Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
En este artículo se describen Microsoft servicios de seguridad y cómo funcionan conjuntamente como un sistema unificado para ofrecer protección en pilares de tecnología que incluyen identidades, dispositivos, aplicaciones, datos, inteligencia artificial e infraestructura.
La seguridad empresarial moderna cambió de la protección basada en perímetro a un modelo integrado en la nube controlado por identidades. Las organizaciones deben proteger a los usuarios, dispositivos, aplicaciones y datos en entornos híbridos y multinube, a la vez que se adaptan continuamente a las amenazas en constante evolución.
Microsoft proporciona un conjunto integrado de servicios basados en la nube que funcionan conjuntamente para compartir señales, aplicar directivas coherentes, aplicar controles y coordinar la detección y respuesta en todo el entorno.
Resultados de seguridad
La seguridad integrada Microsoft ofrece los siguientes resultados:
- Visibilidad unificada de la señal: la telemetría se recopila y centraliza continuamente entre identidades, dispositivos, aplicaciones, datos e infraestructura, y se convierte en señales centralizadas y accionables.
- Toma de decisiones controladas por identidades: las decisiones de acceso y cumplimiento se basan en la identidad, el estado del dispositivo, las señales de riesgo y el contexto de sesión.
- Aplicación coherente: los controles de Confianza cero se aplican en los puntos de conexión, los servicios en la nube y las aplicaciones en el momento del acceso y durante su uso.
- Detección y respuesta integradas: las señales y alertas se correlacionan entre dominios para detectar y responder a amenazas como operaciones unificadas.
- Validación y mejora continuas: las señales de detección y riesgo se devuelven a las decisiones de directiva para reforzar la protección a lo largo del tiempo.
Servicios de seguridad principales
Los servicios principales de seguridad abarcan varios pilares tecnológicos, cada uno de los cuales aporta señales, contexto y capacidades de aplicación en toda la plataforma.
|
Pilar Servicio principal |
Protection | Portal principal |
|---|---|---|
|
Identidad y acceso Microsoft Entra Microsoft Defender for Identity. |
Microsoft Entra controla el acceso a usuarios, cargas de trabajo y aplicaciones. Evalúa las señales de identidad, dispositivo y sesión para tomar decisiones de acceso. Defender para Identity supervisa la infraestructura de identidad híbrida para detectar ataques. |
Centro de administración de Microsoft Entra Portal de Microsoft Defender |
|
Dispositivos o puntos de conexión Microsoft Defender para Endpoint Microsoft Intune |
Defender para punto de conexión recopila la telemetría del punto de conexión y detecta amenazas. Microsoft Intune evalúa el cumplimiento de los dispositivos y aplica la directiva. |
Portal de Microsoft Defender Centro de administración de Microsoft Intune |
|
Correo electrónico y colaboración Defender para Office 365 |
Protege Exchange y servicios de colaboración (Microsoft Teams, SharePoint, OneDrive) frente a malware, vínculos malintencionados o datos adjuntos y peligro de correo electrónico empresarial. | Portal de Microsoft Defender |
|
Datos Microsoft Purview |
Aplica directivas de protección de datos y prevención de pérdida de datos (DLP) en puntos de conexión y servicios en la nube. | Portal de Microsoft Purview |
|
Cargas de trabajo de infraestructura y nube Microsoft Defender for Cloud |
Mejora la posición de seguridad y proporciona detección de amenazas en cargas de trabajo híbridas y en la nube. |
Portal de Microsoft Azure Portal de Microsoft Defender |
|
Redes Servicios de redes de Azure |
Segmente y proteja las redes. | Portal de Microsoft Azure |
|
Aplicaciones SaaS/en la nube Microsoft Defender para aplicaciones en la nube |
Proporciona visibilidad sobre el uso de aplicaciones en la nube y supervisa la actividad del usuario para detectar el comportamiento de riesgo. | Portal de Microsoft Defender |
|
Postura/riesgo Administración de exposición de seguridad de Microsoft |
Identifica, prioriza y reduce la exposición entre identidades, dispositivos, recursos en la nube y aplicaciones. | Portal de Microsoft Defender |
|
Detección y respuesta de amenazas Microsoft Defender XDR |
Correlaciona las señales entre los servicios de Defender y genera incidentes unificados para la investigación y la respuesta. | Portal de Microsoft Defender |
|
Operaciones de seguridad Microsoft Sentinel |
Recopila telemetría de Microsoft y de fuentes de terceros para su análisis, investigación y respuesta centralizados. |
Portal de Microsoft Azure Portal de Microsoft Defender |
|
Seguridad para desarrolladores y aplicaciones Defender para DevOps (en Defender for Cloud) Seguridad avanzada de GitHub |
Protege el código, las dependencias y las canalizaciones de compilación y aplica la gobernanza de seguridad en los flujos de trabajo de DevOps. |
Portal de Microsoft Defender interfaz de GitHub |
Servicios de protección de red
En la tabla se resumen Azure funcionalidades de red y cómo se integran directamente con otros servicios de seguridad. Los servicios se configuran en el Microsoft Azure Portal.
