Nota
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
En este artículo se describe cómo planear la implementación para operaciones de seguridad unificadas en el portal de Microsoft Defender. Unifique las operaciones de seguridad para ayudarle a reducir el riesgo, evitar ataques, detectar e interrumpir ciberamenazas en tiempo real y responder más rápido con funcionalidades de seguridad mejoradas por inteligencia artificial, todo ello desde el portal de Microsoft Defender.
Planear la implementación
El portal de Defender combina servicios como Microsoft Defender XDR, Microsoft Sentinel, Administración de exposición de seguridad Microsoft y Microsoft Security Copilot para operaciones de seguridad unificadas.
El primer paso para planear la implementación es seleccionar los servicios que desea usar.
Como requisito previo básico, necesitará Microsoft Defender XDR y Microsoft Sentinel para supervisar y proteger los servicios y soluciones de Microsoft y que no son de Microsoft, incluidos los recursos locales y en la nube.
Implemente cualquiera de los siguientes servicios para agregar seguridad en los puntos de conexión, identidades, correo electrónico y aplicaciones para proporcionar protección integrada contra ataques sofisticados.
Microsoft Defender XDR servicios incluyen:
Servicio | Descripción |
---|---|
Microsoft Defender para Office 365 | Protege contra las amenazas planteadas por mensajes de correo electrónico, vínculos URL y herramientas de colaboración Office 365. |
Microsoft Defender for Identity | Identifica, detecta e investiga amenazas de identidades Active Directory local e en la nube como Microsoft Entra ID. |
Microsoft Defender para punto de conexión | Supervisa y protege los dispositivos de punto de conexión, detecta e investiga las infracciones de los dispositivos y responde automáticamente a las amenazas de seguridad. |
Microsoft Defender para IoT | Proporciona tanto la detección de dispositivos IoT como el valor de seguridad para los dispositivos IoT. |
Administración de vulnerabilidades de Microsoft Defender | Identifica los recursos y el inventario de software y evalúa la posición del dispositivo para encontrar vulnerabilidades de seguridad. |
Microsoft Defender for Cloud Apps | Protege y controla el acceso a las aplicaciones en la nube SaaS. |
Otros servicios admitidos en el portal de Microsoft Defender, pero sin licencia con Microsoft Defender XDR, incluyen:
Servicio | Descripción |
---|---|
Administración de exposición de seguridad Microsoft | Proporciona una vista unificada de la posición de seguridad entre los recursos y cargas de trabajo de la empresa, enriqueciendo la información de los recursos con el contexto de seguridad. |
Seguridad de Microsoft Copilot | Proporciona información y recomendaciones basadas en la inteligencia artificial para mejorar las operaciones de seguridad. |
Microsoft Defender for Cloud | Protege entornos híbridos y multinube con detección y respuesta avanzadas de amenazas. |
Inteligencia contra amenazas de Microsoft Defender | Simplifica los flujos de trabajo de inteligencia sobre amenazas agregando y enriqueciendo orígenes de datos críticos para correlacionar indicadores de riesgo (IOC) con artículos relacionados, perfiles de actor y vulnerabilidades. |
Protección de Microsoft Entra ID | Evalúa los datos de riesgo de los intentos de inicio de sesión para evaluar el riesgo de cada inicio de sesión en su entorno. |
Administración de riesgos internos de Microsoft Purview | Correlaciona varias señales para identificar posibles riesgos internos malintencionados o involuntarios, como el robo de IP, la fuga de datos y las infracciones de seguridad. |
Revisión de los requisitos previos del servicio
Antes de implementar Microsoft Defender servicios para operaciones de seguridad unificadas, revise los requisitos previos para cada servicio que planee usar. En la tabla siguiente se enumeran los servicios y vínculos para obtener más información:
Servicio de seguridad | Requisitos previos |
---|---|
Necesario para operaciones de seguridad unificadas | |
Microsoft Defender XDR | Microsoft Defender XDR requisitos previos |
Microsoft Sentinel | Requisitos previos para implementar Microsoft Sentinel |
