Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
En esta guía de solución se muestra cómo configurar las herramientas de detección y respuesta extendidas (XDR) de Microsoft y cómo integrarlas con Microsoft Sentinel para que su organización pueda responder y corregir los ataques de ciberseguridad más rápido.
XDR de Microsoft Defender es una solución XDR que recopila, correlaciona y analiza automáticamente los datos de señal, amenaza y alerta de todo el entorno de Microsoft 365.
Microsoft Sentinel es una solución nativa de la nube que proporciona funcionalidades de administración de eventos e información de seguridad (SIEM) y orquestación de seguridad, automatización y respuesta (SOAR). Juntos, Microsoft Sentinel y XDR de Microsoft Defender proporcionan una solución completa para ayudar a las organizaciones a defenderse contra ataques modernos.
Esta guía le ayuda a mejorar la arquitectura de Confianza Cero mediante el mapeo de los principios de Confianza Cero de las maneras siguientes:
| Principio de confianza cero | Forma de cumplimiento |
|---|---|
| Comprobación explícita | Microsoft Sentinel recopila datos de todo el entorno y analiza amenazas y anomalías para que su organización y cualquier automatización pueda actuar sobre los datos comprobados. XDR de Microsoft Defender proporciona detección y respuesta extendidas entre usuarios, identidades, dispositivos, aplicaciones y correos electrónicos. Configure la automatización de Microsoft Sentinel para usar señales basadas en riesgos capturadas por XDR de Microsoft Defender para tomar medidas, como bloquear o autorizar el tráfico en función del riesgo. |
| Uso del acceso con privilegios mínimos | Microsoft Sentinel detecta actividades anómalas a través de su motor UEBA. A medida que los escenarios de seguridad cambian rápidamente, su inteligencia sobre amenazas importa datos de Microsoft y proveedores de terceros para detectar y contextualizar amenazas emergentes. XDR de Microsoft Defender incluye Protección de Identidad de Microsoft Entra para bloquear a los usuarios en función del riesgo de identidad. Incorporar datos relacionados a Microsoft Sentinel para un análisis y automatización adicionales. |
| Dar por hecho que habrá intrusiones al sistema | XDR de Microsoft Defender examina continuamente el entorno en busca de amenazas y vulnerabilidades. Microsoft Sentinel analiza los datos recopilados y las tendencias de comportamiento para detectar actividades sospechosas, anomalías y amenazas de varias fases en toda la empresa. Tanto XDR de Microsoft Defender como Microsoft Sentinel implementan tareas de corrección automatizadas, incluidas investigaciones, aislamiento de dispositivos y cuarentena de datos. Usa el riesgo del dispositivo como indicador en el acceso condicional de Microsoft Entra. |
Introducción a XDR de Microsoft Defender
La implementación de XDR de Microsoft Defender es un excelente punto de partida para crear capacidades de detección y respuesta de incidentes dentro de su organización. Defender XDR se incluye con Microsoft 365 E5 e incluso puede empezar a usar licencias de prueba de Microsoft 365 E5. XDR de Defender se puede integrar con Microsoft Sentinel o con una herramienta SIEM genérica.
Para obtener más información, consulte Pilotar e implementar XDR de Microsoft Defender.
Arquitectura de Microsoft Sentinel y XDR
Los clientes de Microsoft Sentinel pueden usar uno de estos métodos para integrar Microsoft Sentinel con los servicios XDR de Microsoft Defender:
Incorpore Microsoft Sentinel al portal de Defender para usarlo junto con XDR de Microsoft Defender para operaciones de seguridad unificadas. Vea los datos de Microsoft Sentinel directamente en el portal de Defender junto con los incidentes, alertas, vulnerabilidades y datos de seguridad de Defender.
Use conectores de datos de Microsoft Sentinel para ingerir datos del servicio XDR de Microsoft Defender en Microsoft Sentinel. Vea los datos de Microsoft Sentinel en Azure Portal.
Este centro de instrucciones proporciona información para ambos métodos. Si ha incorporado el área de trabajo al portal de Defender, úsela; Si no es así, use Azure Portal a menos que se indique lo contrario.
En la ilustración siguiente se muestra cómo se integra la solución XDR de Microsoft con Microsoft Sentinel en el portal de Defender.
En este diagrama:
- La información de las señales de toda la organización llega a Microsoft Defender XDR y Microsoft Defender for Cloud.
- Microsoft Sentinel proporciona compatibilidad con entornos multinube y se integra con aplicaciones de terceros y asociados.
- Los datos de Microsoft Sentinel se ingieren junto con los datos de la organización en el portal de Microsoft Defender.
- Los equipos de SecOps pueden analizar y responder a amenazas identificadas por Microsoft Sentinel y XDR de Microsoft Defender en el portal de Microsoft Defender.
