Creación y supervisión de arquitecturas de seguridad de Confianza cero (TIC 3.0) con Microsoft Sentinel

La solución microsoft Sentinel para Confianza cero (TIC 3.0) permite a los equipos de gobernanza y cumplimiento diseñar, compilar, supervisar y responder a los requisitos de Confianza cero (TIC 3.0). Esta solución incluye un libro, reglas de análisis y un cuaderno de estrategias, que proporciona una visualización automatizada de los principios de Confianza cero, que recorre el marco Trust Internet Connections, lo que ayuda a las organizaciones a supervisar las configuraciones a lo largo del tiempo.

En este artículo se describe cómo instalar y usar la solución Microsoft Sentinel para Confianza cero (TIC 3.0) en el área de trabajo de Microsoft Sentinel.

Aunque solo se requiere Microsoft Sentinel para empezar, la solución se mejora mediante integraciones con otros servicios de Microsoft, como:

Para obtener más información, consulte Guiding principles of Zero Trust.

Nota

Las soluciones de Microsoft Sentinel son conjuntos de contenido agrupado, preconfigurados para un conjunto específico de datos. Para más información, consulte la documentación de soluciones de Microsoft Sentinel.

La solución Confianza cero y el marco tic 3.0

Confianza cero y TIC 3.0 no son los mismos, pero comparten muchos temas comunes y juntos proporcionan una historia común. La solución Microsoft Sentinel para Confianza cero (TIC 3.0) ofrece cruces cruzadas detalladas entre Microsoft Sentinel y el modelo de Confianza cero con el marco TIC 3.0. Estos recorridos cruzados ayudan a los usuarios a comprender mejor las superposiciones entre los dos.

Aunque la solución de Microsoft Sentinel para Confianza cero (TIC 3.0) proporciona instrucciones de procedimientos recomendados, Microsoft no garantiza ni implica el cumplimiento. Todos los requisitos, validaciones y controles de conexión a Internet de confianza (TIC) se rigen por la Agencia de seguridad de la & infraestructura de ciberseguridad.

La solución Confianza cero (TIC 3.0) proporciona visibilidad y reconocimiento de situaciones para los requisitos de control que se proporcionan con las tecnologías de Microsoft en entornos basados principalmente en la nube. La experiencia del cliente variará según el usuario y algunos paneles pueden requerir configuraciones adicionales y la modificación de consultas para la operación.

Las recomendaciones no implican la cobertura de los controles respectivos, ya que a menudo son uno de varios cursos de acción para abordar los requisitos, que es único para cada cliente. Las recomendaciones deben considerarse un punto de partida para planear la cobertura completa o parcial de los requisitos de control respectivos.

La solución microsoft Sentinel para Confianza cero (TIC 3.0) es útil para cualquiera de los siguientes usuarios y casos de uso:

  • Gobernanza de seguridad, riesgos y profesionales de cumplimiento, para la evaluación y los informes de la posición de cumplimiento
  • Ingenieros y arquitectos, que necesitan diseñar cargas de trabajo alineadas con TIC 3.0 y Confianza cero
  • Analistas de seguridad, para la creación de alertas y automatización
  • Proveedores de servicios de seguridad administrados (MSSP) para servicios de consultoría
  • Administradores de seguridad, que necesitan revisar los requisitos, analizar informes y evaluar funcionalidades

Prerrequisitos

Antes de instalar la solución Confianza cero (TIC 3.0), asegúrese de que tiene los siguientes requisitos previos:

  • Incorporación de servicios de Microsoft: asegúrese de que tiene Microsoft Sentinel y Microsoft Defender for Cloud habilitados en su suscripción de Azure.

  • Requisitos de Microsoft Defender for Cloud: en Microsoft Defender for Cloud:

  • Permisos de usuario necesarios. Para instalar la solución Confianza cero (TIC 3.0), debe tener acceso al área de trabajo de Microsoft Sentinel con permisos de lector de seguridad .

Instalación de la solución Confianza cero (TIC 3.0)

Para implementar la solución Confianza cero (TIC 3.0) desde Azure Portal:

  1. En Microsoft Sentinel, seleccione Centro de contenido y busque la solución Confianza cero (TIC 3.0).

  2. En la parte inferior derecha, seleccione Ver detalles y, a continuación, Crear. Seleccione la suscripción, el grupo de recursos y el área de trabajo donde quiere instalar la solución y, después, revise el contenido de seguridad relacionado que se implementará.

    Cuando haya terminado, seleccione Revisar y crear para instalar la solución.

Para obtener más información, consulte Implementación de soluciones y contenido predefinidos.

Escenario de uso de ejemplo

En las secciones siguientes se muestra cómo un analista de operaciones de seguridad podría usar los recursos implementados con la solución Confianza cero (TIC 3.0) para revisar los requisitos, explorar consultas, configurar alertas e implementar la automatización.

Después de instalar la solución Confianza cero (TIC 3.0), use el libro, las reglas de análisis y el cuaderno de estrategias implementados en el área de trabajo de Microsoft Sentinel para administrar Confianza cero en la red.

Visualización de datos de Confianza cero

  1. Vaya al libro Microsoft Sentinel Workbooks>Zero Trust (TIC 3.0) y seleccione Ver libro guardado.

    En la página del libro Confianza cero (TIC 3.0), seleccione las funcionalidades de TIC 3.0 que desea ver. Para este procedimiento, seleccione Detección de intrusiones.

