Puntuación de seguridad de MicrosoftMicrosoft Secure Score

Importante

Le damos la bienvenida a Microsoft 365 Defender , el nuevo nombre de la Protección contra amenazas de Microsoft.Welcome to Microsoft 365 Defender , the new name for Microsoft Threat Protection. Obtenga más información sobre esta y otras actualizaciones aquí.Read more about this and other updates here.

La calificación segura de Microsoft es una medida de la postura de seguridad de una organización, con un número más alto que indica que se han realizado más acciones de mejora.Microsoft Secure Score is a measurement of an organization's security posture, with a higher number indicating more improvement actions taken. Puede encontrarse en https://security.microsoft.com/securescore el centro de seguridad de Microsoft 365.It can be found at https://security.microsoft.com/securescore in the Microsoft 365 security center.

Seguir las recomendaciones de puntuación segura puede proteger a su organización de las amenazas.Following the Secure Score recommendations can protect your organization from threats. Desde un panel centralizado en el centro de seguridad de Microsoft 365, las organizaciones pueden supervisar y trabajar en la seguridad de las identidades, los datos, las aplicaciones, los dispositivos y la infraestructura de Microsoft 365.From a centralized dashboard in the Microsoft 365 security center, organizations can monitor and work on the security of their Microsoft 365 identities, data, apps, devices, and infrastructure.

La puntuación segura ayuda a las organizaciones a:Secure Score helps organizations:

  • Informe sobre el estado actual de la postura de seguridad de la organización.Report on the current state of the organization's security posture.
  • Mejorar su postura de seguridad proporcionando detección, visibilidad, orientación y control.Improve their security posture by providing discoverability, visibility, guidance, and control.
  • Comparar con benchmarks y establecer indicadores clave de rendimiento (KPI).Compare with benchmarks and establish key performance indicators (KPIs).

Las organizaciones obtienen acceso a las sólidas visualizaciones de métricas y tendencias, la integración con otros productos de Microsoft, la puntuación con organizaciones similares y mucho más.Organizations gain access to robust visualizations of metrics and trends, integration with other Microsoft products, score comparison with similar organizations, and much more. La puntuación también puede reflejar Cuándo las soluciones de terceros han tratado las acciones recomendadas.The score can also reflect when third-party solutions have addressed recommended actions.

Página principal de puntuación segura

Cómo funcionaHow it works

Se le proporcionan puntos para las siguientes acciones:You're given points for the following actions:

  • Configuración de las características de seguridad recomendadasConfiguring recommended security features
  • Realización de tareas relacionadas con la seguridadPerforming security-related tasks
  • Solucionar la acción de mejora con una aplicación o software de terceros, o una mitigación alternativaAddressing the improvement action with a third-party application or software, or an alternate mitigation

Algunas acciones de mejora solo proporcionan puntos cuando se completan completamente.Some improvement actions only give points when fully completed. Algunos proporcionan puntos parciales si están completos para algunos dispositivos o usuarios.Some give partial points if they're completed for some devices or users. Si no puede o no desea activar una de las acciones de mejora, puede optar por aceptar el riesgo o el riesgo restante.If you can't or don't want to enact one of the improvement actions, you can choose to accept the risk or remaining risk.

Si tiene una licencia para uno de los productos de Microsoft admitidos, verá recomendaciones para esos productos.If you have a license for one of the supported Microsoft products, then you'll see recommendations for those products. Le mostramos el conjunto completo de mejoras posibles para un producto, independientemente de la edición de licencia, la suscripción o el plan.We show you the full set of possible improvements for a product, regardless of license edition, subscription, or plan. De este modo, puede comprender los procedimientos recomendados de seguridad y mejorar su calificación.This way, you can understand security best practices and improve your score. La postura absoluta de seguridad, representada por la puntuación segura, sigue siendo la misma independientemente de las licencias que posea su organización para un producto específico.Your absolute security posture, represented by Secure Score, stays the same no matter what licenses your organization owns for a specific product. Tenga en cuenta que la seguridad debe sopesarse con facilidad de uso y no todas las recomendaciones pueden funcionar en su entorno.Keep in mind that security should be balanced with usability, and not every recommendation can work for your environment.

La puntuación se actualiza en tiempo real para reflejar la información que se presenta en las páginas de acciones de visualización y de mejora.Your score is updated in real time to reflect the information presented in the visualizations and improvement action pages. La puntuación segura también se sincroniza diariamente para recibir datos del sistema sobre los puntos alcanzados para cada acción.Secure Score also syncs daily to receive system data about your achieved points for each action.

Escenarios claveKey scenarios

Cómo se puntuan las acciones de mejoraHow improvement actions are scored

Cada acción de mejora vale 10 puntos o menos, y la mayoría se puntúa de una manera binaria.Each improvement action is worth 10 points or less, and most are scored in a binary fashion. Si implementa la acción de mejora, como crear una nueva Directiva o activar una configuración específica, obtendrá un 100% de los puntos.If you implement the improvement action, like create a new policy or turn on a specific setting, you get 100% of the points. Para otras acciones de mejora, los puntos se dan como un porcentaje de la configuración total.For other improvement actions, points are given as a percentage of the total configuration.

Por ejemplo, los Estados de acción de mejora obtienen 10 puntos al proteger a todos los usuarios con la autenticación multifactor.For example, an improvement action states you get 10 points by protecting all your users with multi-factor authentication. Solo tiene un 50 de 100 total de usuarios protegidos, por lo que obtendrá una puntuación parcial de 5 puntos (50 protegido/100 total * 10 máx PTS = 5 PTS).You only have 50 of 100 total users protected, so you'd get a partial score of 5 points (50 protected / 100 total * 10 max pts = 5 pts).

