Compartir a través de


Guía de planeación de operaciones de seguridad unificadas en el portal de Microsoft Defender

En este artículo se describe cómo planear la implementación para operaciones de seguridad unificadas en el portal de Microsoft Defender. Unifique las operaciones de seguridad para ayudarle a reducir el riesgo, evitar ataques, detectar e interrumpir ciberamenazas en tiempo real y responder más rápido con funcionalidades de seguridad mejoradas por inteligencia artificial, todo ello desde el portal de Microsoft Defender.

Planear la implementación

El portal de Defender combina servicios como Microsoft Defender XDR, Microsoft Sentinel, Administración de exposición de seguridad Microsoft y Microsoft Security Copilot para operaciones de seguridad unificadas.

El primer paso para planear la implementación es seleccionar los servicios que desea usar.

Como requisito previo básico, necesitará Microsoft Defender XDR y Microsoft Sentinel para supervisar y proteger los servicios y soluciones de Microsoft y que no son de Microsoft, incluidos los recursos locales y en la nube.

Implemente cualquiera de los siguientes servicios para agregar seguridad en los puntos de conexión, identidades, correo electrónico y aplicaciones para proporcionar protección integrada contra ataques sofisticados.

Microsoft Defender XDR servicios incluyen:

Servicio Descripción
Microsoft Defender para Office 365 Protege contra las amenazas planteadas por mensajes de correo electrónico, vínculos URL y herramientas de colaboración Office 365.
Microsoft Defender for Identity Identifica, detecta e investiga amenazas de identidades Active Directory local e en la nube como Microsoft Entra ID.
Microsoft Defender para punto de conexión Supervisa y protege los dispositivos de punto de conexión, detecta e investiga las infracciones de los dispositivos y responde automáticamente a las amenazas de seguridad.
Microsoft Defender para IoT Proporciona tanto la detección de dispositivos IoT como el valor de seguridad para los dispositivos IoT.
Administración de vulnerabilidades de Microsoft Defender Identifica los recursos y el inventario de software y evalúa la posición del dispositivo para encontrar vulnerabilidades de seguridad.
Microsoft Defender for Cloud Apps Protege y controla el acceso a las aplicaciones en la nube SaaS.

Otros servicios admitidos en el portal de Microsoft Defender, pero sin licencia con Microsoft Defender XDR, incluyen:

Servicio Descripción
Administración de exposición de seguridad Microsoft Proporciona una vista unificada de la posición de seguridad entre los recursos y cargas de trabajo de la empresa, enriqueciendo la información de los recursos con el contexto de seguridad.
Seguridad de Microsoft Copilot Proporciona información y recomendaciones basadas en la inteligencia artificial para mejorar las operaciones de seguridad.
Microsoft Defender for Cloud Protege entornos híbridos y multinube con detección y respuesta avanzadas de amenazas.
Inteligencia contra amenazas de Microsoft Defender Simplifica los flujos de trabajo de inteligencia sobre amenazas agregando y enriqueciendo orígenes de datos críticos para correlacionar indicadores de riesgo (IOC) con artículos relacionados, perfiles de actor y vulnerabilidades.
Protección de Microsoft Entra ID Evalúa los datos de riesgo de los intentos de inicio de sesión para evaluar el riesgo de cada inicio de sesión en su entorno.
Administración de riesgos internos de Microsoft Purview Correlaciona varias señales para identificar posibles riesgos internos malintencionados o involuntarios, como el robo de IP, la fuga de datos y las infracciones de seguridad.

Revisión de los requisitos previos del servicio

Antes de implementar Microsoft Defender servicios para operaciones de seguridad unificadas, revise los requisitos previos para cada servicio que planee usar. En la tabla siguiente se enumeran los servicios y vínculos para obtener más información:

