Introducción al planeamiento de la plataforma de operaciones de seguridad unificada de Microsoft
En este artículo se describen las actividades para planear una implementación de los productos de seguridad de Microsoft en la plataforma de operaciones de seguridad unificada de Microsoft para operaciones de seguridad de un extremo a otro (SecOps). Unifique su SecOps en la plataforma de Microsoft para ayudarle a reducir el riesgo, evitar ataques, detectar e interrumpir ciberamenazas en tiempo real y responder más rápido con funcionalidades de seguridad mejoradas por inteligencia artificial, todo ello desde el portal de Microsoft Defender.
Planear la implementación
La plataforma unificada de SecOps de Microsoft combina servicios como Microsoft Defender XDR, Microsoft Sentinel, Administración de exposición de seguridad Microsoft y Microsoft Security Copilot en el portal de Microsoft Defender.
El primer paso para planear la implementación es seleccionar los servicios que desea usar.
Como requisito previo básico, necesitará Microsoft Defender XDR y Microsoft Sentinel para supervisar y proteger los servicios y soluciones de Microsoft y que no son de Microsoft, incluidos los recursos locales y en la nube.
Implemente cualquiera de los siguientes servicios para agregar seguridad en los puntos de conexión, identidades, correo electrónico y aplicaciones para proporcionar protección integrada contra ataques sofisticados.
Microsoft Defender XDR servicios incluyen:
| Servicio | Descripción |
|---|---|
| Microsoft Defender for Identity | Identifica, detecta e investiga amenazas de identidades Active Directory local e en la nube como Microsoft Entra ID. |
| Microsoft Defender para Office 365 | Protege contra las amenazas planteadas por mensajes de correo electrónico, vínculos URL y herramientas de colaboración Office 365. |
| Microsoft Defender para punto de conexión | Supervisa y protege los dispositivos de punto de conexión, detecta e investiga las infracciones de los dispositivos y responde automáticamente a las amenazas de seguridad. |
| Supervisión de IoT empresarial desde Microsoft Defender para IoT | Proporciona tanto la detección de dispositivos IoT como el valor de seguridad para los dispositivos IoT. |
| Administración de vulnerabilidades de Microsoft Defender | Identifica los recursos y el inventario de software y evalúa la posición del dispositivo para encontrar vulnerabilidades de seguridad. |
| Microsoft Defender for Cloud Apps | Protege y controla el acceso a las aplicaciones en la nube SaaS. |
Otros servicios admitidos en el portal de Microsoft Defender como parte de la plataforma unificada de SecOps de Microsoft, pero sin licencia con Microsoft Defender XDR, incluyen:
| Servicio | Descripción |
|---|---|
| Administración de exposición de seguridad Microsoft | Proporciona una vista unificada de la posición de seguridad entre los recursos y cargas de trabajo de la empresa, enriqueciendo la información de los recursos con el contexto de seguridad. |
| Seguridad de Microsoft Copilot | Proporciona información y recomendaciones basadas en la inteligencia artificial para mejorar las operaciones de seguridad. |
| Microsoft Defender for Cloud | Protege entornos híbridos y multinube con detección y respuesta avanzadas de amenazas. |
| Inteligencia contra amenazas de Microsoft Defender | Simplifica los flujos de trabajo de inteligencia sobre amenazas agregando y enriqueciendo orígenes de datos críticos para correlacionar indicadores de riesgo (IOC) con artículos relacionados, perfiles de actor y vulnerabilidades. |
| Protección de Microsoft Entra ID | Evalúa los datos de riesgo de los intentos de inicio de sesión para evaluar el riesgo de cada inicio de sesión en su entorno. |
Revisión de los requisitos previos del servicio
Antes de implementar la plataforma de operaciones de seguridad unificada de Microsoft, revise los requisitos previos para cada servicio que planee usar. En la tabla siguiente se enumeran los servicios y vínculos a sus requisitos previos:
| Servicio de seguridad | Vínculo a requisitos previos |
|---|---|
| Necesario para SecOps unificado | |
| Microsoft Defender XDR y Microsoft Defender para Office | Microsoft Defender XDR requisitos previos |
| Microsoft Sentinel | Requisitos previos para implementar Microsoft Sentinel |
| Servicios de Microsoft Defender XDR opcionales | |
| Microsoft Defender for Identity | Requisitos previos de Microsoft Defender for Identity |
| Microsoft Defender para punto de conexión | Configuración de Microsoft Defender para punto de conexión implementación |
| Supervisión empresarial con Microsoft Defender para IoT | Requisitos previos para la seguridad de IoT empresarial |
| Administración de vulnerabilidades de Microsoft Defender | Requisitos previos & permisos para Administración de vulnerabilidades de Microsoft Defender |
| Microsoft Defender for Cloud Apps | Introducción a Microsoft Defender for Cloud Apps |
| Otros servicios admitidos en el portal de Microsoft Defender | |
| Administración de exposición de seguridad Microsoft | Requisitos previos y soporte técnico |
| Seguridad de Microsoft Copilot | Requisitos mínimos |
| Microsoft Defender for Cloud | Comience a planear la protección multinube y otros artículos de la misma sección. |
| Inteligencia contra amenazas de Microsoft Defender | Requisitos previos para Defender Threat Intelligence |
| Protección de Microsoft Entra ID | Requisitos previos para Protección de Microsoft Entra ID |
Planeamiento de la arquitectura del área de trabajo de Log Analytics
Para usar la plataforma secOps unificada de Microsoft, necesita un área de trabajo de Log Analytics habilitada para Microsoft Sentinel. Un único área de trabajo de Log Analytics podría ser suficiente para muchos entornos, pero muchas organizaciones crean varias áreas de trabajo para optimizar los costos y satisfacer mejor los distintos requisitos empresariales. La plataforma secops unificada de Microsoft solo admite un área de trabajo única.
