Integraciones de infraestructura

La infraestructura comprende el hardware, el software, los microservicios, la infraestructura de redes y las instalaciones necesarias para posibilitar los servicios de TI de una organización. Las soluciones de infraestructura de confianza cero evalúan, supervisan y evitan las amenazas de seguridad para estos servicios.

Las soluciones de infraestructura de confianza cero admiten los principios de confianza cero al garantizar que el acceso a los recursos de infraestructura se comprueba explícitamente, el acceso se concede mediante principios de acceso con privilegios mínimos y que existen mecanismos que asumen las infracciones y buscan y corrigen amenazas de seguridad en la infraestructura.

Esta guía va dirigida a proveedores de software y asociados tecnológicos que desean mejorar sus soluciones de seguridad de infraestructura mediante la integración con productos de Microsoft.

Guía de integración de la confianza cero para la infraestructura

Esta guía de integración incluye la estrategia y las instrucciones para la integración con Microsoft Defender for Cloud y sus planes integrados de protección de cargas de trabajo, Microsoft Defender para… (servidores, contenedores, bases de datos, almacenamiento, servicios de aplicaciones y mucho más).

La guía incluye integraciones con las soluciones más populares de Administración de eventos e información de seguridad (SIEM), Respuesta automatizada de orquestación de seguridad (SOAR), Detección y respuesta de puntos de conexión (EDR) y Administración de servicios de IT (ITSM).

Confianza cero y Defender for Cloud

Nuestra guía Protección de la infraestructura con confianza cero proporciona las fases principales de la estrategia de Confianza cero para la infraestructura. Estas características son:

1. Evaluación del cumplimiento de las directivas y estándares elegidos
2. Refuerzo de la seguridad de la configuración donde se encuentren brechas
3. Empleo de otras herramientas de refuerzo de la seguridad, como el acceso Just-In-Time (JIT) a las máquinas virtuales
4. Configuración de la detección de amenazas y las protecciones
5. Bloqueo y marcado automáticos de los comportamientos de riesgo y toma de las acciones de protección

Hay una asignación clara de los objetivos que hemos descrito en la guía de implementación de la infraestructura con los aspectos básicos de Defender for Cloud.

Objetivo de confianza cero	Característica de Defender for Cloud
Evaluación del cumplimiento	En Defender for Cloud, cada suscripción tiene asignada automáticamente las Pruebas comparativas de seguridad de Microsoft Cloud (MCSB) como iniciativa de seguridad predeterminada. Con las herramientas de puntuación de seguridad y el panel de cumplimiento normativo, puede comprender en profundidad la posición de seguridad del cliente.
Refuerzo de la seguridad de la configuración	La asignación de iniciativas de seguridad a las suscripciones y la revisión de la puntuación de seguridad le lleva a las recomendaciones de refuerzo de la seguridad integradas en Defender for Cloud. Defender for Cloud analiza periódicamente el estado de cumplimiento de los recursos para identificar posibles configuraciones erróneas y puntos débiles de seguridad. Luego, proporciona recomendaciones sobre cómo corregir esos problemas.
Empleo de mecanismos de refuerzo de la seguridad	Además de correcciones únicas en las configuraciones incorrectas de seguridad, Defender for Cloud incluye características para proteger aún más los recursos, como: Acceso Just-In-Time (JIT) a las máquinas virtuales Protección de red adaptable Controles de aplicación adaptables.
Configurar la detección de amenazas	Defender for Cloud ofrece planes integrados de protección de cargas de trabajo en la nube para la detección y respuesta ante amenazas. Sus planes proporcionan protección inteligente y avanzada para cargas de trabajo y recursos híbridos y multinube de Azure. Uno de los planes de Microsoft Defender, Defender para servidores, incluye la integración nativa con Microsoft Defender para punto de conexión. Obtenga más información en ¿Qué es Microsoft Defender for Cloud?
Bloqueo automático del comportamiento sospechoso	Muchas de las recomendaciones de refuerzo de la seguridad de Defender for Cloud ofrecen la opción denegar. Esta característica le permite evitar la creación de recursos que no cumplen los criterios de refuerzo de la seguridad definidos. Más información en Impedir errores de configuración con las recomendaciones Exigir/Denegar.
Marcado automático del comportamiento sospechoso	Las alertas de seguridad de Microsoft Defender for Cloud se desencadenan mediante detecciones avanzadas. Defender for Cloud asigna prioridades y enumera las alertas, junto con la información necesaria para que pueda investigar rápidamente el problema. Defender for Cloud también proporciona los pasos detallados para ayudarlo a corregir los ataques. Para obtener una lista completa de las alertas disponibles, consulte Alertas de seguridad: una guía de referencia.

