Ref. Examen SC-900 Fundamentos de Seguridad, Cumplimiento e Identidad de Microsoft

Acerca de este libro electrónico
ePUB es un formato abierto estándar de la industria para libros electrónicos. Sin

embargo, la compatibilidad con ePUB y sus numerosas funciones varía según los
dispositivos de lectura y las aplicaciones. Use la configuración de su dispositivo o
aplicación para personalizar la presentación a su gusto. Las configuraciones que puede
personalizar a menudo incluyen fuente, tamaño de fuente, columna simple o doble, modo
horizontal o vertical, y figuras en las que puede hacer clic o tocar para ampliar. Para
obtener información adicional sobre la configuración y las funciones de su dispositivo o
aplicación de lectura, visite el sitio web del fabricante del dispositivo.
Muchos títulos incluyen código de programación o ejemplos de configuración. Para

optimizar la presentación de estos elementos, vea el libro electrónico en modo horizontal de
una sola columna y ajuste el tamaño de fuente al mínimo. Además de presentar el código y
las configuraciones en formato de texto ajustable, hemos incluido imágenes del código que
imitan la presentación que se encuentra en el libro impreso; por lo tanto, cuando el formato
ajustable pueda comprometer la presentación de la lista de códigos, verá un enlace "Haga
clic aquí para ver la imagen del código". Haga clic en el enlace para ver la imagen del
código de fidelidad de impresión. Para volver a la página anterior, haga clic en el botón
Atrás en su dispositivo o aplicación.
Ref. examen SC-900 Fundamentos de seguridad, cumplimiento e

identidad de Microsoft
Yuri Diógenes
Nicolás Di Cola
kevin mckinnerney
Marcos Morowczynski
Ref. examen SC-900 Fundamentos de seguridad, cumplimiento e identidad de Microsoft
Publicado con la autorización de Microsoft Corporation por:
Pearson Educación, Inc.
Copyright © 2022 por Pearson Education, Inc.
Reservados todos los derechos. Esta publicación está protegida por derechos de autor y se
debe obtener el permiso del editor antes de cualquier reproducción, almacenamiento en un
sistema de recuperación o transmisión prohibida en cualquier forma o por cualquier medio,
ya sea electrónico, mecánico, fotocopiado, grabación o similar. Para obtener información
sobre permisos, formularios de solicitud y los contactos apropiados dentro del
Departamento de Permisos y Derechos Globales de Pearson Education,
visite www.pearson.com/permissions .
No se asume ninguna responsabilidad de patente con respecto al uso de la información

contenida en este documento. Aunque se han tomado todas las precauciones en la
preparación de este libro, el editor y el autor no asumen ninguna responsabilidad por
errores u omisiones. Tampoco se asume ninguna responsabilidad por los daños que resulten
del uso de la información aquí contenida.
ISBN-13: 978-0-13-756810-9
ISBN-10: 0-13-756810-X
Número de control de la Biblioteca del Congreso: 2021946889
ScoutAutomatedPrintCode
MARCAS
Microsoft y las marcas comerciales enumeradas en http://www.microsoft.com en la página

web "Marcas comerciales" son marcas comerciales del grupo de empresas Microsoft. Todas
las demás marcas son propiedad de sus respectivos dueños.
ADVERTENCIA Y DESCARGO DE RESPONSABILIDAD
Se ha hecho todo lo posible para que este libro sea lo más completo y preciso posible, pero
no se implica ninguna garantía o idoneidad. La información proporcionada es "tal cual". El
autor, el editor y Microsoft Corporation no tendrán obligación ni responsabilidad ante
ninguna persona o entidad con respecto a cualquier pérdida o daño que surja de la
información contenida en este libro o del uso de los programas que lo acompañan.
VENTAS ESPECIALES
Para obtener información sobre la compra de este título en grandes cantidades o para
oportunidades de ventas especiales (que pueden incluir versiones electrónicas, diseños de
portada personalizados y contenido específico para su negocio, objetivos de capacitación,
enfoque de marketing o intereses de marca), comuníquese con nuestro departamento de
ventas corporativas. en [email protected] o (800) 382-3419.
Para consultas de ventas gubernamentales, comuníquese

con [email protected] .
Si tiene preguntas sobre las ventas fuera de los EE. UU., comuníquese
con [email protected] .
CRÉDITOS
EDITOR EN JEFE
Brett Bartow
EDITOR EJECUTIVO
Loretta Yates
REDACTOR DE DESARROLLO
Rick Kughen
EDITOR PATROCINADOR
Charvi Arora
JEFE DE REDACCIÓN
Sandra Schroeder
EDITOR DE PROYECTOS SÉNIOR
Tracey Croom
EDITOR DE COPIA
Rick Kughen
INDEXADOR
Ken Johnson
CORRECTOR DE PRUEBAS
abigail manheim
REDACTOR TÉCNICO
Marcos Simos
EDITORIAL ASSISTANT
Cindy se tambalea
DISEÑADOR DE LA PORTADA
Torsión creativa, Seattle
COMPOSITOR
códigoMantra
Compromiso de Pearson con la diversidad, la equidad y

la inclusión
Pearson se dedica a crear contenido libre de prejuicios que refleje la diversidad de todos los
estudiantes. Aceptamos las muchas dimensiones de la diversidad, incluidas, entre otras, la
raza, el origen étnico, el género, el nivel socioeconómico, la capacidad, la edad, la
orientación sexual y las creencias religiosas o políticas.
La educación es una fuerza poderosa para la equidad y el cambio en nuestro mundo. Tiene
el potencial de brindar oportunidades que mejoran vidas y permiten la movilidad
económica. A medida que trabajamos con autores para crear contenido para cada producto
y servicio, reconocemos nuestra responsabilidad de demostrar inclusión e incorporar
estudios diversos para que todos puedan alcanzar su potencial a través del
aprendizaje. Como empresa de aprendizaje líder en el mundo, tenemos el deber de ayudar a
impulsar el cambio y estar a la altura de nuestro propósito de ayudar a más personas a crear
una vida mejor para sí mismos y crear un mundo mejor.
Nuestra ambición es contribuir decididamente a un mundo donde:
 Todos tienen una oportunidad equitativa y de por vida de tener éxito a través
del aprendizaje.
 Nuestros productos y servicios educativos son inclusivos y representan la
rica diversidad de estudiantes.
 Nuestro contenido educativo refleja con precisión las historias y
experiencias de los estudiantes a los que servimos.
 Nuestro contenido educativo genera debates más profundos con los alumnos
y los motiva a expandir su propio aprendizaje (y visión del mundo).
Si bien trabajamos arduamente para presentar contenido imparcial, queremos escuchar sus
inquietudes o necesidades con respecto a este producto de Pearson para que podamos
investigarlas y abordarlas.
 Comuníquese con nosotros si tiene inquietudes sobre cualquier posible sesgo

en https://www.pearson.com/report-bias.html .
Contenido de un vistazo
Expresiones de gratitud
Sobre los autores
Introducción
CAPÍTULO 1 Describir los conceptos de seguridad, cumplimiento e identidad
CAPÍTULO 2 Soluciones de administración de acceso e identidad de Microsoft
CAPÍTULO 3 Capacidades de las soluciones de seguridad de Microsoft
CAPÍTULO 4 Describir las capacidades de las soluciones de cumplimiento de Microsoft
Índice
Contenido
Introducción
Organización de este libro
preparándose para el examen
certificación microsoft
Errata, actualizaciones y soporte de libros
Mantente en contacto
Capítulo 1 Describir los conceptos de seguridad, cumplimiento e identidad
Habilidad 1-1: Conceptos y metodologías de seguridad y cumplimiento
Metodología de confianza cero
modelo de responsabilidad compartida
Defensa en profundidad
Amenazas comunes
Cifrado
Marco de adopción de la nube
Habilidad 1-2: Conceptos de identidad
La identidad como principal perímetro de seguridad
¿Qué es la autenticación?
que es autorizacion
¿Qué es el Directorio Activo?
¿Qué son los servicios de federación y los proveedores de identidad?
Ataques de identidad comunes
Experimento mental
Respuestas del experimento mental
Resumen del capítulo
Capítulo 2 Soluciones de administración de acceso e identidad de Microsoft
Habilidad 2-1: Definir los servicios básicos de identidad y los tipos de identidad de Azure AD
Describir qué es Azure Active Directory
Describir qué es la identidad híbrida
Describir las identidades de Azure AD (usuarios, dispositivos, grupos y

principales/aplicaciones de servicio)
Describir los diferentes tipos de identidad externa (usuarios invitados)
Habilidad 2-2: Describir las capacidades de autenticación de Azure AD
Describir los diferentes métodos de autenticación.
Describir las capacidades de administración y protección de contraseñas
Describir el restablecimiento de contraseña de autoservicio
Describir la autenticación multifactor
Describir Windows Hello para empresas y credenciales sin contraseña
Habilidad 2-3: Describir las capacidades de administración de acceso de Azure AD
Describir qué es el acceso condicional
Describir los usos y beneficios del acceso condicional
Describir los beneficios de los roles de Azure AD
Habilidad 2-4: Describir las capacidades de gobierno y protección de identidad de Azure AD
Describir qué es el gobierno de la identidad
Describir qué son la administración de derechos y las revisiones de acceso
Describir las capacidades de PIM
Describir la protección de identidad de Azure AD

Experimento mental
Capítulo 3 Capacidades de las soluciones de seguridad de Microsoft
Habilidad 3-1: Capacidades básicas de seguridad en Azure
Grupos de seguridad de red de Azure
Protección contra DDoS de Azure
cortafuegos azul
Bastión azur
Cortafuegos de aplicaciones web
Cifrado de datos en Azure
Habilidad 3-2: Capacidades de administración de seguridad en Azure
Microsoft defender para la nube
Puntaje seguro de Azure
Protección de cargas de trabajo en la nube con Defender para planes en la nube
Capacidades de gestión de la postura de seguridad en la nube
Líneas base de seguridad para Azure
Habilidad 3-3: Capacidades de seguridad en Microsoft Sentinel
¿Qué es la gestión de eventos e información de seguridad (SIEM)?
¿Qué es la orquestación, automatización y respuesta de seguridad (SOAR)?
¿Qué es la detección y respuesta extendidas (XDR)?
Centinela de Microsoft
Habilidad 3-4: Protección contra amenazas con Microsoft 365 Defender

Describir los servicios de Microsoft 365 Defender
Describir Microsoft Defender para identidad
Describir Microsoft Defender para Office 365
Describir Microsoft Defender para Endpoint
Describir la seguridad de aplicaciones en la nube de Microsoft
Habilidad 3-5: Capacidades de administración de seguridad de Microsoft 365
Describir el Centro de seguridad de Microsoft 365
Describir cómo usar Microsoft Secure Score
Explore los informes y paneles de seguridad
Describir los incidentes y las capacidades de gestión de incidentes.
Habilidad 3-6: Seguridad de punto final con Microsoft Intune
¿Qué es Intune?
Seguridad de punto final con Intune y el centro de administración de Microsoft Endpoint

Manager
Experimento mental
Capítulo 4 Describir las capacidades de las soluciones de cumplimiento de Microsoft
Habilidad 4-1: Necesidades comunes de cumplimiento
Centro de cumplimiento de Microsoft
Administrador de cumplimiento de Microsoft
Puntuación de cumplimiento
Habilidad 4-2: Protección y gobierno de la información
Capacidades de clasificación de datos

Explorador de contenido y Explorador de actividades
Etiquetas de sensibilidad
Políticas y etiquetas de retención
Gestión de registros
Prevención de pérdida de datos
Habilidad 4-3: Riesgo interno
Gestión de riesgos internos
Cumplimiento de las comunicaciones
Barreras de información
Gestión de acceso privilegiado
Caja de seguridad del cliente
Habilidad 4-4: eDiscovery
Descubrimiento electrónico de Microsoft 365
Búsqueda de contenido
Flujo de trabajo principal de eDiscovery
Flujo de trabajo avanzado de eDiscovery
Habilidad 4-5: Auditoría
Capacidades de auditoría de Microsoft 365
Auditoría Avanzada
Habilidad 4-6: Gobernanza de recursos
Bloqueos de recursos de Azure
Planos de Azure
Política de Azure
Experimento mental
Índice
Expresiones de gratitud
Los autores desean agradecer a Loretta Yates ya todo el equipo de Microsoft Press/Pearson
por su apoyo en este proyecto ya Mark Simos por revisar el libro.
YURI también quisiera agradecer: Mi esposa e hijas por su apoyo incondicional; mi gran
Dios por darme fuerzas y guiar mi camino en cada paso del camino; mis grandes amigos y
coautores Nicholas DiCola, Kevin McKinnerney y Mark Morowczynski por esta increíble
asociación. Mi gerente Rebecca por alentarme siempre a lograr más y estirarme al siguiente
nivel. Gracias al apoyo de nuestro equipo de aprendizaje, especialmente a Cecilia Pérez-
Benitoa por su contribución a este proyecto. Por último, pero no menos importante, gracias
a mis padres por trabajar arduamente para brindarme una educación, que es la base que
utilizo todos los días para seguir avanzando en mi carrera.
NICHOLAS quisiera agradecer a: Mi esposa y mis tres hijos por apoyarme mientras
trabajaba en este libro y mis coautores y amigos, Yuri, Kevin y Mark, por su arduo trabajo
en este libro. También me gustaría agradecer a nuestros equipos de ingeniería y revisores
técnicos por su apoyo durante la producción de este libro.
KEVIN quisiera agradecer: Mi esposa e hija por estar siempre conmigo y apoyarme en
todo lo que hago; a mis padres por su amor y apoyo a lo largo de mi vida y por mostrarme
que puedo lograr cualquier cosa que me proponga; y a mis coautores Yuri, Nick y Mark por
invitarme a este viaje. También me gustaría agradecer a todos mis compañeros de equipo
de CXE de protección de la información por su conocimiento y tutoría a lo largo de los
años. No estaría aquí hoy sin la ayuda que me ha brindado.
MARK quisiera agradecer a: Mis padres por ser los padres más amorosos que alguien
podría haber pedido. No estaría donde estoy hoy sin ellos. También me gustaría agradecer a
mi abuela, a quien he tenido mucha suerte de tener en mi vida por muchas razones para
nombrarlas. Gracias a mi hermano, que siempre está en mi esquina y el mejor codirector de
béisbol de fantasía. Gracias a mi novia, que me escuchó quejarme durante todo el proceso
de escritura y me apoyó mucho más de lo que yo hubiera sido. Gracias a todos mis
compañeros de trabajo a lo largo de los años que han dedicado tiempo para ayudarme a
mejorar en mi carrera. Nunca podré agradecerles a todos lo suficiente; y tengo la esperanza
de que este libro ayude a nuestros lectores, aunque sea por una fracción de la cantidad que
todos ustedes me han ayudado.
Sobre los autores
YURI DIÓGENES, MSC
Yuri tiene una maestría en ciencias en inteligencia de ciberseguridad e investigación

forense (Utica College) y es el administrador principal del programa CxE Defender for
Cloud de Microsoft, donde principalmente ayuda a los clientes a incorporar e implementar
Microsoft Defender for Cloud como parte de sus operaciones de seguridad/respuesta a
incidentes. . Yuri ha estado trabajando para Microsoft desde 2006 en diferentes puestos,
incluidos cinco años como ingeniero senior de escalamiento de soporte para el equipo de
CSS Forefront Edge, y de 2011 a 2017 para el equipo de desarrollo de contenido, donde
también ayudó a crear la experiencia de contenido de Azure Security Center desde su
lanzamiento en GA en 2016. Yuri ha publicado un total de 26 libros, en su mayoría sobre
seguridad de la información y tecnologías de Microsoft. Yuri también tiene un MBA y
muchas certificaciones de la industria de seguridad/TI, como CISSP, E|CND, E|CEH,
E|CSA, E|CHFI, CompTIA Security+, CySA+, Cloud Essentials Certified, Mobility+,
Network+, CASP, CyberSec First Responder, MCSE y MCTS. Puedes seguir a Yuri en
Twitter en @yuridiogenes.
Nicolás Dicola
Nicholas es director asociado en Microsoft en el equipo de ingeniería de experiencia del

cliente (CxE) de seguridad en la nube, donde dirige este equipo global que ayuda a los
clientes con las implementaciones de productos de seguridad de Azure. Tiene una maestría
en administración de empresas con concentración en sistemas de información y varias
certificaciones de la industria como CISSP y CEH. Puede seguir a Nicholas en Twitter en
@mastersecjedi.
KEVIN MCKINNERNEY
Kevin es gerente sénior de programas y líder técnico en el equipo de ingeniería de

experiencia del cliente (CxE) de protección de la información de Microsoft, donde brinda
mejores prácticas y orientación de implementación para ayudar a los clientes a incorporar
rápidamente los productos de protección de la información de Microsoft y Azure
Purview. Kevin ha estado trabajando en Microsoft desde 2011 en varios roles, incluido el
de ingeniero senior de escalamiento de soporte en el equipo de seguridad de CSS de
Microsoft y como ingeniero de campo senior senior, centrándose en la seguridad y
protección de la información de Microsoft. Kevin es autor de docenas de blogs y videos
relacionados con la protección de la información y ha hablado en muchas conferencias
técnicas, incluidas RSAC, Microsoft Ignite, Microsoft MVP Summits y el Consejo Asesor
de Ingeniería de Seguridad de Microsoft. Antes de comenzar en Microsoft, trabajó para
IBM como gerente de soporte de Microsoft y pasó ocho años como técnico de sistemas de
información mientras estaba en servicio activo en la Marina de los Estados Unidos. Kevin
recibió una licenciatura en administración de empresas de la Universidad de Phoenix y
posee muchas certificaciones, incluidas CISSP y GCIH. Puede seguir a Kevin en Twitter
@KemckinnMSFT y GitHub (https://github.com/kemckinnmsft ).
Marcos Morowczynski
Mark Morowczynski (@markmorow) es gerente principal de programas en el equipo de

éxito del cliente en la división de Identidad de Microsoft. Pasa la mayor parte de su tiempo
trabajando con los clientes en sus implementaciones de Azure Active
Directory. Anteriormente, fue un ingeniero de campo de primer nivel que respaldaba el
rendimiento de Active Directory, Active Directory Federation Services y Windows
Client. También fue uno de los fundadores del blog AskPFEPlat. Ha hablado en varios
eventos de la industria, como Black Hat 2019, Defcon Blue Team Village, GrayHat, varios
BSides, Microsoft Ignite, Microsoft Inspire, Microsoft MVP Summits, The Experts
Conference (TEC), The Cloud Identity Summit, SANs Security Summits y TechMentor.
. Se le puede encontrar con frecuencia en Twitter como @markmorow, donde discute sobre
béisbol y, a veces, hace gifs divertidos.
Introducción
El examen SC-900 está dirigido a aquellos que buscan familiarizarse con los fundamentos
de la seguridad, el cumplimiento y la identidad (SCI) en los servicios de Microsoft basados
en la nube y relacionados. Este examen está dirigido a una amplia audiencia que incluye
partes interesadas del negocio, profesionales de TI nuevos o existentes, o estudiantes
interesados en las soluciones de seguridad, cumplimiento e identidad de Microsoft. Este
examen cubre temas como Microsoft Azure y Microsoft 365 y requiere que comprenda
cómo las soluciones de seguridad, cumplimiento e identidad de Microsoft pueden abarcar
estas áreas para proporcionar una solución holística e integral. Este libro cubre todas las
áreas temáticas principales que se encuentran en el examen, pero no cubre todas las
preguntas del examen. Solo el equipo de examen de Microsoft tiene acceso a las preguntas
del examen, y Microsoft agrega regularmente nuevas preguntas al examen, lo que hace
imposible cubrir preguntas específicas. Debe considerar este libro como un complemento a
su experiencia relevante del mundo real y otros materiales de estudio. Si encuentra un tema
en este libro con el que no se siente completamente cómodo, use la opción "¿Necesita más
revisión?" enlaces que encontrarás en el texto para encontrar más información. Asegúrese
de investigar y estudiar estos temas. Gran información está disponible
endocs.microsoft.com , MS Learn y en blogs y foros.
Organización de este libro
Este libro está organizado por la lista de "Habilidades medidas" publicada para el
examen. La lista de "Habilidades medidas" está disponible para cada examen en el sitio
web de Microsoft Learning: http://aka.ms/examlist . Cada capítulo de este libro
corresponde a un área temática principal de la lista, y las tareas técnicas de cada área
temática determinan la organización de ese capítulo. Si un examen cubre seis áreas
temáticas principales, por ejemplo, el libro contendrá seis capítulos.
preparándose para el examen
Los exámenes de certificación de Microsoft son una excelente manera de crear su

currículum y dar a conocer al mundo su nivel de experiencia. Los exámenes de
certificación validan su experiencia en el trabajo y su conocimiento del producto. Aunque
no hay sustituto para la experiencia en el trabajo, la preparación a través del estudio y la
práctica pueden ayudarlo a prepararse para el examen. Este libro no está diseñado para
enseñarle nuevas habilidades.
Le recomendamos que aumente su plan de preparación para el examen mediante el uso

de una combinación de materiales de estudio y cursos disponibles. Por ejemplo, puede usar
la referencia del examen y otra guía de estudio para su preparación "en casa" y tomar un
curso del plan de estudios oficial de Microsoft para la experiencia en el aula. Elige la
combinación que creas que funciona mejor para ti. Obtenga más información sobre la
capacitación presencial disponible y encuentre cursos gratuitos en línea y eventos en
vivoen http://microsoft.com/learn . Las pruebas de práctica oficiales de Microsoft están
disponibles para muchos exámenes en http://aka.ms/practicetests .
Tenga en cuenta que esta referencia de examen se basa en información disponible

públicamente sobre el examen y la experiencia de los autores. Para salvaguardar la
integridad del examen, los autores no tienen acceso al examen en vivo.
certificación microsoft
Las certificaciones de Microsoft lo distinguen al demostrar su dominio de un amplio

conjunto de habilidades y experiencia con los productos y tecnologías actuales de
Microsoft. Los exámenes y las certificaciones correspondientes se desarrollan para validar
su dominio de las competencias críticas a medida que diseña y desarrolla o implementa y
respalda soluciones con productos y tecnologías de Microsoft, tanto en las instalaciones
como en la nube. La certificación trae una variedad de beneficios para el individuo y para
los empleadores y organizaciones.
MÁS INFORMACIÓN TODAS LAS CERTIFICACIONES DE MICROSOFT

Para obtener información sobre las certificaciones de Microsoft, incluida una lista completa
de las certificaciones disponibles, visite http://www.microsoft.com/learn .
¡Vuelve a menudo para ver qué hay de nuevo!
Errata, actualizaciones y soporte de libros
Hemos hecho todo lo posible para garantizar la precisión de este libro y el contenido que lo
acompaña. Puede acceder a las actualizaciones de este libro, en forma de una lista de
erratas enviadas y sus correcciones relacionadas, en:
MicrosoftPressStore.com/ExamRefSC900/errata
Si descubre un error que no figura en la lista, envíenoslo en la misma página.
Para obtener soporte e información adicional sobre libros,

visite MicrosoftPressStore.com/Support .
Tenga en cuenta que el soporte de productos para software y hardware de Microsoft no

se ofrece a través de las direcciones anteriores. Para obtener ayuda con el software o el
hardware de Microsoft, vaya a http://support.microsoft.com .
Mantente en contacto
¡Sigamos con la conversación! Estamos en Twitter: http://twitter.com/MicrosoftPress .

Capítulo 1
Describir los conceptos de seguridad, cumplimiento e
identidad.
Desarrollar un conocimiento fundamental de los principios clave aplicables a la seguridad,
el cumplimiento y la identificación es imperativo para cualquier profesional que necesite
trabajar con soluciones de Microsoft dirigidas a cada uno de esos dominios. Algunos
principios se aplicarán a los tres dominios y algunos serán más específicos para uno o más
dominios individuales. La confianza cero es un gran ejemplo de una metodología que debe
extenderse a todo el estado digital de su empresa y servir como una filosofía de seguridad
integrada y una estrategia de extremo a extremo.
Habilidades cubiertas en este capítulo:
 Tecnologías de seguridad
 Conceptos de seguridad
 Principios de seguridad y cumplimiento de Microsoft
Habilidad 1-1: Conceptos y metodologías de seguridad y cumplimiento
Las metodologías de seguridad son importantes para ayudar a las organizaciones a

adaptarse a la complejidad de los entornos modernos mientras adoptan una fuerza de
trabajo móvil y protegen a las personas, los dispositivos, los datos y las
aplicaciones. También es imperativo revisar algunas metodologías de seguridad de larga
data que se establecieron hace mucho tiempo. La computación en la nube ha cambiado
fundamentalmente el panorama, por lo que nuestras metodologías de seguridad también
deben cambiar.
Esta sección del capítulo cubre las habilidades necesarias para definir las metodologías
de seguridad de acuerdo con el esquema del examen SC-900.
Metodología de confianza cero
En estos días, con los usuarios trabajando en diferentes dispositivos desde cualquier
ubicación y accediendo a aplicaciones a través de diferentes servicios en la nube, es
fundamental mantener seguras las identidades de los usuarios. La vieja suposición de
seguridad de que todo en la red corporativa detrás del firewall se considera confiable ya no
es correcta. Con la adopción de la nube, la identidad se convierte en el nuevo perímetro,
elplano de control preferido para toda su infraestructura, independientemente de la
ubicación: local o en la nube. Utiliza la identidad del usuario para controlar el acceso a
cualquier servicio desde cualquier dispositivo y obtener visibilidad e información sobre
cómo se utilizan sus datos.
Zero Trust describe un enfoque de seguridad y una mentalidad que cambia las defensas
de seguridad de perímetros estáticos basados en redes a protecciones dinámicas centradas
en usuarios, activos y recursos. Además, como su nombre lo indica, comienzas por no
confiar en nada y siempre verificas la confiabilidad explícitamente. Los principios rectores
de la metodología de confianza cero son los siguientes:
 Verificar siempre Asegúrese de autenticar y autorizar siempre el acceso en

función de todos los elementos disponibles, que pueden incluir la identidad, la
ubicación, el estado del dispositivo, la clasificación de datos, el servicio o la carga
de trabajo de un usuario.
 Utilice el acceso con privilegios mínimos Siempre que sea posible, utilice
el acceso justo a tiempo (JIT) y el acceso suficiente (JEA) para garantizar una mejor
protección de los datos.
 Asumir incumplimiento Si siempre asume que un atacante ha obtenido
cierto acceso al entorno, puede crear mejores controles de seguridad para cada
componente del sistema. Este principio le permite prevenir incidentes y responder
rápidamente a ellos.
CONSEJO DE EXAMEN
Asegúrese de recordar esos principios rectores porque existe una alta probabilidad de que
se le pregunte sobre ellos en el examen SC-900.
Microsoft sugiere la implementación de controles y tecnologías de confianza cero en

seis elementos fundamentales, que se representan en la Figura 1-1 .
FIGURA 1-1 Confianza cero en toda la empresa
Cada uno de esos elementos tendrá consideraciones generales de diseño que deben
abordarse, así como requisitos únicos desde la perspectiva de la organización. Al mismo
tiempo, cada elemento tiene sus mejores prácticas de seguridad básicas que deben
aplicarse. La siguiente lista proporciona más detalles sobre estos elementos:
 Identidad Cuando una identidad intenta acceder a un recurso, es importante

asegurarse de que el riesgo de que un atacante controle la cuenta sea bajo. El nivel
de riesgo de identidad de una sesión puede variar según la fuerza de la autenticación
y la similitud de los atributos y las señales con el comportamiento normal esperado
de la cuenta.
 Endpoint Asegúrese de monitorear y hacer cumplir el estado y el
cumplimiento del dispositivo antes de otorgar acceso a los recursos a los usuarios en
ese dispositivo.
 Datos Los datos son el valor de almacenamiento principal que debe
protegerse, lo que significa que el sistema de seguridad debe comprender su valor
(utilizando etiquetas de clasificación) y aplicar las políticas de seguridad adecuadas,
que aplican el nivel adecuado de seguridad donde van.
 Aplicaciones Las aplicaciones permiten que las personas y los sistemas
accedan a los datos y generan valor empresarial que debe protegerse. Debe aplicar
controles y tecnologías para descubrir todas sus aplicaciones (incluida la TI en la
sombra); establecer las políticas de acceso adecuadas; asegurarse de que se apliquen
los controles y configuraciones apropiados a las aplicaciones (incluido el modelo de
acceso); permitir o denegar el acceso en función de datos y análisis en tiempo
real; monitorear cualquier comportamiento anormal; y asegúrese de responder
rápidamente a los ataques a las aplicaciones para limitar el tiempo que los atacantes
tienen acceso a ellas.
 Infraestructura Independientemente de la ubicación de su infraestructura
(local, en la nube o híbrida), asegúrese de tener una buena higiene de seguridad
(parches de seguridad, configuraciones seguras, etc.) y de detectar ataques y
anomalías utilizando toda la telemetría disponible. Bloquee y marque
automáticamente comportamientos de riesgo y tome medidas de protección.
 Red La red proporciona conectividad y control de acceso, por lo que debe
estar estrechamente alineada con una estrategia empresarial general de control de
acceso que también incluya controles de identidad. Proporcionar redes privadas para
las aplicaciones existentes que protegen contra el tráfico de Internet no solicitado
(como la segmentación de la red) sigue siendo una buena práctica. Sin embargo,
también puede aplicar una microsegmentación más granular para proteger aún más
las cargas de trabajo de los ataques a la red privada. La migración de cargas de
trabajo a la nube es el momento ideal para mejorar su protección contra amenazas
en tiempo real, cifrado de extremo a extremo, monitoreo y análisis en todas las
redes.
La visión de confianza cero de Microsoft también incluye una visibilidad completa de

todos esos elementos en una interfaz integrada. Con cada una de estas áreas individuales
generando sus propias alertas relevantes, necesitamos una capacidad integrada para
administrar la afluencia de datos resultante para defenderse mejor contra las amenazas y
validar la confianza en una transacción. También es importante culminar la integración de
esos elementos con automatización y orquestación para facilitar tanto la implementación
como el tiempo de respuesta ante incidentes.
Para asegurarse de tener todo eso en su lugar, necesita gobernanza, lo que le dará más
visibilidad y gestión de políticas. La confianza cero le permite automatizar la aplicación de
políticas de seguridad, lo que garantiza decisiones y configuraciones de acceso compatibles
en todo eltoda la empresa. Las políticas de acceso se deben usar para decidir de manera
consistente si permitir el acceso, denegar el acceso o administrar dinámicamente el riesgo
en tiempo real solicitando desafíos de autenticación adicionales (como la autenticación
multifactor) o aplicando restricciones de acceso a la sesión. La Figura 1-2 muestra un
ejemplo de cómo se ve esta arquitectura de alto nivel.
FIGURA 1-2 Implementación de confianza cero
Observe en la Figura 1-2 que la política de seguridad permite a los usuarios y

dispositivos tener una experiencia segura y sin inconvenientes al acceder a los datos
directamente o desde una aplicación. También es importante destacar la visibilidad de las
operaciones de seguridad con el uso de Microsoft Sentinel como sistema de gestión de
eventos e información de seguridad (SIEM) para consolidar todos los eventos y alertas que
se desencadenaron en diferentes servicios. El uso de una plataforma SIEM moderna como
Microsoft Sentinel es imperativo para la confianza cero porque SIEM depende en gran
medida de la integración de señales y soluciones para tener éxito.
También es muy importante comprender que no todas las organizaciones tienen el

mismo nivel de madurez para implementar la confianza cero en todos los segmentos y
utilizar las últimas y mejores tecnologías. Cuando evalúa un escenario, debe considerar el
nivel de madurez de la organización al planificar qué pasos tomar primero. Usemos las
siguientes empresas como ejemplo:
 Escenario actual de Contoso:

