Abordar las cuentas de usuario en peligro con una investigación y respuesta automatizadas

 Sugerencia

¿Sabía que puede probar las características de Microsoft 365 Defender para Office 365 Plan 2 de forma gratuita? Use la prueba de Defender para Office 365 de 90 días en el centro de pruebas del portal de Microsoft 365 Defender. Obtenga información sobre quién puede registrarse y los términos de prueba aquí.

Se aplica a

Microsoft Defender para Office 365 Plan 2 incluye eficaces funcionalidades de investigación y respuesta automatizadas (AIR). Estas funcionalidades pueden ahorrar mucho tiempo y esfuerzo al equipo de operaciones de seguridad frente a amenazas. Microsoft sigue mejorando las funcionalidades de seguridad. Recientemente, las funcionalidades de AIR se han mejorado para incluir un cuaderno de estrategias de seguridad de usuario en peligro (actualmente en versión preliminar). Lea este artículo para obtener más información sobre el cuaderno de estrategias de seguridad de usuario en peligro. Y vea la entrada de blog Acelerar el tiempo para detectar y responder al riesgo del usuario y limitar el ámbito de vulneración con Microsoft Defender para Office 365 para obtener más detalles.

El cuaderno de estrategias de seguridad de usuario en peligro permite al equipo de seguridad de su organización:

  • Acelerar la detección de cuentas de usuario en peligro;
  • Limitar el ámbito de una infracción cuando una cuenta está en peligro; Y
  • Responda a los usuarios en peligro de forma más eficaz y eficaz.

Alertas de usuario en peligro

Cuando una cuenta de usuario está en peligro, se producen comportamientos atípicos o anómalo. Por ejemplo, los mensajes de phishing y correo no deseado se pueden enviar internamente desde una cuenta de usuario de confianza. Defender para Office 365 puede detectar estas anomalías en los patrones de correo electrónico y la actividad de colaboración dentro de Office 365. Cuando esto sucede, se desencadenan alertas y comienza el proceso de mitigación de amenazas.

Por ejemplo, esta es una alerta que se desencadenó debido al envío de correo electrónico sospechoso:

Este es un ejemplo de una alerta que se desencadenó cuando se alcanzó un límite de envío para un usuario:

Alerta desencadenada por el envío del límite alcanzado.

Investigación y respuesta a un usuario en peligro

Cuando una cuenta de usuario está en peligro, se desencadenan alertas. Y, en algunos casos, esa cuenta de usuario se bloquea e impide el envío de más mensajes de correo electrónico hasta que el equipo de operaciones de seguridad de la organización resuelva el problema. En otros casos, comienza una investigación automatizada que puede dar lugar a acciones recomendadas que el equipo de seguridad debe realizar.

 Importante

Debe tener los permisos adecuados para realizar las siguientes tareas. Consulte Permisos necesarios para usar las funcionalidades de AIR.

Vea este breve vídeo para aprender a detectar y responder a los riesgos del usuario en Microsoft Defender para Office 365 mediante la investigación y respuesta automatizadas (AIR) y las alertas de usuario en peligro.

Visualización e investigación de usuarios restringidos

Tiene algunas opciones para navegar a una lista de usuarios restringidos. Por ejemplo, en el portal de Microsoft 365 Defender, puede ir a Email & colaboración>Revisar>usuarios restringidos. En el procedimiento siguiente se describe la navegación mediante el panel Alertas , que es una buena manera de ver varios tipos de alertas que podrían haberse desencadenado.

  1. Abra el portal de Microsoft 365 Defender en https://security.microsoft.com y vaya aAlertas de alertas &> de incidentes. O bien, para ir directamente a la página Alertas , use https://security.microsoft.com/alerts.
  2. En la página Alertas , filtre los resultados por período de tiempo y la directiva denominada Usuario restringido al envío de correo electrónico.
  3. Si selecciona la entrada haciendo clic en el nombre, se abrirá una página Usuario restringido al envío de correo electrónico con detalles adicionales para revisar. Junto al botón Administrar alerta, puede hacer clic en el icono Más opciones.Más opciones y, a continuación, seleccione Ver detalles de usuario restringido para ir a la página Usuarios restringidos, donde puede liberar al usuario restringido.
La página Usuario restringido al envío de correo electrónico

Ver detalles sobre las investigaciones automatizadas

Cuando se ha iniciado una investigación automatizada, puede ver sus detalles y resultados en el Centro de acciones en el portal de Microsoft 365 Defender.

Para más información, consulte Visualización de los detalles de una investigación.

Tenga en cuenta los siguientes puntos

  • Manténgase al tanto de las alertas. Como sabe, cuanto más tiempo no se detecte un riesgo, mayor será el potencial de impacto y costo generalizados para su organización, clientes y asociados. La detección temprana y la respuesta oportuna son fundamentales para mitigar las amenazas y, especialmente, cuando la cuenta de un usuario está en peligro.
  • Automation ayuda, pero no reemplaza, al equipo de operaciones de seguridad. Las funcionalidades automatizadas de investigación y respuesta pueden detectar un usuario en peligro al principio, pero es probable que el equipo de operaciones de seguridad tenga que participar y realizar alguna investigación y corrección. ¿Necesitas ayuda con esto? Consulte Revisar y aprobar acciones.
  • No confíe en una alerta de inicio de sesión sospechosa como único indicador. Cuando una cuenta de usuario está en peligro, es posible que desencadene o no una alerta de inicio de sesión sospechosa. A veces es la serie de actividades que se producen después de que una cuenta está en peligro lo que desencadena una alerta. ¿Desea obtener más información sobre las alertas? Consulte Directivas de alerta.

Microsoft Defender para Office 365

Protección integrada contra amenazas para Office 365

Protección nativa para Office 365

Impulsa la productividad, simplifica la administración y reduce los costos totales de propiedad con protección integrada contra amenazas avanzadas.

Inteligencia artificial y automatización líderes en el sector

Mejora la eficiencia de SecOps con una escala y efectividad inigualables con flujos de trabajo automatizados.

Enfoque integral

Ayuda a proteger a las organizaciones contra los ataques en la cadena de eliminación con una solución completa para la colaboración.

Capacidades

Prevención

Ayuda a evitar una gran variedad de ataques dirigidos y basados en volumen, incluidos el correo empresarial comprometido, la suplantación de identidad con credenciales, el ransomware y el malware avanzado con una sólida pila de filtrado.

rotección contra amenazas integrada con SIEM y XDR

Microsoft equipa a la defensa de tu organización, al poner las herramientas y la inteligencia correctas en manos de las personas adecuadas. Combina la Administración de eventos e información de seguridad (SIEM) y la detección y respuesta extendidas (XDR) para aumentar la eficiencia y eficacia a la vez que proteges tus activos digitales.

Obtén más información sobre la protección contra amenazas

Compara opciones de compra flexibles

Explora las capacidades de seguridad completas que ofrece Microsoft Defender para Office 365 Plan 1 y Microsoft Defender para Office 365 Plan 2. Estas capacidades también se incluyen en la Seguridad de Microsoft 365 E5.

Microsoft Defender para Office 365 Plan 1

Defender para Office 365 Plan 1 ofrece protección contra ataques avanzados en las herramientas de correo electrónico y colaboración de Office 365.

Ponte en contacto con ventas

  • Protección contra ataques avanzados como, por ejemplo, la suplantación de identidad, el malware, el spam y el correo electrónico empresarial comprometido
  • Protección más allá del correo (Microsoft Teams, SharePoint, OneDrive y aplicaciones de Office)
  • Protección de correos internos
  • Informes detallados

Microsoft Defender para Office 365 Plan 2

Defender para Office 365 Plan 2 ofrece lo mismo que el Plan 1, más búsqueda avanzada de amenazas, automatización, capacitación de simulación de ataques y capacidades XDR entre dominios.

Ponte en contacto con ventas

  • Protección contra ataques avanzados como, por ejemplo, la suplantación de identidad, el malware, el spam y el correo electrónico empresarial comprometido
  • Protección más allá del correo (Microsoft Teams, SharePoint, OneDrive y aplicaciones de Office)
  • Protección de correos internos
  • Informes detallados
  • Búsqueda avanzada de amenazas
  • Investigación y respuesta automatizadas
  • Capacitación de simulación de ataques
  • Capacidades de Microsoft 365 Defender (XDR), por ejemplo, búsqueda entre dominios y correlación de incidentes

Mas información cade.com.mx

Economía de la extorsión

Más del 80 por ciento de los ataques de ransomware se pueden rastrear a errores de configuración comunes en software y dispositivos.1

Los ciberdelincuentes se envalentonan por la economía subterránea del ransomware

Si bien el ransomware sigue siendo un tema que acapara los titulares, en última instancia, hay un ecosistema relativamente pequeño y conectado de jugadores que impulsan este sector de la economía del cibercrimen. La especialización y consolidación de la economía de la ciberdelincuencia ha impulsado al ransomware como servicio (RaaS) para que se convierta en un modelo de negocio dominante, permitiendo a una gama más amplia de delincuentes, independientemente de su experiencia técnica, implementar ransomware.

Vea la sesión informativa digital de Cyber Signals donde Vasu Jakkal, CVP de Microsoft Security, entrevista a los principales expertos en inteligencia de amenazas sobre la economía del ransomware y cómo las organizaciones pueden ayudar a protegerse.

