Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Los puntos de conexión son dispositivos que acceden a los recursos y aplicaciones de una organización. Los lugares de trabajo modernos incluyen varios dispositivos que solicitan acceso desde dentro y fuera de la red corporativa.
Las soluciones de confianza cero para los puntos de conexión tratan de comprobar la seguridad de los dispositivos que acceden a los datos de trabajo, incluidas las aplicaciones que se ejecutan en los dispositivos. Los asociados pueden integrarse con las soluciones de punto de conexión de Microsoft para comprobar la seguridad de dispositivos y aplicaciones, aplicar directivas con privilegios mínimos y prepararse de antemano para las infracciones.
Esta guía es para proveedores de software y asociados tecnológicos que desean mejorar sus soluciones de seguridad de puntos de conexión mediante la integración con productos de Microsoft.
Guía de integración de Confianza cero para puntos de conexión
Esta guía de integración incluye instrucciones para la integración con los siguientes productos:
- Microsoft Defender para punto de conexión, que ayuda a las redes empresariales a evitar, detectar, investigar y responder a amenazas avanzadas.
- Microsoft Intune, que proporciona protección y seguridad para los dispositivos que usan los empleados y las aplicaciones que se ejecutan en esos dispositivos.
- Microsoft Defender para IoT, que proporciona seguridad en las redes de tecnología operativa (OT).
Microsoft Defender para punto de conexión
Microsoft Defender para punto de conexión es una plataforma de seguridad de punto de conexión empresarial diseñada para ayudar a las redes empresariales a prevenir, detectar, investigar y responder a amenazas avanzadas. Usa una combinación de sensores de comportamiento de punto de conexión, análisis de seguridad en la nube e inteligencia sobre amenazas.
Defender para punto de conexión admite aplicaciones que no son de Microsoft para ayudar a mejorar las funcionalidades de detección, investigación e inteligencia sobre amenazas de la plataforma. Además, los asociados pueden ampliar sus ofertas de seguridad existentes sobre el marco abierto y un amplio y completo conjunto de API para compilar extensiones e integraciones con Defender para punto de conexión.
En la página De oportunidades y escenarios de asociados de Microsoft Defender para punto de conexión se describen varias categorías de integraciones compatibles. Además, otras ideas para escenarios de integración pueden incluir:
- Optimización de la corrección de amenazas: Microsoft Defender para punto de conexión puede tomar respuestas inmediatas o asistidas por el operador para abordar las alertas. Los asociados pueden usar las acciones de respuesta del punto de conexión, como el aislamiento de la máquina, la cuarentena de archivos para bloquear IoC en el punto de conexión administrado.
- Combinar el control de acceso de red con la seguridad del dispositivo: las puntuaciones de riesgo o exposición se pueden usar para implementar y aplicar directivas para el acceso a la red y a las aplicaciones.
Para convertirse en un asociado de solución de Defender para punto de conexión, debe seguir y completar los pasos que se encuentran en Convertirse en asociado de Microsoft Defender para punto de conexión.
Microsoft Intune
Microsoft Intune, que incluye el servicio Microsoft Intune y Microsoft Configuration Manager, proporciona protección y seguridad para los dispositivos que usan los empleados y las aplicaciones que se ejecutan en esos dispositivos. Intune incluye directivas de cumplimiento de dispositivos que garantizan que los empleados accedan a aplicaciones y datos desde dispositivos que cumplan las directivas de seguridad de la empresa. También incluye directivas de protección de aplicaciones que proporcionan controles de seguridad basados en aplicaciones para dispositivos totalmente administrados y propiedad de los empleados.
Para integrarse con Microsoft Intune, los ISV usan Microsoft Graph y el SDK de administración de aplicaciones de Microsoft Intune. La integración de Intune con Microsoft Graph API permite cualquiera de las mismas funciones que ofrece la consola de administrador para Intune. Puede encontrar información como el estado de cumplimiento de dispositivos, la configuración de directivas de cumplimiento, la configuración de directivas de protección de aplicaciones y mucho más a través de Microsoft Graph API. Además, puede automatizar las tareas de Intune que mejoran aún más la historia de confianza cero del cliente. Las instrucciones generales para trabajar con Intune en Microsoft Graph están disponibles en el repositorio de documentación de Microsoft Graph. Aquí nos centramos en escenarios relacionados con Confianza cero.
