Compartir vía

Pilotar e implementar Defender para Office 365

  • Artículo

Se aplica a:

  • Microsoft Defender XDR

En este artículo se proporciona un flujo de trabajo para probar e implementar Microsoft Defender para Office 365 en su organización. Puede usar estas recomendaciones para incorporar Microsoft Defender para Office 365 como una herramienta de ciberseguridad individual o como parte de una solución de un extremo a otro con Microsoft Defender XDR.

En este artículo se supone que tiene un inquilino de Producción de Microsoft 365 y que está pilotando e implementando Microsoft Defender para Office 365 en este entorno. Esta práctica mantendrá cualquier configuración y personalización que configure durante el piloto para la implementación completa.

Defender para Office 365 contribuye a una arquitectura Confianza cero al ayudar a evitar o reducir los daños empresariales de una infracción. Para obtener más información, consulte El marco de adopción de Microsoft Confianza cero impedir o reducir los daños empresariales de un escenario empresarial de vulneración.

Implementación de un extremo a otro para Microsoft Defender XDR

Este es el artículo 3 de 6 de una serie para ayudarle a implementar los componentes de Microsoft Defender XDR, incluida la investigación y respuesta a incidentes.

Diagrama que muestra Microsoft Defender para Office 365 en el proceso piloto e implementación Microsoft Defender XDR.

Los artículos de esta serie corresponden a las siguientes fases de la implementación de un extremo a otro:

Fase Vínculo
R. Iniciar el piloto Iniciar el piloto
B. Piloto e implementación de componentes de Microsoft Defender XDR - Prueba piloto e implementación de Defender for Identity

- Piloto e implementación Defender para Office 365 (este artículo)

- Piloto e implementación de Defender para punto de conexión

- Pilotar e implementar Microsoft Defender for Cloud Apps
C. Investigar y responder a amenazas Práctica de la investigación y respuesta a incidentes

Piloto e implementación del flujo de trabajo para Defender para Office 365

En el diagrama siguiente se muestra un proceso común para implementar un producto o servicio en un entorno de TI.

Diagrama de las fases de adopción piloto, evaluación y implementación completa.

Empiece por evaluar el producto o servicio y cómo funcionará dentro de su organización. A continuación, pilote el producto o servicio con un subconjunto adecuadamente pequeño de la infraestructura de producción para pruebas, aprendizaje y personalización. A continuación, aumente gradualmente el ámbito de la implementación hasta que se cubra toda la infraestructura o la organización.

Este es el flujo de trabajo para probar e implementar Defender para Office 365 en el entorno de producción.

Diagrama que muestra los pasos para realizar pruebas piloto e implementar Microsoft Defender para Office 365.

Siga estos pasos:

  1. Auditoría y comprobación del registro MX público
  2. Auditar dominios aceptados
  3. Auditoría de conectores de entrada
  4. Activación de la evaluación
  5. Creación de grupos piloto
  6. Configuración de la protección
  7. Probar las funcionalidades

Estos son los pasos recomendados para cada fase de implementación.

Fase de implementación Descripción
Calcular Realice la evaluación del producto para Defender para Office 365.
Piloto Realice los pasos 1 a 7 para los grupos piloto.
Implementación completa Configure los grupos de usuarios piloto en el paso 5 o agregue grupos de usuarios para expandirse más allá del piloto y, finalmente, incluya todas las cuentas de usuario.

Defender para Office 365 arquitectura y requisitos

En el diagrama siguiente se muestra la arquitectura de línea base para Microsoft Defender para Office 365, que puede incluir una puerta de enlace SMTP de terceros o una integración local. Los escenarios de coexistencia híbrida (es decir, los buzones de producción son locales y en línea) requieren configuraciones más complejas y no se tratan en este artículo ni en las instrucciones de evaluación.

Diagrama de la arquitectura de la Microsoft Defender para Office 365.

En la tabla siguiente se describe esta ilustración.