Protección de los servicios PaaS de Azure con Defender for Cloud

Con Defender for Cloud habilitado en la suscripción y los planes de protección de cargas de trabajo de Defender habilitados para todos los tipos de recursos disponibles, tendrá una capa de protección contra amenazas inteligente con tecnología de Inteligencia sobre amenazas de Microsoft que protege los recursos de Azure Key Vault, Azure Storage, Azure DNS y otros servicios PaaS de Azure. Para obtener una lista completa, consulte los servicios PaaS enumerados en Matrices compatibles.

Azure Logic Apps

Utilice Azure Logic Apps para crear flujos de trabajo automatizados escalables, procesos empresariales y orquestaciones empresariales para integrar las aplicaciones y los datos en los servicios en la nube y los sistemas locales.

La característica de automatización de flujos de trabajo de Defender for Cloud permite automatizar las respuestas a los desencadenadores de Defender for Cloud.

Esta es una excelente manera de definir y responder de forma automatizada y coherente cuando se detectan amenazas. Por ejemplo, para notificar a las partes interesadas pertinentes, iniciar un proceso de administración de cambios y aplicar pasos de corrección específicos cuando se detecta una amenaza.

Integración de Defender for Cloud con las soluciones SIEM, SOAR e ITSM

Microsoft Defender for Cloud puede transmitir las alertas de seguridad a las soluciones más populares de administración de eventos e información de seguridad (SIEM), respuesta automatizada de orquestación de seguridad (SOAR) y administración de servicios de TI (ITSM).

Existen herramientas nativas de Azure para garantizar que puede ver los datos de las alertas en todas las soluciones más populares que se usan hoy en día, entre las que se incluyen:

• Microsoft Sentinel
• Splunk Enterprise and Splunk Cloud
• QRadar de IBM
• ServiceNow
• ArcSight
• Power BI
• Palo Alto Networks

Microsoft Sentinel

Defender for Cloud se integra de forma nativa con Microsoft Sentinel, una solución nativa de nube de Microsoft para Administración de eventos e información de seguridad (SIEM) y Respuesta automatizada de orquestación de seguridad (SOAR).

Hay dos enfoques para garantizar que los datos de Defender for Cloud se representen en Microsoft Sentinel:

• Conectores de Sentinel: Microsoft Sentinel incluye conectores integrados para Microsoft Defender for Cloud en los niveles de suscripción e inquilino:

  • Transmisión de alertas a Microsoft Sentinel en el nivel de suscripción
  • Conexión de todas las suscripciones del inquilino a Microsoft Sentinel

  Sugerencia

  Encontrará más información en Conexión de alertas de Microsoft Defender for Cloud a Microsoft Sentinel.

• Transmisión de los registros de auditoría: una forma alternativa para investigar las alertas de Defender for Cloud en Microsoft Sentinel es transmitir los registros de auditoría a Microsoft Sentinel:

  • Conexión de eventos de seguridad de Windows
  • Recopilación de datos de orígenes basados en Linux mediante Syslog
  • Conectar datos del registro de actividad de Azure

Transmisión de alertas con la Microsoft Graph Security API

Defender for Cloud está listo para integrarse con Microsoft Graph Security API. No se requiere ninguna configuración y no hay costos adicionales.

Puede usar esta API para transmitir las alertas de todo el inquilino (y datos de muchos otros productos de seguridad de Microsoft) a SIEM de terceros y otras plataformas populares:

• Splunk Enterprise y Splunk Cloud - Uso del complemento de Microsoft Graph Security API para Splunk
• Power BI - Conexión a la Microsoft Graph Security API en Power BI Desktop
• ServiceNow - Instrucciones para instalar y configurar la aplicación de Microsoft Graph Security API desde el almacén de ServiceNow
• QRadar - Módulo de compatibilidad de dispositivos de IBM para Microsoft Defender for Cloud a través de Microsoft Graph API
• Palo Alto Networks, Anomali, Lookout, InSpark, etc: Microsoft Graph Security API

Obtenga más información sobre Microsoft Graph Security API.