    Sugerencia

    Use el botón de alternancia Guía en la parte superior de la página para mostrar u ocultar recomendaciones y paneles de guía. Asegúrese de que los detalles correctos están seleccionados en las opciones Suscripción, Área de trabajo y TimeRange para que pueda ver los datos específicos que desea encontrar.

  2. Revise las tarjetas de control que se muestran. Por ejemplo, desplácese hacia abajo para ver la tarjeta Control de acceso adaptable :

    Screenshot of the Adaptive Access Control card.

    Sugerencia

    Use el botón de alternancia Guías en la parte superior izquierda para ver u ocultar recomendaciones y paneles de guía. Por ejemplo, esto puede resultar útil al acceder por primera vez al libro, pero no es necesario una vez que haya comprendido los conceptos pertinentes.

  3. Explore las consultas. Por ejemplo, en la parte superior derecha de la tarjeta Control de acceso adaptable, seleccione el botón :Más y, a continuación, seleccione la opción Abrir la última consulta de ejecución en la vista Registros.

    La consulta se abre en la página Registros de Microsoft Sentinel:

    Screenshot of the selected query in the Microsoft Sentinel Logs page.

En Microsoft Sentinel, vaya al área Análisis . Vea las reglas de análisis preinstegidas implementadas con la solución Confianza cero (TIC 3.0) mediante la búsqueda de TIC3.0.

De forma predeterminada, la solución Confianza cero (TIC 3.0) instala un conjunto de reglas de análisis configuradas para supervisar la posición de Confianza cero (TIC3.0) por familia de control, y puede personalizar umbrales para alertar a los equipos de cumplimiento a los cambios en la posición.

Por ejemplo, si la posición de resistencia de la carga de trabajo se encuentra por debajo de un porcentaje especificado en una semana, Microsoft Sentinel generará una alerta para detallar el estado de la directiva correspondiente (superación o error), los recursos identificados, la hora de la última evaluación y proporcionan vínculos profundos a Microsoft Defender for Cloud para las acciones de corrección.

Actualice las reglas según sea necesario o configure una nueva:

Screenshot of the Analytics rule wizard.

Para más información, consulte Creación de reglas de análisis personalizadas para detectar amenazas.

Responder con SOAR

En Microsoft Sentinel, vaya a la pestañaCuadernos de estrategias activos de Automation> y busque el cuaderno de estrategias Notify-GovernanceComplianceTeam.

Use este cuaderno de estrategias para supervisar automáticamente las alertas de CMMC y notificar al equipo de cumplimiento de gobernanza los detalles pertinentes a través del correo electrónico y los mensajes de Microsoft Teams. Modifique el cuaderno de estrategias según sea necesario:

Screenshot of the Logic app designer showing a sample playbook.

Para más información, consulte Uso de desencadenadores y acciones en cuadernos de estrategias de Microsoft Sentinel.

Preguntas más frecuentes

¿Se admiten vistas e informes personalizados?

Sí. Puede personalizar el libro de Confianza cero (TIC 3.0) para ver los datos por suscripción, área de trabajo, tiempo, familia de control o parámetros de nivel de madurez, y puede exportar e imprimir el libro.

Para más información, consulte Uso de libros de Azure Monitor para visualizar y supervisar los datos.

¿Se requieren productos adicionales?

Tanto Microsoft Sentinel como Microsoft Defender for Cloud son necesarios.

Además de estos servicios, cada tarjeta de control se basa en datos de varios servicios, en función de los tipos de datos y visualizaciones que se muestran en la tarjeta. Más de 25 servicios de Microsoft proporcionan enriquecimiento para la solución confianza cero (TIC 3.0).

¿Qué debo hacer con paneles sin datos?

Los paneles sin datos proporcionan un punto de partida para abordar los requisitos de control de Confianza cero y TIC 3.0, incluidas las recomendaciones para abordar los controles respectivos.

¿Se admiten varias suscripciones, nubes e inquilinos?

Sí. Puede usar parámetros de libro, Azure Lighthouse y Azure Arc para aprovechar la solución Confianza cero (TIC 3.0) en todas las suscripciones, nubes e inquilinos.

Para más información, consulte Uso de libros de Azure Monitor para visualizar y supervisar los datos y Administrar varios inquilinos en Microsoft Sentinel como MSSP.

¿Se admite la integración de asociados?

Sí. Tanto los libros como las reglas de análisis son personalizables para las integraciones con los servicios de asociados.

Para obtener más información, consulte Uso de libros de Azure Monitor para visualizar y supervisar los datos y los detalles de eventos personalizados de Surface en las alertas.

¿Está disponible en las regiones gubernamentales?

Sí. La solución Confianza cero (TIC 3.0) está en versión preliminar pública e se puede implementar en regiones comerciales o gubernamentales. Para obtener más información, consulte Disponibilidad de características en la nube para clientes comerciales y de la Administración Pública de Estados Unidos.

¿Qué permisos son necesarios para usar este contenido?

Para más información, consulte Permisos de Microsoft Sentinel.

Pasos siguientes

Para más información, consulte:

Vea nuestros vídeos:

Lea nuestros blogs.