Llamada Descripción
1 El servidor host para el remitente externo normalmente realiza una búsqueda dns pública para un registro MX, que proporciona el servidor de destino para retransmitir el mensaje. Esta referencia puede ser Exchange Online (EXO) directamente o una puerta de enlace SMTP configurada para retransmitir en EXO.
2 Exchange Online Protection negocia y valida la conexión entrante e inspecciona los encabezados y el contenido del mensaje para determinar qué directivas, etiquetado o procesamiento adicionales son necesarios.
3 Exchange Online se integra con Microsoft Defender para Office 365 para ofrecer protección contra amenazas, mitigación y corrección más avanzadas.
4 Un mensaje que no es malintencionado, bloqueado o en cuarentena se procesa y entrega al destinatario en EXO, donde se evalúan y desencadenan las preferencias del usuario relacionadas con el correo no deseado, las reglas de buzón u otra configuración.
5 La integración con Active Directory local se puede habilitar mediante Microsoft Entra Connect para sincronizar y aprovisionar cuentas y objetos habilitados para correo para Microsoft Entra ID y, en última instancia, Exchange Online.
6 Al integrar un entorno local, es mejor usar un servidor exchange para la administración y administración compatibles de atributos, configuraciones y atributos relacionados con el correo.
7 Microsoft Defender para Office 365 comparte señales a Microsoft Defender XDR para la detección y respuesta extendidas (XDR).

La integración local es común pero opcional. Si el entorno es solo en la nube, esta guía también funciona para usted.

Una evaluación correcta de Defender para Office 365 o una prueba piloto de producción requiere los siguientes requisitos previos:

  • Todos los buzones de correo de destinatario están actualmente en Exchange Online.
  • El registro MX público se resuelve directamente en EOP o en una puerta de enlace de protocolo simple de transferencia de correo (SMTP) de terceros que, a continuación, retransmite el correo electrónico externo entrante directamente a EOP.
  • El dominio de correo electrónico principal está configurado como autoritativo en Exchange Online.
  • Implementó y configuró correctamente el bloqueo perimetral basado en directorios (DBEB) según corresponda. Para obtener más información, vea Usar Directory-Based bloqueo perimetral para rechazar los mensajes enviados a destinatarios no válidos.

Importante

Si estos requisitos no son aplicables o sigue en un escenario de coexistencia híbrida, una evaluación de Microsoft Defender para Office 365 puede requerir configuraciones más complejas o avanzadas que no se tratan completamente en esta guía.

Paso 1: Auditar y comprobar el registro MX público

Para evaluar de forma eficaz Microsoft Defender para Office 365, es importante que el correo electrónico externo entrante se transmita a través de la instancia de Exchange Online Protection (EOP) asociada al inquilino.

  1. En el portal de Administración M365 en https://admin.microsoft.com, expanda ... Mostrar todo si es necesario, expanda Configuración y, a continuación, seleccione Dominios. O bien, para ir directamente a la página Dominios , use https://admin.microsoft.com/Adminportal/Home#/Domains.
  2. En la página Dominios , seleccione el dominio de correo electrónico comprobado haciendo clic en cualquier lugar de la entrada que no sea la casilla.
  3. En el control flotante de detalles del dominio que se abre, seleccione la pestaña Registros DNS . Anote el registro MX que se genera y asigna a su inquilino de EOP.
  4. Acceda a la zona DNS externa (pública) y compruebe el registro MX principal asociado al dominio de correo electrónico:
    • Si el registro MX público coincide actualmente con la dirección EOP asignada (por ejemplo, contoso-com.mail.protection.outlook.com), no se deben requerir más cambios de enrutamiento.
    • Si el registro MX público se resuelve actualmente en una puerta de enlace SMTP local o de terceros, es posible que se requieran configuraciones de enrutamiento adicionales.
    • Si el registro MX público se resuelve actualmente en Exchange local, es posible que todavía esté en un modelo híbrido en el que algunos buzones de correo de destinatario aún no se hayan migrado a EXO.

Paso 2: Auditar dominios aceptados

  1. En el Centro de administración de Exchange (EAC) en https://admin.exchange.microsoft.com, expanda Flujo de correo y, a continuación, haga clic en Dominios aceptados. O bien, para ir directamente a la página Dominios aceptados , use https://admin.exchange.microsoft.com/#/accepteddomains.
  2. En la página Dominios aceptados , anote el valor de Tipo de dominio del dominio de correo electrónico principal.
    • Si el tipo de dominio está establecido en Autoritativo, se supone que todos los buzones de correo de destinatario de la organización residen actualmente en Exchange Online.
    • Si el tipo de dominio está establecido en InternalRelay, es posible que todavía esté en un modelo híbrido en el que algunos buzones de correo de destinatario siguen residiendo en el entorno local.