Transmisión de alertas con Azure Monitor

Use la característica de exportación continua de Defender for Cloud para conectar Defender for Cloud con Azure Monitor mediante Azure Event Hubs y transmitir las alertas a ArcSight, SumoLogic, servidores Syslog, LogRhythm, Logz.io Cloud Observability Platform y otras soluciones de supervisión.

Más información en Transmisión de alertas con Azure Monitor.

Esto también se puede llevar a cabo en el nivel de grupo de administración mediante Azure Policy; para ello, consulte Configuración de la exportación continua a gran escala con las directivas proporcionadas.

Sugerencia

Para ver los esquemas de eventos de los tipos de datos exportados, visite el artículo sobre los esquemas de eventos del centro de eventos.

Integración de Defender for Cloud con una solución de Detección y respuesta de puntos de conexión (EDR)

Microsoft Defender para punto de conexión

Microsoft Defender para punto de conexión es una solución integral de seguridad del punto de conexión que se entrega en la nube.

Microsoft Defender para servidores incluye una licencia integrada para Microsoft Defender para punto de conexión. Esta integración ofrece funcionalidades completas de detección y respuesta (EDR) de puntos de conexión. Para más información, consulte Proteja los puntos de conexión con la solución EDR integrada de Security Center: Microsoft Defender para punto de conexión.

Cuando Defender for Endpoint detecta una amenaza, desencadena una alerta. La alerta se muestra en Defender for Cloud, y también puede ir hasta la consola de Defender para punto de conexión para realizar una investigación detallada y descubrir el alcance del ataque. Obtenga más información acerca de Microsoft Defender for Endpoint.

Otras soluciones para EDR

Defender for Cloud proporciona recomendaciones de refuerzo de la seguridad para asegurarse de que está protegiendo los recursos de la organización según las instrucciones de Pruebas comparativas de seguridad de Microsoft Cloud (MCSB). Uno de los controles del punto de referencia está relacionado con la seguridad de los puntos de conexión: ES-1: usar Detección y respuesta de puntos de conexión (EDR).

Hay dos recomendaciones en Defender for Cloud para asegurarse de que se haya habilitado la protección del punto de conexión y que se esté ejecutando correctamente. Estas recomendaciones comprueban la presencia y el estado operativo de las soluciones EDR de:

• Trend Micro
• Symantec
• McAfee
• Sophos

Puede obtener más información en Evaluación y recomendaciones de Endpoint Protection en Microsoft Defender for Cloud.

Aplicación de la estrategia de confianza cero a escenarios híbridos y de varias nubes

Las cargas de trabajo de nube abarcan normalmente varias plataformas de nube, por lo que los servicios de seguridad de la nube deben hacer lo mismo.

Microsoft Defender for Cloud protege las cargas de trabajo allí donde se ejecuten: Azure, el entorno local, Amazon Web Services (AWS) o Google Cloud Platform (GCP).

Integración de Defender for Cloud con máquinas locales

Para proteger las cargas de trabajo de nube híbrida, puede ampliar las protecciones de Defender for Cloud mediante la conexión de las máquinas locales a servidores habilitados para Azure Arc.

Obtenga información sobre cómo conectar las máquinas en Conexión de máquinas que no son de Azure a Microsoft Defender for Cloud.

Integración de Defender for Cloud con otros entornos de nube

Para ver la posición de seguridad de las máquinas de Amazon Web Services en Defender for Cloud, incorpore las cuentas de AWS a Defender for Cloud. Esto integra AWS Security Hub y Microsoft Defender for Cloud para obtener una vista unificada de las recomendaciones de Defender for Cloud y los resultados de AWS Security Hub, y proporciona una serie de ventajas, tal y como se describe en Inicio rápido: Conexión de cuentas de AWS a Microsoft Defender for Cloud.

Para ver la posición de seguridad de las máquinas de Google Cloud Platform en Defender for Cloud, incorpore las cuentas de GCP a Defender for Cloud. Esto integra GCP Security Command y Microsoft Defender for Cloud para obtener una vista unificada de las recomendaciones de Defender for Cloud y los resultados de GCP Security Command Center, y proporciona una serie de ventajas, tal y como se describe en Inicio rápido: Conexión de los proyectos de GCP a Microsoft Defender for Cloud.

Pasos siguientes

Para obtener más información sobre Microsoft Defender for Cloud, consulte la documentación completa de Defender for Cloud.