¿Qué es la plataforma unificada de operaciones de seguridad de Microsoft?
La plataforma unificada de operaciones de seguridad de Microsoft proporciona una plataforma única para operaciones de seguridad de un extremo a otro (SecOps). Integra información de seguridad y administración de eventos (SIEM), orquestación de seguridad, automatización y respuesta (SOAR), detección y respuesta extendida (XDR), administración de posturas y exposición, seguridad en la nube, inteligencia sobre amenazas y soluciones de inteligencia artificial generativa.
Para cubrir todas esas funcionalidades, la plataforma unificada de SecOps de Microsoft combina servicios como Microsoft Defender XDR, Microsoft Sentinel, Administración de exposición de seguridad Microsoft y Microsoft Security Copilot en el portal de Microsoft Defender. Integre más servicios Microsoft Defender para agregar seguridad y proporcionar protección integrada contra ataques sofisticados. El portal de Defender proporciona una única ubicación para supervisar, detectar, investigar, corregir y responder frente a amenazas y riesgos de ciberseguridad previos y posteriores a la vulneración.
Protección de recursos
Proteja una amplia gama de recursos mediante la integración de Defender XDR, Microsoft Sentinel y otros servicios de Defender en la plataforma unificada de SecOps de Microsoft.
Microsoft Defender XDR servicios incluyen las siguientes funcionalidades de protección de recursos:
| Funcionalidad | Producto de seguridad |
|---|---|
| Identificar, detectar e investigar amenazas Microsoft Entra ID. | Microsoft Defender for Identity |
| Proteja contra las amenazas planteadas por mensajes de correo electrónico, vínculos URL y herramientas de colaboración Office 365. | Microsoft Defender para Office 365 |
| Supervisión y protección de dispositivos de punto de conexión. Supervise, detecte e investigue las infracciones del dispositivo y responda automáticamente a las amenazas de seguridad. | Microsoft Defender para punto de conexión |
| Identifique y proteja la tecnología operativa (OT) y los recursos de TI mediante la ampliación de la protección Defender XDR a los entornos de OT. | Microsoft Defender para IoT |
| Identifique los recursos y el inventario de software y evalúe la posición del dispositivo para encontrar vulnerabilidades de seguridad. | Administración de vulnerabilidades de Microsoft Defender |
| Proteja y controle el acceso a las aplicaciones en la nube SaaS. | Microsoft Defender for Cloud Apps |
La protección de activos para servicios sin licencia con Microsoft Defender XDR incluye las siguientes funcionalidades:
| Funcionalidad | Producto de seguridad |
|---|---|
| Supervise y proteja dispositivos, servicios y soluciones que no sean de Microsoft y locales. | Microsoft Sentinel |
| Descubra y evalúe los recursos y corrija el riesgo para reducir las superficies expuestas a ataques. | Administración de exposición de seguridad Microsoft |
| Mejore la posición de seguridad local y multinube y proteja las cargas de trabajo en la nube frente a amenazas. | Microsoft Defender for Cloud |
Simplificación de la administración de seguridad
Combine servicios de seguridad de Microsoft como Defender XDR, Microsoft Sentinel y mucho más para la protección de un extremo a otro de los puntos de conexión, identidades, aplicaciones en la nube y cargas de trabajo, y correo electrónico en toda la organización.
El portal de Defender proporciona una vista única y centralizada de la posición de seguridad de la organización y las detecciones y respuestas a amenazas. Proporciona una cola de incidentes combinada que agrupa información sobre los riesgos de seguridad y las infracciones.
Libere tiempo de analista, ya que los paneles de seguridad unificados permiten a los analistas cruzar los silos de la organización, priorizar las amenazas más críticas y buscar de forma eficaz los intentos de infracciones.
En la imagen siguiente se muestra la cola de incidentes unificada en la plataforma unificada de SecOps de Microsoft, con incidentes de varios orígenes de servicio.
Reducir el riesgo de seguridad y evitar ataques
Reduzca de forma coherente el riesgo de seguridad y evite ataques de ciberseguridad como parte del marco de administración de riesgos de la organización. La plataforma unificada de SecOps de Microsoft ofrece funcionalidades completas de administración de la exposición y protección en la nube. Con Administración de exposición de seguridad Microsoft y Microsoft Defender para la nube:
- Descubra continuamente los recursos de la organización y evalúe su posición de seguridad.
- Proteja las cargas de trabajo en la nube del código al entorno de ejecución.
- Agregue datos e inteligencia sobre amenazas para detectar brechas y debilidades de seguridad, incluido el análisis de posibles rutas de ataque.
- Investigue y consulte para obtener información sobre la posición de seguridad.
- Priorice la corrección de recursos, con el foco en los recursos críticos, para reducir las brechas de seguridad y las superficies expuestas a ataques.
En la imagen siguiente se muestra la página de información general para la administración de la exposición en la plataforma unificada de SecOps de Microsoft.
Reducir los tiempos de detección y respuesta de amenazas
Standard métricas de ciberseguridad se centran en el tiempo de detección (TTD) y el tiempo de respuesta (TTR). El tiempo de detección (TTD) mide cuánto tiempo tardan los equipos de seguridad en detectar un incidente. El tiempo de respuesta (TTR) mide la cantidad de tiempo que se tarda en responder después de que se detecta una amenaza. Cuanto más corto sea el TTD y el TTR, más eficaz será la detección y la estrategia de respuesta.
La plataforma secops unificada de Microsoft correlaciona millones de señales de productos de Defender, Microsoft Sentinel, investigación de seguridad de Microsoft e inteligencia sobre amenazas para identificar los ataques en curso. Inicia la interrupción automática de ataques para contener automáticamente los ataques, limitando el movimiento lateral a tiempo y reduciendo el impacto de ataque. La interrupción automática de ataques ayuda a reducir los costos asociados con la pérdida de productividad y proporciona control al control del equipo de SecOps para investigar y corregir los recursos en peligro.
La interrupción automática de ataques responde a las amenazas al contener dispositivos y contener o deshabilitar a los usuarios para mitigar los ataques.
En la imagen siguiente se muestra un ejemplo de un incidente en el que se desencadenó la interrupción automática del ataque.
Para obtener más información, consulte Interrupción automática de ataques en Microsoft Defender XDR.
Transformación de la productividad de SOC con inteligencia artificial
Microsoft Security Copilot reúne el poder de la inteligencia artificial y la experiencia humana para ayudar a su equipo de SOC a responder a los ataques de forma más rápida y eficaz. Security Copilot se inserta en el portal de Defender para permitir a los equipos de seguridad resumir incidentes de forma eficaz, analizar scripts y códigos, analizar archivos, resumir información del dispositivo, usar respuestas guiadas para resolver incidentes, generar consultas de KQL y crear informes de incidentes. Security Copilot le ayuda a:
- Reducir la exposición y mejorar la posición. Evite infracciones con información para descubrir riesgos críticos de exposición y recomendaciones de reducción de riesgos.
- Prevenir e interrumpir las amenazas. Identificar y priorizar con resúmenes de incidentes MITRE ATT&asignación de marcos de CK y enriquecimiento automático de alertas.
-
Capacitar a los analistas:
- Acelere la resolución de incidentes con respuestas guiadas, corrección automatizada y generación de informes de resumen.
- Proporcione asistencia inteligente con avisos personalizados basados en procedimientos recomendados que analicen scripts y archivos malintencionados, y sugiera consultas KQL.
En la imagen siguiente se muestra la integración de Microsoft Copilot en una página de incidentes en el portal de Defender.
Para obtener más información, consulte Microsoft Copilot en Microsoft Defender.