Productos incluidos en la puntuación seguraProducts included in Secure Score

Actualmente hay recomendaciones para Microsoft 365 (incluido Exchange Online), Azure Active Directory, Microsoft defender para extremo, Microsoft defender para identidad y Cloud App Security.Currently there are recommendations for Microsoft 365 (including Exchange Online), Azure Active Directory, Microsoft Defender for Endpoint, Microsoft Defender for Identity, and Cloud App Security. Pronto estarán disponibles recomendaciones para otros productos de seguridad.Recommendations for other security products are coming soon. Las recomendaciones no cubren todas las superficies de ataque asociadas con cada producto, pero son una buena línea de base.The recommendations won't cover all the attack surfaces associated with each product, but they're a good baseline. También puede marcar las acciones de mejora como cubiertas por un tercero o una mitigación alternativa.You can also mark the improvement actions as covered by a third party or alternate mitigation.

Valores predeterminados de seguridadSecurity defaults

La calificación segura de Microsoft tiene acciones de mejora actualizadas para admitir los valores predeterminados de seguridad en Azure Active Directory, que facilitan la protección de la organización con una configuración de seguridad preconfigurada para ataques comunes.Microsoft Secure Score has updated improvement actions to support security defaults in Azure Active Directory, which make it easier to help protect your organization with preconfigured security settings for common attacks.

Si activa los valores predeterminados de seguridad, se le otorgarán puntos completos para las siguientes acciones de mejora:If you turn on security defaults, you'll be awarded full points for the following improvement actions:

  • Asegurarse de que todos los usuarios puedan completar la autenticación multifactor para el acceso seguro (9 puntos)Ensure all users can complete multi-factor authentication for secure access (9 points)
  • Requerir MFA para roles administrativos (10 puntos)Require MFA for administrative roles (10 points)
  • Habilitar la Directiva para bloquear la autenticación heredada (7 puntos)Enable policy to block legacy authentication (7 points)

Importante

Los valores predeterminados de seguridad incluyen características de seguridad que proporcionan seguridad similar a las acciones de mejora "Directiva de riesgo de inicio de sesión" y "Directiva de riesgos de usuario".Security defaults include security features that provide similar security to the "sign-in risk policy" and "user risk policy" improvement actions. En lugar de configurar estas directivas sobre los valores predeterminados de seguridad, se recomienda actualizar sus Estados a "resuelto a través de una mitigación alternativa".Instead of setting up these policies on top of the security defaults, we recommend updating their statuses to "Resolved through alternative mitigation."

Permisos necesariosRequired permissions

Para tener permiso de acceso a la puntuación segura de Microsoft, debe tener asignado uno de los siguientes roles en Azure Active Directory.To have permission to access Microsoft Secure Score, you must be assigned one of the following roles in Azure Active Directory.

Lectura y escritura de rolesRead and write roles

Con acceso de lectura y escritura, puede realizar cambios e interactuar directamente con la calificación segura.With read and write access, you can make changes and directly interact with Secure Score. También puede asignar acceso de solo lectura a otros usuarios.You can also assign read-only access to other users.

  • Administrador globalGlobal administrator
  • Administrador de seguridadSecurity administrator
  • Administrador de ExchangeExchange administrator
  • Administrador de SharePointSharePoint administrator
  • Administrador de la cuentaAccount administrator

Solo lectura rolesRead-only roles

Con acceso de solo lectura, no puede editar el estado o las notas para una acción de mejora, editar zonas de puntuación o editar comparaciones personalizadas.With read-only access, you aren't able to edit status or notes for an improvement action, edit score zones, or edit custom comparisons.

  • Administrador del departamento de soporto técnicoHelpdesk administrator
  • Administrador de usuariosUser administrator
  • Administrador de serviciosService administrator
  • Lector de seguridadSecurity reader
  • Operador de seguridadSecurity operator
  • Lector globalGlobal reader

Conocimiento de riesgosRisk awareness

La puntuación segura de Microsoft es un resumen numérico de la postura de seguridad en función de la configuración del sistema, el comportamiento del usuario y otras medidas relacionadas con la seguridad.Microsoft Secure Score is a numerical summary of your security posture based on system configurations, user behavior, and other security-related measurements. No es una medida absoluta de la probabilidad de que se infrinja el sistema o sus datos.It isn't an absolute measurement of how likely your system or data will be breached. En su lugar, representa en qué medida ha adoptado controles de seguridad en su entorno de Microsoft que pueden ayudar a compensar el riesgo de infracción.Rather, it represents the extent to which you have adopted security controls in your Microsoft environment that can help offset the risk of being breached. Ningún servicio en línea está completamente inmune a las infracciones de seguridad y la puntuación segura no se debe interpretar como una garantía contra la infracción de seguridad de ninguna manera.No online service is completely immune from security breaches, and secure score shouldn't be interpreted as a guarantee against security breach in any manner.

Queremos conocer su opiniónWe want to hear from you

Si tiene algún problema, háganoslo saber mediante la publicación de la comunidad de seguridad, privacidad & cumplimiento .If you have any issues, let us know by posting in the Security, Privacy & Compliance community. Estamos supervisando la comunidad y le proporcionaremos ayuda.We're monitoring the community and will provide help.