Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
La infraestructura comprende el hardware, el software, los microservicios, la infraestructura de red y las instalaciones necesarias para admitir servicios de TI para una organización. Las soluciones de infraestructura de confianza cero evalúan, supervisan y evitan amenazas de seguridad para estos servicios.
Las soluciones de infraestructura de confianza cero admiten los principios de Confianza cero al asegurarse de que el acceso a los recursos de infraestructura se comprueba explícitamente, el acceso se concede mediante principios de acceso con privilegios mínimos y se aplican mecanismos que asumen vulneración y buscan y corrigen amenazas de seguridad en la infraestructura.
Esta guía es para proveedores de software y asociados tecnológicos que desean mejorar sus soluciones de seguridad de infraestructura mediante la integración con productos de Microsoft.
Integración de Confianza cero para la guía de infraestructura
Esta guía de integración incluye estrategias e instrucciones para la integración con Microsoft Defender for Cloud y sus planes integrados de protección de cargas de trabajo en la nube, Microsoft Defender para ... (servidores, contenedores, bases de datos, almacenamiento, App Services, etc.).
La guía incluye integraciones con las soluciones de gestión de información y eventos de seguridad (SIEM), orquestación y respuesta automatizada de seguridad (SOAR), detección y respuesta de endpoints (EDR) y gestión de servicios de TI (ITSM).
Confianza cero y Defender for Cloud
Nuestra guía de implementación de infraestructura de Confianza cero proporciona fases clave de la estrategia de confianza cero para la infraestructura:
- Evaluación del cumplimiento de las normas y directivas elegidas
- Fortalecer la configuración donde se encuentren brechas
- Emplear otras herramientas de endurecimiento, como el acceso JIT (Just-In-Time) a máquinas virtuales
- Configuración de la detección y las protecciones de amenazas
- Bloquear y marcar automáticamente el comportamiento de riesgo y realizar acciones de protección
Hay una asignación clara de los objetivos descritos en la guía de implementación de infraestructura a los aspectos básicos de Defender for Cloud.
| Objetivo de confianza cero | Característica de Defender for Cloud |
|---|---|
| Evaluación del cumplimiento | En Defender for Cloud, cada suscripción tiene automáticamente asignada la prueba comparativa de seguridad en la nube (MCSB) de Microsoft como iniciativa de seguridad predeterminada. Con las herramientas de puntuación segura y el panel de cumplimiento normativo , puede comprender en profundidad la posición de seguridad de su cliente. |
| Endurecimiento de la configuración | Asigne iniciativas de seguridad a las suscripciones y revise la puntuación segura para orientarse hacia las recomendaciones de fortalecimiento integradas en Defender for Cloud. Defender for Cloud analiza periódicamente el estado de cumplimiento de los recursos para identificar posibles errores de configuración y debilidades de seguridad. A continuación, proporciona recomendaciones sobre cómo corregir esos problemas. |
| Uso de mecanismos de endurecimiento | Además de las soluciones puntuales para corregir las configuraciones incorrectas de seguridad, Defender for Cloud incluye características para proteger aún más sus recursos, como: Acceso a máquinas virtuales Just-In-Time (JIT) Endurecimiento adaptable de la red Controles de aplicación adaptables. |
| Configuración de la detección de amenazas | Defender for Cloud ofrece planes integrados de protección de cargas de trabajo en la nube para la detección y respuesta de amenazas. Los planes proporcionan protección avanzada e inteligente de los recursos y cargas de trabajo en Azure, entornos híbridos y multinube. Uno de los planes de Microsoft Defender, Defender para servidores, incluye una integración nativa con Microsoft Defender para punto de conexión. Obtenga más información en Introducción a Microsoft Defender for Cloud. |
| Bloquear automáticamente el comportamiento sospechoso | Muchas de las recomendaciones de protección de Defender for Cloud ofrecen una opción de denegación . Esta característica permite evitar la creación de recursos que no cumplen los criterios de endurecimiento definidos. Obtenga más información en Prevención de configuraciones incorrectas con recomendaciones de aplicación y denegación. |
| Marcar automáticamente el comportamiento sospechoso | Las detecciones avanzadas desencadenan alertas de seguridad de Microsoft Defender for Cloud. Defender for Cloud prioriza y enumera las alertas, junto con la información necesaria para investigar rápidamente el problema. Defender for Cloud también proporciona pasos detallados para ayudarle a corregir los ataques. Para obtener una lista completa de las alertas disponibles, consulte Alertas de seguridad: una guía de referencia. |
Protección de los servicios PaaS de Azure con Defender for Cloud
Con Defender for Cloud habilitado en la suscripción y los planes de protección de cargas de trabajo de Defender habilitados para todos los tipos de recursos disponibles, tiene una capa de protección contra amenazas inteligente, protección de recursos en Azure Key Vault, Azure Storage, Azure DNS y otros servicios PaaS de Azure. Para obtener una lista completa, consulte los servicios paaS enumerados en la matriz de soporte técnico.
