Implementación de Microsoft Sentinel y Microsoft Defender XDR para Confianza cero
Esta guía de solución le guía por el proceso de configuración de herramientas de detección y respuesta extendidas de Microsoft (XDR) junto con Microsoft Sentinel para acelerar la capacidad de su organización para responder y corregir los ataques de ciberseguridad.
Microsoft Defender XDR es una solución XDR que recopila, correlaciona y analiza automáticamente los datos de señales, amenazas y alertas de todo el entorno de Microsoft 365.
Microsoft Sentinel es una solución nativa de nube, que proporciona capacidades de administración de eventos e información de seguridad (SIEM) y orquestación, automatización y respuesta de seguridad (SOAR). En conjunto, Microsoft Sentinel y Microsoft Defender XDR proporcionan una solución completa para ayudar a las organizaciones a defenderse contra ataques modernos.
Esta guía le ayuda a madurar la arquitectura de Confianza cero mediante la asignación de los principios de Confianza cero de las siguientes maneras.
| Principio de Confianza cero | Cumplido por |
|---|---|
| Comprobación explícita | Microsoft Sentinel recopila datos de todo el entorno, realiza análisis de amenazas y anomalías, y puede responder con la automatización. Microsoft Defender XDR proporciona detección y respuesta extendidas entre usuarios, identidades, dispositivos, aplicaciones y correos electrónicos. Microsoft Sentinel puede usar las señales basadas en riesgos capturadas por Microsoft Defender XDR para realizar acciones. |
| Uso del acceso con privilegios mínimos | Microsoft Sentinel puede detectar actividades anómalas a través de su motor de Análisis de comportamiento de entidades de usuario (UEBA). La inteligencia sobre amenazas con Microsoft Sentinel puede importar datos de inteligencia sobre amenazas de Microsoft o proveedores de terceros para detectar nuevas amenazas emergentes y proporcionar contexto adicional para las investigaciones. Microsoft Defender XDR cuenta con la protección de Microsoft Entra ID, que puede bloquear a los usuarios en función del nivel de riesgo con la identidad. Los datos se pueden introducir en Microsoft Sentinel para su posterior análisis y automatización. |
| Asunción de que hay brechas | Microsoft Defender XDR examina continuamente el entorno en busca de amenazas y vulnerabilidades. Microsoft Sentinel analiza los datos recopilados, la tendencia de comportamiento de las entidades para detectar actividades sospechosas, anomalías y amenazas de varias fases en toda la empresa. Microsoft Sentinel tiene visualizaciones de libros que pueden ayudar a las organizaciones a proteger el entorno, como el libro de Confianza cero. Microsoft Defender XDR y Sentinel pueden implementar tareas de corrección automatizadas, incluidas investigaciones automatizadas, aislamiento de dispositivos y cuarentena de datos. El riesgo del dispositivo se puede usar como señal para introducir en el acceso condicional de Microsoft Entra. |
Arquitectura de Microsoft Sentinel y XDR
En la ilustración siguiente se muestra cómo se integra sin problemas la solución XDR de Microsoft con Microsoft Sentinel.
En este diagrama:
- La información de las señales de toda la organización llega a Microsoft Defender XDR y Microsoft Defender for Cloud.
- Microsoft Defender XDR y Microsoft Defender for Cloud envían datos de registro de SIEM a través de conectores de Microsoft Sentinel.
- Los equipos de SecOps pueden analizar y responder ante las amenazas identificadas en los portales de Microsoft Sentinel y Microsoft Defender.
- Microsoft Sentinel proporciona compatibilidad con entornos de varias nubes e se integra con aplicaciones y asociados de terceros.
Implementación de Microsoft Sentinel y Microsoft Defender XDR para Confianza cero
Microsoft Defender XDR es una solución XDR que complementa a Microsoft Sentinel. Una XDR extrae datos de telemetría sin procesar de varios servicios, como aplicaciones en la nube, seguridad de correo electrónico, identidad y administración de acceso.
