Implementación de Microsoft Sentinel y Microsoft Defender XDR para Confianza cero

Esta guía de la solución le muestra el proceso de configuración de las herramientas de detección y respuesta extendidas (XDR) de Microsoft, junto con Microsoft Sentinel, para acelerar la capacidad de su organización para responder y corregir los ataques de ciberseguridad.

Microsoft Defender XDR es una solución XDR que recopila, correlaciona y analiza automáticamente los datos de señales, amenazas y alertas de todo el entorno de Microsoft 365.

Microsoft Sentinel es una solución nativa de nube, que proporciona capacidades de administración de eventos e información de seguridad (SIEM) y orquestación, automatización y respuesta de seguridad (SOAR). En conjunto, Microsoft Sentinel y Microsoft Defender XDR proporcionan una solución completa para ayudar a las organizaciones a defenderse contra ataques modernos.

Esta guía le ayuda a madurar la arquitectura de Confianza cero mediante la asignación de los principios de Confianza cero de las siguientes maneras.

Principio de Confianza cero Cumplido por
Comprobación explícita Microsoft Sentinel recopila datos de todo el entorno y analiza amenazas y anomalías para que su organización, y cualquier automatización implementada, pueda actuar en función de todos los puntos de datos disponibles y comprobados.

 Microsoft Defender XDR proporciona detección y respuesta extendidas entre usuarios, identidades, dispositivos, aplicaciones y correos electrónicos. Configure la automatización de Microsoft Sentinel para usar las señales basadas en riesgos capturadas por Microsoft Defender XDR para tomar medidas, como bloquear o autorizar el tráfico en función del nivel de riesgo.
Uso del acceso con privilegios mínimos Microsoft Sentinel detecta una actividad anómala a través de su motor de Análisis de comportamiento de entidades de usuario (UEBA). Dado que los escenarios de seguridad pueden cambiar con el tiempo, y a menudo muy rápidamente, la inteligencia sobre amenazas de Microsoft Sentinel también importa datos de Microsoft o de proveedores de terceros para detectar amenazas nuevas emergentes y proporcionar un contexto adicional para las investigaciones.

 Microsoft Defender XDR cuenta con la protección de Microsoft Entra ID, que puede bloquear a los usuarios en función del nivel de riesgo con la identidad. Alimente los datos relacionados en Microsoft Sentinel para su posterior análisis y automatización.
Asunción de que hay brechas Microsoft Defender XDR examina continuamente el entorno en busca de amenazas y vulnerabilidades. Microsoft Sentinel analiza los datos recopilados y las tendencias de comportamiento de cada entidad para detectar actividades sospechosas, anomalías y amenazas de varias fases en toda la empresa.

Tanto Microsoft Defender XDR como Microsoft Sentinel pueden implementar tareas de corrección automatizadas, incluidas investigaciones automatizadas, aislamiento de dispositivos y cuarentena de datos. El riesgo del dispositivo se puede usar como señal para introducir en el acceso condicional de Microsoft Entra.

Arquitectura de Microsoft Sentinel y XDR

Los clientes de Microsoft Sentinel pueden usar uno de los siguientes métodos para integrar Microsoft Sentinel con los servicios de Microsoft Defender XDR:

  • Use conectores de datos de Microsoft Sentinel para ingerir datos del servicio de Microsoft Defender XDR en Microsoft Sentinel. En este caso, vea los datos de Microsoft Sentinel en Azure Portal.

  • Integre Microsoft Sentinel y Microsoft Defender XDR en una única plataforma de operaciones de seguridad unificadas en el portal de Microsoft Defender. En este caso, vea los datos de Microsoft Sentinel directamente en el portal de Microsoft Defender con el resto de los incidentes, alertas, vulnerabilidades y otros datos de seguridad de Defender.

Esta guía de solución proporciona información para ambos métodos. En esta guía de solución, seleccione la pestaña que es relevante para el área de trabajo. Si ha incorporado el área de trabajo a la plataforma unificada de operaciones de seguridad, trabaje en el portal de Defender. Si no ha incorporado el área de trabajo, trabaje en Azure Portal a menos que se indique lo contrario.

En la siguiente ilustración se muestra cómo la solución de Microsoft XDR se integra sin problemas con Microsoft Sentinel con la plataforma unificada de operaciones de seguridad.

Diagrama de una arquitectura de Microsoft Sentinel y Microsoft Defender XDR con la plataforma unificada de operaciones de seguridad.

