Operaciones de seguridad centralizadas con identidades externas para organizaciones de defensa
Este artículo es para organizaciones de defensa multiinquilino con un equipo centralizado de operaciones de seguridad. Explica cómo puede administrar varios inquilinos y cumplir los requisitos de confianza cero con una única identidad y un dispositivo de acceso con privilegios. Con esta configuración, los operadores de seguridad no necesitan varias cuentas de usuario, credenciales y estaciones de trabajo para proteger el entorno. La configuración admite funcionalidades de confianza cero en inquilinos secundarios.
Descripción de los componentes de configuración
Este escenario combina Azure Lighthouse, Entra External ID, Entra Privileged Identity Management y administración multiinquilino en de Microsoft Defender XDR.
Usa Azure Lighthouse para administrar Microsoft Sentinel en inquilinos secundarios. Debes utilizar Azure Lighthouse para administrar las áreas de trabajo de Microsoft Sentinel en suscripciones de adjuntas a los inquilinos secundarios. Azure Lighthouse permite la administración multiinquilino con escalabilidad, mayor automatización y gobernanza mejorada en todos los recursos.
Azure Lighthouse permite que una entidad de seguridad principal (usuario, grupo o entidad de servicio) en un inquilino tenga un rol de Azure para administrar los recursos de un inquilino diferente. Con esta configuración, los operadores de seguridad de un inquilino principal pueden administrar sin problemas Sentinel y Defender for Cloud en todos los inquilinos.
Nota:
Los permisos para las áreas de trabajo de Microsoft Sentinel asociadas a inquilinos secundarios se pueden asignar a los usuarios locales al inquilino secundario, a los usuarios invitados B2B del inquilino principal o directamente a los usuarios del inquilino principal mediante Azure Lighthouse. Azure Lighthouse es la opción recomendada para Sentinel, ya que te permite ampliar las actividades entre áreas de trabajo a través de los límites del inquilino.
Usa Entra External ID para administrar Microsoft Defender para punto de conexión en inquilinos secundarios. No se puede utilizar Azure Lighthouse para compartir Microsoft Defender para puntos de conexión (MDE) entre inquilinos, por lo que es necesario utilizar identidades externas (invitados B2B). Las identidades externas permiten a los operadores de seguridad en el inquilino principal administrar MDE en un inquilino secundario sin iniciar sesión con otra cuenta o credencial. El operador de seguridad debe especificar el inquilino que usa. Deben incluir el identificador de inquilino en la dirección URL del portal de Microsoft Defender para especificar el inquilino. Los operadores deben marcar los portales de Microsoft Defender para cada inquilino que necesiten administrar. Para completar la configuración, es necesario configurar el acceso entre inquilinos en el inquilino secundario. Establece la configuración de confianza entrante para confiar en la autenticación multifactor (MFA) y el cumplimiento de dispositivos del inquilino principal. Esta configuración permite a los usuarios invitados administrar MDE sin crear excepciones para las directivas de acceso condicional existentes para los inquilinos secundarios.
Cuando habilitas Defender para servidores en una suscripción vinculada al inquilino secundario, la extensión MDE se implementa automáticamente y comienza a proporcionar señales de seguridad al servicio MDE. Usa el mismo inquilino secundario. Los permisos de MDE no pueden usar Azure Lighthouse. Debe asignarlos a usuarios o grupos en Microsoft Entra ID local (secundario). Debe incorporar operadores de seguridad como identidades externas (invitados B2B) en el inquilino secundario. A continuación, puede agregar el invitado a un rol MDE mediante un grupo de seguridad de Microsoft Entra. Con esta configuración, un operador de seguridad de inquilino principal puede realizar acciones de respuesta en servidores protegidos por MDE en el inquilino secundario.
Uso de Privileged Identity Management. Privileged Identity Management (PIM) de Microsoft Entra permite la elevación de funciones cuando sea necesario para roles de Azure y Microsoft Entra. PIM para grupos amplía esta funcionalidad a la pertenencia a grupos para grupos de Microsoft 365 y grupos de seguridad de Microsoft Entra. Una vez configurado PIM para grupos, es necesario revisar los miembros activos y elegibles del grupo privilegiado mediante la creación de una revisión de acceso de PIM para grupos.
