Evaluación y prueba piloto Microsoft Defender XDR seguridad

Se aplica a:

  • Microsoft Defender XDR

Funcionamiento de esta serie de artículos

Esta serie está diseñada para recorrer todo el proceso de configuración de un entorno XDR de prueba, de un extremo a otro, para que pueda evaluar las características y funcionalidades de Microsoft Defender XDR e incluso promover el entorno de evaluación directamente a producción cuando esté listo.

Si no está familiarizado con la seguridad de XDR, puede examinar los 7 artículos vinculados de esta serie para hacerse una idea de lo completa que es la solución.

¿Qué es XDR y Microsoft Defender XDR?

La seguridad de XDR es un paso adelante en la ciberseguridad, ya que toma los datos de amenazas de los sistemas que se aislaron una vez y los unifica para que pueda ver patrones y actuar sobre ellos más rápido.

Por ejemplo, Microsoft XDR unifica el punto de conexión (detección y respuesta de puntos de conexión o EDR), el correo electrónico, la aplicación y la seguridad de identidad en un solo lugar.

Microsoft Defender XDR es una solución de detección y respuesta (XDR) eXtended que recopila, correlaciona y analiza automáticamente datos de señal, amenaza y alerta de todo el entorno de Microsoft 365, incluidos los puntos de conexión, el correo electrónico, las aplicaciones y las identidades. Aprovecha la inteligencia artificial (IA) y la automatización para detener automáticamente los ataques y corregir los recursos afectados a un estado seguro.

Recomendaciones de Microsoft para evaluar la seguridad Microsoft Defender XDR

Microsoft recomienda crear la evaluación en una suscripción de producción existente de Office 365. De este modo, obtendrá información del mundo real inmediatamente y podrá ajustar la configuración para que funcione frente a las amenazas actuales en su entorno. Una vez que haya adquirido experiencia y esté cómodo con la plataforma, simplemente promueva cada componente, de uno en uno, a producción.

La anatomía de un ataque de ciberseguridad

Microsoft Defender XDR es un conjunto de defensa empresarial basado en la nube, unificado, previo y posterior a la vulneración. Coordina la prevención, la detección, la investigación y la respuesta entre puntos de conexión, identidades, aplicaciones, correo electrónico, aplicaciones de colaboración y todos sus datos.

En esta ilustración se está realizando un ataque. El correo electrónico de suplantación de identidad llega a la Bandeja de entrada de un empleado de su organización, que abre sin saberlo los datos adjuntos del correo electrónico. Esto instala malware, lo que conduce a una cadena de eventos que podrían terminar con el robo de datos confidenciales. Pero en este caso, Defender para Office 365 está en funcionamiento.

Los distintos intentos de ataque

En la ilustración:

  • Exchange Online Protection, parte de Microsoft Defender para Office 365, puede detectar el correo electrónico de suplantación de identidad y usar reglas de flujo de correo (también conocidas como reglas de transporte) para asegurarse de que nunca llega a la Bandeja de entrada.
  • Defender para Office 365 usa Datos adjuntos seguros para probar los datos adjuntos y determinar que son dañinos, por lo que el correo que llega no es accionable por el usuario o las directivas impiden que llegue el correo.
  • Defender para punto de conexión administra los dispositivos que se conectan a la red corporativa y detectan vulnerabilidades de dispositivo y red que, de lo contrario, podrían aprovecharse.
  • Defender for Identity toma nota de cambios repentinos en la cuenta, como la elevación de privilegios o el movimiento lateral de alto riesgo. También informa sobre problemas de identidad fácilmente explotados, como la delegación de Kerberos sin restricciones, para que el equipo de seguridad lo corrija.
  • Microsoft Defender for Cloud Apps observa un comportamiento anómalo, como viajes imposibles, acceso a credenciales y descarga inusual, recurso compartido de archivos o actividad de reenvío de correo, y los informa al equipo de seguridad.

Microsoft Defender XDR componentes protegen dispositivos, identidades, datos y aplicaciones

Microsoft Defender XDR se compone de estas tecnologías de seguridad, que funcionan en tándem. No necesita todos estos componentes para beneficiarse de las funcionalidades de XDR y Microsoft Defender XDR. Obtendrá ganancias y eficiencias mediante el uso de uno o dos también.

Componente Descripción Material de referencia
Microsoft Defender for Identity Microsoft Defender for Identity usa señales de Active Directory para identificar, detectar e investigar amenazas avanzadas, identidades en peligro y acciones internas malintencionadas dirigidas a su organización. ¿Qué es Microsoft Defender for Identity?
Exchange Online Protection Exchange Online Protection es el servicio de filtrado y retransmisión SMTP nativo basado en la nube que ayuda a proteger su organización contra el correo no deseado y el malware. Introducción a Exchange Online Protection (EOP): Office 365
Microsoft Defender para Office 365 Microsoft Defender para Office 365 protege a su organización frente a amenazas malintencionadas planteadas por mensajes de correo electrónico, vínculos (DIRECCIONES URL) y herramientas de colaboración. Microsoft Defender para Office 365: Office 365
Microsoft Defender para punto de conexión Microsoft Defender para punto de conexión es una plataforma unificada para la protección de dispositivos, la detección posterior a la vulneración, la investigación automatizada y la respuesta recomendada. Microsoft Defender para punto de conexión: seguridad de Windows
Microsoft Defender for Cloud Apps Microsoft Defender for Cloud Apps es una solución completa entre SaaS que ofrece visibilidad profunda, controles de datos seguros y protección contra amenazas mejorada para las aplicaciones en la nube. ¿Qué es Defender for Cloud Apps?
Protección de Microsoft Entra ID Protección de Microsoft Entra ID evalúa los datos de riesgo de miles de millones de intentos de inicio de sesión y usa estos datos para evaluar el riesgo de cada inicio de sesión en su entorno. Estos datos los usa Microsoft Entra ID para permitir o impedir el acceso a la cuenta, en función de cómo se configuren las directivas de acceso condicional. Protección de Microsoft Entra ID se licencia por separado de Microsoft Defender XDR. Se incluye con Microsoft Entra ID P2. ¿Qué es Identity Protection?

arquitectura de Microsoft Defender XDR

En el diagrama siguiente se muestra la arquitectura de alto nivel para componentes clave Microsoft Defender XDR e integraciones. A lo largo de esta serie de artículos se proporciona una arquitectura detallada para cada componente de Defender y escenarios de casos de uso.

