Describir el portal de Microsoft Defender

  • 6 minutos

Una plataforma unificada de operaciones de seguridad es un conjunto de herramientas totalmente integrado para que los equipos de seguridad eviten, detecten, investiguen y respondan a amenazas en todo su entorno. Para Microsoft, esto significa ofrecer lo mejor de SIEM, XDR, administración de posturas e inteligencia sobre amenazas con inteligencia artificial generativa avanzada como una sola plataforma.

A través del portal de Microsoft Defender, Microsoft ofrece la promesa de una plataforma unificada de operaciones de seguridad para que pueda ver el estado de seguridad de su organización. El portal de Microsoft Defender combina protección, detección, investigación y respuesta a amenazas en toda la organización y todos sus componentes, en un lugar central.

Debe tener asignado un rol adecuado, como administrador global, administrador de seguridad, operador de seguridad o lector de seguridad en Microsoft Entra ID para acceder al portal de Microsoft Defender.

El portal de Defender hace hincapié en el acceso rápido a la información, diseños más sencillos y la integración de información relacionada para facilitar su uso.

Recorte de pantalla de la página de inicio del portal de Microsoft Defender.

En la página principal del portal de Microsoft Defender se muestran muchas de las tarjetas comunes que necesitan los equipos de seguridad. La composición de las tarjetas y datos depende del rol de usuario. Dado que el portal de Microsoft Defender usa el control de acceso basado en rol, los distintos roles verán las tarjetas que sean más significativas para sus trabajos cotidianos.

El portal de Microsoft Defender permite personalizar el panel de navegación para cumplir los requisitos diarios de las operaciones. Pueden personalizar el panel de navegación para mostrar u ocultar funciones y servicios según sus preferencias específicas. La personalización es específica para usted, por lo que otros administradores no verán estos cambios.

El panel de navegación izquierdo proporciona un fácil acceso al conjunto de aplicaciones de Microsoft Defender XDR. También obtiene acceso a Microsoft Sentinel y muchas otras funcionalidades. Las secciones siguientes proporcionan una breve descripción de las funcionalidades a las que se puede acceder desde la barra de navegación izquierda en el portal de Microsoft Defender.

Administración de exposición

Administración de exposición de seguridad de Microsoft es una solución de seguridad que proporciona una vista unificada de la posición de seguridad en los recursos y cargas de trabajo de la empresa. La administración de exposición de seguridad enriquece la información de recursos con el contexto de seguridad que le ayuda a administrar proactivamente las superficies expuestas a ataques, a proteger los recursos críticos y a explorar y mitigar el riesgo de exposición.

Con la Administración de exposición de seguridad puede detectar y supervisar los recursos, obtener información detallada sobre la seguridad, investigar áreas de riesgo específicas con iniciativas de seguridad y supervisar los parámetros de toda la organización para mejorar la posición de seguridad.

Reducción de la superficie

Administración de exposición de seguridad genera automáticamente rutas de ataque basadas en los datos recopilados entre recursos y cargas de trabajo. Simula escenarios de ataque e identifica vulnerabilidades y puntos débiles que un atacante podría aprovechar.

Información de seguridad

Información de exposición en Administración de exposición de seguridad de Microsoft agrega continuamente datos de posición de seguridad e información sobre las cargas de trabajo y los recursos, en una sola canalización.

  • Las iniciativas proporcionan una manera sencilla de evaluar la preparación de la seguridad para un área de seguridad o carga de trabajo específica, y para realizar un seguimiento constante y medir el riesgo de exposición de esa área o carga de trabajo a lo largo del tiempo.
  • Las métricas de Administración de exposición de seguridad de Microsoft miden la exposición de seguridad para un ámbito específico de recursos o recursos dentro de una iniciativa de seguridad.
  • Las recomendaciones le ayudan a comprender el estado de cumplimiento de una iniciativa de seguridad específica.
  • Los eventos le ayudan a supervisar los cambios de iniciativa.

Puntuación segura

La puntuación de seguridad de Microsoft, una de las herramientas del portal de Microsoft Defender, es una representación de la posición de seguridad de una empresa. Cuanto mayor sea la puntuación, mejor será su protección. Desde un panel centralizado en el portal de Microsoft Defender, las organizaciones pueden supervisar y trabajar en la seguridad de sus identidades, aplicaciones y dispositivos de Microsoft 365.

