servicios de seguridad de Microsoft

En este artículo se describen Microsoft servicios de seguridad y cómo funcionan conjuntamente como un sistema unificado para ofrecer protección en pilares de tecnología que incluyen identidades, dispositivos, aplicaciones, datos, inteligencia artificial e infraestructura.

La seguridad empresarial moderna cambió de la protección basada en perímetro a un modelo integrado en la nube controlado por identidades. Las organizaciones deben proteger a los usuarios, dispositivos, aplicaciones y datos en entornos híbridos y multinube, a la vez que se adaptan continuamente a las amenazas en constante evolución.

Microsoft proporciona un conjunto integrado de servicios basados en la nube que funcionan conjuntamente para compartir señales, aplicar directivas coherentes, aplicar controles y coordinar la detección y respuesta en todo el entorno.

Resultados de seguridad

La seguridad integrada Microsoft ofrece los siguientes resultados:

  • Visibilidad unificada de la señal: la telemetría se recopila y centraliza continuamente entre identidades, dispositivos, aplicaciones, datos e infraestructura, y se convierte en señales centralizadas y accionables.
  • Toma de decisiones controladas por identidades: las decisiones de acceso y cumplimiento se basan en la identidad, el estado del dispositivo, las señales de riesgo y el contexto de sesión.
  • Aplicación coherente: los controles de Confianza cero se aplican en los puntos de conexión, los servicios en la nube y las aplicaciones en el momento del acceso y durante su uso.
  • Detección y respuesta integradas: las señales y alertas se correlacionan entre dominios para detectar y responder a amenazas como operaciones unificadas.
  • Validación y mejora continuas: las señales de detección y riesgo se devuelven a las decisiones de directiva para reforzar la protección a lo largo del tiempo.

Servicios de seguridad principales

Los servicios principales de seguridad abarcan varios pilares tecnológicos, cada uno de los cuales aporta señales, contexto y capacidades de aplicación en toda la plataforma.

Pilar
Servicio principal
Protection Portal principal
Identidad y acceso

Microsoft Entra

Microsoft Defender for Identity.
Microsoft Entra controla el acceso a usuarios, cargas de trabajo y aplicaciones. Evalúa las señales de identidad, dispositivo y sesión para tomar decisiones de acceso.

Defender para Identity supervisa la infraestructura de identidad híbrida para detectar ataques.
Centro de administración de Microsoft Entra

Portal de Microsoft Defender
Dispositivos o puntos de conexión

Microsoft Defender para Endpoint

Microsoft Intune
Defender para punto de conexión recopila la telemetría del punto de conexión y detecta amenazas.
Microsoft Intune evalúa el cumplimiento de los dispositivos y aplica la directiva.
Portal de Microsoft Defender

Centro de administración de Microsoft Intune
Correo electrónico y colaboración

Defender para Office 365
Protege Exchange y servicios de colaboración (Microsoft Teams, SharePoint, OneDrive) frente a malware, vínculos malintencionados o datos adjuntos y peligro de correo electrónico empresarial. Portal de Microsoft Defender
Datos

Microsoft Purview
Aplica directivas de protección de datos y prevención de pérdida de datos (DLP) en puntos de conexión y servicios en la nube. Portal de Microsoft Purview
Cargas de trabajo de infraestructura y nube

Microsoft Defender for Cloud
Mejora la posición de seguridad y proporciona detección de amenazas en cargas de trabajo híbridas y en la nube. Portal de Microsoft Azure
Portal de Microsoft Defender
Redes

Servicios de redes de Azure
Segmente y proteja las redes. Portal de Microsoft Azure
Aplicaciones SaaS/en la nube

Microsoft Defender para aplicaciones en la nube
Proporciona visibilidad sobre el uso de aplicaciones en la nube y supervisa la actividad del usuario para detectar el comportamiento de riesgo. Portal de Microsoft Defender
Postura/riesgo

Administración de exposición de seguridad de Microsoft
Identifica, prioriza y reduce la exposición entre identidades, dispositivos, recursos en la nube y aplicaciones. Portal de Microsoft Defender
Detección y respuesta de amenazas

Microsoft Defender XDR
Correlaciona las señales entre los servicios de Defender y genera incidentes unificados para la investigación y la respuesta. Portal de Microsoft Defender
Operaciones de seguridad

Microsoft Sentinel
Recopila telemetría de Microsoft y de fuentes de terceros para su análisis, investigación y respuesta centralizados. Portal de Microsoft Azure
Portal de Microsoft Defender
Seguridad para desarrolladores y aplicaciones

Defender para DevOps (en Defender for Cloud)
Seguridad avanzada de GitHub
Protege el código, las dependencias y las canalizaciones de compilación y aplica la gobernanza de seguridad en los flujos de trabajo de DevOps. Portal de Microsoft Defender
interfaz de GitHub

Servicios de protección de red

En la tabla se resumen Azure funcionalidades de red y cómo se integran directamente con otros servicios de seguridad. Los servicios se configuran en el Microsoft Azure Portal.

