Creación del segundo nivel de defensa con servicios de seguridad de Microsoft Defender XDR

Muchas organizaciones operan en un entorno híbrido, con recursos hospedados tanto en Azure como en el entorno local. La mayoría de los recursos Azure, como las máquinas virtuales, las aplicaciones Azure y Microsoft Entra ID, se pueden proteger mediante los servicios de seguridad integrados de Azure.

Además, las organizaciones suelen suscribirse a Microsoft 365 para proporcionar a los usuarios aplicaciones como Word, Excel, PowerPoint y Exchange Online. Microsoft 365 también ofrece servicios de seguridad que se pueden usar para agregar una capa adicional de protección a algunos de los recursos de Azure más usados.

Para usar eficazmente Microsoft 365 servicios de seguridad, es importante comprender la terminología clave y la estructura de los servicios de Microsoft 365. En este cuarto artículo de una serie de cinco se exploran estos temas con mayor detalle, basándose en los conceptos tratados en artículos anteriores, especialmente:

• Mapear amenazas a tu entorno de TI
• Construya la primera capa de defensa con los servicios de seguridad de Azure

Microsoft 365 y Office 365 son servicios basados en la nube diseñados para satisfacer las necesidades de su organización para lograr una alta seguridad, confiabilidad y productividad mejorada del usuario. Microsoft 365 abarca servicios como Power Automate, Formularios, Stream, Sway y Office 365. Office 365 incluye específicamente el conjunto conocido de aplicaciones de productividad. Para obtener más información sobre las opciones de suscripción para estos dos servicios, consulte Microsoft 365 y Office 365 opciones de plan.

Dependiendo de la licencia que adquiera para Microsoft 365, también puede obtener los servicios de seguridad para Microsoft 365. Estos servicios de seguridad se denominan Microsoft Defender XDR, que proporciona varios servicios:

• Microsoft Defender para Endpoint
• Microsoft Defender for Identity
• Microsoft Defender para Office
• Microsoft Defender for Cloud Apps

• El acceso a "Microsoft Defender for Cloud Apps" a través de "security.microsoft.com" es diferente de "Microsoft Defender for Cloud" que es otra solución de seguridad a la que se accede a través de "portal.azure.com".

En el diagrama siguiente se muestra la relación de las soluciones y los servicios principales que Microsoft 365 ofertas, aunque no todos los servicios se enumeran.

Posibles casos de uso

A menudo, las personas se confunden con los servicios de seguridad Microsoft 365 y su rol en la ciberseguridad de TI. Una causa importante de esta confusión se debe a la similitud en los nombres, incluidos algunos servicios de seguridad de Azure como Microsoft Defender for Cloud (anteriormente Azure Security Center) y Defender for Cloud Apps (anteriormente Microsoft Cloud App Security).

Sin embargo, la confusión va más allá de la terminología. Algunos servicios proporcionan protecciones similares, pero para distintos recursos. Por ejemplo, Defender for Identity y Azure Identity Protection protegen los servicios de identidad, pero Defender for Identity protege las identidades locales (a través de la autenticación Active Directory Domain Services y Kerberos), mientras que Azure Identity Protection protege las identidades en la nube (a través de Microsoft Entra ID y autenticación de OAuth).

Estos ejemplos resaltan la importancia de comprender cómo Microsoft 365 los servicios de seguridad difieren de Azure servicios de seguridad. Al obtener esta comprensión, puede planificar de forma más eficaz su estrategia de seguridad en la nube de Microsoft, a la vez que mantiene una posición de seguridad sólida para su entorno de TI. Este artículo tiene como objetivo ayudarle a lograrlo.

En el diagrama siguiente se presenta un caso de uso real para Microsoft Defender XDR servicios de seguridad. Muestra los recursos que necesitan protección, los servicios que se ejecutan en el entorno y algunas posibles amenazas. Los servicios de Microsoft Defender XDR se posicionan en el centro, defendiendo los recursos de la organización de esas amenazas.

