Portal de Microsoft Defender

Artículo
28/11/2024

La plataforma secOps de seguridad unificada de Microsoft combina los servicios de seguridad de Microsoft en el portal de Microsoft Defender.

El portal proporciona una única ubicación para supervisar, administrar y configurar la seguridad previa y posterior a la vulneración en los recursos locales y multinube.

Seguridad previa a la vulneración: visualice, evalúe, corrija y supervise proactivamente la posición de seguridad de la organización para reducir el riesgo de seguridad y las superficies expuestas a ataques.
Seguridad posterior a la vulneración: supervise, detecte, investigue y responda continuamente a amenazas de ciberseguridad en tiempo real y emergentes contra los recursos de la organización.

Servicios del portal

El portal de Defender combina muchos servicios de seguridad de Microsoft.

Servicio	Detalles
Microsoft Defender XDR Detectar y responder a amenazas de ciberseguridad.	Defender XDR incluye un conjunto de servicios que se reúnen en el portal de Defender para proporcionar protección contra amenazas unificada en toda la empresa. Defender XDR servicios recopilan, correlacionan y analizan datos y señales de amenazas entre puntos de conexión y dispositivos, identidades, correo electrónico, aplicaciones y recursos de OT/IoT. En el portal, puede revisar, investigar y responder a alertas e incidentes de seguridad, interrumpir automáticamente los ataques y buscar amenazas de forma proactiva. Obtenga más información sobre Defender XDR en el portal de Defender.
Microsoft Sentinel Recopile, analice y administre datos de seguridad a escala mediante la automatización y la orquestación.	Microsoft Sentinel se integra completamente con Defender XDR en el portal de Defender, lo que proporciona funcionalidades adicionales de protección contra amenazas, como interrupciones de ataques, entidades e incidentes unificados y optimización de SOC. Para obtener más información, consulte Microsoft Sentinel en el portal de Defender.
Inteligencia contra amenazas de Microsoft Defender Integre la inteligencia sobre amenazas en las operaciones de SOC.	La plataforma Defender Threat Intelligence amplía las funcionalidades de inteligencia sobre amenazas que se incluyen en Defender XDR y Microsoft Sentinel. Recopile datos de varios orígenes para proporcionar un grupo de señales y datos de inteligencia sobre amenazas. Los equipos de seguridad usan estos datos para comprender las actividades del adversario, analizar ataques y buscar amenazas de seguridad.
Administración de exposición de seguridad Microsoft Reduzca de forma proactiva el riesgo de seguridad.	Use Administración de exposición de seguridad para reducir las superficies de ataque de la organización y corregir la posición de seguridad. Detección continua de recursos y datos para obtener una visión completa de la seguridad entre los recursos empresariales. Con el contexto de datos adicional que proporciona Administración de exposición de seguridad, puede visualizar, analizar y corregir claramente áreas de seguridad débiles.
Microsoft Defender for Cloud Proteja las cargas de trabajo en la nube.	Defender for Cloud mejora la posición de seguridad de varias nubes y protege las cargas de trabajo en la nube frente a amenazas. Defender for Cloud se integra en el portal de Defender para proporcionar una vista unificada de las alertas de seguridad en la nube y una única ubicación para las investigaciones.

Acceso al portal

En la página Permisos del portal de Defender, use los métodos siguientes para configurar el acceso de usuario:

Métodos	Detalles
Roles de Microsoft Entra globales	Las cuentas con los siguientes roles de Microsoft Entra globales pueden acceder a Microsoft Defender XDR funcionalidad y datos: Administrador global Administrador de seguridad Operador de seguridad Lector global Lector de seguridad
Roles personalizados	Permitir el acceso a datos, tareas y características específicos mediante roles personalizados. Los roles personalizados controlan el acceso pormenorizado y se pueden usar junto con Microsoft Entra roles globales.
RBAC unificado	El control de acceso basado en rol unificado (RBAC) proporciona un modelo de administración de permisos para controlar los permisos de usuario en el portal de Defender y en todos los servicios del portal.

permisos de Microsoft Sentinel

Cuando se incorpora a la plataforma unificada de SecOps de Microsoft, los permisos de RBAC de Azure existentes se usan para trabajar con características de Microsoft Sentinel en el portal de Defender.

Administrar roles y permisos para Microsoft Sentinel usuarios en el Azure Portal.
Los cambios de RBAC de Azure se reflejan en el portal de Defender.

Para obtener más información, vea Roles y permisos en Microsoft Sentinel.

