Microsoft Defender y Microsoft Entra ID: Tus aliados contra las ciberamenazas
Contar con la protección adecuada en nuestros dispositivos, empresariales y personales, es clave a la hora de mantener protegidos nuestros activos y nuestros datos, uno de los bienes más preciados del momento.
Implementar una herramienta que nos ayude a adelantarnos a las amenazas con soluciones de seguridad integrada puede ser el factor diferencial para mantener la reputación empresarial y no caer en brechas de seguridad. Esto es lo que promete Microsoft Defender y Azure Active Directory (ahora Microsfot Entra ID), dos de los mejores sistemas de seguridad del mercado que se convertirán en tu mejor aliado.
Azure Active Directory
Azure Active Directory o Azure AD ha pasado a llamarse Microsoft Entra ID, con las mismas capacidades de siempre y nuevas innovaciones. Este servicio protege a las organizaciones con una solución de administración de identidad y acceso que conecta a los empleados, clientes y terceros a sus aplicaciones, dispositivos y datos empresariales.
Se basa en tres pilares principales:
- Acceso adaptativo seguro: protege el acceso a los recursos y datos mediante una autenticación robusta y directivas de acceso condicional.
- Experiencia de usuario fluida: ofrece un inicio de sesión rápido y fácil en un entorno multicloud que aumenta la productividad y ahorra tiempo en la administración de contraseñas.
- Administración de la identidad unificada: permite administrar las identidades y el acceso a todas las aplicaciones en una ubicación central.
Capacidades integrales
Además, este servicio ofrece capacidades específicas que abarcan las peticiones más importantes de los usuarios, como:
- Integración de aplicaciones e inicio de sesión único (SSO): simplifica el acceso a las aplicaciones desde cualquier ubicación y dispositivo.
- Autenticación multifactor y sin contraseña: protección de datos y aplicaciones, pero con un uso sencillo para los usuarios.
- Acceso condicional: se aplican controles de acceso reforzados para proteger a las organizaciones.
- Protección de identidades: automatiza la detección y corrección de riesgos basados en identidad.
- Administración de la identidad con privilegios: refuerza la seguridad de las cuentas con privilegios.
- Autoservicio del usuario final: los empleados pueden administrar su propia identidad con portales de autoservicio de forma segura.
- Centro de administración unificada: administración de todas las soluciones de identidad y acceso de red de forma confidencial y desde un solo lugar.
Microsoft Defender
Este servicio ofrece funcionalidades integrales de prevención, detección y respuesta frente a las amenazas. Entre los dos principales, encontramos Microsoft 365 Defender y Microsoft Defender for Cloud.
Microsoft 365 Defender
Esta herramienta aumenta las defensas con la visibilidad, la investigación y la respuesta ante los procedimientos de ataque con una solución XDR de detección y respuesta extendidas líder del sector.
Enfocado en obtener visibilidad a la hora de detectar ataques sofisticados y dar respuestas aceleradas y automatizadas en:
- Puntos de conexión (endpoints): detecta y protege dispositivos de punto de conexión y dispositivos de red.
- Identidades: administra y protege identidades híbridas y simplifica el acceso de los usuarios. Microsoft Entra usa los aprendizajes que Microsoft ha adquirido de su posición en organizaciones con Microsoft Entra ID, los clientes de cuentas personales de Microsoft y en juegos con Xbox para porteger a los usuarios.
- Aplicaciones en la nube: da visibilidad y detecta amenazas en todos los servicios y apps en la nube.
- Email y herramientas de colaboración: protege estos dos activos contra amenazas avanzadas como el phishing.
Microsoft Defender para Office 365 protege de los ataques a través de la cadena de ataque (killchain).
Los ataques a los que se enfrentan los usuarios son más avanzados que nunca, por lo que es fundamental contar con una solución que ofrezca una prevención eficaz y una detección temprana de las amenazas.
Ninguna solución es eficaz al 100%, y eso hace que sea importante tener una mentalidad de «asumir la brecha». Esto significa que los equipos de seguridad necesitan disponer de las herramientas necesarias para poder mitigar las brechas rápidamente cuando se produce un ataque. Estos equipos deben ser capaces de investigar, cazar y remediar cuando más importa.
