Protección de la red empresarial contra amenazas avanzadas mediante Microsoft Defender para punto de conexión
- 8 minutos
Microsoft Defender para punto de conexión es una plataforma empresarial para la seguridad de puntos de conexión concebida para ayudar a impedir, detectar e investigar las amenazas avanzadas, y responder a ellas. Defender para punto de conexión usa una combinación de las siguientes tecnologías integradas en Windows 10 y 11 y el sólido servicio en la nube de Microsoft:
- Sensores de comportamiento de punto final. Los sensores insertados en Windows 10 y 11 recopilan y procesan señales de comportamiento del sistema operativo. Estos envían dichos datos a la instancia privada, aislada y en la nube de Microsoft Defender para punto de conexión de la organización.
- Análisis de seguridad en la nube. Usa macrodatos, aprendizaje de dispositivos y ópticas únicas de Microsoft en todo el ecosistema de Windows, productos en la nube empresarial (como Microsoft 365) y activos en línea. El análisis de seguridad en la nube traduce las señales de comportamiento en conclusiones, detecciones y respuestas recomendadas a amenazas avanzadas.
- Inteligencia sobre amenazas. La inteligencia sobre amenazas permite a Microsoft Defender para punto de conexión identificar las herramientas, técnicas y procedimientos del atacante. También genera alertas que aparecen en los datos del sensor recopilados. Los cazadores internos y los equipos de seguridad de Microsoft generan datos de inteligencia sobre amenazas. A continuación, los asociados de Microsoft usan inteligencia sobre amenazas para aumentar los datos.
Microsoft Defender para punto de conexión proporciona una solución de seguridad de punto de conexión completa. Integra las siguientes características para ofrecer protección preventiva, detección posterior a la vulneración, investigación automatizada y respuesta.
Administración de amenazas y vulnerabilidades
Identificar, evaluar y corregir de forma eficaz los puntos débiles de los puntos de conexión es fundamental para ejecutar un programa de seguridad correcto y reducir el riesgo organizativo. La administración de amenazas y vulnerabilidades funciona a modo de infraestructura para reducir la exposición en la organización, fortalecer la superficie de los puntos de conexión y aumentar la resistencia de la organización.
Esta infraestructura permite a las organizaciones detectar vulnerabilidades y errores de configuración en tiempo real por medio de sensores, sin necesidad de agentes ni análisis periódicos. Clasifica las vulnerabilidades en función de:
- el panorama de amenazas
- detecciones en la organización
- información confidencial en dispositivos vulnerables
- contexto empresarial
Reducción de la superficie expuesta a ataques
Una organización puede reducir sus superficies de ataque minimizando los lugares en los que es vulnerable a ciberamenazas y ataques. Las capacidades que reducen la superficie expuesta a ataques proporcionan la primera línea de defensa en la pila. Cuando las organizaciones establecen correctamente los valores de configuración y aplican técnicas relacionadas con la mitigación de vulnerabilidades de seguridad, las funcionalidades resisten activamente los ataques y la explotación. En la tabla siguiente se define este conjunto de funcionalidades.
| Capabilities | Descripción |
|---|---|
| Reducción de la superficie expuesta a ataques | Reduce las vulnerabilidades (superficies de ataque) en las aplicaciones con reglas inteligentes que ayudan a detener el malware. (Requiere Antivirus de Microsoft Defender). |
| Aislamiento basado en hardware | Protege y mantiene la integridad de un sistema a medida que se inicia y mientras se ejecuta. Valida la integridad del sistema a través de la atestación local y remota. Usa el aislamiento de contenedor para Microsoft Edge para ayudar a protegerse frente a sitios web malintencionados. |
| Control de la aplicación | Usa el control de aplicaciones para que las aplicaciones deberán ganar confianza para ejecutarse. |
| Protección contra vulnerabilidades de seguridad | Ayuda a su organización a proteger los sistemas operativos y las aplicaciones que usa de la explotación. La protección contra vulnerabilidades también funciona con soluciones antivirus de terceros. |
| Protección de red | Amplía la protección al tráfico de red y la conectividad en los dispositivos de la organización. (Requiere Antivirus de Microsoft Defender) |
| Protección web | Protege los dispositivos frente a amenazas web y le ayuda a regular el contenido no deseado. |
| Acceso controlado a carpetas | Ayuda a evitar que las aplicaciones malintencionadas o sospechosas (incluido el malware ransomware de cifrado de archivos) realicen cambios en los archivos de las carpetas clave del sistema (requiere Microsoft Defender Antivirus) |
| Firewall de red | Evita que el tráfico no autorizado fluya hacia o desde los dispositivos de la organización. Una organización puede lograr este objetivo mediante el filtrado de tráfico de red bidireccional. |
Antivirus de Microsoft Defender
El componente de protección de próxima generación de Microsoft Defender para punto de conexión protege los dispositivos de su organización mediante la unión de:
- Aprendizaje automático
- Análisis de macrodatos
- Investigación detallada sobre la resistencia a amenazas
- La infraestructura en la nube de Microsoft
Microsoft Defender para punto de conexión incluye los siguientes servicios de protección:
- Protección antivirus basada en comportamiento, heurística y en tiempo real. Incluye el examen siempre activado mediante la supervisión del comportamiento de archivos y procesos y otras heurísticas (también conocidas como protección en tiempo real). También incluye la detección y el bloqueo de aplicaciones que considera no seguras, pero que es posible que no detecte como malware.
- Protección entregada en la nube. Incluye la detección casi instantánea y el bloqueo de amenazas nuevas y emergentes.
- Protección dedicada y actualizaciones de productos. Incluye actualizaciones que mantienen al Antivirus de Microsoft Defender actualizado.
