Confianza cero y Defender for Cloud
En este artículo se proporcionan instrucciones y estrategias para integrar soluciones de infraestructura de Confianza cero con Microsoft Defender for Cloud. La guía incluye integraciones con otras soluciones, como la de Administración de eventos e información de seguridad (SIEM), la respuesta automatizada de orquestación de seguridad (SOAR), la detección y respuesta de puntos de conexión (EDR) y la administración de servicios de IT (ITSM).
La infraestructura comprende el hardware, el software, los microservicios, la infraestructura de redes y las instalaciones necesarias para posibilitar los servicios de TI de una organización. Ya sea local o multinube, la infraestructura representa un vector de amenaza crítico.
Las soluciones de infraestructura de Confianza cero evalúan, supervisan y evitan las amenazas de seguridad en su infraestructura. Las soluciones admiten los principios de Confianza cero al garantizar que el acceso a los recursos de infraestructura se comprueba explícitamente y se concede mediante principios de acceso con privilegios mínimos. Los mecanismos asumen la vulneración y buscan y corrigen amenazas de seguridad en la infraestructura.
¿Qué es la confianza cero?
Confianza cero es una estrategia de seguridad para diseñar e implementar los siguientes conjuntos de principios de seguridad:
| Comprobación explícita | Uso del acceso con privilegios mínimos | Asunción de que hay brechas |
|---|---|---|
| Realice siempre las operaciones de autorización y autenticación en función de todos los puntos de datos disponibles. | Limite el acceso de los usuarios con los modelos Just-in-Time y Just-in-Time (JIT/JEA), directivas que se adaptan al nivel de riesgo y protección de datos. | Minimice el radio de explosión y el acceso a los segmentos. Compruebe el cifrado de un extremo a otro y use análisis para obtener visibilidad, impulsar la detección de amenazas y mejorar las defensas. |
Confianza cero y Defender for Cloud
guía de implementación de infraestructura con Confianza cero proporciona fases clave de la estrategia de infraestructura de Confianza cero:
- Evaluación del cumplimiento con las directivas y estándares elegidos.
- Refuerzo de la seguridad de la configuración donde se encuentren brechas.
- Empleo de otras herramientas de refuerzo de la seguridad, como el acceso Just-In-Time (JIT) a las máquinas virtuales.
- Configurar la protección contra amenazas.
- Bloquear y marcar automáticamente un comportamiento de riesgo y tomar acciones de protección.
Así es como estas fases se asignan a Defender for Cloud.
| Objetivo | Defender for Cloud |
|---|---|
| Evaluación del cumplimiento | En Defender for Cloud, cada suscripción tiene asignada automáticamente la iniciativa de seguridad de las Pruebas comparativas de seguridad de Microsoft Cloud (MCSB). Con las herramientas de puntuación de seguridad y el panel de cumplimiento normativo, puede comprender en profundidad la posición de seguridad. |
| Refuerzo de la seguridad de la configuración | La configuración de infraestructura y entorno se evalúa con respecto al estándar de cumplimiento y se emiten recomendaciones basadas en esas evaluaciones. Puede revisar y corregir recomendaciones de seguridad y [realizar un seguimiento de las mejoras de puntuación segura] (secure-score-access-and-track.md) a lo largo del tiempo. Puede clasificar por orden de prioridad qué recomendaciones se van a corregir en función de las posibles rutas de acceso de ataque. |
| Empleo de mecanismos de refuerzo de la seguridad | El acceso con privilegios mínimos es un principio de Confianza cero. Defender for Cloud puede ayudarle a reforzar la seguridad de la configuración de las máquinas virtuales y la red con este principio con características como: Acceso a máquina virtual Just-in-Time (JIT). |
| Configurar la protección contra amenazas | Defender for Cloud es una plataforma de protección de cargas de trabajo en la nube (CWPP) que ofrece la protección avanzada e inteligente de Azure y de los recursos y las cargas de trabajo híbridas. Más información. |
| Bloqueo automático del comportamiento de riesgo | Muchas de las recomendaciones de protección de Defender for Cloud ofrecen una opción de denegar para evitar la creación de recursos que no cumplen los criterios de protección definidos. Más información. |
| Marcado automático del comportamiento sospechoso | Las alertas de seguridad de Defender for Cloud se desencadenan mediante detecciones de amenazas. Defender for Cloud asigna prioridades y enumera alertas con información para ayudarle a investigar. También proporciona los pasos detallados para ayudarlo a corregir los ataques. Revise una lista completa de alertas de seguridad. |
Aplicación de Confianza cero a escenarios híbridos y multinube
Puesto que las cargas de trabajo de nube abarcan normalmente plataformas de varias nubes, los servicios de seguridad de la nube deben hacer lo mismo. Defender for Cloud protege las cargas de trabajo allí donde se ejecuten. En Azure, el entorno local, AWS o GCP.
- AWS: para proteger las máquinas de AWS, incorpore cuentas de AWS en Defender for Cloud. Esta integración proporciona una vista unificada de recomendaciones de Defender for Cloud y resultados de AWS Security Hub. Obtenga más información sobre cómo conectar las cuentas de AWS a Microsoft Defender for Cloud.
- GCP: para proteger las máquinas de GCP, incorpore cuentas de GCP en Defender for Cloud. Esta integración proporciona una vista unificada de recomendaciones de Defender for Cloud y resultados de Security Command Center de GCP. Obtenga más información sobre cómo conectar las cuentas de GCP a Microsoft Defender for Cloud.
- Máquinas locales. Puede ampliar la protección de Defender for Cloud mediante la conexión de las máquinas locales a servidores habilitados para Azure Arc. Más información sobre conectar máquinas locales a Defender for Cloud.