| Servicio | Protection | Integración |
|---|---|---|
| Azure Firewall | Aplica reglas de ip, puerto y aplicación para controlar el tráfico entrante y saliente entre subredes, Internet y redes locales. Usa Microsoft inteligencia sobre amenazas para bloquear el tráfico malintencionado conocido. | Defender for Cloud evalúa la posición de configuración. Los registros de diagnóstico se ingieren en Azure Monitor/Log Analytics y se analizan mediante Microsoft Sentinel para la detección y correlación. |
| Protección contra DDoS de Azure | Mitiga los ataques volumétricos, de protocolo y de capa de aplicación. Protege los recursos accesibles desde Internet en redes virtuales (VNet) frente a ataques de inundación a gran escala. | Las métricas y la telemetría de ataques se ingieren en Azure Monitor/Log Analytics y se pueden analizar en Microsoft Sentinel. Defender for Cloud proporciona recomendaciones de posición. |
| red virtual de Azure | Proporciona aislamiento de red, segmentación y direccionamiento IP privado para Azure recursos. Habilita la conectividad controlada entre servicios. | Defender for Cloud evalúa el estado de configuración, incluida la exposición, como las rutas de acceso público. |
| Grupos de seguridad de red (NSG) | Filtra el tráfico en el nivel de subred e interfaz de red mediante reglas allow/deny. Restringe el tráfico no deseado hacia los recursos. | Los registros de flujo de NSG (a través de Azure Monitor) se pueden analizar en Microsoft Sentinel para la visibilidad y detección del tráfico. Defender for Cloud evalúa la configuración de las reglas de NSG. |
| Firewall de aplicaciones web (WAF) de Azure | Protege las aplicaciones HTTP/HTTPS mediante conjuntos de reglas de OWASP. Ayuda a evitar ataques web comunes, como inyección de código SQL y scripting entre sitios (XSS). | Los registros de WAF se ingieren en Azure Monitor/Log Analytics y se analizan mediante Microsoft Sentinel. Defender for Cloud evalúa la posición de configuración de WAF. |
| Azure Front Door | Proporciona un punto de entrada global para aplicaciones web con funcionalidades de enrutamiento, aceleración y seguridad perimetral. Se integra con WAF para la protección de aplicaciones. | Los registros de diagnóstico (Front Door/WAF) se incorporan a Log Analytics y Microsoft Sentinel los analiza. Defender for Cloud evalúa la posición de configuración. |
| Azure Application Gateway | Proporciona equilibrio de carga regional con funcionalidades integradas de firewall de aplicaciones web para proteger y enrutar el tráfico de aplicaciones. | Los registros de acceso y WAF se incorporan a Log Analytics y son analizados por Microsoft Sentinel. Defender for Cloud evalúa la posición de configuración y la configuración de exposición. |
| Azure VPN Gateway | Proporciona conectividad IPsec/IKE cifrada entre entornos locales y redes virtuales Azure. Protege los datos en tránsito a través de redes públicas. | Los registros de conexión y túnel se incorporan a Log Analytics y se pueden analizar en Microsoft Sentinel. Defender for Cloud evalúa la posición de configuración, incluida la configuración de cifrado. |
| Azure ExpressRoute | Proporciona conectividad privada y dedicada entre entornos locales y Azure a través de la red troncal de Microsoft, evitando la red pública de Internet. | La telemetría operativa (como BGP, estado del circuito) está disponible a través de Azure Monitor y se puede analizar en Microsoft Sentinel. Defender for Cloud evalúa la posición de configuración de alto nivel. |
| Azure Bastion | Proporciona acceso SEGURO a RDP y SSH a las máquinas virtuales a través de un explorador, lo que elimina la necesidad de exposición de ip pública. | Los registros de diagnóstico se ingieren en Log Analytics y se analizan mediante Microsoft Sentinel. Defender for Cloud evalúa la VM reducida, pero no evalúa directamente la configuración de Azure Bastion. |
| Azure Private Link | Proporciona conectividad privada a Azure servicios paaS y servicios de cliente mediante direcciones IP privadas, lo que elimina la exposición pública. | Los registros de nivel de servicio (para los servicios a los que se accede a través de Private Link como Storage, SQL, Key Vault) se ingieren en Log Analytics y se analizan mediante Microsoft Sentinel. Defender for Cloud evalúa si se usan vínculos privados para reducir la exposición. |
| Azure Network Watcher | Proporciona diagnóstico de red, supervisión y visibilidad a nivel de flujo en los recursos de Azure. | Los registros de flujo de NSG y los diagnósticos se ingieren en Log Analytics y se pueden analizar en Microsoft Sentinel. Defender for Cloud evalúa el estado de configuración de los recursos subyacentes, como la configuración de NSG, en lugar de Network Watcher directamente. |
Flujo de trabajo de seguridad
Los servicios de seguridad funcionan como una canalización continua. Las señales se recopilan, evalúan, aplican y usan continuamente para impulsar la detección y la respuesta.