En este diagrama:

  • La información de las señales de toda la organización llega a Microsoft Defender XDR y Microsoft Defender for Cloud.
  • Microsoft Sentinel proporciona compatibilidad con entornos multinube y se integra con aplicaciones de terceros y asociados.
  • Los datos de Microsoft Sentinel se ingieren junto con los datos de la organización en el portal de Microsoft Defender.
  • Los equipos de SecOps pueden analizar y responder a amenazas identificadas por Microsoft Sentinel y Microsoft Defender XDR en el portal de Microsoft Defender.

Implementación de Microsoft Sentinel y Microsoft Defender XDR para Confianza cero

Microsoft Defender XDR es una solución XDR que complementa a Microsoft Sentinel. Una XDR extrae datos de telemetría sin procesar de varios servicios, como aplicaciones en la nube, seguridad de correo electrónico, identidad y administración de acceso.

Con la inteligencia artificial (IA) y el aprendizaje automático, la XDR realiza el análisis automático, la investigación y la respuesta en tiempo real. La solución XDR también correlaciona las alertas de seguridad en incidentes más grandes, lo que proporciona a los equipos de seguridad mayor visibilidad de los ataques y proporciona priorización de incidentes, lo que ayuda a los analistas a comprender el nivel de riesgo de la amenaza.

Con Microsoft Sentinel, puede conectarse a muchos orígenes de seguridad mediante conectores integrados y estándares del sector. Con su inteligencia artificial puede correlacionar varias señales de baja fidelidad que abarcan varios orígenes para crear una vista completa de la cadena de eliminación de ransomware y alertas prioritarias.

Aplicación de funcionalidades de SIEM y XDR

En esta sección, examinaremos un escenario de ataque típico que implica un ataque de suplantación de identidad (phishing) y, a continuación, continuaremos con cómo responder al incidente con Microsoft Sentinel y Microsoft Defender XDR.

Orden de ataque común

En el diagrama siguiente se muestra un orden de ataque común de un escenario de suplantación de identidad (phishing).

Diagrama de un escenario de ataque común y defensas proporcionados por los productos de seguridad de Microsoft.

En el diagrama, también se muestran los productos de seguridad de Microsoft para detectar cada paso de ataque y cómo fluyen las señales de ataque y el flujo de datos SIEM a Microsoft Defender XDR y Microsoft Sentinel.

Este es un resumen del ataque.

Paso de ataque Servicio de detección y origen de señal Defensas en su lugar
1. El atacante envía correo electrónico de suplantación de identidad (phishing) Microsoft Defender para Office 365 Protege los buzones con características avanzadas contra la suplantación de identidad que pueden protegerse frente a ataques de suplantación de identidad malintencionados.
2. El usuario abre los datos adjuntos Microsoft Defender para Office 365 La característica Datos adjuntos seguros de Microsoft Defender para Office 365 abre datos adjuntos en un entorno aislado para un examen de amenazas (detonación).
3. Los datos adjuntos instalan malware Microsoft Defender para punto de conexión Protege los puntos de conexión del malware con sus características de protección de última generación, como la protección proporcionada por la nube y la protección basada en comportamientos, heurística o antivirus en tiempo real.
4. El malware roba las credenciales de usuario Microsoft Entra ID y Protección de Microsoft Entra ID Protege las identidades mediante la supervisión del comportamiento y las actividades del usuario, la detección del movimiento lateral y las alertas sobre la actividad anómala.
5. El atacante se mueve lateralmente entre aplicaciones y datos de Microsoft 365 Microsoft Defender para aplicaciones en la nube Puede detectar una actividad anómala de los usuarios que acceden a las aplicaciones en la nube.
6. El atacante descarga archivos confidenciales de una carpeta de SharePoint Microsoft Defender para aplicaciones en la nube Puede detectar y responder a eventos de descarga masiva de archivos de SharePoint.

Si ha incorporado el área de trabajo de Microsoft Sentinel a la plataforma unificada de operaciones de seguridad, los datos SIEM están disponibles con Microsoft Sentinel directamente en el portal de Microsoft Defender.

Respuesta a un incidente mediante Microsoft Sentinel y Microsoft Defender XDR

Ahora que hemos visto cómo se produce un ataque común, echemos un vistazo al uso de la integración de Microsoft Sentinel y Microsoft Defender XDR para la respuesta a incidentes.

Seleccione la pestaña correspondiente para el área de trabajo en función de si ha incorporado el área de trabajo a la plataforma de operaciones de seguridad unificadas.

Después de integrar Microsoft Sentinel y Microsoft Defender XDR incorporando el área de trabajo a la plataforma unificada de operaciones de seguridad, complete todos los pasos de respuesta a incidentes directamente en el portal de Microsoft Defender, igual que lo haría con otros incidentes de Microsoft Defender XDR. Los pasos admitidos incluyen todo, desde la evaluación de prioridades hasta la investigación y la resolución.