Arquitectura

La solución de detección y respuesta extendidas (XDR) de Microsoft, conocida como Microsoft Defender XDR, integra varias herramientas y servicios de seguridad para proporcionar protección, detección y respuesta unificadas entre puntos de conexión, identidades, correo electrónico, aplicaciones y entornos en la nube. Combina la inteligencia sobre amenazas avanzada, la automatización y el análisis controlado por inteligencia artificial para detectar y responder a amenazas cibernéticas sofisticadas en tiempo real, lo que permite a los equipos de seguridad mitigar rápidamente los riesgos y reducir el impacto de los ataques. Al consolidar los datos de seguridad de varios orígenes, Microsoft Defender XDR ayuda a las organizaciones a lograr una defensa completa y simplificada en toda su infraestructura de TI.

En el diagrama siguiente se muestra una capa etiquetada como DEFENDER, que representa los servicios de seguridad Microsoft Defender XDR. Agregar estos servicios al entorno de TI ayuda a crear una mejor defensa para el entorno. Los servicios del nivel de Defender pueden funcionar con Azure servicios de seguridad.

Descargue un archivo Visio de esta arquitectura.

©2021 La Corporación MITRE. Este trabajo se reproduce y distribuye con el permiso de The MITRE Corporation.

Flujo de trabajo

1. Microsoft Defender for Endpoint

   Defender para punto de conexión protege los puntos de conexión empresariales y está diseñado para ayudar a las redes a evitar, detectar, investigar y responder a amenazas avanzadas. Crea una capa de protección para las máquinas virtuales que se ejecutan en Azure y locales. Para obtener más información sobre lo que puede proteger, consulte Microsoft Defender for Endpoint.

2. Microsoft Defender for Cloud Apps

   Anteriormente conocido como Microsoft Cloud Application Security, Defender for Cloud Apps es un agente de seguridad de acceso a la nube (CASB) que admite varios modos de implementación. Estos modos incluyen la recopilación de registros, los conectores de API y el proxy inverso. Proporciona visibilidad enriquecida, control sobre el viaje de los datos y análisis sofisticados para identificar y combatir las ciberamenazas en todos los servicios en la nube de terceros y Microsoft. Proporciona protección y mitigación de riesgos para aplicaciones en la nube e incluso para algunas aplicaciones que se ejecutan en el entorno local. También proporciona una capa de protección para los usuarios que acceden a esas aplicaciones. Para obtener más información, consulte Microsoft Defender for Cloud Apps información general.

   Es importante no confundir Defender for Cloud Apps con Microsoft Defender for Cloud, lo que proporciona recomendaciones y una puntuación de la posición de seguridad de servidores, aplicaciones, cuentas de almacenamiento y otros recursos que se ejecutan en Azure, locales y en otras nubes. Defender for Cloud consolida dos servicios anteriores, Azure Security Center y Azure Defender.

3. Microsoft Defender para Office

   Defender for Office 365 protege a su organización frente a amenazas malintencionadas que representan mensajes de correo electrónico, vínculos (direcciones URL) y herramientas de colaboración. Proporciona protección para el correo electrónico y la colaboración. En función de la licencia, podrá agregar investigación, búsqueda y respuesta posteriores a la infracción, así como automatización y simulación (para el entrenamiento). Para obtener más información sobre las opciones de licencia, consulte Microsoft Defender for Office 365 información general sobre la seguridad.

4. Microsoft Defender for Identity

   Defender for Identity es una solución de seguridad basada en la nube que usa las señales de on-premises Active Directory para identificar, detectar e investigar amenazas avanzadas, identidades en peligro y acciones internas malintencionadas dirigidas a su organización. Protege Active Directory Domain Services (AD DS) que se ejecutan en el entorno local. Aunque este servicio se ejecuta en la nube, funciona para proteger las identidades locales. Defender for Identity se denominaba anteriormente Azure Advanced Threat Protection. Para obtener más información, consulte ¿Qué es Microsoft Defender for Identity?

   Si necesita protección para las identidades proporcionadas por Microsoft Entra ID y que se ejecuta de forma nativa en la nube, considere la posibilidad de Microsoft Entra ID Protection.