 Identidad local con un nivel parcial de inicio de sesión único (SSO).
 El departamento de TI tiene una visibilidad limitada de las diferentes
cargas de trabajo y el estado de salud del dispositivo.
 Infraestructura de red plana.
 El escenario actual de Fabrikam:
 Identidad híbrida (nube integrada e identidades locales).
 Políticas implementadas para otorgar acceso a datos, aplicaciones y
redes.
 Redes segmentadas.
 Fabrikam ha comenzado a utilizar análisis para comprender mejor el
comportamiento de los usuarios e identificar amenazas.
Estas dos organizaciones se encuentran en diferentes etapas de sus viajes. Contoso tiene
capacidades tradicionales básicas que dependen en gran medida de los recursos
locales. Fabrikam tiene una madurez más avanzada y ya comenzó a usar una identidad y
análisis híbridos modernos.
Al planificar la implementación de confianza cero para ambas organizaciones, verá que

debe comenzar con lo que tienen y seguir adelante con eso. Un objetivo razonable es hacer
que Contoso se parezca más a Fabrikam. El objetivo de Fabrikam debe establecerse en un
modelo de madurez más óptimo, como implementar la autenticación sin contraseña y
determinar el riesgo con análisis de comportamiento en tiempo real.
MÁS INFORMACIÓN DETALLES DE IMPLEMENTACIÓN POR

SEGMENTO
El examen SC-900 no entra en detalles de implementación para cada uno de esos
segmentos, pero puede usar los siguientes recursos para obtener más información sobre
ellos:
 Identidad http://aka.ms/ZTIdentity
 Puntos finales http://aka.ms/ZTEndpoints
 Aplicaciones http://aka.ms/ZTApplications
 Datos http://aka.ms/ZTData
 Infraestructura http://aka.ms/ZTInfrastructure
 Redes http://aka.ms/ZTNetwork
modelo de responsabilidad compartida
En un centro de datos tradicional, la organización de TI es responsable de toda la

infraestructura (excepto las redes que conectan diferentes sitios físicos). Así es como ha
funcionado la informática local desde el comienzo de la informática cliente/servidor
moderna (e incluso antes de eso en la era del mainframe). Si había algún problema con la
red, el almacenamiento o la infraestructura informática, la organización de TI era
responsable de averiguar cuál era el problema y solucionarlo.
Lo mismo ocurrió con la organización de seguridad. La organización de seguridad

trabajó con la organización de TI para garantizar que todos los componentes de la
infraestructura de TI estuvieran seguros. La organización de seguridad corporativa
estableció los requisitos, los racionalizó con la organización corporativa de TI y luego
definió los controles que podría implementar la infraestructura de TI y el personal de
operaciones. La organización de seguridad también definiría los requisitos de cumplimiento
y sería responsable de auditar la infraestructura para asegurarse de que esos requisitos se
cumplieran de manera continua.
Todo esto sigue siendo cierto para los centros de datos locales de su propiedad. Sin
embargo, con la introducción de la computación en la nube pública, las organizaciones de
TI y seguridad tenían un nuevo socio: el proveedor de servicios en la nube (CSP). El CSP
tiene su propia infraestructura de TI y es responsable de los requisitos y controles de
seguridad implementados en sus infraestructuras subyacentes.
Esto cambia la TI a un modelo de responsabilidad compartida para las cargas de trabajo

alojadas por los CSP. Las responsabilidades compartidas varían según la carga de trabajo y
el servicio exactos, pero se alinean aproximadamente con el modelo de servicio en la nube:
Infraestructura como servicio (IaaS), Plataforma como servicio (PaaS) y Software como
servicio. un servicio (SaaS). La Figura 1-3 muestra un ejemplo de cómo variarán estas
responsabilidades para cada servicio, incluso en las instalaciones, donde el cliente tiene
control total sobre todos los recursos.
FIGURA 1-3 Modelo de responsabilidad compartida

Como puede ver en la Figura 1-3 , la columna de la izquierda muestra diez
responsabilidades principales que las organizaciones deben considerar. Estas
responsabilidades contribuyen a lograr un estado de entorno informático compatible y
seguro. Cuando se utiliza la computación en la nube, la seguridad física es la única
responsabilidad de los proveedores de servicios en la nube (CSP). La seguridad física es
solo responsabilidad total del cliente en una implementación local.
Las responsabilidades restantes se comparten entre los clientes y los proveedores de

servicios en la nube. Algunas responsabilidades requieren que el CSP y el cliente gestionen
y administren la responsabilidad juntos. Es importante mencionar que, independientemente
del tipo de implementación, el cliente siempre retiene las siguientes responsabilidades:
administración de datos, puntos finales, cuenta y acceso.
Comprender la división de responsabilidades basada en el modelo de prestación de

servicios en la nube es más que un simple ejercicio académico. Cuando adopte servicios de
nube pública, necesitará saber cómo mapear de qué es responsable y cuál es su proveedor
de servicios de nube.responsable de. A continuación, definirá sus requisitos y ajustará sus
procesos, objetivos y diseños técnicos en función de esta comprensión.
Defensa en profundidad
El principio de defensa en profundidad no es nuevo. De hecho, ha evolucionado a lo largo

de los años, aunque el concepto fundamental es agregar múltiples capas de
protección. Hacerlo dificulta que el atacante acceda a los datos deseados.
Este enfoque en capas aumenta el riesgo de detección de un atacante al tiempo que

reduce la posibilidad de éxito de un atacante. Al usar este enfoque, también está mejorando
su CIA (confidencialidad, integridad y disponibilidad, que se conocen como los pilares de
la CIA). Cuando agrega más capas de protección, disminuye la probabilidad de que un
actor de amenazas comprometa información confidencial o altere información que podría
dañar la integridad de los datos. Hacerlo aumenta el nivel de disponibilidad porque el actor
de amenazas necesita eliminar varias capas de protección antes de que pueda comprometer
la disponibilidad general. A medida que diseñe capas de defensa en profundidad, es
importante centrarse en dificultar las cosas a los atacantes (aumentando su costo) mientras
se asegura de que los usuarios y procesos legítimos puedan funcionar bien.
La tabla 1-1 muestra un resumen de la lógica detrás de cada pilar de CIA y proporciona
algunos ejemplos de controles de seguridad que puede aprovechar en Azure para hacer
cumplir esos pilares.
TABLA 1-1 Pilares de la CIA
Principio de Razón fundamental Control de seguridad

diseño
Confidencialidad Asegúrese de que los datos del cliente Gestión de identidad
sean accesibles solo para
usuarios/objetos autorizados Aislamiento
Cifrado
Integridad Proteja los datos del cliente Gestión de identidad

(computación y almacenamiento) contra
cambios no autorizados Aislamiento
Cifrado
Gestión de claves
Disponibilidad Proporcione numerosos niveles de replicación de

redundancia para maximizar la almacenamiento
disponibilidad de los datos del cliente
Almacenamiento con
redundancia geográfica
Proceso de recuperación
de desastres
Conjuntos de
disponibilidad
equilibrador de carga
Tenga en cuenta también que la seguridad es una garantía crítica en entornos de

tecnología operativa donde las computadoras controlan máquinas y procesos físicos (como
los sistemas de control industrial [ICS] y las tecnologías de control de supervisión y
adquisición de datos [SCADA]).
La defensa en profundidad era una filosofía común cuando había una separación clara
de redes confiables y no confiables que estaban separadas por un firewall. La adición de
múltiples capas de protección entre Internet y la red interna (confiable) fue comúnmente
discutida y planificada (aunque no siempre se aplicó de manera consistente en la
práctica). Posteriormente, se expandió para incluir también múltiples capas de diferentes
tipos de protección por componente, como se muestra en la Figura 1-4 .
FIGURA 1-4 Defensa en profundidad tradicional
El mismo modelo fundamental se aplica hoy, pero usa diferentes controles de seguridad
y es más fácil de aplicar en un centro de datos en la nube definido por software como
Azure. Por ejemplo, Azure puede proporcionar escala y experiencia para protegerse contra
ataques DDoS grandes y sofisticados. Sin embargo, siguiendo el modelo de responsabilidad
compartida que tenemos en la computación en la nube, los clientes también deben diseñar
sus aplicaciones para que estén listas para una gran cantidad de tráfico. Algunas
capacidades clave para las aplicaciones incluyen alta disponibilidad, escalamiento
horizontal, resiliencia, tolerancia a fallas y reducción del área de superficie de ataque. La
protección de Azure DDoS es parte del enfoque de defensa en profundidad para Azure
Networks, como se muestra en la Figura 1-5 .
FIGURA 1-5 Enfoque de defensa en profundidad de la red de Azure

Cuando piensa en la defensa en profundidad en una red de Azure, debe pensar en todos
los controles de seguridad que pueden estar alrededor del servicio que está tratando de
proteger. Además, debe tener en cuenta todos los demás controles de seguridad que se
implementarán entre el atacante y el recurso que está tratando de proteger.
MÁS INFORMACIÓN DEFENSA EN PROFUNDIDAD CON AZURE

Para obtener más información sobre las tecnologías de Azure que se utilizan para
brindar defensa en profundidad, consulte este video de descripción
general: https://azure.microsoft.com/cs-cz/resources/videos/defense-in-depth-security-in-
azul/ .
Amenazas comunes
Las amenazas actuales van desde técnicas antiguas (pero efectivas) hasta las innovaciones
más recientes de ataques patrocinados por el estado y grupos criminales y todo lo
demás. Las amenazas tienden a centrarse en lo que funciona (como los correos electrónicos
de phishing) y siguen las tendencias del mundo (dirigiéndose a errores comunes en la
adopción de la nube y utilizando los recursos de la nube para atacar los activos locales y
viceversa).
Malware es un término utilizado para describir aplicaciones y códigos maliciosos que

pueden causar daños e interrumpir el uso normal de los dispositivos. Hay muchos tipos de
malware y la funcionalidad de ese malware depende de su propósito. En general, el
malware puede permitir el acceso no autorizado, usar los recursos del sistema, robar
contraseñas, bloquear su computadora, exigir un rescate y más.
Según el Informe de defensa digital de Microsoft 2020, los ciberatacantes siguieron de

cerca el desarrollo de la pandemia para tener más posibilidades de éxito al aprovechar el
COVID-19 como tema principal de los ataques. Según la telemetría de Microsoft, el
malware aumentó de alrededor de 50 000 encuentros el 11 de marzo de 2020 a alrededor de
70 000 encuentros cuando Estados Unidos anunció la prohibición de viajar a Europa el 14
de marzo de 2020. Los datos también mostraron que los ciberdelincuentes redujeron su
tiempo de permanencia en las instalaciones de las víctimas. aprovechando la falta de
higiene de seguridad de las víctimas. La hipótesis era que habría un aumento en la
disposición a pagar de los usuarios (en el caso del ransomware) a causa de la pandemia.
Aunque algunos de estos ataques pueden estar utilizando técnicas modernas, la mayoría
de ellos todavía aprovechan técnicas antiguas como el correo electrónico de phishing. Los
ataques de phishing intentan robar información confidencial a través de correos
electrónicos, sitios web, mensajes de texto u otras formas de comunicación
electrónica. Aunque los ataques de phishing son antiguos, todavía se utilizan porque tienen
que ver con el comportamiento humano, que se mantiene bastante constante. Los ataques
de ingeniería social están diseñados para aprovechar el error de un usuario al leer un correo
electrónico y decidir si el correo electrónico es legítimo.
Los ataques de denegación de servicio (DoS) y de denegación de servicio distribuido
(DDoS) todavía se utilizan en la actualidad. Este tipo de ataques afectan la disponibilidad
(uno de los pilares de la CIA) al limitar la función de una aplicación de red o agotar un
recurso informático hasta dejarlo indisponible. Desde la perspectiva de la red, las siguientes
amenazas todavía están en uso de una forma u otra:
 Ataques de escaneo de puertos Este tipo de ataque generalmente se usa

durante la fase de reconocimiento (también llamada reconocimiento), donde el
atacante intenta obtener más información sobre los puertos disponibles para la
explotación.
 Ataques de escucha Este es un tipo de ataque pasivo, donde el atacante
captura paquetes en tránsito.
 Ataques Man-in-the-middle (MITM) Los atacantes suelen utilizarlos para
hacerse pasar por un host legítimo en la red y hacerse cargo de la comunicación.
También es importante mencionar que los ataques pueden usar múltiples técnicas. El 13 de
marzo de 2020, el Hospital Universitario de Brno en la ciudad de Brno, República Checa,
fue atacado por un ransomware en medio de la pandemia. El hospital se vio obligado a
cerrar toda la red. Como resultado, los médicos no pudieron acceder a los datos de los
pacientes, se perdieron algunos datos y hubo que posponer las cirugías. Lo más probable es
que el ataque comenzara con un correo electrónico de spear-phishing, seguido de la
implementación del ransomware. El ransomware se usa en ataques de extorsión y es un tipo
de malware que encripta archivos y carpetas e impide el acceso a archivos importantes por
parte de los propietarios legítimos. Los ciberdelincuentes que implementan el ransomware
intentan extorsionar a las víctimas pidiéndoles dinero, generalmente en forma de
criptomonedas, a cambio de la clave de descifrado. Desafortunadamente,
Uno de los aspectos más desafiantes de la defensa de sus sistemas contra los
ciberdelincuentes es reconocer cuándo esos sistemas se están utilizando para algún tipo de
actividad delictiva en primer lugar, como cuando son parte de una red de
bots. Una botnet es una red de dispositivos comprometidos que un atacante controla sin el
conocimiento de sus propietarios. Las botnets no son nuevas; un estudio de Microsoft de
2012 descubrió que los ciberdelincuentes se infiltraron en cadenas de suministro inseguras
utilizando la botnet Nitol, que introdujo software falsificado integrado con malware para
infectar en secreto las computadoras incluso antes de que se compraran.
Las violaciones de datos pueden ocurrir por diferentes motivos, como un compromiso
de malware que permite extraer datos o cuando un usuario miembro de un grupo tiene sus
credenciales comprometidas. Sin embargo, algunos escenarios de violación de datos
ocurren porque se pierde un dispositivo, lo que puede dar lugar a resultados como los
siguientes:
 Usuarios no autorizados que acceden a datos de una unidad extraíble

extraviada o robada
 Fuga de datos que surge de una computadora portátil extraviada o robada o
de un medio extraíble que contiene información confidencial
 Fuga de datos que surge de correos electrónicos de usuarios con contenido
confidencial que se envían inadvertidamente a un destinatario o destinatarios no
deseados
Cifrado
Al migrar a la nube, debe asegurarse de que los datos estén protegidos sin importar dónde
se encuentren. Los datos se almacenan y transfieren a través de múltiples sistemas, por lo
que debe pensar en las diferentes ubicaciones de los datos a lo largo del tiempo. La figura
1-6 ilustra estas etapas.
FIGURA 1-6 Ubicaciones de datos a lo largo del tiempo
La Figura 1-6 ilustra las siguientes cinco etapas:
1. Datos en reposo en el dispositivo del usuario En esta etapa, los datos se

ubican en el punto final, que puede ser cualquier dispositivo. Siempre debe aplicar
el cifrado de datos en reposo para los dispositivos propiedad de la empresa y los
dispositivos propiedad del usuario (traiga su propio dispositivo: BYOD).
2. Datos en tránsito desde el dispositivo del usuario a la nube Cuando los
datos salen del dispositivo del usuario, debe asegurarse de que los datos aún estén
protegidos. Existen muchas tecnologías (por ejemplo, Azure AD Information
Protection) que pueden cifrar los datos independientemente de la
ubicación. También es imperativo asegurarse de que el canal de transporte esté
encriptado, por lo que se impone el uso de la seguridad de la capa de transporte
(TLS) para transferir los datos.
3. Datos en reposo en el centro de datos del proveedor de la nube
Cuando los datos llegan a los servidores del proveedor de la nube, su
infraestructura de almacenamiento debe garantizar la redundancia y la
protección. Asegúrese de comprender cómo su CSP realiza el cifrado de datos en
reposo, quién es responsable de administrar las claves y cómo se realiza la
redundancia de datos.
4. Datos en tránsito desde la nube a las instalaciones En este caso, se
aplican las mismas recomendaciones especificadas en la etapa dos (datos en tránsito
desde el dispositivo del usuario a la nube). Aplique el cifrado de datos en el propio
archivo y cifre la capa de transporte.
5. Datos en reposo en las instalaciones Los clientes son responsables de
mantener sus datos seguros en las instalaciones. El cifrado de datos en reposo en el
centro de datos de la organización es un paso fundamental para lograrlo. Asegúrese
de tener la infraestructura correcta para habilitar el cifrado, la redundancia de datos
y la administración de claves.
Si bien el cifrado es de vital importancia, también lo es proteger las claves utilizadas

para cifrarlas y descifrarlas (que puede administrarlas usted o el proveedor de la nube).
También debe considerar otros controles de seguridad para mejorar la confidencialidad e

integridad de la información. Podrás firmar digitalmente el mensaje que quieras
transmitir. En base a esa firma digital, el usuario puede verificar que los datos no han sido
modificados desde que se firmó. Otra ventaja de usar este método es que también se puede
verificar la identidad del usuario que firmó los datos.
Para mejorar la integridad del texto que se transmitirá, también puede aplicar un hash
del texto (también llamado resumen ). Luego, el receptor puede calcular un hash en los
datos recibidos y comparar el hash calculado con el hash recibido. Si coincide, esto indica
que los datos recibidos no han sido alterados.
MÁS INFORMACIÓN FIRMAS DIGITALES

Para obtener información más detallada sobre las firmas digitales,
consulte https://docs.microsoft.com/en-us/windows/win32/seccrypto/digital-signatures .
El marco de adopción de la nube de Microsoft para Azure se diseñó para ayudarlo a crear e
implementar las estrategias necesarias para que su organización adopte las tecnologías de la
nube con éxito. Proporciona mejores prácticas, documentación y herramientas que los
arquitectos de la nube, los profesionales de TI y los responsables de la toma de decisiones
empresariales pueden utilizar para lograr objetivos a corto y largo plazo con éxito.
MÁS INFORMACIÓN MARCO DE ADOPCIÓN DE LA NUBE

Para obtener la información más reciente sobre su marco,
consulte https://docs.microsoft.com/en-us/azure/cloud-adoption-framework/ .
Habilidad 1-2: Conceptos de identidad
Este objetivo trata los conceptos fundamentales de la identidad. Estos son los componentes
básicos para soluciones de administración de acceso e identidades más avanzadas más
adelante en este capítulo. Muchos de estos términos y conceptos son universales para
cualquier plataforma de identidad y vale la pena dedicar tiempo a comprenderlos. Además,
esta sección cubrirá cómo han surgido los desafíos de la identidad moderna y cómo esos
desafíos dieron lugar a la necesidad de Azure Active Directory. Estos conceptos también lo
ayudarán a desarrollar un sólido conocimiento fundamental de la identidad que se puede
aprovechar para otras certificaciones de seguridad de Microsoft que planee obtener. Esta
sección cubre las habilidades del concepto de seguridad de acuerdo con el esquema del
examen SC-900.
La identidad como principal perímetro de seguridad
Los ambientes modernos están pasando por otro cambio radical. Anteriormente, nuestros
entornos de trabajo existían principalmente en intranets locales. Los empleados usaban sus
computadoras corporativas desde las oficinas corporativas para acceder a los recursos de la
empresa, como los servidores de archivos. El cortafuegos era el límite perimetral de la
red. Cualquier cosa dentro del firewall era un recurso de la empresa y se consideraba
seguro. Todo lo que estaba fuera era Internet y podía ser malicioso.
Algunos usuarios hacían partes de su trabajo de forma remota llevándose sus máquinas
corporativas a casa. Para acceder a la red corporativa, agregamos VPN a la mezcla. Una vez
más, nuestros cortafuegos seguían siendo los perímetros de seguridad de nuestro entorno.
Eventualmente, comenzamos a ver el aumento de las aplicaciones basadas en la nube

que vivían únicamente en Internet. Al principio, muchas empresas aún requerían que los
usuarios accedieran a estos recursos desde la red corporativa, ya sea físicamente en la
oficina corporativa o de forma remota a través de una VPN.
Esta estrategia tenía inconvenientes. Primero, el rendimiento de la red no siempre es

ideal. Es lento y costoso utilizar una conexión a Internet de alta velocidad para enviar el
tráfico de regreso a la red corporativa y luego enviarlo inmediatamente a Internet al recurso
de la nube y de regreso al usuario de la misma manera. En segundo lugar, los usuarios
comenzaron a usar dispositivos personales no corporativos, como teléfonos móviles y
tabletas. No era aceptable exigirles que usaran VPN para acceder a la red corporativa.
Hoy en día, las corporaciones tienen usuarios que trabajan desde la oficina corporativa,
el hogar o, en realidad, desde cualquier lugar. Acceden a recursos que pueden estar en la
red corporativa o completamente en Internet. Y están haciendo todo esto desde dispositivos
propiedad de la empresa y computadoras y dispositivos móviles de propiedad personal. El
perímetro de seguridad tradicional sigue siendo útil, pero no es suficiente para proteger a
una empresa moderna.
La identidad es lo único consistente en todas estas diferentes combinaciones de

escenarios en este entorno moderno, por lo que debe ser el nuevo perímetro de seguridad
para las empresas. Este es un cambio de pensamiento difícil de hacer para algunas
empresas, pero claramente es necesario. Con la identidad como punto de vista del perímetro
de seguridad, necesitamos aumentar nuestra seguridad en el espacio de la identidad. Como
verá más adelante en este capítulo, el acceso condicional de Azure Active Directory nos
permitirá aplicar la política para garantizar que se cumplan las condiciones de seguridad
antes de permitir el acceso a los recursos. También tenemos varias formas de fortalecer
nuestras credenciales de identidad con autenticación sin contraseña y otras formas de
autenticación multifactor (MFA) usando Windows Hello para empresas o una aplicación de
autenticación.
¿Qué es la autenticación?
Desde un punto de vista conceptual, la autenticación, a veces abreviada como AuthN , es

simplemente el acto de algo o alguien que prueba su identidad a otra cosa. En otras
palabras, una persona o dispositivo prueba que es quien o lo que dice ser. Te encuentras con
la autenticación muchas veces en tu vida diaria. Cuando inicia sesión en su computadora
con su nombre de usuarioy contraseña, te acabas de autenticar. Cuando inicia sesión para
revisar su correo electrónico a través de un navegador o una aplicación como Outlook, se
ha autenticado con su proveedor de correo electrónico. Cuando levanta su dispositivo móvil
y usa una biométrica como una huella digital o su rostro para desbloquear el dispositivo, ha
completado la autenticación nuevamente. Si va al cajero automático para retirar dinero,
primero debe proporcionar una tarjeta y luego un PIN. Si se autentica con éxito, puede
retirar dinero de su cuenta (si tiene fondos). Completa la autenticación docenas de veces al
día y ni siquiera piensa en ello.
Hay muchos factores de autenticación diferentes, y cubriremos algunos de ellos con más
profundidad más adelante en este capítulo. Estos factores de autenticación pueden ser algo
que sabes, algo que tienes o algo que eres. Los factores más comunes son el nombre de
usuario y la contraseña. Sin embargo, estos son los más fácilmente comprometidos por un
atacante. También crece en popularidad, aunque más lento de lo que debería, el uso de
métodos de autenticación multifactor donde se requieren múltiples tipos de métodos de
autenticación para autenticarse, generalmente, el nombre de usuario y la contraseña, junto
con otra forma de autenticación. Los mensajes de texto o las llamadas telefónicas son las
formas más comunes de autenticación multifactor, pero también existen métodos como el
código de acceso de un solo uso (OTP), donde el código de acceso se puede usar solo una
vez y generalmente es válido por un tiempo limitado. aplicaciones de autenticación, como
la aplicación Microsoft Authenticator, envíe una notificación push al dispositivo aprobado
por el usuario. Como se mencionó anteriormente, la biometría, como las huellas dactilares y
el reconocimiento facial, se utilizan comúnmente. Las identidades no humanas también
deben autenticarse. Las computadoras y los servicios se autentican entre sí mediante
certificados, secretos compartidos (en realidad, solo una contraseña para una aplicación) o
protocolos específicos como Kerberos. Autenticación: ¡no es solo para las personas! o
protocolos específicos como Kerberos. Autenticación: ¡no es solo para las personas! o
protocolos específicos como Kerberos. Autenticación: ¡no es solo para las personas!La
figura 1-7 muestra algunos de estos métodos de autenticación comunes.
FIGURA 1-7 Métodos de autenticación comunes
La Figura 1-7 no pretende mostrar una lista exhaustiva de métodos de autenticación; en

cambio, muestra que hay muchas maneras para que alguien o algo demuestre que es quien o
lo que dice ser. Esto puede ser autenticación de persona a servicio o autenticación de
servicio a servicio. Todo comienza con la autenticación.
que es autorizacion
La autorización es otra parte fundamental de la gestión de identidades y accesos. La

autorización a veces se abrevia como AuthZ . Conceptualmente, puede pensar en la
autorización como algo que se le permite hacer. Una vez que el sistema o los servicios
saben quién es usted (autenticación), tiene derechos o permisos para hacer cosas
(autorización). Estos derechos pueden ser tan simples como ver un archivo (permiso
otorgado) o negar la capacidad de ver un archivo (permiso denegado). Probablemente haya
experimentado esto cuando alguien le envió un archivo o un enlace a un sitio, y cuando
intentó abrir el archivo o visitar el sitio, recibió un mensaje de error de acceso
denegado. Esto significa que no tiene la autorización para acceder a ese
recurso. Experimenta la autorización cuando puedeo se le permite ver un archivo o acceder
a un sitio. ¡La diferencia es que no recibe un mensaje que dice que tiene permiso para
verlo! Probablemente te encuentres con cientos, si no miles, de decisiones de autorización
al día y ni siquiera te des cuenta (a menos que te las nieguen, por supuesto).
Como veremos en este capítulo, las decisiones de autorización se pueden tomar en

función de muchos factores. Si tiene un rol específico asignado a su cuenta, es posible que
haya heredado permisos en el sistema para agregar, modificar, eliminar o ver cosas. Esto se
conoce comúnmente como Control de acceso basado en roles (RBAC). Por ejemplo, si
tiene la función de administrador global en Azure Active Directory, puede administrar
todos los aspectos de Azure Active Directory. El rol de lector global puede ver las mismas
cosas que el rol de administrador global ; Los lectores globales simplemente no tienen la
capacidad de realizar ningún cambio, como se ve en la Figura 1-8 . Cubriremos los roles de
Azure AD con más profundidad más adelante en este capítulo.
FIGURA 1-8 Funciones administrativas
Las decisiones de autorización también pueden tomarse mediante información sobre el

usuario. Por ejemplo, si es miembro de la organización de ventas, probablemente sea
miembro de un grupo de ventas de Active Directory. Esta pertenencia a un grupo le
concedería acceso a la carpeta de red compartida del departamento de ventas oa un sitio de
SharePoint, pero no podría acceder a la carpeta de red compartida del departamento de
ingeniería ni a un sitio de SharePoint. Solo aquellos que son miembros del grupo de
ingeniería podrían acceder a estos recursos. Por lo general, estas decisiones se toman
mediante listas de control de acceso (ACL) determinadas por el administrador del sistema.
Otro ejemplo de autorización basada en información sobre el usuario podría ser su

título. Cuando un usuario normal inicia sesión en su aplicación de recursos humanos, ve
información sobre sí mismo, como cuántas horas ha trabajado y su gerente, talón de pago e
información sobresus beneficios Solo están autorizados a ver su información. Su gerente
tiene una visión similar, pero probablemente también tenga información adicional que
pueda ver sobre sus empleados. Pueden ver todas las horas trabajadas por sus subordinados
directos, pero no pueden ver esta misma información sobre otros empleados de la
organización. Según su título, los gerentes solo están autorizados a ver información
adicional sobre sus informes directos. Finalmente, el jefe de recursos humanos podría ver
una amplia gama de información sobre la empresa. Es posible que puedan ver el total de
horas trabajadas para todos en la empresa, la nómina total y los beneficios gastados. Debido
a que ocupan un puesto de alto rango, están autorizados a ver toda esta información. La
mayor parte de la autorización se realiza en el nivel de la aplicación utilizando este modelo
RBAC.
La autorización también se aplica a cuentas no humanas. Una cuenta de servicio puede

tener roles en Azure Active Directory y tendría los mismos permisos que cualquier cuenta
humana con ese rol. Las cuentas de servicio también pueden ser miembros de grupos. Un
ejemplo común de esto es el servicio que ejecuta las copias de seguridad. Según el diseño,
puede que sea necesario pertenecer a un grupo de privilegios elevados, como
los operadores de copia de seguridad , para realizar copias de seguridad y restaurar
archivos en el sistema.
Con suerte, el concepto de autorización es claro y sencillo para usted. La autorización

otorga o deniega permisos a varios recursos para cuentas humanas y no humanas. Sin
embargo, los detalles de implementación de esto pueden ser extremadamente complejos. En
el ejemplo anterior, los equipos de ventas e ingeniería tienen acceso a recursos corporativos
separados.
Sin embargo, ¿qué hacen estos equipos cuando necesitan colaborar en algo? Por
ejemplo, supongamos que el equipo de ingeniería tiene un producto nuevo y los equipos de
ventas deben poder venderlo. Las siguientes son algunas cosas que deberá considerar:
 ¿Agregamos el equipo de ventas al grupo de ingeniería?

