Puntuación de seguridad de Microsoft

Puntuación de seguridad de Microsoft es una medida de la posición de seguridad de una organización, con un número mayor que indica las acciones más recomendadas. Se puede encontrar en Puntuación segura de Microsoft en el portal de Microsoft Defender.

Seguir las recomendaciones de la puntuación de seguridad puede proteger a su organización de amenazas. Desde un panel centralizado del portal de Microsoft Defender, las organizaciones pueden supervisar y trabajar en la seguridad de sus identidades, aplicaciones y dispositivos de Microsoft 365.

La puntuación de seguridad ayuda a las organizaciones a:

  • Informar sobre el estado actual de la situación en materia de seguridad de la organización.
  • Mejorar la situación de seguridad proporcionando capacidad de descubrimiento, visibilidad, orientación y control.
  • Comparar con puntos de referencia y establecer indicadores clave de rendimiento (KPI).

Vea este vídeo para obtener una introducción rápida a la puntuación segura.

Las organizaciones obtienen acceso a visualizaciones sólidas de métricas y tendencias, integración con otros productos de Microsoft, comparación de puntuaciones con organizaciones similares y mucho más. La puntuación también puede reflejar cuándo las soluciones que no son de Microsoft abordan las acciones recomendadas.

Captura de pantalla que muestra la página principal de Puntuación segura de Microsoft en el portal de Microsoft Defender

Cómo funciona

Obtiene puntos para las siguientes acciones:

  • Configuración de características de seguridad recomendadas
  • Realizar tareas relacionadas con la seguridad
  • Abordar la acción recomendada con una aplicación o software que no es de Microsoft, o una mitigación alternativa

Algunas acciones recomendadas solo proporcionan puntos cuando se completan por completo. Algunas acciones dan lugar a puntos parciales si se completan tareas para algunos dispositivos o usuarios. Si no puede o no quiere implementar una de las acciones recomendadas, puede optar por aceptar el riesgo o el riesgo restante.

Si tiene una licencia para uno de los productos de Microsoft admitidos, verá recomendaciones para esos productos. Le mostramos el conjunto completo de posibles recomendaciones para un producto, independientemente de la edición de licencia, la suscripción o el plan. De este modo, puede comprender los procedimientos recomendados de seguridad y mejorar la puntuación. Su posición de seguridad absoluta, representada por puntuación segura, permanece igual independientemente de las licencias que posea su organización para un producto específico. Tenga en cuenta que la seguridad debe estar equilibrada con la facilidad de uso, y no todas las recomendaciones funcionarán en su entorno.

La puntuación se actualiza en tiempo real para reflejar la información presentada en las visualizaciones y las páginas de acción recomendadas. La puntuación de seguridad también se sincroniza diariamente para recibir datos del sistema sobre los puntos logrados por cada acción.

Nota:

Para Microsoft Teams y Microsoft Entra recomendaciones relacionadas, el estado de la recomendación se actualizará cuando se produzcan cambios en el estado de configuración. Además, el estado de recomendación se actualiza una vez al mes o una vez a la semana, respectivamente.

Escenarios clave

Cada acción recomendada vale 10 puntos o menos, y la mayoría se puntúa de forma binaria. Si implementa la acción recomendada, como crear una nueva directiva o activar una configuración específica, obtendrá el 100 % de los puntos. Para otras acciones recomendadas, los puntos se proporcionan como un porcentaje de la configuración total.

Por ejemplo, una acción recomendada indica que obtiene 10 puntos al proteger a todos los usuarios con la autenticación multifactor. Solo tiene 50 de 100 usuarios totales protegidos, por lo que obtendría una puntuación parcial de cinco puntos (50 protegidos / 100 en total * 10 pts máximos = 5 pts).

Productos incluidos en la puntuación segura

Actualmente hay recomendaciones para los siguientes productos:

  • Gobernanza de aplicaciones
  • Microsoft Entra ID
  • Citrix ShareFile
  • Microsoft Defender para punto de conexión
  • Microsoft Defender for Identity
  • Microsoft Defender para Office
  • Docusign
  • Exchange Online
  • GitHub
  • Microsoft Defender for Cloud Apps
  • Microsoft Purview Information Protection
  • Microsoft Teams
  • Okta
  • Salesforce
  • ServiceNow
  • SharePoint Online
  • Zoom

Próximamente, se incluirán recomendaciones para otros productos de seguridad. Las recomendaciones no cubren todas las superficies de ataque asociadas a cada producto, pero son una buena línea base. También puede marcar las acciones recomendadas como cubiertas por una solución que no sea de Microsoft o una mitigación alternativa.

Valores predeterminados de seguridad

Puntuación de seguridad de Microsoft incluye acciones recomendadas actualizadas para admitir [valores predeterminados de seguridad en Microsoft Entra ID](/azure/active-directory/fundamentals/concept-fundamentals-security-defaults para facilitar la protección de su organización con la configuración de seguridad preconfigurada para ataques comunes.