Con la inteligencia artificial (IA) y el aprendizaje automático, la XDR realiza el análisis automático, la investigación y la respuesta en tiempo real. La solución XDR también correlaciona las alertas de seguridad en incidentes más grandes, lo que proporciona a los equipos de seguridad mayor visibilidad de los ataques y proporciona priorización de incidentes, lo que ayuda a los analistas a comprender el nivel de riesgo de la amenaza.
Con Microsoft Sentinel, puede conectarse a muchos orígenes de seguridad mediante conectores integrados y estándares del sector. Con su inteligencia artificial puede correlacionar varias señales de baja fidelidad que abarcan varios orígenes para crear una vista completa de la cadena de eliminación de ransomware y alertas prioritarias.
Aprovechamiento de las capacidades SIEM y XDR
En esta sección, examinaremos un escenario de ataque típico que implica un ataque de suplantación de identidad (phishing) y, a continuación, continuaremos con cómo responder al incidente con Microsoft Sentinel y Microsoft Defender XDR.
Orden de ataque común
En el diagrama siguiente se muestra un orden de ataque común de un escenario de suplantación de identidad (phishing).
En el diagrama, también se muestran los productos de seguridad de Microsoft para detectar cada paso de ataque y cómo fluyen las señales de ataque y el flujo de datos SIEM a Microsoft Defender XDR y Microsoft Sentinel.
A continuación, se muestra un resumen del ataque:
| Paso de ataque | Servicio de detección y origen de señal | Defensas en su lugar |
|---|---|---|
| 1. El atacante envía correo electrónico de suplantación de identidad (phishing) | Microsoft Defender para Office 365 | Protege los buzones con características avanzadas contra la suplantación de identidad que pueden protegerse frente a ataques de suplantación de identidad malintencionados. |
| 2. El usuario abre los datos adjuntos | Microsoft Defender para Office 365 | La característica Archivos adjuntos seguros de Microsoft Defender para Office 365 abre los archivos adjuntos en un entorno aislado para realizar un análisis adicional de las amenazas (detonación). |
| 3. Los datos adjuntos instalan malware | Microsoft Defender para punto de conexión | Protege los puntos de conexión del malware con sus características de protección de última generación, como la protección proporcionada por la nube y la protección basada en comportamientos, heurística o antivirus en tiempo real. |
| 4. El malware roba las credenciales de usuario | Microsoft Entra ID y Protección de Microsoft Entra ID | Protege las identidades mediante la supervisión del comportamiento y las actividades del usuario, la detección del movimiento lateral y las alertas sobre la actividad anómala. |
| 5. El atacante se mueve lateralmente entre aplicaciones y datos de Microsoft 365 | Microsoft Defender para aplicaciones en la nube | Puede detectar una actividad anómala de los usuarios que acceden a las aplicaciones en la nube. |
| 6. El atacante descarga archivos confidenciales de una carpeta de SharePoint | Microsoft Defender para aplicaciones en la nube | Puede detectar y responder a eventos de descarga masiva de archivos de SharePoint. |
Respuesta a un incidente mediante Microsoft Sentinel y Microsoft Defender XDR
Ahora que hemos visto cómo se produce un ataque común, echemos un vistazo a la integración de Microsoft Sentinel y Microsoft Defender XDR para la respuesta a incidentes.
Este es el proceso de responder a un incidente con Microsoft Defender XDR y Microsoft Sentinel:
- Evaluar el incidente en el portal de Microsoft Sentinel.
- Pase al portal de Microsoft Defender para iniciar la investigación.
- Cuando sea necesario, continúe la investigación en el portal de Microsoft Sentinel.
- Resuelva el incidente en el portal de Microsoft Sentinel.
En el diagrama siguiente se muestra el proceso, empezando por la detección y la evaluación de prioridades en Microsoft Sentinel.
Para más información, consulte Responder a un incidente mediante Microsoft Sentinel y Microsoft Defender XDR.