Funcionalidades clave
Implemente un enfoque de confianza cero para administrar incidentes mediante las características de Microsoft Sentinel y XDR de Defender. En el caso de las áreas de trabajo incorporadas al portal de Defender, use Microsoft Sentinel en el portal de Defender.
| Funcionalidad o característica | Descripción | Producto |
|---|---|---|
| Respuesta de & de investigación automatizada (AIR) | Las funcionalidades de AIR están diseñadas para examinar alertas y tomar medidas inmediatas para resolver las infracciones. Las capacidades de investigación y corrección automatizada reducen significativamente el volumen de alertas, lo que permite que las operaciones de seguridad se centren en amenazas más sofisticadas y en otras iniciativas de alto valor. | Microsoft Defender XDR |
| Búsqueda avanzada de amenazas | La búsqueda avanzada es una herramienta de búsqueda de amenazas basada en consultas que le permite explorar hasta 30 días de datos sin procesar. Puede inspeccionar de forma proactiva los eventos de la red para buscar indicadores de amenazas y entidades. El acceso flexible a los datos permite realizar búsquedas sin restricciones de amenazas conocidas y potenciales. | Microsoft Defender XDR |
| Indicadores de archivos personalizados | Evite la propagación adicional de un ataque en su organización prohibiendo archivos potencialmente malintencionados o sospechosos de malware. | Microsoft Defender XDR |
| Cloud Discovery | Cloud Discovery analiza los registros de tráfico recopilados por Defender para punto de conexión y evalúa las aplicaciones identificadas en el catálogo de aplicaciones en la nube para proporcionar información de cumplimiento y seguridad. | Microsoft Defender para aplicaciones en la nube |
| Indicadores de red personalizados | Al crear indicadores para direcciones IP y direcciones URL o dominios, ahora puede permitir o bloquear direcciones IP, direcciones URL o dominios según su propia inteligencia sobre amenazas. | Microsoft Defender XDR |
| Bloque de detección y respuesta de puntos de conexión (EDR) | Proporciona protección adicional contra artefactos malintencionados cuando El Antivirus de Microsoft Defender (MDAV) no es el producto antivirus principal y se ejecuta en modo pasivo. EDR en modo de bloque funciona en segundo plano para corregir artefactos malintencionados detectados por las funcionalidades de EDR. | Microsoft Defender XDR |
| Funcionalidades de respuesta del dispositivo | Responder rápidamente a ataques detectados mediante el aislamiento de dispositivos o la recopilación de un paquete de investigación | Microsoft Defender XDR |
| Respuesta inmediata | La respuesta dinámica proporciona a los equipos de operaciones de seguridad acceso instantáneo a un dispositivo (también conocido como máquina) mediante una conexión de shell remoto. Esto le ofrece la capacidad de realizar un trabajo de investigación en profundidad y tomar medidas de respuesta inmediatas para contener rápidamente amenazas identificadas en tiempo real. | Microsoft Defender XDR |
| Protección de aplicaciones en la nube | Una solución de operaciones de seguridad de desarrollo (DevSecOps) que unifica la administración de seguridad en el nivel de código en entornos multinube y varias canalizaciones. | Microsoft Defender for Cloud |
| Mejorar la posición de seguridad | Una solución de administración de la posición de seguridad en la nube (CSPM) que muestra las acciones que puede realizar para evitar infracciones. | Microsoft Defender for Cloud |
| Protección de cargas de trabajo en la nube | Una plataforma de protección de cargas de trabajo en la nube (CWPP) con protecciones específicas para servidores, contenedores, almacenamiento, bases de datos y otras cargas de trabajo. | Microsoft Defender for Cloud |
| Análisis de comportamiento de usuarios y entidades (UEBA) | Analiza el comportamiento de las entidades de la organización, como usuarios, hosts, direcciones IP y aplicaciones. | Microsoft Sentinel |
| Fusión | Un motor de correlación basado en algoritmos de aprendizaje automático escalables. Detecta automáticamente ataques de varias fases también conocidos como amenazas persistentes avanzadas (APT) mediante la identificación de combinaciones de comportamientos anómalos y actividades sospechosas que se observan en varias fases de la cadena de eliminación. | Microsoft Sentinel |
| Inteligencia sobre amenazas | Use proveedores de terceros de Microsoft para enriquecer los datos para proporcionar contexto adicional en torno a actividades, alertas y registros en su entorno. | Microsoft Sentinel |
| Automatización | Las reglas de automatización son una manera de administrar de forma centralizada la automatización con Microsoft Sentinel, ya que permite definir y coordinar un pequeño conjunto de reglas que se pueden aplicar en distintos escenarios. | Microsoft Sentinel |