Azure Logic Apps
Use Azure Logic Apps para crear flujos de trabajo escalables automatizados, procesos empresariales y orquestaciones empresariales para integrar sus aplicaciones y datos en servicios en la nube y sistemas locales.
La característica de automatización de flujos de trabajo de Defender for Cloud permite automatizar las respuestas a los desencadenadores de Defender for Cloud.
Este enfoque es una excelente manera de definir y responder de forma automatizada y coherente cuando se detectan amenazas. Por ejemplo, para notificar a las partes interesadas pertinentes, iniciar un proceso de administración de cambios y aplicar pasos de corrección específicos cuando se detecta una amenaza.
Integración de Defender for Cloud con sus soluciones SIEM, SOAR y ITSM
Microsoft Defender for Cloud puede transmitir las alertas de seguridad a las soluciones de administración de eventos e información de seguridad (SIEM), respuesta automatizada de orquestación de seguridad (SOAR) y administración de servicios de TI (ITSM).
Hay herramientas nativas de Azure para asegurarse de que puede ver los datos de alerta en todas las soluciones más populares que se usan hoy en día, entre las que se incluyen:
- Microsoft Sentinel
- Splunk Enterprise y Splunk Cloud
- QRadar de IBM
- ServiceNow
- ArcSight
- Power BI
- Palo Alto Networks
Microsoft Sentinel
Defender for Cloud se integra de forma nativa con Microsoft Sentinel, la solución nativa de nube de Microsoft, administración de eventos de información de seguridad (SIEM) y respuesta automatizada de orquestación de seguridad (SOAR).
Hay dos enfoques para garantizar que los datos de Defender for Cloud se representen en Microsoft Sentinel:
Conectores de Sentinel - Microsoft Sentinel incluye conectores integrados para Microsoft Defender para la Nube en los niveles de suscripción y arrendatario.
- Transmisión de alertas a Microsoft Sentinel en el nivel de suscripción
- Conexión de todas las suscripciones del inquilino a Microsoft Sentinel
Sugerencia
Obtenga más información en Conexión de alertas de seguridad de Microsoft Defender for Cloud.
Transmisión de los registros de auditoría : una manera alternativa de investigar las alertas de Defender for Cloud en Microsoft Sentinel es transmitir los registros de auditoría a Microsoft Sentinel:
Transmisión de alertas con Microsoft Graph Security API
Defender for Cloud tiene integración integrada con Microsoft Graph Security API. No se requiere ninguna configuración y no hay ningún costo adicional.
Puede usar esta API para transmitir alertas desde todo el inquilino (y datos de muchos otros productos de Seguridad de Microsoft) a SIEM que no son de Microsoft y otras plataformas populares:
- Splunk Enterprise y Splunk Cloud - Utilice el complemento Microsoft Graph Security API para Splunk
- Power BI - Conexión a Microsoft Graph Security API en Power BI Desktop
- ServiceNow - Siga las instrucciones para instalar y configurar la aplicación microsoft Graph Security API desde el almacén de ServiceNow.
- QRadar - Módulo de soporte técnico de dispositivos de IBM para Microsoft Defender for Cloud a través de Microsoft Graph API
- Palo Alto Networks, Anomali, Lookout, InSpark, y más - Microsoft Graph Security API
Obtenga más información sobre Microsoft Graph Security API.
