Implementación de la plataforma unificada de SecOps de Microsoft

La plataforma de operaciones de seguridad unificada de Microsoft combina las funcionalidades de Microsoft Defender portal, Microsoft Sentinel y otros servicios de Microsoft Defender. Esta plataforma proporciona una visión completa de la posición de seguridad de su organización y le ayuda a detectar, investigar y responder a amenazas en toda la organización.

Administración de exposición de seguridad Microsoft y Microsoft Threat Intelligence están disponibles en cualquier entorno que cumpla los requisitos previos para los usuarios configurados con los permisos necesarios.

Requisitos previos

• Antes de implementar la plataforma de operaciones de seguridad unificada de Microsoft, asegúrese de que tiene un plan implementado, incluido un diseño de área de trabajo y una comprensión de los costos y la facturación de Microsoft Sentinel.

  Para obtener más información, consulte Información general sobre el planeamiento de la plataforma de operaciones de seguridad unificada.

Implementación de servicios de Microsoft Defender XDR

Microsoft Defender XDR unifica la respuesta a incidentes mediante la integración de funcionalidades clave entre servicios, como Microsoft Defender para punto de conexión, Microsoft Defender para Office 365, Microsoft Defender for Cloud Apps y Microsoft Defender for Identity. Esta experiencia unificada agrega características eficaces a las que puede acceder en el portal de Microsoft Defender.

1. Microsoft Defender XDR se activa automáticamente cuando los clientes aptos con los permisos necesarios visitan Microsoft Defender portal. Para obtener más información, vea Activar Microsoft Defender XDR.

2. Para continuar, implemente Microsoft Defender XDR servicios. Se recomienda usar el siguiente orden:

   1. Implementar Microsoft Defender for Identity.

   2. Implementar Microsoft Defender para Office 365.

   3. Implementar Microsoft Defender para punto de conexión. Agregue Administración de vulnerabilidades de Microsoft Defender o supervisión empresarial para dispositivos IoT, según sea relevante para su entorno.

   4. Implementar Microsoft Defender for Cloud Apps.

Configuración de Protección de Microsoft Entra ID

Microsoft Defender XDR puede ingerir e incluir señales de Protección de Microsoft Entra ID, que evalúa los datos de riesgo de miles de millones de intentos de inicio de sesión y evalúa el riesgo de cada inicio de sesión en su entorno. Microsoft Entra ID usa Protección de Microsoft Entra ID datos para permitir o impedir el acceso a la cuenta, en función de cómo se configuren las directivas de acceso condicional.

Configure Protección de Microsoft Entra ID para mejorar la posición de seguridad y agregar señales de Microsoft Entra a las operaciones de seguridad unificadas. Para obtener más información, consulte Configuración de las directivas de Protección de Microsoft Entra ID.

Implementación de Microsoft Defender para la nube

Microsoft Defender for Cloud proporciona una experiencia de administración de seguridad unificada para los recursos en la nube y también puede enviar señales a Microsoft Defender XDR. Por ejemplo, es posible que quiera empezar conectando las suscripciones de Azure a Microsoft Defender for Cloud y, a continuación, pasar a otros entornos en la nube.

Para obtener más información, consulte Conexión de las suscripciones de Azure.

Incorporación a Microsoft Security Copilot

Incorpore a Microsoft Security Copilot para mejorar las operaciones de seguridad aprovechando las funcionalidades avanzadas de inteligencia artificial. Security Copilot ayuda en la detección, investigación y respuesta de amenazas, proporcionando información y recomendaciones útiles para ayudarle a mantenerse por delante de posibles amenazas. Use Security Copilot para automatizar tareas rutinarias, reducir el tiempo de detección y respuesta a incidentes y mejorar la eficacia general del equipo de seguridad.

Para obtener más información, consulte Introducción a Security Copilot.

Diseñe el área de trabajo e incorpore a Microsoft Sentinel

El primer paso para usar Microsoft Sentinel es crear un área de trabajo de Log Analytics, si aún no tiene una. Un único área de trabajo de Log Analytics podría ser suficiente para muchos entornos, pero muchas organizaciones crean varias áreas de trabajo para optimizar los costos y satisfacer mejor los distintos requisitos empresariales. La plataforma de operaciones de seguridad unificada de Microsoft solo admite un área de trabajo única.

1. Cree un grupo de recursos de seguridad con fines de gobernanza, lo que le permite aislar Microsoft Sentinel recursos y el acceso basado en roles a la colección.
2. Cree un área de trabajo de Log Analytics en el grupo de recursos Seguridad e incorpore Microsoft Sentinel en él.

Para obtener más información, consulte Incorporación de Microsoft Sentinel.

Configuración de roles y permisos

Aprovisione los usuarios en función del plan de acceso que había preparado anteriormente. Para cumplir con Confianza cero principios, se recomienda usar el control de acceso basado en rol (RBAC) para proporcionar acceso de usuario solo a los recursos permitidos y pertinentes para cada usuario, en lugar de proporcionar acceso a todo el entorno.

Para más información, vea:

• Activar Microsoft Defender XDR control de acceso unificado basado en rol (RBAC)
• Asignación de roles de Microsoft Entra ID a los usuarios
• Conceder a un usuario acceso a roles de Azure

Incorporación a SecOps unificada

Al incorporar Microsoft Sentinel al portal de Defender, unifica funcionalidades con Microsoft Defender XDR como la administración de incidentes y la búsqueda avanzada, creando una plataforma unificada de SecOps.