Servicios de Microsoft Defender XDR opcionales | |
Microsoft Defender para Office | Microsoft Defender XDR requisitos previos |
Microsoft Defender for Identity | Requisitos previos de Microsoft Defender for Identity |
Microsoft Defender para punto de conexión | Configuración de Microsoft Defender para punto de conexión implementación |
Supervisión empresarial con Microsoft Defender para IoT | Requisitos previos para Defender para IoT en el portal de Defender |
Administración de vulnerabilidades de Microsoft Defender | Requisitos previos & permisos para Administración de vulnerabilidades de Microsoft Defender |
Microsoft Defender for Cloud Apps | Introducción a Microsoft Defender for Cloud Apps |
Otros servicios admitidos en el portal de Microsoft Defender | |
Administración de exposición de seguridad Microsoft | Requisitos previos y soporte técnico |
Seguridad de Microsoft Copilot | Requisitos mínimos |
Microsoft Defender for Cloud | Comience a planear la protección multinube y otros artículos de la misma sección. |
Inteligencia contra amenazas de Microsoft Defender | Requisitos previos para Defender Threat Intelligence |
Protección de Microsoft Entra ID | Requisitos previos para Protección de Microsoft Entra ID |
Administración de riesgos internos de Microsoft Purview | Introducción a la administración de riesgos internos |
Revisión de las prácticas de privacidad y seguridad de datos
Antes de implementar Microsoft Defender servicios para operaciones de seguridad unificadas, asegúrese de comprender las prácticas de privacidad y seguridad de datos para cada servicio que planee usar. En la tabla siguiente se enumeran los servicios y vínculos para obtener más información. Tenga en cuenta que varios servicios usan las prácticas de retención y seguridad de datos para Microsoft Defender XDR en lugar de tener prácticas independientes propias.
Planeamiento de la arquitectura del área de trabajo de Log Analytics
Para incorporar Microsoft Sentinel al portal de Defender, primero necesita un área de trabajo de Log Analytics habilitada para Microsoft Sentinel. Un único área de trabajo de Log Analytics podría ser suficiente para muchos entornos, pero muchas organizaciones crean varias áreas de trabajo para optimizar los costos y satisfacer mejor los distintos requisitos empresariales.
Diseñe el área de trabajo de Log Analytics que desea habilitar para Microsoft Sentinel. Tenga en cuenta parámetros como los requisitos de cumplimiento que tenga para la recopilación y el almacenamiento de datos y cómo controlar el acceso a Microsoft Sentinel datos.
Para más información, vea:
Planear los costos de Microsoft Sentinel y los orígenes de datos
El portal de Defender puede ingerir datos de forma nativa desde servicios de Microsoft de primer fabricante, como Microsoft Defender for Cloud Apps y Microsoft Defender para la nube. Se recomienda expandir la cobertura a otros orígenes de datos del entorno mediante la adición de conectores de datos Microsoft Sentinel.
Determinación de los orígenes de datos
Determine el conjunto completo de orígenes de datos desde los que va a ingerir datos y los requisitos de tamaño de datos para ayudarle a proyectar con precisión el presupuesto y la escala de tiempo de la implementación. Puede determinar esta información durante la revisión de casos de uso empresarial o mediante la evaluación de un SIEM actual que ya tiene en vigor. Si ya tiene un SIEM, analice los datos para comprender qué orígenes de datos proporcionan más valor y se deben ingerir en Microsoft Sentinel.
Por ejemplo, es posible que desee usar cualquiera de los siguientes orígenes de datos recomendados:
Servicios de Azure: si se implementa alguno de los siguientes servicios en Azure, use los conectores siguientes para enviar los registros de diagnóstico de estos recursos a Microsoft Sentinel:
- Azure Firewall
- Puerta de enlace de aplicación de Azure
- Keyvault
- Azure Kubernetes Service
- Azure SQL
- Grupos de seguridad de red
- Servidores de Azure Arc
Se recomienda configurar Azure Policy para requerir que sus registros se reenvíen al área de trabajo subyacente de Log Analytics. Para obtener más información, consulte Creación de una configuración de diagnóstico a escala mediante Azure Policy.