Servicio Protection Integración
Azure Firewall Aplica reglas de ip, puerto y aplicación para controlar el tráfico entrante y saliente entre subredes, Internet y redes locales. Usa Microsoft inteligencia sobre amenazas para bloquear el tráfico malintencionado conocido. Defender for Cloud evalúa la posición de configuración.

Los registros de diagnóstico se ingieren en Azure Monitor/Log Analytics y se analizan mediante Microsoft Sentinel para la detección y correlación.
Protección contra DDoS de Azure Mitiga los ataques volumétricos, de protocolo y de capa de aplicación. Protege los recursos accesibles desde Internet en redes virtuales (VNet) frente a ataques de inundación a gran escala. Las métricas y la telemetría de ataques se ingieren en Azure Monitor/Log Analytics y se pueden analizar en Microsoft Sentinel.

Defender for Cloud proporciona recomendaciones de posición.
red virtual de Azure Proporciona aislamiento de red, segmentación y direccionamiento IP privado para Azure recursos. Habilita la conectividad controlada entre servicios. Defender for Cloud evalúa el estado de configuración, incluida la exposición, como las rutas de acceso público.
Grupos de seguridad de red (NSG) Filtra el tráfico en el nivel de subred e interfaz de red mediante reglas allow/deny. Restringe el tráfico no deseado hacia los recursos. Los registros de flujo de NSG (a través de Azure Monitor) se pueden analizar en Microsoft Sentinel para la visibilidad y detección del tráfico.

Defender for Cloud evalúa la configuración de las reglas de NSG.
Firewall de aplicaciones web (WAF) de Azure Protege las aplicaciones HTTP/HTTPS mediante conjuntos de reglas de OWASP. Ayuda a evitar ataques web comunes, como inyección de código SQL y scripting entre sitios (XSS). Los registros de WAF se ingieren en Azure Monitor/Log Analytics y se analizan mediante Microsoft Sentinel.

Defender for Cloud evalúa la posición de configuración de WAF.
Azure Front Door Proporciona un punto de entrada global para aplicaciones web con funcionalidades de enrutamiento, aceleración y seguridad perimetral. Se integra con WAF para la protección de aplicaciones. Los registros de diagnóstico (Front Door/WAF) se incorporan a Log Analytics y Microsoft Sentinel los analiza.

Defender for Cloud evalúa la posición de configuración.
Azure Application Gateway Proporciona equilibrio de carga regional con funcionalidades integradas de firewall de aplicaciones web para proteger y enrutar el tráfico de aplicaciones. Los registros de acceso y WAF se incorporan a Log Analytics y son analizados por Microsoft Sentinel.

Defender for Cloud evalúa la posición de configuración y la configuración de exposición.
Azure VPN Gateway Proporciona conectividad IPsec/IKE cifrada entre entornos locales y redes virtuales Azure. Protege los datos en tránsito a través de redes públicas. Los registros de conexión y túnel se incorporan a Log Analytics y se pueden analizar en Microsoft Sentinel.

Defender for Cloud evalúa la posición de configuración, incluida la configuración de cifrado.
Azure ExpressRoute Proporciona conectividad privada y dedicada entre entornos locales y Azure a través de la red troncal de Microsoft, evitando la red pública de Internet. La telemetría operativa (como BGP, estado del circuito) está disponible a través de Azure Monitor y se puede analizar en Microsoft Sentinel.

Defender for Cloud evalúa la posición de configuración de alto nivel.
Azure Bastion Proporciona acceso SEGURO a RDP y SSH a las máquinas virtuales a través de un explorador, lo que elimina la necesidad de exposición de ip pública. Los registros de diagnóstico se ingieren en Log Analytics y se analizan mediante Microsoft Sentinel.