La concienciación no consiste sólo en simulaciones y formación, sino también en proporcionar una experiencia en el producto que eduque a los usuarios y les ayude a ser la última línea de defensa.
Y, por supuesto, la seguridad es algo que no sólo podemos ayudarle a conseguir, sino también a mantener.
Así es como abordamos la protección de su entorno de Office 365.
Microsoft Defender for Cloud
Defender for Cloud te ayudará a entender tu situación de seguridad actual. De esta manera, podrás mejorar tu seguridad de forma eficiente y eficaz.
La característica central de Defender for Cloud que te permite alcanzar esos objetivos es la puntuación segura.
Defender for Cloud evalúa continuamente tus recursos, suscripciones y organización para detectar problemas de seguridad. A continuación, agrega todos los hallazgos en una única puntuación para que puedas saber, de un vistazo, tu situación de seguridad actual: cuanto mayor sea la puntuación, menor será el nivel de riesgo identificado.
Cuando abras Defender for Cloud por primera vez, cumplirá los objetivos de visibilidad y refuerzo que se indican a continuación:
- Genera una puntuación de seguridad para tus suscripciones basada en una evaluación de sus recursos conectados en comparación con la orientación de Azure Security Benchmark. Utiliza la puntuación para comprender tu postura de seguridad, y el panel de cumplimiento para revisar tu cumplimiento con el estandar incorporado. Cuando hayas activado las funciones de seguridad mejoradas, puedes personalizar las normas utilizadas para evaluar su cumplimiento y añadir otras normativas (como NIST y Azure CIS) o requisitos de seguridad específicos de la organización.
- Proporciona recomendaciones de refuerzo basadas en cualquier error de configuración y punto débil de seguridad identificados. Utiliza estas recomendaciones de seguridad para reforzar la postura de seguridad de los recursos Azure, híbridos y multi-nube de tu organización.
Sus características principales son:
- Supervisión de la posición de seguridad: evaluaciones continuas, bancos de pruebas integrados o recomendaciones para mejorar la posición de seguridad en la nube.
- Análisis de la ruta de ataque: recomienda procedimientos para el cumplimiento de la seguridad multicloud con controles asignados.
- Protección de la carga de trabajo: prioriza los riesgos críticos con análisis de amenazas contextuales.
- Examen de vulnerabilidades: ayuda a proteger las cargas de trabajo frente a malware y otras amenazas.
- Visibilidad DevOps: detecta eficazmente vulnerabilidades con o sin agentes para ofrecer agilidad y una protección completa.
- Cumplimiento normativo: acelera las correcciones de las incidencias críticas en el código.
Así se reducen los riesgos gracias a la administración de la posición de seguridad contextual, se previenen, detectan y responden rápidamente a las amenazas y se unifica la administración de seguridad de DevOps.
Mapa de amenazas en el entorno IT
En Plain Concepts te ayudamos a proteger tu entorno frente a amenazas siguiendo un enfoque de Zero Trust que engloba varios pasos.
En una primera línea de defensa, vamos a intentar proteger los siguientes elementos:
- Red
- Infraestructura y dispositivos finales
- Aplicaciones y datos
- Identidad
Para ello, utilizaremos servicios como: Azure security Benchmark, Azure FW, DDOS, Bastion, Keyvault, Frontdoor, MFA, PIM, ID Protection, etc.
En una segunda línea de defensa, nos apoyaremos en los servicios de seguridad de Microsoft 365 Defender. Esta protección integrada contra amenazas para tu empresa respondería a este esquema:
Microsoft Defender for Cloud
Como decíamos más arriba, Microsoft Defender es una solución XDR (eXtended Detection and Response), y nos apoyaremos en ella para hacer una PoC.
Primero, comenzaremos a crear el entorno de evaluación, identificando los servidores que van a formar parte y decidir qué plan se ajusta mejora a nuestras necesidades. Una vez realizado este paso, habilitaremos Log Analytics para la recolección de datos para los agentes.