Máquinas virtuales: para las máquinas virtuales hospedadas en el entorno local o en otras nubes que requieren la recopilación de sus registros, use los siguientes conectores de datos:
- eventos de Seguridad de Windows mediante AMA
- Eventos a través de Defender para punto de conexión (para servidor)
- Syslog
Aplicaciones virtuales de red o orígenes locales: para aplicaciones virtuales de red u otros orígenes locales que generan el formato de evento común (CEF) o los registros de SYSLOG, use los siguientes conectores de datos:
- Syslog a través de AMA
- Formato de evento común (CEF) a través de AMA
Para obtener más información, consulte Priorización de conectores de datos.
Planear el presupuesto
Planee el presupuesto de Microsoft Sentinel, teniendo en cuenta las implicaciones de costos para cada escenario planeado. Asegúrese de que el presupuesto cubre el costo de la ingesta de datos para Microsoft Sentinel y Azure Log Analytics, los cuadernos de estrategias que se implementarán, etc. Para más información, vea:
- Registrar planes de retención en Microsoft Sentinel
- Planear costos y comprender Microsoft Sentinel precios y facturación
Descripción de los portales de seguridad y centros de administración de Microsoft
Aunque el portal de Microsoft Defender es el hogar para supervisar y administrar la seguridad en las identidades, los datos, los dispositivos y las aplicaciones, debe acceder a varios portales para determinadas tareas especializadas.
Los portales de seguridad de Microsoft incluyen:
Nombre del portal | Descripción | Vínculo |
---|---|---|
Portal de Microsoft Defender | Supervise y responda a la actividad de amenazas y refuerce la posición de seguridad en las identidades, el correo electrónico, los datos, los puntos de conexión y las aplicaciones con Microsoft Defender XDR |
security.microsoft.com El portal de Microsoft Defender es donde puede ver y administrar alertas, incidentes, configuración, etc. |
Portal de Defender for Cloud | Uso de Microsoft Defender for Cloud para reforzar la posición de seguridad de los centros de datos y las cargas de trabajo híbridas en la nube | portal.azure.com/#blade/Microsoft_Azure_Security |
portal de Inteligencia de seguridad de Microsoft | Obtener actualizaciones de inteligencia de seguridad para Microsoft Defender para punto de conexión, enviar ejemplos y explorar la enciclopedia de amenazas | microsoft.com/wdsi |
En la tabla siguiente se describen los portales de otras cargas de trabajo que pueden afectar a la seguridad. Visite estos portales para administrar identidades, permisos, configuración de dispositivos y directivas de control de datos.
Nombre del portal | Descripción | Vínculo |
---|---|---|
Centro de administración de Microsoft Entra | Acceso y administración de la familia Microsoft Entra para proteger su negocio con identidad descentralizada, protección de identidades, gobernanza, etc., en un entorno multinube | entra.microsoft.com |
|
Visualización y administración de todos los recursos de Azure | portal.azure.com |
Portal Microsoft Purview | Administrar directivas de control de datos y garantizar el cumplimiento de las normativas | purview.microsoft.com |
Centro de administración de Microsoft 365 | Configurar servicios de Microsoft 365; administrar roles, licencias y realizar un seguimiento de las actualizaciones de los servicios de Microsoft 365 | admin.microsoft.com |
centro de administración de Microsoft Intune | Use Microsoft Intune para administrar y proteger dispositivos. También puede combinar funcionalidades de Intune y Configuration Manager. | intune.microsoft.com |
portal de Microsoft Intune | Uso de Microsoft Intune para implementar directivas de dispositivo y supervisar el cumplimiento de los dispositivos | intune.microsoft.com |
Planeamiento de roles y permisos
El portal de Microsoft Defender unifica los siguientes modelos de control de acceso basado en rol (RBAC) para operaciones de seguridad unificadas:
- Microsoft Entra ID RBAC, que se usa para delegar el acceso al acceso de Defender, como los grupos de dispositivos
- RBAC de Azure, que usa Microsoft Sentinel para delegar permisos
- RBAC unificado de Defender, que se usa para delegar permisos en las soluciones de Defender
Aunque los permisos concedidos a través de RBAC de Azure para Microsoft Sentinel se federan durante el tiempo de ejecución con el RBAC unificado de Defender, RBAC de Azure y RBAC de Defender se siguen administrando por separado.