1. Instale la solución de Microsoft Defender XDR para Microsoft Sentinel desde el centro de contenido. Para obtener más información, consulte Implementación y administración de contenido de fábrica.
2. Habilite el conector de datos Microsoft Defender XDR para recopilar incidentes y alertas. Para obtener más información, consulte Conexión de datos de Microsoft Defender XDR a Microsoft Sentinel.
3. Incorporación a la plataforma unificada de SecOps de Microsoft. Para obtener más información, consulte Conexión de Microsoft Sentinel a Microsoft Defender.

Ajuste de las configuraciones del sistema

Use las siguientes opciones de configuración de Microsoft Sentinel para ajustar la implementación:

Habilitación del estado y la auditoría

Supervise el estado y audite la integridad de los recursos de Microsoft Sentinel admitidos activando la característica de auditoría y supervisión de estado en la página Configuración de Microsoft Sentinel. Obtenga información sobre los desfases de estado, como los eventos de error más recientes o los cambios de los estados de éxito a los estados de error, y sobre acciones no autorizadas, y use esta información para crear notificaciones y otras acciones automatizadas.

Para obtener más información, consulteActivar la auditoría y la supervisión de estado para Microsoft Sentinel.

Configuración del contenido de Microsoft Sentinel

En función de los orígenes de datos seleccionados al planear la implementación, instale soluciones Microsoft Sentinel y configure los conectores de datos. Microsoft Sentinel proporciona una amplia gama de soluciones integradas y conectores de datos, pero también puede crear conectores personalizados y configurar conectores para ingerir registros CEF o Syslog.

Para más información, vea:

• Configuración del contenido
• Detección y administración de Microsoft Sentinel contenido integrado
• Búsqueda del conector de datos

Habilitación de Análisis de comportamiento de usuarios y entidades (UEBA)

Después de configurar los conectores de datos en Microsoft Sentinel, asegúrese de habilitar el análisis de comportamiento de entidades de usuario para identificar comportamientos sospechosos que podrían provocar vulnerabilidades de suplantación de identidad (phishing) y, finalmente, ataques como ransomware. Para obtener más información, vea Habilitar UEBA en Microsoft Sentinel.

Configuración de la retención de datos interactiva y a largo plazo

Configure la retención de datos interactiva y a largo plazo para asegurarse de que su organización conserva los datos que son importantes a largo plazo. Para obtener más información, consulte Configuración de la retención de datos interactiva y a largo plazo.

Habilitación de reglas de análisis

Las reglas de análisis indican a Microsoft Sentinel que le alerten de eventos mediante un conjunto de condiciones que considere importantes. Las decisiones inmediatas Microsoft Sentinel toman se basan en el análisis de comportamiento de entidades de usuario (UEBA) y en las correlaciones de datos entre varios orígenes de datos. Al activar reglas analíticas para Microsoft Sentinel, priorice la habilitación por medio de orígenes de datos conectados, riesgo organizativo y táctica de MITRE.

Para obtener más información, consulte Detección de amenazas en Microsoft Sentinel.

Revisión de reglas de anomalías

Microsoft Sentinel reglas de anomalías están disponibles de forma inmediata y habilitadas de forma predeterminada. Las reglas de anomalías se basan en modelos de aprendizaje automático y UEBA que entrenan en los datos del área de trabajo para marcar el comportamiento anómalo entre usuarios, hosts y otros. Revise las reglas de anomalías y el umbral de puntuación de anomalías para cada una de ellas. Si observa falsos positivos, por ejemplo, considere la posibilidad de duplicar la regla y modificar el umbral.

Para obtener más información, consulte Trabajar con reglas de análisis de detección de anomalías.

Uso de la regla de análisis de Microsoft Threat Intelligence

Habilite la regla de análisis de Microsoft Threat Intelligence integrada y compruebe que esta regla coincide con los datos de registro con la inteligencia sobre amenazas generada por Microsoft. Microsoft tiene un amplio repositorio de datos de inteligencia sobre amenazas y esta regla de análisis usa un subconjunto de ellos para generar alertas e incidentes de alta fidelidad para que los equipos de SOC (centros de operaciones de seguridad) puedan evaluarlos.

Evitar incidentes duplicados

Después de conectar Microsoft Sentinel a Microsoft Defender, se establece automáticamente una sincronización bidireccional entre incidentes Microsoft Defender XDR y Microsoft Sentinel. Para evitar la creación de incidentes duplicados para las mismas alertas, se recomienda desactivar todas las reglas de creación de incidentes de Microsoft para productos integrados Microsoft Defender XDR, como Defender para punto de conexión, Defender for Identity, Defender para Office 365, Defender for Cloud Apps y Protección de Microsoft Entra ID.

Para obtener más información, vea Creación de incidentes de Microsoft .

Realización de un cruce de MITRE ATT&CK

Con las reglas analíticas de fusión, anomalías e inteligencia sobre amenazas habilitadas, lleve a cabo un paseo cruzado de mitre att&ck para ayudarle a decidir qué reglas analíticas restantes habilitar y finalizar la implementación de un proceso de XDR maduro (detección y respuesta extendida). Esto le permite detectar y responder a lo largo del ciclo de vida de un ataque.

Para obtener más información, consulte Descripción de la cobertura de seguridad.