ás del 80 por ciento de los ataques de ransomware se pueden rastrear a errores de configuración comunes en software y dispositivos.1

Los ciberdelincuentes se envalentonan por la economía subterránea del ransomware

Si bien el ransomware sigue siendo un tema que acapara los titulares, en última instancia, hay un ecosistema relativamente pequeño y conectado de jugadores que impulsan este sector de la economía del cibercrimen. La especialización y consolidación de la economía de la ciberdelincuencia ha impulsado al ransomware como servicio (RaaS) para que se convierta en un modelo de negocio dominante, permitiendo a una gama más amplia de delincuentes, independientemente de su experiencia técnica, implementar ransomware.

Vea la sesión informativa digital de Cyber Signals donde Vasu Jakkal, CVP de Microsoft Security, entrevista a los principales expertos en inteligencia de amenazas sobre la economía del ransomware y cómo las organizaciones pueden ayudar a protegerse.

Sesión informativa sobre amenazas

El nuevo modelo de negocio ofrece nuevos conocimientos para los defensores

Así como muchas industrias han cambiado hacia los trabajadores temporales por eficiencia, los ciberdelincuentes están alquilando o vendiendo sus herramientas de ransomware por una parte de las ganancias, en lugar de realizar los ataques ellos mismos.

La economía de Ransomware as a Service permite a los ciberdelincuentes comprar acceso a las cargas útiles de Ransomware y la fuga de datos, así como a la infraestructura de pago. Las «pandillas» de ransomware son en realidad programas RaaS como Conti o REvil, utilizados por muchos actores diferentes que cambian entre programas RaaS y cargas útiles.

RaaS reduce la barrera de entrada y ofusca la identidad de los atacantes detrás del rescate. Algunos programas tienen más de 50 «afiliados», ya que se refieren a los usuarios de su servicio, con diferentes herramientas, oficios y objetivos. Al igual que cualquier persona con un automóvil puede conducir para un servicio de viaje compartido, cualquier persona con una computadora portátil y una tarjeta de crédito dispuesta a buscar en la web oscura herramientas de prueba de penetración o malware listo para usar puede unirse a esta economía.

Esta industrialización del cibercrimen ha creado roles especializados, como los corredores de acceso que venden acceso a las redes. Un solo compromiso a menudo involucra a múltiples ciberdelincuentes en diferentes etapas de la intrusión.

Los kits RaaS son fáciles de encontrar en la web oscura y se anuncian de la misma manera que los productos se anuncian en Internet.

Un kit RaaS puede incluir soporte de servicio al cliente, ofertas agrupadas, reseñas de usuarios, foros y otras características. Los ciberdelincuentes pueden pagar un precio fijo por un kit RaaS, mientras que otros grupos que venden RaaS bajo el modelo de afiliado se llevan un porcentaje de las ganancias.

Más información sobre este diagrama

Los ataques de ransomware implican decisiones basadas en configuraciones de redes y difieren para cada víctima, incluso si la carga útil del ransomware es la misma. El ransomware culmina un ataque que puede incluir la exfiltración de datos y otros impactos. Debido a la naturaleza interconectada de la economía cibercriminal, las intrusiones aparentemente no relacionadas pueden construirse entre sí. El malware Infostealer que roba contraseñas y cookies se trata con menos gravedad, pero los ciberdelincuentes venden estas contraseñas para permitir otros ataques.

Estos ataques siguen una plantilla de acceso inicial a través de la infección de malware o la explotación de una vulnerabilidad y luego el robo de credenciales para elevar los privilegios y moverse lateralmente. La industrialización permite que los ataques de ransomware prolíficos e impactantes sean realizados por atacantes sin sofisticación ni habilidades avanzadas. Desde el cierre de Conti, hemos observado cambios en el panorama del ransomware. Algunos afiliados que estaban desplegando Conti se movieron a cargas útiles de ecosistemas RaaS establecidos como LockBit y Hive, mientras que otros implementaron simultáneamente cargas útiles de múltiples ecosistemas RaaS.

Nuevos RaaS como QuantumLocker y Black Basta están llenando el vacío dejado por el cierre de Conti. Dado que la mayoría de la cobertura de ransomware se centra en las cargas útiles en lugar de los actores, es probable que este cambio de carga útil confunda a los gobiernos, las fuerzas del orden, los medios de comunicación, los investigadores de seguridad y los defensores sobre quién está detrás de los ataques.

Informar sobre ransomware puede parecer un problema de escala sin fin; sin embargo, la realidad es un conjunto finito de actores que utilizan el conjunto de técnicas.

Manténgase protegido con seguridad de Windows

Windows 10 y 11 incluyen Seguridad de Windows, que proporciona la protección antivirus más reciente. Su dispositivo estará protegido activamente desde el momento en que inicie Windows. Seguridad de Windows analiza continuamente en busca demalware(software malicioso), virus y amenazas de seguridad. Además de esta protección en tiempo real, las actualizaciones se descargan automáticamente para ayudar a mantener su dispositivo seguro y protegerlo de amenazas.

Propina: Si eres suscriptor de Microsoft 365 Family o Personal, obtienes Microsoft Defender, nuestro software de seguridad avanzado para Windows, Mac, iOS y Android, como parte de tu suscripción. Obtenga más información en Introducción a Microsoft Defender.

La aplicación de seguridad de Windows en Windows 11

Windows 10 u 11 en modo S

Algunas características serán un poco diferentes si está ejecutando Windows 10 u 11 en modo S. Debido a que este modo está optimizado para una seguridad más estricta, el área de protección contra virus y amenazas tiene menos opciones. Pero no se preocupe: la seguridad incorporada de este modo evita automáticamente que los virus y otras amenazas se ejecuten en su dispositivo, y recibirá actualizaciones de seguridad automáticamente. Para obtener más información, consulta Preguntas más frecuentes sobre Windows 10 u 11 en modo S.

Información de seguridad importante

Comprender y personalizar las características de seguridad de Windows

Seguridad de Windows es su hogar para administrar las herramientas que protegen su dispositivo y sus datos:

  • Protección contra virus y amenazas – Supervise las amenazas a su dispositivo, ejecute análisis y obtenga actualizaciones para ayudar a detectar las amenazas más recientes. (Algunas de estas opciones no están disponibles si está ejecutando Windows 10 en modo S).
  • Protección de la cuenta – Acceda a las opciones de inicio de sesión y a la configuración de la cuenta, incluidos Windows Hello y el bloqueo dinámico.
  • Firewall y protección de red – Administre la configuración del firewall y supervise lo que está sucediendo con sus redes y conexiones a Internet.
  • Control de aplicaciones y navegadores: actualice la configuración de Microsoft Defender SmartScreen para ayudar a proteger su dispositivo contra aplicaciones, archivos, sitios y descargas potencialmente peligrosos. Tendrá protección contra vulnerabilidades y podrá personalizar la configuración de protección para sus dispositivos.
  • Seguridad del dispositivo: revise las opciones de seguridad integradas para ayudar a proteger su dispositivo de los ataques de software malintencionado.
  • Rendimiento y salud del dispositivo – Consulta la información de estado sobre el estado de rendimiento de tu dispositivo y mantén el dispositivo limpio y actualizado con la versión más reciente de Windows.
  • Opciones familiares – Lleve un registro de la actividad en línea de sus hijos y los dispositivos en su hogar.

Para personalizar la forma en que su dispositivo está protegido con estas características de seguridad de Windows, seleccione Iniciar > configuración > Actualización y seguridad Seguridad de Windows o seleccione el botón a continuación.
Abrir la configuración de seguridad de Windows

Los iconos de estado indican su nivel de seguridad:

  • Verde significa que no hay ninguna acción recomendada en este momento.
  • Amarillo significa que hay una recomendación de seguridad para usted.
  • El rojo es una advertencia de que algo necesita tu atención inmediata.

Ejecutar un análisis de malware manualmente

Si le preocupa un archivo o carpeta específico en su dispositivo local, puede hacer clic con el botón derecho en el archivo o carpeta en el Explorador de archivos y, a continuación, seleccionar Analizar con Microsoft Defender.

Propina: En Windows 11, es posible que tenga que seleccionar Mostrar más opciones después de hacer clic con el botón derecho para ver la opción de escanear el archivo o la carpeta.

Si sospecha que hay malware o un virus en su dispositivo, debe ejecutar inmediatamente un análisis rápido.

Ejecutar un análisis rápido en Seguridad de Windows

Nota: Debido a la seguridad optimizada, esto no está disponible si está ejecutando Windows 10 u 11 en modo S.

  1. Seleccione Iniciar configuración Actualización y seguridad Seguridad de Windows y luego Protección contra virus y amenazas.
    Abrir la configuración de seguridad de Windows
  2. En Amenazas actuales, selecciona Análisis rápido (o en las primeras versiones de Windows 10, en Historial de amenazas, selecciona Analizar ahora).

Si el escaneo no encuentra ningún problema, pero aún está preocupado, es posible que desee revisar su dispositivo más a fondo.

