Practique la administración de la seguridad

  • 30 minutos

Administración de amenazas y vulnerabilidades

Panel de administración de amenazas y vulnerabilidades.

Para poder ejecutar un programa de seguridad de forma satisfactoria y reducir los riesgos en la organización, es esencial identificar, evaluar y solucionar con eficacia las debilidades de los puntos de conexión. La administración de amenazas y vulnerabilidades funciona a modo de infraestructura para reducir la exposición en la organización, fortalecer la superficie de los puntos de conexión y aumentar la resistencia de la organización.

Esta infraestructura permite a las organizaciones detectar vulnerabilidades y errores de configuración en tiempo real por medio de sensores, sin necesidad de agentes ni análisis periódicos. Prioriza los problemas en función de muchos factores. Estos factores pueden ser, entre otros, el panorama de amenazas, las detecciones en la organización, la información confidencial que contienen los dispositivos vulnerables y el contexto empresarial.

La administración de amenazas y vulnerabilidades está integrada, en tiempo real, con tecnología de nube y totalmente integrada con la pila de seguridad de puntos de conexión de Microsoft, Microsoft Intelligent Security Graph y el análisis de aplicaciones knowledge base. Puede crear un vale o una tarea de seguridad mediante la integración con Microsoft Intune y Microsoft Endpoint Manager.

Proporciona las siguientes soluciones para las lagunas de las operaciones de seguridad, la administración de seguridad y la administración de TI:

  • Información de detección y respuesta de puntos de conexión (EDR) en tiempo real correlacionada con las vulnerabilidades de los puntos de conexión.
  • Datos de evaluación de la configuración de seguridad y las vulnerabilidades de los equipos conectados en el contexto de detección de la exposición.
  • Procesos de corrección integrados a través de Microsoft Intune y Microsoft Endpoint Manager.

Por ejemplo, por medio de las recomendaciones de seguridad que se encuentran en el portal, un administrador puede solicitar que se actualice una aplicación, lo cual enviaría una notificación al equipo de Intune para que resuelva la solicitud.

Recomendaciones de seguridad.

Reducción de la superficie expuesta a ataques

Las funcionalidades de reducción de la superficie expuesta a ataques constituyen la primera línea de defensa de la pila, ya que garantizan que las opciones de configuración estén establecidas correctamente y que se apliquen técnicas de mitigación de vulnerabilidades.

  • El aislamiento basado en hardware protege y mantiene la integridad del sistema cuando este se inicia y mientras se está ejecutando, y valida la integridad del sistema mediante la atestación local y remota. El aislamiento de contenedores para Microsoft Edge ayuda a proteger el sistema operativo host frente a los sitios web malintencionados.
  • El control de aplicaciones se aleja del modelo tradicional de confianza en las aplicaciones, donde todas las aplicaciones son consideradas de confianza de forma predeterminada, para usar un modelo en el que las aplicaciones deben demostrar que son de confianza para poder ejecutarse.
  • La protección contra vulnerabilidades aplica técnicas de mitigación en las aplicaciones que usa la organización, tanto individualmente como en toda la organización.
  • Protección de red: amplía la protección contra malware e ingeniería social proporcionada por SmartScreen de Microsoft Defender en Microsoft Edge para cubrir la conectividad y el tráfico de red en los dispositivos de la organización.
  • El acceso controlado a carpetas ayuda a proteger los archivos de las carpetas clave del sistema frente a los cambios realizados por aplicaciones malintencionadas y sospechosas, incluido el malware ransomware de cifrado de archivos.
  • La reducción de la superficie expuesta a ataquesreduce la superficie de las aplicaciones expuesta a ataques por medio de reglas inteligentes que detienen los vectores utilizados por el malware basado en Office, script y correo electrónico.
  • El firewall de red usa un filtrado de tráfico de red bidireccional basado en host que bloquea el tráfico de red no autorizado que entra o sale del dispositivo local.

En la captura de pantalla siguiente se muestra un gráfico de detecciones contra una regla de reducción de superficie expuesta a ataques que protege las aplicaciones de Office:

Reglas de reducción de la superficie expuesta a ataques.