Principales capacidades
Para implementar un enfoque de confianza cero en la administración de incidentes, use estas características de Microsoft Sentinel y XDR.
| Funcionalidad o característica | Descripción | Producto |
|---|---|---|
| Investigación y respuesta automatizadas (AIR) | Las funcionalidades de AIR están diseñadas para examinar alertas y tomar medidas inmediatas para resolver las infracciones. Las funcionalidades de AIR reducen significativamente el volumen de alertas, lo que permite que las operaciones de seguridad se centren en amenazas más sofisticadas y otras iniciativas de alto valor. | Microsoft Defender XDR |
| Búsqueda avanzada | La búsqueda avanzada es una herramienta de búsqueda de amenazas basada en consultas que le permite explorar hasta 30 días de datos sin procesar. Puede inspeccionar de forma proactiva los eventos de la red para buscar indicadores de amenazas y entidades. El acceso flexible a los datos permite la búsqueda sin restricciones de amenazas conocidas y potenciales. | Microsoft Defender XDR |
| Indicadores de archivo personalizados | Para evitar una mayor propagación de un ataque en la organización, puede prohibir archivos potencialmente maliciosos o malware sospechoso. | Microsoft Defender XDR |
| Cloud Discovery | Cloud Discovery analiza los registros de tráfico recopilados por Defender para punto de conexión y evalúa las aplicaciones identificadas en el catálogo de aplicaciones en la nube para proporcionar información de cumplimiento y seguridad. | Microsoft Defender para aplicaciones en la nube |
| Indicadores de red personalizados | Al crear indicadores para direcciones IP y direcciones URL o dominios, ahora puede permitir o bloquear direcciones IP, direcciones URL o dominios según su propia inteligencia sobre amenazas. | Microsoft Defender XDR |
| Bloqueo de detección y respuesta de puntos de conexión (EDR) | Proporciona protección agregada contra artefactos malintencionados cuando Antivirus de Microsoft Defender (MDAV) no es el producto antivirus principal y se ejecuta en modo pasivo. EDR en modo de bloqueo funciona en segundo plano para corregir los artefactos maliciosos que fueron detectados por las capacidades de EDR. | Microsoft Defender XDR |
| Capacidad de respuesta del dispositivo | Responder rápidamente a ataques detectados mediante el aislamiento de dispositivos o la recopilación de un paquete de investigación | Microsoft Defender XDR |
| Respuesta dinámica | La respuesta dinámica proporciona a los equipos de operaciones de seguridad acceso instantáneo a un dispositivo (también denominado máquina) mediante una conexión de shell remoto. Esto le ofrece la capacidad de realizar un trabajo de investigación en profundidad y tomar medidas de respuesta inmediatas para que contengan rápidamente amenazas identificadas en tiempo real. | Microsoft Defender XDR |
| Aplicaciones seguras en la nube | Una solución de operaciones de seguridad de desarrollo (DevSecOps) que unifica la administración de seguridad en el nivel de código en entornos multinube y varias canalizaciones. | Microsoft Defender for Cloud |
| Mejorar la posición de seguridad | Una solución de administración de la posición de seguridad en la nube (CSPM) que muestra las acciones que puede realizar para evitar infracciones. | Microsoft Defender for Cloud |
| Protección de cargas de trabajo en la nube | Una plataforma de protección de cargas de trabajo en la nube (CWPP) con protecciones específicas para servidores, contenedores, almacenamiento, bases de datos y otras cargas de trabajo. | Microsoft Defender for Cloud |
| Análisis de comportamiento de usuarios y entidades (UEBA) | Analiza el comportamiento de las entidades de la organización, como usuarios, hosts, direcciones IP y aplicaciones). | Microsoft Sentinel |