Ejecutar un análisis avanzado en Seguridad de Windows

  1. Seleccione Iniciar configuración Actualización y seguridad Seguridad de Windows y luego Protección contra virus y amenazas.
  2. En Amenazas actuales, seleccione Opciones de análisis (o en las primeras versiones de Windows 10, en Historial de amenazas, seleccione Ejecutar un nuevo análisis avanzado).
  3. Seleccione una de las opciones de escaneo:
    • Análisis completo (compruebe todos los archivos y programas actualmente en su dispositivo)
    • Análisis personalizado (análisis de archivos o carpetas específicos)
    • Análisis sin conexión de Microsoft Defender (reinicia el equipo y ejecuta un análisis profundo antes de que windows se cargue para detectar malware especialmente furtivo). Más información sobre Microsoft Defender Sin conexión
  4. Seleccione Escanear ahora.

Características de seguridad básicas y mejoradas de Microsoft Defender for Cloud

Defender for Cloud ofrece una serie de características de seguridad mejoradas que pueden ayudar a proteger a su organización frente a amenazas y ataques.

  • Características de seguridad básicas (gratis): al abrir Defender for Cloud en Azure Portal por primera vez o si lo habilita mediante la API, Defender for Cloud está habilitado de forma gratuita en todas las suscripciones de Azure. De forma predeterminada, Defender for Cloud proporciona la puntuación segura, la directiva de seguridad y las recomendaciones básicas y la evaluación de seguridad de red para ayudarle a proteger los recursos de Azure.Si desea probar las características de seguridad mejoradas, habilite las características de seguridad mejoradas de forma gratuita durante los primeros 30 días. Después de 30 días, si decide continuar usando el servicio, empezaremos a cobrar automáticamente el uso. Para más información sobre los precios en la moneda o región local, consulte la página de precios.
  • Características de seguridad mejoradas (de pago): al habilitar las características de seguridad mejoradas, Defender for Cloud puede proporcionar administración de seguridad unificada y protección contra amenazas en las cargas de trabajo de nube híbrida, entre las que se incluyen:
    • Microsoft Defender para puntos de conexión: Microsoft Defender para servidores incluye Microsoft Defender para punto de conexión para obtener una completa detección y respuesta de puntos de conexión (EDR). Obtenga más información sobre las ventajas de usar Microsoft Defender para punto de conexión junto con Defender for Cloud en Uso de la solución EDR integrada de Defender for Cloud.
    • Evaluación de vulnerabilidades para máquinas virtuales, registros de contenedor y recursos de SQL : habilite fácilmente soluciones de evaluación de vulnerabilidades para detectar, administrar y resolver puntos vulnerables. Vea, investigue y corrija lo que detecte directamente en Defender for Cloud.
    • Seguridad en varias nubes: conecte las cuentas de Amazon Web Services (AWS) y Google Cloud Platform (GCP) para proteger los recursos y las cargas de trabajo de esas plataformas con una variedad de características de seguridad de Microsoft Defender for Cloud.
    • Seguridad híbrida: Obtenga una vista unificada de la seguridad de todas sus cargas de trabajo locales y en la nube. Aplique directivas de seguridad y evalúe constantemente la seguridad de las cargas de trabajo de nube híbrida para garantizar el cumplimiento normativo con los estándares de seguridad. Recopile, busque y analice datos de seguridad de varios orígenes, incluidos firewalls y otras soluciones de partners.
    • Alertas de protección contra amenazas: el análisis de comportamiento avanzado y Microsoft Intelligent Security Graph proporcionan una ventaja frente a los ataques cibernéticos en evolución. La funcionalidad integrada de análisis del comportamiento y aprendizaje automático puede identificar ataques y vulnerabilidades de seguridad de día cero. Supervise las redes, las máquinas, los almacenes de datos (servidores SQL hospedados dentro y fuera de Azure, bases de datos de Azure SQL, Azure SQL Managed Instance y Azure Storage) y los servicios en la nube para impedir que se produzcan ataques y administrar las actividades que deben emprenderse tras una vulneración. Optimice la investigación con herramientas interactivas e inteligencia de amenazas contextual.
    • Seguimiento del cumplimiento con una gama de estándares: Defender for Cloud evalúa continuamente el entorno de nube híbrida para analizar los factores de riesgo con arreglo a los controles y los procedimientos recomendados que se describen en Punto de referencia de seguridad de Azure. Al habilitar las características de seguridad mejoradas, puede aplicar una variedad de otros estándares del sector, estándares normativos y puntos de referencia según las necesidades de la organización. Agregue estándares y realice un seguimiento del cumplimiento con ellos desde el panel de cumplimiento normativo.
    • Controles de acceso y aplicación: bloquee el malware y otras aplicaciones no deseadas aplicando recomendaciones basadas en el aprendizaje automático adaptadas a sus cargas de trabajo específicas para crear listas de bloqueos y permisos. Reduzca la superficie de la red que está expuesta a ataques mediante un acceso Just-In-Time controlado a los puertos de administración de las VM de Azure. Los controles de acceso y aplicación reducen drásticamente la exposición a ataques por fuerza bruta y a otros ataques de la red.
    • Características de seguridad de contenedor: Aproveche la administración de vulnerabilidades y la protección contra amenazas en tiempo real en los entornos en contenedores. Los cargos se basan en el número de imágenes de contenedor únicas insertadas en el registro conectado. Una vez que se haya analizado una imagen, no se le cobrará de nuevo a menos que se modifique e inserte una vez más.
    • Amplia protección contra amenazas para los recursos conectados al entorno de Azure: medidas de protección contra amenazas nativas de la nube que están incluidas en los servicios de Azure comunes a todos los recursos: Azure Resource Manager, Azure DNS, nivel de red de Azure y Azure Key Vault. Defender for Cloud tiene una visibilidad exclusiva de la capa de administración de Azure y la capa de Azure DNS y, por tanto, puede proteger los recursos en la nube que están conectados a esas capas.

Preguntas frecuentes sobre precios y facturación

¿Cómo puedo realizar un seguimiento de quién en mi organización habilitó un plan de Microsoft Defender en Defender for Cloud?

Las suscripciones de Azure pueden tener varios administradores con permisos para cambiar la configuración de precios. Para averiguar qué usuario realizó un cambio, use el registro de actividad de Azure.

Registro de actividad de Azure en el que se muestra un evento de cambio de precio.

Si la información del usuario no aparece en la columna Evento iniciado por, explore el JSON del evento para ver los detalles pertinentes.

Explorador JSON del registro de actividad de Azure.

¿Cuáles son los planes que ofrece Defender for Cloud?

La oferta gratuita de Microsoft Defender for Cloud ofrece la puntuación segura y las herramientas relacionadas. La habilitación de la seguridad mejorada activa todos los planes de Microsoft Defender para proporcionar una variedad de ventajas de seguridad para todos los recursos en entornos de Azure, híbridos y de varias nubes.

¿Cómo puedo habilitar la seguridad mejorada de Defender for Cloud en la suscripción?

Puede usar cualquiera de los siguientes métodos para habilitar la seguridad mejorada en la suscripción:

MétodoInstructions
Páginas de Defender for Cloud de Azure PortalHabilitación de protecciones mejoradas
API DE RESTAPI de precios
Azure CLIaz security pricing
PowerShellSet-AzSecurityPricing
Azure PolicyPrecios de conjunto

¿Puedo habilitar Microsoft Defender para servidores en un subconjunto de servidores?

No. Al habilitar Microsoft Defender para servidores en una suscripción de Azure o en una cuenta de AWS conectada, todas las máquinas conectadas estarán protegidas por Defender para servidores.

Una alternativa es habilitar Microsoft Defender para servidores en el nivel de área de trabajo de Log Analytics. Si lo hace, solo se protegerán y facturarán los servidores que envían notificaciones a esa área de trabajo. Sin embargo, varias funcionalidades no estarán disponibles, Entre ellas, Microsoft Defender para punto de conexión, la solución VA (TVM/Qualys), el acceso Just-In-Time a máquinas virtuales, etc.

Si ya tengo una licencia de Microsoft Defender para punto de conexión, ¿puedo obtener un descuento para Defender para servidores?

Si ya tiene una licencia de Plan 2 de Microsoft Defender para puntos de conexión para servidores, no tendrá que pagar esa parte de la licencia de Microsoft Defender para servidores. Obtenga más información sobre esta licencia.

Para solicitar el descuento, póngase en contacto con el equipo de soporte técnico de Defender for Cloud. Tendrá que proporcionar la información pertinente de id. de área de trabajo, región y número de licencias de Microsoft Defender para punto de conexión para servidores aplicadas a las máquinas del área de trabajo determinada.

El descuento será efectivo a partir de la fecha de aprobación y no se aplicará con carácter retroactivo.

Mi suscripción tiene Microsoft Defender para servidores habilitado, ¿debo pagar por los servidores que no estén en ejecución?

No. Si habilita Microsoft Defender para servidores en una suscripción, no se le cobrará por las máquinas que estén en el estado de energía desasignado mientras estén en ese estado. Las máquinas se facturan según su estado de energía, como se muestra en la tabla siguiente:

StateDescripciónFacturación del uso de la instancia
IniciandoLa máquina virtual se está iniciando.No facturado
En ejecuciónEstado de funcionamiento normal para una máquina virtualFacturado
DeteniéndoseEste estado es transitorio. Cuando haya terminado, aparecerá como Detenido.Facturado
DetenidoSe ha apagado la máquina virtual desde dentro del sistema operativo invitado o está utilizando las API de PowerOff. El hardware aún está asignado a la máquina virtual y permanece en el host.Facturado
DesasignandoEste estado es transitorio. Cuando haya terminado, la máquina virtual aparecerá como Desasignado.No facturado
DesasignadoLa máquina virtual se ha detenido correctamente y se ha eliminado del host.No facturado
Azure Virtual Machines muestra una máquina desasignada.