Servicio de seguridad Requisitos previos
Necesario para operaciones de seguridad unificadas
Microsoft Defender XDR Microsoft Defender XDR requisitos previos
Microsoft Sentinel Requisitos previos para implementar Microsoft Sentinel
Servicios de Microsoft Defender XDR opcionales
Microsoft Defender para Office Microsoft Defender XDR requisitos previos
Microsoft Defender for Identity Requisitos previos de Microsoft Defender for Identity
Microsoft Defender para punto de conexión Configuración de Microsoft Defender para punto de conexión implementación
Supervisión empresarial con Microsoft Defender para IoT Requisitos previos para Defender para IoT en el portal de Defender
Administración de vulnerabilidades de Microsoft Defender Requisitos previos & permisos para Administración de vulnerabilidades de Microsoft Defender
Microsoft Defender for Cloud Apps Introducción a Microsoft Defender for Cloud Apps
Otros servicios admitidos en el portal de Microsoft Defender
Administración de exposición de seguridad Microsoft Requisitos previos y soporte técnico
Seguridad de Microsoft Copilot Requisitos mínimos
Microsoft Defender for Cloud Comience a planear la protección multinube y otros artículos de la misma sección.
Inteligencia contra amenazas de Microsoft Defender Requisitos previos para Defender Threat Intelligence
Protección de Microsoft Entra ID Requisitos previos para Protección de Microsoft Entra ID
Administración de riesgos internos de Microsoft Purview Introducción a la administración de riesgos internos

Revisión de las prácticas de privacidad y seguridad de datos

Antes de implementar Microsoft Defender servicios para operaciones de seguridad unificadas, asegúrese de comprender las prácticas de privacidad y seguridad de datos para cada servicio que planee usar. En la tabla siguiente se enumeran los servicios y vínculos para obtener más información. Tenga en cuenta que varios servicios usan las prácticas de retención y seguridad de datos para Microsoft Defender XDR en lugar de tener prácticas independientes propias.

Servicio de seguridad Seguridad y privacidad de datos
Necesario para operaciones de seguridad unificadas
Microsoft Defender XDR Seguridad y retención de datos en Microsoft Defender XDR
Microsoft Sentinel Disponibilidad geográfica y residencia de datos en Microsoft Sentinel
Servicios de Microsoft Defender XDR opcionales
Microsoft Defender para Office Seguridad y retención de datos en Microsoft Defender XDR
Microsoft Defender for Identity Privacidad con Microsoft Defender for Identity
Microsoft Defender para punto de conexión Microsoft Defender para punto de conexión almacenamiento de datos y privacidad
Supervisión empresarial con Microsoft Defender para IoT Seguridad y retención de datos en Microsoft Defender XDR
Administración de vulnerabilidades de Microsoft Defender Microsoft Defender para punto de conexión almacenamiento de datos y privacidad
Microsoft Defender for Cloud Apps Privacidad con Microsoft Defender for Cloud Apps
Otros servicios admitidos en el portal de Microsoft Defender
Administración de exposición de seguridad Microsoft Actualización de datos, retención y funcionalidad relacionada
Seguridad de Microsoft Copilot Privacidad y seguridad de los datos en Seguridad de Microsoft Copilot
Microsoft Defender for Cloud Microsoft Defender para la seguridad de datos en la nube
Inteligencia contra amenazas de Microsoft Defender Seguridad y retención de datos en Microsoft Defender XDR
Protección de Microsoft Entra ID Microsoft Entra retención de datos
Administración de riesgos internos de Microsoft Purview guía de privacidad de cumplimiento de Administración de riesgos internos de Microsoft Purview y comunicaciones

Administración de registros de mensajería (MRM) y directivas de retención en Microsoft 365

Planeamiento de la arquitectura del área de trabajo de Log Analytics

Para incorporar Microsoft Sentinel al portal de Defender, primero necesita un área de trabajo de Log Analytics habilitada para Microsoft Sentinel. Un único área de trabajo de Log Analytics podría ser suficiente para muchos entornos, pero muchas organizaciones crean varias áreas de trabajo para optimizar los costos y satisfacer mejor los distintos requisitos empresariales.

Diseñe el área de trabajo de Log Analytics que desea habilitar para Microsoft Sentinel. Tenga en cuenta parámetros como los requisitos de cumplimiento que tenga para la recopilación y el almacenamiento de datos y cómo controlar el acceso a Microsoft Sentinel datos.

Para más información, vea:

  1. Arquitectura del área de trabajo de diseño
  2. Revisión de diseños de área de trabajo de ejemplo

Planear los costos de Microsoft Sentinel y los orígenes de datos

El portal de Defender puede ingerir datos de forma nativa desde servicios de Microsoft de primer fabricante, como Microsoft Defender for Cloud Apps y Microsoft Defender para la nube. Se recomienda expandir la cobertura a otros orígenes de datos del entorno mediante la adición de conectores de datos Microsoft Sentinel.