Use el área de Microsoft Sentinel en el portal de Microsoft Defender para ver las características que no están disponibles solo con el portal de Defender.

Para más información, consulte Responder a un incidente mediante Microsoft Sentinel y Microsoft Defender XDR.

Principales capacidades

Para implementar un enfoque de confianza cero en la administración de incidentes, use estas características de Microsoft Sentinel y XDR.

Funcionalidad o característica Descripción Producto
Investigación y respuesta automatizadas (AIR) Las funcionalidades de AIR están diseñadas para examinar alertas y tomar medidas inmediatas para resolver las infracciones. Las funcionalidades de AIR reducen significativamente el volumen de alertas, lo que permite que las operaciones de seguridad se centren en amenazas más sofisticadas y otras iniciativas de alto valor. Microsoft Defender XDR
Búsqueda avanzada La búsqueda avanzada es una herramienta de búsqueda de amenazas basada en consultas que le permite explorar hasta 30 días de datos sin procesar. Puede inspeccionar de forma proactiva los eventos de la red para buscar indicadores de amenazas y entidades. El acceso flexible a los datos permite la búsqueda sin restricciones de amenazas conocidas y potenciales. Microsoft Defender XDR
Indicadores de archivo personalizados Para evitar una mayor propagación de un ataque en la organización, puede prohibir archivos potencialmente maliciosos o malware sospechoso. Microsoft Defender XDR
Cloud Discovery Cloud Discovery analiza los registros de tráfico recopilados por Defender para punto de conexión y evalúa las aplicaciones identificadas en el catálogo de aplicaciones en la nube para proporcionar información de cumplimiento y seguridad. Microsoft Defender para aplicaciones en la nube
Indicadores de red personalizados Al crear indicadores para direcciones IP y direcciones URL o dominios, ahora puede permitir o bloquear direcciones IP, direcciones URL o dominios según su propia inteligencia sobre amenazas. Microsoft Defender XDR
Bloqueo de detección y respuesta de puntos de conexión (EDR) Proporciona protección agregada contra artefactos malintencionados cuando Antivirus de Microsoft Defender (MDAV) no es el producto antivirus principal y se ejecuta en modo pasivo. EDR en modo de bloqueo funciona en segundo plano para corregir los artefactos maliciosos que fueron detectados por las capacidades de EDR. Microsoft Defender XDR
Capacidad de respuesta del dispositivo Responder rápidamente a ataques detectados mediante el aislamiento de dispositivos o la recopilación de un paquete de investigación Microsoft Defender XDR
Respuesta dinámica La respuesta dinámica proporciona a los equipos de operaciones de seguridad acceso instantáneo a un dispositivo (también denominado máquina) mediante una conexión de shell remoto. Esto le ofrece la capacidad de realizar un trabajo de investigación en profundidad y tomar medidas de respuesta inmediatas para que contengan rápidamente amenazas identificadas en tiempo real. Microsoft Defender XDR
Aplicaciones seguras en la nube Una solución de operaciones de seguridad de desarrollo (DevSecOps) que unifica la administración de seguridad en el nivel de código en entornos multinube y varias canalizaciones. Microsoft Defender for Cloud
Mejorar la posición de seguridad Una solución de administración de la posición de seguridad en la nube (CSPM) que muestra las acciones que puede realizar para evitar infracciones. Microsoft Defender for Cloud
Protección de cargas de trabajo en la nube Una plataforma de protección de cargas de trabajo en la nube (CWPP) con protecciones específicas para servidores, contenedores, almacenamiento, bases de datos y otras cargas de trabajo. Microsoft Defender for Cloud
Análisis de comportamiento de usuarios y entidades (UEBA) Analiza el comportamiento de las entidades de la organización, como usuarios, hosts, direcciones IP y aplicaciones). Microsoft Sentinel

En el caso de las áreas de trabajo incorporadas, Microsoft Sentinel en la plataforma unificada de operaciones de seguridad
Fusión Un motor de correlación basado en algoritmos de aprendizaje automático escalables. Detecta automáticamente los ataques en varias etapas, también conocidos como amenazas persistentes avanzadas (APT), mediante la identificación de combinaciones de comportamientos anómalos y actividades sospechosas que se observan en varias etapas de la cadena de ataque. Microsoft Sentinel

En el caso de las áreas de trabajo incorporadas, Microsoft Sentinel en la plataforma unificada de operaciones de seguridad
Inteligencia sobre amenazas Use proveedores de terceros de Microsoft para enriquecer los datos para proporcionar contexto adicional en torno a actividades, alertas y registros en su entorno. Microsoft Sentinel