Si habilito el plan de servidores de Defender for Cloud en el nivel de suscripción, ¿es necesario habilitarlo en el nivel de área de trabajo?

Al habilitar el plan de servidores en el nivel de suscripción, Defender for Cloud habilitará automáticamente el plan de servidores en las áreas de trabajo predeterminadas cuando está habilitado el aprovisionamiento automático. Para habilitar el aprovisionamiento automático en la página Aprovisionamiento automático, seleccione la opción Conexión de máquinas virtuales de Azure a las áreas de trabajo predeterminadas que ha creado Defender for Cloud y después Aplicar.

Captura de pantalla que muestra cómo aprovisionar automáticamente Defender for Cloud para administrar áreas de trabajo.

Sin embargo, si usa un área de trabajo personalizada en lugar del área de trabajo predeterminada, deberá habilitar el plan de servidores en todas las áreas de trabajo personalizadas que no lo tengan habilitado.

Si usa un área de trabajo personalizada y habilita el plan solo en el nivel de suscripción, la recomendación Microsoft Defender for servers should be enabled on workspaces aparecerá en la página Recomendaciones. Esta recomendación le proporcionará la opción de habilitar el plan de servidores en el nivel de área de trabajo con el botón Corregir. Se le cobrará por todas las máquinas virtuales de la suscripción, incluso si el plan de servidores no está habilitado para el área de trabajo. Las máquinas virtuales no se beneficiarán de las características que dependen del área de trabajo de Log Analytics, como Microsoft Defender para punto de conexión, la solución VA (TVM/Qualys) y el acceso a máquinas virtuales Just-In-Time.

Al habilitar el plan de servidores en la suscripción y en sus áreas de trabajo conectadas, no se incurrirá en un doble cargo. El sistema identificará cada máquina virtual única.

Si habilita el plan de servidores en áreas de trabajo entre suscripciones, se facturarán las máquinas virtuales conectadas de todas las suscripciones, incluidas las suscripciones que no tienen habilitado el plan de servidores.

¿Se me cobrará por máquinas sin el agente de Log Analytics instalado?

Sí. Al habilitar Microsoft Defender para servidores en una suscripción de Azure o en una cuenta de AWS conectada, se le cobrará por todas las máquinas conectadas a la suscripción de Azure o a la cuenta de AWS. El término máquinas incluye las máquinas virtuales de Azure, instancias de conjuntos de escalado de máquinas virtuales de Azure y servidores habilitados para Azure Arc. Las máquinas que no tienen Instalado Log Analytics están cubiertas por protecciones que no dependen del agente de Log Analytics.

Si un agente de Log Analytics envía notificaciones a diversas áreas de trabajo, ¿se me cobrará varias veces?

Si una máquina informa a varias áreas de trabajo y todas ellas tienen habilitado Defender para servidores, las máquinas se facturarán por cada área de trabajo asociada.

Si un agente de Log Analytics envía notificaciones a varias áreas de trabajo, ¿la ingesta de datos gratuita de 500 MB estará disponible en todas ellas?

Sí. Si ha configurado el agente de Log Analytics para enviar datos a dos o más áreas de trabajo de Log Analytics diferentes (hospedaje múltiple), obtendrá una ingesta de datos gratuita de 500 MB para cada área de trabajo. Se calcula por nodo, por área de trabajo notificada y por día, y está disponible para cada área de trabajo que tenga instaladas soluciones de seguridad o antimalware. Se le cobrarán los datos ingeridos por encima del límite de 500 MB.

¿Se calcula la ingesta de 500 MB de datos gratis para todo el área de trabajo o estrictamente por máquina?

Obtendrá una ingesta de 500 MB de datos gratis al día para cada una de las máquinas virtuales conectadas al área de trabajo. Específicamente, para los tipos de datos de seguridad recopilados directamente por Defender for Cloud.

Estos datos son una tasa diaria promediada en todos los nodos. El límite total diario gratuito es igual a [número de máquinas] x 500 MB. Por tanto, aunque algunas máquinas envíen 100 MB y otras 800 MB, si el total no supera el límite gratuito diario total, no se le cobrará ningún cargo adicional.

¿Qué tipos de datos se incluyen en la asignación diaria de datos de 500 MB?

La facturación de Defender for Cloud está estrechamente vinculada a la facturación de Log Analytics. Microsoft Defender para servidores asigna 500 MB por nodo y día para las máquinas en el siguiente subconjunto de tipos de datos de seguridad:

Si el área de trabajo está en el plan de tarifa heredado por nodo, las asignaciones de Defender for Cloud y Log Analytics se combinan y se aplican conjuntamente a todos los datos ingeridos facturables.

¿Cómo puedo supervisar mi uso diario?

Puede ver el uso de los datos de dos maneras diferentes, en Azure Portal o mediante la ejecución de un script.

Para ver el uso en Azure Portal:

  1. Inicie sesión en Azure Portal.
  2. Vaya a Áreas de trabajo de Log Analytics.
  3. Seleccione su área de trabajo.
  4. Seleccione Uso y costos estimados.

También puede ver los costos estimados en distintos planes de tarifa; para ello, seleccione  para cada plan de tarifa.

Captura de pantalla que muestra cómo ver los costos estimados en planes de tarifas adicionales.

Para ver el uso mediante un script:

  1. Inicie sesión en Azure Portal.
  2. Vaya a Áreas de trabajo de Log Analytics>Registros.
  3. Seleccione el intervalo de tiempo. Obtenga información sobre los intervalos de tiempo.
  4. Copie y pegue la consulta siguiente en la sección Escriba aquí su consulta.Azure CLICopiarlet Unit= 'GB'; Usage | where IsBillable == 'TRUE' | where DataType in ('SecurityAlert', 'SecurityBaseline', 'SecurityBaselineSummary', 'SecurityDetection', 'SecurityEvent', 'WindowsFirewall', 'MaliciousIPCommunication', 'SysmonEvent', 'ProtectionStatus', 'Update', 'UpdateSummary') | project TimeGenerated, DataType, Solution, Quantity, QuantityUnit | summarize DataConsumedPerDataType = sum(Quantity)/1024 by DataType, DataUnit = Unit | sort by DataConsumedPerDataType desc
  5. Seleccione Run (Ejecutar).

Puede obtener información sobre cómo analizar el uso en el área de trabajo de Log Analytics.

En función del uso, no se le facturará hasta que haya usado su asignación diaria. Si recibe una factura, solo será por los datos usados después de que se haya alcanzado el límite de 500 MB, o por otros servicios que no se encuentran bajo la cobertura de Defender for Cloud.

¿Qué es Microsoft Defender para la nube?

  • Microsoft Defender for Cloud es una plataforma de administración de la postura de seguridad en la nube (CSPM) y protección de cargas de trabajo en la nube (CWPP) para todos sus recursos de Azure, locales y multinube (Amazon AWS y Google GCP). Defender for Cloud satisface tres necesidades vitales a medida que administra la seguridad de sus recursos y cargas de trabajo en la nube y en las instalaciones:

La puntuación segura de Defender for Cloud evalúa continuamente su postura de seguridad para que pueda realizar un seguimiento de las nuevas oportunidades de seguridad e informar con precisión sobre el progreso de sus esfuerzos de seguridad.

Las recomendaciones de Defender for Cloud protegen sus cargas de trabajo con acciones paso a paso que protegen sus cargas de trabajo de los riesgos de seguridad conocidos.

Las alertas de Defender for Cloud defienden sus cargas de trabajo en tiempo real para que pueda reaccionar de inmediato y evitar que se desarrollen eventos de seguridad.

Para obtener un tutorial paso a paso de Defender for Cloud, consulte este tutorial interactivo.

Puede obtener más información sobre Defender for Cloud de la mano de un experto en ciberseguridad viendo Lecciones aprendidas en el campo.

Proteja sus recursos y realice un seguimiento de su progreso en materia de seguridad

Las características de Microsoft Defender for Cloud cubren los dos pilares generales de la seguridad en la nube: Cloud Workload Protection Platform (CWPP) y Cloud Security Posture Management (CSPM).

CSPM – Solucione los problemas de seguridad y observe cómo mejora su postura de seguridad

En Defender for Cloud, las funciones de gestión de postura proporcionan:

Guía de endurecimiento: para ayudarle a mejorar su seguridad de manera eficiente y efectiva

Visibilidad: para ayudarle a comprender su situación de seguridad actual

Defender for Cloud evalúa continuamente sus recursos, suscripciones y organización para detectar problemas de seguridad y muestra su postura de seguridad en la puntuación segura, una puntuación agregada de los hallazgos de seguridad que le indica, de un vistazo, su situación de seguridad actual: cuanto mayor sea la puntuación, menor será el nivel de riesgo identificado.

Tan pronto como abra Defender for Cloud por primera vez, Defender for Cloud:

Genera una puntuación segura para las suscripciones basada en una evaluación de los recursos conectados en comparación con las instrucciones de Azure Security Benchmark. Utilice la puntuación para comprender su postura de seguridad y el panel de cumplimiento para revisar su cumplimiento con el punto de referencia incorporado. Cuando haya habilitado las características de seguridad mejoradas, puede personalizar los estándares usados para evaluar el cumplimiento y agregar otras regulaciones (como NIST y Azure CIS) o requisitos de seguridad específicos de la organización. También puede aplicar recomendaciones y puntuar en función de los estándares de prácticas recomendadas de seguridad de AWS Foundational.

