Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
La infraestructura comprende el hardware, el software, los microservicios, la infraestructura de red y las instalaciones necesarias para admitir servicios de TI para una organización. Las soluciones de infraestructura de confianza cero evalúan, supervisan y evitan amenazas de seguridad para estos servicios.
Las soluciones de infraestructura de confianza cero admiten los principios de Confianza cero al asegurarse de que el acceso a los recursos de infraestructura se comprueba explícitamente, el acceso se concede mediante principios de acceso con privilegios mínimos y se aplican mecanismos que asumen vulneración y buscan y corrigen amenazas de seguridad en la infraestructura.
Esta guía es para proveedores de software y asociados tecnológicos que desean mejorar sus soluciones de seguridad de infraestructura mediante la integración con productos de Microsoft.
Integración de Confianza cero para la guía de infraestructura
Esta guía de integración incluye estrategias e instrucciones para la integración con Microsoft Defender for Cloud y sus planes integrados de protección de cargas de trabajo en la nube, Microsoft Defender para ... (servidores, contenedores, bases de datos, almacenamiento, App Services, etc.).
Las instrucciones incluyen integraciones con las soluciones de administración de eventos e información de seguridad (SIEM), respuesta automatizada de orquestación de seguridad (SOAR), detección y respuesta de puntos de conexión (EDR) y administración de servicios de TI (ITSM).
Confianza cero y Defender for Cloud
Nuestra guía de implementación de infraestructura de Confianza cero proporciona fases clave de la estrategia de confianza cero para la infraestructura:
- Evaluación del cumplimiento de las normas y directivas elegidas
- Protección de la configuración siempre que se encuentren lagunas
- Uso de otras herramientas de protección, como el acceso a máquinas virtuales Just-In-Time (JIT)
- Configuración de la detección y las protecciones de amenazas
- Bloquear y marcar automáticamente el comportamiento de riesgo y realizar acciones de protección
Hay una asignación clara de los objetivos descritos en la guía de implementación de infraestructura a los aspectos básicos de Defender for Cloud.
| Objetivo de confianza cero | Característica de Defender for Cloud |
|---|---|
| Evaluación del cumplimiento | En Defender for Cloud, cada suscripción tiene automáticamente asignada la prueba comparativa de seguridad en la nube (MCSB) de Microsoft como iniciativa de seguridad predeterminada. Con las herramientas de puntuación segura y el panel de cumplimiento normativo , puede comprender en profundidad la posición de seguridad de su cliente. |
| Protección de la configuración | Asigne iniciativas de seguridad a las suscripciones y revise la puntuación segura para ayudarle a las recomendaciones de protección integradas en Defender for Cloud. Defender for Cloud analiza periódicamente el estado de cumplimiento de los recursos para identificar posibles errores de configuración y debilidades de seguridad. A continuación, proporciona recomendaciones sobre cómo corregir esos problemas. |
| Empleo de mecanismos de protección | Además, las correcciones de un solo uso en las configuraciones incorrectas de seguridad, Defender for Cloud incluye características para proteger aún más los recursos, como: Acceso a máquinas virtuales Just-In-Time (JIT) Protección de red adaptable Controles de aplicación adaptables. |
| Configuración de la detección de amenazas | Defender for Cloud ofrece planes integrados de protección de cargas de trabajo en la nube para la detección y respuesta de amenazas. Los planes proporcionan recursos y cargas de trabajo avanzados, inteligentes, inteligentes, de Azure, híbridos y multinube. Uno de los planes de Microsoft Defender, Defender para servidores, incluye una integración nativa con Microsoft Defender para punto de conexión. Obtenga más información en Introducción a Microsoft Defender for Cloud. |
| Bloquear automáticamente el comportamiento sospechoso | Muchas de las recomendaciones de protección de Defender for Cloud ofrecen una opción de denegación . Esta característica permite evitar la creación de recursos que no cumplen los criterios de protección definidos. Obtenga más información en Prevención de configuraciones incorrectas con recomendaciones de aplicación y denegación. |
| Marcar automáticamente el comportamiento sospechoso | Las detecciones avanzadas desencadenan alertas de seguridad de Microsoft Defender for Cloud. Defender for Cloud prioriza y enumera las alertas, junto con la información necesaria para investigar rápidamente el problema. Defender for Cloud también proporciona pasos detallados para ayudarle a corregir los ataques. Para obtener una lista completa de las alertas disponibles, consulte Alertas de seguridad: una guía de referencia. |
Protección de los servicios PaaS de Azure con Defender for Cloud
Con Defender for Cloud habilitado en la suscripción y los planes de protección de cargas de trabajo de Defender habilitados para todos los tipos de recursos disponibles, tiene una capa de protección contra amenazas inteligente, protección de recursos en Azure Key Vault, Azure Storage, Azure DNS y otros servicios PaaS de Azure. Para obtener una lista completa, consulte los servicios paaS enumerados en la matriz de soporte técnico.