Defender for Cloud evalúa la VM reducida, pero no evalúa directamente la configuración de Azure Bastion.
Azure Private Link Proporciona conectividad privada a Azure servicios paaS y servicios de cliente mediante direcciones IP privadas, lo que elimina la exposición pública. Los registros de nivel de servicio (para los servicios a los que se accede a través de Private Link como Storage, SQL, Key Vault) se ingieren en Log Analytics y se analizan mediante Microsoft Sentinel.

Defender for Cloud evalúa si se usan vínculos privados para reducir la exposición.
Azure Network Watcher Proporciona diagnóstico de red, supervisión y visibilidad a nivel de flujo en los recursos de Azure. Los registros de flujo de NSG y los diagnósticos se ingieren en Log Analytics y se pueden analizar en Microsoft Sentinel.

Defender for Cloud evalúa el estado de configuración de los recursos subyacentes, como la configuración de NSG, en lugar de Network Watcher directamente.

Flujo de trabajo de seguridad

Los servicios de seguridad funcionan como una canalización continua. Las señales se recopilan, evalúan, aplican y usan continuamente para impulsar la detección y la respuesta.

Pipeline Acción Actividad clave
Fase 1: Recopilación de señales Los servicios de seguridad generan telemetría entre identidades, dispositivos, aplicaciones e infraestructura. - Defender for Endpoint recopila telemetría del dispositivo.
- Microsoft Intune evalúa el cumplimiento de los dispositivos.
- Defender for Identity supervisa la actividad de identidades en el entorno local.
- Defender for Cloud Apps supervisa la actividad de SaaS.
- Defender for Cloud supervisa la configuración y la actividad de la infraestructura o carga de trabajo.
Fase 2: Decisiones de directiva Las señales se evalúan para determinar las condiciones de acceso y las acciones de control. Acceso condicional de Microsoft Entra evalúa el riesgo de identidad, la confianza del dispositivo, la ubicación y el contexto de sesión.
Fase 3: Control del cumplimiento Los controles de seguridad se aplican en las capas de identidad, dispositivo, sesión, datos y red. Entre los puntos de cumplimiento se incluyen:
- Acceso condicional (MFA/restricciones)
- Intune (conformidad del dispositivo)
-Defender for Cloud Apps (control de sesión)
- Microsoft Purview (DLP)
- Azure redes (restricciones de conectividad).
Fase 4: Detección y respuesta Las señales y alertas se correlacionan para detectar, investigar y corregir amenazas. Microsoft Defender XDR correlaciona las señales de todos los productos Defender en incidentes unificados.

Microsoft Sentinel centraliza registros, incidentes, búsqueda proactiva y orquestación, automatización y respuesta de seguridad (SOAR) en todo el entorno, incluidas las fuentes de terceros.
Retroalimentación Los resultados de detección se vuelven a incorporar a las decisiones de directiva para mejorar continuamente la protección. Las señales de riesgo y amenazas informan a las actualizaciones de directivas en tiempo real, lo que permite la protección adaptable y automatizada.

Integración del servicio de seguridad

Los servicios de seguridad de Microsoft se integran a través de varios flujos que funcionan como una canalización integrada, constituyendo un sistema continuo de protección.

  • Las señales (telemetría) capturan la actividad entre identidades, dispositivos, aplicaciones y otros recursos.
  • El contexto (identidad, posición del dispositivo y clasificación de datos) enriquece las señales para mejorar la precisión y la toma de decisiones.
  • La directiva define qué acceso se permite o bloquea en función de las condiciones evaluadas.
  • Las acciones aplican decisiones a través de controles y respuestas automatizados.

A medida que las señales circulan por la plataforma, se enriquecen, se evalúan según la política y se toman medidas sobre ellas, lo que crea un ciclo continuo de protección y respuesta.

Cómo se integran los servicios

La tabla resume cómo los servicios de seguridad consumen señales y contexto de cada uno, y qué generan y qué acciones ejecutan.

Servicio Consume Salidas
Microsoft Entra ID Señales: actividad de autenticación (inicios de sesión, eventos de riesgo). Estado de cumplimiento del dispositivo de Microsoft Intune.

Context: contexto del dispositivo procedente de Defender for Endpoint para las decisiones de acceso. Contexto de sesión para tomar decisiones de acceso desde Defender for Cloud Apps.
Acciones: decisiones de acceso condicional (permitir, bloquear, restringir, requerir controles).
Microsoft Intune Señales: inventario de dispositivos administrados, estado de mantenimiento, estado de cumplimiento.