Proporciona recomendaciones de refuerzo basadas en cualquier configuración errónea y debilidad de seguridad identificada. Use estas recomendaciones de seguridad para reforzar la postura de seguridad de los recursos de Azure, híbridos y multinube de su organización.

Obtén más información sobre la puntuación segura.

CWP – Identificar requisitos únicos de seguridad de la carga de trabajo

Defender for Cloud ofrece alertas de seguridad con tecnología de Microsoft Threat Intelligence. También incluye una gama de protecciones avanzadas e inteligentes para sus cargas de trabajo. Las protecciones de carga de trabajo se proporcionan a través de planes de Microsoft Defender específicos para los tipos de recursos de las suscripciones. Por ejemplo, puede habilitar Microsoft Defender for Storage para recibir alertas sobre actividades sospechosas relacionadas con sus recursos de almacenamiento.

Proteja todos sus recursos bajo un mismo techo

Dado que Defender for Cloud es un servicio nativo de Azure, muchos servicios de Azure se supervisan y protegen sin necesidad de ninguna implementación, pero también puede agregar recursos locales o en otras nubes públicas.

Cuando sea necesario, Defender for Cloud puede implementar automáticamente un agente de Log Analytics para recopilar datos relacionados con la seguridad. Para las máquinas de Azure, la implementación se controla directamente. Para entornos híbridos y multinube, los planes de Microsoft Defender se extienden a máquinas que no son de Azure con la ayuda de Azure Arc. Las características de CSPM se extienden a máquinas multinube sin necesidad de ningún agente (consulte Defender recursos que se ejecutan en otras nubes).

Defienda sus recursos nativos de Azure

Defender for Cloud le ayuda a detectar amenazas en:

Servicios paaS de Azure: detecte amenazas dirigidas a servicios de Azure, incluidos el Servicio de aplicaciones de Azure, Azure SQL, la cuenta de almacenamiento de Azure y más servicios de datos. También puede realizar la detección de anomalías en los registros de actividad de Azure mediante la integración nativa con Microsoft Defender for Cloud Apps (anteriormente conocida como Microsoft Cloud App Security).

Servicios de datos de Azure: Defender for Cloud incluye funcionalidades que le ayudan a clasificar automáticamente los datos en Azure SQL. También puede obtener evaluaciones de posibles vulnerabilidades en los servicios SQL y Almacenamiento de Azure, así como recomendaciones sobre cómo mitigarlas.

Redes: Defender for Cloud le ayuda a limitar la exposición a ataques de fuerza bruta. Al reducir el acceso a los puertos de la máquina virtual, al usar el acceso justo a tiempo a la máquina virtual, puede reforzar su red evitando el acceso innecesario. Puede establecer directivas de acceso seguro en los puertos seleccionados, solo para usuarios autorizados, intervalos de direcciones IP de origen permitidos o direcciones IP, y durante un período de tiempo limitado.

Defienda sus recursos locales

Además de defender su entorno de Azure, puede agregar funcionalidades de Defender for Cloud a su entorno de nube híbrida para proteger sus servidores que no son de Azure. Para ayudarlo a concentrarse en lo que más importa, obtendrá inteligencia de amenazas personalizada y alertas priorizadas de acuerdo con su entorno específico.

Para ampliar la protección a las máquinas locales, implemente Azure Arc y habilite las características de seguridad mejoradas de Defender for Cloud. Obtenga más información en Agregar máquinas que no sean de Azure con Azure Arc.

Defender los recursos que se ejecutan en otras nubes

Defender for Cloud puede proteger recursos en otras nubes (como AWS y GCP).

Por ejemplo, si ha conectado una cuenta de Amazon Web Services (AWS) a una suscripción de Azure, puede habilitar cualquiera de estas protecciones:

Las características CSPM de Defender for Cloud se extienden a sus recursos de AWS. Este plan sin agente evalúa sus recursos de AWS de acuerdo con las recomendaciones de seguridad específicas de AWS y estas se incluyen en su puntuación segura. Los recursos también se evaluarán para determinar si cumplen con los estándares integrados específicos de AWS (AWS CIS, AWS PCI DSS y AWS Foundational Security Best Practices). La página de inventario de activos de Defender for Cloud es una característica habilitada para múltiples nubes que le ayuda a administrar sus recursos de AWS junto con sus recursos de Azure.

Microsoft Defender para Kubernetes extiende su detección de amenazas de contenedores y defensas avanzadas a sus clústeres de Amazon EKS Linux.

Microsoft Defender for Servers ofrece detección de amenazas y defensas avanzadas a sus instancias EC2 de Windows y Linux. Este plan incluye la licencia integrada para Microsoft Defender for Endpoint, líneas base de seguridad y evaluaciones de nivel de sistema operativo, análisis de evaluación de vulnerabilidades, controles de aplicaciones adaptables (AAC), supervisión de integridad de archivos (FIM) y más.

Obtenga más información sobre cómo conectar sus cuentas de AWS y GCP a Microsoft Defender for Cloud.

Cerrar vulnerabilidades antes de que sean explotadas





Defender for Cloud incluye soluciones de evaluación de vulnerabilidades para sus máquinas virtuales, registros de contenedores y servidores SQL como parte de las características de seguridad mejoradas. Algunos de los escáneres funcionan con Qualys. Pero no necesita una licencia de Qualys, ni siquiera una cuenta de Qualys: todo se maneja sin problemas dentro de Defender for Cloud.

Microsoft Defender for Servers incluye integración automática y nativa con Microsoft Defender for Endpoint. Obtenga más información, proteja sus endpoints con la solución EDR integrada de Defender for Cloud: Microsoft Defender for Endpoint. Con esta integración habilitada, tendrá acceso a los hallazgos de vulnerabilidad de la administración de amenazas y vulnerabilidades de Microsoft. Obtenga más información en Investigar las debilidades con la administración de amenazas y vulnerabilidades de Microsoft Defender for Endpoint.

Revise los hallazgos de estos escáneres de vulnerabilidades y responda a todos ellos desde Defender for Cloud. Este amplio enfoque acerca a Defender for Cloud a ser el único panel de cristal para todos sus esfuerzos de seguridad en la nube.

Obtenga más información en las siguientes páginas:

Escáner Qualys integrado de Defender for Cloud para Azure y máquinas híbridas

Identificación de vulnerabilidades en imágenes en registros de contenedores de Azure

Aplique su política de seguridad de arriba hacia abajo

Es un básico de seguridad conocer y asegurarse de que sus cargas de trabajo sean seguras, y comienza con tener políticas de seguridad personalizadas en su lugar. Dado que las directivas de Defender for Cloud se crean sobre los controles de Azure Policy, obtiene toda la gama y flexibilidad de una solución de directivas de clase mundial. En Defender for Cloud, puede configurar sus políticas para que se ejecuten en grupos de administración, en todas las suscripciones e incluso para un inquilino completo.

Defender for Cloud descubre continuamente nuevos recursos que se implementan en sus cargas de trabajo y evalúa si están configurados de acuerdo con las prácticas recomendadas de seguridad. De lo contrario, se marcan y obtienes una lista priorizada de recomendaciones para lo que necesitas solucionar. Las recomendaciones le ayudan a reducir la superficie de ataque en cada uno de sus recursos.

La lista de recomendaciones está habilitada y es compatible con Azure Security Benchmark. Este punto de referencia creado por Microsoft y específico de Azure proporciona un conjunto de directrices para los procedimientos recomendados de seguridad y cumplimiento basados en marcos de cumplimiento comunes. Obtenga más información en la introducción a Azure Security Benchmark.

De esta manera, Defender for Cloud le permite no solo establecer políticas de seguridad, sino también aplicar estándares de configuración seguros en todos sus recursos.

Para ayudarle a comprender la importancia de cada recomendación para su postura de seguridad general, Defender for Cloud agrupa las recomendaciones en controles de seguridad y agrega un valor de puntuación segura a cada control. Esto es crucial para permitirle priorizar su trabajo de seguridad.

Amplíe Defender for Cloud con planes defender y supervisión externa

Puede ampliar la protección de Defender for Cloud con:

Características avanzadas de protección contra amenazas para máquinas virtuales, bases de datos SQL, contenedores, aplicaciones web, su red y más: las protecciones incluyen la protección de los puertos de administración de sus máquinas virtuales con acceso justo a tiempo y controles de aplicaciones adaptables para crear listas de permitidos para qué aplicaciones deben y no deben ejecutarse en sus máquinas.

Los planes Defender de Microsoft Defender for Cloud ofrecen defensas integrales para las capas de cómputo, datos y servicio de su entorno:

Microsoft Defender para servidores

Microsoft Defender para almacenamiento

Microsoft Defender para SQL

Microsoft Defender para contenedores

Microsoft Defender para el Servicio de aplicaciones

Microsoft Defender para key vault

Microsoft Defender para el Administrador de recursos

Microsoft Defender para DNS

Microsoft Defender para bases de datos relacionales de código abierto

Microsoft Defender para Azure Cosmos DB

Utilice los iconos de protección avanzada del panel de protecciones de carga de trabajo para supervisar y configurar cada una de estas protecciones.