Azure Logic Apps
Use Azure Logic Apps para crear flujos de trabajo escalables automatizados, procesos empresariales y orquestaciones empresariales para integrar sus aplicaciones y datos en servicios en la nube y sistemas locales.
La característica de automatización de flujos de trabajo de Defender for Cloud permite automatizar las respuestas a los desencadenadores de Defender for Cloud.
Este enfoque es una excelente manera de definir y responder de forma automatizada y coherente cuando se detectan amenazas. Por ejemplo, para notificar a las partes interesadas pertinentes, iniciar un proceso de administración de cambios y aplicar pasos de corrección específicos cuando se detecta una amenaza.
Integración de Defender for Cloud con sus soluciones SIEM, SOAR y ITSM
Microsoft Defender for Cloud puede transmitir las alertas de seguridad a las soluciones de administración de eventos e información de seguridad (SIEM), respuesta automatizada de orquestación de seguridad (SOAR) y administración de servicios de TI (ITSM).
Hay herramientas nativas de Azure para asegurarse de que puede ver los datos de alerta en todas las soluciones más populares que se usan hoy en día, entre las que se incluyen:
- Microsoft Sentinel
- Splunk Enterprise y Splunk Cloud
- QRadar de IBM
- ServiceNow
- ArcSight
- Power BI
- Palo Alto Networks
Microsoft Sentinel
Defender for Cloud se integra de forma nativa con Microsoft Sentinel, la solución nativa de nube de Microsoft, administración de eventos de información de seguridad (SIEM) y respuesta automatizada de orquestación de seguridad (SOAR).
Hay dos enfoques para garantizar que los datos de Defender for Cloud se representen en Microsoft Sentinel:
Conectores de Sentinel : Microsoft Sentinel incluye conectores integrados para Microsoft Defender for Cloud en los niveles de suscripción e inquilino:
- Transmisión de alertas a Microsoft Sentinel en el nivel de suscripción
- Conexión de todas las suscripciones del inquilino a Microsoft Sentinel
Sugerencia
Obtenga más información en Conexión de alertas de seguridad de Microsoft Defender for Cloud.
Transmisión de los registros de auditoría : una manera alternativa de investigar las alertas de Defender for Cloud en Microsoft Sentinel es transmitir los registros de auditoría a Microsoft Sentinel:
Transmisión de alertas con Microsoft Graph Security API
Defender for Cloud tiene integración integrada con Microsoft Graph Security API. No se requiere ninguna configuración y no hay ningún costo adicional.
Puede usar esta API para transmitir alertas desde todo el inquilino (y datos de muchos otros productos de Seguridad de Microsoft) a SIEM que no son de Microsoft y otras plataformas populares:
- Splunk Enterprise y Splunk Cloud - Uso de microsoft Graph Security API Add-On para Splunk
- Power BI - Conexión a Microsoft Graph Security API en Power BI Desktop
- ServiceNow - Siga las instrucciones para instalar y configurar la aplicación microsoft Graph Security API desde el almacén de ServiceNow.
- QRadar - Módulo de soporte técnico de dispositivos de IBM para Microsoft Defender for Cloud a través de Microsoft Graph API
- Palo Alto Networks, Anomali, Lookout, InSpark, etc. - Microsoft Graph Security API
Obtenga más información sobre Microsoft Graph Security API.