Importante
Hay dos maneras de usar Entra Privileged Identity Management con Azure Lighthouse. Puedes usar PIM para grupos para elevar la pertenencia a un grupo de seguridad entra con una autorización permanente configurada en Azure Lighthouse, como se describe en la sección anterior. Otra opción es configurar Azure Lighthouse con autorizaciones aptas. Para obtener más información, consulta Incorporación de un cliente a Azure Lighthouse.
Configuración de operaciones de seguridad centralizadas
Para configurar operaciones de seguridad centralizadas para un entorno multiinquilino, debes configurar Azure Lighthouse, Entra External ID, y Entra Privileged Identity Management. Un operador de seguridad del inquilino principal puede usar una única identidad segura para varios inquilinos. Inician sesión una vez, elevan su acceso con PIM, supervisan los recursos entre inquilinos y servicios y responden a amenazas entre inquilinos (consulte la figura 1).
Figura 1. Cómo establecer operaciones de seguridad en organizaciones de defensa multiinquilino.
1. Implemente Sentinel y habilite Defender for Cloud. Crea un área de trabajo de Microsoft Sentinel en suscripciones asociadas a cada inquilino. Configure los conectores de datos pertinentes y habilite las reglas de análisis. Habilite las protecciones de cargas de trabajo mejoradas de Defender for Cloud para cargas de trabajo hospedadas, incluido Defender for Server, en todos los entornos de Azure y conecte Defender for Cloud a Microsoft Sentinel.
2. Configure PIM para las operaciones de seguridad de Azure. Crea un grupo asignación de roles (Azure SecOps en la figura 1) y asigna permanentemente el grupo a los roles de Azure que necesitan los operadores de seguridad. En el ejemplo se utiliza el Contribuidor de Microsoft Sentinel y el Lector de seguridad, pero también podría considerar el Contribuidor de aplicación lógica y otros roles que necesiten. Configure PIM para grupos para asignar operadores de seguridad como aptos para el grupo de Azure SecOps. Este enfoque permite al operador de seguridad elevar el acceso para todos los roles que necesitan en una solicitud PIM. Configura asignaciones de roles permanentes para el acceso de lectura si es necesario.
3. Configura PIM para las operaciones de seguridad de Microsoft Defender XDR. Crea un grupo de asignación de roles (Grupo de roles de Microsoft 365 en la Figura 1) para asignar permisos de Microsoft Defender. A continuación, cree un rol de PIM para el grupo de roles de Microsoft 365 y asigne la idoneidad para el operador de seguridad. Si no deseas administrar varios roles, puede usar el mismo grupo (Azure SecOps) que configuró en el paso 1 para asignar permisos de Microsoft Defender XDR y roles de Azure.
4. Configuración de Azure Lighthouse. Usa Azure Lighthouse para asignar roles a las suscripciones de recursos Azure del inquilino secundario. Use el identificador de objeto del grupo de Azure SecOps y el identificador de inquilino del inquilino principal. El ejemplo de la Figura 1 usa los roles Respondedor de Microsoft Sentinel y Lector de Seguridad. Configura asignaciones de roles permanentes mediante Azure Lighthouse para proporcionar acceso de lectura permanente si es necesario.
5. Configure el acceso de usuario externo en el inquilino secundario. Use la administración de derechos para configurar el escenario iniciado por el usuario final o use una invitación de invitado para traer operadores de seguridad de inquilino principal como identidades externas en el inquilino secundario. Configura las configuraciones de acceso entre inquilinos en el inquilino secundario están configuradas para confiar en MFA y en las reclamaciones de conformidad de dispositivos del inquilino principal. Cree un grupo asignación de roles (grupo de roles de Microsoft 365 en la Figura 1), asigne permisos Microsoft Defender para punto de conexión y configure un rol de PIM siguiendo el mismo proceso que el paso 2.
Administración de operaciones de seguridad centralizadas
Los operadores de seguridad necesitan cuentas y acceso apto para proteger el entorno y responder a amenazas. Los operadores de seguridad deberían saber a qué funciones pueden optar y cómo elevar sus permisos mediante PIM de Microsoft Entra. Para Microsoft Defender para punto de conexión (MDE), deben saber cómo cambiar entre inquilinos para buscar y responder a amenazas mediante MDE.
