Visibilidad, automatización y orquestación con Confianza cero

Uno de los cambios significativos en perspectivas que es un sello de un Confianza cero los marcos de seguridad está alejando de la confianza por defecto hacia la confianza por excepción. Sin embargo, necesita alguna forma confiable de establecer la confianza una vez que se necesita confianza. Puesto que ya no asume que las solicitudes son de confianza, establecer un medio para dar fe de la confianza de la solicitud es fundamental para demostrar su fiabilidad puntual. Esta atestación requiere la capacidad de obtener visibilidad de las actividades en y alrededor de la solicitud.

En nuestras otras guías de Confianza cero, definimos el enfoque para implementar un enfoque de Confianza cero de un extremo a otro entre identidades, puntos de conexión y dispositivos, datos, aplicaciones, infraestructura y red. Todas estas inversiones aumentan su visibilidad, lo que le proporciona mejores datos para tomar decisiones de confianza. Sin embargo, al adoptar un enfoque Confianza cero en estas seis áreas, se aumenta necesariamente el número de incidentes que los analistas de centros de operaciones de seguridad (SOC) necesitan mitigar. Sus analistas se vuelven más ocupados que nunca, en un momento en que ya hay una escasez de talento. Esto puede provocar fatiga crónica de alertas y los analistas no tienen alertas críticas.

Diagram of integrated capabilities to manage threats.

Con cada una de estas áreas individuales generando sus propias alertas relevantes, necesitamos una capacidad integrada para administrar la afluencia resultante de datos para defendernos mejor contra amenazas y validar la confianza en una transacción.

Quieres tener la posibilidad de:

  • Detectar amenazas y vulnerabilidades.
  • Investigar.
  • Responder.
  • Acosar.
  • Proporciona contexto adicional a través del análisis de amenazas.
  • Evaluar vulnerabilidades.
  • Obtener ayuda de expertos de primera clase
  • Evite o bloquee eventos que se produzcan en todos los pilares.

La administración de amenazas incluye la detección reactiva y proactiva, y requiere herramientas que admitan ambas.

La detección reactiva es cuando los incidentes se desencadenan desde uno de los seis pilares que se pueden investigar. Además, un producto de administración como SIEM probablemente admitirá otra capa de análisis que enriquecerá y correlacionará los datos, lo que dará lugar a marcar un incidente como malo. El siguiente paso sería investigar para obtener la narración completa del ataque.

La detección proactiva es cuando se aplica la caza a los datos para demostrar una hipótesis comprometida. La caza de amenazas comienza con la suposición de que se ha infringido: busca una prueba de que realmente hay una infracción.

La caza de amenazas comienza con una hipótesis basada en amenazas actuales, como los ataques de suplantación de identidad COVID-19. Los analistas comienzan con esta amenaza hipotética, identifican los indicadores clave del compromiso y buscan los datos para ver si hay pruebas de que el entorno se ha visto comprometido. Si existen indicadores, los escenarios de caza pueden dar lugar a análisis que notificarán a las organizaciones si los indicadores se vuelven a producir.

En cualquier caso, una vez que se detecta un incidente, debe investigarlo para crear la historia completa del ataque. ¿Qué más hizo el usuario? ¿Qué otros sistemas estaban implicados? ¿Qué archivos ejecutables se ejecutaron?

Si una investigación da como resultado aprendizajes accionables, puede tomar medidas de corrección. Por ejemplo, si una investigación detecta brechas en una implementación de confianza cero, las directivas se pueden modificar para abordar estas brechas y evitar incidentes no deseados en el futuro. Siempre que sea posible, es conveniente automatizar los pasos de corrección, ya que reduce el tiempo que tarda un analista SOC en abordar la amenaza y pasar al siguiente incidente.

Otro componente clave en la evaluación de amenazas es la incorporación de inteligencia sobre amenazas conocidas frente a los datos ingeridos. Si se sabe que una DIRECCIÓN IP, hash, URL, archivo, ejecutable, etc. es incorrecta, se puede identificar, investigar y corregir.

En el pilar de infraestructura , se dedicó tiempo a abordar las vulnerabilidades. Si se sabe que un sistema es vulnerable y una amenaza se ha aprovechado de esa vulnerabilidad, se trata de algo que se puede detectar, investigar y corregir.

Con el fin de usar estas tácticas para administrar las amenazas, debe tener una consola central para permitir que los administradores de SOC detecten, investiguen, remedien, busquen, utilicen inteligencia sobre amenazas, comprendan vulnerabilidades conocidas, lean a expertos en amenazas y bloqueen las amenazas en cualquiera de los seis pilares. Las herramientas necesarias para apoyar estas fases funcionan mejor si convergen en un único flujo de trabajo, proporcionando una experiencia perfecta que aumenta la eficacia del analista soc.

Los centros de operaciones de seguridad suelen implementar una combinación de tecnologías SIEM y SOAR para recopilar, detectar, investigar y responder a amenazas. Microsoft ofrece Microsoft Centinela como su oferta siem-as-a-service. Microsoft Centinela ingiere todos los datos Microsoft Defender for Identity y de terceros.