Trabajar en el portal

En la página Inicio , la vista viene determinada por los servicios incluidos en las suscripciones. La configuración de acceso se basa en los permisos del portal.

Característica	Detalles
Página principal	La página Inicio proporciona una vista del estado de seguridad del entorno. Revise las amenazas activas, los recursos en riesgo y un resumen de la posición de seguridad general. Use el panel para obtener una instantánea actualizada y explore en profundidad los detalles según sea necesario.
Notificaciones del portal	Las notificaciones del portal le mantienen al día con información importante, como actualizaciones, eventos, acciones completas o en curso, advertencias y errores. Las notificaciones se ordenan por su tiempo generado en el panel de notificaciones, con la más reciente mostrada primero. Para obtener más información, consulte Configuración de notificaciones de alertas.
Búsqueda	Al buscar en el portal, los resultados se clasifican por secciones relacionadas con los términos de búsqueda. La búsqueda proporciona resultados desde el portal, desde el Microsoft Tech Community y desde la documentación de Microsoft Learn. El historial de búsqueda se almacena en el explorador y es accesible durante 30 días.
Visita guiada	Obtenga una visita guiada sobre la administración de la seguridad de los puntos de conexión o la administración de la seguridad de correo electrónico y colaboración.
Novedades	Obtenga información sobre las actualizaciones más recientes en el blog de Microsoft Defender XDR.
Comunidad	Obtenga información de otros usuarios en espacios de discusión de seguridad de Microsoft en Tech Community.
Agregar tarjetas	Personalice la página principal para obtener información que sea más importante para usted.

Administración de la exposición

En Administración de la exposición, revise el estado general de la posición de seguridad, la exposición y el riesgo.

Característica	Detalles
Introducción a la administración de la exposición	Este panel proporciona una vista rápida de los dispositivos y los recursos en la nube, incluidos los dispositivos accesibles desde Internet y los recursos críticos. Obtenga información sobre el funcionamiento de las iniciativas de seguridad clave y explore en profundidad las métricas principales para detectar vulnerabilidades de alto valor. Obtenga niveles de exposición para diferentes tipos de recursos y realice un seguimiento del progreso de la seguridad a lo largo del tiempo.
Superficies expuestas a ataques	Visualización de los datos de exposición con el mapa de superficie expuesta a ataques. Explore los recursos y las conexiones en el mapa y explore en profundidad para centrarse en recursos específicos. En el panel Administración de rutas de acceso de ataque, revise las posibles rutas de acceso de ataque en toda la organización que los atacantes podrían aprovechar, junto con puntos de atascamiento y recursos críticos en la ruta de acceso.
Información sobre la exposición	Revise y explore los datos agregados de la posición de seguridad y la información entre recursos y cargas de trabajo. Evalúe la posición y la preparación para los proyectos de seguridad más importantes y realice un seguimiento de las métricas del proyecto a lo largo del tiempo. Obtenga recomendaciones de seguridad para corregir problemas de exposición.
Puntuación de seguridad	Revise las métricas de posición en función de la puntuación segura de Microsoft.
Conectores de datos	Conecte productos de terceros a Administración de exposición de seguridad y solicite nuevos conectores.

Para obtener más información, consulte Administración de exposición de seguridad Microsoft.

Investigación y respuesta

La sección Investigación y respuesta proporciona una única ubicación para investigar incidentes de seguridad y responder a amenazas en toda la empresa.

Investigación de incidentes y alertas

Administre e investigue incidentes de seguridad en una sola ubicación y desde una sola cola en el portal de Defender. Las colas de incidentes y alertas muestran los incidentes de seguridad y las alertas actuales en los servicios.

Característica	Detalles
Incidentes	En el panel Incidentes , revise una lista de los incidentes más recientes y dé prioridad a los marcados como de gravedad alta. Cada incidente agrupa alertas correlacionadas y datos asociados que componen un ataque. Explore en profundidad un incidente para obtener una historia de ataque completa, incluida información sobre alertas asociadas, dispositivos, usuarios, investigaciones y pruebas.
Alertas	En el panel Alertas , revise las alertas. Las alertas son señales emitidas por los servicios del portal en respuesta a la actividad de detección de amenazas. La cola de alertas unificada muestra alertas nuevas y en curso de los últimos siete días, con las alertas más recientes en la parte superior. Filtre las alertas para investigar según sea necesario.

