Prepare su cuenta de Microsoft Defender para punto de conexión
Se aplica a:
¿Quiere experimentar Microsoft Defender para punto de conexión? Regístrese para obtener una prueba gratuita.
La implementación de Defender for Endpoint es un proceso de tres fases:
 Fase 1: Preparación |
 Fase 2: Configuración |
 Fase 3: Incorporación |
|---|---|---|
| ¡Estás aquí! |
Actualmente se encuentra en la fase de preparación.
La preparación es clave para cualquier implementación correcta. En este artículo, se le guiará sobre los puntos que tendrá que tener en cuenta mientras se prepara para implementar Defender for Endpoint.
Partes interesadas y aprobación
La siguiente sección sirve para identificar a todas las partes interesadas que participan en el proyecto y necesitan aprobar, revisar o mantenerse informados.
Agregue partes interesadas a la tabla siguiente según corresponda para su organización.
- SO = Aprobar proyecto
- R = Revisar este proyecto y proporcionar entrada
- I = Informado de este proyecto
| Nombre | Rol | Acción |
|---|---|---|
| Escriba el nombre y el correo electrónico | Director de seguridad de la información (CISO) Un representante ejecutivo que actúa como patrocinador dentro de la organización para la nueva implementación de tecnología. | SO |
| Escriba el nombre y el correo electrónico | Jefe del Centro de operaciones de Ciberdefensa (CDOC) Un representante del equipo CDOC encargado de definir cómo se alinea este cambio con los procesos del equipo de operaciones de seguridad de clientes. | SO |
| Escriba el nombre y el correo electrónico | Arquitecto de seguridad Un representante del equipo de seguridad encargado de definir cómo se alinea este cambio con la arquitectura de seguridad principal de la organización. | R |
| Escriba el nombre y el correo electrónico | Workplace Architect Un representante del equipo de IT encargado de definir cómo se alinea este cambio con la arquitectura básica del lugar de trabajo de la organización. | R |
| Escriba el nombre y el correo electrónico | Analista de seguridad Un representante del equipo de CDOC que puede proporcionar información sobre las capacidades de detección, la experiencia del usuario y la utilidad general de este cambio desde una perspectiva de operaciones de seguridad. | I |
Entorno
Esta sección se usa para garantizar que las partes interesadas entiendan profundamente su entorno, lo que ayudará a identificar posibles dependencias o cambios necesarios en tecnologías o procesos.
| Qué | Descripción |
|---|---|
| Recuento de extremos | Recuento total de puntos de conexión por sistema operativo. |
| Recuento de servidores | Recuento total de servidores por versión del sistema operativo. |
| Motor de administración | Nombre y versión del motor de administración (por ejemplo, System Center Configuration Manager rama actual 1803). |
| Distribución de CDOC | Estructura CDOC de alto nivel (por ejemplo, nivel 1 subcontratado a Contoso, nivel 2 y nivel 3 internamente distribuidos en Europa y Asia). |
| Información de seguridad y evento (SIEM) | Tecnología SIEM en uso. |
Control de acceso basado en roles
Microsoft recomienda usar el concepto de privilegios mínimos. Defender for Endpoint aprovecha roles integrados dentro de Azure Active Directory. Microsoft recomienda revisar los diferentes roles disponibles y elegir el adecuado para resolver sus necesidades para cada persona de esta aplicación. Es posible que algunos roles deba aplicarse temporalmente y quitarse una vez completada la implementación.
| Personas | Funciones | Rol de Azure AD (si es necesario) | Asignar a |
|---|---|---|---|
| Administrador de seguridad | |||
| Analista de seguridad | |||
| Administrador de extremos | |||
| Administrador de infraestructura | |||
| Propietario/interesado de la empresa | |||
Microsoft recomienda usar Privileged Identity Management administrar los roles para proporcionar auditoría, control y revisión de acceso adicionales para los usuarios con permisos de directorio.
Defender for Endpoint admite dos formas de administrar permisos:
Administración de permisos básicos: establezca los permisos en acceso completo o de solo lectura. En el caso de los usuarios de administración de permisos básicos con el rol Administrador de Globa o Administrador de seguridad en Azure Active Directory tienen acceso completo mientras que el rol lector de seguridad tiene acceso de solo lectura.
Control de acceso basado en roles (RBAC): establezca permisos granulares definiendo roles, asignando grupos de usuarios de Azure AD a los roles y concediendo a los grupos de usuarios acceso a grupos de dispositivos. Para obtener más información. vea Manage portal access using role-based access control.