 ¿Deberíamos agregar el equipo de ingeniería al grupo de ventas?
 ¿O creamos un nuevo grupo de ingeniería de ventas y agregamos los grupos
de ingeniería y ventas a ese nuevo grupo?
Esta última opción puede parecer la respuesta correcta, pero ¿qué hacemos cuando el
grupo de operaciones también necesita trabajar con ingeniería para garantizar que la
producción del producto cumpla con los estándares de ingeniería? Operaciones también
necesita trabajar con ventas para asegurarse de que la cadena de suministro esté alineada
con sus proyecciones de ventas. ¿Creamos más grupos para que los tres equipos trabajen
juntos? Como puedes ver, esto empieza a crecer y a salirse de control. Es importante tener
un diseño de autorización para este tipo de escenarios antes de comenzar a implementar una
solución de administración de acceso de identidad (IAM). Este tipo de escenario es bastante
normal, y algunas de estas decisiones se pueden tomar con anticipación, pero también
deberá planificar cómo manejará los casos excepcionales y los nuevos escenarios que
surgirán. Necesitará esa flexibilidad a medida que crezcan las necesidades comerciales y
los escenarios.
Por último, también debemos asegurarnos de seguir el concepto de privilegio mínimo en

lo que respecta a la autorización. Las cuentas humanas y no humanas solo deben tener los
permisos de autorización mínimos necesarios para realizar sus tareas. Es fácil otorgar más
permisos, y las cosas funcionarán si lo hacemos, pero luego pagaremos el precio de esas
decisiones, a menudo de manera catastrófica. También suele ser mucho más difícil eliminar
los permisos de los usuarios y las cuentas no humanas después de que están
funcionando. Existe el temor de que algo se rompa o que alguien no pueda hacer su trabajo,
lo cual afectaría el negocio. Desde el principio, usteddebe tomarse el tiempo para garantizar
que se siga el privilegio mínimo para las decisiones de autorización. Tu futuro yo te lo
agradecerá.
MÁS INFORMACIÓN ROLES DE AZURE AD Y ROLES CON PRIVILEGIOS

MÍNIMOS
Puede obtener más información sobre los roles de Azure AD y para qué están
autorizados
en https://aka.ms/SC900_AADRoles y https://aka.ms/SC900_TaskByLeastPrivilege .
¿Qué es el Directorio Activo?
Windows Server Active Directory es un servicio de directorio local multimaestro que se ha

integrado en el sistema operativo Windows desde Windows 2000. Por lo general, es el
directorio de identidad local principal para una empresa y se usa ampliamente. (Es utilizado
por el 95 por ciento de las compañías Fortune 500). Si vio la pantalla Ctrl+Alt+Supr en su
estación de trabajo corporativa, ingresó su nombre de usuario y contraseña corporativos e
inició sesión correctamente con una cuenta profesional, ha usaba Active Directory. Se han
escrito numerosos libros sobre Active Directory, y no podemos profundizar al respecto
aquí, aunque aún es importante comprender los conceptos básicos porque los
desarrollaremos más adelante en este capítulo.
Active Directory proporciona autenticación, autorización y, por lo general, una

experiencia de inicio de sesión único para los recursos corporativos, como servidores de
archivos, correo electrónico y otras aplicaciones que acceden a la intranet local. Active
Directory tendrá cuentas para usuarios y computadoras, así como cuentas para aplicaciones
y servicios. Los grupos y las impresoras también se almacenarán en Active
Directory. Active Directory admite muchos protocolos como LDAP, NTLM, Kerberos y
DNS. También tiene la funcionalidad de aplicar políticas de seguridad a equipos y usuarios
a través de políticas de grupo. Desde una perspectiva administrativa, todos estos objetos se
pueden gestionar jerárquicamente en contenedores y unidades organizativas (OU), como se
ve en la Figura 1-9 .
FIGURA 1-9 Centro de administración de Active Directory usando una vista jerárquica de
Active Directory
El límite de Active Directory es el bosque de Active Directory. Todo en este bosque

confía el uno en el otro inherentemente. Este límite también se puede extender a otros
bosques de Active Directory. Por lo general, los límites se usan en escenarios de fusiones y
adquisiciones, así como en algunas arquitecturas más antiguas que tenían bosques de
recursos separados para las aplicaciones.
Aunque sigue siendo extremadamente popular, Active Directory es en gran medida un

producto de finales de la década de 1990 y principios de la de 2000. Fue diseñado para un
mundo diferente al que existe hoy. Se supuso que los recursos a los que accedería estaban
en la intranet local y que estaría físicamente en la oficina. Si la gente tenía acceso a Internet
en casa, era a través de conexiones lentas de acceso telefónico. Muy pocas personas tenían
teléfonos celulares "tontos", y algunas personas tenían buscapersonas. Los recursos
respaldados por la nube, como las aplicaciones SaaS y los protocolos que aprovechan (por
ejemplo, WS-Fed, SAML, OAuth y OpenIDConnect), aún no se habían creado.
Una vez que los recursos comenzaron a dejar sus intranets por Internet, Active Directory
comenzó a enfrentar algunos desafíos, principalmente al proporcionar acceso seguro para
los usuarios corporativos a estos recursos modernos desde sus cuentas
corporativas. Introduzca la necesidad de servicios de federación.
MÁS INFORMACIÓN ACTIVE DIRECTORY EN COMPARACIÓN CON
AZURE ACTIVE DIRECTORY
Puede ver cómo se comparan las características de Active Directory con las
características de Azure Active Directory
en https://aka.ms/SC900_ADCompareToAAD .
¿Qué son los servicios de federación y los proveedores de identidad?
Antes de entrar en los componentes de los servicios de federación, es importante

comprender primero por qué los necesitamos. Por ejemplo, supongamos que una aplicación
no reside en una intranet corporativa, por lo que necesitamos una forma de aprovechar los
métodos de autenticación existentes. La forma más sencilla de resolver este dilema es crear
un nombre de usuario y una contraseña para esa aplicación, aunque hacerlo presenta
algunos problemas. El primer problema es que esto requiere que cada aplicación
implemente su propia pila de autenticación y todo lo que viene con ella, como
restablecimiento de contraseña y almacenamiento de estas credenciales. Existen numerosos
casos en los que un proveedor no almacena correctamente estos nombres de usuario y
contraseñas, y terminan siendo comprometidos.
Para empeorar las cosas, es probable que los usuarios reutilicen sus credenciales en
múltiples aplicaciones, incluido el uso compartido de credenciales entre el trabajo y el
hogar. La reutilización de credenciales presenta un problema aún mayor a medida que
aumenta la cantidad de aplicaciones SaaS porque las credenciales se distribuyen entre todas
estas aplicaciones. El compromiso de una credencial puede provocar el compromiso de
todas las aplicaciones restantes.
El siguiente problema es que las aplicaciones generalmente necesitan más que un

nombre de usuario para ser útiles para un usuario. Los puntos de datos, como el cargo, el
departamento, el gerente, etc. de un usuario, se aprovechan en las aplicaciones para permitir
la funcionalidad y proporcionar autorización para las acciones del usuario. Como se
discutió anteriormente, lo que un jefe de departamento puede ver, agregar, eliminar y
cambiar es muy diferente de lo que un empleado individual puede hacer en la misma
aplicación. Estos datos adicionales también deberían estar presentes en cada una de las
aplicaciones SaaS.
Los servicios de federación resuelven estos problemas. Un desglose detallado del

funcionamiento interno de los protocolos de federación como WS-Fed, SAML, OAuth y
OpenID Connect está mucho más allá delalcance de este libro. Sin embargo, algunos
componentes y conceptos se aplican a muchos protocolos de autenticación modernos que
vale la pena comprender.
El proveedor de identidad, frecuentemente abreviado como IdP o IDP, maneja la

autenticación del usuario. La autenticación puede realizarse a través de un navegador web
utilizando autenticación basada en formularios; la autenticación también se puede realizar a
través de la autenticación integrada de Windows (IWA) o una aplicación que utiliza una
API web. IDP es realmente la autenticación de usuario como servicio. Los ejemplos
comunes de IDP son Azure AD, Active Directory Federation Services (ADFS) y Ping
Federate. Luego, el IDP emitirá reclamos a la aplicación, también conocida como
proveedor de recursos, que confía en el IDP. A continuación, el usuario inicia sesión en la
aplicación.
Los reclamos son información que se envía al proveedor de la aplicación/recurso que, en

este caso, identifica al usuario y cualquier información adicional sobre el usuario que la
aplicación necesita para funcionar. La información necesaria varía de una aplicación a otra,
pero en la reclamación se puede incluir información como el título, el gerente, la
identificación del empleado y similares. Este reclamo está firmado por el IDP utilizando la
clave privada del IDP.
La criptografía de clave pública se utiliza para firmar digitalmente las reclamaciones del
IDP utilizando su clave privada. El proveedor de aplicaciones/recursos utiliza la clave
pública para validar el reclamo. La aplicación valida que el reclamo provino del IDP,
suponiendo que la clave privada no se haya visto comprometida y que los datos del reclamo
no se hayan modificado desde que se firmó.
Antes de que un usuario pueda autenticarse, enviar información como un reclamo a la

aplicación y acceder a esa información, primero se debe configurar una confianza de
federación. Los detalles de configuración varían entre los protocolos de federación, pero el
IDP y la aplicación esencialmente intercambiarán alguna información, como la clave
pública del IDP y los puntos finales de la aplicación para la autenticación. Por lo general,
esto se encuentra en los metadatos del fideicomiso.
La aplicación o el proveedor de recursos es a lo que accede el usuario. Debido a que la

confianza y el intercambio de metadatos han ocurrido previamente, la aplicación confiará
en las notificaciones firmadas por el IDP. Hay miles de aplicaciones que admiten este
modelo de autenticación federada, como Office365, ServiceNow y WorkDay. Podemos ver
todas estas piezas juntas en la Figura 1-10 , que muestra un proveedor de identidad que
envía un reclamo firmado a un proveedor de aplicaciones/recursos. Una flecha
bidireccional conecta el proveedor de identidad con el proveedor de aplicaciones/recursos
para indicar una confianza y que se están intercambiando metadatos.
FIGURA 1-10 Componentes de federación trabajando juntos
Ataques de identidad comunes
El conjunto completo de ataques que pueden tener lugar contra un sistema de identidad está
mucho más allá del alcance de este capítulo y este libro. La buena noticia es que el 99 % de
todos los ataques de identidad se incluyen en una de estas tres categorías: reutilización de
credenciales, difusión de contraseñas y phishing:
 Reutilización de credenciales Como hemos visto antes, la federación es

muy útil porque los usuarios usarán los mismos nombres de usuario y contraseñas
en muchos sitios y aplicaciones diferentes. A menudo, usan las mismas contraseñas
que usan para sus credenciales corporativas. Cuando uno de estos sitios o
aplicaciones se ve comprometido, el atacante probará esas mismas credenciales
contra muchos otros recursos, incluido Azure AD corporativo, como se muestra en
la Figura 1-11 .
FIGURA 1-11 Los atacantes usan nombres de usuario y contraseñas robados en
varios recursos
 Rociado de contraseñas Los usuarios también siguen patrones de

contraseñas muy predecibles. A menudo, esto se debe a políticas corporativas de
contraseñas que requieren que los usuarios cambien sus contraseñas cada 30 días
porque los usuarios suelen seleccionar el mes, el año y un carácter especial. Por
ejemplo, un usuario podría usar "¡Septiembre de 2021!" si las contraseñas se
cambian mensualmente o "¡Invierno 2021!" si las contraseñas se cambian
trimestralmente. Luego, los atacantes prueban esta misma contraseña con todos los
usuarios del directorio, aprovechando con frecuencia los protocolos heredados que
no pueden usar MFA, como IMAP4, POP3 o SMTP. Este tipo de ataque se puede
ver en la Figura 1-12 .
FIGURA 1-12 Atacante que usa una contraseña fácil de adivinar contra varios
inquilinos de Azure AD
 Phishing El phishing es probablemente el ataque de identidad con el que la

gente está más familiarizada. Esto es cuando un atacante intenta hacerse pasar por
un servicio legítimo e intenta que el usuario ingrese algún tipo de información
personal, generalmente sus nombres de usuario y contraseñas. Luego, los atacantes
usan estas credenciales contra el servicio para hacerse pasar por el usuario. En
algunos casos más avanzados, el atacante también intentará que el usuario ingrese
su solicitud de MFA.
Experimento mental
En este experimento mental, demuestre sus habilidades y conocimiento de los temas

tratados en este capítulo. Puede encontrar respuestas a este experimento mental en la
siguiente sección.
El viaje de Contoso a la nube
Usted es uno de los administradores de TI de Contoso, una tienda general en línea que se
especializa en una variedad de productos para el hogar. Contoso está comenzando su viaje
hacia la nube y necesita evaluar diferentes proveedores de nube para comprender sus
principios de privacidad y recursos de cumplimiento. Es muy importante para Contoso que
este proveedor de la nube se tome en serio la privacidad y no utilice su información con
fines publicitarios.
Va a liderar la creación de un nuevo equipo de seguridad en la nube en Contoso, y uno de

los estatutos de este equipo es garantizar el uso de la metodología de confianza cero en
todos los segmentos disponibles. Contoso planea comenzar su viaje a la nube migrando
algunas cargas de trabajo a IaaS mientras mantiene algunas cargas de trabajo en las
instalaciones. El único servicio PaaS que Contoso planea usar es el proveedor de identidad,
que la empresa quiere asegurarse de que esté sincronizado con su Active Directory
local. Por último, Contoso también quiere asegurarse de que el proveedor de la nube que
elija tenga un sitio de ventanilla única, donde pueda encontrar toda la información
relacionada con la privacidad y el cumplimiento, y la empresa debe poder personalizar los
documentos relevantes que pueden ser importante para ellos.
Con esta información en mente, responde las siguientes preguntas:
1. ¿Quién es responsable de mantener las actualizaciones del sistema operativo

en las máquinas virtuales en un escenario de IaaS?
2. ¿Qué principios de privacidad de Microsoft abordan la preocupación de
Contoso sobre el uso de información personal para publicidad?
3. ¿Qué principio rector de confianza cero garantiza que siempre autentique y
autorice el acceso en función de todos los elementos disponibles?
4. ¿Cuál es el nombre del portal que proporciona información relacionada con
la privacidad y el cumplimiento que se puede personalizar?
Esta sección contiene la solución al experimento mental.
1. En un escenario de IaaS, el cliente es responsable de actualizar el sistema

operativo que se ejecuta en las máquinas virtuales.
2. Sin orientación basada en el contenido.
3. Siempre verifica.
4. Portal de confianza de servicios de Microsoft.
 Los principios rectores de confianza cero son siempre verificar, usar el

acceso con privilegios mínimos y asumir la infracción.
 La confianza cero debe aplicarse en los siguientes segmentos: identidad,
punto final, datos, aplicaciones, infraestructura y red.
 La visión de confianza cero de Microsoft también sugiere una visibilidad
completa de todos esos elementos en un tablero integrado.
 Los proveedores de la nube adoptan el modelo de responsabilidad
compartida que se ajusta de acuerdo con el modelo de servicio de la nube:
infraestructura como servicio (IaaS), plataforma como servicio (PaaS) y software
como servicio (SaaS).
 Independientemente del tipo de implementación, el cliente siempre retiene
las siguientes responsabilidades: datos, terminales, administración de cuentas y
administración de acceso.
 La defensa en profundidad aumenta el riesgo de detección de un atacante al
tiempo que reduce la posibilidad de éxito de un atacante.
 Los ataques de phishing intentan robar información confidencial a través de
correos electrónicos, sitios web, mensajes de texto u otras formas de comunicación
electrónica.
 Las violaciones de datos pueden ocurrir por diferentes razones. El sistema
podría verse comprometido por el malware que extrajo los datos, o podría ser un
escenario en el que un usuario sin darse cuenta otorgó acceso a un amplio grupo de
usuarios, y un miembro de ese grupo vio comprometidas sus credenciales.
 Si bien el cifrado se vuelve imperativo, también debe considerar otros
controles de seguridad para mejorar la confidencialidad e integridad de la
información. Puede firmar digitalmente el mensaje que desea transmitir y, en base a
esa firma digital, el usuario puede verificar que los datos no se han modificado
desde que se firmó.
 La identidad es el nuevo perímetro de seguridad y los conceptos
fundamentales como la autenticación, la autorización y la federación con
proveedores de identidad son el corazón de Azure Active Directory.
 La identidad híbrida es extremadamente común y aprovecha las
implementaciones de Active Directory existentes para extenderse a Azure Active
Directory a través de Azure Active Directory Connect, lo que permite a los usuarios
autenticarse mediante sincronización de hash de contraseña, autenticación de paso o
federación.
 Azure AD es un sistema completo de IAM compuesto por usuarios,
dispositivos, grupos y aplicaciones. Los usuarios pueden ser usuarios externos de
empresas asociadas o pueden ser identidades de consumidores.
 Azure AD tiene muchos métodos de autenticación diferentes, como
contraseña, autenticación multifactor y credenciales sin contraseña, como Windows
Hello para empresas.
 La autenticación multifactor es una combinación de algo que sabes, algo que
tienes o algo que eres.
Capitulo 2
Soluciones de administración de acceso e identidad de
Microsoft
La gestión de identidades y accesos es una pieza fundamental fundamental para la
seguridad y el cumplimiento. Todo hoy comienza con la identidad. Los usuarios tienen
identidades para acceder a recursos como aplicaciones, y pueden hacerlo desde cualquier
parte del planeta. Las propias aplicaciones tienen identidades para definir sus ámbitos de
permiso. Los objetos informáticos tienen identidades y se pueden utilizar como factor para
tomar decisiones de acceso. Comprender los conceptos y capacidades de identidad es un
requisito para lograr adecuadamente la seguridad y el cumplimiento en su organización.
Habilidades en este capítulo:
 Definir los servicios básicos de identidad y los tipos de identidad de Azure

AD
 Describir las capacidades de autenticación de Azure AD
 Describir las capacidades de administración de acceso de Azure AD
 Describir las capacidades de gobierno y protección de identidad de Azure
AD
Habilidad 2-1: Definir los servicios básicos de identidad y los tipos de identidad de Azure AD
Este objetivo trata los conceptos fundamentales de Azure Active Directory. En esta sección,
aprenderá qué es Azure Active Directory y sus características empresariales clave. También
aprenderá sobre las identidades internas y externas, y también sobre la identidad híbrida y
las diferentes formas de autenticarse en Azure Active Directory. Esta habilidad proporciona
los componentes básicos de Azure Active Directory.
Describir qué es Azure Active Directory
Azure Active Directory es la oferta de identidad como servicio (IDaaS) basada en la nube
de Microsoft. Es un producto de gestión de acceso e identidad (IAM) con 200 000 clientes
(corporaciones/entidades comerciales), 425 millones de usuarios activos mensuales y
30 000 millones de autenticaciones procesadas cada día. Muchas de las características de
IAM se tratan a lo largo de este capítulo, pero analicemos algunas de las características
clave para darle una idea de lo que constituye Azure Active Directory.
Aplicaciones
Azure Active Directory es el proveedor de identidad (IDP) para aplicaciones de Microsoft

como Office365 y Azure. También aprovecha protocolos modernos como WS-Federation,
SAML, OAuth y OpenID Connect para integrarse con aplicaciones que no son de
Microsoft. La Galería de aplicaciones de Azure AD tiene miles de aplicaciones
preintegradas para facilitar la configuración de la autenticación en estas
aplicaciones. Además, la Galería de aplicaciones utiliza el protocolo SCIM (Sistema para la
gestión de identidades entre dominios) para aprovisionar y desaprovisionar usuarios de
estas aplicaciones. Si la aplicación no está en la galería, aún puede integrarla con Azure
Active Directory usted mismo o puede solicitar que se agregue a la galería.
MÁS INFORMACIÓN ADICIÓN DE APLICACIONES A LA GALERÍA DE
APLICACIONES DE AZURE ACTIVE DIRECTORY
Puede solicitar que se agreguen aplicaciones a la Galería de aplicaciones
aquí: https://aka.ms/SC900_AddToAAADAppGallery .
Proxy de aplicación
El proxy de aplicación se utiliza para proporcionar acceso remoto a aplicaciones web

locales. Esto permite que se aplique cualquier política de acceso condicional al acceder a
estas aplicaciones locales sin realizar ningún cambio en la propia aplicación. Esta es una
excelente manera de aprovechar su seguridad de identidad basada en la nube para proteger
sus aplicaciones locales existentes. Toda la conectividad es saliente a Azure AD. Estas
aplicaciones le aparecerán al usuario como cualquier otra aplicación. No hay diferencia
para el usuario si la aplicación está en las instalaciones o en la nube. Acceden a él de la
misma manera.
Autenticación
La habilidad 2-2 se centra en los aspectos de autenticación de Azure Active Directory,

como la sincronización de hash de contraseña (PHS), la autenticación de paso (PTA), la
federación, el autoservicio de restablecimiento de contraseña (SSPR), la autenticación
multifactor (MFA), Windows Hola para empresas y protección con contraseña de Azure
AD.
Gestión de Acceso
La habilidad 2-3 se centra en los aspectos de administración de acceso de Azure Active

Directory, específicamente la función de acceso condicional. En un alto nivel, puede definir
qué usuarios o grupos deben cumplir con un criterio específico, como completar MFA o
tener un dispositivo o tipo de plataforma específico antes de que puedan acceder a un
recurso, como una aplicación específica o las aplicaciones en su arrendatario. También hay
muchos roles diferentes de Azure Active Directory que se pueden asignar a los
administradores para seguir el principio de privilegio mínimo y al mismo tiempo otorgar el
acceso necesario para realizar las tareas que deben realizar.
Dispositivos
Intune es la principal plataforma de administración de dispositivos para dispositivos

basados en la nube, pero hay objetos de dispositivo en Azure Active Directory que están
registrados en Azure AD, Azure híbridoUnido a AD o unido a Azure AD. Cubriremos los
dispositivos híbridos unidos a Azure AD con más detalle en la siguiente sección, pero estos
dispositivos se pueden usar como un control en el acceso condicional que se debe cumplir
antes de acceder al recurso. Solo tenga en cuenta que los dispositivos existen en Azure AD,
pero la administración tradicional que piensa con los objetos de directiva de grupo (GPO)
se realiza desde Intune. Sin embargo, existe una estrecha relación entre Azure Active
Directory e Intune.
servicios de dominio
Azure Active Directory Domain Services le permite unir sus máquinas virtuales de Azure a
un dominio de Active Directory tradicional. Esto es completamente independiente de su
dominio local de Active Directory, pero se completa desde su arrendatario de Azure Active
Directory. Puede pensar en esto más como un bosque de recursos para protocolos
heredados como NTLM, Kerberos y LDAP para aplicaciones que se han levantado y
cambiado a Azure.
identidades externas
Azure Active Directory permite una fácil colaboración con otras empresas que utilizan
Azure AD Business-to-Business (B2B) que comparten recursos como documentos o
acceden a aplicaciones. Usaría Azure AD Business-to-Consumer (B2C) si está creando
aplicaciones orientadas al cliente que son soluciones de administración de acceso e
identidad del cliente (CIAM) con todas las funciones. Azure Active Directory B2C es un
directorio Azure Active Directory totalmente independiente. Tanto Azure AD B2B como
Azure AD B2C admiten el acceso condicional.
Gobernancia
La habilidad 2-4 se centra en los aspectos de gobernanza de Azure Active Directory. Estas
funciones incluyen revisiones de acceso y administración de derechos. El enfoque principal
de la gobernanza es determinar qué usuarios deben tener acceso a qué recursos. El proceso
de gobierno también debe ser auditable para verificar que esté funcionando.
Informes
Hay varias fuentes de registro disponibles, incluidos los cambios de directorio en los
registros de auditoría para iniciar sesión en los registros de eventos interactivos y no
interactivos. Azure AD también incluye registros para aplicaciones e identidades de
servicios administrados, que son un tipo específico de identidad de aplicación. Se puede
acceder a todos ellos en el portal de Azure Active Directory o exportarlos a Log Analytics,
Microsoft Sentinel o cualquier otro SIEM.
CONSEJO DE EXAMEN
Recuerde cuáles son las diferentes características que se usan para Azure AD y qué
problemas resuelven para una empresa.
Licencia
Azure Active Directory tiene tres niveles de licencia:
 Azure AD Free Azure AD Free proporciona gestión de usuarios y grupos,

así como sincronización de directorios. Esto se incluye cuando se registra en los
recursos de Office 365 o Microsoft 365.
 Azure Active Directory Premium 1 Este nivel es donde se incluyen la
mayoría de las funciones que se analizan en este capítulo. Esto incluye acceso
condicional, restablecimiento de contraseña de autoservicio con reescritura, grupos
dinámicos y mucho más.
 Azure Active Directory Premium 2 Este nivel incluye capacidades de
gobierno, como revisiones de acceso, administración de derechos y administración
de identidades de privilegios. También incluye características de seguridad
avanzadas de protección de identidad.
MÁS INFORMACIÓN FUNCIONES DE AZURE ACTIVE DIRECTORY POR

LICENCIA
Para obtener un desglose detallado de las funciones que se incluyen en cada nivel de
licencia, consulte https://aka.ms/SC900_AADLicensing .
CONSEJO DE EXAMEN
Recuerde qué funciones forman parte de Azure AD P2. El resto están incluidos en
Azure AD P1.
Describir qué es la identidad híbrida
Muy pocos clientes comienzan con un entorno completamente nuevo (un entorno
completamente nuevo y desde cero) con solo cuentas de Azure Active Directory que
acceden solo a los recursos de la nube. La mayoría de los clientes se encuentran en un
estado de identidad híbrida con sus inquilinos de Azure AD conectados a un AD
local. Aquí es donde deben existir las cuentas de usuario tanto en Active Directory local
como en Azure Active Directory. El usuario puede acceder a un servidor de archivos local
y luego acceder a su correo electrónico en Office365. Necesitan poder hacer esto con una
sola cuenta. La identidad híbrida lo hace posible. Si desea aprovechar su entorno de Active
Directory existente y aprovechar Azure Active Directory, deberá usar una identidad
híbrida.
Hay dos componentes distintos en una configuración de identidad híbrida:

 Sincronización de los usuarios y sus atributos de Active Directory a Azure
Active Directory.
 Autenticación en Azure Active Directory con credenciales de Active
Directory local. Esto se puede lograr a través de PHS, PTA o federación.
Conexión de Azure Active Directory
Azure Active Directory Connect es la herramienta principal que se utiliza para crear
usuarios, grupos y otros objetos en Azure Active Directory. La información se obtiene de
su Active Directory local, que es el escenario habitual para la mayoría de los clientes que
utilizan una identidad híbrida. Los cambios en su directorio local a esos objetos se
sincronizan automáticamente con Azure Active Directory. La fuente de autoridad (SOA)
para estos objetos es Active Directory local. Esto significa que la sincronización es una
sincronización unidireccional de Active Directory a Azure Active Directory.
Azure AD Connect tiene un asistente de configuración muy sólido para ayudarlo con
este proceso. Utiliza la configuración rápida, que elegirá las opciones predeterminadas por
usted, o puede hacer una instalación personalizada para obtener una gran granularidad con
sus opciones. Puede seleccionar qué objetos se sincronizarán con Azure Active Directory (y
qué atributos de esos objetos, si es necesario).
Otra parte del asistente de configuración lo ayuda a elegir qué método de autenticación
usarán sus usuarios para autenticarse en Azure Active Directory, como se muestra en
la Figura 2.1 .
FIGURA 2-1 Opciones de inicio de sesión del usuario
Azure AD Connect es una pieza clave de la infraestructura híbrida y debe protegerse de

la misma manera que protegería un controlador de dominio en Active Directory. Si un
atacante obtuviera acceso a un servidor de Azure AD Connect, esto sería el equivalente de
seguridad de obtener acceso a un controlador de dominio.
MÁS INFORMACIÓN AZURE ACTIVE DIRECTORY CONNECT

Puede obtener más información sobre cómo personalizar Azure AD Connect Sync
en https://aka.ms/SC900_AADConnectCustomize .
Sincronización de hash de contraseña
Las credenciales actuales en Active Directory local se sincronizan con Azure AD a través
de Azure AD Connect. La contraseña local nunca se envía a Azure Active Directory, sino
el hash de la contraseña. Los hash almacenados en Azure Active Directory son
completamente diferentes a los hash en Active Directory local. Los hashes de contraseña de
Active Directory son MD4 y AzureLos hashes de contraseña de Active Directory son
SHA256. El usuario se autentica en Azure Active Directory ingresando la misma
contraseña que usa localmente. Para conocer los detalles criptográficos detallados sobre
cómo funciona este proceso, consulte el elemento Más información a continuación.
MÁS INFORMACIÓN DETALLES DE SINCRONIZACIÓN DE HASH DE
CONTRASEÑA DE AZURE ACTIVE DIRECTORY CONNECT
Puede obtener más información sobre la sincronización de hash de contraseña de
Azure AD Connect Sync en http://aka.ms/aadphs .
También puede seleccionar la sincronización de hash de contraseña como una

característica opcional en Azure AD Connect si usa PTA o federación como su método de
autenticación principal, como se ve en la Figura 2.2 . Esto le da dos beneficios:
FIGURA 2-2 Sincronización de hash de contraseña
 Azure Active Directory puede alertarlo cuando el nombre de usuario y la

contraseña se descubren en línea. Habrá una alerta de credencial filtrada para ese
usuario.
 Si ocurre algo catastrófico en Active Directory local, un administrador
puede cambiar el método de autenticación a sincronización de hash de
contraseña. Esto permitiría a los usuarios seguir accediendo a los recursos de la
nube cuando se está ejecutando el plan completo de recuperación ante desastres.
La sincronización de hash de contraseña debe usarse como la opción de autenticación

predeterminada, a menos que existan requisitos específicos para no hacerlo.
Autenticación de paso
Con la autenticación PassThrough, la contraseña del usuario se valida con el Active

Directory local mediante agentes de PTA. Cuando un usuario va a la autenticación en
Azure AD, el nombre de usuario y la contraseña se cifran y se colocan en una cola. El
agente de PTA local llega a Azure AD, recoge la solicitud, descifra el nombre de usuario y
la contraseña y luego los valida con Active Directory. Luego regresa a Azure AD si la
autenticación fue exitosa. Esto permite que las políticas locales, como las restricciones de
hora de inicio de sesión, se evalúen durante la autenticación en los servicios en la nube. No
es necesario que el hash de contraseña esté presente en Azure Active Directory de ninguna
forma para que funcione la autenticación de PTA. Sin embargo, PHS se puede habilitar
como una función opcional.
El primer agente de PTA generalmente se instala en el servidor de Azure AD

Connect. Se recomienda que tenga un mínimo de tres agentes de la PTA para la
redundancia. Puede ver la cantidad total de agentes de PTA instalados en la página de
Azure AD Connect en el Portal de Azure AD que se muestra en la Figura 2-3 .
FIGURA 2-3 Agente de autenticación de paso a través instalado
Para ver las direcciones IP específicas de los agentes de PTA, haga clic en Pass-
Through Authentication , como se muestra en la Figura 2-4 . La cantidad máxima de
agentes de PTA por inquilino es 40. Los servidores que ejecutan agentes de PTA también
deben tratarse y protegerse de la misma manera que protegería un controlador de dominio.
FIGURA 2-4 Detalles instalados del agente de autenticación de paso a través
PTA debe usarse como una opción de autenticación si no se puede usar la

sincronización de hash de contraseña o si se requieren restricciones de horas de inicio de
sesión. Además, PTA es útil para una empresa que está tratando de alejarse de la
autenticación federada pero que aún no quiere pasar a la sincronización de hash de
contraseña.
MÁS INFORMACIÓN AUTENTICACIÓN PASS-THROUGH

Puede obtener más información sobre los detalles de cómo funciona PTA
en https://aka.ms/SC900_PTADeepDive .
Federación
Esto permite a los usuarios autenticarse en los recursos de Azure AD mediante las
credenciales proporcionadas por otro proveedor de identidad (IDP). En la configuración de
Azure AD Connect, cuando elige la opción Federación con AD FS , se instalan y
configuran los servicios de federación de Active Directory. Además, se instala un servidor
proxy de aplicación web (WAP) para facilitar la comunicación entre la implementación
local de AD FS e Internet. El WAP debe estar ubicado en la DMZ. El servidor AD FS
nunca debe estar expuesto a Internet directamente. La federación es la configuración de
autenticación de identidad más complicada. Hay algunas razones por las que se necesitaría
la autenticación federada en Azure AD, y hacerlo debería ser la última opción al evaluar
PHS, PTA y la federación.
En el momento de escribir este artículo, la autenticación con tarjeta inteligente no se

admite en Azure AD. Si ese es un requisito básico, entonces deberá usar la federación. Si se
necesita un proveedor de MFA personalizado que no está disponible en Azure AD, deberá
usar la federación para la autenticación.
Finalmente, los servidores AD FS deben protegerse y tratarse de la misma manera que

los controladores de dominio. Si un atacante pudiera obtener acceso al servidor de AD FS,
podría firmar notificaciones haciéndose pasar por cualquier usuario en el directorio.
MÁS INFORMACIÓN CÓMO ELEGIR EL MÉTODO DE AUTENTICACIÓN
ADECUADO PARA SU IDENTIDAD HÍBRIDA
Si no está seguro de cuál es el mejor método para usted, siga el árbol de decisiones que
se encuentra en https://aka.ms/SC900_ChooseTheRightAuthN .
CONSEJO DE EXAMEN
Asegúrese de comprender qué es una identidad híbrida, así como los componentes
asociados que se utilizan en una configuración de identidad híbrida.
Describir las identidades de Azure AD (usuarios, dispositivos, grupos y principales/aplicaciones de

servicio)
Las identidades de Azure AD se componen de cuatro categorías principales de identidades:

usuarios, dispositivos, grupos y aplicaciones. Todo esto estará presente en su arrendatario
de Azure AD.
Usuarios
Las identidades de usuario suelen estar conectadas a una persona. Estas son las identidades
en las que tradicionalmente piensa cuando los usuarios se autentican en un recurso. Cuando
alguien comienza a trabajar en una empresa, se le otorga una identidad de usuario que se
utiliza para identificar al usuario en varias aplicaciones y servicios, como O365 o
aplicaciones SaaS externas. Las identidades de usuario se pueden agregar a grupos o listas
de distribución, y pueden tener funciones administrativas. Las decisiones de autorización se
toman en función de las identidades de los usuarios. Las identidades de los usuarios pueden
ser miembros de su organización o estar fuera de ella, como se explicará más adelante en
esta habilidad.
Como se explica en la sección "Describir qué es la identidad híbrida", las identidades de

los usuarios normalmente se sincronizan desde el Active Directory local a través de Azure
AD Connect. Los atributos del usuario, como el nombre, el departamento y el teléfono de la
oficina, se pueden sincronizar en Azure AD Connect.
Las identidades de usuario también se pueden crear en Azure AD directamente. No se

necesita un Active Directory local. Todavía se necesita completar los datos de usuario
adicionales, como el departamento. Esto generalmente lo proporciona algún otro sistema
como parte de la incorporación del usuario. Ambos tipos de identidad de usuario se pueden
ver en la Figura 2-5 .
FIGURA 2-5 Todos los usuarios en Azure AD, incluidos los usuarios sincronizados y solo
en la nube
Cuando se usa el término identidad, lo más probable es que se refiera a la identidad de

un usuario.
Dispositivos
Los dispositivos también tienen una identidad en Azure AD. Hay tres tipos de identidades
de dispositivos en Azure AD, pero incluimos una identidad de dispositivo local, por lo que
hay una imagen completa de todos los estados de dispositivo que encontrará.
 Dominio : computadora unida Primero, tenemos una computadora

tradicional unida a un dominio. Suele ser un dispositivo propiedad de la empresa
que se une al Active Directory local. La cuenta de Active Directory local se utiliza
para iniciar sesión. Este es probablemente el tipo de identidad de dispositivo con el
que está más familiarizado y se ha utilizado desde que Active Directory llegó por
primera vez a Windows 2000.
 Azure AD híbrido : dispositivo unido A continuación, está el dispositivo
unido a Azure AD híbrido, que es donde el dispositivo está unido al dominio de
Active Directory pero también tiene una identidad en Azure AD. Normalmente, esta
identidad se crea mediante el proceso de sincronización de Azure AD Connect al
sincronizar cuentas de equipo con Azure AD. La cuenta que se usa para iniciar
sesión en el dispositivo sigue siendo una cuenta de Active Directory local. Sin
embargo, debido a que este dispositivo tiene una identidad en Azure AD, esto se
puede usar como parte de los controles de acceso condicional. También brinda a los
usuarios una mejor experiencia de usuario al reducir las solicitudes para las
aplicaciones respaldadas por Azure AD.
 Azure AD : los dispositivos unidos a Azure AD se unen directamente a
Azure AD. En lugar de unirse al dominio de Active Directory local, se une
directamente a Azure AD. Intune se usa para aplicar políticas y administrar el
dispositivo unido a Azure AD. Con un dispositivo unido a Azure AD, la cuenta de
Azure AD se usa para iniciar sesión. Un dispositivo no puede estar unido al dominio
de Active Directory y Azure Active Directory al mismo tiempo.
 Azure AD : registrado Por lo general, se trata de un dispositivo personal,
como un teléfono móvil o una computadora personal. Esto se usa principalmente
para escenarios BYOD donde se necesitan algunos recursos corporativos, pero no se
proporciona un dispositivo. Intune se usa para proporcionar algunas capacidades de
administración de luz. Se usa una cuenta local, tal vez una cuenta de Microsoft, para
iniciar sesión, no una cuenta corporativa de Active Directory o Azure Active
Directory. Los miembros de Azure AD, los miembros híbridos de Azure AD y los
registrados de Azure AD se pueden ver en la sección Dispositivos del portal de
Azure AD, como se muestra en la Figura 2-6 .
FIGURA 2-6 Todos los dispositivos en Azure AD
Grupos
Los grupos son una colección de usuarios o dispositivos. Se utilizan para especificar una
acción o aplicar una política en muchos de estos objetos a la vez en lugar de hacerlo
individualmente. Por ejemplo, si queremos otorgar acceso a una aplicación de ventas a
todos los miembros del departamento de ventas, podemos asignar el grupo de ventas en
lugar de asignar a cada miembro individualmente. También podemos aplicar licencias al
grupo, y todos los miembros recibirán la asignación de licencia. Esto permite que el
administrador tome medidas a mayor escala.
Hay varios tipos de grupos que puede usar en Azure AD:
 Puede sincronizar sus grupos locales desde Active Directory para usarlos
como un grupo de seguridad.
 También puede crear un grupo de seguridad de Azure AD en el que la
pertenencia se asigne directamente al grupo.
 También se puede hacer que el grupo tenga una membresía dinámica en
función de los atributos del usuario o del dispositivo.
Los diferentes tipos de grupos y tipos de miembros se muestran en la Figura 2-7 .

FIGURA 2-7 Creación de un nuevo grupo
Utilizando el ejemplo anterior del equipo de ventas, se podría crear un grupo dinámico
en el que cuando el departmentes igual a Sales, lo que significa que están automáticamente
en el grupo (consulte la Figura 2-8 ). Estos grupos dinámicos están constantemente
reevaluando y agregando y eliminando miembros. La automatización que se puede
construir alrededor de grupos dinámicos es tremenda.
FIGURA 2-8 Reglas de membresía dinámica
Los grupos de Microsoft 365, a veces denominados grupos unificados, son un tipo de
grupo más nuevo y representan la dirección futura de los permisos de recursos en Microsoft
365, como Teams, SharePoint y Exchange Online. Se puede usar un grupo para garantizar
un acceso coherente con un esfuerzo administrativo menor en todo el conjunto de
aplicaciones de Microsoft 365.
Aplicaciones
Nadie inicia sesión en nada por el gusto de hacerlo. Los usuarios inician sesión para hacer
algo importante para ellos, como enviar un correo electrónico, revisar su talón de pago o
acceder a una aplicación de línea de negocio. Las aplicaciones son los impulsores del día a
día para los usuarios y hay muchas aplicaciones en Azure AD.
Como se describió anteriormente, Azure AD admite estándares abiertos como SAML,

OAuth y OpenID Connect. Cualquier aplicación que admita estos protocolos se puede
integrar en Azure AD. Azure AD también tiene una Galería de aplicaciones donde
Microsoft ha trabajado con estos diferentes proveedores de aplicaciones para que la
configuración sea lo más fácil posible. La Galería de aplicaciones se puede ver en la Figura
2-9 . Azure AD también puede funcionar con sus aplicaciones web locales mediante el
proxy de aplicación de Azure AD, como se describió anteriormente.
FIGURA 2-9 Galería de aplicaciones de Azure AD
Las aplicaciones de línea de negocio también se pueden actualizar para usar la

autenticación de Azure AD. Dado que Azure AD admite estándares abiertos, cualquier
idioma que tenga una biblioteca para SAML, OAuth u OpenID Connect puede integrarse
con Azure Active Directory. Microsoft también tiene la biblioteca MSAL para simplificar
el proceso de autenticación para muchos lenguajes comunes, como .NET, ASP.NET,
Node.js, Java, Python, iOS, macOS, Android y Xamarin.
MÁS INFORMACIÓN BIBLIOTECAS MSAL

Para obtener más información sobre las bibliotecas de MSAL disponibles,
consulte https://aka.ms/SC900_MSAL .
Las identidades de las aplicaciones se pueden ver en la sección Aplicaciones

empresariales del portal de Azure AD, como se muestra en la Figura 2-10 . Estos se
denominan entidades de servicio . Estos definen la política de acceso y los permisos para la
aplicación en cuanto a lo que puede hacer en el arrendatario. Hay muchos detalles del
desarrollador más allá del alcance de este examen, pero aquí hay un ejemplo del mundo
real: cuando se aplica una política de acceso condicional, como solicitar a los usuarios que
completen MFA antes de acceder a una aplicación, se aplica una política de acceso
condicional a un servicio. principal. Estos se agregan automáticamente al arrendatario
cuando integra una aplicación desde la Galería de aplicaciones, acepta una aplicación o
agrega una aplicación de proxy de aplicación.
FIGURA 2-10 Aplicaciones empresariales de Azure AD
Un segundo tipo de entidad de servicio se denomina identidad administrada . Esto suele

ser para desarrolladores, pero realmente lo puede usar cualquiera que administre recursos
de Azure que accedan a la autenticación de Azure Active Directory. La idea es que no es
necesario realizar una gestión de credenciales para la aplicación. Sin identidades
administradas, un desarrollador necesitaría rotar un secreto compartido (una contraseña
para una aplicación) o un certificado a intervalos regulares. Estas credenciales también
deben protegerse. Con una identidad administrada, el servicio maneja el almacenamiento y
la rotación.
MÁS INFORMACIÓN IDENTIDADES ADMINISTRADAS DE AZURE AD

Para obtener más información sobre las identidades administradas,
consulte https://aka.ms/ManagedIdentities .
El último tipo de identidad de la aplicación es el objeto de la aplicación creado por el

registro de la aplicación. Esto configura la aplicación para usar identidades de Azure AD
para la autenticación (en su arrendatario o por los arrendatarios de Azure AD de otras
personas si elige permitirlo) y da como resultado la creación de un objeto de aplicación en
Azure AD. Cosas como el identificador uniforme de recursos (URI) de la aplicación y los
permisos de la aplicación se definen en este objeto. Cada objeto de aplicación (creado a
través de Azure Portal o mediante las API de Microsoft Graph o el módulo PS de Azure
AD) también crea un objeto principal de servicio correspondiente que hereda ciertas
propiedades de ese objeto de aplicación. Esto se encuentra en un arrendatario, pero no
estaría en su arrendatario a menos que fuera una aplicación que su empresa estaba
desarrollando (vea la Figura 2-11).
FIGURA 2-11 Registro de aplicaciones de Azure AD
Poner todo junto con algunos ejemplos debería aclarar lo que los administradores ven en
el portal. Contoso usa Office 365. Habrá una entidad de servicio para Office 365 Exchange
en línea, Office 365 SharePoint en línea, etc. en sus aplicaciones empresariales. No
habrá un registro de solicitud para esas solicitudes. El registro de la aplicación estaría en el
inquilino de Microsoft, no en el inquilino de Contoso. Lo único que vería Contoso es la
entidad de servicio en Aplicaciones empresariales. Esto se aplica a cualquier aplicación
agregada desde la galería o que se agregue manualmente. Contoso está moviendo su
aplicación de línea de negocio para aprovechar la autenticación de Azure AD.En este
escenario, habría un objeto para esta aplicación de línea de negocio en la sección Registros
de aplicaciones y un objeto principal de servicio en la sección Aplicaciones empresariales.
MÁS INFORMACIÓN APLICACIONES Y ENTIDADES DE SERVICIO DE

AZURE AD
Para obtener más información sobre las entidades de servicio y las aplicaciones de
Azure AD, consulte https://aka.ms/SC900_AADAppObjects .
Describir los diferentes tipos de identidad externa (usuarios invitados)
Los modelos comerciales de la mayoría de las empresas requieren que trabajen con
identidades externas. Esto puede ser en forma de socios comerciales, distribuidores,
proveedores o vendedores. Anteriormente, en este tipo de escenario, se usaría un bosque de
Active Directory externo y el socio comercial tendría una cuenta separada en ese
bosque. Esto presentó un par de desafíos. En primer lugar, debido a que estas identidades
no eran las identidades corporativas principales de los socios comerciales, con frecuencia
olvidaban sus contraseñas, lo que aumentaba las llamadas a la mesa de ayuda. En segundo
lugar, cuando este socio comercial dejara su empresa, aún tendría una cuenta en el bosque
externo de Active Directory a menos que se haya configurado un proceso de notificación
por separado (lo cual es poco común). El socio comercial aún podría iniciar sesión y
acceder a los recursos, incluso si no debería poder hacerlo.
Azure AD B2B se centra en permitir la colaboración entre empresas. Por ejemplo,
consideremos una aerolínea que diseña y obtiene repuestos de muchas compañías
diferentes. Estos socios comerciales con frecuencia necesitan trabajar en un documento o
acceder a otros recursos alojados por la aerolínea. Azure AD B2B facilita esta colaboración
y resuelve los dos problemas anteriores al invitar su identidad corporativa a su inquilino
como usuario invitado, como se muestra en la Figura 2-12.. Lo único que se necesita para
que esto funcione es el correo electrónico de la entidad corporativa. El acceso a los recursos
en su arrendatario se controlaría como lo haría con otros usuarios, incluida la capacidad de
aplicar políticas de acceso condicional a estas cuentas de invitado. Toda la autenticación
para el usuario invitado se lleva a cabo en su directorio de inicio. La aerolínea invitaría a su
proveedor a su inquilino para trabajar en un documento. Antes de que el usuario de la
empresa proveedora pudiera acceder al documento, se autenticaría en su arrendatario de
vivienda. Si la autenticación es exitosa y pasó los requisitos de acceso condicional, el
proveedor tendría acceso a lo que se le otorgó en el arrendatario de la compañía aérea, que
en este caso es el documento.
FIGURA 2-12 Invitación B2B de Azure AD
Esto resuelve el primer problema de la contraseña porque el proveedor está usando sus
credenciales corporativas actuales, no una cuenta adicional que deba recordar cuando la
use. Cualquier restablecimiento de contraseña tendría que realizarse en su directorio de
inicio para su cuenta corporativa principal, tal como lo harían hoy si olvidaran su
contraseña. También resuelve el segundo problema porque si el socio deja su empresa, su
cuenta corporativa sería cancelada. No podrían autenticarse ni acceder con éxito a ninguno
de los recursos de su organización.
MÁS INFORMACIÓN INVITACIÓN B2B Y CANJE

Para conocer las diferentes formas en que los usuarios B2B pueden canjear
invitaciones, consulte https://aka.ms/SC900_B2BRedemption .
Las identidades externas también pueden ser clientes que compran productos o
servicios. Tradicionalmente, los clientes tendrían que crear una cuenta en el sitio web para
completar el pedido. Esto puede ser frustrante para el cliente porque ahora debe crear una
cuenta en cada sitio desde el que quiera comprar bienes o servicios. Este es el escenario
tradicional de administración de acceso e identidad del cliente (CIAM), donde Azure AD
Business-to-Consumer (B2C) entra en juego para ayudar con este problema.
Azure AD B2C se enfoca en sus clientes comerciales. En nuestro ejemplo de aerolínea,

esta sería la persona que compra un vuelo de la aerolínea. Esta persona usaría una cuenta
B2C para completar su compra. Azure AD B2C es un directorio independiente de su
directorio corporativo de Azure AD y puede escalar a millones de usuarios. La marca de
Azure AD B2C es totalmente personalizable por aplicación u organización. Por lo general,
este tipo de personalización y flexibilidad requerirá un desarrollador que comprenda
tecnologías web como HTML, CSS y JavaScript.
Otro aspecto de Azure AD B2C es que puede admitir otras identidades de

consumidores, como una cuenta de Microsoft (MSA), una cuenta de Google o
Facebook. De esta forma, al comprar un boleto de la aerolínea, el usuario no necesitaría
crear una nueva cuenta. En cambio, el usuario podría usar una de sus otras cuentas para
autenticarse. Realmente depende de la empresa decidir qué cuentas quieren que usen sus
clientes.
MÁS INFORMACIÓN AZURE AD B2B Y AZURE AD B2C

Para comparar todas las características de Azure AD B2B y Azure AD B2C,
consulte https://aka.ms/SC900_B2BANdB2C .
Habilidad 2-2: Describir las capacidades de autenticación de Azure AD
Este objetivo se ocupa de las capacidades de autenticación de Azure Active

Directory. Aprenderá las formas en que podemos evitar que los usuarios usen contraseñas
débiles tanto en Azure Active Directory como en Active Directory. También aprenderá
sobre el autoservicio de restablecimiento de contraseñas, que es una de las maneras más
fáciles de reducir el volumen de llamadas a la mesa de ayuda, aumentar la seguridad y
aumentar la flexibilidad y satisfacción del usuario. Luego nos centraremos en la
autenticación multifactor: qué significa y qué métodos están disponibles para los
usuarios. Finalmente, analizaremos los métodos de autenticación sin contraseña, como
Hello for Business y la aplicación de autenticación, que aumentan significativamente tanto
la seguridad como la experiencia del usuario.
Describir los diferentes métodos de autenticación.
Azure Active Directory proporciona varios métodos de autenticación para los usuarios. La
más común son las contraseñas. Si bien muchas personas están familiarizadas con este
método, vimos en la sección de principios y conceptos de identidad que muchos de los
ataques más comunes involucran el uso de contraseñas. Las contraseñas deben fortalecerse
cuando sea posible y combinarse con factores más fuertes hasta que puedan eliminarse por
completo.
Más adelante en esta sección, entraremos en más detalles sobre los métodos MFA, pero
la autenticación multifactor es una combinación de algo que sabes, algo que tienes o algo
que eres. Los siguientes factores satisfacen el requisito de algo que tiene: una llamada
telefónica, un mensaje de texto, un token de hardware, un token de software con un código
de acceso único (OTP) o una notificación de inserción de la aplicación Microsoft
Authenticator. La combinación de una contraseña con uno de estos métodos aumentará en
gran medida su postura de seguridad y es realmente la barra de seguridad mínima que las
organizaciones deben alcanzar en un entorno moderno.
Los métodos de autenticación más recientes y sólidos son los métodos de autenticación
sin contraseña (que son una forma de autenticación multifactor que ya no requiere una
contraseña). Estos incluyen Windows Hello for Business, FIDO2 y la aplicación Microsoft
Authenticator. Para registrarse para una autenticación sin contraseña, estas credenciales
deben reiniciarse aprovechando MFA o un Pase de acceso temporal (TAP). Un TAP es un
código de acceso de tiempo limitado que emite un administrador y cumple con los estrictos
requisitos de autenticación. Se puede usar un TAP para registrar credenciales sin
contraseña.
En esta sección, entraremos en más detalles sobre cómo podemos fortalecer las
contraseñas y MFA y las credenciales sin contraseña como Hello for Business.
Describir las capacidades de administración y protección de contraseñas
En este punto, debería ser obvio que las contraseñas son uno de los eslabones de seguridad
más débiles que tenemos en nuestras organizaciones. Por mucho que nos gustaría eliminar
las contraseñas por completo, eso no es práctico para la mayoría de los entornos. Sin
embargo, hay varias cosas que podemos hacer hoy para fortalecer las contraseñas que
usamos. Primero, las políticas de contraseñas establecidas por las organizaciones ponen a
las personas en patrones predecibles para el uso de contraseñas. Como vimos con el ataque
de rociado de contraseñas, hacer que los usuarios cambien sus contraseñas cada 30 días
puede hacer que los usuarios configuren su contraseña con
el patrón MonthYearSpecialCharacter(por ejemplo, ). September20201!A menudo, los
cambios de contraseña trimestrales hacen que los usuarios creen contraseñas que coincidan
con las estaciones. Esto debe cambiarse desde una perspectiva de política para exigir
contraseñas más seguras que se cambien con menos frecuencia.
Otra forma de detener estas contraseñas fáciles de adivinar es aprovechar Azure AD

Password Protection, que detecta y evita que se usen contraseñas fácilmente conocidas a
través de una lista prohibida global, que es una lista personalizada que una organización
controla y usa un sistema basado en puntaje. Azure AD Password Protection se puede
configurar en modo de auditoría o en modo forzado, lo que le permite ver cuántas
contraseñas se habrían bloqueado. Esta es una excelente manera de mostrar la necesidad de
habilitar funciones con la administración. ¡Funciona de forma nativa para cuentas basadas
en la nube y puede extenderse a cuentas locales en Active Directory!
MÁS INFORMACIÓN POLÍTICAS DE CONTRASEÑAS DE LA

ORGANIZACIÓN
Para obtener recomendaciones sobre la administración de contraseñas,
consulte https://aka.ms/SC900_PasswordGuidance .
Lista global prohibida de Azure AD Password Protection
El equipo de Azure Active Directory actualiza y mantiene la lista global prohibida y se basa
en contraseñas débiles o comprometidas de uso común. No hay nada que configurar,
actualizar o mantener desde una perspectiva organizacional. Esta lista tampoco se puede
deshabilitar. Esta lista se aplica automáticamente durante un cambio o restablecimiento de
contraseña a través de Azure Active Directory. Esta lista se combinará automáticamente
con la lista prohibida personalizada cuando se evalúen las contraseñas.
Lista personalizada de prohibidos de Azure AD Password Protection
La lista prohibida personalizada permite a las organizaciones agregar contraseñas

prohibidas específicas para su organización. Esto debe incluir cosas como nombres de
productos y marcas, ubicaciones de la empresa, términos internos específicos de la empresa
o abreviaturas. También es bueno agregar contraseñas que tengan un significado local,
como equipos deportivos locales (vea la Figura 2-19 ). Esta lista puede contener un número
máximo de 1.000 términos. La lista personalizada no está diseñada para contener una gran
lista de contraseñas comunes como la irockyoulista. Recuerde, las contraseñas deben pasar
un umbral de puntuación. No están prohibidos por completo solo porque aparecen en la
lista.
NOTA IROCKYOU LISTA

La irockyou lista es una gran lista de contraseñas de uso común. Los atacantes usan
esta lista cuando intentan adivinar una contraseña .
La Figura 2-13 muestra la pantalla Protección con contraseña de Azure AD.
FIGURA 2-13 Protección con contraseña de Azure AD
Cómo se puntúan las contraseñas
Las contraseñas pasan por varios pasos durante el proceso de puntuación. Primero, pasan
por un proceso de normalización. Todos los caracteres en mayúsculas se cambian a
minúsculas y se realizan todas las sustituciones de caracteres comunes (por ejemplo, en se
cambia a la letra a, y 0 (cero) se cambia a una letra o) p@ssw0rd. @Luego se calcula la
puntuación de la contraseña. En primer lugar, se realizan coincidencias aproximadas y
coincidencias de subcadenas para ver si la contraseña normalizada aparece en la lista de
contraseñas prohibidas globales o personalizadas. Por cada contraseña encontrada en la
contraseña de un usuario, se otorga un punto. Luego, se otorga un punto por cada carácter
restante que no forma parte de la contraseña prohibida. Una contraseña debe obtener una
puntuación de 5 o más para ser aceptada.
MÁS INFORMACIÓN EJEMPLOS DE PUNTUACIÓN DE CONTRASEÑAS

Para obtener más ejemplos del proceso de puntuación,
consulte https://aka.ms/SC900_PasswordScoring .
Protección de contraseña de Azure Active Directory con Active Directory
Azure Active Directory Password Protection también se puede usar con Active Directory
local. La misma lista global y personalizada se puede usar para restablecer o cambiar
contraseñas en Active Directory. En un nivel alto, un agente de protección de contraseñas
que incluye un filtro de contraseñas.dllestá instalado en cada controlador de dominio. Esto
también funcionará con cualquier filtro de contraseña existente en el controlador de
dominio. Este agente se comunica con el servicio de proxy de protección con contraseña de
Azure Active Directory que se ejecuta en un servidor miembro del dominio. Este proxy de
protección es lo que llega a Azure Active Directory para obtener las listas globales y
personalizadas. Ahora puede aplicar la misma lista global y personalizada a los cambios o
restablecimientos de contraseña en Azure Active Directory o Active Directory. Esta es una
excelente manera de aumentar la seguridad de su contraseña tanto en las instalaciones como
en la nube.
MÁS INFORMACIÓN INTEGRACIÓN DE ACTIVE DIRECTORY DE

CONTRASEÑAS PROHIBIDAS DE AZURE AD
Para obtener detalles sobre cómo implementar la integración de Active Directory,
consulte https://aka.ms/SC900_BannedPasswordADIntegration .
Describir el restablecimiento de contraseña de autoservicio
Las solicitudes de restablecimiento de contraseña son uno de los mayores impulsores de las
llamadas a la mesa de ayuda, que consumen tiempo y dinero. A los usuarios tampoco les
gusta llamar a la mesa de ayuda para nada, y mucho menos para algo tan simple como un
restablecimiento de contraseña. Finalmente, llamar a la mesa de ayuda para restablecer una
contraseña es un método utilizado por los atacantes para acceder a una cuenta mediante
ingeniería social. Llaman con una solicitud urgente, como que no tienen tiempo para
realizar los procedimientos normales de verificación cuando hay un trato de un millón de
dólares en la línea, y solo quieren que se restablezca la contraseña en la cuenta.
Azure Active Directory ofrece la posibilidad de que los usuarios restablezcan sus
propias contraseñas. Esto se aplica a las cuentas solo en la nube, así como a las cuentas
híbridas, donde restablecería la contraseña de Active Directory local. Como administrador,
puede solicitar a los usuarios que pasen una o dos puertas de seguridad antes de que puedan
restablecer sus contraseñas, como se muestra en la Figura 2-14 .
FIGURA 2-14 Métodos de autenticación SSPR de Azure AD
Las cuentas de administrador también pueden aprovechar el restablecimiento de

contraseña de autoservicio, pero siempre deben pasar dos de las siguientes puertas de
seguridad.
 Notificación de aplicación móvil Esto también se puede usar como un

método de autenticación multifactor. Un usuario recibiría una notificación
automática en la aplicación de autenticación de Microsoft. Necesitarían aprobarlo
para satisfacer esta puerta. Esto también solo se puede usar cuando se requieren dos
puertas para SSPR.
 Código de aplicación móvil Esto también se puede usar como un método
de autenticación multifactor. Un usuario necesitaría ingresar el código que ve en la
aplicación móvil en el portal de restablecimiento de contraseña.
 Dirección de correo electrónico Debe ser una dirección de correo
electrónico distinta de la dirección de correo electrónico de Microsoft 365 Exchange
Online del usuario. El usuario necesitaría tener acceso a esta dirección de correo
electrónico y seguir las instrucciones en el correo electrónico. Este método no se
puede utilizar para la autenticación multifactor.
 Teléfono móvil También se puede utilizar como método de autenticación
multifactor. El usuario recibirá una llamada telefónica o un mensaje de texto SMS.
 Teléfono de la oficina También se puede utilizar como método de
autenticación multifactor. El usuario tendría que contestar el teléfono asociado con
su teléfono de oficina.
 Preguntas de seguridad Solo están disponibles para el autoservicio de
restablecimiento de contraseña de Azure AD y solo se pueden usar con cuentas a las
que no se les han asignado roles administrativos. Las preguntas se almacenan en el
objeto de usuario en Azure AD y un administrador no puede leerlas ni
modificarlas. Deben usarse junto con otro método. Un usuario debe responder tres,
cuatro o cinco preguntas para pasar esta puerta. Esto es configurable por el
administrador. Azure AD incluye las siguientes preguntas predefinidas y es posible
crear preguntas personalizadas:
 ¿En qué ciudad conoció a su primer cónyuge/pareja?

 ¿En que ciudad se reunieron tus padres?
 ¿En qué ciudad vive su hermano más cercano?
 ¿En qué ciudad nació tu padre?
 ¿En qué ciudad fue tu primer trabajo?
 ¿En qué ciudad nació tu madre?
 ¿En qué ciudad estabas en el Año Nuevo del 2000?
 ¿Cuál es el apellido de tu profesor favorito en la escuela secundaria?
 ¿Cuál es el nombre de la universidad a la que aplicó pero no asistió?
 ¿Cómo se llama el lugar en el que celebraron su primera boda?
 ¿Cuál es el segundo nombre de tu padre?
 ¿Cuál es tu comida favorita?
 ¿Cuál es el nombre y apellido de su abuela materna?
 ¿Cuál es el segundo nombre de tu madre?
 ¿Cuál es el mes y año de cumpleaños de tu hermano mayor? (por ejemplo,
noviembre de 1985)
 ¿Cuál es el segundo nombre de su hermano mayor?
 ¿Cuál es el nombre y apellido de su abuelo paterno?
 ¿Cuál es el segundo nombre de tu hermano menor?
 ¿A qué escuela asististe para el sexto grado?
 ¿Cuál era el nombre y apellido de tu mejor amigo de la infancia?
 ¿Cuál fue el nombre y apellido de su primera pareja?
 ¿Cuál era el apellido de tu profesor de primaria favorito?
 ¿Cuál fue la marca y modelo de su primer automóvil o motocicleta?
 ¿Cómo se llamaba la primera escuela a la que asististe?
 ¿Cómo se llamaba el hospital en el que naciste?
 ¿Cómo se llamaba la calle de la primera casa de tu infancia?
 ¿Cómo se llamaba el héroe de tu infancia?
 ¿Cuál era el nombre de tu animal de peluche favorito?
 ¿Cuál era el nombre de tu primera mascota?
 ¿Cuál era su apodo de la infancia?
 ¿Cuál era tu deporte favorito en la secundaria?
 ¿Cuál fue su primer trabajo?
 ¿Cuáles fueron los últimos cuatro dígitos de su número de teléfono de la
infancia?
 Cuando eras joven, ¿qué querías ser de mayor?
 ¿Quién es la persona más famosa que has conocido?
MÁS INFORMACIÓN MÉTODOS DE AUTENTICACIÓN

Puede obtener más información sobre los métodos de autenticación
en https://aka.ms/SC900_AADAuthMethods .
El autoservicio de restablecimiento de contraseña de Azure AD también puede

restablecer la contraseña de los usuarios híbridos en Active Directory. Se requiere Azure
AD Connect con la escritura diferida de contraseña habilitada, como se muestra en
la Figura 2-15 . En este escenario, el restablecimiento de contraseña se escribe primero en
un Active Directory local. Si tiene éxito, el usuario recibe el mensaje de que su contraseña
se ha cambiado correctamente. Si la sincronización de hash de contraseña está habilitada, la
nueva contraseña se sincroniza con Azure Active Directory a través de Azure AD
Connect. Ningún otro tipo de directorio admite la reescritura.
FIGURA 2-15 Escritura diferida de contraseña de SSPR de Azure AD habilitada
MÁS INFORMACIÓN AUTOSERVICIO DE REESCRITURA

Puede obtener más información sobre cómo funciona la escritura diferida de SSPR
en https://aka.ms/SC900_SSPRWriteback .
El autoservicio de restablecimiento de contraseña de Azure AD también está integrado

con la pantalla de bloqueo de Windows 10, como se muestra en la Figura 2-16 . Para que el
usuario inicie sesión en la estación de trabajo después de restablecer su contraseña a través
de Azure AD SSPR, necesitará conectividad de red a un controlador de dominio, ya sea a
través de la red corporativa o la VPN. Esto no actualiza las credenciales almacenadas en
caché local en la estación de trabajo.
FIGURA 2-16 Azure AD SSPR habilitado en la pantalla de bloqueo de Windows
MÁS INFORMACIÓN IMPLEMENTACIÓN DE PANTALLA DE BLOQUEO

DE RESTABLECIMIENTO DE CONTRASEÑA DE AUTOSERVICIO
Puede obtener más información sobre cómo implementar Azure AD SSPR en la
pantalla de bloqueo de Windows en https://aka.ms/SC900_SSPRLockScreen .
Describir la autenticación multifactor
Como se describió anteriormente, la autenticación multifactor requiere que un usuario se

autentique con dos o más tipos de factores diferentes. Estos tipos de factores son algo que
conoce (generalmente una contraseña), algo que tiene (generalmente un teléfono u otro
dispositivo físico) o algo que usted es (biometría). Hacer que un usuario ingrese dos
contraseñas diferentes no contaría como autenticación multifactor porque las contraseñas
usan el mismo tipo de factor, en este caso, conocimiento. Azure MFA incluye varias
opciones de autenticación diferentes.
 Teléfono El usuario recibirá una llamada telefónica y deberá presionar una

tecla específica, como #, o recibirá un mensaje de texto SMS con un código que
deberá ingresar en la pantalla de inicio de sesión.
 Notificación de aplicación móvil La aplicación Microsoft Authenticator
recibe una notificación de inserción de Azure MFA. El usuario ve la notificación en
la que debe verificar su autenticación. El usuario lo aprueba si el usuario realizó la
autenticación o lo niega en caso contrario.
 Código de aplicación móvil/tokens de software La aplicación Microsoft
Authenticator es compatible con el estándar de contraseña de un solo uso (TOTP)
basado en el tiempo de autenticación abierta (OATH). El código rota cada 30 o 60
segundos. También se pueden usar otros tokens de software compatibles con
OATH-TOTP, así como cualquier otra aplicación de autenticación de software
compatible con OATH-TOTP.
 Tokens de hardware También se pueden usar tokens OATH-TOTP SHA-1
que se actualizan cada 30 o 60 segundos.
Como notará, existe cierta superposición entre los métodos disponibles para SSPR y
Azure MFA. Según los factores que haya configurado, los usuarios pueden registrarse tanto
para SSPR como para MFA al mismo tiempo que se registran para SSPR o MFA si ha
habilitado el registro combinado de información de seguridad (consulte la Figura 2-17 ).
FIGURA 2-17 Experiencia de registro de información de seguridad combinada de Azure

AD
MÁS INFORMACIÓN INFORMACIÓN DE SEGURIDAD COMBINADA
Puede obtener más información sobre cómo implementar la información de seguridad
combinada en https://aka.ms/SC900_CombinedRegistration .
Para solicitar a los usuarios que realicen Azure MFA al acceder a un recurso, asegúrese
de configurar la opción en acceso condicional. (Esto se tratará en la Habilidad 2-3).
Aplicaciones que aprovechan protocolos modernos como WS-Fed, SAML, OAuth y
OpenID Connect y que están integradoscon Azure Active Directory pueden requerir MFA
antes de poder acceder a ellos. Además, las aplicaciones conectadas a Azure Active
Directory a través de Azure AD Application Proxy pueden aprovechar Azure MFA porque
el usuario realiza Azure MFA en Azure Active Directory antes de acceder a la
aplicación. Esto significa que la aplicación no necesita realizar ningún cambio para
aprovechar Azure MFA o cualquier otro control de acceso condicional.
Finalmente, tenga cuidado con los usuarios que solicitan en exceso. Esto puede conducir
a la fatiga de MFA donde aceptan por error un aviso de MFA generado por un atacante, lo
que anula el propósito de MFA por completo. Otro método es aprovechar una tecnología
sin contraseña como Windows Hello para empresas o FIDO2 al iniciar sesión en la estación
de trabajo. Esto satisfaría cualquier solicitud futura de MFA porque se realiza una
autenticación sólida al iniciar sesión. MFA es realmente lo mínimo que se puede hacer hoy
en día, pero la dirección a la que debe moverse es la autenticación sin contraseña. Es la
forma más fuerte de autenticación y proporciona la mejor experiencia de usuario. Es
realmente un ganar-ganar.
CONSEJO DE EXAMEN
Asegúrese de comprender qué constituye MFA y los métodos que se pueden usar para
la autenticación MFA (teléfono, mensaje de texto, aplicación de autenticación y token
de hardware).
Describir Windows Hello para empresas y credenciales sin contraseña
Las credenciales sin contraseña son la última forma de autenticación sólida que proporciona
el mejor equilibrio entre la experiencia del usuario y la seguridad. Autentican al usuario
mediante la combinación de métodos MFA: algo que usted tiene (el dispositivo), algo que
sabe (en este caso, un PIN vinculado al dispositivo) o algo que usted es (biometría). La
biometría incluye huellas dactilares o reconocimiento facial.
NOTA PIN VERSUS CONTRASEÑA

Lo importante que debe entender que separa un PIN de una contraseña es que un PIN
solo se puede usar en ese dispositivo donde está registrado. Una contraseña podría
usarse en cualquier lugar. Esta es una gran mejora de seguridad porque conocer el
PIN solo es valioso para el atacante si tiene ese dispositivo específico.
Además, debido a que el usuario está realizando MFA al iniciar sesión en el dispositivo,
su token de autenticación reflejará que ya ha completado MFA. Eso significa que los
futuros desafíos de MFA se satisfacen automáticamente cuando se usa este token, lo que
reducirá drásticamente las solicitudes de MFA que el usuario normalmente vería sin
comprometer la seguridad. Esto hace que la experiencia del usuario sea excelente y evita la
solicitud excesiva de MFA. Hay tres tipos de credenciales sin contraseña en Azure Active
Directory: Windows Hello for Business, la aplicación Microsoft Authenticator y FIDO2.
Windows Hello for Business es una excelente solución sin contraseña para cuando un
usuario usa el mismo dispositivo todos los días. Piense en su trabajador de la información
tradicional al que se le asigna una estación de trabajo que solo ellos usan. Para usar
Windows Hello for Business, un usuario debe completar el registro de Windows Hello for
Business, como se muestra en la Figura 2-18, realizando una autenticación fuerte. Durante
este proceso de registro, el usuario crearía su PIN y, opcionalmente, se inscribiría en datos
biométricos, como huellas dactilares o reconocimiento facial, si el hardware del dispositivo
lo admite y el administrador lo configura para hacerlo. También se genera una clave
pública/privada y la clave privada se almacena en el chip Trust Platform Module (TPM). El
usuario inicia sesión ingresando su PIN o utilizando un método biométrico. Este acto
desbloquea el chip TPM para acceder a la clave privada. Luego, Windows usa la clave
privada para autenticar al usuario con Azure AD.
FIGURA 2-18 Pantalla de registro de Windows Hello para empresas
Hay dos cosas importantes a entender acerca de este proceso.
 Primero, el PIN y la biometría (si se usan) nunca salen del dispositivo. No se

almacenan en Azure AD y no se desplazan a ningún otro dispositivo. Son
completamente locales para el dispositivo donde se realizó el registro.
 En segundo lugar, el PIN y la biometría no se usan para autenticar al usuario
en Azure AD. Este es un error común. La clave privada se utiliza para realizar la
autenticación. El PIN y la biometría se utilizan para desbloquear el TPM para
acceder a la clave privada. La clave privada (protegida por el TPM) se usa para
autenticar al usuario en Azure AD, NO el PIN ni los datos biométricos.
La experiencia de inicio de sesión del usuario se puede ver en la Figura 2-19 .

FIGURA 2-19 Pantalla de inicio de sesión de Windows con PIN de Windows Hello for
Business
MÁS INFORMACIÓN WINDOWS HELLO PARA EMPRESAS

Para comprender los detalles más precisos del proceso de registro y autenticación de
Windows Hello para empresas, consulte https://aka.ms/SC900_H4BDeepDive .
El segundo factor sin contraseña es la aplicación Microsoft Authenticator. Esto funciona

bien para escenarios en los que el usuario usa un dispositivo no corporativo, como una
máquina personal/doméstica o un dispositivo que no es de Windows (estación de trabajo
Mac o Linux). El usuario debe tener Microsoft Authenticator instalado en su dispositivo
móvil. Luego completan el proceso de habilitar el inicio de sesión del teléfono en la
aplicación Authenticator. El proceso de inicio de sesión del teléfono requiere que el usuario
haga coincidir el número en la pantalla al iniciar sesión, como se muestra en la Figura 2-
20 , con el número en el dispositivo, como se muestra en la Figura 2-21 .
FIGURA 2-20 Inicio de sesión de coincidencia de número sin contraseña visto por el
usuario.
FIGURA 2-21 Coincidencia de números sin contraseña en la aplicación Authenticator
Finalmente, tenemos las credenciales FIDO2, que es un estándar abierto respaldado por
la alianza FIDO. La autenticación FIDO2 funciona mejor en un escenario de una a muchas
máquinas o donde los teléfonos móviles no están permitidos por razones de seguridad. Por
ejemplo, una planta de fabricación puede tener un puñado de máquinas para que los
trabajadores registren las horas, verifiquen los beneficios o revisen el correo
electrónico. Pueden usar una máquina diferente cada vez. Es posible que tampoco se les
permita traer un teléfono móvil. FIDO2 tiene muchos factores de forma diferentes de
dispositivos además de la llave USB tradicional, como las tarjetas RFID. El registro y la
autenticación de FIDO2 funcionan de manera muy similar a Windows Hello for Business,
excepto que la clave privada se almacena en el propio dispositivo FIDO2 (en lugar de en el
TPM de la computadora). Al igual que con el TPM, esta clave privada está diseñada para
no exportarse nunca desde ese dispositivo FIDO2.
MÁS INFORMACIÓN ESPECIFICACIONES DE FIDO ALLIANCE Y FIDO2

Para obtener más información sobre los miembros de la Alianza FIDO y los detalles
del protocolo de FIDO2, consulte https://aka.ms/SC900_FIDO2 .
CONSEJO DE EXAMEN
La biometría y el PIN de Hello for Business nunca salen del dispositivo. No se
almacenan en Azure AD ni en ningún otro dispositivo. Solo se almacenan en el
dispositivo en el que se completó correctamente el registro de Hello for Business.
Habilidad 2-3: Describir las capacidades de administración de acceso de Azure AD
Este objetivo se ocupa de las capacidades de administración de acceso de Azure Active

Directory. El acceso condicional es el principal impulsor del acceso en Azure Active
Directory. Aprenderá las diferentes opciones de configuración disponibles en el acceso
condicional, así como las políticas comunes de acceso condicional. También aprenderá
sobre los roles integrados de Azure AD y sobre cómo seguir el modelo de privilegios
mínimos.
Describir qué es el acceso condicional
El acceso condicional es el motor de decisión principal y el punto de ejecución y el

impulsor final de la identidad como perímetro de seguridad principal, como se explica en la
sección "Principios y conceptos de identidad". Como administrador, puede combinar
diferentes requisitos, como quién es el usuario, los grupos o roles a los que pertenece, de
qué tipo de dispositivo proviene, qué aplicación está usando, cuál es el nivel de riesgo del
usuario y dónde está. provienen para determinar si se les permite el acceso, si se les niega el
acceso o si deben realizar una autenticación adicional, como la autenticación multifactor,
antes de que puedan acceder al recurso. Estos controles se realizancada vez que se realiza
una nueva autenticación contra Azure AD. En la Figura 2-22 se muestra un mensaje
denegado , que aparecerá si el intento de autenticación no cumple con los requisitos de la
política de acceso condicional.
FIGURA 2-22 Mensaje de política de acceso condicional cuando no se cumplen los

requisitos de la política
El acceso condicional también funciona con otras características de M365 como Microsoft
Cloud Application Security (MCAS) para seguridad adicional para monitorear sesiones y
actividades realizadas dentro de esa sesión después de la autenticación. El acceso
condicional brinda a los administradores una gran flexibilidad para garantizar que los
activos y recursos de la organización estén protegidos con los niveles de seguridad
deseados. El acceso condicional también garantiza que la fuerza laboral aún pueda trabajar
donde sea y cuando sea.
Describir los usos y beneficios del acceso condicional
El acceso condicional brinda al administrador un control muy granular para garantizar que
los usuarios cumplan con los requisitos de seguridad de la organización para acceder a los
recursos protegidos por Azure AD. Hay muchas opciones de configuración diferentes para
cumplir con varios escenarios (consulte la Figura 2-23 ).
FIGURA 2-23 Opciones de política de acceso condicional
Las opciones de configuración que se muestran en la Figura 2-23 son las que se
muestran aquí:
 Nombre Un nombre para la política de acceso condicional.

 Usuarios y grupos Usuarios, grupos o roles a los que se aplica la política.
 Aplicaciones o acciones en la nube A qué aplicaciones en la nube o
acciones de usuario se aplica la política. Las políticas pueden aplicarse a algunas o
todas las aplicaciones. También puede especificar acciones de usuario específicas
que activarán la política de acceso condicional, como registrarse para la
autenticación multifactor.
 Condiciones Las condiciones en las que se aplicará la póliza asociada. Estos
incluyen el riesgo del usuario, el riesgo de inicio de sesión que cubriremos más
específicamente en la Habilidad 2-4, "Describa las capacidades de gobierno y
protección de identidad de Azure AD". También puede determinar las plataformas
de dispositivos a las que se aplicará la política, como Windows, Android, iOS o
macOS. También puede determinar a qué ubicación se debe aplicar la política si
viene de fuera de la red corporativa o de una ubicación geográfica específica
configurada en su configuración de Redes con nombre. También puede determinar a
qué aplicaciones cliente se aplicará esta política.¿Se aplica a los clientes de
autenticación modernos, como un navegador, aplicaciones móviles y clientes de
escritorio? ¿O esta política se aplica a clientes de autenticación heredados como
ActiveSync? Por último, ¿cuál es el estado del dispositivo al que se aplica esta
política, por ejemplo, si el dispositivo híbrido está unido a Azure AD o marcado
como compatible?
 Controles de acceso Esto puede ser un control de bloqueo que evitaría el
acceso si se aplicara la política, o puede ser un control de concesión si el usuario
pasa los controles especificados. Estos controles de subvenciones incluyen:
 Requerir que el usuario satisfaga MFA.
 Acceso desde un dispositivo compatible con Intune.
 Acceso desde un dispositivo unido a Hybrid Azure AD.
 Para uso móvil, una aplicación de cliente aprobada que realiza una
autenticación moderna, como Outlook Mobile.
 Para uso móvil, una política de protección de aplicaciones significa
que la aplicación está administrada por aplicaciones móviles (MAM) en
Intune, lo que evita que los datos corporativos se trasladen a recursos no
corporativos. Por ejemplo, no puede guardar un documento de Word adjunto
desde su correo electrónico corporativo a una cuenta personal de
OneDrive; solo se puede guardar en una cuenta corporativa de OneDrive.
 Obligar al usuario a realizar un cambio de contraseña. Esto se utiliza
con la puntuación de riesgo del usuario.
 Controles de sesión que pueden permitir una experiencia de usuario limitada
con aplicaciones en la nube específicas, como:
 Restricciones impuestas por la aplicación que limitan lo que se puede
hacer en Exchange Online y SharePoint Online. Por ejemplo, si proviene de
un dispositivo no corporativo, solo puede leer elementos en SharePoint
Online, pero no puede descargarlos.
 Control de aplicaciones de acceso condicional, que funciona con
MCAS para monitorear la sesión para evitar la filtración de datos, proteger
los datos confidenciales en la descarga con Azure Information Protection,
monitorear el cumplimiento y bloquear el acceso por completo.
 La frecuencia de inicio de sesión define la cantidad de tiempo antes
de que se le pida a un usuario que vuelva a iniciar sesión cuando intenta
acceder a un recurso.
 Una sesión persistente del navegador permite que un usuario
permanezca conectado después de cerrar y volver a abrir la ventana del
navegador.
 Habilitar política se puede establecer en Solo informe , que debe usar para
determinar cómo funcionará la política antes de aplicarla (habilitar o deshabilitar la
política).
CONSEJO DE EXAMEN
Asegúrese de comprender las diferentes opciones de configuración al configurar una
política de acceso condicional y qué controles se pueden aplicar en el acceso.
Se pueden crear varias políticas. Cuando un usuario inicia sesión, se aplican todas las
políticas. No existe un orden de preferencia cuando se trata de políticas de acceso
condicional. La planificación y la previsión deben usarse para lograr el equilibrio correcto
de asegurar los recursos, permitiendo a los usuariosacceder a los recursos, y no tener tantas
políticas que la gestión se vuelva difícil de manejar y confusa.
MÁS INFORMACIÓN PLANIFICACIÓN DE POLÍTICAS DE ACCESO

CONDICIONAL
Para obtener más información sobre la planificación de su implementación de acceso
condicional y las mejores prácticas, consulte https://aka.ms/SC900_CAPlanning .
Las siguientes son algunas políticas comunes que muchas organizaciones tienden a
configurar con las opciones de configuración anteriores:
 Requerir MFA para administradores

 Bloquear la autenticación heredada
 Requerir MFA para todos los usuarios
 Requerir MFA para Azure Management
 Requerir dispositivos compatibles
 Bloquear el acceso de las ubicaciones desde las que la empresa no opera ni
hace negocios
 Requerir MFA cuando se detecta un riesgo
 Requerir un dispositivo o ubicación de la empresa al registrarse en MFA
MÁS INFORMACIÓN POLÍTICAS RECOMENDADAS DE ACCESO
CONDICIONAL
Para conocer las políticas de acceso condicional recomendadas,
consulte https://aka.ms/m365goldenconfig .
Describir los beneficios de los roles de Azure AD
Azure AD tiene muchos roles integrados que permiten al titular de ese rol realizar tareas de
administración de Azure AD que un usuario normal no puede realizar (consulte la Figura 2-
24 ). A las personas se les deben asignar roles que satisfagan el privilegio mínimo que
necesitan para completar la tarea. Por ejemplo, si alguien necesita administrar los
dispositivos en Azure AD para la organización, debe usar la función de administrador de
dispositivos en la nube , no la función de administrador global . Aunque
el administrador globalrol tiene los permisos necesarios para administrar dispositivos,
tiene muchos más privilegios de los necesarios para realizar la tarea de administrar
dispositivos. Este privilegio adicional (innecesario) podría aumentar el daño de un error
involuntario del administrador o el daño de una cuenta comprometida por parte de un
atacante. Seguir el modelo de privilegio mínimo es uno de los tres principios de confianza
cero.
FIGURA 2-24 Roles de Azure AD disponibles para asignar al usuario
Una buena analogía es pensar en la forma en que se diseña un submarino. Una fuga en un
área del casco está contenida en esa área y no hunde todo el barco. Los roles que siguen el
principio de privilegio mínimo funcionan en un asunto similar. La función de
administrador de dispositivos en la nube no puede eliminar el directorio como lo hace
un administrador global . Siga siempre el principio de privilegio mínimo. Los siguientes
roles integrados existen en Azure AD:
 Administrador de aplicaciones Puede crear y administrar todos los

aspectos del registro de aplicaciones y aplicaciones empresariales
 Desarrollador de aplicaciones Puede crear registros de aplicaciones
independientemente de la configuración Los usuarios pueden registrar
aplicaciones
 Autor de carga útil de ataque Puede crear cargas útiles de ataque que un
administrador puede iniciar más tarde
 Administrador de simulación de ataques Puede crear y administrar todos
los aspectos de las campañas de simulación de ataques.
 Administrador de autenticación Puede acceder a ver, configurar y
restablecer la información del método de autenticación para cualquier usuario que
no sea administrador
 Administrador de políticas de autenticación Puede crear y administrar
todos los aspectos de los métodos de autenticación y las políticas de protección de
contraseñas
 Administrador local de dispositivos unidos a Azure AD Los usuarios
asignados a este rol se agregan al grupo de administradores locales en dispositivos
unidos a Azure AD.
 Administrador de Azure DevOps Puede administrar la política y la
configuración de la organización de Azure DevOps
 Administrador de Azure Information Protection Puede administrar todos
los aspectos del producto Azure Information Protection
 Administrador de conjunto de claves IEF B2C Puede administrar secretos
para la federación y el cifrado en Identity Experience Framework (IEF)
 Administrador de políticas B2C IEF Puede crear y administrar políticas
de marco de confianza en Identity Experience Framework (IEF)
 Administrador de facturación Puede realizar tareas comunes relacionadas
con la facturación, como actualizar la información de pago
 Administrador de aplicaciones en la nube Puede crear y administrar todos
los aspectos de los registros de aplicaciones y aplicaciones empresariales, excepto
App Proxy
 Administrador de dispositivos en la nube Acceso limitado para
administrar dispositivos en Azure AD
 Administrador de cumplimiento Puede leer y administrar la configuración
y los informes de cumplimiento en Azure AD y Microsoft 365
 Administrador de datos de cumplimiento Crea y administra contenido de
cumplimiento
 Administrador de acceso condicional Puede administrar capacidades de
acceso condicional
 Aprobador de acceso a LockBox del cliente Puede aprobar solicitudes de
soporte técnico de Microsoft para acceder a los datos de la organización del cliente
 Administrador de análisis de escritorio Puede acceder y administrar
herramientas y servicios de administración de escritorio
 Lectores de directorio Puede leer información básica del
directorio. Comúnmente utilizado para otorgar acceso de lectura de directorio a
aplicaciones e invitados
 Cuentas de sincronización de directorios Solo las usa el servicio Azure AD
Connect
 Escritores de directorios Puede leer y escribir información básica de
directorios y se usa para otorgar acceso a aplicaciones (no está diseñado para
usuarios)
 Administrador de nombres de dominio Puede administrar nombres de
dominio en la nube y en las instalaciones
 Administrador de Dynamics 365 Puede administrar todos los aspectos del
producto Dynamics 365
 Administrador de Exchange Puede administrar todos los aspectos del
producto de Exchange
 Administrador de destinatarios de Exchange Puede crear o actualizar
destinatarios de Exchange Online dentro de la organización de Exchange Online
 Administrador de flujo de usuario de ID externo Puede crear y
administrar todos los aspectos de los flujos de usuario
 Administrador de atributos de flujo de usuario de ID externo Puede
crear y administrar el esquema de atributo disponible para todos los flujos de
usuario
 Administrador de proveedor de identidad externo Puede configurar
proveedores de identidad para el usuario en una federación directa
 Administrador global Puede administrar todos los aspectos de Azure AD y
los servicios de Microsoft que usan identidades de Azure AD
 Global Reader Puede leer todo lo que un administrador global puede, pero
no actualizar nada
 Administrador de grupos Los miembros de este rol pueden
crear/administrar grupos, crear/administrar configuraciones de grupo, como
políticas de nombres y caducidad, y ver la actividad de los grupos y los informes de
auditoría.
 Invitador invitado Puede invitar a usuarios invitados independientemente
de la configuración Los miembros pueden invitar invitados
 Administrador de Helpdesk Puede restablecer contraseñas para no
administradores y administradores de Helpdesk
 Administrador de identidad híbrida Puede administrar el
aprovisionamiento en la nube de AD a Azure AD, Azure AD Connect y la
configuración de federación
 Administrador de Insights Tiene acceso administrativo a la aplicación
Microsoft 365 Insights
 Insights Business Leader Puede ver y compartir paneles e información a
través de la aplicación M365 Insights
 Administrador de Intune Puede administrar todos los aspectos del
producto de Intune
 Administrador de Kaizala Puede administrar la configuración de
Microsoft Kaizala
 Administrador de conocimiento Puede configurar el conocimiento, el
aprendizaje y otras funciones inteligentes
 Administrador de licencias Puede administrar licencias de productos en
usuarios y grupos
 Lector de privacidad del Centro de mensajes Puede leer mensajes de
seguridad y actualizaciones solo en el Centro de mensajes de Office 365
 Lector del Centro de mensajes Puede leer mensajes y actualizaciones para
su organización solo en el Centro de mensajes de Office 365
 Usuario de comercio moderno Puede administrar compras comerciales
para una empresa, departamento o equipo
 Administrador de red Puede administrar ubicaciones de red y revisar
información de diseño de red empresarial para aplicaciones de software como
servicio (SaaS) de Microsoft 365
 Administrador de aplicaciones de Office Puede administrar los servicios en
la nube de las aplicaciones de Office, incluida la administración de políticas y
configuraciones, y puede administrar la capacidad de seleccionar, anular la
selección y publicar contenido de funciones de "Novedades" en los dispositivos de
los usuarios.
 Administrador de contraseñas Puede restablecer contraseñas para no
administradores y administradores de contraseñas
 Administrador de Power BI Puede administrar todos los aspectos del
producto Power BI
 Administrador de Power Platform Puede crear y administrar todos los
aspectos de Microsoft Dynamics 365, PowerApps y Microsoft Flow
 Administrador de impresoras Puede administrar todos los aspectos de las
impresoras y los conectores de impresoras
 Técnico de impresoras Puede registrar y cancelar el registro de impresoras
y actualizar el estado de la impresora
 Administrador de autenticación con privilegios Puede acceder a ver,
establecer y restablecer la información del método de autenticación para cualquier
usuario (administrador o no administrador)
 Administrador de roles privilegiados Puede administrar asignaciones de
roles en Azure AD y todos los aspectos de Privileged Identity Management
 Lector de informes Puede leer informes de auditoría e inicio de sesión
 Administrador de búsqueda Puede crear y administrar todos los aspectos
de la configuración de búsqueda de Microsoft
 Editor de búsqueda Puede crear y administrar el contenido editorial, como
marcadores, preguntas y respuestas, ubicaciones y planos de planta.
 Administrador de seguridad Puede leer información e informes de
seguridad y administrar la configuración en Azure AD y Office 365
 Operador de seguridad Crea y administra eventos de seguridad
 Lector de seguridad Puede leer información e informes de seguridad en
Azure AD y Office 365
 Administrador de soporte de servicio Puede leer información de salud del
servicio y administrar tickets de soporte
 Administrador de SharePoint Puede administrar todos los aspectos del
servicio de SharePoint
 Administrador de Skype Empresarial Puede administrar todos los
aspectos del producto Skype Empresarial
 Administrador de equipos Puede administrar el servicio de Microsoft
Teams
 Administrador de comunicaciones de Teams Puede administrar las
funciones de llamadas y reuniones dentro del servicio de Microsoft Teams
 Ingeniero de soporte de comunicaciones de Teams Puede solucionar
problemas de comunicación con Teams usando herramientas avanzadas
 Especialista en soporte de comunicaciones de Teams Puede solucionar
problemas de comunicación con Teams usando herramientas básicas
 Administrador de dispositivos de Teams Puede realizar tareas
relacionadas con la administración en dispositivos certificados por Teams
 Lector de informes de resumen de uso Solo puede ver agregados de nivel
de arrendatario en Microsoft 365 Usage Analytics and Productivity Score
 Administrador de usuarios Puede administrar todos los aspectos de los
usuarios y grupos, incluido el restablecimiento de contraseñas para administradores
limitados
MÁS INFORMACIÓN ROLES DE AZURE AD MÁS DETALLES

Para obtener más información sobre cada función de Azure AD,
consulte https://aka.ms/SC900_AADRoles .
Habilidad 2-4: Describir las capacidades de gobierno y protección de identidad de Azure AD
Este objetivo se ocupa de las características de seguridad avanzadas y la gobernanza. Toda

la funcionalidad de esta sección requiere una licencia de Azure AD Premium 2. Aprenderá
por qué la gobernanza es importante tanto desde la perspectiva de la seguridad como de la
productividad, así como escenarios comunes en los que puede implementar prácticas de
gobernanza. También aprenderá sobre la administración de identidades privilegiadas y
cómo puede reducir en gran medida el riesgo relacionado con las cuentas
administrativas. Finalmente, aprenderá sobre la protección de identidad y sus señales de
riesgo y cómo se pueden usar para solicitar a los usuarios MFA solo cuando se detecta un
riesgo.
Describir qué es el gobierno de la identidad
El gobierno de la identidad garantiza que las personas adecuadas tengan el acceso correcto
a los recursos correctos durante todo el ciclo de vida de sus cuentas. Esto ayuda a aumentar
la seguridad de la organización, así como a permitir la productividad. Repasar algunos
escenarios hará que la necesidad de un gobierno de identidad sea más clara.
Un nuevo empleado comienza en su empresa en el departamento de ventas. ¿A qué

recursos deberían tener acceso? ¿Quién determina este acceso? ¿Quién aprueba este
acceso? ¿Cuánto tiempo dura este proceso? Digamos que el empleado le pide ayuda a su
gerente. El gerente puede enviar una solicitud a la mesa de ayuda. La mesa de ayuda ahora
debe recoger esta solicitud y procesarla. Es posible que sea necesario agregar al empleado a
varios grupos, sitios y aplicaciones. Todos estos cambios deben ser procesados. Esto lleva
tiempo y la nueva contratación no es productiva hasta que sucede. ¿Qué pasa si una
aplicación o un sitio de SharePoint se omitió en la solicitud inicial del administrador o de la
mesa de ayuda? Ahora se debe enviar y procesar manualmente otra solicitud. Mientras
tanto, el empleado no puede comenzar su nuevo trabajo.
Algún tiempo después, este empleado de ventas está listo para asumir nuevos desafíos y
cambia a un trabajo en ingeniería. Se lleva a cabo un proceso similar al anterior. Sin
embargo, como parte de esa solicitud, nadie piensa en quitar el acceso anterior. Ahora el
empleado tiene acceso a todos los recursos de ingeniería y ventas. ¿Deberían
ellos? ¿Existen normas reglamentarias que requieran que algunos de estos datos estén
separados? Aunque el empleado no accedió al recurso, ¿se puede probar eso ante un
auditor? ¿Qué pasa con las reglas éticas entre estos dos conjuntos de datos diferentes?
Este escenario también se aplica a las cuentas de administrador donde el daño puede ser
aún más drástico. Alguien que alguna vez fue administrador de SharePoint y que pasa a una
nueva función sin que se le quiten sus antiguos privilegios de administrador podría ver más
información de la que debería poder ver en el entorno.
Esto también se aplica a los usuarios invitados externos. Por ejemplo, supongamos que
Contoso se está asociando con otra empresa en un nuevo producto muy secreto que
lanzarán juntos. ¿Todos los miembros de la empresa asociada deberían poder acceder al
sitio de SharePoint donde se almacenan los documentos secretos? ¿Quién es la persona
adecuada para decidir quién en la empresa asociada debería poder acceder a ellos? Si este
es un proyecto de larga duración, ¿las personas que completaron su tarea al principio aún
necesitan acceso al final?
Estos problemas descritos no son exclusivos de Contoso. Estos problemas tampoco son
nuevos para la industria. Es posible que haya oído que se describió anteriormente como
gestión del ciclo de vida de la identidad, gestión del ciclo de vida del acceso o proceso JML
(joiner/mover/leaver). La administración de derechos de gobierno de identidades de Azure
AD y las revisiones de acceso tienen como objetivo ayudar a una empresa a abordar estas
cuatro preguntas:
 ¿Qué usuarios deberían tener acceso a qué recursos?

 ¿Qué hacen esos usuarios con ese acceso?
 ¿Existen controles organizacionales efectivos para administrar el acceso?
 ¿Pueden los auditores verificar que los controles estén funcionando?
Describir qué son la administración de derechos y las revisiones de acceso
La administración de derechos resuelve algunos de los desafíos anteriores relacionados con

la administración de acceso e identidad a escala mediante la automatización. Lo hace
mediante la automatización de los flujos de trabajo de solicitud de acceso, la asignación de
acceso, las revisiones y el manejo de la caducidad del acceso, lo que reduce el riesgo de
olvidar o pasar por alto estas importantes pero manuales tareas. La página de descripción
general de la administración de derechos se puede ver en la Figura 2-25 .
FIGURA 2-25 Descripción general del gobierno de la identidad
La gestión de derechos utiliza paquetes de acceso. Un paquete de acceso le permite

realizar una configuración única de recursos y políticas que administra automáticamente el
acceso durante la vida del paquete de acceso. Puede considerarlo como un paquete de
recursos que un usuario necesitaría para trabajar en un proyecto o realizar una tarea. Los
paquetes de acceso funcionan bien cuando los departamentos desean administrar su propio
acceso sin la participación de TI: acceso que requiere la aprobación de personas como un
gerente, los empleados necesitan acceso por tiempo limitado para una tarea en particular y,
finalmente, para la colaboración externa en un proyecto con usuarios invitados B2B.
Usando el ejemplo de Contoso que hemos usado a lo largo de este capítulo, en lugar de
tratar de garantizar que todos los miembros del departamento de ventas tengan acceso a los
recursos correctos cada vez que se agrega una nueva persona al departamento de ventas o
cuando se necesita asignar un nuevo recurso de ventas. a todos los usuarios, podemos tener
un paquete de acceso para el departamento de ventas. Esto agruparía todos los recursos que
necesitaría cualquier persona que trabaje en ventas. Esto asegura que el acceso sea
consistente para todos los usuarios del departamento de ventas y si se necesita agregar un
nuevo recurso, podría agregarse a este paquete de acceso. Esto también se ampliaría para
otros departamentos en Contoso. Podríamos tener otro paquete de acceso para
ingeniería. Asimismo, también podríamos tener un paquete de acceso para nuestro proyecto
de socio secreto que incluye esas cuentas de invitado de Azure AD B2B.
Un administrador o un administrador de paquetes de acceso delegado puede definir qué

se incluye en un paquete de acceso. Esto significa que una unidad de negocios puede
administrar sus propias políticas de acceso a sus recursos sin la participación de TI. Cada
paquete de acceso tiene una política o múltiples políticas. Esto determina quién puede
solicitar acceso, quién aprueba su solicitud y la caducidad del acceso si no se renueva. Los
siguientes son recursos que se pueden gestionar con la gestión de derechos:
 Pertenencia a grupos de seguridad de Azure AD

 Membresía de Microsoft 365 Grupos y Equipos
 Membresía a sitios de SharePoint Online
 Asignación a aplicaciones de Azure AD, que incluye aplicaciones SaaS o
aplicaciones LOB
MÁS INFORMACIÓN ADMINISTRACIÓN DE DERECHOS DE AZURE AD

Para obtener más información sobre cada administración de derechos de Azure AD,
consulte https://aka.ms/SC900_EntitlementMgmt .
Otro aspecto clave de la gobernanza es asegurarse de que el acceso se revise

periódicamente para garantizar que se elimine a las personas que ya no necesitan
acceso. Aquí es donde las revisiones de acceso pueden entrar en juego. Las revisiones de
acceso, como se ve en la Figura 2-26 , se utilizan para revisar la pertenencia a grupos, el
acceso a las aplicaciones y las asignaciones de funciones. Estas revisiones pueden y deben
realizarse de manera regular, ya sea semanal, mensual, trimestral o anual. Los revisores de
la membresía pueden ser los propietarios del grupo o revisores específicos, o pueden ser
una autorrevisión de los propios miembros.
FIGURA 2-26 Revisión de acceso nuevo para usuarios invitados
Al comienzo de esta sección, usamos un ejemplo muy común en el que un administrador

cambia de función, pero no se eliminaron sus permisos de administrador anteriores. Esta es
una de las áreas más importantes en las que centrarse debido al poder que tiene el acceso
administrativo en el entorno. La realización periódica de una revisión de acceso para ver
quién ha sido asignado a roles de privilegio es fundamental y es un excelente caso de uso
para las revisiones de acceso.
Otra cosa importante a tener en cuenta con respecto a las revisiones de acceso es quién
tiene acceso a los datos críticos para el negocio. Requerir a los usuarios que se autoevalúen
y proporcionen la razón por la que aún necesitan acceso ayuda en los propósitos de
auditoría. Esto es especialmente útil para las cuentas de invitado de Azure AD B2B que
podrían no formar parte del proceso de IAM habitual.
Otro uso excelente de las revisiones de acceso es la revisión periódica de los usuarios
que se encuentran en una lista de excepciones para una política de toda la empresa. Por
ejemplo, supongamos que aplicó una política de acceso condicional de Azure AD a todas
las unidades comerciales del entorno para bloquear la autenticación heredada. Además,
supongamos que a algunas personas que tal vez no puedan cumplir con la política se les ha
otorgado una excepción de la política por un período corto de tiempo. Tal vez estaban
ejecutando una versión anterior de Outlook y obtuvieron una versión actualizada en siete
semanas. Alguien tendría que acordarse de eliminarlos de esta lista de excepciones en siete
semanas. Con las revisiones de acceso, la lista de excepciones se puede revisar a intervalos
regulares para garantizar que los usuarios no estén exentos de forma permanente. Si
necesitan continuar estando exentos, se proporciona una justificación. Otra vez,
Las revisiones de acceso se deben usar cada vez que la automatización no se use para la
membresía del grupo o cuando el grupo se reutilice para un nuevo propósito. Si no hay
automatización, la membresía quedará obsoleta. Las revisiones de acceso ayudarán a
garantizar que solo las personas correctas sean miembros del grupo. Cuando los grupos se
usan para propósitos diferentes a los previstos originalmente, es una buena práctica revisar
la membresía y los miembros deben eliminarse en función de este nuevo propósito.
MÁS INFO ACCESO RESEÑAS

Para obtener más información sobre las revisiones de acceso,
consulte https://aka.ms/SC900_AccessReviews .
Describir las capacidades de PIM
La Administración de Identidad Privilegiada (PIM), como se ve en la Figura 2-27 , le

permite eliminar el acceso de administrador permanente donde las cuentas son miembros
permanentes del grupo. PIM implementa la activación de roles administrativos basada en el
tiempo y en la aprobación, lo que reduce en gran medida la exposición de las cuentas más
privilegiadas del entorno.
FIGURA 2-27 Administración de identidad de privilegios
Por ejemplo, puede configurar PIM para que un miembro del personal de soporte de la
mesa de ayuda solo tenga derecho a cambiar la contraseña de un usuario durante un
máximo de 60 minutos una vez que su solicitud de ese derecho haya sido aprobada por un
administrador autorizado específico. PIM difiere de los modelos administrativos anteriores
en los que los miembros del personal de soporte de la mesa de ayuda generalmente pueden
cambiar las contraseñas de los usuarios de Azure AD en cualquier momento, incluso
cuando no lo necesitan. PIM le permite hacer lo siguiente:
 Configure el acceso privilegiado justo a tiempo a Azure AD y los recursos

de Azure. El acceso justo a tiempo está limitado a una cantidad de tiempo (1 hora, 4
horas, 8 horas, etc.), en lugar de permitir el acceso permanente a esos recursos.
 Asigne acceso con límite de tiempo a los recursos utilizando fechas de inicio
y finalización. Por ejemplo, si el mantenimiento va a comenzar el sábado de 9:00 p.
m. a 6:00 a. m., esto se puede programar previamente, de modo que el
administrador tenga sus derechos elevados durante este tiempo.
 Requerir la aprobación de otro administrador, usuario o grupo al activar
roles privilegiados.
 Requerir que se produzca la autenticación multifactor antes de la activación
del rol.
 Solicite a los usuarios que proporcionen una justificación por escrito grabada
de por qué necesitan realizar la activación. Esto permite a los auditores en una etapa
posterior correlacionar la actividad administrativa que ocurre con la razón declarada
para brindar acceso privilegiado.
 Proporcione notificaciones, como alertas por correo electrónico enviadas a
una lista de distribución, cuando se activan los roles privilegiados.
 Proporcione notificaciones cuando se asigne un rol privilegiado fuera de
PIM.
 Realice revisiones de acceso para determinar con qué frecuencia se usan los
privilegios y si los usuarios específicos aún requieren funciones.
 Exporte un historial de auditoría que pueda ser examinado por auditores
internos o externos.
Describir la protección de identidad de Azure AD
Azure AD Identity Protection es la capacidad avanzada de seguridad de identidad de Azure

AD. Hay tres aspectos en Identity Protection: la consola, las políticas y los eventos de
riesgo en sí.
La consola de Identity Protection que se ve en la Figura 2-28 se utiliza para la investigación

de eventos de riesgo. Esto proporciona una vista organizativa de los usuarios de riesgo, los
nuevos usuarios de riesgo, los nuevos inicios de sesión de riesgo y los usuarios que no están
protegidos por ninguna política de riesgo.
FIGURA 2-28 Descripción general de la protección de identidad
Sin embargo, el verdadero poder está en la automatización y la corrección de los riesgos

basados en la identidad a través de políticas. Estas políticas de automatización se pueden
configurar en Identity Protection o como parte de una política de acceso condicional. Hay
dos tipos diferentes de pólizas:
 Las políticas de riesgo de inicio de sesión representan la probabilidad de que

el propietario de la identidad no autorice una determinada solicitud de
autenticación. Si se determina que un inicio de sesión es riesgoso, los
administradores pueden especificar si bloquear o permitir el acceso, pero requieren
autenticación multifactor.
 El riesgo del usuario representa la probabilidad de que una determinada
identidad o cuenta se vea comprometida. Es el riesgo agregado para el usuario. Las
políticas de riesgo del usuario permiten a los administradores bloquear el acceso,
permitir el acceso o permitir el acceso, pero requieren un cambio de contraseña con
MFA cuando se activa la política.
Finalmente, están los eventos de riesgo reales en sí mismos. Hay dos categorías de eventos
de riesgo: eventos de riesgo de usuario que se calculan sin conexión y eventos de riesgo de
inicio de sesión que son en tiempo real y sin conexión.
Estas alertas de riesgo del usuario incluyen lo siguiente:
 Credenciales filtradas Que las credenciales de nombre de usuario y

contraseña de texto sin cifrar del usuario se hayan descubierto en una filtración de
datos, ya sea en la dark web o por otros medios.
 Inteligencia de amenazas de Azure AD La actividad del usuario que es
inusual para el usuario dado y es consistente con patrones de ataque conocidos
basados en las fuentes de inteligencia de amenazas internas o externas de Microsoft.
Estas alertas de riesgo de inicio de sesión incluyen lo siguiente:
 Dirección IP anónima Cuando un usuario inicia sesión desde una dirección

IP anónima. Si bien un usuario puede estar usando una VPN anónima para acceder a
los recursos de la organización, los atacantes también usan herramientas como los
nodos TOR cuando lanzan intentos de compromiso.
 Viajes atípicos Cuando el inicio de sesión de la cuenta de un usuario indica
que ha realizado cambios inusuales en la ubicación con al menos una de las
ubicaciones, se considera atípico para ese usuario. Esto podría incluir que un
usuario inicie sesión desde Londres y luego desde Nueva Orleans en un período de
dos horas, cuando el vuelo entre las dos ciudades demora mucho más que esa
cantidad de tiempo.
 Dirección IP vinculada a malware Cuando se sabe que la dirección IP
desde la que el usuario está iniciando sesión es parte de una red de bots de malware
o ha exhibido en el pasado otra actividad de red maliciosa.
 Propiedades de inicio de sesión desconocidas Cuando las propiedades de
inicio de sesión de un usuario difieren sustancialmente de las que se observaron en
el pasado.
 Compromiso de usuario confirmado por el administrador Esto indica que
un administrador seleccionó Confirmar usuario comprometido , ya sea a través
del portal o del correo electrónico riskyUsersAPI.
 Inicio de sesión de dirección IP maliciosa desde una dirección IP maliciosa
en función de las altas tasas de falla de credenciales no válidas u otras fuentes de
reputación de IP.
 Rociado de contraseñas Cuando varios nombres de usuario son atacados
usando una contraseña común. Esto se activa cuando se ha realizado un rociado de
contraseña.
 Reglas sospechosas de manipulación de la bandeja de entrada Esto
proviene de Microsoft Cloud App Security (MCAS) cuando se establecen reglas
sospechosas que eliminan o mueven mensajes en la bandeja de entrada del usuario.
 Viaje imposible Esto proviene de MCAS cuando dos actividades de usuario
en una sola sesión o múltiples sesiones ocurren desde ubicaciones geográficas
distantes. Similar al evento de viaje atípico.
 Nuevo país Esto proviene de MCAS y considera ubicaciones de actividades
pasadas para determinar ubicaciones nuevas e infrecuentes.
 Actividad de dirección IP anónima Esto proviene de MCAS y es similar al
evento de riesgo de dirección IP anónima.
 Reenvío de bandeja de entrada sospechoso Esto proviene de MCAS y
busca reglas de reenvío de correo electrónico sospechoso.
MÁS INFO PROTECCIÓN DE IDENTIDAD GENERACIÓN DE RIESGOS

Para generar sus propios eventos de riesgo de protección de identidad,
consulte https://aka.ms/SC900_IdentityProtectionGenerateRisk .
Experimento mental

siguiente sección.
Identidad y acceso en Contoso
Usted es uno de los administradores de Azure AD para Contoso, una tienda general en línea
que se especializa en una variedad de productos para el hogar. Como parte de sus funciones
para Contoso, agregó una nueva aplicación SaaS de la galería en su arrendatario de Azure
AD. Contoso se preocupa mucho por la seguridad de su entorno. Contoso debe asegurarse
de que los usuarios realicen MFA o provengan de un dispositivo confiable antes de que
puedan acceder a esta nueva aplicación. Sin embargo, la empresa aún no ha hecho que sus
usuarios se registren en MFA. Los restablecimientos de contraseña están causando un alto
volumen de llamadas a su mesa de ayuda, lo cual es costoso. El CISO de Contoso quisiera
que los usuarios pudieran realizar el autoservicio de restablecimiento de contraseña y
registrarse para MFA, pero la empresa no quiere que los usuarios tengan que pasar por el
proceso de registro más de una vez.
Contoso también está adoptando y centrándose en los principios de confianza cero. El
privilegio mínimo también es un enfoque clave para el equipo de
administradores. Actualmente, los administradores tienen una cuenta de administrador
permanente separada para realizar acciones administrativas. En una investigación más
profunda, la cantidad de tiempo que se usa realmente la cuenta de administrador es solo
unas pocas horas a la semana. La cuenta de administrador tiene estos permisos las 24 horas
del día, los 7 días de la semana y las 365 semanas del año. Esto no es seguir el principio de
privilegio mínimo. Contoso necesita eliminar este acceso permanente y pasar a un modelo
en el que los administradores puedan usar sus privilegios administrativos cuando sea
necesario. Con esta información en mente, responde las siguientes preguntas:
1. ¿Cómo puede asignar a sus usuarios para que se registren en MFA y SSPR a
la vez?
2. ¿Cómo puede asegurarse de que los usuarios inicien sesión en los recursos
desde un dispositivo corporativo o realicen MFA?
3. ¿Cómo puede asegurarse de que los administradores solo utilicen su acceso
administrativo cuando realmente lo necesiten?
Esta sección contiene la solución al experimento mental. Cada respuesta explica por qué la
opción de respuesta es correcta.
1. Puede habilitar el registro de seguridad combinado

en Configuración de usuario , Revisión de funciones de usuario . Luego,
asegúrese de que los usuarios pueden usar la experiencia de registro de
información de seguridad combinada esté habilitado.
2. Debe configurar una política de acceso condicional y, en la sección Otorgar
controles , seleccionar Requerir autenticación multifactor , Requerir dispositivo
unido a Azure AD híbrido y Requerir que el dispositivo se marque como
compatible . Luego, asegúrese de que Requerir uno de los
controles seleccionados esté seleccionado.
3. Puede configurar Privileged Identity Management para eliminar todos los
accesos permanentes. Los administradores tendrían que habilitar su rol de privilegio
cuando se necesita acceso de administrador.
 El autoservicio de restablecimiento de contraseña permite a los usuarios

restablecer sus contraseñas; combinado con la escritura diferida de contraseñas,
permite que las contraseñas cambiadas dentro de Azure AD se vuelvan a escribir en
un entorno de Servicios de dominio de Active Directory.
 Las políticas de acceso condicional le permiten establecer las condiciones
que deben cumplir los usuarios, grupos y roles para acceder a los recursos en
función de las condiciones de concesión.
 Los roles de Azure AD permiten a los administradores aprovechar RBAC y
deben seguir los privilegios mínimos siempre que sea posible.
 La administración de derechos ayuda a garantizar que los usuarios correctos
tengan el acceso correcto en el momento correcto y se pueda probar con un registro
de auditoría.
 Privileged Identity Management permite la administración justo a tiempo y
el acceso justo a tiempo a los recursos de Azure.
 Identity Protection es la seguridad de identidad avanzada en Azure AD que
se centra en el riesgo del usuario y el riesgo de inicio de sesión.
Capítulo 3
Capacidades de las soluciones de seguridad de Microsoft
Al diseñar una solución de seguridad con tecnologías de Microsoft, es importante tener en
cuenta la cartera completa de opciones, de modo que tenga un enfoque completo para los
recursos ubicados en Azure, Microsoft 365, otras nubes, TI local y tecnología operativa
(OT) y Dispositivos de Internet de las cosas (IoT). Estas cargas de trabajo deben ser
igualmente monitoreadas y protegidas y brindar una experiencia fluida al usuario. Para
administrar los ataques activos, los datos de estas cargas de trabajo deben transferirse a
Microsoft Sentinel para garantizar que tenga una vista única de todo su entorno, lo que
facilitará el trabajo de sus analistas de operaciones de seguridad.
Para evitar posibles ataques, también es importante concentrarse en configurar y

monitorear la configuración de seguridad. Para asegurarse de que los dispositivos de punto
final no se conviertan en el eslabón más débil de su estrategia de protección, debe
aprovechar Microsoft Intune, que es una solución de administración de dispositivos
móviles (MDM) y administración de aplicaciones móviles (MAM).
 Capacidades básicas de seguridad en Azure

 Capacidades de administración de seguridad en Azure
 Capacidades de seguridad de Microsoft Sentinel
 Protección contra amenazas con Microsoft 365 Defender
 Capacidades de administración de seguridad de Microsoft 365
 Seguridad de punto final con Microsoft Intune
Habilidad 3-1: Capacidades básicas de seguridad en Azure
Es importante comprender las funcionalidades de seguridad fundamentales que están

disponibles de forma nativa en Azure. Estas capacidades lo ayudarán a implementar
algunos de los principios de Zero-Trust que se trataron en el Capítulo 1 . Esta sección del
capítulo cubre las habilidades necesarias para describir las capacidades básicas de
seguridad en Azure de acuerdo con el esquema del Examen SC-900.
Grupos de seguridad de red de Azure
Un grupo de seguridad de red (NSG) en Azure le permite filtrar el tráfico de red mediante
la creación de reglas que permiten o deniegan el tráfico de red entrante o saliente desde
diferentes tipos de recursos. Por ejemplo, podría configurar un NSG para bloquear el tráfico
entrante de Internet a una subred específica y solo permitir el tráfico que proviene de un
dispositivo virtual de red (NVA).
Los grupos de seguridad de red se pueden habilitar en la subred o en la interfaz de red

en la VM, como se muestra en la Figura 3-1 .
FIGURA 3-1 Diferentes implementaciones de NSG

En la Figura 3-1 , se muestran dos usos diferentes de NSG. En el primer caso, el NSG se
asigna a la subred A. Esta puede ser una buena forma de proteger toda la subred con un
único conjunto de reglas del NSG. Sin embargo, habrá escenarios en los que es posible que
necesite controlar el NSG en el nivel de la interfaz de red, como es el caso del segundo
escenario (Subred B), donde la VM 5 y la VM 6 tienen un NSG asignado a la interfaz de
red.
Cuando el tráfico proviene de la red virtual (tráfico entrante), Azure procesa primero las
reglas de NSG que están asociadas con la subred, si hay una, y luego Azure procesa las
reglas de NSG que están asociadas con la interfaz de red. Cuando el tráfico sale de la red
virtual (tráfico saliente), Azure procesa primero las reglas de NSG que están asociadas con
la interfaz de red y, luego, las reglas de NSG que están asociadas con la subred.
Cuando crea un NSG, debe configurar un conjunto de reglas para reforzar el

tráfico. Estas reglas utilizan los siguientes parámetros:
 Nombre Nombre de la regla.