| Reglas de anomalías | Las plantillas de regla de anomalías usan el aprendizaje automático para detectar tipos específicos de comportamiento anómalo. | Microsoft Sentinel |
| Consultas programadas | Reglas integradas escritas por expertos en seguridad de Microsoft que buscan en los logs recopilados por Microsoft Sentinel cadenas de actividad sospechosa y amenazas conocidas. | Microsoft Sentinel |
| Reglas casi en tiempo real (NRT) | Las reglas de NRT son un conjunto limitado de reglas programadas, diseñadas para ejecutarse una vez cada minuto, con el fin de proporcionarle información tan up-topronto como sea posible. | Microsoft Sentinel |
| Búsqueda de ciberamenazas | Para ayudar a los analistas de seguridad a buscar de forma proactiva nuevas anomalías que no detectaron las aplicaciones de seguridad o incluso mediante las reglas de análisis programadas, las consultas de búsqueda integradas de Microsoft Sentinel le guían a formular las preguntas adecuadas para encontrar problemas en los datos que ya tiene en la red. | Microsoft Sentinel En el caso de las áreas de trabajo incorporadas al portal de Defender, use la funcionalidad de búsqueda avanzada del portal de Microsoft Defender. |
| Conector XDR de Microsoft Defender | El conector XDR de Microsoft Defender sincroniza registros e incidentes con Microsoft Sentinel. | Microsoft Defender XDR y Microsoft Sentinel |
| Conectores de datos | Permitir la ingesta de datos para el análisis en Microsoft Sentinel. | Microsoft Sentinel |
| Solución de centro de contenido -Zero confianza (TIC 3.0) | Zero Trust (TIC 3.0) incluye un cuaderno de trabajo, reglas analíticas y un cuaderno de estrategias, que proporciona una visualización automatizada de los principios de confianza cero, adaptada al marco de conexiones de Internet de confianza, lo que ayuda a las organizaciones a supervisar las configuraciones a lo largo del tiempo. | Microsoft Sentinel |
| Orquestación de seguridad, automatización y respuesta (SOAR) | El uso de reglas de automatización y cuadernos de estrategias en respuesta a amenazas de seguridad aumenta la eficacia del SOC y ahorra tiempo y recursos. | Microsoft Sentinel |
| Optimizaciones de SOC | Cierre las brechas de cobertura contra amenazas específicas y optimice las tasas de procesamiento para datos que no aportan valor de seguridad. | Microsoft Sentinel En el caso de las áreas de trabajo incorporadas al portal de Defender, use la optimización de SOC en el portal de Microsoft Defender. |
¿Qué hay en esta solución?
Esta solución ayuda al equipo de operaciones de seguridad a corregir incidentes mediante un enfoque de confianza cero guiándole a través de la implementación de Microsoft Sentinel y XDR de Microsoft Defender. La implementación incluye estas fases:
| Fase | Descripción |
|---|---|
| 1. Pilotar e implementar servicios XDR de Microsoft Defender | Empiece por probar los servicios XDR de Microsoft Defender para que pueda evaluar sus características y funcionalidades antes de completar la implementación en toda la organización. |
| 2. Planear la implementación | A continuación, planee la implementación completa de SIEM y XDR, incluidos los servicios XDR y el área de trabajo de Microsoft Sentinel. |
| 3. Configurar herramientas de XDR y diseñar el área de trabajo | En esta fase, implemente los servicios XDR que decidió usar en su entorno, implemente Microsoft Sentinel y otros servicios para admitir la solución SIEM y XDR. Si tiene previsto trabajar desde Azure Portal, omita el paso para conectar Microsoft Sentinel al portal de Microsoft Defender. Este paso solo es relevante si desea usar el portal de Microsoft Sentinel Defender y no es relevante si desea responder a incidentes en Azure Portal. |
| 4. Responder a incidentes | Por último, responda a los incidentes según si está registrado en el portal de Microsoft Defender. - Respuesta a un incidente desde el portal de Defender - Respuesta a un incidente desde Azure Portal |
Contenido relacionado
Para obtener más información, consulte Seguridad de confianza cero con Microsoft Sentinel y Defender XDR y el contenido relacionado para tu portal:
Para obtener más información sobre cómo aplicar principios de confianza cero en Microsoft 365, consulte:
- Plan de implementación de Confianza cero con Microsoft 365
- Despliegue su infraestructura de identidad para Microsoft 365
- configuraciones de acceso a dispositivos y identidades de confianza cero
- Administrar dispositivos con Microsoft Intune
- Administrar la privacidad de los datos y la protección de datos con Microsoft Priva y Microsoft Purview
- Integrar aplicaciones SaaS para Confianza Cero con Microsoft 365