Diseñe el área de trabajo de Log Analytics que desea habilitar para Microsoft Sentinel. Tenga en cuenta parámetros como los requisitos de cumplimiento que tenga para la recopilación y el almacenamiento de datos y cómo controlar el acceso a Microsoft Sentinel datos.
Para más información, vea:
Planear los costos de Microsoft Sentinel y los orígenes de datos
La plataforma secops unificada de Microsoft ingiere datos de servicios de Microsoft de primer nivel, como Microsoft Defender for Cloud Apps y Microsoft Defender for Cloud. Se recomienda expandir la cobertura a otros orígenes de datos del entorno mediante la adición de conectores de datos Microsoft Sentinel.
Determinación de los orígenes de datos
Determine el conjunto completo de orígenes de datos desde los que va a ingerir datos y los requisitos de tamaño de datos para ayudarle a proyectar con precisión el presupuesto y la escala de tiempo de la implementación. Puede determinar esta información durante la revisión de casos de uso empresarial o mediante la evaluación de un SIEM actual que ya tiene en vigor. Si ya tiene un SIEM, analice los datos para comprender qué orígenes de datos proporcionan más valor y se deben ingerir en Microsoft Sentinel.
Por ejemplo, es posible que desee usar cualquiera de los siguientes orígenes de datos recomendados:
Servicios de Azure: si se implementa alguno de los siguientes servicios en Azure, use los conectores siguientes para enviar los registros de diagnóstico de estos recursos a Microsoft Sentinel:
- Azure Firewall
- Puerta de enlace de aplicación de Azure
- Keyvault
- Azure Kubernetes Service
- Azure SQL
- Grupos de seguridad de red
- Servidores de Azure Arc
Se recomienda configurar Azure Policy para requerir que sus registros se reenvíen al área de trabajo subyacente de Log Analytics. Para obtener más información, consulte Creación de una configuración de diagnóstico a escala mediante Azure Policy.
Máquinas virtuales: para las máquinas virtuales hospedadas en el entorno local o en otras nubes que requieren la recopilación de sus registros, use los siguientes conectores de datos:
- eventos de Seguridad de Windows mediante AMA
- Eventos a través de Defender para punto de conexión (para servidor)
- Syslog
Aplicaciones virtuales de red o orígenes locales: para aplicaciones virtuales de red u otros orígenes locales que generan el formato de evento común (CEF) o los registros de SYSLOG, use los siguientes conectores de datos:
- Syslog a través de AMA
- Formato de evento común (CEF) a través de AMA
Para obtener más información, consulte Priorización de conectores de datos.
Planear el presupuesto
Planee el presupuesto de Microsoft Sentinel, teniendo en cuenta las implicaciones de costos para cada escenario planeado. Asegúrese de que el presupuesto cubre el costo de la ingesta de datos para Microsoft Sentinel y Azure Log Analytics, los cuadernos de estrategias que se implementarán, etc. Para más información, vea:
- Registrar planes de retención en Microsoft Sentinel
- Planear costos y comprender Microsoft Sentinel precios y facturación
Planeamiento de roles y permisos
Use Microsoft Entra control de acceso basado en roles (RBAC) para crear y asignar roles dentro del equipo de operaciones de seguridad con el fin de conceder el acceso adecuado a los servicios incluidos en la plataforma unificada de SecOps de Microsoft.
El modelo de control de acceso basado en rol unificado (RBAC) de Microsoft Defender XDR proporciona una única experiencia de administración de permisos que proporciona una ubicación central para que los administradores controlen los permisos de usuario en varias soluciones de seguridad. Para obtener más información, consulte Microsoft Defender XDR Control de acceso basado en rol unificado (RBAC).
Para los siguientes servicios, use los distintos roles disponibles o cree roles personalizados para proporcionarle un control específico sobre lo que los usuarios pueden ver y hacer. Para más información, vea:
Planear actividades de Confianza cero
La plataforma unificada de SecOps de Microsoft forma parte del modelo de seguridad Confianza cero de Microsoft, que incluye los siguientes principios:
| Principio | Descripción |
|---|---|
| Comprobar explícitamente | Autentique y autorice siempre en función de todos los puntos de datos disponibles. |
| Utilizar el acceso con menos privilegios | Limite el acceso de usuario con Just-In-Time y Just-Enough-Access (JIT/JEA), directivas adaptables basadas en riesgos y protección de datos. |
| Asumir una infracción | Minimice el radio de explosión y el acceso a segmentos. Compruebe el cifrado de un extremo a otro y use análisis para obtener visibilidad, impulsar la detección de amenazas y mejorar las defensas. |
Confianza cero seguridad está diseñada para proteger los entornos digitales modernos mediante el aprovechamiento de la segmentación de red, la prevención del movimiento lateral, el acceso con privilegios mínimos y el uso de análisis avanzados para detectar y responder a amenazas.
Para obtener más información sobre la implementación de principios de Confianza cero en la plataforma unificada de SecOps de Microsoft, consulte Confianza cero contenido para los siguientes servicios:
- Microsoft Defender XDR
- Microsoft Sentinel
- Microsoft Defender for Identity
- Microsoft Defender para Office 365
- Microsoft Defender para punto de conexión
- Microsoft Defender for Cloud Apps
- Administración de exposición de seguridad Microsoft
- Microsoft Defender for Cloud
- Seguridad de Microsoft Copilot
- Protección de Microsoft Entra ID
Paso siguiente
Implementación de la plataforma de operaciones de seguridad unificada de Microsoft