Seguridad de confianza cero con Microsoft Sentinel y XDR de Defender
XDR de Microsoft Defender es una solución XDR que complementa a Microsoft Sentinel. Una XDR extrae datos de telemetría sin procesar de varios servicios, como aplicaciones en la nube, seguridad de correo electrónico, identidad y administración de acceso.
Con la inteligencia artificial (IA) y el aprendizaje automático, la XDR realiza análisis automáticos, investigación y respuesta en tiempo real. También correlaciona las alertas de seguridad en incidentes más grandes, lo que proporciona a los equipos de seguridad mayor visibilidad de los ataques y prioriza los incidentes para ayudar a los analistas a medir los niveles de riesgo de amenazas.
Con Microsoft Sentinel, puede conectarse a muchos orígenes de seguridad mediante conectores integrados y estándares del sector. Con su inteligencia artificial, puede correlacionar varias señales de baja fidelidad que abarcan varios orígenes para crear una vista completa de la cadena de eliminación de ransomware y alertas prioritarias.
Orden de ataque común
En esta sección se describe un escenario de ataque típico que implica un ataque de suplantación de identidad (phishing) y cómo responder al incidente con Microsoft Sentinel y XDR de Microsoft Defender.
En el diagrama se muestran los productos de seguridad de Microsoft que detectan cada paso de ataque y cómo fluyen las señales de ataque y el flujo de datos SIEM a XDR de Microsoft Defender y Microsoft Sentinel.
Este es un resumen del ataque.
| Paso de ataque | Servicio de detección y origen de señal | Defensas establecidas |
|---|---|---|
| 1. El atacante envía correo electrónico de suplantación de identidad (phishing) | Microsoft Defender para Office 365 | Protege los buzones con funciones avanzadas de protección contra el phishing que pueden defenderse de ataques de suplantación de identidad malintencionada. |
| El usuario abre el adjunto | Microsoft Defender para Office 365 | La característica Archivos adjuntos seguros de Microsoft Defender para Office 365 abre archivos adjuntos en un entorno aislado para realizar un examen exhaustivo de amenazas (detonación). |
| Un adjunto instala malware | Microsoft Defender para punto de conexión | Protege los puntos de conexión del malware con sus características de protección de última generación, como la protección proporcionada por la nube y la protección basada en comportamientos, heurística o antivirus en tiempo real. |
| 4. El malware roba las credenciales de usuario | Microsoft Entra ID y Microsoft Entra ID Protection | Protege las identidades mediante la supervisión del comportamiento y las actividades del usuario, la detección del movimiento lateral y las alertas sobre la actividad anómala. |
| 5. El atacante se mueve lateralmente entre aplicaciones y datos de Microsoft 365 | Aplicaciones de Microsoft Defender for Cloud | Puede detectar una actividad anómala de los usuarios que acceden a las aplicaciones en la nube. |
| 6. El atacante descarga archivos confidenciales de una carpeta de SharePoint | Aplicaciones de Microsoft Defender for Cloud | Puede detectar y responder a eventos de descarga masiva de archivos de SharePoint. |
Si ha incorporado el área de trabajo de Microsoft Sentinel al portal de Defender, los datos SIEM están disponibles con Microsoft Sentinel directamente en el portal de Microsoft Defender.
Respuesta a incidentes mediante Microsoft Sentinel y XDR de Microsoft Defender
Después de observar un ataque común, use Microsoft Sentinel y XDR de Microsoft Defender para la respuesta a incidentes.
Seleccione la pestaña correspondiente para el área de trabajo en función de si la ha incorporado al portal de Defender.
- del portal de Defender
- Portal de Azure
Después de incorporar Microsoft Sentinel al portal de Defender, complete todos los pasos de respuesta a incidentes directamente en el portal de Microsoft Defender igual que para otros incidentes de XDR de Microsoft Defender. Los pasos admitidos incluyen todo, desde la evaluación de prioridades hasta la investigación y la resolución.
Use el área de Microsoft Sentinel en el portal de Microsoft Defender para ver las características que no están disponibles solo con el portal de Defender.
Para obtener más información, consulte Responder a un incidente con Microsoft Sentinel y Microsoft Defender XDR.
Contenido relacionado
Para obtener más información, consulte respuesta a incidentes con SIEM integrado y XDR.
- del portal de Defender
- Azure portal
Para obtener más información sobre cómo aplicar principios de confianza cero en Microsoft 365, consulte:
- Plan de implementación de Confianza Cero con Microsoft 365
- Despliegue su infraestructura de identidad para Microsoft 365
- configuraciones de acceso a dispositivos y identidades de confianza cero
- Administrar dispositivos con Microsoft Intune
- Pilotar y desplegar Microsoft Defender XDR
- Administrar la privacidad de los datos y la protección de datos con Microsoft Priva y Microsoft Purview
- Integrar aplicaciones SaaS para Confianza Cero con Microsoft 365