 Propina

Microsoft Defender para IoT es un producto independiente. Encontrará todos los detalles en Introducción a Microsoft Defender para IoT.

Alertas de seguridad: cuando Defender for Cloud detecta una amenaza en cualquier área de su entorno, genera una alerta de seguridad. Estas alertas describen detalles de los recursos afectados, pasos de corrección sugeridos y, en algunos casos, una opción para activar una aplicación lógica en respuesta.

Ya sea que Defender for Cloud genere una alerta o que Defender for Cloud la reciba de un producto de seguridad integrado, puede exportarla. Para exportar sus alertas a Microsoft Sentinel, cualquier SIEM de terceros o cualquier otra herramienta externa, siga las instrucciones de Alertas de Stream a una solución SIEM, SOAR o DE ADMINISTRACIÓN DE SERVICIOS DE TI. La protección contra amenazas de Defender for Cloud incluye el análisis de la cadena de eliminación de fusión, que correlaciona automáticamente las alertas en su entorno en función del análisis de la cadena de eliminación cibernética, para ayudarlo a comprender mejor la historia completa de una campaña de ataque, dónde comenzó y qué tipo de impacto tuvo en sus recursos. Las intenciones de cadena de muerte compatibles con Defender for Cloud se basan en la versión 9 de la matriz MITRE ATT&CK.

Las llaves del reino: proteger sus dispositivos y cuentas

¿Qué es la autenticación y por qué debería importarle?

A menudo, cuando necesita acceder a algo, un dispositivo, una cuenta o incluso un lugar, debe tener una manera de demostrar que es quien dice ser, o al menos que se le permite acceder a esa cosa. Este es un proceso que llamamos «autenticación».

Un ejemplo básico es tu hogar. Cuando quieras entrar en tu casa probablemente tengas que usar algún tipo de llave para abrir la puerta. Esa clave física te permite entrar. Este es un método muy básico de autenticación, y sufre de un gran problema: si alguien encuentra o roba su llave, puede entrar en su casa.

Otro ejemplo común de autenticación es el cajero automático de su banco. Este es un ejemplo un poco más avanzado porque en lugar de solo tener una clave física (generalmente una tarjeta de plástico en su billetera) también debe tener un hecho recordado: su PIN, que generalmente es un número de 4-8 dígitos.

Este es un sistema más seguro porque incluso si alguien tiene su clave física, la tarjeta, no puede sacar su dinero del cajero automático porque aún necesita conocer su PIN. Si todo lo que tienen es su PIN, todavía no pueden obtener su efectivo de la máquina porque también necesitan la tarjeta. Tienen que tener ambas cosas.

Una imagen de una familia entrando en una casa.

En una computadora, el tipo de autenticación con la que todos estamos familiarizados es iniciar sesión con un nombre de usuario y una contraseña. En estos días, nuestros dispositivos contienen tantos de nuestros datos importantes que es fundamental que nuestra autenticación se realice bien. Si los delincuentes pueden iniciar sesión en sus dispositivos o servicios como usted, pueden hacer muchas cosas malas.

Entonces, veamos cómo puede asegurarlos fácilmente.

Primer paso: Activa la autenticación en tus dispositivos móviles.

La mayoría de los teléfonos inteligentes modernos pueden desbloquearse rápidamente con una huella digital o reconocimiento facial, pero incluso los que no admiten esos métodos se pueden configurar para que requieran que se desbloquee un PIN. Enciéndelo.

Sí, requiere un paso adicional para desbloquear su teléfono cuando desee usarlo, pero agregar ese pequeño paso hace que su dispositivo sea mucho más seguro. Si pierde o le roban su teléfono, es mucho menos probable que pueda acceder a sus datos confidenciales. Esto es especialmente importante si usa su dispositivo para el trabajo o la banca.

Autenticación multifactor (también conocida como «verificación en 2 pasos»)

Cuando se presenta en su casa e inserta su llave para abrir la puerta, esa llave es lo que llamamos un «factor». Esa puerta cerrada básica es la autenticación de un solo factor. Todo lo que necesitas es esa llave física.

Hay tres tipos básicos de factores utilizados en la autenticación:

  • Algo que sabes, como una contraseña o un PIN recordado.
  • Algo que tienes, como un teléfono inteligente o una llave física de algún tipo.
  • Algo que eres, como tu huella digital o tu cara, que el dispositivo puede escanear para reconocerte.

La autenticación multifactor significa que necesita más de un tipo de factor para entrar. El cajero automático del que hablamos es la autenticación de dos factores: su tarjeta de cajero automático de plástico es un factor, y ese PIN recordado es el segundo factor.

Casi todos los servicios en línea ahora le permiten usar la autenticación multifactor para iniciar sesión también. El primer factor suele ser su nombre de usuario y contraseña. El segundo factor suele ser un código especial de un solo uso enviado a su teléfono inteligente a través de un mensaje de texto. Cualquiera que intente iniciar sesión en su cuenta necesitaría su nombre de usuario y contraseña, pero también tendría que poder recibir ese mensaje de texto especial. Eso hace que sea mucho más difícil para los ladrones entrar.

Otra opción para ese segundo factor puede ser una aplicación de autenticación en su teléfono inteligente, como el Microsoft Authenticator gratuito. La aplicación de autenticación tiene algunas formas diferentes de funcionar, pero la más común es similar al método de mensaje de texto. El autenticador genera el código especial de un solo uso en su teléfono para que lo ingrese. Esto es más rápido y más seguro que un mensaje de texto porque un atacante determinado puede interceptar sus mensajes de texto; pero no pueden interceptar un código generado localmente.

The Microsoft Authenticator app showing several accounts.

En cualquier caso, el código especial cambia cada vez y expira después de un período de tiempo muy corto. Incluso si un atacante descubriera con qué código inició sesión ayer, no le servirá de nada hoy.

¿No es una molestia?

Un concepto erróneo común sobre la autenticación multifactor, o verificación en dos pasos, es que requiere más trabajo para iniciar sesión. En la mayoría de los casos, sin embargo, el segundo factor solo se requiere la primera vez que inicia sesión en una nueva aplicación o dispositivo, o después de haber cambiado su contraseña. Después de eso, el servicio reconoce que está iniciando sesión con su factor principal (nombre de usuario y contraseña) en una aplicación y dispositivo que ha usado antes, y le permite entrar sin requerir el factor adicional.

Sin embargo, si un atacante intenta iniciar sesión en tu cuenta, es probable que no esté usando tu aplicación o dispositivo. Lo más probable es que estén tratando de iniciar sesión desde su dispositivo, en algún lugar lejano, y luego el servicio PEDIRÁ el segundo factor de autenticación, ¡que es casi seguro que no tienen!

Siguiente paso: ¡Activa la autenticación multifactor en cualquier lugar que puedas!

Habilite la autenticación multifactor en su banco, sus cuentas de redes sociales, compras en línea y cualquier otro servicio que lo admita. Algunos servicios pueden llamarlo «verificación de dos pasos» o «inicio de sesión de 2 pasos», pero es básicamente lo mismo.

Por lo general, lo encontrará en la configuración de seguridad de su cuenta.

Los ataques de compromiso de contraseñas son responsables de la mayoría de los hackeos de cuentas exitosos que vemos, y la autenticación multifactor puede derrotarlos a casi todos.

Para obtener más información, consulte Qué es: Autenticación multifactor.

Saluda a Windows Hello

Windows Hello es una forma más segura de iniciar sesión en sus dispositivos Windows 10 o Windows 11. Le ayuda a alejarse del antiguo método de contraseña mediante el uso de reconocimiento facial, una huella digital o un PIN recordado en su lugar.

Nota: Para usar Hello Face, su dispositivo debe tener una cámara compatible con Hello y para usar Hello Fingerprint, su dispositivo debe tener un lector de huellas dactilares compatible con Hello. Si no tiene ninguna de esas cosas, hay cámaras compatibles y lectores de huellas dactilares que puede comprar, o simplemente puede usar Hello PIN.

Hello Face o Hello Fingerprint son tan rápidos y simples como el reconocimiento facial o el lector de huellas dactilares que puede usar en su teléfono inteligente. Cuando llegue al mensaje de inicio de sesión de Windows en lugar de que se le pida que ingrese su contraseña, solo tiene que mirar su cámara o colocar el dedo en el lector de huellas dactilares. Tan pronto como te reconoce, estás dentro. Por lo general, es casi inmediato.

Hello PIN funciona de la misma manera que la mayoría de los sistemas de entrada de PIN. Cuando vayas a iniciar sesión Windows te pedirá tu PIN e iniciará sesión. Lo que hace que Hello PIN sea especial es que cuando lo configuras, asocia el PIN al dispositivo con el que estás iniciando sesión. Eso significa que, al igual que otras formas de autenticación multifactor, si un atacante obtuviera su PIN, solo funcionaría en su dispositivo. No pueden usarlo para iniciar sesión en sus cuentas desde ningún otro dispositivo.

Siguiente paso: Activar Windows Hello

En tus dispositivos Windows 10 o Windows 11, ve a Configuración > Cuentas opciones de inicio de sesión. Allí puede ver qué tipos de Windows Hello puede admitir su dispositivo y configurarlo fácilmente.