Paso 3: Auditoría de conectores de entrada

  1. En el Centro de administración de Exchange (EAC) en https://admin.exchange.microsoft.com, expanda Flujo de correoy, a continuación, haga clic en Conectores. O bien, para ir directamente a la página Conectores, use https://admin.exchange.microsoft.com/#/connectors.
  2. En la página Conectores , anote los conectores con la siguiente configuración:
    • El valor From es una organización de asociados que podría correlacionarse con una puerta de enlace SMTP de terceros.
    • El valor De es Su organización que podría indicar que sigue en un escenario híbrido.

Paso 4: Activar la evaluación

Siga estas instrucciones para activar la evaluación de Microsoft Defender para Office 365 desde el portal de Microsoft Defender.

Para obtener información detallada, consulte Probar Microsoft Defender para Office 365.

  1. En el portal de Microsoft Defender en https://security.microsoft.com, expanda Email & colaboración>, seleccione Directivas & reglas>, seleccione Directivas> de amenazas desplácese hacia abajo hasta la sección Otros y, a continuación, seleccione Modo de evaluación. O bien, para ir directamente a la página Modo de evaluación , use https://security.microsoft.com/atpEvaluation.

  2. En la página Modo de evaluación , haga clic en Iniciar evaluación.

    Captura de pantalla de la página Modo de evaluación y el botón Iniciar evaluación para hacer clic.

  3. En el cuadro de diálogo Activar protección , seleccione No, Solo quiero informes y, a continuación, haga clic en Continuar.

    Captura de pantalla del cuadro de diálogo Activar protección y la opción No, solo quiero que se seleccione el informe.

  4. En el cuadro de diálogo Seleccionar los usuarios que desea incluir , seleccione Todos los usuarios y, a continuación, haga clic en Continuar.

    Captura de pantalla del cuadro de diálogo Seleccionar los usuarios que desea incluir y la opción Todos los usuarios que se van a seleccionar.

  5. En el cuadro de diálogo Help us understand your mail flow (Ayudarnos a comprender el flujo de correo ), se selecciona automáticamente una de las siguientes opciones en función de la detección del registro MX para su dominio:

    • Solo estoy usando Microsoft Exchange Online: los registros MX de su dominio apuntan a Microsoft 365. No queda nada que configurar, por lo que haga clic en Finalizar.

      Captura de pantalla del cuadro de diálogo Ayudarnos a comprender el flujo de correo con la opción Solo estoy usando Microsoft Exchange Online seleccionada.

    • Estoy usando un proveedor de servicios local o de terceros: en las próximas pantallas, seleccione el nombre del proveedor junto con el conector de entrada que acepta correo de esa solución. También decide si necesita una regla de flujo de correo Exchange Online (también conocida como regla de transporte) que omita el filtrado de correo no deseado para los mensajes entrantes desde el dispositivo o servicio de protección de terceros. Cuando haya terminado, haga clic en Finalizar.

Paso 5: Creación de grupos piloto

Al probar Microsoft Defender para Office 365, puede optar por probar usuarios específicos antes de habilitar y aplicar directivas para toda la organización. La creación de grupos de distribución puede ayudar a administrar los procesos de implementación. Por ejemplo, cree grupos como Defender para Office 365 Users - Standard Protection, Defender para Office 365 Users - Strict Protection, Defender para Office 365 Users - Custom Protection o Defender para Office 365 Usuarios: excepciones.

Es posible que no sea evidente por qué "Estándar" y "Estricto" son los términos usados para estos grupos, pero eso quedará claro cuando explore más sobre Defender para Office 365 valores preestablecidos de seguridad. Los grupos de nombres "personalizados" y "excepciones" hablan por sí mismos, y aunque la mayoría de los usuarios deben estar bajo estándares y estrictos, los grupos personalizados y de excepciones recopilarán datos valiosos para usted con respecto a la administración de riesgos.

