Home Blog Productos Autor Contacto

Microsoft Defender XDR

azure ciberseguridad defender xdr entra microsoft 365 seguridad Jun 02, 2024
Microsoft Defender XDR

Microsoft Defender XDR es una plataforma de operaciones de seguridad que consolida las capacidades de XDR (Extended Detection and Response) y SIEM (Security Information and Event Management) de Microsoft (para esto último se integra con Sentinel). Esto permite el monitoreo y administración de la seguridad de la organización lo que incluye alertas integradas con todo lo relacionado con identidades, dispositivos, datos, aplicaciones, correo y herramientas de colaboración, habilitando la investigación y respuesta frente a amenazas de forma centralizada. 

Defender XDR proporciona una cobertura integral habilitando la posibilidad de proteger, detectar, investigar y responder a amenazas en todos los niveles del entorno.

Componentes de Microsoft Defender XDR

  • Microsoft Defender for Endpoint: 
    Es una solución de detección y respuesta en endpoints (EDR) que proporciona protección avanzada para dispositivos, detectando y respondiendo a amenazas como malware, ransomware y otros ataques.
  • Microsoft Defender for Identity: 
    Permite monitorear actividades sospechosas protegiendo entornos con Active Directory, particularmente útil para entornos híbridos.
  • Microsoft Defender for Office 365: 
    Proporciona seguridad integral para correo electrónico y herramientas de colaboración, protegiendo contra amenazas como phishing y compromisos de correo electrónico empresarial.
  • Microsoft Defender for Cloud Apps: 
    Es un broker de seguridad en la nube (CASB), proporciona visibilidad, control de datos y detección de ciberamenazas en aplicaciones y servicios en la nube, ayudando a prevenir el uso no autorizado y la exposición de datos sensibles.
  • Microsoft Defender Vulnerability Management: 
    Proporciona una gestión continua de vulnerabilidades, evaluando riesgos y proporcionando inteligencia para mitigar posibles amenazas antes de que sean explotadas.

También se integra con Microsoft Defender for Cloud orientado a entornos híbridos y multicloud (Azure, AWS, Google Cloud), aportando características de gestión de la postura de seguridad en la nube (CSPM: Cloud Security Posture Management) y protección de cargas de trabajo en la nube (CWP: Cloud Workload Protection).

En la siguiente imagen de arquitectura, vemos que Defender XDR se alimenta de señales obtenidas de servicios que al día de hoy podrían estar siendo usados de forma individual, como por ejemplo el caso de Defender for Office 365.  

 

Acorde a Microsoft y a un nivel macro, el funcionamiento de Defender XDR paso a paso incluye:

  • Recopilación y normalización de datos. 
    En este punto el sistema toma datos de telemetría de diversas fuentes, las organiza y estandariza para su posterior análisis.
  • Análisis y correlación de datos. 
    El sistema usa Machine Learning (analiza y aprende patrones, mejorando y adaptándose con el paso del tiempo) y otras funcionalidades asociadas con inteligencia artificial para analizar de forma automática los datos y posteriormente correlacionar las alertas en incidentes.
  • Gestión de incidentes. 
    En este punto el sistema prioriza los incidentes, aporta contexto y recomendaciones. En complemento permite dar respuesta de forma manual o automática, como por ejemplo poniendo dispositivos en cuarentena o bloqueando direcciones IPs entre otras posibilidades.
  • Prevención de incidentes a futuro. 
    Mediante threat intelligence (TI) se aporta información detallada sobre ciberataques relevantes para el entorno específico de la organización. Esto incluye desde técnicas hasta recomendaciones y lo necesario para que el equipo de seguridad pueda adelantarse y proteger de forma proactiva a la organización.