Context: Asociación de identidades de Microsoft Entra ID.
Salidas: estado de cumplimiento del dispositivo en Microsoft Entra ID. Enviar los registros de auditoría del dispositivo a Microsoft Sentinel.
Microsoft Purview Signals: datos empresariales entre Microsoft 365, aplicaciones SaaS y sistemas locales.

Contexto: clasificación de datos (etiquetas de confidencialidad, inspección de contenido, actividad del usuario).
Outputs: alertas de protección contra riesgos internos y pérdida de datos (DLP) para Defender XDR. Registros de cumplimiento y auditoría para Microsoft Sentinel.

Actions: aplicación de directivas DLP en puntos de conexión (Microsoft Defender for Endpoint) y sesiones (Defender for Cloud Apps).
Defender para punto de conexión Señales: telemetría del punto de conexión (proceso, archivo, actividad de red).

Context: Microsoft Entra ID (contexto de identidad). Microsoft Intune (posición del dispositivo). Microsoft Purview (directivas DLP).
Outputs: alertas de punto de conexión y telemetría para Defender XDR y Microsoft Sentinel.

Acciones: Aplicación de medidas en endpoints (aislamiento del dispositivo, bloqueo, remediación).
Defender for Identity Signals: señales de identidad de Active Directory. Output: alertas de amenazas de identidad para Defender XDR y Microsoft Sentinel.
Defender for Cloud Apps Señales: actividad de la aplicación SaaS (uso de la nube). Telemetría de red y de shadow IT de Defender for Endpoint.

Context: contexto de sesión y autenticación de Microsoft Entra ID. Directivas DLP de Microsoft Purview.
Outputs: alertas de aplicaciones en la nube para Defender XDR y Microsoft Sentinel.

Acciones: cumplimiento de sesión (bloquear, supervisar, restringir el acceso).
Defender para la Nube Signals: información de la operación de recursos de Azure. Telemetría de servidor o carga de trabajo de Defender for Endpoint.

Contexto: configuración y posición de los recursos.
Outputs: alertas de seguridad e información de posición para Defender XDR y Microsoft Sentinel.
Administración de exposición de seguridad de Microsoft Señales: puntuaciones de riesgo de dispositivos de Defender for Endpoint. Inventario de recursos en la nube, posición, exposición y resultados de la superficie expuesta a ataques de Defender for Cloud. Inventario de identidades y señales de riesgo de Microsoft Entra. Inventario, riesgo y contexto de uso de aplicaciones SaaS de Defender for Cloud Apps.

Contexto: exposición unificada y correlación de riesgos.
Resultados: información detallada sobre la exposición y correlaciones de riesgo para Microsoft XDR y Microsoft Sentinel.
Defender XDR Signals: alertas de Defender para punto de conexión (dispositivos), Defender para identidad (señales de identidad), Defender para Office 365 (correo electrónico y colaboración), Defender for Cloud Apps (actividad de SaaS/app). Señales adicionales de Microsoft Purview (DLP, riesgo interno, clasificación de datos), Protección de Microsoft Entra ID (señales de riesgo de identidad) y Defender for Cloud (posición de carga de trabajo/nube). Salidas: alertas correlacionadas e incidentes a Microsoft Sentinel.

Acciones: respuesta automatizada entre dominios.
Microsoft Sentinel Señales: alertas, registros y telemetría de Defender XDR, Microsoft Purview, servicios en la nube y otras fuentes propias y de terceros. Salidas: análisis, investigaciones e incidentes.

Acciones: respuesta automatizada mediante cuadernos de estrategias.
Microsoft Security Copilot Signals: Incidentes y alertas de Microsoft Sentinel y Defender XDR.

Context: información confidencial y contexto de riesgo interno de Microsoft Purview. Contexto de exposición de Seguridad de Microsoft Administración de exposición.
Salidas: resúmenes de investigación, recomendaciones, información controlada por IA.

Actions: acciones de respuesta guiadas enrutadas a través de flujos de trabajo de Microsoft Sentinel y Defender XDR.

Pasos siguientes

  • Para comenzar con una evaluación Confianza cero de su posición de seguridad actual.
  • Siga nuestro modelo estructurado de adopción para iniciar la adopción de Confianza cero.
  • Profundice en los resultados de seguridad críticos para los líderes empresariales con nuestros escenarios empresariales de adopción. Empiecepor implementar soluciones técnicas para soluciones empresariales y pilares tecnológicos, como datos y dispositivos.