Elegir mejores contraseñas

Las únicas personas a las que les gustan las contraseñas son los atacantes. Los buenos pueden ser difíciles de recordar, y las personas tienden a reutilizar las mismas contraseñas una y otra vez. Además, algunas contraseñas son bastante comunes en un gran grupo de personas: «123456» no solo es una contraseña incorrecta, sino que también es una de las más utilizadas. Y no estás engañando a nadie si «iloveyou» es tu contraseña, esa fue la 8ª contraseña más común en 2019.

Con suerte, ha activado la autenticación multifactor y Windows Hello, por lo que ahora no depende tanto de las contraseñas. Pero para aquellos servicios donde una contraseña sigue siendo necesaria, elijamos una buena.

¿Qué hace que una contraseña sea buena?

Para elegir una buena contraseña, es útil conocer un par de las formas en que los atacantes intentan adivinar las contraseñas con mayor frecuencia:

  • Ataques de diccionario: muchas personas usan palabras comunes como «dragón» o «princesa» como contraseña, por lo que los atacantes simplemente probarán todas las palabras de un diccionario. Una variación es probar todas las contraseñas comunes como «123456», «qwerty» y «123qwe».
  • Fuerza bruta: los atacantes pueden probar todas las combinaciones posibles de personajes hasta que encuentren la que funcione. Naturalmente, cada carácter agregado agrega exponencialmente más tiempo, por lo que con la tecnología actual no es práctico para la mayoría de los atacantes probar contraseñas de más de 10 u 11 caracteres. Nuestros datos muestran que muy pocos atacantes intentan contraseñas de fuerza bruta de más de 11 caracteres.

En cualquier caso, el atacante no los está escribiendo a mano, sino que su sistema prueba automáticamente miles de combinaciones por segundo.

Dados ese tipo de ataques sabemos que la longitud es más importante que la complejidad y que nuestra contraseña no debe ser una palabra en inglés. Ni siquiera «cariñosamente», que tiene 14 caracteres. Lo ideal es que nuestra contraseña tenga al menos 12-14 caracteres, con letras mayúsculas y minúsculas, y al menos un número o símbolo.

Siguiente paso: Vamos a crear una buena contraseña

Aquí hay un consejo para crear una contraseña que tenga longitud, complejidad y no sea demasiado difícil de recordar. Elija una cita favorita de una película, una línea de un libro o una letra de una canción y tome la primera letra de cada palabra. Sustituya los números y símbolos cuando sea apropiado para cumplir con los requisitos de contraseña.

Tal vez seas un fanático del béisbol. Las dos primeras líneas de la canción clásica de béisbol «Take me out to the ballgame» son:

Llévame al juego de pelota,

Llévame con la multitud

Tome la primera letra de cada palabra, con una sustitución obvia:

Tmo2tb, Tmowtc

Eso es 13 caracteres de largo, caso mixto, con números y símbolos. Parece bastante aleatorio y sería difícil de adivinar. Puedes hacer lo mismo con cualquier cita, letra o línea si es lo suficientemente larga. Solo tienes que recordar qué cita o letra usaste para esa cuenta y decirte a ti mismo en tu cabeza mientras escribes.

Consejos:

  • Si el sistema en el que está iniciando sesión admite espacios en las contraseñas, debe usarlos.
  • Considere la posibilidad de usar una aplicación de administrador de contraseñas. Un buen administrador de contraseñas puede generar contraseñas largas y aleatorias para usted y recordarlas también. Entonces solo necesita una buena contraseña, o mejor aún, una huella digital o reconocimiento facial, para iniciar sesión en su administrador de contraseñas y el administrador de contraseñas puede hacer el resto. Microsoft Edge puede crear y recordar contraseñas seguras y únicas para usted.

Ahora que tienes una buena contraseña

Hay un par de otros tipos de ataques de contraseña a tener en cuenta:

  • Credenciales reutilizadas: si usa el mismo nombre de usuario y contraseña en su banco y en TailwindToys.com y Tailwind se ve comprometido, esos atacantes tomarán todas las combinaciones de nombre de usuario y contraseña que obtuvieron de Tailwind y las probarán en todos los sitios bancarios y de tarjetas de crédito.Propina: Únase a Cameron mientras aprende los peligros de reutilizar contraseñas en esta breve historia – Cameron aprende sobre la reutilización de contraseñas
  • Phishing: los atacantes pueden intentar llamarlo o enviarle un mensaje, fingiendo ser del sitio o servicio, e intentar engañarlo para que «confirme su contraseña».

No reutilice las contraseñas en varios sitios y tenga mucho cuidado con cualquier persona que se comunique con usted (incluso si parece ser una persona u organización en la que confía) y quiera que les brinde información personal o de cuenta, haga clic en un enlace o abra un archivo adjunto que no esperaba.

¿Es malo escribir tus contraseñas?No necesariamente, siempre y cuando mantenga ese papel en un lugar seguro. Puede ser una mejor idea escribir un recordatorio para su contraseña, en lugar de la contraseña en sí, en caso de que el papel caiga en las manos equivocadas. Por ejemplo, si estuvieras usando el ejemplo «Llévame al juego de pelota» que dimos anteriormente, podrías escribir el nombre de tu equipo de béisbol favorito como un recordatorio de lo que usaste para la contraseña.

DRP plan de recuperacion de desastres

Como emprendedores dentro de un mundo tan cambiante y retador, existe una pregunta latente ¿mi negocio está preparado para lo que sea?

Para tomar acción, existe un táctico que nos ayudará a esto: un DRP, que es un plan de recuperación ante desastres pero, ¿qué es esto? ¿cómo se hace?

Te lo explico paso a paso:

DRP: Disaster Recovery Plan

Un Plan de Recuperación de Desastres (DRP) es la estrategia que se seguirá para restablecer los servicios de TI, conocidos como el Hardware y Software. 

¿Cuándo se utiliza un DRP?

Después de haber sufrido una afectación por:

  • Una catástrofe natural (Huracanes, terremotos, inundaciones, lluvias)
  • Epidemiológica, (influenza H1N1)
  • Falla masiva (apagones de luz, fallas en el edificio, fallas de hardware, daños en modelos on-premise)
  • Daño premeditado,( secuestro de la información, ransomware, hackeos, robo de datos)
  • Ataque de cualquier tipo el cual atente contra la continuidad del negocio.

Siendo honestos, cuando no contamos con un plan de recuperación implementado y tenemos una eventualidad tratamos de recuperarnos a cualquier costo, gastando muchísimo más que el desarrollo del mismo.

Y nosotros como directores, a veces cometemos el error de llevarlo a cabo posterior a un evento que ha dañado el negocio. 

Herramientas para hacer un DRP

Primero, hay que definir con qué cuentas actualmente y cuáles de tus sistemas, información y puestos de trabajo son imprescindibles para operar. Hazlo por prioridades para que te enfoques en reducir tiempos y determinar el RTO y RPO, por lo que yo te recomiendo que consideres lo siguiente:

  • Respaldo de información en un repositorio totalmente ajeno al negocio.
  • Espacio de reserva para operación de aplicaciones totalmente ajeno al negocio.
  • Información crítica replicada diariamente, por horas si es necesario.
  • Habilitar escritorios remotos para personal de la organización.
  • Manual de procedimientos.
  • Control de accesos a todos los elementos mencionados.
DRP.jpg

La solución de recuperación más rápida y segura para eventos de contingencia es el Cloud DRP, que consta de un esquema híbrido pudiendo contar con on premise y en nube, las ventajas que tiene son:

  • Se asegura la continuidad del negocio garantizada por tu proveedor de nube.
  • No está propensa a afectaciones físicas.
  • Es mil veces menos vulnerable a robo.
  • Controlas mejor los accesos a esa información.
  • Solamente se consume lo que se necesita y cuando se necesita reduciendo costos.

 Por último te recomiendo que no dejes fuera los siguientes puntos para elaborarlo, ya que no es una cuestión que debas de tomar a la ligera, imagínate que quede mal, te confíes y cuando se ejecute ¡Sorpresa! La información vital no está actualizada.

 Toma nota:

Aspectos importantes para considerar un DRP

  • Debes contar totalmente con el apoyo de gerencia para poder implementar un plan de recuperación ante desastres.
  • Para realizar un DRP, es necesario recopilar y analizar datos de procesos y tareas, por lo que no se debe de omitir este paso aunque tome tiempo. Lo importante es que tenga la información correcta, actual y precisa.
  • Considera los estándares NIST SP 800-34, ISO/IEC 24762 y BS 25777.
  • Una vez que tengas el plan, verifica con cada una de las unidades de negocio involucradas y el personal del equipo que tenga la información adecuada, y que sea realmente en base a la operación de los usuarios actuales.

