Hoja de ruta de seguridad: prioridades principales para los primeros 30 días, 90 días y más allá

  • Artículo
  • Tiempo de lectura: 2 minutos

Importante

El Portal de Microsoft 365 Defender mejorado ya está disponible. Esta nueva experiencia incluye Defender para punto de conexión, Defender para Office 365, Microsoft 365 Defender y más en el portal de Microsoft 365 Defender. Ver las novedades.

En este artículo se incluyen las recomendaciones principales del equipo de ciberseguridad de Microsoft para implementar capacidades de seguridad para proteger su Microsoft 365 seguridad. Este artículo se ha adaptado a partir de una sesión de Microsoft Ignite: Secure Microsoft 365 like a cybersecurity pro: Top priorities for the first 30 days, 90 days, and beyond. Esta sesión fue desarrollada y presentada por Mark Simos y Matt Kemelhar, Enterprise Cybersecurity Architects.

En este artículo:

Resultados de la guía básica

Estas recomendaciones de guía básica se programan en tres fases en un orden lógico con los siguientes objetivos.

Marco de tiempo Resultados
30 días Configuración rápida:
  • Protecciones de administración básicas.
  • Registro y análisis.
  • Protecciones básicas de identidad.

Configuración del espacio empresarial.

Preparar a las partes interesadas.
90 días Protecciones avanzadas:
  • Cuentas de administrador.
  • Datos y cuentas de usuario.

Visibilidad de las necesidades de cumplimiento, amenazas y usuarios.

Adaptar e implementar directivas y protecciones predeterminadas.
Más allá Ajustar y refinar los controles y directivas clave.

Extender las protecciones a dependencias locales.

Integre con procesos empresariales y de seguridad (legales, amenazas de insider, etc.).

30 días: ganancias rápidas eficaces

Estas tareas pueden realizarse rápidamente y tienen un impacto menor para los usuarios.

Área Tareas
Administración de seguridad
Protección contra amenazas Conectar Microsoft 365 para Microsoft Cloud App Security iniciar la supervisión mediante las directivas de detección de amenazas predeterminadas para comportamientos anómalos. Se tardan siete días en crear una línea base para la detección de anomalías.

Implementar la protección para cuentas de administrador:

  • Usa cuentas de administrador dedicadas para la actividad de administración.
  • Exigir la autenticación multifactor (MFA) para cuentas de administrador.
  • Usa un dispositivo de Windows altamente seguro para la actividad de administración.
Administración de identidad y acceso
Protección de la información Revise recomendaciones de protección de información de ejemplo. La protección de la información requiere coordinación en toda la organización. Empiece con estos recursos:

90 días: protecciones mejoradas

Estas tareas necesitan un poco más de tiempo para planearlas e implementarlas, pero aumentan considerablemente el nivel de seguridad.

Área Tarea
Administración de seguridad
  • Compruebe Puntuación segura para las acciones recomendadas para su entorno ( https://security.microsoft.com/securescore ).
  • Continúe revisando periódicamente los paneles y los informes en el portal de Microsoft 365 Defender, Cloud App Security y herramientas SIEM.
  • Busque e implemente actualizaciones de software.
  • Realizar simulaciones de ataques para ataques de suplantación de identidad (phishing), espionaje de contraseñas y ataques de contraseña de fuerza bruta mediante el entrenamiento de simulación de ataques (incluido Office 365 Inteligencia de amenazas).
  • Busque el riesgo de uso compartido revisando los informes integrados en Cloud App Security (en la pestaña Investigar).
  • Compruebe el Administrador de cumplimiento para revisar el estado de las normativas que se aplican a su organización (como RGPD, NIST 800-171).
Protección contra amenazas Implementar protecciones mejoradas para cuentas de administrador:
  • Configurar estaciones de trabajo de acceso privilegiado (PAW) para la actividad de administración.
  • Configurar Azure AD Privileged Identity Management.
  • Configure una herramienta de administración de eventos y de información de seguridad (SIEM) para recopilar datos de registro de Office 365, Cloud App Security y otros servicios, incluido AD FS. El registro de auditoría almacena datos solo durante 90 días. Capturar estos datos en la herramienta SIEM permite almacenar datos durante un período más largo.
Administración de identidad y acceso
Protección de la información Adaptar e implementar directivas de protección de la información. Estos recursos incluyen ejemplos:

Use directivas de prevención de pérdida de datos y herramientas de supervisión en Microsoft 365 para los datos almacenados en Microsoft 365 (en lugar de Cloud App Security).

Use Cloud App Security con Microsoft 365 para características avanzadas de alertas (aparte de la prevención de pérdida de datos).

Más allá

Estas son medidas de seguridad importantes que se basa en el trabajo anterior.

Área Tarea
Administración de seguridad
  • Siga planeando las siguientes acciones mediante puntuación segura ( https://security.microsoft.com/securescore ).
  • Continúe revisando periódicamente los paneles y los informes en el portal de Microsoft 365 Defender, Cloud App Security y herramientas SIEM.
  • Siga buscando e implementando actualizaciones de software.
  • Integre la exhibición de documentos electrónicos en los procesos legales y de respuesta a amenazas.
Protección contra amenazas
  • Implementar acceso con privilegios seguros (SPA) para componentes de identidad locales (AD, AD FS).
  • Use Cloud App Security para supervisar las amenazas internas.
  • Descubra el uso de SaaS de IT de sombra mediante Cloud App Security.
Administración de identidad y acceso
  • Refinar directivas y procesos operativos.
  • Use Azure AD Identity Protection para identificar las amenazas internas.
Protección de la información Refinar directivas de protección de la información:
  • Microsoft 365 y Office 365 de confidencialidad y prevención de pérdida de datos (DLP) o Azure Information Protection.
  • Cloud App Security directivas y alertas.

Vea también: Cómo mitigar ataques cibernéticos rápidos como Petya y WannaCrypt.