Detección y respuesta de puntos de conexión
Microsoft Defender para punto de conexión incluye funcionalidades de detección y respuesta de puntos de conexión que detectan, investigan y responden a amenazas avanzadas que superaron los dos primeros pilares de seguridad. La búsqueda avanzada proporciona una herramienta de búsqueda de amenazas basada en consultas que le permite buscar infracciones de forma proactiva y crear detecciones personalizadas.
Las funcionalidades de detección y respuesta de puntos de conexión proporcionan detecciones de ataque avanzadas casi en tiempo real y procesables. Los analistas de seguridad pueden asignar prioridades a las alertas de forma eficaz, obtener visibilidad para todo el ámbito de la vulneración y llevar a cabo acciones de respuesta para corregir las amenazas.
Cuando Microsoft Defender para punto de conexión detecta una amenaza, crea alertas en el sistema para que un analista investigue. Las alertas con las mismas técnicas de ataque o atribuidas al mismo atacante se agregan a una entidad denominada incidente. Agregar alertas de esta manera permite a los analistas investigar y responder de forma colectiva a las amenazas con facilidad.
Investigación y corrección automatizadas
Microsoft Defender para punto de conexión responde rápidamente a ataques avanzados. Ofrece capacidades de investigación y corrección automáticas (AIR) que ayudan a reducir el volumen de alertas en minutos a escala.
La tecnología de investigación automatizada usa varios algoritmos de inspección y se basa en los procesos utilizados por los analistas de seguridad. Las funcionalidades de AIR están diseñadas para examinar alertas y tomar medidas inmediatas para resolver las infracciones. Las funcionalidades de AIR reducen significativamente el volumen de alertas, lo que permite que las operaciones de seguridad se centren en amenazas más sofisticadas y otras iniciativas de alto valor. El Centro de acciones realiza un seguimiento de todas las acciones de corrección, ya sean pendientes o completadas. En el Centro de acciones, los administradores pueden aprobar (o rechazar) las acciones pendientes y pueden deshacer las acciones completadas si es necesario.
Puntuación de seguridad de Microsoft para dispositivos
Microsoft Defender para punto de conexión incluye la Puntuación de seguridad de Microsoft para dispositivos. Esta característica ayuda a las organizaciones a:
- Evaluar dinámicamente el estado de seguridad de su red empresarial.
- Identificar sistemas desprotegidos.
- Realizar las acciones recomendadas para mejorar su seguridad general.
La puntuación de los dispositivos es visible en el panel de administración de amenazas y vulnerabilidades del Centro de seguridad de Microsoft Defender. Una Puntuación de seguridad de Microsoft superior para dispositivos significa que los puntos de conexión son más resistentes frente a los ataques de ciberseguridad. Refleja el estado de configuración de seguridad colectiva de los dispositivos en las siguientes categorías:
- Aplicación
- Sistema operativo
- Red
- Cuentas
- Controles de seguridad
Expertos en amenazas de Microsoft
Expertos en amenazas de Microsoft es un servicio de búsqueda de amenazas administrada. Proporciona a los centros de operaciones de seguridad (SOC) de una organización supervisión y análisis de nivel experto. Estas características ayudan a los SOC a garantizar que las amenazas críticas en su entorno no se pierdan.
Este servicio de búsqueda de amenazas administrado proporciona información y datos controlados por expertos a través de estas dos funcionalidades: notificación de ataques dirigidos y acceso a expertos a petición. Las notificaciones de ataque dirigido se muestran como una nueva alerta.
El servicio de búsqueda de Expertos en amenazas de Microsoft proporciona una búsqueda proactiva de las amenazas más importantes para la red. Estas amenazas incluyen:
- intrusiones del adversario humano
- ataques prácticos con el teclado y el mouse
- ataques avanzados como el ciberespionaje
El servicio de búsqueda de Expertos en amenazas de Microsoft incluye:
- Supervisión y análisis de amenazas. Reduce el tiempo de permanencia y el riesgo para la empresa.
- Inteligencia artificial entrenada por el buscador. Detecta y clasifica los ataques conocidos y desconocidos.
- Identificación de riesgos. Identifica los riesgos más importantes, lo que ayuda a los SOC a maximizar el tiempo y la energía.
- Ámbito del riesgo Para habilitar una respuesta soc rápida, el ámbito de compromiso proporciona tanto contexto como sea posible de forma rápida.
Las organizaciones pueden interactuar con los expertos en seguridad de Microsoft directamente desde el Centro de seguridad de Microsoft Defender para obtener respuestas oportunas y precisas. Los expertos de Microsoft proporcionan información necesaria para comprender mejor las amenazas complejas que afectan a una organización, entre las que se incluyen:
- consultas de alertas
- dispositivos potencialmente en peligro
- causa principal de una conexión de red sospechosa
- inteligencia de amenazas adicional sobre las campañas de amenazas avanzadas persistentes en curso
Con estas conclusiones, una organización puede:
- Obtener aclaraciones adicionales sobre las alertas, incluidos la causa principal o el ámbito del incidente.
- Obtener claridad sobre el comportamiento sospechoso del dispositivo y los pasos siguientes si se enfrenta a un atacante avanzado.
- Determinar el riesgo y la protección en relación con actores de amenazas, campañas o técnicas de atacantes emergentes.
Comprobación de conocimientos
Elija la mejor respuesta para cada una de las siguientes preguntas.
Compruebe sus conocimientos
Comentarios
¿Le ha resultado útil esta página?
No
¿Necesita ayuda con este tema?
¿Desea intentar usar Ask Learn para aclarar o guiarle a través de este tema?