Transmisión de alertas con Azure Monitor
Use la característica de exportación continua de Defender for Cloud para conectar Defender for Cloud con Azure Monitor a través de Azure Event Hubs y transmitir alertas a ArcSight, SumoLogic, servidores Syslog, LogRhythm, Logz.io Cloud Observability Platform y otras soluciones de supervisión.
Obtenga más información en Stream alerts with Azure Monitor (Transmisión de alertas con Azure Monitor).
También puede realizar esta operación en el nivel de grupo de administración mediante Azure Policy. Consulte Creación de configuraciones de automatización de exportación continua a escala.
Sugerencia
Para ver los esquemas de eventos de los tipos de datos exportados, visite los esquemas de eventos de Event Hubs.
Integración de Defender for Cloud con una solución de detección y respuesta de puntos de conexión (EDR)
Microsoft Defender para punto de conexión
Microsoft Defender para punto de conexión es una solución holística de seguridad de puntos de conexión entregados en la nube.
Microsoft Defender para servidores incluye una licencia integrada para Microsoft Defender para punto de conexión. Juntos, proporcionan funcionalidades completas de detección y respuesta de puntos de conexión (EDR). Para obtener más información, consulte Protección de los puntos de conexión.
Cuando Defender para punto de conexión detecta una amenaza, desencadena una alerta. La alerta se muestra en Defender for Cloud y puede acceder a la consola de Defender para Endpoint para realizar una investigación detallada y descubrir el alcance del ataque. Obtenga más información sobre Microsoft Defender para punto de conexión.
Otras soluciones de EDR
Defender for Cloud proporciona recomendaciones de protección para asegurarse de que protege los recursos de su organización según las instrucciones de Microsoft Cloud Security Benchmark (MCSB). Uno de los controles de la prueba comparativa se relaciona con la seguridad del punto de conexión: ES-1: Usar detección y respuesta de puntos de conexión (EDR).
Hay dos recomendaciones en Defender for Cloud para asegurarse de que ha habilitado Endpoint Protection y que se está ejecutando bien. Estas recomendaciones comprueban la presencia y el estado operativo de las soluciones EDR de:
- Trend Micro
- Symantec
- Mcafee
- Sophos
Obtenga más información en Evaluación y recomendaciones de Endpoint Protection en Microsoft Defender for Cloud.
Aplicación de la estrategia de confianza cero a escenarios híbridos y multinube
Con las cargas de trabajo en la nube que suelen abarcar varias plataformas en la nube, los servicios de seguridad en la nube deben hacer lo mismo.
Microsoft Defender for Cloud protege las cargas de trabajo dondequiera que se ejecuten: en Azure, local, Amazon Web Services (AWS) o Google Cloud Platform (GCP).
Integración de Defender for Cloud con máquinas locales
Para proteger las cargas de trabajo de nube híbrida, puede ampliar las protecciones de Defender for Cloud mediante la conexión de máquinas locales a servidores habilitados para Azure Arc.
Obtenga información sobre cómo conectar máquinas en Conexión de máquinas que no son de Azure a Defender for Cloud.
Integración de Defender for Cloud con otros entornos en la nube
Para ver la posición de seguridad de las máquinas de Amazon Web Services en Defender for Cloud, incorpore cuentas de AWS a Defender for Cloud. Este enfoque integra AWS Security Hub y Microsoft Defender for Cloud para obtener una vista unificada de las recomendaciones de Defender for Cloud y los resultados de AWS Security Hub y proporciona una serie de ventajas, tal como se describe en Conexión de las cuentas de AWS a Microsoft Defender for Cloud.
Para ver la posición de seguridad de las máquinas de Google Cloud Platform en Defender for Cloud, incorpore cuentas de GCP a Defender for Cloud. Este enfoque integra el comando de seguridad de GCP y Microsoft Defender for Cloud para obtener una vista unificada de las recomendaciones de Defender for Cloud y los resultados del Centro de comandos de seguridad de GCP y proporciona una serie de ventajas, tal y como se describe en Conexión de las cuentas de GCP a Microsoft Defender for Cloud.
Pasos siguientes
Para obtener más información sobre Microsoft Defender for Cloud, consulte la documentación completa de Defender for Cloud.