Beneficios de Microsoft Defender XDR

  • Respuesta rápida priorizada por XDR: 
    Permite una respuesta acelerada a incidentes sofisticados proporcionando visibilidad a través de toda la cadena de ataque.
  • Simplifica e incrementa la productividad del SOC:
    Con Microsoft Security Copilot es mucho más sencillo para analistas de seguridad llevar a cabo sus tareas diarias e incluso realizar actividades muy complejos que sin contar con esta herramienta requeriría un nivel de conocimiento muy elevado.
  • Remediación automática (self-healing): 
    Si un dispositivo es comprometido, Defender XDR puede iniciar procesos de remediación automática, como por ejemplo aislar el dispositivo de la red entre otras posibilidades.
  • Caza de amenazas: 
    Esto permite la búsqueda de señales de compromiso, investigando actividades sospechosas de forma proactiva. Incluye análisis detallado de comportamientos anómalos y búsqueda de indicadores de compromiso.
  • Gestión efectiva de entornos multi tenant: 
    Facilita la administración de múltiples Tenants, ideal para proveedores de servicios (MSP) o grandes organizaciones. Esto permite el manejo de las operaciones de seguridad desde un único panel de control centralizado.

Licenciamiento

Para aprovechar todos los beneficios de Microsoft Defender XDR, Microsoft recomienda las licencias de Microsoft 365 E5, E5 Security o A5, A5 Security, una alternativa sería una combinación de licencias que proporcionen acceso a servicios soportados por Defender XDR:

  • Microsoft 365 E5 or A5
  • Microsoft 365 E3 + Microsoft 365 E5 Security add-on
  • Microsoft 365 E3 + Enterprise Mobility + Security E5 add-on
  • Microsoft 365 A3 + Microsoft 365 A5 Security add-on
  • Windows 10 Enterprise E5 / A5
  • Windows 11 Enterprise E5 / A5
  • Enterprise Mobility + Security (EMS) E5 / A5
  • Office 365 E5 / A5
  • Microsoft Defender for Endpoint
  • Microsoft Defender for Identity
  • Microsoft Defender for Cloud Apps o Cloud App Discovery
  • Microsoft Defender for Office 365 (Plan 2)
  • Microsoft 365 Business Premium
  • Microsoft Defender for Business

Dado que Microsoft Defender XDR consolida datos de los servicios de seguridad en uso, si solo se licencian características individuales la visión va a ser mucho más acotada, limitada justamente a los servicios en cuestión, es decir que para contar con la mayor protección posible sería necesario licenciar todas las características.

Despliegue de Defender XDR

Microsoft recomienda un orden específico, aunque no es necesario seguir el mismo, la idea es hacer un piloto e ir implementando características de forma paulatina.

En esta serie de Defender XDR vamos a seguir este mismo orden por lo que en el próximo artículo entramos en el tema de Defender for Identity para protección de identidades híbridas.

 

Artículos en la serie

 

CAPITULO I - CONCEPTOS DE SEGURIDAD Y DESAFIOS EN LA NUBE

1. Microsoft 365: El problema de seguridad
2. Desafíos de seguridad en Microsoft 365
3. Responsabilidad Compartida en Microsoft 365 y Azure
 

 

CAPITULO II - ZERO TRUST

 4. Zero Trust con Microsoft 365

 

 

CAPITULO III - IDENTIDADES Y MANEJO DE DISPOSITIVOS

5. Protección de identidades en Microsoft 365 y Azure
6. Tipos de Identidades en Entra ID (Azure AD)
7. Manejo de dispositivos con Microsoft Intune

 

 

CAPITULO IV - MICROSOFT DEFENDER XDR

8. Microsoft Defender XDR
9. Microsoft Defender for Identity
10. Antispam y Phishing con Defender for Office 365
11. Protección de dispositivos con Microsoft Defender for Endpoint
12. Shadow IT y visibilidad con Microsoft Defender for Cloud Apps
13. Microsoft Defender for Cloud

 

 

CAPITULO V - MICROSOFT SENTINEL

14. SIEM y SOAR con Microsoft Sentinel

 

 

BONUS - TALLER DE FUNDAMENTOS DE CIBERSEGURIDAD CON MICROSOFT 365

15. TALLER DE FUNDAMENTOS DE CIBERSEGURIDAD CON MICROSOFT 365

 

 

Daniel Núñez Banega

Autor del sitio

Hola! Bienvenido a Black Phoenix Cybersecurity, soy Daniel Núñez Banega, autor del sitio y trabajo en IT hace más de 20 años, especializado en tecnologías Microsoft y con particular foco en el área de Ciberseguridad. Mi misión con Black Phoenix Cybersecurity es ayudarte a transformar tu carrera en IT aprovechando las oportunidades que surgen en el área de la ciberseguridad.