Mas informacion cade.com.mx

‎‎CloudKnox Permissions Management ya está en versión preliminar pública‎

‎El pasado mes de julio ‎‎anunciamos la adquisición‎‎ de CloudKnox Security, líder en ‎‎Cloud Infrastructure Entitlement Management (CIEM).‎‎ Como un movimiento importante en nuestra visión de seguridad multinube, hemos hecho un gran progreso en la integración de CloudKnox en nuestra pila de tecnología. Hoy, me complace anunciar la vista previa pública de ‎‎CloudKnox Permissions Management‎‎, una solución CIEM unificada que administra los permisos de cualquier identidad en cualquier nube.‎

‎Como estoy seguro de que ha experimentado, la explosión de identidades y permisos en las nubes ha creado nuevos desafíos de seguridad. Los equipos de TI carecen de visibilidad de las identidades y sus permisos y luchan con el aumento cada vez mayor de los permisos. Estos desafíos requieren una solución integral y unificada para una visibilidad completa y la corrección de riesgos. ‎

‎A continuación se muestra un resumen de cómo CloudKnox Permissions Management monitorea y remedia continuamente sus riesgos de permisos para proteger sus recursos críticos de la nube. Si desea obtener más información sobre CloudKnox Permissions Management, ‎‎visite nuestra documentación.‎

‎Obtenga una visión completa del riesgo de permisos‎

‎CloudKnox Permissions Management ofrece visibilidad detallada de todas las identidades y sus permisos concedidos y permisos utilizados, en toda su infraestructura de nube, para que pueda descubrir cualquier acción realizada por cualquier identidad en cualquier recurso. Esto no se limita solo a las identidades de usuario, sino que también incluye identidades de carga de trabajo como máquinas virtuales, claves de acceso, contenedores y scripts, en los tres proveedores clave de la nube: Amazon Web Services (AWS), Google Cloud Platform (GCP) y Microsoft Azure. El panel le ofrece una visión general del perfil de permisos de su organización para localizar dónde se encuentran las identidades y los recursos más riesgosos en toda su infraestructura. Aprovecha el ‎‎Permission Creep Index‎‎, que es una métrica única que va de cero a 100 que calcula la brecha entre los permisos concedidos y los permisos utilizados. Cuantas más acciones no utilizadas y recursos intactos, mayor será la brecha y el índice.‎

‎Puede identificar fácilmente identidades específicas con un alto índice de fluencia de permisos y ver qué permisos se les otorgan en comparación con lo que usaron, y a qué recursos pueden acceder. Este nivel de visibilidad es necesario para identificar dónde están los mayores riesgos y remediarlos.‎

thumbnail image 1 of blog post titled 
	
	
	 
	
	
	
				
		
			
				
						
							CloudKnox Permissions Management is now in Public Preview

‎Automatice el acceso con privilegios mínimos ‎

‎Una vez que identifique los riesgos de permisos más críticos en toda su infraestructura, CloudKnox Permissions Management le permite ajustar el tamaño correcto de los permisos excesivos y ‎‎automatizar la aplicación de políticas de privilegios mínimos‎‎. La solución analiza continuamente los datos históricos de uso de permisos para cada identidad y puede ajustar el tamaño de los permisos de esa identidad solo a los permisos que se usan para las operaciones diarias. También se pueden eliminar todos los permisos no utilizados y otros permisos riesgosos.‎

‎Para cualquier escenario único o único en el que una identidad necesite realizar un determinado conjunto de acciones en un conjunto de recursos específicos, la identidad puede solicitar ‎‎esos permisos‎‎ a ‎‎petición‎‎ durante un período limitado con un flujo de trabajo de autoservicio. La experiencia del usuario es la misma para cualquier tipo de identidad (humana o no humana), fuente de identidad (local, directorio empresarial o federado) y cualquier nube.‎

La imagen en miniatura 2 de la entrada de blog titulada CloudKnox Permissions Management ahora está en vista previa pública

‎Optimice la detección de anomalías para acelerar la respuesta a incidentes ‎

‎Para evitar el uso indebido de privilegios y una posible violación de datos, ‎‎las alertas de detección de anomalías y valores atípicos impulsadas por el aprendizaje automático‎‎ le notificarán en caso de actividad sospechosa. También puede configurar desencadenadores de alerta personalizados para un conjunto específico de acciones o recursos o cualquier combinación para automatizar la supervisión y realizar la respuesta a incidentes.‎

‎Otra forma en que puede monitorear su infraestructura para admitir una corrección rápida es generando informes forenses personalizados. Por ejemplo, el informe de análisis de permisos generará un resumen de los riesgos de permisos clave en sus entornos de nube. Estos informes se pueden personalizar para un conjunto objetivo de cuentas en la nube y entregarse por correo electrónico a intervalos preconfigurados.‎

La imagen en miniatura 3 de la publicación de blog titulada CloudKnox Permissions Management ahora está en vista previa pública

Siguenos y aprende como proteger tu entorno digital cade.com.mx

‎Generar contraseñas seguras con Microsoft Authenticator‎​

‎¡Me complace anunciar la disponibilidad general de la generación de contraseñas seguras en ‎‎Microsoft Authenticator‎‎! Recibimos toneladas de excelentes comentarios de su parte sobre el Authenticator, que ahora tiene más de 75 millones de usuarios activos y está a punto de convertirse en el método de autenticación más popular para las empresas que usan Azure AD. Esta retroalimentación ha llevado directamente a capacidades geniales como el control de acceso basado en la ubicación, el contexto de autenticación, ver su historial de inicio de sesión directamente en la aplicación y, por supuesto, las capacidades de administración de contraseñas. ‎ 

‎En este blog, Rajat Luthra lo guiará a través de lo último y lo mejor en el Autenticador: la capacidad ‎‎de generar‎‎ ‎‎una contraseña segura y aleatoria para usted‎‎. La forma más común en que las contraseñas se ven comprometidas es probando contraseñas comunes (como «Password123!») contra largas listas de cuentas (llamadas «Password Spray»). Los ataques de tablas y diccionarios rainbow también dependen de palabras y frases comunes en las contraseñas. Las contraseñas fuertes y generadas aleatoriamente interrumpen estos ataques. Como siempre, y como Rajat señala a continuación, la autenticación sin contraseña es lo mejor, y siempre habilite MFA siempre que sea posible. Pero si debe usar una contraseña, las contraseñas seguras y generadas aleatoriamente son las mejores. ¡Aquí está Rajat para decirte cómo el Authenticator puede ayudarte!‎ 

‎Manténgase a salvo, y como siempre, ¡nos encantaría saber de usted! ‎ 

Alex Weinert (Twitter: @Alex_T_Weinert)  

—————-

‎¡Hola a todos! Soy Rajat Luthra, gerente de producto en el equipo de Microsoft Authenticator, ¡y estoy encantado de compartir estas nuevas capacidades con ustedes!‎ 

‎Microsoft Authenticator protege a los usuarios con autenticación sin contraseña, notificaciones push, contraseñas de un solo uso (TOTP) basadas en el tiempo y alertas de seguridad. También ayuda a los usuarios a recordar y autocompletar ‎‎contraseñas‎‎ y ‎‎otra información personal‎‎ para cualquier aplicación o sitio web. Si bien todas las cuentas de Microsoft admiten la autenticación sin contraseña (¡la forma preferida de autenticarse!), Entendemos que no todos los proveedores de identidad lo hacen. Para proteger mejor a los usuarios, Microsoft Authenticator ahora ayuda a generar contraseñas complejas y únicas directamente en la aplicación. Ahora puede generar, sincronizar, almacenar y autocompletar contraseñas para todas sus cuentas en línea (por ejemplo, redes sociales, compras, productividad y juegos) en su dispositivo móvil.‎ 

‎En Android, Authenticator ofrecerá generar una nueva contraseña segura cuando la necesite en una aplicación o un sitio web.‎ 

thumbnail image 1 of blog post titled 
	
	
	 
	
	
	
				
		
			
				
						
							Generate strong passwords with Microsoft Authenticator​

‎En iOS, mientras estás en una aplicación o sitio web, puedes usar el teclado para abrir Authenticator y crear una nueva contraseña segura.‎ 

thumbnail image 2 of blog post titled 
	
	
	 
	
	
	
				
		
			
				
						
							Generate strong passwords with Microsoft Authenticator​

‎Si aún no ha sincronizado sus contraseñas en su dispositivo móvil, todo lo que necesita hacer es abrir Microsoft Authenticator, ir a la pestaña Contraseñas y comenzar a sincronizar sus datos con su ‎‎cuenta Microsoft‎‎. ‎‎ ‎‎Asegúrese de seleccionar Authenticator como su proveedor de autocompletado predeterminado‎‎.‎ 

‎Si usas Google Chrome en tu escritorio, puedes generar contraseñas seguras usando la ‎‎extensión de autocompletar de Microsoft‎‎, ‎‎disponible en la tienda web de Google Chrome‎‎. ‎‎ ‎‎Las contraseñas generadas y guardadas se sincronizarán y autocompletarán en todos los dispositivos que hayan iniciado sesión con la misma ‎‎cuenta de Microsoft‎‎, incluidos los dispositivos móviles con ‎‎ la aplicación ‎‎Microsoft Authenticator‎‎ y el escritorio con ‎‎Microsoft Edge‎‎ y ‎‎Microsoft Autocompl Extension para Google Chrome‎‎.‎ 

thumbnail image 3 of blog post titled 
	
	
	 
	
	
	
				
		
			
				
						
							Generate strong passwords with Microsoft Authenticator​

‎Todas las contraseñas nuevas se generan utilizando un algoritmo de generación de contraseñas de nivel empresarial y tienen aleatoriedad incorporada.‎ 

‎Nota:‎‎ Autocompletar sincroniza los datos con tu ‎‎cuenta personal de Microsoft‎‎. No sincroniza datos con su cuenta profesional o educativa (es decir, Azure Active Directory). Si no ves las pestañas Contraseñas, Pagos o Direcciones en Microsoft Authenticator, es posible que tu organización haya desactivado el autocompletado personal basado en la cuenta Microsoft para sus‎‎ ‎‎usuarios.‎