Transmisión de alertas con Azure Monitor
Use la característica de exportación continua de Defender for Cloud para conectar Defender for Cloud con Azure Monitor a través de Azure Event Hubs y transmitir alertas a ArcSight, SumoLogic, servidores Syslog, LogRhythm, Logz.io Cloud Observability Platform y otras soluciones de supervisión.
Obtenga más información en Stream alerts with Azure Monitor (Transmisión de alertas con Azure Monitor).
También puede realizar esta operación en el nivel de grupo de administración mediante Azure Policy. Consulte Creación de configuraciones de automatización de exportación continua a escala.
Sugerencia
Para ver los esquemas de eventos de los tipos de datos exportados, visite los esquemas de eventos de Event Hubs.
Integración de Defender for Cloud con una solución de detección y respuesta de puntos de conexión (EDR)
Microsoft Defender para punto de conexión
Microsoft Defender para punto de conexión es una solución holística de seguridad de puntos de conexión entregados en la nube.
Microsoft Defender para servidores incluye una licencia integrada para Microsoft Defender para punto de conexión. Juntos, proporcionan funcionalidades completas de detección y respuesta de puntos de conexión (EDR). Para obtener más información, consulte Protección de los puntos de conexión.
Cuando Defender para punto de conexión detecta una amenaza, desencadena una alerta. La alerta se muestra en Defender for Cloud y puede dinamizar en la consola de Defender para punto de conexión para realizar una investigación detallada y descubrir el ámbito del ataque. Obtenga más información sobre Microsoft Defender para punto de conexión.
Otras soluciones de EDR
Defender for Cloud proporciona recomendaciones de protección para asegurarse de que protege los recursos de su organización según las instrucciones de Microsoft Cloud Security Benchmark (MCSB). Uno de los controles de la prueba comparativa se relaciona con la seguridad del punto de conexión: ES-1: Usar detección y respuesta de puntos de conexión (EDR).
Hay dos recomendaciones en Defender for Cloud para asegurarse de que ha habilitado Endpoint Protection y que se está ejecutando bien. Estas recomendaciones comprueban la presencia y el estado operativo de las soluciones EDR de:
- Trend Micro
- Symantec
- Mcafee
- Sophos
Obtenga más información en Evaluación y recomendaciones de Endpoint Protection en Microsoft Defender for Cloud.
Aplicación de la estrategia de confianza cero a escenarios híbridos y multinube
Con las cargas de trabajo en la nube que suelen abarcar varias plataformas en la nube, los servicios de seguridad en la nube deben hacer lo mismo.
Microsoft Defender for Cloud protege las cargas de trabajo dondequiera que se ejecuten: en Azure, local, Amazon Web Services (AWS) o Google Cloud Platform (GCP).
Integración de Defender for Cloud con máquinas locales
Para proteger las cargas de trabajo de nube híbrida, puede ampliar las protecciones de Defender for Cloud mediante la conexión de máquinas locales a servidores habilitados para Azure Arc.
Obtenga información sobre cómo conectar máquinas en Conexión de máquinas que no son de Azure a Defender for Cloud.
Integración de Defender for Cloud con otros entornos en la nube
Para ver la posición de seguridad de las máquinas de Amazon Web Services en Defender for Cloud, incorpore cuentas de AWS a Defender for Cloud. Este enfoque integra AWS Security Hub y Microsoft Defender for Cloud para obtener una vista unificada de las recomendaciones de Defender for Cloud y los resultados de AWS Security Hub y proporciona una serie de ventajas, tal como se describe en Conexión de las cuentas de AWS a Microsoft Defender for Cloud.
Para ver la posición de seguridad de las máquinas de Google Cloud Platform en Defender for Cloud, incorpore cuentas de GCP a Defender for Cloud. Este enfoque integra el comando de seguridad de GCP y Microsoft Defender for Cloud para obtener una vista unificada de las recomendaciones de Defender for Cloud y los resultados del Centro de comandos de seguridad de GCP y proporciona una serie de ventajas, tal y como se describe en Conexión de las cuentas de GCP a Microsoft Defender for Cloud.
Pasos siguientes
Para obtener más información sobre Microsoft Defender for Cloud, consulte la documentación completa de Defender for Cloud.