Si activa los valores predeterminados de seguridad, se le concederán puntos completos para las siguientes acciones recomendadas:

  • Asegúrese de que todos los usuarios pueden completar la autenticación multifactor para un acceso seguro (nueve puntos)
  • Requerir MFA para roles administrativos (10 puntos)
  • Habilitar la directiva para bloquear la autenticación heredada (siete puntos)

Importante

Los valores predeterminados de seguridad incluyen características de seguridad que proporcionan una seguridad similar a la directiva de riesgo de inicio de sesión y las acciones recomendadas de la directiva de riesgo de usuario. En lugar de configurar estas directivas sobre los valores predeterminados de seguridad, se recomienda actualizar sus estados a Resolved through alternative mitigation.

Permisos de puntuación segura

Importante

Microsoft recomienda utilizar roles con la menor cantidad de permisos. Esto ayuda a mejorar la seguridad de la organización. Administrador global es un rol con muchos privilegios que debe limitarse a escenarios de emergencia cuando no se puede usar un rol existente.

Administración de permisos con Microsoft Defender XDR control de acceso basado en rol unificado (RBAC)

Con Microsoft Defender XDR control de acceso basado en rol unificado (RBAC), puede crear roles personalizados con permisos específicos para puntuación segura. Estos permisos se encuentran en la categoría Posición de seguridad en Defender XDR modelo de permisos de RBAC unificados y se denominan Administración de la exposición (lectura) para el acceso de solo lectura y Administración de la exposición (administrar) para los usuarios que tendrán acceso para administrar las recomendaciones de puntuación segura.

Para que los usuarios accedan a los datos de puntuación segura, se asignará un rol personalizado en Defender XDR RBAC unificado con el origen de datos Administración de exposición de seguridad Microsoft.

Para empezar a usar Microsoft Defender XDR RBAC unificado para administrar los permisos de puntuación segura, consulte Microsoft Defender XDR Control de acceso basado en rol unificado (RBAC).

Nota:

Defender XDR RBAC unificado está activo automáticamente para el acceso a la puntuación segura. Una vez creado un rol personalizado con uno de los permisos, tiene un impacto inmediato en los usuarios asignados. No es necesario activarlo.

Actualmente, el modelo solo se admite en el portal de Microsoft Defender. Si quiere usar GraphAPI (por ejemplo, para paneles internos o puntuación segura de Defender for Identity), debe seguir usando roles de Microsoft Entra. GraphAPI de soporte técnico se planea en una fecha posterior.

Microsoft Entra permisos de roles globales

Microsoft Entra roles globales (por ejemplo, administrador global) todavía se pueden usar para acceder a puntuación segura. Los usuarios que tienen los roles globales de Microsoft Entra admitidos, pero que no están asignados a un rol personalizado en Microsoft Defender XDR RBAC unificado siguen teniendo acceso para ver (y administrar cuando se permite) los datos de puntuación segura tal como se describe:

Los roles siguientes tienen acceso de lectura y escritura y pueden realizar cambios, interactuar directamente con la puntuación segura y asignar acceso de solo lectura a otros usuarios:

  • Administrador global
  • Administrador de seguridad
  • Administrador de Exchange
  • Administrador de SharePoint

Los siguientes roles tienen acceso de solo lectura y no pueden editar el estado ni las notas de una acción recomendada, editar zonas de puntuación o editar comparaciones personalizadas:

  • Administrador del servicio de asistencia
  • Administrador de usuarios
  • Administrador de soporte técnico de servicio
  • Lector de seguridad
  • Operador de seguridad
  • Lector global

Nota:

Si desea seguir el principio de acceso con privilegios mínimos (donde solo se conceden los permisos a los usuarios y grupos, deben realizar su trabajo), Microsoft recomienda quitar los roles globales de Microsoft Entra con privilegios elevados existentes para los usuarios o grupos de seguridad asignados a un rol personalizado con permisos de puntuación segura. Esto garantizará que los roles de RBAC unificados de Microsoft Defender XDR personalizados surtan efecto.

Reconocimiento del riesgo

La puntuación de seguridad de Microsoft es un resumen numérico de su posición de seguridad en función de las configuraciones del sistema, el comportamiento del usuario y otras medidas relacionadas con la seguridad. No es una medición absoluta de la probabilidad de que el sistema o los datos puedan vulnerarse. En su lugar, representa la medida en que se usan controles de seguridad en el entorno de Microsoft que pueden ayudar a compensar el riesgo de que se vulnere. Ningún servicio en línea es inmune a las infracciones de seguridad y la puntuación de seguridad no debe interpretarse como una garantía contra las infracciones de seguridad de ninguna manera.

Queremos escuchar sus comentarios

Si tiene algún problema, háganoslo saber publicando en la comunidad seguridad, privacidad & cumplimiento .

Sugerencia

¿Desea obtener más información? Participe con la comunidad de Seguridad de Microsoft en nuestra Tech Community: Tech Community de Microsoft Defender XDR.