En el caso de las áreas de trabajo incorporadas, Microsoft Sentinel en la plataforma unificada de operaciones de seguridad
Automation  Las reglas de automatización son una manera de administrar de forma centralizada la automatización con Microsoft Sentinel, ya que permite definir y coordinar un pequeño conjunto de reglas que se pueden aplicar en diferentes escenarios. Microsoft Sentinel

En el caso de las áreas de trabajo incorporadas, Microsoft Sentinel en la plataforma unificada de operaciones de seguridad
Reglas de anomalías Las plantillas de reglas de anomalías usan el aprendizaje automático para detectar tipos específicos de comportamiento anómalo. Microsoft Sentinel

En el caso de las áreas de trabajo incorporadas, Microsoft Sentinel en la plataforma unificada de operaciones de seguridad
Consultas programadas Reglas integradas escritas por expertos en seguridad de Microsoft que buscan en los registros recopilados por Sentinel para cadenas de actividad sospechosas, amenazas conocidas. Microsoft Sentinel

En el caso de las áreas de trabajo incorporadas, Microsoft Sentinel en la plataforma unificada de operaciones de seguridad
Reglas casi en tiempo real (NRT) Las reglas NRT son un conjunto limitado de reglas programadas, diseñadas para ejecutarse una vez al minuto, con el fin de proporcionar información lo más actualizada posible.  Microsoft Sentinel

En el caso de las áreas de trabajo incorporadas, Microsoft Sentinel en la plataforma unificada de operaciones de seguridad
Búsqueda Para ayudar a los analistas de seguridad a buscar proactivamente nuevas anomalías que ni las aplicaciones de seguridad ni las reglas de análisis programadas han sido capaces de identificar, las consultas de búsqueda integradas de Microsoft Sentinel servirán de guía para formular las preguntas adecuadas para detectar problemas en los datos que ya hay en la red. Microsoft Sentinel

En el caso de las áreas de trabajo incorporadas, use la funcionalidad de búsqueda avanzada del portal de Microsoft Defender.
Conector Microsoft Defender XDR El conector Microsoft Defender XDR sincroniza los registros y los incidentes con Microsoft Sentinel. Microsoft Defender XDR y Microsoft Sentinel br>
En el caso de las áreas de trabajo incorporadas, Microsoft Sentinel en la plataforma unificada de operaciones de seguridad
Conectores de datos Permitir la ingesta de datos para el análisis en Microsoft Sentinel. Microsoft Sentinel

En el caso de las áreas de trabajo incorporadas, Microsoft Sentinel en la plataforma unificada de operaciones de seguridad
Solución del centro de contenido -Confianza cero (TIC 3.0) La solución Confianza cero (TIC 3.0) incluye un libro, reglas de análisis y un cuaderno de estrategias, que proporcionan una visualización automatizada de los principios de Confianza cero, en conexión con el marco Trust Internet Connections, lo que ayuda a las organizaciones a supervisar las configuraciones a lo largo del tiempo. Microsoft Sentinel

En el caso de las áreas de trabajo incorporadas, Microsoft Sentinel en la plataforma unificada de operaciones de seguridad
Respuesta automatizada de orquestación de seguridad (SOAR) El uso de reglas de automatización y cuadernos de estrategias en respuesta a amenazas de seguridad aumenta la eficacia del SOC y le ahorra tiempo y recursos. Microsoft Sentinel

En el caso de las áreas de trabajo incorporadas, Microsoft Sentinel en la plataforma unificada de operaciones de seguridad
Optimizaciones de SOC Cierre las brechas de cobertura frente a amenazas específicas y refuerce las tasas de ingesta con respecto a los datos que no proporcionan valor de seguridad.

Qué contiene esta solución

Esta solución le guiará a través de la implementación de Microsoft Sentinel y XDR para que el equipo de operaciones de seguridad pueda corregir de forma eficaz los incidentes mediante un enfoque de Confianza cero.

Imagen de los pasos de la solución Microsoft Sentinel y XDR

El contenido de entrenamiento no cubre actualmente la plataforma unificada de operaciones de seguridad.

Cursos Conexión de Microsoft Defender XDR a Microsoft Sentinel
Conozca las opciones de configuración y los datos que proporcionan los conectores de Microsoft Sentinel para Microsoft Defender XDR.

Pasos siguientes

Siga estos pasos para implementar Microsoft Sentinel y XDR para un enfoque de Confianza cero:

  1. Configure sus herramientas XDR
  2. Diseño del área de trabajo de Microsoft Sentinel
  3. Ingesta de orígenes de datos
  4. Responder a un incidente

Consulte también estos artículos para aplicar los principios de confianza cero a Azure: