Ejercicio 2: Descripción del panel de Microsoft Defender for Cloud

Escenario del laboratorio

Eres un analista de operaciones de seguridad que trabaja en una empresa que implementó Microsoft Defender for Cloud. Debes responder a las recomendaciones y alertas de seguridad que ha generado Microsoft Defender for Cloud.

Tarea 1: explorar el cumplimiento normativo

En esta tarea, revisarás la configuración de cumplimiento normativo en Microsoft Defender for Cloud.

  1. Inicia sesión en la máquina virtual WIN1 como administrador con la contraseña: Pa55w.rd.

  2. En el explorador Microsoft Edge, abre Azure Portal en https://portal.azure.com.

  3. En el cuadro de diálogo Iniciar sesión, copia y pega la cuenta Correo electrónico de inquilino que ha facilitado el proveedor de hospedaje de laboratorio y luego selecciona Siguiente.

  4. En el cuadro de diálogo Escribir contraseña, copia y pega la Contraseña de inquilino que ha facilitado el proveedor de hospedaje de laboratorio y luego selecciona Iniciar sesión.

  5. En la barra de búsqueda de Microsoft Azure Portal, escribe Defender, luego selecciona Microsoft Defender for Cloud.

  6. En Seguridad en la nube, selecciona Cumplimiento normativo en los elementos de menú de la izquierda.

  7. Selecciona Administrar estándares de cumplimiento en la barra de herramientas.

  8. Selecciona tu suscripción.

    Sugerencia: selecciona Expandir todo para buscar la suscripción si tienes una jerarquía de grupos de administración.

  9. En Configuración, selecciona Directivas de seguridad en el menú del portal.

  10. Desplázate hacia abajo y revisa los “Estándares de seguridad” disponibles de forma predeterminada.

  11. Utiliza el cuadro de búsqueda para buscar ISO 27001:2013.

  12. Selecciona y mueve el control deslizante Estado a la derecha de ISO 27001:2013 a Activado.

    Nota: algunos estándares requieren asignar una iniciativa de Azure Policy.

  13. Selecciona Actualizar en el menú de la página para confirmar que ISO 27001:2013 está Activado para la suscripción.

  14. A continuación, en la página Directivas de seguridad, en la barra de búsqueda, busca SOC 2 Tipo 2. Selecciona el botón de alternancia para cambiar el estado a Activado

  15. En la hoja Establecer parámetros, escribe los siguientes detalles y selecciona Guardar.

    • Registro o registros permitidos regex: []
    • Máximo de unidades CPU permitidas: 200 m
    • Máximo de bytes de memoria permitidos: 1

  16. Cierra la página Directivas de seguridad seleccionando la “X” en la esquina superior derecha de la página para volver a la configuración del entorno.

  17. Vuelve a Cumplimiento normativo. Para ver los estándares agregados recientemente, selecciona Mostrar todo

    Nota: Los estándares recién agregados pueden tardar hasta dos horas en aparecer en el estándar normativo de cumplimiento más bajo. Pasa al paso siguiente; puedes revisar los estándares más adelante.

Tarea 2: Explorar la protección de cargas de trabajo

En esta tarea, revisarás las protecciones de carga de trabajo.

  1. En el menú de navegación de la izquierda, expande la sección Seguridad en la nube y selecciona Protecciones de carga de trabajo.

  2. En Protecciones de carga de trabajo, puedes ver la cobertura de tus recursos conectados para la suscripción seleccionada actualmente. La cobertura de recursos actual debe estar totalmente cubierta al 100 %, lo que significa una protección completa. Además, también puedes ver las alertas de seguridad recientes, codificadas por gravedad.

  3. A continuación, haz clic en Inventario en la sección General de Microsoft Defender for Cloud. Muestra el número de máquinas virtuales no supervisadas junto con el total de recursos cubiertos: es de esperar que no haya ninguna máquina virtual no supervisada. Los recursos se clasifican según su estado de mantenimiento.

Tarea 3: mitigar alertas de seguridad

En esta tarea, cargarás alertas de seguridad de ejemplo y revisarás los detalles de la alerta.

  1. En General, selecciona Alertas de seguridad en el menú del portal.

  2. En la barra de comandos, selecciona Alertas de ejemplo. Sugerencia: es posible que tenga que seleccionar el botón de puntos suspensivos (…) de la barra de comandos.

  3. En el panel Crear alertas de ejemplo (versión preliminar), asegúrate de que la suscripción esté seleccionada y de que todas las alertas de ejemplo estén seleccionadas en el área Planes de Defender for Cloud.

  4. Seleccione Create sample alerts (Crear alertas de ejemplo).

    Nota: este proceso de creación de alertas de ejemplo puede tardar unos minutos en completarse; espera la notificación “Alertas de ejemplo creadas correctamente”.

  5. Una vez completado, seleccione Actualizar (si es necesario) para ver que las alertas aparecen en el área Alertas de seguridad.

  6. Elija una alerta interesante con una Gravedad alta y realice las siguientes acciones:

    • Active la casilla de alerta y aparecerá el panel de detalles de la alerta. Seleccione View full details (Ver detalles completos).

    • Revisa y lee la pestaña Detalles de alerta.

    • Seleccione la pestaña Realizar acción o desplácese hacia abajo y seleccione el botón Siguiente: realizar acción al final de la página.

    • Revisa la información Realizar acción. Examina las secciones disponibles para tomar medidas en función del tipo de alerta: Inspeccionar el contexto de recursos, Mitigar la amenaza, Evitar ataques futuros, Desencadenar respuesta automatizada y Suprimir alertas similares.

Has completado el laboratorio