El RBAC unificado de Defender no es necesario para incorporar el área de trabajo al portal de Defender y los permisos de Microsoft Sentinel siguen funcionando según lo esperado en el portal de Defender incluso sin RBAC unificado. Sin embargo, el uso de RBAC unificado simplifica la delegación de permisos entre las soluciones de Defender. Para obtener más información, vea Activate Microsoft Defender XDR Unified role-based access control (RBAC).
El permiso mínimo necesario para que un analista vea Microsoft Sentinel datos es delegar permisos para el rol lector de Sentinel RBAC de Azure. Estos permisos también se aplican al portal unificado. Sin estos permisos, el menú de navegación Microsoft Sentinel no está disponible en el portal unificado, a pesar de que el analista tenga acceso al portal de Microsoft Defender.
Un procedimiento recomendado consiste en tener todos los recursos relacionados con Microsoft Sentinel en el mismo grupo de recursos de Azure y, a continuación, delegar Microsoft Sentinel permisos de rol (como el rol lector de Sentinel) en el nivel de grupo de recursos que contiene el área de trabajo Microsoft Sentinel. Al hacerlo, la asignación de roles se aplica a todos los recursos que admiten Microsoft Sentinel.
Para los siguientes servicios, use los distintos roles disponibles o cree roles personalizados para proporcionarle un control específico sobre lo que los usuarios pueden ver y hacer. Para más información, vea:
Para más información, vea:
- Planeamiento de roles y permisos para Microsoft Sentinel
- Roles integrados de Azure
- roles de Microsoft Sentinel
- Requisitos previos de incorporación
- Administración de RBAC unificado en Microsoft Defender (demostración de vídeo)
Planear actividades de Confianza cero
Las operaciones de seguridad unificadas en el portal de Defender forman parte del modelo de seguridad Confianza cero de Microsoft, que incluye los siguientes principios:
Principio de seguridad | Descripción |
---|---|
Comprobar explícitamente | Autentique y autorice siempre en función de todos los puntos de datos disponibles. |
Utilizar el acceso con menos privilegios | Limite el acceso de usuario con Just-In-Time y Just-Enough-Access (JIT/JEA), directivas adaptables basadas en riesgos y protección de datos. |
Asumir una infracción | Minimice el radio de explosión y el acceso a segmentos. Compruebe el cifrado de un extremo a otro y use análisis para obtener visibilidad, impulsar la detección de amenazas y mejorar las defensas. |
Confianza cero seguridad está diseñada para proteger los entornos digitales modernos mediante el aprovechamiento de la segmentación de red, la prevención del movimiento lateral, el acceso con privilegios mínimos y el uso de análisis avanzados para detectar y responder a amenazas.
Para obtener más información sobre la implementación de principios de Confianza cero en el portal de Defender, consulte Confianza cero contenido para los siguientes servicios:
- Microsoft Defender XDR
- Microsoft Sentinel
- Microsoft Defender for Identity
- Microsoft Defender para Office 365
- Microsoft Defender para punto de conexión
- Microsoft Defender for Cloud Apps
- Administración de exposición de seguridad Microsoft
- Microsoft Defender for Cloud
- Seguridad de Microsoft Copilot
- Protección de Microsoft Entra ID
- Microsoft Purview
Para obtener más información, consulte el Centro de orientación de Confianza cero.