A partir de aquí podremos conectar nuestros servidores desde Azure Portal o con Azure Arc y así comenzar a realizar el análisis de vulnerabilidades. Así ya será posible validar en los diferentes escenarios:
- Reducción de la superficie de ataque
- Integración con la solución EDR
- Evaluación de vulnerabilidades
Protección de la identidad
Al introducir en nuestra PoC Entra Identity Protection, la herramienta nos va a permitir realizar 3 tareas claves para proteger nuestra identidad:
- Automatizar la detección y remediación de los riesgos basados en la identidad
- Investigar los riesgos utilizando los datos del portal
- Exportar esos datos a nuestro SIEM
Al tener montada nuestra arquitectura siguiendo los pasos anteriores, seremos capaces de:
- Auditar y verificar el registro MX público
- Auditar los dominios aceptados
- Auditar los conectores de entrada
- Configurar los grupos para el piloto
- Configurar la protección (habilitar preset security policies)
- Monitorizar los resultados
Defender para puntos Endpoint
En este punto, comprobaremos el estado de la licencia e incluiremos los dispositivos que consideremos utilizando alguna de las herramientas disponibles. Si contamos con Intune, sería la forma óptima de realizar el onboarding.
A partir de aquí, crearemos un grupo con los dispositivos del piloto; comprobaremos, tanto el inventario de dispositivos, como el dashboard de amenazas y vulnerabilidades; y ejecutaremos las simulaciones disponibles.
Defender para Cloud Apps
Otro de los activos a proteger serían las aplicaciones, donde comenzamos conectándonos al portar Defender for Cloud Apps, integrarlo con Defender for Endpoint y desplegando el recolector de logs de Defender for Cloud Apps en FWs y proxies.
Por último, revisaremos el Cloud Discovery Dashboard para ver qué aplicaciones se están usando en nuestra organización.
Investigación, respuesta y puesta en producción
En esta fase, utilizaremos las herramientas que nos facilita Microsoft para poner a prueba nuestra seguridad.
Para la puesta en producción de un piloto de Defender, debemos:
- Revisar que contamos con el licenciamiento necesario
- Eliminar otras soluciones de seguridad redundantes
- Ampliar el ámbito de aplicaciones de las políticas definidas
- Incrementar el ámbito de los grupos para que incluyan al resto de usuarios de la organización
Aunque reemplazar tus herramientas de seguridad puede dar vértigo, los peligros de ciberseguridad a los que se enfrenta tu empresa cada día son mucho más desafiantes. Mantener tus activos y a tus empleados protegidos debería ser uno de los pilares sobre los que se sustente tu negocio.
Aunque la complejidad de la ciberdelincuencia está aumentando, la implementación de un enfoque integrado de seguridad puede simplificar la defensa contra las amenazas.
Nuestros expertos estarán encantados de estudiar tu caso y ofrecer la solución personalizada que mejor se ajuste a tus necesidades. Además, no te pierdas nuestros workshops de ciberseguridad adaptados a las necesidades de clientes:
Defiéndete de las amenazas con SIEM Plus XDR
Descubre cómo Microsoft Sentinel y MS 365 Defender pueden ayudarte a utilizar análisis de seguridad inteligentes.
Mitiga los riesgos de Cumplimiento y Privacidad
Microsoft Purview te ayuda a detectar, investigar y tomar medidas para mitigar el riesgo y garantizar el cumplimiento.
Protección y gestión de datos sensibles
Comprende y mitiga los riesgos ocultos para la privacidad y la normativa en tu propio entorno con Microsoft Purview.
Entornos Multi-Cloud Seguros
Identifica los riesgos actuales para tu entorno cloud y define los próximos pasos para acelerar tu viaje de seguridad.
Identidades y Accesos seguros
Encuentra y mitiga los riesgos de identidad y protege tu organización con una solución de identidad sin fisuras.
Zero Trust y estado de madurez de la Identidad
Evalúa la madurez de tus patrimonios de identidad y comprende la arquitectura de Zero Trust.