Comprobación de que los dispositivos siguen los estándares de seguridad y cumplimiento
Las soluciones de ISV pueden usar la información de directivas y cumplimiento de dispositivos de Intune para admitir el principio de confianza cero de Verify Explícitamente. Los datos de cumplimiento sobre los usuarios y dispositivos de Intune permiten a la aplicación del ISV determinar la posición de riesgo de un dispositivo en relación con el uso de la aplicación. Al realizar estas comprobaciones, el ISV garantiza que los dispositivos que usan el servicio cumplan los estándares y directivas de seguridad y cumplimiento de los clientes.
Microsoft Graph API permite que los ISV se integren con Intune mediante un conjunto de API RESTful. Estas API son las mismas que usa el Centro de administración de Microsoft Intune para ver, crear, administrar, implementar e informar sobre todas las acciones, los datos y la actividad en Intune. Los elementos de interés específico para los ISV que admiten iniciativas de confianza cero son la capacidad de ver el estado de cumplimiento de dispositivos y configurar las reglas y directivas de cumplimiento. Consulte las recomendaciones de Microsoft para usar el identificador de Entra de Microsoft e Intune para la configuración y el cumplimiento de confianza cero: Protección de puntos de conexión con confianza cero. Las reglas de cumplimiento de Intune son fundamentales para la compatibilidad con el acceso condicional basado en dispositivos a través de Microsoft Entra ID. Los ISV también deben ver la característica de acceso condicional y las API para comprender cómo completar escenarios para el cumplimiento de dispositivos y usuarios y el acceso condicional.
Idealmente como ISV, la aplicación se conecta a las API de Microsoft Graph como una aplicación en la nube y establece una conexión de servicio a servicio. Las aplicaciones multiinquilino proporcionan a los ISV la definición y el control centralizados de la aplicación y permiten a los clientes dar su consentimiento individual a la aplicación ISV que funciona con sus datos de inquilino. Revise la información sobre inquilinos en Microsoft Entra ID para registrar y crear aplicaciones de Microsoft Entra únicas o multiinquilino. La autenticación de la aplicación puede usar microsoft Entra ID para el inicio de sesión único.
Después de crear la aplicación, debe acceder al dispositivo y a la información de cumplimiento mediante Microsoft Graph API. Puede encontrar documentación sobre el uso de Microsoft Graph en el Centro de desarrollo de Microsoft Graph. Microsoft Graph API es un conjunto RESTful de API que siguen los estándares de ODATA para el acceso y la consulta de datos.
Obtención del estado de cumplimiento del dispositivo
En este diagrama se muestra cómo fluye la información de cumplimiento de dispositivos desde el dispositivo a la solución de ISV. Los dispositivos de usuario final reciben directivas de Intune, un asociado de mobile threat defense (MTD) o un asociado de cumplimiento de administración de dispositivos móviles (MDM). Una vez recopilada la información de cumplimiento de los dispositivos, Intune calcula el estado general de cumplimiento de cada dispositivo y lo almacena en el identificador de Microsoft Entra. Con Microsoft Graph API, la solución puede leer y responder al estado de cumplimiento del dispositivo, aplicando los principios de Confianza cero.
Cuando se inscribe con Intune, se crea un registro de dispositivo en Intune con otros detalles del dispositivo, incluido el estado de cumplimiento del dispositivo. Intune reenvía el estado de cumplimiento del dispositivo a Microsoft Entra ID, donde el identificador de Microsoft Entra también almacena el estado de cumplimiento con cada dispositivo. Al crear un GET en https://graph.microsoft.com/v1.0/deviceManagement/managedDevices, puede ver todos los dispositivos inscritos para un inquilino y su estado de cumplimiento. O bien, puede consultar https://graph.microsoft.com/v1.0/devices para obtener una lista de los dispositivos registrados y inscritos de Microsoft Entra y su estado de cumplimiento.
Por ejemplo, esta solicitud:
GET https://graph.microsoft.com/v1.0/users/{usersId}/managedDevices/{managedDeviceId}
Devoluciones:
HTTP/1.1 200 OK
Content-Type: application/json
Content-Length: 5095
{
"value": {
"@odata.type": "#microsoft.graph.managedDevice",
"id": "705c034c-034c-705c-4c03-5c704c035c70",
"userId": "User Id value",
"deviceName": "Device Name value",
"managedDeviceOwnerType": "company",
"enrolledDateTime": "2016-12-31T23:59:43.797191-08:00",
"lastSyncDateTime": "2017-01-01T00:02:49.3205976-08:00",
"complianceState": "compliant",
...