Determinación de los orígenes de datos

Determine el conjunto completo de orígenes de datos desde los que va a ingerir datos y los requisitos de tamaño de datos para ayudarle a proyectar con precisión el presupuesto y la escala de tiempo de la implementación. Puede determinar esta información durante la revisión de casos de uso empresarial o mediante la evaluación de un SIEM actual que ya tiene en vigor. Si ya tiene un SIEM, analice los datos para comprender qué orígenes de datos proporcionan más valor y se deben ingerir en Microsoft Sentinel.

Por ejemplo, es posible que desee usar cualquiera de los siguientes orígenes de datos recomendados:

  • Servicios de Azure: si se implementa alguno de los siguientes servicios en Azure, use los conectores siguientes para enviar los registros de diagnóstico de estos recursos a Microsoft Sentinel:

    • Azure Firewall
    • Puerta de enlace de aplicación de Azure
    • Keyvault
    • Azure Kubernetes Service
    • Azure SQL
    • Grupos de seguridad de red
    • Servidores de Azure Arc

    Se recomienda configurar Azure Policy para requerir que sus registros se reenvíen al área de trabajo subyacente de Log Analytics. Para obtener más información, consulte Creación de una configuración de diagnóstico a escala mediante Azure Policy.

  • Máquinas virtuales: para las máquinas virtuales hospedadas en el entorno local o en otras nubes que requieren la recopilación de sus registros, use los siguientes conectores de datos:

    • eventos de Seguridad de Windows mediante AMA
    • Eventos a través de Defender para punto de conexión (para servidor)
    • Syslog
  • Aplicaciones virtuales de red o orígenes locales: para aplicaciones virtuales de red u otros orígenes locales que generan el formato de evento común (CEF) o los registros de SYSLOG, use los siguientes conectores de datos:

    • Syslog a través de AMA
    • Formato de evento común (CEF) a través de AMA

Para obtener más información, consulte Priorización de conectores de datos.

Planear el presupuesto

Planee el presupuesto de Microsoft Sentinel, teniendo en cuenta las implicaciones de costos para cada escenario planeado. Asegúrese de que el presupuesto cubre el costo de la ingesta de datos para Microsoft Sentinel y Azure Log Analytics, los cuadernos de estrategias que se implementarán, etc. Para más información, vea:

Descripción de los portales de seguridad y centros de administración de Microsoft

Aunque el portal de Microsoft Defender es el hogar para supervisar y administrar la seguridad en las identidades, los datos, los dispositivos y las aplicaciones, debe acceder a varios portales para determinadas tareas especializadas.

Los portales de seguridad de Microsoft incluyen:

Nombre del portal Descripción Vínculo
Portal de Microsoft Defender Supervise y responda a la actividad de amenazas y refuerce la posición de seguridad en las identidades, el correo electrónico, los datos, los puntos de conexión y las aplicaciones con Microsoft Defender XDR security.microsoft.com

El portal de Microsoft Defender es donde puede ver y administrar alertas, incidentes, configuración, etc.
Portal de Defender for Cloud Uso de Microsoft Defender for Cloud para reforzar la posición de seguridad de los centros de datos y las cargas de trabajo híbridas en la nube portal.azure.com/#blade/Microsoft_Azure_Security
portal de Inteligencia de seguridad de Microsoft Obtener actualizaciones de inteligencia de seguridad para Microsoft Defender para punto de conexión, enviar ejemplos y explorar la enciclopedia de amenazas microsoft.com/wdsi

En la tabla siguiente se describen los portales de otras cargas de trabajo que pueden afectar a la seguridad. Visite estos portales para administrar identidades, permisos, configuración de dispositivos y directivas de control de datos.

Nombre del portal Descripción Vínculo
Centro de administración de Microsoft Entra Acceso y administración de la familia Microsoft Entra para proteger su negocio con identidad descentralizada, protección de identidades, gobernanza, etc., en un entorno multinube entra.microsoft.com
Portal de Azure Visualización y administración de todos los recursos de Azure portal.azure.com
Portal Microsoft Purview Administrar directivas de control de datos y garantizar el cumplimiento de las normativas purview.microsoft.com
Centro de administración de Microsoft 365 Configurar servicios de Microsoft 365; administrar roles, licencias y realizar un seguimiento de las actualizaciones de los servicios de Microsoft 365 admin.microsoft.com
centro de administración de Microsoft Intune Use Microsoft Intune para administrar y proteger dispositivos. También puede combinar funcionalidades de Intune y Configuration Manager. intune.microsoft.com
portal de Microsoft Intune Uso de Microsoft Intune para implementar directivas de dispositivo y supervisar el cumplimiento de los dispositivos intune.microsoft.com

Planeamiento de roles y permisos

El portal de Microsoft Defender unifica los siguientes modelos de control de acceso basado en rol (RBAC) para operaciones de seguridad unificadas:

Aunque los permisos concedidos a través de RBAC de Azure para Microsoft Sentinel se federan durante el tiempo de ejecución con el RBAC unificado de Defender, RBAC de Azure y RBAC de Defender se siguen administrando por separado.