Puntuación de seguridad proporciona un desglose de la puntuación, las acciones de mejora que pueden aumentar la puntuación de la organización y la forma en que la puntuación de seguridad de la organización se compara con otras organizaciones similares.

Conectores de datos

Con conectores de datos, puede conectar orígenes de datos para obtener una experiencia de administración de exposición más completa y centralizada.

Investigación y respuesta

La pestaña Investigación y respuesta incluye acceso a incidentes y alertas, búsqueda, acciones y entregas, y un catálogo de partners.

Recorte de pantalla del portal de Microsoft Defender en la que se muestran las selecciones disponibles para la investigación y la respuesta. Son incidentes y alertas, búsqueda, acciones y entregas, y catálogo de partners.

Incidentes y alertas

Un incidente en el portal de Microsoft Defender es una colección de alertas relacionadas, recursos, investigaciones y pruebas para proporcionarle una visión completa de toda la amplitud de un ataque. Actúa como un archivo de caso que su SOC puede usar para investigar ese ataque y administrar, implementar y documentar la respuesta al mismo. Dado que el portal de Microsoft Defender se basa en una plataforma de operaciones de seguridad unificada, obtendrá una vista de todos los incidentes, incluidos los generados a partir del conjunto de soluciones de Microsoft Defender XDR, Microsoft Sentinel y otras soluciones.

Dentro de un incidente, analizará las alertas que afectan a su red, comprenderá lo que significan y cotejará las pruebas para poder diseñar un plan de corrección eficaz. La información proporcionada para un incidente incluye:

  • La historia completa del ataque, incluidas todas las alertas, los recursos y las acciones de corrección realizadas.
  • Todas las alertas relacionadas con el incidente.
  • Todos recursos (dispositivos, usuarios, buzones de correo y aplicaciones) que se han identificado como parte del incidente o relacionados con él.
  • Todas las investigaciones automatizadas desencadenadas por las alertas del incidente.
  • Todas las pruebas y respuestas admitidas.

Si su organización está incorporada en Microsoft Security Copilot, también podrá ver un resumen de incidentes, respuestas guiadas y mucho más.

Búsqueda

La búsqueda avanzada es una herramienta de búsqueda de amenazas basada en consultas que permite explorar hasta 30 días de datos sin procesar, desde Microsoft Defender XDR y Microsoft Sentinel. Puede inspeccionar de forma proactiva los eventos de la red para buscar indicadores de amenazas y entidades, a través de consultas de búsqueda. Las consultas de búsqueda se pueden crear a través del editor de consultas, si está familiarizado con el lenguaje de consulta Kusto (KQL), mediante un generador de consultas o a través de Security Copilot. Para los usuarios incorporados en Microsoft Security Copilot, puede realizar una solicitud o formular una pregunta en lenguaje natural y Security Copilot genera una consulta KQL que corresponde a la solicitud.

Puede usar las mismas consultas de búsqueda de amenazas para crear reglas de detección personalizadas. Estas reglas se ejecutan automáticamente para buscar y, después, responder a la sospecha de actividad de infracción, a máquinas mal configuradas y a otros resultados.

Recorte de pantalla de la página de búsqueda avanzada en el portal de Microsoft Defender.

Acciones y entregas

En el Centro de actividades unificado se reúnen acciones de corrección en Microsoft Defender para punto de conexión y Microsoft Defender para Office 365. Enumera las acciones de corrección pendientes y completadas para sus dispositivos, contenido de correo electrónico y colaboración, e identidades en una ubicación.

En organizaciones de Microsoft 365 con buzones de Exchange Online, los administradores pueden usar la página Entregas en el portal de Microsoft Defender para enviar mensajes, direcciones URL y datos adjuntos a Microsoft para su análisis.

Catálogo de partners

En el catálogo de partners se enumeran los asociados tecnológicos admitidos y los servicios profesionales que pueden ayudar a su organización a mejorar las funcionalidades de detección, investigación e inteligencia sobre amenazas de la plataforma.