 Orden de Prelación en que se tramitará la regla. Los números más bajos
tienen una prioridad alta, lo que significa que una regla con prioridad 100 se
evaluará antes que una regla que tenga prioridad 300. Una vez que el tráfico
coincida con la regla, dejará de avanzar para evaluar otras reglas. Al configurar la
prioridad, puede asignar un número entre 100 y 4.096.
 Origen Defina la IP de origen, el bloque CIDR, la etiqueta de servicio o el
grupo de seguridad de la aplicación.
 Destino Defina la IP de destino, el bloque CIDR, la etiqueta de servicio o el
grupo de seguridad de la aplicación.
 Protocolo Defina el protocolo TCP/IP que se utilizará, que puede ser TCP,
UDP o ICMP. Si desea permitir cualquier protocolo, elija Cualquiera .
 Intervalo de puertos Defina el intervalo de puertos o un solo puerto.
 Acción Este parámetro se puede configurar para Permitir o Denegar .
Antes de crear un nuevo NSG y agregar nuevas reglas, es importante saber que Azure
crea automáticamente reglas predeterminadas en la implementación del NSG. A
continuación se muestra una lista de las reglas de entrada que se crean:
AllowVNetInBound
 Prioridad 6500
 Fuente Red virtual
 Puertos de origen 0-65535
 Red virtual de destino
 Puertos de destino 0-65535
 Protocolo Cualquiera
 Permitir acceso
AllowAzureLoadBalancerInBound
 Prioridad 6501
 Fuente AzureLoadBalancer
 Destino 0.0.0.0/0
 Permitir acceso
DenyAllInbound
 Prioridad 6501
 Fuente AzureLoadBalancer
 Destino 0.0.0.0/0
 Acceso denegado
A continuación se muestra una lista de las reglas de salida que se crean:
AllowVnetOutBound
 Prioridad 6501
 Fuente Red virtual
 Red virtual de destino
 Permitir acceso
AllowInternetOutBound
 Prioridad 6501
 Fuente 0.0.0.0/0
 Internet de destino
 Permitir acceso
DenyAllOutBound
 Prioridad 6501
 Fuente 0.0.0.0/0
 Destino 0.0.0.0/0
 Acceso denegado
LAS REGLAS IMPORTANTES SE PUEDEN ANULAR

Tenga en cuenta que estas reglas predeterminadas no se pueden eliminar, aunque si es
necesario, puede anularlas creando reglas con prioridades más altas .
Siga los pasos a continuación para crear y configurar un NSG, que en este ejemplo
estará asociado con una subred:
1. Navegue al portal de Azure abriendo https://portal.azure.com .

2. En la barra de búsqueda, escriba seguridad de red y, en Servicios , haga clic
en Grupos de seguridad de red ; aparece la página Grupos de seguridad de red .
3. Haga clic en el botón Agregar ; aparece la página Crear grupo de
seguridad de red , como se muestra en la Figura 3-2 .
FIGURA 3-2 Parámetros iniciales del grupo de seguridad de la red
4. En el menú desplegable Suscripción , seleccione la suscripción donde

residirá este NSG.
5. En el menú desplegable Grupo de recursos , seleccione el grupo de
recursos en el que residirá este NSG.
6. En el campo Nombre , escriba el nombre de este NSG.
7. En el menú desplegable Región , seleccione la región de Azure en la que
residirá este NSG.
8. Haga clic en el botón Revisar + Crear , revise las opciones y haga clic en el
botón Crear .
9. Una vez completada la implementación, haga clic en el botón Ir al
recurso ; aparece la página del NSG.
En este punto, ha creado correctamente su NSG y puede ver que las reglas predeterminadas
ya forman parte de él.
Protección contra DDoS de Azure
De forma predeterminada, la protección básica de denegación de servicio distribuido

(DDoS) de Azure ya está habilitada en su suscripción. Esto significa que la supervisión del
tráfico y la mitigación en tiempo real de los ataques comunes a nivel de red están
completamente cubiertos con el mismo nivel de defensa que utilizan los servicios en línea
de Microsoft.
Si bien la protección básica proporciona mitigaciones automáticas de ataques contra

DDoS, hay algunas capacidades que solo proporciona el nivel estándar de DDoS. El nivel
que utilizará está determinado por los requisitos de su organización. Por ejemplo,
supongamos que el Contoso ficticioLa organización necesita implementar la protección
DDoS en el nivel de la aplicación y debe tener métricas de ataques en tiempo real y
registros de recursos disponibles para su equipo. Además, Contoso necesita crear informes
de mitigación posteriores al ataque para presentarlos a la alta dirección. Estos requisitos
solo los puede cumplir el nivel estándar de DDoS. La Tabla 3-1 muestra un resumen de las
capacidades disponibles para cada nivel:
TABLA 3-1 Azure DDoS básico frente a estándar
Capacidad DDoS básico Estándar DDoS
Supervisión activa del tráfico X X

y detección siempre activa
Mitigación automática de X X
ataques
Garantía de disponibilidad Por región de Azure por aplicación
Políticas de mitigación Optimizado por Ajustado para el volumen de

volumen de región de tráfico de la aplicación
Azure
Métricas y alertas No disponible X

Registros de flujo de No disponible X
mitigación
Personalización de la política No disponible X

de mitigación
Apoyo Sí, pero el enfoque del Sí, y proporciona acceso a

mejor esfuerzo expertos en DDoS durante un
ataque activo
ANS región azul Garantía de aplicación y

protección de costes
Precios Libre Uso mensual
MÁS INFORMACIÓN ATAQUES DDOS CUBIERTOS

Para obtener más información sobre los diferentes tipos de planes de precios que
cubre Azure DDoS, visite http://aka.ms/sc900ddos .
Para configurar Azure DdoS, su cuenta debe ser miembro del rol Colaborador de la
red , o puede crear un rol personalizado que tenga privilegios de lectura, escritura y
eliminación Microsoft.Network/ddosProtectionPlansy privilegios de acción
en Microsoft.Network/ddosProtectionPlans/join. Su función personalizada también debe
tener privilegios de lectura, escritura y eliminación
en Microsoft.Network/virtualNetworks.
cortafuegos azul
Si bien NSG proporciona un filtrado básico, necesitará una solución más sólida cuando
necesite proteger una red virtual completa. Una organización que necesita un firewall como
servicio (FaaS) de red completamente centralizado y con estado que brinde protección a
nivel de red y de aplicación en diferentes suscripciones y redes virtuales debe elegir Azure
Firewall.
Azure Firewall también se puede usar en escenarios en los que necesita abarcar varias
zonas de disponibilidad para aumentar la disponibilidad. Aunque no hay ningún costo
adicional para un Firewall de Azure implementado en una zona de disponibilidad, existen
costos adicionales para las transferencias de datos entrantes y salientes asociadas con las
zonas de disponibilidad. La figura 3-3 muestra una topología de Azure Firewall con algunas
de las funcionalidades disponibles.
FIGURA 3-3 Topología de Azure Firewall
Como se muestra en la Figura 3-3 , Azure Firewall realizará una serie de evaluaciones
antes de permitir o bloquear el tráfico. Al igual que en el NSG, las reglas en Azure Firewall
se procesan según el tipo de regla en el orden de prioridad (los números más bajos antes de
los más altos). Un nombre de colección de reglas puede contener solo letras, números,
guiones bajos, puntos o guiones. Puede configurar reglas de traducción de direcciones de
red (NAT), reglas de red y reglas de aplicación en Azure Firewall.
Tenga en cuenta que Azure Firewall usa una dirección IP pública estática para sus
recursos de red virtual y necesita esa dirección antes de implementar su Firewall. Azure
Firewall también admite rutas de aprendizaje a través del Protocolo de puerta de enlace
fronteriza (BGP).
Para evaluar el tráfico saliente, Azure Firewall consultará las reglas de la red y las reglas
de la aplicación. Al igual que con un NSG, cuando se encuentra una coincidencia en una
regla de red, no se procesa ninguna otra regla. Si no hay ninguna coincidencia, Azure
Firewall usará la colección de reglas de infraestructura. Azure Firewall crea
automáticamente esta colección e incluye nombres de dominio completos (FQDN)
específicos de la plataforma. Si aún no hay ninguna coincidencia, Azure Firewall deniega el
tráfico saliente.
Para la evaluación del tráfico entrante, Azure Firewall usa reglas basadas en la
traducción de direcciones de red de destino (DNAT). Estas reglas también se evalúan por
prioridad antes de que se evalúen las reglas de red. Si se encuentra una coincidencia, se
agrega una regla de red correspondiente implícita para permitir el tráfico traducido. Aunque
este es el comportamiento predeterminado, puede anularlo agregando explícitamente una
colección de reglas de red con reglas de denegación que coincidan con el tráfico traducido
(si es necesario).
CONEXIONES ENTRANTES IMPORTANTES

Las reglas de aplicación no se aplican a las conexiones entrantes. Microsoft
recomienda usar el Firewall de aplicaciones web (WAF) si desea filtrar el tráfico
HTTP/S entrante .
En la Figura 3-3 , también vio que Azure Firewall aprovecha Microsoft Threat
Intelligence durante la evaluación del tráfico. Microsoft Threat Intelligence se basa en más
de 8 billones de señales de contexto diarias que utiliza el aprendizaje automático y otras
técnicas de análisis para informar a muchos otros servicios en Azure, incluido Microsoft
Defender para la nube.
MÁS INFORMACIÓN INTELIGENCIA SOBRE AMENAZAS DE

MICROSOFT
Para obtener más información sobre Microsoft Threat Intelligence,
consulte https://aka.ms/threatintelligence .
Bastión azur
Azure Bastion es un servicio PaaS que permite a las personas (generalmente

administradores de TI) conectarse de forma segura a máquinas virtuales alojadas en Azure
mediante un navegador y Azure Portal. Azure Bastion ayuda a cumplir el principio de
privilegio mínimo de confianza cero al brindar acceso seguro a estos recursos de VM (y al
permitirle deshabilitar otros métodos de acceso de menor seguridad, como las VPN).
La implementación de Azure Bastion se realiza por red virtual (VNet), lo que significa
que usted aprovisiona el servicio de Azure Bastion en la VNet y, en ese momento, el acceso
RDP/SSH estará disponible para todas las máquinas virtuales que pertenecen a la misma
VNet. La arquitectura general se muestra en la Figura 3-4 .
FIGURA 3-4 Arquitectura central para la implementación de Azure Bastion
SESIÓN DE INICIACIONES IMPORTANTES DESDE EL PORTAL AZURE

Una sesión debe iniciarse solo desde Azure Portal. Si va directamente a la URL desde
otra sesión o pestaña del navegador, es posible que experimente el error Su sesión ha
caducado .
En el examen SC-900, al analizar la definición de un escenario, identificará pistas que lo

llevarán a usar Azure Bastion. Por ejemplo, supongamos que un administrador de Contoso
no quiere usar una dirección IP pública en las máquinas virtuales de la empresa, pero
necesita proporcionar acceso RDP externo a esas máquinas virtuales. Este es un escenario
típico en el que Azure Bastion es la mejor opción de diseño. Además, al no exponer la
dirección IP pública (solo v4), su VM no es susceptible a un ataque de escaneo de puertos.
Aunque Azure Bastion recibe solicitudes externas, no necesita preocuparse por

fortalecer el servicio porque Azure Bastion es un servicio PaaS completamente
administrado y la plataforma Azure automáticamente mantiene Azure Bastion reforzado y
actualizado para usted. Este enfoque también ayuda a prevenir ataques en máquinas
virtuales sin parches y ataques que usan vulnerabilidades de día cero. Azure Bastion
permite hasta 25 sesiones RDP simultáneas y 50 conexiones SHC simultáneas. Aunque este
es el límite oficial, una sesión de alto uso puede afectar la forma en que Azure Bastion
administra otras conexiones. En otras palabras, Bastion podría permitir menos de las
conexiones máximas según las condiciones actuales.
Para establecer una conexión con Azure Bastion, necesita el rol de Lector en la máquina
virtual, el rol de Lector en la NIC con la IP privada de la VM y el rol de Lector en el
recurso de Azure Bastion.
Cortafuegos de aplicaciones web
Web Application Firewall (WAF) brinda protección centralizada de sus aplicaciones web
contra vulnerabilidades y vulnerabilidades comunes. WAF es un complemento de Azure
Firewall porque se centra en las amenazas que se dirigen a la capa de aplicación, mientras
que Azure Firewall se centra más en las amenazas en el nivel de la capa de red. Además,
Azure le permite implementar WAF según sus necesidades, por lo que es importante que
comprenda los requisitos de diseño antes de decidir qué implementación de WAF se debe
usar.
Revise el diagrama de flujo disponible en http://aka.ms/wafdecisionflow para

comprender mejor las opciones de WAF disponibles y cómo seleccionar la mejor opción
según su escenario. Si su escenario tiene todas las siguientes características, debe usar
WAF con Front Door:
 Su aplicación web utiliza HTTP/HTTPS

 Está utilizando una aplicación orientada a Internet
 Su aplicación web se distribuye globalmente en diferentes regiones
 Su aplicación está alojada en PaaS (como Azure App Service)
Considere implementar WAF en Front Door cuando necesite una solución global y
centralizada. Al usar WAF con Front Door, las aplicaciones web inspeccionarán cada
solicitud entrante entregada por Front Door en el perímetro de la red. Si su implementación
requiere la descarga de TLS y la inspección de paquetes, puede aprovechar la integración
nativa de WAF con Front Door, que inspecciona una solicitud después de descifrarla.
Si necesita proteger sus aplicaciones web de amenazas comunes, como la inyección

SQL, las secuencias de comandos entre sitios y otras vulnerabilidades basadas en la web, la
mejor solución es usar Azure Web Application Firewall (WAF) en Azure Application
Gateway. WAF en Application Gateway se basa en el conjunto de reglas básicas 3.1, 3.0 o
2.2.9 del Open Web Application Security Project (OWASP). Estas reglas seutilizarse para
proteger sus aplicaciones web contra las 10 principales vulnerabilidades de OWASP, que
puede encontrar en https://owasp.org/www-project-top-ten .
Puede usar WAF en Azure Application Gateway para proteger varias aplicaciones
web. Una sola instancia de Application Gateway puede alojar hasta 40 sitios web y esos
sitios web estarán protegidos por un WAF. Aunque tiene varios sitios web detrás del WAF,
aún puede crear políticas personalizadas para abordar las necesidades de esos sitios. La
figura 3-5 ilustra los componentes de esta solución.
FIGURA 3-5 Diferentes componentes con los que se integra WAF en Application
Gateway
En el ejemplo que se muestra en la Figura 3-5 , se configura una Política WAF para el
sitio de back-end. Esta política es donde define todas las reglas, reglas personalizadas,
exclusiones y otras personalizaciones (como los límites de carga de archivos).
WAF en Application Gateway admite la terminación de seguridad de la capa de

transporte (TLS), la afinidad de sesión basada en cookies, la distribución de carga por
turnos y el enrutamiento basado en contenido. La Figura 3-5 destaca la integración con
Azure Monitor, que recibirá todos los registros relacionados con posibles ataques contra sus
aplicaciones web. Las alertas de WAF v1 (la primera versión de WAF) también se
transmitirán a Microsoft Defender para la nube y aparecerán en el panel de alertas de
seguridad.
Cifrado de datos en Azure
El cifrado de datos en reposo es una parte extremadamente importante de su estrategia de

defensa en profundidad porque protege contra el acceso directo a los datos que elude las
vías de acceso normales (como la descarga de un disco duro virtual, una base de datos, un
archivo, etc.). Las recomendaciones de seguridad de Security Center pueden advertirle
cuando a una máquina virtual le falta el cifrado de disco. Puede cifrar los discos de sus
máquinas virtuales Windows y Linux mediante Azure Disk Encryption (ADE). Para el
sistema operativo Windows, necesita Windows 8 o posterior (para el cliente) y Windows
Server 2008 R2 o posterior (para servidores).
ADE proporciona sistema operativo (SO) y cifrado de disco de datos. Para Windows,
utiliza BitLocker Device Encryption, y para Linux, utiliza el sistema DM-Crypt. ADE no
está disponible para los siguientes escenarios:
 Máquinas virtuales básicas de la serie A

 Máquinas virtuales con menos de 2GB de memoria
 Máquinas virtuales de generación 2 y máquinas virtuales de la serie Lsv2
 Volúmenes sin montar
ADE requiere que su máquina virtual de Windows tenga conectividad con Azure AD
para que pueda obtener un token para conectarse con Key Vault. En ese momento, la
máquina virtual necesita acceso al punto de conexión de Key Vault para escribir las claves
de cifrado y también necesita acceso para conectarse a un punto de conexión de Azure
Storage. Este punto de conexión de almacenamiento hospeda el repositorio de extensiones
de Azure y la cuenta de almacenamiento de Azure que hospeda los archivos VHD.
La configuración de los requisitos de TPM con la política de grupo es otra consideración

importante al implementar ADE. Si las máquinas virtuales en las que está implementando
ADE están unidas a un dominio, asegúrese de no impulsar ninguna política de grupo que
aplique los protectores del Módulo de plataforma segura (TPM) porque esto hará que ADE
no se aplique. En este caso, deberá asegurarse de que la directiva Permitir BitLocker sin
un TPM compatible esté configurada. Además, la política de BitLocker para máquinas
virtuales unidas a un dominio con una política de grupo personalizada debe incluir la
siguiente configuración: Configurar el almacenamiento de usuario de la información de
recuperación de Bitlocker/Permitir clave de recuperación de 256 bits .
Debido a que ADE usa Azure Key Vault para controlar y administrar claves y secretos
de cifrado de disco, debe asegurarse de que Azure Key Vault tenga la configuración
adecuada para esta implementación. Tanto la máquina virtual como Key Vault deben
formar parte de la misma suscripción. Además, asegúrese de que los secretos de cifrado no
crucen las fronteras regionales. ADE requiere que Key Vault y las máquinas virtuales estén
ubicadas en la misma región.
Si bien estas son las consideraciones principales al cifrar máquinas virtuales de

Windows, las máquinas virtuales de Linux tienen algunos requisitos adicionales. Se
requieren al menos 8 GB de memoria si necesita cifrar los datos y los volúmenes del
sistema operativo cuando el uso del sistema de archivos raíz es de 4 GB o menos. Sin
embargo, si necesita cifrar solo el volumen de datos, el requisito se reduce a 2 GB de
memoria. El requisito se duplica si los sistemas Linux utilizan un sistema de archivos raíz
de más de 4 GB (lo que significa que el requisito mínimo de memoria es el uso del sistema
de archivos raíz * 2).
servicio de aplicaciones
Para asegurarse de proteger siempre los datos en tránsito, debe configurar su plan de App
Service para usar un certificado SSL/TLS. Su plan de App Service debe estar configurado
en el nivel Básico , Estándar , Premium o Aislado para crear un enlace TLS entre el
certificado y su aplicación, o deberá habilitar los certificados de cliente para su aplicación
de App Service.
App Service permite diferentes escenarios para el manejo de certificados, incluidos los
siguientes:
 Compra de un certificado.
 Importación de un certificado existente de App Service.
 Subir un certificado existente.
 Importación de un certificado de Key Vault (desde cualquier suscripción en
el mismo inquilino).
 Creación de un certificado personalizado de App Service gratuito. (Esta
opción no brinda soporte para dominios desnudos).
Almacén de claves de Azure
Azure Key Vault le permite almacenar información que no debe hacerse pública, como
secretos, certificados y claves. Debido a que Key Vaults puede almacenar claves que
brindan acceso a información confidencial, es importante limitar quién tiene acceso a Key
Vaults en lugar de permitir el acceso abierto a ellos. Usted administra el acceso a Key Vault
en los planos de administración y datos.
El plano de administración contiene las herramientas que usa para administrar Key
Vault, como Azure Portal, la CLI de Azure y Cloud Shell. Cuando controla el acceso en el
plano de administración, puede configurar quién puede acceder al contenido de Key Vault
en el plano de datos. Desde la perspectiva de Key Vault, el plano de datos involucra los
elementos almacenados en Key Vault, y los permisos de acceso le permiten agregar,
eliminar y modificar certificados, secretos y claves. El acceso a Key Vault tanto en el plano
de administración como en el de datos debe estar lo más restringido posible. Si un usuario o
una aplicación no necesita acceso a Key Vault, no debería tener acceso a Key
Vault. Microsoft recomienda usar Key Vaults separados para entornos de desarrollo,
preproducción y producción.
Cada Key Vault que crea está asociado con el arrendamiento de Azure AD que está
vinculado a la suscripción que hospeda Key Vault. Todos los intentos de administrar o
recuperar contenido de Key Vault requieren autenticación de Azure AD. Una ventaja de
requerir la autenticación de Azure AD es que le permite determinar qué principal de
seguridad está intentando acceder. El acceso a Key Vault no se puede otorgar en función de
tener acceso a un secreto o clave, y el acceso requiere algún tipo de identidad de Azure AD.
Habilidad 3-2: Capacidades de administración de seguridad en Azure
Para que su estrategia de defensa en profundidad tenga éxito, necesita tener visibilidad y
control sobre las cargas de trabajo alojadas en Azure, otros proveedores de la nube y sus
centros de datos locales. A medida que su organización continúa aprovisionando nuevos
recursos en cualquiera de estas ubicaciones, también necesita mantener y mejorar
constantemente su postura de seguridad. Para lograr eso, debeaproveche las capacidades
disponibles en Microsoft Defender para la nube. Esta sección cubre las habilidades
necesarias para describir las capacidades de administración de seguridad en Azure de
acuerdo con el esquema del Examen SC-900.
Microsoft defender para la nube
Microsoft Defender para la nube brinda a las organizaciones visibilidad y control completos
sobre la seguridad de las cargas de trabajo de la nube híbrida, incluidas las cargas de trabajo
de cómputo, red, almacenamiento, identidad y aplicaciones. Al monitorear activamente
estas cargas de trabajo, Defender for Cloud mejora la postura de seguridad general de la
implementación de la nube y reduce la exposición de los recursos a las amenazas. Defender
for Cloud también lo ayuda a mejorar su postura de seguridad con Azure Security
Benchmark, que brinda recomendaciones de seguridad para fortalecer sus cargas de trabajo
en función de las mejores prácticas actuales y bien establecidas.
Defender for Cloud también evalúa la seguridad de sus cargas de trabajo en la nube
híbrida y proporciona una gestión de políticas centralizada para garantizar el cumplimiento
de los requisitos de seguridad de su organización o de los organismos reguladores. Debido
a que Defender for Cloud es un servicio de Azure, debe tener una suscripción de Azure
para usarlo. (Una suscripción de prueba también funcionará).
Con una suscripción de Azure, puede activar Microsoft Defender para la nube de forma
gratuita. Microsoft Defender for Cloud supervisa los recursos informáticos, de red, de
almacenamiento y de aplicaciones en Azure. También proporciona políticas de seguridad,
evaluación de seguridad y recomendaciones de seguridad. Incluso las organizaciones que
están comenzando con Infraestructura como servicio (IaaS) en Azure pueden beneficiarse
de este servicio gratuito porque mejorará su postura de seguridad.
Para acceder al panel de Microsoft Defender para la nube, inicie sesión en Azure Portal
( https://portal.azure.com ) y haga clic en Microsoft Defender para la nube en el panel
izquierdo. Lo que suceda la primera vez que abra el panel de Security Center variará según
los recursos a los que tenga acceso. Para los fines de este ejemplo, el tablero está completo
con recursos, recomendaciones y alertas, como se muestra en la Figura 3-6 .
FIGURA 3-6 Tablero principal de Defender for Cloud
Defender for Cloud usa el control de acceso basado en roles (RBAC) que se basa en
Azure. De forma predeterminada, hay dos roles en Security Center: lector de seguridad
y administrador de seguridad . El rol de lector de seguridad debe asignarse a todos los
usuarios que solo necesitan acceso de lectura al tablero. Por ejemplo, al personal de
operaciones de seguridad que necesita monitorear y responder a las alertas de seguridad se
le debe asignar la función Lector de seguridad . Los propietarios de la carga de trabajo
(equipo de operaciones de TI o equipos de DevOps) pueden cumplir con esta
responsabilidad si no hay un equipo de seguridad o si los propietarios de la carga de trabajo
son responsables de administrar la postura de seguridad de sus cargas de trabajo.
Los propietarios de las cargas de trabajo generalmente necesitan administrar una o más
cargas de trabajo en la nube específicas y sus recursos relacionados. Además, el propietario
de la carga de trabajo es responsable de implementar y mantener protecciones de acuerdo
con las políticas de seguridad de la organización. Debido a esos requisitos, sería apropiado
asignar la función de administrador de seguridad a los usuarios que poseen una carga de
trabajo. Solo los propietarios/colaboradores de suscripciones y los administradores
de seguridad pueden editar una política de seguridad. Solo
los propietarios y colaboradores de suscripciones y grupos de recursos pueden aplicar
recomendaciones de seguridad para un recurso. Para habilitar cualquier plan de Defender
para la nube, necesita el administrador de seguridad o el propietario de la
suscripciónprivilegio.
MÁS INFORMACIÓN RBAC EN AZURE

Para obtener más información sobre RBAC en Azure,
consulte http://aka.ms/azurerbac .
Las grandes organizaciones con diferentes unidades de negocio que adoptan Azure de
manera ad hoc a menudo enfrentan desafíos para obtener visibilidad de todas las
suscripciones en sus inquilinos. Por este motivo, incluso antes de habilitar Defender for
Cloud, debe trabajar con su equipo de TI para identificar todas las suscripciones que
pertenecen al arrendatario y verificar si tiene los privilegios adecuados para administrar
Defender for Cloud. En algunos escenarios, la misma organización podría incluso tener
varios inquilinos con diferentes suscripciones en cada inquilino.
Cuando varias suscripciones forman parte del mismo inquilino y necesita centralizar la
política entre suscripciones, puede usar los grupos de administración de Azure. Al agregar
varias suscripciones en el mismo grupo de administración, puede simplificar la asignación
de RBAC asignando los permisos al grupo de administración, que heredará ese acceso a
todas las suscripciones en él. Esto ahorra tiempo en la administración porque puede
permitir que los usuarios tengan acceso a todo lo que necesitan en lugar de generar
secuencias de comandos de RBAC en diferentes suscripciones. Defender for Cloud también
le permite asignar una política de seguridad a un grupo de administración.
Recomendaciones
Defender for Cloud identificará los recursos en la suscripción (computación, red,

almacenamiento, identidad y aplicación) que necesitan recomendaciones de seguridad y
sugerirá cambios automáticamente. Puede ver todas las recomendaciones en un solo lugar,
que está disponible en General > Recomendaciones . Allí están disponibles los controles
de seguridad que se muestran en la Figura 3-7 . Expanda cada uno para ver las
recomendaciones que pertenecen a ese control de seguridad.
FIGURA 3-7 Agregación de todos los controles de seguridad que contienen

recomendaciones en Defender for Cloud
Establecer la opción Agrupar por controles en Desactivado le permite ver la lista de

todas las recomendaciones. Al planificar la adopción de Security Center, asegúrese de
incluir una revisión completade todas las recomendaciones de seguridad incluso antes de
explorar más capacidades en Defender for Cloud. Debe usar la puntuación segura de
Defender for Cloud para priorizar qué controles de seguridad debe abordar primero.
Puntaje seguro de Azure
Cuando se trabaja en un entorno de nube, monitorear el estado de seguridad de múltiples

cargas de trabajo puede ser un desafío. ¿Cómo sabe si su postura de seguridad en todas las
cargas de trabajo está en el nivel más alto posible? ¿Hay alguna recomendación de
seguridad que no estés cumpliendo? Estas son preguntas difíciles de responder cuando no
tiene la visibilidad y las herramientas adecuadas para administrar los aspectos de seguridad
de su infraestructura en la nube.
Defender for Cloud revisa sus recomendaciones de seguridad en todas las cargas de
trabajo, aplica algoritmos avanzados para determinar qué tan crítica es cada recomendación
y calcula su puntuación segura en función de ellas. Esta puntuación segura se muestra en la
página principal de descripción general en su propio mosaico de puntuación segura, como
se muestra en la Figura 3-8 .
FIGURA 3-8 Mosaico de puntuación segura
La puntuación segura general que se muestra en el panel principal es una acumulación

de todas sus puntuaciones de recomendación. Tenga en cuenta que esta puntuación puede
variar porque refleja la suscripción que está seleccionada actualmente y los recursos que
pertenecen a esa suscripción. Si tiene varias suscripciones seleccionadas, el cálculo será
para todas las suscripciones en las que tenga privilegios de lectura. Las recomendaciones
activas sobre la suscripción seleccionada también hacen que esta puntuación cambie. Las
recomendaciones se agregan en los controles de seguridad, lo que afecta el puntaje
seguro. Su puntaje de seguridad aumentará solo si se solucionan todas las recomendaciones
aplicables dentro de un control de seguridad.
El ejemplo que se muestra en la Figura 3-9 es del control de seguridad Habilitar MFA y,
como puede ver, el puntaje actual para este control es 10, lo que significa que todas las
recomendaciones fueron corregidas. Aparece una marca verde junto a las recomendaciones
de disponibilidad general (GA). Las recomendaciones que aparecen con una bandera a la
izquierda son versiones preliminares públicas y no es necesario corregirlas para completar
el control de seguridad.
FIGURA 3-9 Habilitar el control de seguridad MFA
MÁS INFORMACIÓN CÁLCULO DE PUNTAJE SEGURO