5. Intune (anteriormente parte del Microsoft Endpoint Manager

Microsoft Intune es un servicio basado en la nube que ayuda a las organizaciones a administrar y proteger sus dispositivos, aplicaciones y datos. Permite a los administradores de TI controlar cómo se usan los dispositivos de la empresa, como portátiles, smartphones y tabletas, lo que garantiza el cumplimiento de las directivas de seguridad. Con Intune, puede aplicar configuraciones de dispositivo, implementar software, administrar aplicaciones móviles y proteger los datos corporativos mediante características como acceso condicional y borrado remoto. Es especialmente útil para habilitar el trabajo remoto seguro, administrar dispositivos de propiedad corporativa y personal (BYOD) y garantizar la seguridad de los datos en diversas plataformas, como Windows, iOS, Android y macOS.

Otro servicio que formaba parte de Endpoint Manager es el Configuration Manager, una solución de administración local que le permite administrar equipos cliente y servidor que están en la red, conectados directamente o a través de Internet. Puede habilitar la funcionalidad en la nube para integrar Configuration Manager con Intune, Microsoft Entra ID, Defender para punto de conexión y otros servicios en la nube. Úselo para implementar aplicaciones, actualizaciones de software y sistemas operativos. También puede supervisar el cumplimiento, consultar objetos, actuar con los clientes en tiempo real y mucho más. Para obtener información sobre todos los servicios disponibles, consulte Administración de puntos de conexión en Microsoft.

Orden de ataque de las amenazas de ejemplo

Las amenazas denominadas en el diagrama siguen un orden de ataque común:

1. Un atacante envía un correo electrónico de suplantación de identidad con malware asociado.

2. Un usuario final abre el malware adjunto.

3. El malware se instala en el back-end sin que el usuario lo note.

4. El malware instalado roba credenciales de algunos usuarios.

5. El atacante usa las credenciales para poder acceder a cuentas confidenciales.

6. Si las credenciales proporcionan acceso a una cuenta con privilegios elevados, el atacante pone en peligro otros sistemas.

El diagrama también muestra en la capa etiquetada como DEFENDER qué servicios de Microsoft Defender XDR pueden supervisar y mitigar esos ataques. Este es un ejemplo de cómo Defender proporciona una capa adicional de seguridad que funciona con Azure servicios de seguridad para ofrecer protección adicional de los recursos que se muestran en el diagrama. Para más información sobre cómo los posibles ataques amenazan el entorno de TI, consulte el segundo artículo de esta serie, Relacionar amenazas con el entorno de TI. Para obtener más información sobre Microsoft Defender XDR, vea Microsoft Defender XDR.

Acceso y administración de servicios de seguridad de Microsoft Defender XDR

En el diagrama siguiente se muestran los portales disponibles actualmente y sus relaciones entre sí. En el momento de la actualización de estos artículos, es posible que algunos de esos portales ya estén en desuso.

Security.microsoft.com es actualmente el portal más importante disponible porque aporta funcionalidades de Microsoft Defender for Office 365 (1), desde Defender para punto de conexión (2), desde Defender para Office (3), Defender for Identity (5), Defender for Apps (4) y también para Microsoft Sentinel.

Es importante mencionar que Microsoft Sentinel tiene algunas características que todavía se ejecutan solo en el portal de Azure (portal.azure. com).

Por último, endpoint.microsoft.com proporciona funcionalidad principalmente para Intune y Configuration Manager, pero también para otros servicios que forman parte de Endpoint Manager. Dado que security.microsoft.com y endpoint.microsoft.com ofrecen protección de seguridad para los puntos de conexión, existen muchas interacciones entre ellos (9) que ofrecen una excelente posición de seguridad para los puntos de conexión.

Componentes

En la arquitectura de ejemplo de este artículo se usan los siguientes componentes de Azure:

• Microsoft Entra ID es un servicio de administración de acceso e identidades basado en la nube. Microsoft Entra ID ayuda a los usuarios a acceder a recursos internos y externos. En esta arquitectura, Microsoft Entra ID autentica a los usuarios que acceden a aplicaciones de Microsoft 365, Azure y software como servicio (SaaS). Actúa como base de identidad para la detección y respuesta de amenazas.