| Pipeline | Acción | Actividad clave |
|---|---|---|
| Fase 1: Recopilación de señales | Los servicios de seguridad generan telemetría entre identidades, dispositivos, aplicaciones e infraestructura. | - Defender for Endpoint recopila telemetría del dispositivo. - Microsoft Intune evalúa el cumplimiento de los dispositivos. - Defender for Identity supervisa la actividad de identidades en el entorno local. - Defender for Cloud Apps supervisa la actividad de SaaS. - Defender for Cloud supervisa la configuración y la actividad de la infraestructura o carga de trabajo. |
| Fase 2: Decisiones de directiva | Las señales se evalúan para determinar las condiciones de acceso y las acciones de control. | Acceso condicional de Microsoft Entra evalúa el riesgo de identidad, la confianza del dispositivo, la ubicación y el contexto de sesión. |
| Fase 3: Control del cumplimiento | Los controles de seguridad se aplican en las capas de identidad, dispositivo, sesión, datos y red. | Entre los puntos de cumplimiento se incluyen: - Acceso condicional (MFA/restricciones) - Intune (conformidad del dispositivo) -Defender for Cloud Apps (control de sesión) - Microsoft Purview (DLP) - Azure redes (restricciones de conectividad). |
| Fase 4: Detección y respuesta | Las señales y alertas se correlacionan para detectar, investigar y corregir amenazas. | Microsoft Defender XDR correlaciona las señales de todos los productos Defender en incidentes unificados. Microsoft Sentinel centraliza registros, incidentes, búsqueda proactiva y orquestación, automatización y respuesta de seguridad (SOAR) en todo el entorno, incluidas las fuentes de terceros. |
| Retroalimentación | Los resultados de detección se vuelven a incorporar a las decisiones de directiva para mejorar continuamente la protección. | Las señales de riesgo y amenazas informan a las actualizaciones de directivas en tiempo real, lo que permite la protección adaptable y automatizada. |
Integración del servicio de seguridad
Los servicios de seguridad de Microsoft se integran a través de varios flujos que funcionan como una canalización integrada, constituyendo un sistema continuo de protección.
- Las señales (telemetría) capturan la actividad entre identidades, dispositivos, aplicaciones y otros recursos.
- El contexto (identidad, posición del dispositivo y clasificación de datos) enriquece las señales para mejorar la precisión y la toma de decisiones.
- La directiva define qué acceso se permite o bloquea en función de las condiciones evaluadas.
- Las acciones aplican decisiones a través de controles y respuestas automatizados.
A medida que las señales circulan por la plataforma, se enriquecen, se evalúan según la política y se toman medidas sobre ellas, lo que crea un ciclo continuo de protección y respuesta.
Cómo se integran los servicios
La tabla resume cómo los servicios de seguridad consumen señales y contexto de cada uno, y qué generan y qué acciones ejecutan.