Microsoft Threat Protection (MTP), una fuente clave de Microsoft Centinela, proporciona un conjunto de aplicaciones de defensa empresarial unificado que ofrece protección, detección y respuesta con reconocimiento de contexto en todos los componentes de Microsoft 365. Al ser conscientes del contexto y coordinados, los clientes que usan Microsoft 365 pueden obtener visibilidad y protección entre los puntos de conexión, las herramientas de colaboración, las identidades y las aplicaciones.

Es a través de esta jerarquía que permitimos a nuestros clientes maximizar su enfoque. Aunque la conciencia del contexto y la corrección automatizada, MTP puede detectar y detener muchas amenazas sin agregar fatiga de alerta adicional al personal soc ya sobrecargado. La caza avanzada dentro del MTP lleva ese contexto a la búsqueda para centrarse en muchos puntos clave de ataque. Y la caza y orquestación en todo el ecosistema a través de Microsoft Centinela proporciona la capacidad de obtener la visibilidad correcta de todos los aspectos de un entorno heterogéneo, todo mientras minimiza la sobrecarga cognitiva del operador.

Objetivos de implementación de Confianza cero de visibilidad, automatización y orquestación

Al implementar un marco de Confianza cero de un extremo a otro para la visibilidad, la automatización y la orquestación, le recomendamos que se centre primero en estos objetivos de implementación iniciales:

List icon with one checkmark.

Establezcala visibilidad.

II.Habilita la automatización.

Una vez completados, céntrese en estos objetivos de implementación adicionales:

List icon with two checkmarks.

III.Habilite controles adicionales de protección y detección.

Guía de implementación de visibilidad, automatización y orquestación Confianza cero

Esta guía le guiará por los pasos necesarios para administrar la visibilidad, la automatización y la orquestación siguiendo los principios de un marco de seguridad de Confianza cero.




Checklist icon with one checkmark.

Objetivos de implementación iniciales

I. Establecer visibilidad

El primer paso es establecer la visibilidad habilitando Protección contra amenazas de Microsoft (MTP).

Sigue estos pasos:

  1. Regístrese para obtener una de las cargas de trabajo de Protección contra amenazas de Microsoft.
  2. Habilite las cargas de trabajo y establezca la conectividad.
  3. Configure la detección en los dispositivos y la infraestructura para dar visibilidad inmediatamente a las actividades que se están realizando en el entorno. Esto le proporciona el "tono de marcado" importante para iniciar el flujo de datos críticos.
  4. Habilite Protección contra amenazas de Microsoft para obtener visibilidad de cargas de trabajo cruzadas y detección de incidentes.

II. Habilitar automatización

El siguiente paso clave, una vez que haya establecido la visibilidad, es habilitar la automatización.

Investigaciones automatizadas y corrección

Con Protección contra amenazas de Microsoft, hemos automatizado las investigaciones y la corrección, que básicamente proporciona un análisis SOC de nivel 1 adicional.

La investigación automatizada y la corrección (AIR) se pueden activar gradualmente, para que usted pueda desarrollar un nivel de confort con las acciones que se toman.

Sigue estos pasos:

  1. Habilite AIR para un grupo de pruebas.
  2. Analice los pasos de la investigación y las acciones de respuesta.
  3. Transición gradual a la aprobación automática para todos los dispositivos para reducir el tiempo de detección y respuesta.

Para obtener visibilidad de los incidentes que resultan de la implementación de un modelo de Confianza cero, es importante conectar MTP, otros conectores de datos de Microsoft y productos de terceros relevantes a Microsoft Centinela con el fin de proporcionar una plataforma centralizada para la investigación y respuesta de incidentes.

Como parte del proceso de conexión de datos, se puede habilitar el análisis relevante para desencadenar incidentes y se pueden crear libros para una representación gráfica de los datos a lo largo del tiempo.

Aunque el aprendizaje automático y el análisis de fusión se proporcionan de forma rápida, también es beneficioso ingerir datos de inteligencia sobre amenazas en Microsoft Centinela para ayudar a identificar eventos relacionados con entidades malas conocidas.




Checklist icon with two checkmarks.

Objetivos de implementación adicionales

III. Habilitar controles de detección y protección adicionales

Al habilitar controles adicionales, se mejora la señal que llega a MTP y Centinela para mejorar la visibilidad y la capacidad de orquestar las respuestas.

Los controles de reducción de superficie expuesta a ataques representan una de esas oportunidades. Estos controles de protección no solo bloquean ciertas actividades que están más asociadas con malware, sino que también dan en intentos de usar enfoques específicos, que pueden ayudar a detectar adversarios aprovechando estas técnicas antes en el proceso.

Productos cubiertos en esta guía

Microsoft Azure

Microsoft Defender for Identity

Microsoft Centinela

Microsoft 365

Protección contra amenazas de Microsoft



Serie de la guía de implementación de Confianza cero

Icon for the introduction

Icon for identity

Icon for endpoints

Icon for applications

Icon for data

Icon for infrastructure

Icon for networks

Icon for visibility, automation, orchestration