• Azure Virtual Network es un servicio de red en Azure que permite una comunicación segura entre los recursos de Azure, Internet y las redes locales. En esta arquitectura, proporciona la infraestructura de red privada que admite la conectividad segura y la segmentación de cargas de trabajo que Microsoft Defender XDR protege.

• Azure Load Balancer es un servicio de equilibrio de carga de nivel 4 de alto rendimiento para el tráfico del Protocolo de control de transmisión (TCP) y el protocolo de datagramas de usuario (UDP). En esta arquitectura, garantiza una alta disponibilidad y escalabilidad para los servicios que se ejecutan en Azure mediante la distribución del tráfico entre máquinas virtuales y contenedores.

• Azure Virtual Machines es una oferta de infraestructura como servicio (IaaS) que proporciona recursos de proceso escalables. En esta arquitectura, las máquinas virtuales hospedan cargas de trabajo que Microsoft Defender for Endpoint supervisan y protegen como parte de la solución de Microsoft Defender XDR.

• Azure Kubernetes Service (AKS) es un servicio de Kubernetes administrado para implementar y administrar aplicaciones en contenedor. En esta arquitectura, AKS ejecuta cargas de trabajo en contenedores que se integran en el marco de detección y respuesta de amenazas de Microsoft Defender XDR.

• Azure Virtual Desktop es un servicio de virtualización de aplicaciones y de escritorio que proporciona acceso remoto seguro a escritorios hospedados en la nube. En esta arquitectura, admite usuarios remotos. Defender para Endpoints supervisa Virtual Desktop para detectar y responder a amenazas de puntos de conexión.

• La característica Web Apps de Azure App Service hospeda aplicaciones web, API REST y back-ends móviles. Puede desarrollarse en su lenguaje elegido. Las aplicaciones se ejecutan y escalan con facilidad en entornos basados en Windows y Linux. En esta arquitectura, Web Apps hospeda aplicaciones basadas en HTTP que están protegidas mediante características de seguridad integradas y supervisadas para detectar amenazas.

• Azure Storage es un servicio de almacenamiento escalable y seguro para varios objetos de datos en la nube, incluidos object, blob, file, disk, queue y table storage. Azure Storage cifra todos los datos escritos en una cuenta de Azure storage. Proporciona un control específico sobre el acceso a los datos. En esta arquitectura, almacena datos de aplicación y sistema y está protegido por Defender for Cloud para garantizar la integridad de los datos y el control de acceso.

• Azure SQL Database es un motor de base de datos relacional administrado que automatiza la aplicación de revisiones, copias de seguridad y supervisión. En esta arquitectura, almacena datos estructurados y se beneficia de las características de seguridad integradas que se alinean con las funcionalidades de protección contra amenazas de Microsoft Defender XDR.

Colaboradores

Microsoft mantiene este artículo. Originalmente lo escribieron los siguientes colaboradores.

Autor principal:

• Rudnei Oliveira | Ingeniero sénior de clientes

Otros colaboradores:

• Gary Moore | Programador/escritor
• Andrew Nathan | Director de ingeniería de clientes sénior

Pasos siguientes

• Defiéndete de las amenazas con Microsoft 365
• Detect y responder a ataques cibernéticos con Microsoft Defender XDR
• Comience con Microsoft Defender XDR
• Implementar inteligencia de amenazas en Microsoft 365
• Administrar la seguridad con Microsoft 365
• Protégete contra amenazas maliciosas con Microsoft Defender for Office 365
• Proteja las identidades locales con Microsoft Defender for Cloud for Identity

Recursos relacionados

Para obtener más información sobre esta arquitectura de referencia, consulte los otros artículos de esta serie:

• Parte 1: Mapear amenazas al entorno de Tecnología de la Información
• Parte 2: Build the first layer of defense with Azure Security services
• Parte 4: Integration entre Azure y servicios de seguridad de Microsoft Defender XDR