| Fusión | Un motor de correlación basado en algoritmos de aprendizaje automático escalables. Detecta automáticamente los ataques en varias etapas, también conocidos como amenazas persistentes avanzadas (APT), mediante la identificación de combinaciones de comportamientos anómalos y actividades sospechosas que se observan en varias etapas de la cadena de ataque. | Microsoft Sentinel |
| Inteligencia sobre amenazas | Use proveedores de terceros de Microsoft para enriquecer los datos para proporcionar contexto adicional en torno a actividades, alertas y registros en su entorno. | Microsoft Sentinel |
| Automation | Las reglas de automatización son una manera de administrar de forma centralizada la automatización en Microsoft Sentinel, ya que permite definir y coordinar un pequeño conjunto de reglas que se pueden aplicar en diferentes escenarios. | Microsoft Sentinel |
| Reglas de anomalías | Las plantillas de reglas de anomalías usan el aprendizaje automático para detectar tipos específicos de comportamiento anómalo. | Microsoft Sentinel |
| Consultas programadas | Reglas integradas escritas por expertos en seguridad de Microsoft que buscan en los registros recopilados por Sentinel para cadenas de actividad sospechosas, amenazas conocidas. | Microsoft Sentinel |
| Reglas casi en tiempo real (NRT) | Las reglas NRT son un conjunto limitado de reglas programadas, diseñadas para ejecutarse una vez al minuto, con el fin de proporcionar información lo más actualizada posible. | Microsoft Sentinel |
| Búsqueda | Para ayudar a los analistas de seguridad a buscar proactivamente nuevas anomalías que ni las aplicaciones de seguridad ni las reglas de análisis programadas han sido capaces de identificar, las consultas de búsqueda integradas de Microsoft Sentinel servirán de guía para formular las preguntas adecuadas para detectar problemas en los datos que ya hay en la red. | Microsoft Sentinel |
| Conector Microsoft Defender XDR | El conector Microsoft Defender XDR sincroniza los registros y los incidentes con Microsoft Sentinel. | Microsoft Defender XDR y Microsoft Sentinel |
| Conectores de datos | Permitir la ingesta de datos para el análisis en Microsoft Sentinel. | Microsoft Sentinel |
| Solución del centro de contenido -Confianza cero (TIC 3.0) | La solución Confianza cero (TIC 3.0) incluye un libro, reglas de análisis y un cuaderno de estrategias, que proporcionan una visualización automatizada de los principios de Confianza cero, en conexión con el marco Trust Internet Connections, lo que ayuda a las organizaciones a supervisar las configuraciones a lo largo del tiempo. | Microsoft Sentinel |
| Respuesta automatizada de orquestación de seguridad (SOAR) | Aprovechar las reglas de automatización y los cuadernos de estrategias en respuesta a las amenazas de seguridad aumenta la eficacia de su SOC y le ahorra tiempo y recursos. | Microsoft Sentinel |
Qué contiene esta solución
Esta solución le guiará a través de la implementación de Microsoft Sentinel y XDR para que el equipo de operaciones de seguridad pueda corregir de forma eficaz los incidentes mediante un enfoque de Confianza cero.
Recomendado para el entrenamiento
| Cursos | Conexión de Microsoft Defender XDR a Microsoft Sentinel |
|---|---|
|
Conozca las opciones de configuración y los datos que proporcionan los conectores de Microsoft Sentinel para Microsoft Defender XDR. |
Pasos siguientes
Siga estos pasos para implementar Microsoft Sentinel y XDR para un enfoque de Confianza cero:
- Configure sus herramientas XDR
- Diseño del área de trabajo de Microsoft Sentinel
- Ingesta de orígenes de datos
- Responder a un incidente
Consulte también estos artículos adicionales para aplicar principios de Confianza cero a Azure:
Comentarios
Próximamente: A lo largo de 2024 iremos eliminando gradualmente GitHub Issues como mecanismo de comentarios sobre el contenido y lo sustituiremos por un nuevo sistema de comentarios. Para más información, vea: https://aka.ms/ContentUserFeedback.
Enviar y ver comentarios de