Información sobre amenazas

En la pestaña Inteligencia sobre amenazas, los usuarios acceden a Inteligencia sobre amenazas de Microsoft Defender. Para más información, consulte la unidad "Descripción de la inteligencia sobre amenazas de Microsoft Defender".

Recursos

La pestaña Recursos permite ver y administrar el inventario de recursos protegidos y detectados de su organización (dispositivos e identidades).

El Inventario de dispositivos muestra una lista de los dispositivos de la red en los que se generaron las alertas. De forma predeterminada, la cola muestra los dispositivos vistos en los últimos 30 días. De un vistazo, verá información como el dominio, el nivel de riesgo, la plataforma del sistema operativo y otros detalles para facilitar la identificación de los dispositivos con más riesgo.

El inventario de identidades proporciona una vista completa de todas las identidades corporativas, tanto en la nube como en el entorno local.

Microsoft Sentinel

Se accede a algunas funcionalidades de Microsoft Sentinel, como la cola de incidentes unificada, a través de la página de incidentes y alertas del portal de Defender, junto con incidentes de otros servicios de Microsoft Defender. Muchas otras funcionalidades de Microsoft Sentinel están disponibles en la sección Microsoft Sentinel del portal de Defender.

Para más información, consulte el módulo "Descripción de las funcionalidades de Microsoft Sentinel", cuyo vínculo se incluye en la unidad de resumen y recursos.

Recorte de pantalla del nodo de Microsoft Sentinel en el panel de navegación del portal de Microsoft Defender.

Identidades

El nodo Identidades del panel de navegación izquierdo del portal de Microsoft Defender se asigna a la funcionalidad asociada a Microsoft Defender for Identity. Para más información, vea la unidad "Describir de Microsoft Defender for Identity".

Recorte de pantalla del nodo de identidades en el panel de navegación izquierdo del portal de Microsoft Defender.

Puntos de conexión

El nodo Puntos de conexión del panel de navegación izquierdo del portal de Microsoft Defender se asigna a la funcionalidad asociada a Microsoft Defender para puntos de conexión. Para obtener más información, consulte la unidad "Descripción de Microsoft Defender para puntos de conexión".

Recorte de pantalla del nodo de puntos de conexión en el panel de navegación izquierdo del portal de Microsoft Defender.

Correo electrónico y colaboración

El nodo de correo electrónico y colaboración del panel de navegación izquierdo es donde encuentra la funcionalidad de Microsoft Defender para Office 365 que le permite realizar un seguimiento e investigar amenazas en el correo electrónico de los usuarios, realizar un seguimiento de las campañas, etc. Para más información, vea la unidad "Descripción de Microsoft Defender para Office 365".

Recorte de pantalla del nodo de correo electrónico y colaboración en el panel de navegación del portal de Microsoft Defender.

Aplicaciones en la nube

El nodo Aplicaciones en la nube del panel de navegación izquierdo es donde se encuentra la funcionalidad de Microsoft Defender for Cloud Apps. Para más información, consulte la unidad "Descripción de Microsoft Defender for Cloud Apps".

Recorte de pantalla del nodo de aplicaciones en la nube en el panel de navegación del portal de Microsoft Defender.

Optimización de SOC

Los equipos del Centro de operaciones de seguridad (SOC) buscan activamente oportunidades para optimizar los procesos y los resultados.

Las superficies de optimización de SOC permiten optimizar los controles de seguridad y obtener más valor de los servicios de seguridad de Microsoft a medida que avanza el tiempo.

Recorte de pantalla de la página de optimización de SOC en el portal de Microsoft Defender.

Informes

Los informes se unifican en el portal de Microsoft Defender. Los administradores pueden empezar con un informe general de seguridad y pasar a informes específicos sobre puntos finales, correo electrónico y colaboración, aplicaciones en la nube, infraestructura e identidades. Estos vínculos se generan dinámicamente en función de la configuración de la carga de trabajo.

Recorte de pantalla de la página de informes en el portal de Microsoft Defender.

Centro de aprendizaje

El centro de aprendizaje le vincula a Microsoft Learn, donde puede obtener acceso a cursos de aprendizaje, tutoriales, documentación y otro material relevante.

Sistema

La opción del sistema en el portal de Defender incluye selecciones para configurar permisos, ver el estado del servicio y la configuración general.