Característica

Detalles

Incidentes

En el panel Incidentes , revise una lista de los incidentes más recientes y dé prioridad a los marcados como de gravedad alta. Cada incidente agrupa alertas correlacionadas y datos asociados que componen un ataque. Explore en profundidad un incidente para obtener una historia de ataque completa, incluida información sobre alertas asociadas, dispositivos, usuarios, investigaciones y pruebas.

Alertas

En el panel Alertas , revise las alertas. Las alertas son señales emitidas por los servicios del portal en respuesta a la actividad de detección de amenazas.

La cola de alertas unificada muestra alertas nuevas y en curso de los últimos siete días, con las alertas más recientes en la parte superior. Filtre las alertas para investigar según sea necesario.

Para obtener más información, consulte Incidentes y alertas en el portal de Microsoft Defender.

Buscar amenazas

El área Búsqueda permite inspeccionar de forma proactiva los eventos de seguridad y los datos para localizar amenazas conocidas y potenciales.

Característica	Detalles
Búsqueda avanzada de amenazas	Explore y consulte hasta 30 días de datos sin procesar. Puede realizar consultas mediante una herramienta de consulta guiada, usar consultas de ejemplo o usar Lenguaje de consulta Kusto (KQL) para crear sus propias consultas.
Reglas de detección personalizada	Cree reglas de detección personalizadas para supervisar y responder de forma proactiva a eventos y estados del sistema. Use reglas de detección personalizadas para desencadenar alertas de seguridad o acciones de respuesta automáticas.

Para obtener más información, consulte Búsqueda proactiva de amenazas con búsqueda avanzada e Información general sobre detecciones personalizadas.

Revisión de las correcciones de amenazas pendientes

La actividad de protección contra amenazas da lugar a acciones para corregir amenazas. Las acciones pueden ser automatizadas o manuales. Las acciones que necesitan aprobación o intervención manual están disponibles en el Centro de acción.

Característica	Detalles
Centro de acciones	Revise la lista de acciones que necesitan atención. Aprobar o rechazar acciones de uno en uno, o de forma masiva. Puede revisar el historial de acciones para realizar un seguimiento de la corrección.
Envíos	Envíe correo no deseado sospechoso, direcciones URL, problemas de correo electrónico y mucho más a Microsoft.

Para obtener más información, vea Investigación y respuesta automatizadas y El centro de acciones.

Catálogo de partners

La sección Catálogo de partners proporciona información sobre los asociados de Defender.

El portal de Defender admite los siguientes tipos de integraciones de asociados:

Integraciones de terceros para ayudar a proteger a los usuarios con una protección contra amenazas eficaz.
Servicios profesionales que mejoran las funcionalidades de detección, investigación e inteligencia sobre amenazas.

Inteligencia sobre amenazas

En la sección Inteligencia sobre amenazas del portal, obtenga visibilidad directa de las campañas de amenazas activas y en curso, y acceda a la información de inteligencia sobre amenazas proporcionada por la plataforma de Inteligencia sobre amenazas de Defender.

Característica	Detalles
Análisis de amenazas	Obtenga información sobre qué amenazas son relevantes actualmente en su organización. Evalúe la gravedad de la amenaza, explore en profundidad informes de amenazas específicos y realice acciones de identidad. Hay disponibles diferentes tipos de informes de análisis de amenazas.
Perfiles de Intel	Revise el contenido de inteligencia sobre amenazas mantenido organizado por actores de amenazas, herramientas y vulnerabilidades conocidas.
Explorador intel	Revise la información de inteligencia sobre amenazas y explore en profundidad para buscar e investigar.
Proyectos de Intel	Revisar y crear proyectos para organizar indicadores de interés e indicadores de compromiso a partir de una investigación. Un proyecto incluye artefactos asociados y un historial detallado de nombres, descripciones, colaboradores y perfiles de supervisión.

Para obtener más información, consulte Análisis de amenazas.

Activos

La página Activos proporciona una vista unificada de los recursos detectados y protegidos, incluidos dispositivos, usuarios, buzones y aplicaciones. Revise el número total de recursos de cada tipo y explore detalles específicos del recurso.

Característica	Detalles
Devices	En la página Inventario de dispositivos, obtenga información general sobre los dispositivos detectados en cada inquilino al que tiene acceso. Revise los dispositivos por tipo y céntrese en dispositivos de alto riesgo o críticos. Agrupe los dispositivos de forma lógica agregando etiquetas para el contexto y excluyendo los dispositivos que no desea evaluar. Inicie una investigación automatizada para los dispositivos.
Identidades	Obtenga un resumen del inventario de usuario y cuenta.

