y se recomiendan 10 GB.
  • Dos (2) núcleos y seis (6) GB de RAM instalados en el controlador de dominio.

Guías de implementación avanzada de Microsoft

Microsoft proporciona a los clientes tecnología e instrucciones para ayudar a implementar los servicios de seguridad, Microsoft Viva y Microsoft 365. Animamos a nuestros clientes a iniciar su recorrido de implementación con estas ofertas.

Para administradores que no son de TI, consulte Instalación de Microsoft 365.

Microsoft Defender para Office 365

Microsoft Defender para Office 365 protege a su organización frente a amenazas malintencionadas planteadas por mensajes de correo electrónico, vínculos (DIRECCIONES URL), datos adjuntos y herramientas de colaboración como Microsoft Teams, SharePoint y Outlook. Con vistas en tiempo real de amenazas y herramientas como el Explorador de amenazas, puede buscar y mantenerse por delante de posibles amenazas. Use el entrenamiento de simulación de ataques para ejecutar escenarios de ataque realistas en su organización. Estos ataques simulados pueden ayudarle a identificar y encontrar usuarios vulnerables antes de que un ataque real afecte a sus resultados.

FastTrack proporciona instrucciones remotas para:

  • Revisar el analizador de configuración o Defender para Office 365 Analizador de configuración recomendado (ORCA).
  • Configuración del modo de evaluación.
  • Habilitación de directivas preestablecidas, vínculos seguros (incluidos documentos seguros), datos adjuntos seguros, antimalware, anti phishing, antispam, antispam, suplantación y directivas de cuarentena.
  • Habilitación de la protección de Teams.
  • Configuración de los mensajes notificados por el usuario.
  • Uso del simulador de ataques y configuración de una directiva de entrega avanzada
  • Introducción a los envíos de lista de permitidos o bloqueados de inquilinos (TABL), página de entidad de correo electrónico, informes, campañas, explorador de amenazas y análisis de amenazas.
  • Introducción a la automatización y la investigación y respuesta de purga automática (ZAP) de cero horas (AIR).
  • Descripción de la correlación de incidentes en el portal de Microsoft Defender.
  • La transición desde un proveedor de terceros siguiendo las instrucciones de procedimientos recomendados de Microsoft, excepto para crear un inventario de la configuración actual, mover características que modifican mensajes a Microsoft 365 y configurar el filtrado mejorado para conectores.

Fuera de ámbito

  • Discusiones que comparan Defender para Office 365 con otras ofertas de seguridad.
  • Implementación de Defender para Office 365 como prueba de concepto.
  • Análisis de flujo de correo.
  • Filtrado mejorado.
  • Aprendizaje o instrucciones sobre la búsqueda avanzada.
  • Integración con cuadernos de estrategias de Microsoft Power Automate.
  • Integración de SIEM o API (incluido Microsoft Sentinel).

Expectativas del entorno de origen

Además de la incorporación de núcleos de FastTrack, también se deben configurar Exchange Online.

Guías de implementación avanzada de Microsoft

Microsoft proporciona a los clientes tecnología e instrucciones para ayudar a implementar los servicios de seguridad, Microsoft Viva y Microsoft 365. Animamos a nuestros clientes a iniciar su recorrido de implementación con estas ofertas.

Para administradores que no son de TI, consulte Instalación de Microsoft 365.