Una arquitectura de alto nivel del portal de Microsoft Defender

En esta ilustración:

  • Microsoft Defender XDR combina las señales de todos los componentes de Defender para proporcionar una detección y respuesta extendidas (XDR) entre dominios. Esto incluye una cola de incidentes unificada, respuesta automatizada para detener ataques, recuperación automática (para dispositivos en peligro, identidades de usuario y buzones), búsqueda entre amenazas y análisis de amenazas.
  • Microsoft Defender para Office 365 protege su organización contra las amenazas malintencionadas ocultas en mensajes de correo electrónico, vínculos (direcciones URL) y herramientas de colaboración. Comparte señales resultantes de estas actividades con Microsoft Defender XDR. Exchange Online Protection (EOP) se integra para proporcionar protección de un extremo a otro para el correo electrónico entrante y los datos adjuntos.
  • Microsoft Defender for Identity recopila señales de servidores que ejecutan Servicios federados de Active Directory (AD FS) y Active Directory local Servicios de dominio (AD DS). Usa estas señales para proteger el entorno de identidad híbrida, incluida la protección contra los hackers que usan cuentas en peligro para moverse lateralmente entre estaciones de trabajo en el entorno local.
  • Microsoft Defender para punto de conexión recopila señales de y protege los dispositivos utilizados por su organización.
  • Microsoft Defender for Cloud Apps recopila señales del uso que hace su organización de las aplicaciones en la nube y protege los datos que fluyen entre su entorno y estas aplicaciones, incluidas las aplicaciones en la nube autorizadas y no autorizadas.
  • Protección de Microsoft Entra ID evalúa los datos de riesgo de miles de millones de intentos de inicio de sesión y usa estos datos para evaluar el riesgo de cada inicio de sesión en su entorno. Estos datos los usa Microsoft Entra ID para permitir o impedir el acceso a la cuenta, en función de cómo se configuren las directivas de acceso condicional. Protección de Microsoft Entra ID se licencia por separado de Microsoft Defender XDR. Se incluye con Microsoft Entra ID P2.

Microsoft SIEM y SOAR pueden usar datos de Microsoft Defender XDR

Componentes de arquitectura opcionales adicionales no incluidos en esta ilustración:

  • Los datos detallados de señales de todos los componentes de Microsoft Defender XDR se pueden integrar en Microsoft Sentinel y combinarse con otros orígenes de registro para ofrecer funcionalidades e información completas de SIEM y SOAR.
  • Para obtener más información sobre el uso de Microsoft Sentinel, un SIEM de Azure, con Microsoft Defender XDR como XDR, eche un vistazo a este artículo de información general y a los pasos de integración de Microsoft Sentinel y Microsoft Defender XDR.
  • Para obtener más información sobre SOAR en Microsoft Sentinel (incluidos los vínculos a cuadernos de estrategias en el repositorio de GitHub de Microsoft Sentinel), lea este artículo.

Proceso de evaluación de Microsoft Defender XDR ciberseguridad

Microsoft recomienda habilitar los componentes de Microsoft 365 en el orden que se muestra:

Un proceso de evaluación de alto nivel en el portal de Microsoft Defender

En la tabla siguiente se describe esta ilustración.

Número de serie Paso Descripción
1 Creación del entorno de evaluación Este paso garantiza que tiene la licencia de prueba para Microsoft Defender XDR.
2 Habilitación de Defender for Identity Revise los requisitos de arquitectura, habilite la evaluación y recorra tutoriales para identificar y corregir diferentes tipos de ataque.
3 Habilitar Defender para Office 365 Asegúrese de cumplir los requisitos de arquitectura, habilite la evaluación y, a continuación, cree el entorno piloto. Este componente incluye Exchange Online Protection y, por lo tanto, evaluará ambos aquí.
4 Habilitación de Defender para punto de conexión Asegúrese de cumplir los requisitos de arquitectura, habilite la evaluación y, a continuación, cree el entorno piloto.
5 Habilitar Microsoft Defender for Cloud Apps Asegúrese de cumplir los requisitos de arquitectura, habilite la evaluación y, a continuación, cree el entorno piloto.
6 Investigar y responder a amenazas Simular un ataque y empezar a usar funcionalidades de respuesta a incidentes.
7 Promover la versión de prueba a producción Promover los componentes de Microsoft 365 a producción uno a uno.

Este orden suele recomendarse y diseñarse para aprovechar el valor de las funcionalidades rápidamente en función de cuánto esfuerzo se requiere normalmente para implementar y configurar las funcionalidades. Por ejemplo, Defender para Office 365 se pueden configurar en menos tiempo del necesario para inscribir dispositivos en Defender para punto de conexión. Por supuesto, debe priorizar los componentes para satisfacer sus necesidades empresariales y puede habilitarlos en un orden diferente.

Vaya al paso siguiente.

Obtenga información sobre y/o cree el entorno de evaluación de Microsoft Defender XDR

Sugerencia

¿Desea obtener más información? Engage con la comunidad de seguridad de Microsoft en nuestra comunidad tecnológica: Microsoft Defender XDR Tech Community.