Característica

Detalles

Devices

En la página Inventario de dispositivos, obtenga información general sobre los dispositivos detectados en cada inquilino al que tiene acceso. Revise los dispositivos por tipo y céntrese en dispositivos de alto riesgo o críticos.

Agrupe los dispositivos de forma lógica agregando etiquetas para el contexto y excluyendo los dispositivos que no desea evaluar. Inicie una investigación automatizada para los dispositivos.

Identidades

Obtenga un resumen del inventario de usuario y cuenta.

Para obtener más información, consulte página Entidad de dispositivo y Página de entidad de usuario.

Microsoft Sentinel

Acceda a las funcionalidades de Microsoft Sentinel en el portal de Defender.

Característica	Detalles
Búsqueda	Busque en los registros y acceda a búsquedas anteriores.
Administración de amenazas	Visualice y supervise los datos conectados con libros. Investigue los incidentes y clasifique las alertas con entidades. Busque amenazas de forma proactiva y use cuadernos para impulsar las investigaciones. Integre la inteligencia sobre amenazas en la detección de amenazas y use el marco de trabajo de MITRE ATT&CK en análisis e incidentes.
Administración de contenido	Detectar e instalar contenido de fábrica (OOTB) desde el centro de contenido. Use Microsoft Sentinel repositorios para conectarse a sistemas de origen externos para la integración y entrega continuas (CI/CD), en lugar de implementar y actualizar manualmente contenido personalizado.
Configuración	Ingerir datos mediante conectores de datos. Cree listas de seguimiento para correlacionar y organizar orígenes de datos. Configure reglas de análisis para consultar y analizar los datos recopilados. Automatice las respuestas a amenazas.

Para obtener más información, consulte Microsoft Sentinel y Microsoft Sentinel en el portal de Microsoft Defender.

Identidades

En la sección Identidades del portal de Defender, supervise el estado de usuario y cuenta y administre de forma proactiva los riesgos relacionados con la identidad con Defender for Identity.

Característica	Detalles
Panel de ITDR	En el panel Detección y respuesta de amenazas de identidad (ITDR), obtenga información y datos en tiempo real sobre el estado de seguridad de los usuarios y las cuentas. El panel incluye información sobre la implementación de Defender for Identity, información sobre identidades con privilegios elevados e información sobre incidentes relacionados con la identidad. Si hay un problema con un área de trabajo de Defender for Identity, se genera en la página Problemas de mantenimiento.
Problemas de mantenimiento	En esta página se muestran todos los problemas de mantenimiento globales o basados en sensores de Defender for Identity.
Herramientas	Acceda a herramientas comunes para ayudarle a administrar Defender for Identity.

Para obtener más información, consulte Microsoft Defender for Identity.

Puntos de conexión

En la sección Puntos de conexión del portal, supervise y administre las vulnerabilidades de recursos con Administración de vulnerabilidades de Microsoft Defender.

Característica	Detalles
Administración de amenazas y vulnerabilidades	Revise el estado de vulnerabilidad en el panel. Obtenga recomendaciones basadas en la evaluación de vulnerabilidades de los dispositivos y corrija según sea necesario. Revise el inventario de software de la organización, incluidos los componentes vulnerables, los certificados y el hardware. Revise los CVE y los avisos de seguridad. Revise la escala de tiempo de eventos para determinar el impacto de las vulnerabilidades. Use la evaluación de línea de base de seguridad para evaluar los dispositivos en comparación con las pruebas comparativas de seguridad.
Aplicaciones conectadas	Obtenga información sobre las aplicaciones Microsoft Entra conectadas a Defender para punto de conexión.
Explorador de API	Use el explorador de API para construir y ejecutar consultas de API, probar y enviar solicitudes para los puntos de conexión de API de Defender para punto de conexión disponibles.

Para obtener más información, consulte Administración de vulnerabilidades de Microsoft Defender y Microsoft Defender para punto de conexión.

Email y colaboración

En la sección Email & colaboración, supervise, investigue y administre las amenazas y respuestas de seguridad a las aplicaciones de correo electrónico y colaboración con Microsoft Defender para Office 365.

Característica	Detalles
Investigaciones	Ejecute y revise las investigaciones automatizadas.
Explorador	Busque, investigue y explore amenazas a correos electrónicos y documentos. Explore en profundidad tipos específicos de amenazas, como malware, phishing y campañas.
Revisar	Administrar elementos en cuarentena y remitentes restringidos.
Campañas	Analice los ataques coordinados contra su organización.
Seguimiento de amenazas	Revise las consultas guardadas y de seguimiento, y siga las campañas de tendencia.
Directivas y reglas	Configure y administre directivas de seguridad para protegerse frente a amenazas y recibir alertas de actividad.