Microsoft recomienda aprovechar RBAC para asegurarse de que solo los usuarios que tienen una justificación empresarial puedan acceder a Defender for Endpoint.
Puede encontrar detalles sobre las directrices de permisos aquí: Crear roles y asignar elrol a un Azure Active Directory grupo .
La siguiente tabla de ejemplo sirve para identificar la estructura del Centro de operaciones de Cyber Defense en su entorno que le ayudará a determinar la estructura RBAC necesaria para su entorno.
| Nivel | Descripción | Permiso necesario |
|---|---|---|
| Nivel 1 | Equipo de operaciones de seguridad local/equipo de TI Este equipo normalmente realiza una triage e investiga las alertas contenidas en su geolocalización y escala al nivel 2 en los casos en los que se requiere una corrección activa. |
|
| Nivel 2 | Equipo de operaciones de seguridad regional Este equipo puede ver todos los dispositivos de su región y realizar acciones de corrección. |
Ver datos |
| Nivel 3 | Equipo de operaciones de seguridad global Este equipo está formado por expertos en seguridad y está autorizado a ver y realizar todas las acciones desde el portal. |
Ver datos Investigación de alertas Acciones de corrección activas Investigación de alertas Acciones de corrección activas Administrar la configuración del sistema del portal Administrar la configuración de seguridad |
Orden de adopción
En muchos casos, las organizaciones tendrán los productos de seguridad de puntos de conexión existentes en su lugar. El mínimo mínimo que cada organización debería haber sido una solución antivirus. Pero en algunos casos, una organización también podría haber implantado una EDR ya.
Históricamente, la sustitución de cualquier solución de seguridad que solía ser intensiva en tiempo y difícil de lograr debido a los estrechos enlaces a las dependencias de la infraestructura y la capa de aplicaciones. Sin embargo, dado que Defender para endpoint está integrado en el sistema operativo, ahora es fácil reemplazar soluciones de terceros.
Elija el componente de Defender para endpoint que se va a usar y quite los que no se aplican. En la tabla siguiente se indica el orden que Microsoft recomienda para la habilitación del conjunto de seguridad de puntos de conexión.
| Componente | Descripción | Clasificación de orden de adopción |
|---|---|---|
| Respuesta de & de detección de puntos de conexión (EDR) | Las capacidades de defender para detección y respuesta de puntos de conexión endpoint proporcionan detecciones avanzadas de ataques que son casi en tiempo real y que pueden actuar. Los analistas de seguridad pueden asignar prioridades a las alertas de forma eficaz, obtener visibilidad para todo el ámbito de la vulneración y llevar a cabo acciones de respuesta para corregir las amenazas. | 1 |
| Administración & vulnerabilidad de amenazas (TVM) | Threat & Vulnerability Management es un componente de Microsoft Defender para endpoint y proporciona a los administradores de seguridad y a los equipos de operaciones de seguridad un valor único, incluidos:
|
2 |
| Protección de última generación (NGP) | Antivirus de Microsoft Defender es una solución antimalware integrada que proporciona protección de última generación para escritorios, equipos portátiles y servidores. El Antivirus de Microsoft Defender incluye:
|
3 |
| Reducción de superficie de ataque (ASR) | Las capacidades de reducción de superficie de ataque en Microsoft Defender para endpoint ayudan a proteger los dispositivos y aplicaciones de la organización frente a amenazas nuevas y emergentes. Aprende más. |
4 |
| Auto Investigation & Remediation (AIR) | Microsoft Defender para endpoint usa investigaciones automatizadas para reducir significativamente el volumen de alertas que deben investigarse individualmente. La característica de investigación automatizada aprovecha varios algoritmos de inspección y procesos usados por analistas (como playbooks) para examinar alertas y tomar medidas de corrección inmediatas para resolver infracciones. Esto reduce considerablemente el volumen de alertas, lo que facilita que los expertos de operaciones de seguridad puedan centrarse en amenazas más complejas y otras iniciativas de alto valor. | No aplicable |
| Expertos en amenazas de Microsoft (MTE) | Expertos en amenazas de Microsoft es un servicio de búsqueda administrado que proporciona a los Centros de operaciones de seguridad (SOC) supervisión y análisis de nivel de experto para ayudarles a garantizar que las amenazas críticas en sus entornos únicos no se pierden. | No aplicable |
Paso siguiente
Configurar Microsoft Defender para la implementación de puntos de conexión.