Los grupos de distribución se pueden crear y definir directamente en Exchange Online o sincronizarse desde Active Directory local.

  1. Inicie sesión en el Centro de Administración de Exchange (EAC) con https://admin.exchange.microsoft.com una cuenta a la que se le haya concedido el rol de administrador de destinatarios o que tenga permisos de administración de grupos delegados.

  2. Vaya a Destinatarios>Grupos.

    Captura de pantalla del elemento de menú Grupos.

  3. En la página Grupos, seleccione Agregar un icono de grupo.Agregue un grupo.

    Captura de pantalla de la opción Agregar un grupo.

  4. En Tipo de grupo, seleccione Distribución y, a continuación, haga clic en Siguiente.

    Captura de pantalla de la sección Elegir un tipo de grupo.

  5. Asigne al grupo un nombre y una descripción opcional y, a continuación, haga clic en Siguiente.

    Captura de pantalla de la sección Configurar los conceptos básicos.

  6. En las páginas restantes, asigne un propietario, agregue miembros al grupo, establezca la dirección de correo electrónico, las restricciones de unirse a la salida y otras configuraciones.

Paso 6: Configurar la protección

Algunas funcionalidades de Defender para Office 365 están configuradas y activadas de forma predeterminada, pero es posible que las operaciones de seguridad quieran aumentar el nivel de protección del valor predeterminado.

Algunas funcionalidades aún no están configuradas. Tiene las siguientes opciones para configurar la protección (que son fáciles de cambiar más adelante):

  • Asignar usuarios a directivas de seguridad preestablecidas: las directivas de seguridad preestablecidas son el método recomendado para asignar rápidamente un nivel uniforme de protección en todas las funcionalidades. Puede elegir entre Protección estándar o estricta . La configuración de Estándar y Estricto se describe en las tablas aquí. Las diferencias entre Estándar y Estricto se resumen en la tabla aquí.

    Las ventajas de las directivas de seguridad preestablecidas son proteger grupos de usuarios lo antes posible mediante la configuración recomendada de Microsoft en función de las observaciones de los centros de datos. A medida que se agregan nuevas funcionalidades de protección y a medida que cambia el panorama de seguridad, la configuración de las directivas de seguridad preestablecidas se actualiza automáticamente a nuestra configuración recomendada.

    La desventaja de las directivas de seguridad preestablecidas es que no se puede personalizar prácticamente ninguna de las opciones de seguridad de las directivas de seguridad preestablecidas (por ejemplo, no se puede cambiar una acción de entrega a correo no deseado a cuarentena o viceversa). La excepción son entradas y excepciones opcionales para la suplantación de usuario y la protección de suplantación de dominio, que debe configurar manualmente.

    Además, tenga en cuenta que las directivas de seguridad preestablecidas siempre se aplican antes que las directivas personalizadas. Por lo tanto, si desea crear y usar directivas personalizadas, deberá excluir a los usuarios de esas directivas personalizadas de las directivas de seguridad preestablecidas.

  • Configurar directivas de protección personalizadas: si prefiere configurar el entorno usted mismo, compare los valores predeterminados, Estándar y Estricto en Configuración recomendada para EOP y Microsoft Defender para Office 365 seguridad. Mantenga una hoja de cálculo en la que se desvía la compilación personalizada.

    También puede usar el analizador de configuración para comparar la configuración de las directivas personalizadas con los valores Estándar y Estricto.

Para obtener información detallada sobre cómo elegir directivas de seguridad preestablecidas frente a directivas personalizadas, consulte Determinación de la estrategia de directiva de protección.

Asignación de directivas de seguridad preestablecidas

Se recomienda empezar con las directivas de seguridad preestablecidas en EOP y Defender para Office 365 rápidamente mediante la asignación a usuarios piloto específicos o grupos definidos como parte de la evaluación. Las directivas preestablecidas ofrecen una plantilla de protección estándar de línea base o una plantilla de protección estricta más agresiva, que se puede asignar de forma independiente.