Para obtener más información, consulte Microsoft Defender para Office 365.

Aplicaciones en la nube

En la sección Aplicaciones en la nube, revise la seguridad para minimizar el riesgo y la exposición a las aplicaciones en la nube mediante Microsoft Defender for Cloud Apps.

Característica	Detalles
Detección en la nube	Obtenga información general sobre cloud app security con informes de detección. Revise un informe de ejemplo y cree informes nuevos.
Catálogo de aplicaciones en la nube	Obtenga información general sobre las aplicaciones en la nube conocidas y su riesgo asociado. Puede autorizar y anular la autorización de las aplicaciones según sea necesario.
Aplicaciones OAuth	Obtenga visibilidad sobre las aplicaciones de OAuth. Revise las aplicaciones y filtre la configuración para explorar en profundidad.
Registro de actividad	Revise la actividad de la aplicación conectada por nombre en la nube, dirección IP y dispositivos relacionados.
Registro de gobernanza	Revise las acciones de gobernanza.
Directivas	Configurar directivas de seguridad para aplicaciones en la nube.

Para obtener más información, consulte Microsoft Defender for Cloud Apps.

Optimización de SOC

En la página Optimización de SOC , aprete los controles de seguridad para cerrar las brechas de cobertura de amenazas y aprete las tasas de ingesta de datos en función de recomendaciones de alta fidelidad y accionables. Las optimizaciones de SOC se adaptan a su entorno y se basan en la cobertura actual y el panorama de amenazas.

Para obtener más información, consulte Optimización de las operaciones de seguridad.

Informes

En la página Informes , revise los informes de seguridad en todas las áreas, recursos y cargas de trabajo. Los informes disponibles dependen de los servicios de seguridad a los que tenga acceso.

Ensayos

En la página Pruebas , revise las soluciones de prueba, diseñadas para ayudarle a tomar decisiones sobre las actualizaciones y las compras.

Recursos adicionales

Documentación

Planeamiento de la implementación - Microsoft's unified security operations platform

Planee implementar la plataforma de operaciones de seguridad unificada de Microsoft con el portal de Microsoft Defender, Microsoft Sentinel y otros servicios de Microsoft Defender.
¿Qué es la plataforma unificada de operaciones de seguridad de Microsoft? - Microsoft's unified security operations platform

Proporciona información general sobre las características y la funcionalidad en la plataforma de operaciones de seguridad unificadas de Microsoft.
Documentación de la plataforma de operaciones de seguridad unificada de Microsoft - Microsoft's unified security operations platform

Reúna todas las funcionalidades de Microsoft Sentinel, Defender XDR, Administración de exposición de seguridad Microsoft e inteligencia artificial generativa en el portal de Defender.
Implementación de la plataforma unificada de SecOps de Microsoft - Microsoft's unified security operations platform

Implemente la plataforma de operaciones de seguridad unificada de Microsoft con el portal de Microsoft Defender, Microsoft Sentinel y otros servicios de Microsoft Defender.
¿Qué es Microsoft Defender XDR? - Microsoft Defender XDR

Microsoft Defender XDR es una solución coordinada de protección contra amenazas diseñada para proteger dispositivos, identidades, datos y aplicaciones.
Novedades de la plataforma unificada de SecOps de Microsoft - Microsoft's unified security operations platform

Listas las nuevas características y funcionalidades de la plataforma de operaciones de seguridad unificada de Microsoft
Microsoft Defender for Cloud en el portal de Microsoft Defender - Microsoft Defender XDR

Obtenga información sobre los cambios en el portal de Microsoft Defender con la integración de Microsoft Defender for Cloud.
documentación de Microsoft Defender XDR - Microsoft Defender XDR

Obtenga información sobre las sólidas soluciones de seguridad de Microsoft Defender XDR para que pueda proteger mejor su empresa en las superficies expuestas a ataques.

Cursos

Módulo

Explore security solutions in Microsoft Defender XDR - Training

This module introduces you to several features in Microsoft 365 that can help protect your organization against cyberthreats, detect when a user or computer has been compromised, and monitor your organization for suspicious activities. MS-102

Certificación

Microsoft Certified: Security Operations Analyst Associate - Certifications

Investigue, busque y mitigue amenazas mediante Microsoft Sentinel, Microsoft Defender for Cloud y Microsoft 365 Defender.

Compartir a través de