El RBAC unificado de Defender no es necesario para incorporar el área de trabajo al portal de Defender y los permisos de Microsoft Sentinel siguen funcionando según lo esperado en el portal de Defender incluso sin RBAC unificado. Sin embargo, el uso de RBAC unificado simplifica la delegación de permisos entre las soluciones de Defender. Para obtener más información, vea Activate Microsoft Defender XDR Unified role-based access control (RBAC).

El permiso mínimo necesario para que un analista vea Microsoft Sentinel datos es delegar permisos para el rol lector de Sentinel RBAC de Azure. Estos permisos también se aplican al portal unificado. Sin estos permisos, el menú de navegación Microsoft Sentinel no está disponible en el portal unificado, a pesar de que el analista tenga acceso al portal de Microsoft Defender.

Un procedimiento recomendado consiste en tener todos los recursos relacionados con Microsoft Sentinel en el mismo grupo de recursos de Azure y, a continuación, delegar Microsoft Sentinel permisos de rol (como el rol lector de Sentinel) en el nivel de grupo de recursos que contiene el área de trabajo Microsoft Sentinel. Al hacerlo, la asignación de roles se aplica a todos los recursos que admiten Microsoft Sentinel.

Para los siguientes servicios, use los distintos roles disponibles o cree roles personalizados para proporcionarle un control específico sobre lo que los usuarios pueden ver y hacer. Para más información, vea:

Servicio de seguridad Vínculo a los requisitos de rol
Necesario para operaciones de seguridad unificadas
Microsoft Defender XDR Administración del acceso a Microsoft Defender XDR con Microsoft Entra roles globales
Microsoft Sentinel Roles y permisos en Microsoft Sentinel
Servicios de Microsoft Defender XDR opcionales
Microsoft Defender for Identity Grupos de roles de Microsoft Defender for Identity
Microsoft Defender para Office permisos de Microsoft Defender para Office 365 en el portal de Microsoft Defender
Microsoft Defender para punto de conexión Asignación de roles y permisos para la implementación de Microsoft Defender para punto de conexión
Administración de vulnerabilidades de Microsoft Defender Opciones de permisos pertinentes para Administración de vulnerabilidades de Microsoft Defender
Microsoft Defender for Cloud Apps Configuración del acceso de administrador para Microsoft Defender for Cloud Apps
Otros servicios admitidos en el portal de Microsoft Defender
Administración de exposición de seguridad Microsoft Permisos para Administración de exposición de seguridad Microsoft
Microsoft Defender for Cloud Roles y permisos de usuario
Administración de riesgos internos de Microsoft Purview Habilitar los permisos para la administración de riesgos internos.

Para más información, vea:

Planear actividades de Confianza cero

Las operaciones de seguridad unificadas en el portal de Defender forman parte del modelo de seguridad Confianza cero de Microsoft, que incluye los siguientes principios:

Principio de seguridad Descripción
Comprobar explícitamente Autentique y autorice siempre en función de todos los puntos de datos disponibles.
Utilizar el acceso con menos privilegios Limite el acceso de usuario con Just-In-Time y Just-Enough-Access (JIT/JEA), directivas adaptables basadas en riesgos y protección de datos.
Asumir una infracción Minimice el radio de explosión y el acceso a segmentos. Compruebe el cifrado de un extremo a otro y use análisis para obtener visibilidad, impulsar la detección de amenazas y mejorar las defensas.

Confianza cero seguridad está diseñada para proteger los entornos digitales modernos mediante el aprovechamiento de la segmentación de red, la prevención del movimiento lateral, el acceso con privilegios mínimos y el uso de análisis avanzados para detectar y responder a amenazas.

Para obtener más información sobre la implementación de principios de Confianza cero en el portal de Defender, consulte Confianza cero contenido para los siguientes servicios:

Para obtener más información, consulte el Centro de orientación de Confianza cero.

Paso siguiente

Implementación para operaciones de seguridad unificadas