Por ejemplo, se podría aplicar una condición EOP para las evaluaciones piloto si los destinatarios son miembros de un grupo de protección estándar de EOP definido y, a continuación, se administran agregando cuentas al grupo o quitando la cuenta del mismo.

Del mismo modo, se podría aplicar una condición de Defender para Office 365 para las evaluaciones piloto si los destinatarios son miembros de un grupo definido Defender para Office 365 Standard Protection y, a continuación, se administran agregando o quitando cuentas a través del grupo.

Para obtener instrucciones completas, consulte Uso del portal de Microsoft Defender para asignar directivas de seguridad preestablecidas Estándar y Estricta a los usuarios.

Configuración de directivas de protección personalizadas

Las plantillas de directiva de Defender para Office 365 estándar o estricta predefinida proporcionan a los usuarios piloto la protección de línea base recomendada. Sin embargo, también puede crear y asignar directivas de protección personalizadas como parte de la evaluación.

Es importante tener en cuenta la precedencia que tienen estas directivas de protección cuando se aplican y aplican, como se explica en Orden de prioridad para las directivas de seguridad preestablecidas y otras directivas.

La explicación y tabla de Configuración de directivas de protección proporciona una referencia práctica para lo que necesita configurar.

Paso 7: Probar funcionalidades

Ahora que el piloto está configurado y configurado, resulta útil familiarizarse con las herramientas de informes, supervisión y simulación de ataques que son únicas para Microsoft Defender para Microsoft 365.

Funcionalidad Descripción Más información
Explorador de amenazas El Explorador de amenazas es una herramienta eficaz casi en tiempo real para ayudar a los equipos de operaciones de seguridad a investigar y responder a amenazas y muestra información sobre malware detectado y suplantación de identidad (phishing) en el correo electrónico y los archivos de Office 365, así como otras amenazas y riesgos de seguridad para su organización. Acerca del Explorador de amenazas
Aprendizaje de simulación de ataque Puede usar Entrenamiento de simulación de ataque en el portal de Microsoft Defender para ejecutar escenarios de ataque realistas en su organización, lo que le ayudará a identificar y encontrar usuarios vulnerables antes de que un ataque real afecte a su entorno. Introducción al uso de aprendizaje de simulación de ataques
Panel informes En el menú de navegación izquierdo, haga clic en Informes y expanda el encabezado Email & colaboración. Los informes de colaboración Email & se tratan de detectar tendencias de seguridad, algunas de las cuales le permitirán tomar medidas (a través de botones como "Ir a envíos") y otras que mostrarán tendencias. Estas métricas se generan automáticamente. Ver informes de seguridad de correo electrónico en el portal de Microsoft Defender

Ver informes Defender para Office 365 en el portal de Microsoft Defender

Integración de SIEM

Puede integrar Defender para Office 365 con Microsoft Sentinel o un servicio genérico de administración de eventos e información de seguridad (SIEM) para habilitar la supervisión centralizada de alertas y actividades de aplicaciones conectadas. Con Microsoft Sentinel, puede analizar eventos de seguridad de forma más completa en toda la organización y crear cuadernos de estrategias para obtener una respuesta eficaz e inmediata.

Diagrama que muestra la arquitectura de Microsoft Defender para Office 365 con integración SIEM.

Microsoft Sentinel incluye un conector de Defender para Office 365. Para obtener más información, consulte Conexión de alertas desde Microsoft Defender para Office 365.

Microsoft Defender para Office 365 también se pueden integrar en otras soluciones SIEM mediante la API de administración de actividad de Office 365. Para obtener información sobre la integración con sistemas SIEM genéricos, consulte Integración siem genérica.

Paso siguiente

Incorpore la información de Microsoft Defender para Office 365 Guía de operaciones de seguridad en los procesos de SecOps.

Siguiente paso para la implementación de un extremo a otro de Microsoft Defender XDR

Continúe con la implementación de un extremo a otro de Microsoft Defender XDR con Piloto e implemente Defender para punto de conexión.

Diagrama que muestra Microsoft Defender para punto de conexión en el proceso piloto e implementación Microsoft Defender XDR.

Sugerencia

¿Desea obtener más información? Participe con la comunidad de Seguridad de Microsoft en nuestra Tech Community: Tech Community de Microsoft Defender XDR.