| Servicio | Consume | Salidas |
|---|---|---|
| Microsoft Entra ID |
Señales: actividad de autenticación (inicios de sesión, eventos de riesgo). Estado de cumplimiento del dispositivo de Microsoft Intune. Context: contexto del dispositivo procedente de Defender for Endpoint para las decisiones de acceso. Contexto de sesión para tomar decisiones de acceso desde Defender for Cloud Apps. |
Acciones: decisiones de acceso condicional (permitir, bloquear, restringir, requerir controles). |
| Microsoft Intune |
Señales: inventario de dispositivos administrados, estado de mantenimiento, estado de cumplimiento. Context: Asociación de identidades de Microsoft Entra ID. |
Salidas: estado de cumplimiento del dispositivo en Microsoft Entra ID. Enviar los registros de auditoría del dispositivo a Microsoft Sentinel. |
| Microsoft Purview |
Signals: datos empresariales entre Microsoft 365, aplicaciones SaaS y sistemas locales. Contexto: clasificación de datos (etiquetas de confidencialidad, inspección de contenido, actividad del usuario). |
Outputs: alertas de protección contra riesgos internos y pérdida de datos (DLP) para Defender XDR. Registros de cumplimiento y auditoría para Microsoft Sentinel. Actions: aplicación de directivas DLP en puntos de conexión (Microsoft Defender for Endpoint) y sesiones (Defender for Cloud Apps). |
| Defender para punto de conexión |
Señales: telemetría del punto de conexión (proceso, archivo, actividad de red). Context: Microsoft Entra ID (contexto de identidad). Microsoft Intune (posición del dispositivo). Microsoft Purview (directivas DLP). |
Outputs: alertas de punto de conexión y telemetría para Defender XDR y Microsoft Sentinel. Acciones: Aplicación de medidas en endpoints (aislamiento del dispositivo, bloqueo, remediación). |
| Defender for Identity | Signals: señales de identidad de Active Directory. | Output: alertas de amenazas de identidad para Defender XDR y Microsoft Sentinel. |
| Defender for Cloud Apps |
Señales: actividad de la aplicación SaaS (uso de la nube). Telemetría de red y de shadow IT de Defender for Endpoint. Context: contexto de sesión y autenticación de Microsoft Entra ID. Directivas DLP de Microsoft Purview. |
Outputs: alertas de aplicaciones en la nube para Defender XDR y Microsoft Sentinel. Acciones: cumplimiento de sesión (bloquear, supervisar, restringir el acceso). |
| Defender para la Nube |
Signals: información de la operación de recursos de Azure. Telemetría de servidor o carga de trabajo de Defender for Endpoint. Contexto: configuración y posición de los recursos. |
Outputs: alertas de seguridad e información de posición para Defender XDR y Microsoft Sentinel. |
| Administración de exposición de seguridad de Microsoft |
Señales: puntuaciones de riesgo de dispositivos de Defender for Endpoint. Inventario de recursos en la nube, posición, exposición y resultados de la superficie expuesta a ataques de Defender for Cloud. Inventario de identidades y señales de riesgo de Microsoft Entra. Inventario, riesgo y contexto de uso de aplicaciones SaaS de Defender for Cloud Apps. Contexto: exposición unificada y correlación de riesgos. |
Resultados: información detallada sobre la exposición y correlaciones de riesgo para Microsoft XDR y Microsoft Sentinel. |
| Defender XDR | Signals: alertas de Defender para punto de conexión (dispositivos), Defender para identidad (señales de identidad), Defender para Office 365 (correo electrónico y colaboración), Defender for Cloud Apps (actividad de SaaS/app). Señales adicionales de Microsoft Purview (DLP, riesgo interno, clasificación de datos), Protección de Microsoft Entra ID (señales de riesgo de identidad) y Defender for Cloud (posición de carga de trabajo/nube). |
Salidas: alertas correlacionadas e incidentes a Microsoft Sentinel. Acciones: respuesta automatizada entre dominios. |
| Microsoft Sentinel | Señales: alertas, registros y telemetría de Defender XDR, Microsoft Purview, servicios en la nube y otras fuentes propias y de terceros. |
Salidas: análisis, investigaciones e incidentes. Acciones: respuesta automatizada mediante cuadernos de estrategias. |
| Microsoft Security Copilot |
Signals: Incidentes y alertas de Microsoft Sentinel y Defender XDR. Context: información confidencial y contexto de riesgo interno de Microsoft Purview. Contexto de exposición de Seguridad de Microsoft Administración de exposición. |
Salidas: resúmenes de investigación, recomendaciones, información controlada por IA. Actions: acciones de respuesta guiadas enrutadas a través de flujos de trabajo de Microsoft Sentinel y Defender XDR. |
Pasos siguientes
- Para comenzar con una evaluación Confianza cero de su posición de seguridad actual.
- Siga nuestro modelo estructurado de adopción para iniciar la adopción de Confianza cero.
- Profundice en los resultados de seguridad críticos para los líderes empresariales con nuestros escenarios empresariales de adopción. Empiecepor implementar soluciones técnicas para soluciones empresariales y pilares tecnológicos, como datos y dispositivos.