Protección de los servicios PaaS de Azure
Cuando Defender for Cloud esté disponible en una suscripción de Azure y los planes de Defender for Cloud están habilitados para todos los tipos de recursos disponibles, tendrá una capa de protección contra amenazas inteligente con tecnología de Inteligencia contra amenazas de Microsoft que protege los recursos de los servicios PaaS de Azure, incluidos Azure Key Vault, Azure Storage, Azure DNS y otros. Obtenga más información sobre los tipos de recursos que Defender for Cloud puede proteger.
Automatización de respuestas con Azure Logic Apps
Utilice Azure Logic Apps para crear flujos de trabajo automatizados escalables, procesos empresariales y orquestaciones empresariales para integrar las aplicaciones y los datos en los servicios en la nube y los sistemas locales.
La característica de automatización de flujos de trabajo de Defender for Cloud permite automatizar las respuestas a los desencadenadores de Defender for Cloud.
Esta es una excelente manera de definir y responder de forma automatizada y coherente cuando se detectan amenazas. Por ejemplo, para notificar a las partes interesadas pertinentes, iniciar un proceso de administración de cambios y aplicar pasos de corrección específicos cuando se detecta una amenaza.
Integración con soluciones SIEM, SOAR e ITSM
Defender for Cloud puede transmitir sus alertas de seguridad a las soluciones SIEM, SOAR e ITSM más populares. Existen herramientas nativas de Azure para garantizar que puede ver los datos de las alertas en todas las soluciones más populares que se usan hoy en día, entre las que se incluyen:
- Microsoft Sentinel
- Splunk Enterprise and Splunk Cloud
- QRadar de IBM
- ServiceNow
- ArcSight
- Power BI
- Palo Alto Networks
Integración con Microsoft Sentinel
Defender for Cloud se integra de forma nativa con Microsoft Sentinel, la solución SIEM y SOAR de Microsoft.
Hay dos enfoques para garantizar que los datos de Defender for Cloud se representen en Microsoft Sentinel:
Conectores de Sentinel: Microsoft Sentinel incluye conectores integrados para Microsoft Defender for Cloud en los niveles de suscripción e inquilino:
- Transmisión de alertas a Microsoft Sentinel en el nivel de suscripción
- Conexión de todas las suscripciones del inquilino a Microsoft Sentinel
Sugerencia
Encontrará más información en Conexión de alertas de Microsoft Defender for Cloud a Microsoft Sentinel.
Transmisión de los registros de auditoría: una forma alternativa para investigar las alertas de Defender for Cloud en Microsoft Sentinel es transmitir los registros de auditoría a Microsoft Sentinel:
Transmisión de alertas con la Microsoft Graph Security API
Defender for Cloud está listo para integrarse con Microsoft Graph Security API. No se requiere ninguna configuración y no hay costos adicionales.
Puede usar esta API para transmitir las alertas de todo el inquilino y datos de muchos otros productos de seguridad de Microsoft a SIEM de terceros y otras plataformas populares:
- Splunk Enterprise y Splunk Cloud: Use el complemento de API Microsoft Graph Security para Splunk
- Power BI: conéctese a la API Microsoft Graph Security en Power BI Desktop
- ServiceNow: Siga las instrucciones para instalar y configurar la aplicación de API Microsoft Graph Security desde el almacén de ServiceNow
- QRadar: Use el módulo de compatibilidad de dispositivos de IBM para Defender for Cloud a través de Microsoft Graph API
- Palo Alto Networks, Anomali, Lookout, InSpark, etc. Obtenga más información sobre Microsoft Graph Security API.
Transmisión de alertas con Azure Monitor
Use la característica de exportación continua de Defender for Cloud para conectarse a Azure Monitor mediante Azure Event Hubs y transmitir las alertas a ArcSight, SumoLogic, servidores Syslog, LogRhythm, Logz.io Cloud Observability Platform y otras soluciones de supervisión.
- Esto también se puede hacer en el nivel de grupo de administración con Azure Policy. Obtenga información sobre crear configuraciones de automatización de exportación continua a escala.
- Para ver los esquemas de eventos de los tipos de datos exportados, revise los esquemas de eventos de Event Hubs.
Más información sobre transmisión de alertas a soluciones de supervisión.
Integración con soluciones de EDR
Microsoft Defender para punto de conexión
Defender para punto de conexión es una solución integral de seguridad del punto de conexión que se entrega en la nube. El plan de carga de trabajo de servidores de Defender for Cloud, Defender para servidores, incluye una licencia integrada para Defender para punto de conexión. Juntos, proporcionan funcionalidades completas de EDR. Más información sobre cómo proteger puntos de conexión.
Cuando Defender for Endpoint detecta una amenaza, desencadena una alerta. La alerta se muestra en Defender for Cloud. En Defender for Cloud, puede dinamizar hasta la consola de Defender para punto de conexión para realizar una investigación detallada y descubrir el alcance del ataque.
Otras soluciones para EDR
Defender for Cloud proporciona una evaluación de estado de las versiones admitidas de las soluciones de EDR.
Defender for Cloud proporciona recomendaciones en función del punto de referencia de Seguridad de Microsoft. Uno de los controles del punto de referencia está relacionado con la seguridad de los puntos de conexión: ES-1: usar Detección y respuesta de puntos de conexión (EDR). Hay dos recomendaciones para asegurarse de que ha habilitado Endpoint Protection y que se está ejecutando correctamente. Obtenga más información sobre evaluar soluciones de EDR compatibles en Defender for Cloud.
Pasos siguientes
Comience a planear una protección multinube.