Protección de última generación

El Antivirus de Microsoft Defender es una solución antimalware integrada que proporciona una protección de última generación para equipos de escritorio, equipos portátiles y servidores. El Antivirus de Microsoft Defender incluye:

  • Protección en la nube para detectar y bloquear amenazas nuevas y emergentes de forma casi instantánea. Junto con Intelligent Security Graph y el aprendizaje automático, la protección en la nube forma parte de las tecnologías de última generación utilizadas por el Antivirus de Microsoft Defender.
  • Exploración continua, que usa la supervisión avanzada del comportamiento de procesos y archivos, y otras medidas heurísticas (también se conoce como "protección en tiempo real").
  • Actualizaciones de protección dedicadas basadas en el aprendizaje automático, análisis de macrodatos realizados de forma automatizada y por personas, e investigación exhaustiva de la resistencia ante amenazas.

Deben tenerse en cuenta las siguientes opciones de configuración de proxy y red:

  • El sensor de Microsoft Defender para punto de conexión requiere HTTP de Microsoft Windows (WinHTTP) para informar los datos del sensor y comunicarse con el servicio Microsoft Defender para punto de conexión.
  • El sensor integrado de Microsoft Defender para punto de conexión se ejecuta en el contexto del sistema por medio de la cuenta LocalSystem. El sensor usa los servicios HTTP de Microsoft Windows (WinHTTP) para habilitar la comunicación con el servicio en la nube Microsoft Defender para punto de conexión.
  • La configuración de WinHTTP es independiente de la configuración de proxy de exploración de Internet de Windows Internet (WinINet) y solo puede detectar un servidor proxy mediante los siguientes métodos de detección automática:
    • Proxy transparente
    • Protocolo de detección automática de proxy web (WPAD)

Detección y respuesta de puntos de conexión.

Microsoft Defender para punto de conexión funcionalidades de detección y respuesta de puntos de conexión proporciona detecciones avanzadas de ataques casi en tiempo real y accionables. Los analistas de seguridad pueden asignar prioridades a las alertas de forma eficaz, obtener visibilidad para todo el ámbito de la vulneración y llevar a cabo acciones de respuesta para corregir las amenazas.

Cuando se detecta una amenaza, se crean alertas en el sistema para que un analista la investigue. Las alertas con las mismas técnicas de ataque o atribuidas al mismo atacante se agregan a una entidad denominada incidente. Agregar alertas de esta manera permite a los analistas investigar y responder de forma colectiva a las amenazas con facilidad.

Inspirado en la idea de "asumir que se producirá una vulneración", Microsoft Defender para punto de conexión recopila continuamente la telemetría cibernética de comportamiento. Que incluye información de procesos, actividades de red, óptica profunda en el kernel y el administrador de memoria, actividades de inicio de sesión de usuario, cambios del sistema de archivos y registro, entre otros. La información se almacena durante seis meses, lo que permite que un analista vuelva atrás hasta el momento de inicio de un ataque. El analista puede triangular varias vistas y plantear una investigación a través de varios vectores.

El panel Operaciones de seguridad (que se muestra en la captura de pantalla) es donde se exponen las funcionalidades de detección y respuesta de puntos de conexión. Proporciona información general de alto nivel sobre los lugares en los que se han visto las detecciones y destaca los lugares en los que se necesitan acciones de respuesta.

Captura de pantalla del panel operaciones de seguridad.

Investigación y corrección automatizadas

Microsoft Defender para punto de conexión ofrece una amplia visibilidad en varios equipos. Con este tipo de óptica, el servicio genera un gran número de alertas. Para un equipo normal de operaciones de seguridad, puede ser complicado gestionar de forma individual el volumen de alertas que se genera. Para facilitar este desafío, Microsoft Defender para punto de conexión usa funcionalidades automatizadas de investigación y corrección que reducen significativamente el volumen de alertas que deben investigarse de forma independiente.

Investigaciones automatizadas.

La característica de investigación automatizada usa varios algoritmos de inspección y procesos utilizados por analistas (como cuadernos de estrategias) para examinar las alertas y llevar a cabo acciones de corrección inmediatas para resolver las infracciones. Esto reduce considerablemente el volumen de alertas, lo que facilita que los expertos de operaciones de seguridad puedan centrarse en amenazas más complejas y otras iniciativas de alto valor. En la siguiente captura de pantalla de la investigación, podemos ver que se ha detectado malware y que este se ha corregido automáticamente:

Malware detectado y corregido.

Descubra cómo reducir los riesgos en la organización con la administración de amenazas y vulnerabilidades

Vea una versión en vídeo de la guía interactiva (subtítulos disponibles en más idiomas).

Reducir los riesgos en la organización con la Administración de amenazas y vulnerabilidades.

Asegúrese de seleccionar la opción de pantalla completa en el reproductor de vídeo. Cuando haya terminado, use la flecha Atrás del explorador para volver a esta página.