Los operadores de seguridad utilizan la configuración de operaciones de seguridad multiinquilino (consulta la figura 1) para proteger a varios inquilinos. Pueden supervisar, investigar y responder a amenazas en Microsoft 365 y Azure en todos los inquilinos de Microsoft Entra (consulte la figura 2).
Figura 2. Cómo utilizar una configuración de operaciones de seguridad multiinquilino.
1. Solicite el acceso a Sentinel y Defender for cloud. El operador de seguridad debe iniciar sesión en el Azure Portal para solicitar y activar el rol de Azure SecOps mediante PIM. Una vez que su rol está activo, puede acceder a Microsoft Sentinel y Defender for Cloud.
2. Use Azure Sentinel entre áreas de trabajo e inquilinos. Cuando su función Azure SecOps está activa, el operador de seguridad puede navegar a Microsoft Sentinel y realizar operaciones en todos los inquilinos. Configura Microsoft Defender XDR y conectores de datos de Defender for Cloud para las instancias de Sentinel en el inquilino principal y el inquilino secundario. Al configurar Azure Lighthouse para el rol de Azure SecOps, el operador de seguridad puede ver todas las alertas de Sentinel, consultar entre áreas de trabajo y administrar incidentes e investigaciones en todos los inquilinos.
3. Usa el portal de Microsoft Defender en el inquilino principal para responder a las amenazas de estación de trabajo. Cuando el operador de seguridad necesita acceso a Microsoft Defender XDR, usan PIM de Microsoft Entra para activar su rol de Microsoft 365. Esta pertenencia a grupos asigna permisos necesarios para responder a las amenazas de seguridad en los dispositivos de estación de trabajo administrados por Intune e incorporados a MDE en el inquilino principal. El operador de seguridad usa el portal de Microsoft Defender para realizar una acción de respuesta y aislar una estación de trabajo.
4. Usa el portal de Microsoft Defender en el inquilino secundario para responder a las amenazas del servidor. Cuando los operadores de seguridad necesitan responder a las amenazas detectadas por MDE para servidores en suscripciones de inquilinos secundarios, deben usar Microsoft Defender para el inquilino secundario. La administración multiinquilino en Microsoft Defender XDR simplifica este proceso y puede presentar una vista combinada de Microsoft Defender XDR en todos los inquilinos. El operador debe elevar el acceso de MDE en el inquilino secundario para poder iniciar una acción de respuesta. El operador de seguridad debe iniciar sesión en el portal de Azure o Entra y cambiar al directorio del inquilino secundario. A continuación, el operador de seguridad debe usar PIM para activar el grupo de roles de Microsoft 365. Una vez activo el rol, el operador puede ir al portal de Microsoft Defender. Desde aquí, el operador de seguridad puede iniciar una respuesta en directo para recopilar registros del servidor o realizar otras acciones de respuesta de MDE.
5. Use Lighthouse para administrar Defender for Cloud entre inquilinos. El operador de seguridad debe comprobar las recomendaciones de Defender for Cloud. El operador debe usar el Azure Portal para volver a cambiar los directorios al inquilino principal. Azure Lighthouse permite al operador de seguridad buscar recursos secundarios de Azure del inquilino principal. Defender for Cloud puede mostrar varias recomendaciones. Estas recomendaciones podrían ser habilitar el acceso cuando es necesario a las máquinas virtuales y los puertos de administración accesibles a través de Internet. En este escenario, el operador de seguridad no tiene el rol de Azure para implementar recomendaciones de Defender for Cloud. El operador de seguridad debe ponerse en contacto con el equipo de administración de la infraestructura del inquilino secundario para corregir la vulnerabilidad. El operador de seguridad también debe asignar Azure Policy para evitar la implementación de máquinas virtuales con puertos de administración expuestos.
Otros patrones de operaciones de seguridad
El patrón de administración presentado en este artículo es uno de los muchos patrones posibles mediante una combinación de identidades externas y Azure Lighthouse. Es posible que su organización decida implementar un patrón diferente que satisfaga mejor las necesidades de los operadores de seguridad.