}
También puede recuperar una lista de directivas de cumplimiento, sus implementaciones y el estado de los usuarios y dispositivos para esas directivas de cumplimiento. La información para llamar a Graph para obtener información de directiva de cumplimiento comienza aquí: Obtener deviceCompliancePolicy - Microsoft Graph v1.0. Una buena experiencia en las directivas de cumplimiento de dispositivos y cómo se usan aquí: Directivas de cumplimiento de dispositivos en Microsoft Intune : Azure.
Después de identificar una directiva específica, puede consultar para obtener el estado de un dispositivo para una configuración de directiva de cumplimiento determinada. Por ejemplo, suponiendo que se implementó una directiva de cumplimiento para requerir un código de acceso en el bloqueo, consulte Get deviceComplianceSettingState para el estado específico de esa configuración. Esta consulta indica si el dispositivo es compatible o no compatible con la configuración de bloqueo de código de acceso. Este mismo enfoque se puede usar para otras directivas de cumplimiento de dispositivos implementadas por los clientes.
La información de cumplimiento es fundamental para la característica de acceso condicional de Microsoft Entra ID. Intune determina el cumplimiento de dispositivos en función de las directivas de cumplimiento y escribe el estado de cumplimiento en el identificador de Microsoft Entra. A continuación, los clientes usan directivas de acceso condicional para determinar si se realizan acciones para no cumplimiento, incluido el bloqueo de que los usuarios accedan a datos corporativos desde un dispositivo no conforme.
Siga el principio de acceso con privilegios mínimos
Una integración de ISV con Intune quiere asegurarse de que su aplicación admite el principio de confianza cero para aplicar el acceso con privilegios mínimos. La integración de Intune admite dos métodos importantes de control de acceso: permisos delegados o permisos de aplicación. La aplicación del ISV debe usar uno de los modelos de permisos. Los permisos delegados proporcionan un control específico sobre los objetos específicos de Intune a los que tiene acceso la aplicación, pero requiere que un administrador inicie sesión con sus credenciales. En comparación, los permisos de aplicación permiten que la aplicación del ISV acceda o controle las clases de datos y objetos, en lugar de objetos individuales específicos, pero no requiere que un usuario inicie sesión.
Además de crear la aplicación como una aplicación multiinquilino o multiinquilino (preferida), debe declarar los permisos delegados o de aplicación requeridos por la aplicación para acceder a la información de Intune y realizar acciones en Intune. Vea información sobre cómo empezar a trabajar con permisos aquí: Configuración de permisos de aplicación para una API web.
Microsoft Defender para IoT
Las arquitecturas de red de tecnología operativa (OT) a menudo difieren de la infraestructura de TI tradicional, usando tecnología única con protocolos propietarios. Los dispositivos OT también pueden tener plataformas envejecidas con conectividad y potencia limitadas, o requisitos de seguridad específicos y exposiciones únicas a ataques físicos.
Implemente Microsoft Defender para IoT para aplicar principios de confianza cero a la red de OT, supervisando el tráfico para un comportamiento anómalo o no autorizado a medida que el tráfico cruza sitios y zonas. Observe las amenazas y vulnerabilidades específicas de los dispositivos OT, mitigando los riesgos a medida que se detectan.
Acelerar las operaciones mediante el uso compartido de datos de Defender para IoT en el centro de operaciones de seguridad (SOC) y en otras partes de la organización. Se integra con los servicios de Microsoft, como Microsoft Sentinel y Defender para punto de conexión, u otros servicios asociados, incluidos los sistemas de siEM y vales. Por ejemplo:
Reenvíe datos de alertas locales directamente a SIEM, como Splunk, IBM QRadar, etc. Splunk e IBM QRadar también admiten la ingesta de Event Hubs, que puede usar para reenviar alertas en la nube desde Defender para IoT.
Integración con Operational Technology Manager de ServiceNow para importar datos de Defender para IoT a ServiceNow y acción basada en riesgos con el contexto del proceso de producción.
Para obtener más información, consulte:
- Introducción a la supervisión de la seguridad de OT
- Confianza cero y las redes de OT
- Supervisión con confianza cero
- Catálogo de integración de Defender para IoT