Para obtener información detallada sobre cómo se calcula la puntuación segura,
visite http://aka.ms/sc900securescore .
Protección de cargas de trabajo en la nube con Defender para planes en la nube
La plataforma de protección de cargas de trabajo en la nube (CWPP) permite a las

organizaciones evaluar los riesgos de sus cargas de trabajo en la nube y detectar amenazas
contra sus servidores (IaaS), contenedores, bases de datos (PaaS) y
almacenamiento. También permite a las organizaciones identificar configuraciones
defectuosas y remediar aquellas con configuraciones de mejores prácticas de
seguridad. Para usar las capacidades de CWPP, debe habilitar la seguridad mejorada con un
plan de Defender para la nube. La seguridad mejorada de Defender for Cloud ofrece
capacidades extendidas de detección y respuesta (XDR) para proteger cargas de trabajo
híbridas y de múltiples nubes, incluidas máquinas virtuales, bases de datos, contenedores,
IoT y más. XDR es un nuevo enfoque definido por analistas de la industria que está
diseñado para brindar seguridad inteligente, automatizada e integrada en todos los dominios
para ayudar a los defensores a conectar alertas aparentemente dispares y adelantarse a los
atacantes.
Cuando actualiza su suscripción a Defender for Cloud del nivel gratuito a Defender for
Servers, las siguientes características están disponibles:
 Recopilación de eventos de seguridad y búsqueda avanzada

 Mapa de red
 Acceso a máquinas virtuales justo a tiempo
 Controles de aplicación adaptativos
 Informes de cumplimiento normativo
 Monitoreo de integridad de archivos
 Fortalecimiento del grupo de seguridad de red (NSG)
 Alertas de seguridad
 Protección contra amenazas para máquinas virtuales de Azure, máquinas
virtuales que no son de Azure y servicios PaaS
 Integración con Microsoft Defender for Endpoint (MDE) para la detección y
respuesta de puntos finales (EDR)
 Compatibilidad con varias nubes para Amazon Web Services (AWS) y
Google Cloud Platform (GCP)
 Integración de la evaluación de vulnerabilidades con Qualys
Otra ventaja de actualizar a Defender for Servers es que le permite monitorear los
recursos locales y las máquinas virtuales alojadas por otros proveedores de la nube. Para
lograrlo, incorpore su máquina con Azure Arc y luego instale el agente de Log Analytics en
la máquina de destino.
Una vez que actualice de Security Center Free a Defender for Servers, también tendrá
habilitada la detección de amenazas para diferentes cargas de trabajo. La figura 3-
10 muestra cómo Defender for Servers usa la información recopilada de las máquinas
virtuales para generar una alerta basada en máquinas virtuales. En este ejemplo, las
máquinas que no son de Azure y las máquinas virtuales de Azure envían datos recopilados
por el agente al área de trabajo. Defender for Servers utiliza estos datos para el análisis
avanzado de detección de amenazas y genera recomendaciones que se ajustan al módulo de
prevención o emite alertas que forman parte del módulo de detección. Defender for Servers
emplea análisis de seguridad avanzados, un método que es mucho más poderoso que el
enfoque tradicional basado en firmas que utilizan los sistemas de detección de intrusos.
FIGURA 3-10 Detección de amenazas de Azure Defender
Defender for Servers utiliza tecnologías de aprendizaje automático para evaluar todos
los eventos relevantes en toda la estructura de la nube. Al utilizar este enfoque, es posible
identificar rápidamente amenazas que serían extremadamente difíciles de identificar
mediante un proceso manual. Defender for Servers utiliza los siguientes análisis:
 Inteligencia de amenazas integrada Esto aprovecha la inteligencia de

amenazas global de Microsoft para buscar malhechores conocidos.
 Análisis de comportamiento Busca patrones conocidos y comportamientos
maliciosos, por ejemplo, un proceso ejecutado de manera sospechosa, malware
oculto, un intento de explotación o la ejecución de un script malicioso de
PowerShell.
 Detección de anomalías Utiliza perfiles estadísticos para crear una línea de
base histórica y activa una alerta basada en las desviaciones de esta línea de
base. Un ejemplo de esto sería una máquina virtual que normalmente recibe
conexiones de escritorio remoto 5 veces al día pero que de repente recibe 100
intentos de conexión. Esta desviación activaría una alerta.
MÁS INFORMACIÓN DETECCIÓN DE DEFENSORES
Lea más sobre las capacidades de detección de Defender para servidores y otros
escenarios relevantes en https://aka.ms/ascdetections .
Además de las máquinas virtuales, Microsoft Defender for Cloud tiene detecciones de
amenazas que son específicas para cada servicio de Azure compatible. Esto es importante
para proteger las cargas de trabajo en la nube porque puede obtener rápidamente alertas de
alta calidad que los analistas de seguridad pueden investigar sin necesidad de incorporar
registros en un SIEM y escribir consultas de alta calidad para identificar comportamientos
anómalos.
Puede habilitar diferentes planes de Microsoft Defender para la nube para los siguientes
servicios de Azure:
 Defensor para servidores

 Defensor para el servicio de aplicaciones
 Defensor de la base de datos SQL
 Defender para SQL en máquinas
 Defensor de almacenamiento
 Defensor para Azure Kubernetes (AKS)
 Defender para registros de contenedores de Azure (ACR)
 Defensor de Key Vault
 Defensor para el administrador de recursos
 Defensor de DNS
Capacidades de gestión de la postura de seguridad en la nube
Cuando se trata de priorizar, la higiene de la seguridad debe ser su prioridad número

uno. La mayoría de los atacantes todavía tienen éxito debido a la falta de higiene de
seguridad. Como se indica en el Informe de defensa digital de Microsoft publicado en
septiembre de 2020, "La falta de higiene de seguridad básica en cualquier ecosistema dado
continúa permitiendo que los ciberdelincuentes usen vulnerabilidades conocidas".
Las capacidades de CSPM en Microsoft Defender para la nube brindan un nivel de

visibilidad que necesita para mejorar su higiene de seguridad e impulsar la mejora de la
postura de seguridad. Las principales características de CSPM disponibles en Azure
Security Center que abordan este escenario se describen en la Tabla 3-2 .
TABLA 3-2 Funciones de CSPM
Capacidad Disponible en el nivel Requiere Microsoft Defender para

gratuito el plan en la nube
Recomendaciones de X
seguridad
Puntuación segura X
Politica de seguridad X
Exención de póliza X
Evaluación de X
vulnerabilidad
Cumplimiento normativo X
Nube múltiple X
Supervisar los recursos X

locales
Es fundamental que sus departamentos de seguridad y operaciones de TI colaboren

constantemente para brindar una mejor protección, detección y respuesta. Muchas
organizaciones ya cuentan con un equipo de operaciones de seguridad (SecOps) dedicado a
mantener las operaciones de seguridad, que incluye la clasificación de alertas y la
investigación. El equipo de administración de la postura es responsable de monitorear la
postura de seguridad de las cargas de trabajo en la nube. Defender for Cloud tiene
capacidades que pueden ser aprovechadas por el equipo de SecOps, así como por el equipo
de administración de posturas.
Antes de usar Defender for Cloud para monitorear recursos, debe revisar el proceso
SecOps de su organización e identificar cómo puede incorporar Defender for Cloud en su
rutina. La figura 3-11 muestra las tareas realizadas por un centro de operaciones de
seguridad (SOC) típico, las tareas típicas del equipo CSPM y un conjunto de características
de Defender for Cloud que estos equipos pueden aprovechar.
FIGURA 3-11 Asignación de operaciones de seguridad y CSPM con Defender for Cloud
Estos son algunos puntos clave para incorporar Defender for Cloud en sus operaciones
de seguridad y CSPM:
 Defender for Cloud evaluará continuamente los recursos informáticos, de
red, de almacenamiento y de aplicaciones para verificar el cumplimiento. El equipo
de CSPM es responsable de la evaluación continua de la seguridad y debe realizar
un seguimiento continuo de las recomendaciones emitidas por Defender for Cloud y
trabajar en colaboración con los propietarios de las cargas de trabajo para mostrarles
cómo remediar esas recomendaciones. Este equipo también debe aprovechar el
puntaje seguro como su indicador clave de rendimiento (KPI) de seguridad.
 Algunas de las capacidades relacionadas con CSPM, como la compatibilidad
con varias nubes, el cumplimiento normativo y la integración de Qualys para la
evaluación de vulnerabilidades, requerirán que habilite uno de los planes pagos de
Microsoft Defender.
 Los roles de seguridad disponibles en Security Center, junto con la
capacidad RBAC de Azure, pueden ayudar a la administración del SOC a controlar
quién tiene acceso a qué parte de la plataforma.
 Puede aprovechar los libros de Azure Monitor para proporcionar un nivel
específico de visualización para el equipo SOC. Puede aprovechar algunos ejemplos
de libros de trabajo que están disponibles en la página de la comunidad de Azure
Security Center ubicada en https://github.com/Azure/Azure-Security-
Center/tree/master/Workbooks .
 Su equipo de CSPM debe usar la función Automatización del flujo de
trabajo para automatizar tareas. Asegúrese de aprovechar las automatizaciones
existentes ubicadas en la página de la comunidad de Azure Security Center
en https://github.com/Azure/Microsoft-Defender-for-Cloud/tree/main/Workbooks .
 El SOC tiene su propio equipo de respuesta a incidentes (IR), que puede
consumir alertas de seguridad generadas por Microsoft Defender para la detección
de amenazas en la nube a través de la función de exportación continua.
 Los analistas de SOC que están a cargo de la clasificación de alertas también
pueden aprovechar el panel de alertas de seguridad de Workload Protection para
filtrar y suprimir alertas. Este equipo también puede aprovechar la función de
automatización del flujo de trabajo para activar una respuesta a alertas específicas.
Líneas base de seguridad para Azure
Los controles de cumplimiento requieren que los controles de seguridad estándar se midan
a través de líneas base de configuración. Muchas organizaciones confían en los controles
estándar de la industria para las mejores prácticas de seguridad para mejorar su postura de
seguridad. Las líneas de base de seguridad para Azure se enfocan en áreas de control
centradas en la nube, donde estos controles son consistentes con los puntos de referencia de
seguridad conocidos, como los descritos por el Centro para la Seguridad de Internet (CIS).
Azure Security Benchmark es el marco de control de seguridad propio de Azure, que se

basa en estándares de la industria que permiten a los clientes cumplir con sus requisitos de
control de seguridad en Azure. Para brindar una experiencia fluida, Azure Security
Benchmark se convirtió en la iniciativa predeterminada en Microsoft Defender para la
nube. Esto significa que para realizar un seguimiento del estado de seguridad de su entorno
en vivo, solo necesita monitorear los resultados a través de Defender for Cloud. Cada
recomendación de seguridad en Defender for Cloud corresponde a una recomendación en
Azure Security Benchmark. Incluso puede visualizar la asignación mediante el panel de
Cumplimiento normativo, como se muestra en la Figura 3-12 .
FIGURA 3-12 Evaluación comparativa de seguridad de Azure
MÁS INFORMACIÓN EVALUACIÓN COMPARATIVA DE SEGURIDAD DE

AZURE
Para obtener más información sobre Azure Security Benchmark,
consulte https://aka.ms/benchmarkdocs .
Habilidad 3-3: Capacidades de seguridad en Microsoft Sentinel
Este objetivo cubrirá los conceptos de Gestión de Eventos e Información de Seguridad

(SIEM), Orquestación de Seguridad, Automatización y Respuesta, y Detección y Respuesta
Extendida (XDR). Estos conceptos son importantes para comprender la protección contra
amenazas y la respuesta en el entorno de información de seguridad actual. La sección
también cubrirá Microsoft Sentinel y cómo reúne SIEM, SOAR y XDR en la pila de
seguridad de Microsoft.
¿Qué es la gestión de eventos e información de seguridad (SIEM)?
Por lo general, un SIEM es el sistema o software central que utiliza un Centro de

operaciones de seguridad (SOC) para monitorear, administrar y responder a incidentes de
seguridad. Un SIEM generalmente proporciona las siguientes capacidades al SOC:
 Ingesta de datos / Agregación de registros

 Analítica
 Correlación
 Visualización de datos
 Retención de datos
 Análisis forense
Al analizar un escenario en el examen SC-900, debe comprender los requisitos

comerciales de la organización antes de recomendar una solución SIEM. Por ejemplo,
Contoso necesita recopilar registros y analizar, correlacionar y responder a incidentes de
seguridad en varios productos y soluciones de seguridad. Dado que Contoso necesita
realizar estas funciones en varios productos o soluciones de seguridad, se necesita un
SIEM. Los productos de detección y respuesta extendida pueden hacer esto para un área
específica, como un punto final, pero un SIEM puede reunir los datos y las alertas en
muchas soluciones de seguridad.
Agregación de datos y registros
La capacidad central de cualquier SIEM es reunir datos y registros de muchas plataformas,

como dispositivos de red, registros de aplicaciones y sistemas, y otros productos de
seguridad. Un SIEM proporciona a las organizaciones una forma de recopilar los registros
de las diversas fuentes y, a menudo, les permite normalizarlos en formatos estándar. Sin
esta capacidad, las organizaciones tendrían que pasar de un sistema a otro, revisar los
registros e intentar encontrar incidentes de seguridad que pudieran haber ocurrido.
El SIEM puede recopilar registros de varias fuentes utilizando diferentes métodos. Se

puede instalar un agente en los puntos finales para recopilar registros localmente y
enviarlos. Se puede implementar un recopilador para sistemas en los que no se pueden
instalar agentes. Por ejemplo, muchos dispositivos de red no admiten la instalación de un
agente, pero pueden enviar sus registros a través de SYSLOG y luego recopilarlos. En la
era de la nube actual, un SIEM también debe proporcionar formas de recopilar registros
tanto de SaaS (software como servicio) como de PaaS (plataforma como servicio), donde,
de nuevo, no se puede instalar un agente en la nube de origen. Servicio.
A medida que se recopilan los datos, un SIEM puede analizar y normalizar los datos en
formatos estándar para facilitar que el SOC analice o use los datos. Los dispositivos de red
de diferentes proveedores tendrán mensajes muy diferentes. Si bien SYSLOG proporciona
un formato de mensaje básico, no es lo suficientemente completo porque las organizaciones
aún necesitan analizar el campo del mensaje, que cada proveedor usa de manera
diferente. ArcSight, un popular producto SIEM de Micro Focus, creó el Formato de evento
común (CEF), que ha sido adoptado por muchos proveedores y ha ayudado a normalizar los
mensajes de los dispositivos.
El formato utiliza pares clave-valor para permitir que los proveedores hagan coincidir
sus datos de registro con un conjunto de campos estándar. Se ha hecho aún más flexible
porque permite a los proveedores agregar sus propios campos. Todos los SIEM del
mercado admiten CEF como uno de los formatos estándar. Esto es importante porque
permite que el SOC comprenda los datos y los campos al crear análisis, visualizaciones o
buscar en los datos.
MÁS INFORMACIÓN CEF

Para obtener más información sobre CEF, consulte https://www.secef.net/wp-
content/uploads/sites/10/2017/04/CommonEventFormatv23.pdf .
Analítica
Una vez que el SOC puede recopilar datos de las fuentes ambientales, el análisis es la
siguiente capacidad más importante en el SIEM. Los análisis permiten que un SOC distinga
anomalías del comportamiento esperado y detecte patrones que podrían ser actividad del
atacante.
Analytics le permite al analista crear una detección o regla que se active en función de
parámetros específicos. Por ejemplo, un analista puede detectar fácilmente 10 o más inicios
de sesión fallidos de un solo usuario en una sola máquina, pero sería difícil para un analista
ver si esos inicios de sesión fallidos ocurrieron en varios sistemas en el transcurso de 24
horas. Para detectar este comportamiento, un analista podría crear una regla que genere una
alerta si se producen diez o más inicios de sesión fallidos por parte del mismo usuario en
todos los sistemas. Luego, el analista podría investigar estos inicios de sesión para
determinar si el usuario tenía un problema legítimo o si un atacante estaba investigando esa
cuenta de usuario.
Si bien este es un ejemplo básico, muchos SIEM en la actualidad brindan análisis mucho
más avanzados para analizar los datos, crear un patrón normal de inicios de sesión fallidos
y alertar sobre un inicio de sesión fallido anómalo.
Correlación
La correlación permite vincular eventos y/o alertas a incidentes para que el analista pueda
ver el ataque completo. Usando el ejemplo de inicios de sesión fallidos de la sección
anterior, digamos que vemos 20 alertas para diferentes usuarios que han fallado en los
inicios de sesión que cumplieron con los criterios. En este caso, tendríamos hasta 20
incidentes para investigar. La correlación nos permite ver que la dirección IP de origen fue
la misma para los 20 inicios de sesión fallidos, lo que le permite al analista ver que es
probable que se trate de un solo incidente compuesto por múltiples alertas. La correlación
reduce la carga de trabajo del analista de SOC y les permite ver si un atacante está tratando
de obtener acceso a varias cuentas en el entorno.
Visualización de datos
Hoy en día, todos los SIEMS pueden visualizar datos para permitir que el SOC convierta
los datos de eventos, alertas e incidentes en gráficos informativos visuales que ayuden a
comprender mejor los datos. Por ejemplo, el SOC podría crear o usar una visualización
integrada para ver las medidas clave del SOC, como cómose han producido muchas alertas
por día durante el último mes, el tiempo medio para reconocer incidentes para el SOC, el
tiempo medio de recuperación (MTTR) para los analistas o el SOC y la cantidad de
incidentes asignados a cada analista.
La visualización puede ayudar al administrador del SOC a determinar si el SOC está

funcionando como se esperaba. El SOC puede usar la visualización para ver si se
encuentran patrones en una sola fuente de datos. Por ejemplo, un analista podría consultar
los registros de inicio de sesión de Azure Active Directory (AAD) para ver las tendencias
diarias, si se ha producido un pico o una caída, o identificar los cinco tipos principales de
inicios de sesión (usuario, no interactivo, etc.). en).
Retención de datos
Un SIEM debe proporcionar retención de datos para eventos, alertas e incidentes. Muchas
organizaciones tienen requisitos de cumplimiento de la industria o del gobierno para
conservar todos o algunos subconjuntos de registros durante un período de tiempo. El
SIEM necesita almacenar los registros directamente o proporcionar una forma de exportar
los registros al almacenamiento archivado. La retención también es necesaria para la
investigación y la caza. Por ejemplo, supongamos que un atacante obtiene acceso a un
sistema y el sistema se está comunicando con un servidor de comando y control en
Internet. Si SIEM solo tuviera registros de los últimos días, el analista de SOC no podría
retroceder en el tiempo para ver si algún otro sistema se ha comunicado con la misma
dirección IP del servidor. El analista no podría decir si se trata de un ataque de una sola vez
o si el ataque también se había producido anteriormente. Además,
Todos los SIEM pueden almacenar y retener datos durante largos períodos, pero esto
tiene un costo. El almacenamiento en caliente, que se necesita para la búsqueda rápida de
datos, es mucho más costoso que el almacenamiento en frío. Algunos SIEM brindan la
capacidad de interactuar con almacenamiento más económico para datos que se almacenan
a largo plazo. Debido al costo, la mayoría de los SOC retienen de 90 a 180 días en el SIEM
y descargan datos a largo plazo a otros sistemas de almacenamiento más económicos.
Análisis forense
El ejemplo de investigación de la sección anterior ilustra lo que se entiende por “análisis

forense”. El analista puede usar los registros de muchos sistemas para investigar un
incidente y comprender el impacto total del ataque. Este es un tipo de análisis reactivo, lo
que significa que el analista reacciona al incidente y realiza análisis forenses para
determinar qué sucedió. Un SIEM también puede proporcionar un análisis proactivo. Los
analistas de SOC podrían realizar una búsqueda proactiva en los conjuntos de datos para
buscar problemas de seguridad para los que el SOC podría no tener una detección. Por
ejemplo, sería interesante observar de manera proactiva los principales procesos poco
comunes que se ejecutan en los sistemas del entorno. El SOC no tendría detección para
estos procesos porque no sabe qué nombres de proceso buscar. Al realizar un análisis
proactivo (caza), pudieron ver los cinco principales procesos poco comunes y descubrir un
proceso desconocido o malicioso. Luego podrían convertir esto en un incidente de
seguridad, realizar una investigación y responder. Si es necesario, el analista podría crear
un nuevo análisis para detectar si ese proceso se ejecuta nuevamente, asumiendo que es un
proceso incorrecto.
¿Qué es la orquestación, automatización y respuesta de seguridad (SOAR)?
La orquestación, automatización y respuesta de seguridad (SOAR) permite a las

organizaciones automatizar la respuesta a incidentes y la coordinación de acciones de
detección y remediación en sistemas dispares. En el pasado, cuando se planteaba un
incidente de seguridad, un analista necesitaba seguir manualmente un libro de jugadas de
respuesta. El libro de jugadas podría ser tan simple como "restablecer la contraseña del
usuario" o podría ser una operación más compleja de varios pasos. SOAR permite que el
SOC automatice estas acciones, reduciendo la carga de trabajo del analista y creando un
tiempo de respuesta más rápido. En el entorno de ciberseguridad actual, los minutos
importan. Los incidentes ocurren más rápidamente, lo que deja menos tiempo para que los
analistas de seguridad clasifiquen, investiguen y solucionen los ataques manualmente.
La orquestación de seguridad permite la integración de estos sistemas dispares a través

de integraciones integradas o al permitir el uso de interfaces de programación de
aplicaciones (API). Es posible que el SOC desee conectarse con muchos sistemas, como
plataformas de inteligencia de amenazas, sistemas de administración de vulnerabilidades,
firewalls, etc. Es posible que sea necesario acceder a otros sistemas o API no relacionados
con la seguridad, como el propio Azure.
Security Automation permite que el SOC automatice acciones típicas de seguridad en

respuesta a incidentes. Usemos el ejemplo de inicios de sesión fallidos proporcionado
anteriormente. El analista podría comenzar revisando los registros de inicio de sesión
fallidos, extrayendo la dirección IP de origen y luego determinando esa dirección
IP. ¿Pertenece a la organización? Si fue externo, ¿de dónde vino? ¿Que pais? ¿Esperaba
que el usuario iniciara sesión desde esta ubicación? Estas son preguntas que consumen
mucho tiempo. Para ver dónde reside normalmente el usuario, el analista debe responder
cada una de estas preguntas desde varios sistemas, como la administración de direcciones
IP, el servicio de ubicación geográfica y Azure Active Directory. La automatización de la
seguridad permite que el SOC cree libros de jugadas para automatizar estas actividades. El
libro de jugadas podría consultar el sistema IPAM para ver si es una dirección
conocida. Unifdeclaración o condición podría tomar la siguiente acción si la dirección IP
no es una IP corporativa. El libro de jugadas podría actualizar el incidente en función de los
resultados o incluso tomar medidas, como restablecer la contraseña del usuario y notificar a
su gerente. Los playbooks pueden ser simples o muy complejos, e incluso pueden llamarse
entre sí.
Security Response le permite al SOC revisar y monitorear estas automatizaciones. Si se

llama automáticamente a un libro de jugadas durante la creación de incidentes, es posible
que el SOC deba verificar el estado del libro de jugadas o revisar el resultado del libro de
jugadas más adelante.
En el contexto del examen SC-900, debe comprender los requisitos comerciales que lo
llevarán a recomendar una solución SOAR. En primer lugar, la organización debe
automatizar acciones en respuesta a incidentes de seguridad. Debe permitir la conexión de
múltiples sistemas a través de varios métodos, y debe permitir que las acciones de respuesta
sean administradas o monitoreadas. También debería reducir la cantidad de tiempo que le
toma al SOC manejar un incidente.
¿Qué es la detección y respuesta extendidas (XDR)?
Las soluciones de detección y respuesta extendida (XDR) recopilan y correlacionan

automáticamente datos de múltiples productos de seguridad, mejorando así la detección de
amenazas y brindando una capacidad de respuesta a incidentes. Al igual que un SIEM, la
diferencia clave entre XDR y una tecnología de seguridad clásica es que un XDR está
diseñado para un tipo específico de tecnología, como terminales, sistemas de identidad,
aplicaciones SaaS, servicios en la nube como Azure Storage, Azure SQL, etc. Las
herramientas XDR a menudo brindan alertas de alta calidad porque recopilan datos más allá
de los registros de esos activos. Por ejemplo, recopilan árboles de procesos o detecciones en
memoria para herramientas de detección y respuesta de punto final (EDR). (Los EDR son
un subconjunto de XDR).
Algunas (no todas) las soluciones XDR pueden combinar alertas en estos tipos de
activos en un solo incidente como un SIEM. XDR se creó a partir de la necesidad de las
organizaciones de reducir la carga de trabajo de los analistas de SOC proporcionando
alertas de alta calidad (y, a menudo, capacidades de investigación adicionales como
SOAR). Las herramientas XDR se limitan a los activos que cubren, por lo que SIEM+XDR
es una estrategia ideal porque ofrece lo mejor de ambos mundos.
CONSEJO DE EXAMEN
Para el examen SC-900, las organizaciones que tienen un requisito comercial
necesitan un XDR para consolidar de manera inteligente las alertas de las soluciones
de seguridad en todos los dominios. El examen también puede cubrir los requisitos
para la remediación automatizada.
Centinela de Microsoft
Microsoft Sentinel es la primera solución SIEM y SOAR nativa de la nube del mundo. Fue
construido desde cero en la nube y permite a las organizaciones escalar con sus demandas
SIEM y SOAR. Las organizaciones pueden conectar datos entre todos los usuarios,
dispositivos, aplicaciones e infraestructura. Las fuentes de datos como Microsoft Defender
(una solución XDR) y las fuentes de terceros, como los firewalls, se pueden unir para
detectar amenazas en sus entornos, tanto en las instalaciones como en las nubes. Las
organizaciones pueden usar todos estos datos para detectar amenazas que no se detectaron
previamente mediante la combinación de análisis e inteligencia de amenazas. La nube de
Microsoft trae el aprendizaje automático (un subconjunto de la inteligencia artificial) a
Microsoft Sentinel para ayudar a detectar e investigar incidentes de seguridad. El SOC
puede buscar a través de los datos a escala, en busca de actividad anómala. Microsoft
Sentinel está integrado con Azure Logic Apps para proporcionar capacidades SOAR para
acelerar la respuesta a incidentes de seguridad y reducir el tiempo necesario para la
resolución de incidentes.
Recoger
Como se discutió anteriormente, un SIEM debe proporcionar agregación de datos y

registros. En el momento en que se escribió este libro, Microsoft Sentinel proporciona 103
conectores de datos. Los conectores de datos se agregan constantemente, por lo que este
número cambiará con el tiempo. Figura 3-13 Muestra una descripción general de la hoja de
conectores de datos en Microsoft Sentinel.
FIGURA 3-13 Hoja de conectores de datos
Microsoft Sentinel proporciona conectores de datos para Microsoft 365 Defender,

fuentes de Microsoft 365 como Office 365, muchos servicios de Azure y registros de
diagnóstico, y conectores integrados a un ecosistema de seguridad más amplio para
soluciones que no son de Microsoft. En el momento de escribir este artículo, más de 60 de
los más de 115 conectores son para soluciones que no son de Microsoft. Además, hay
varios conectores genéricos para Common Event Format, Syslog y REST API para
conectar cualquier fuente de datos en el entorno de la organización.
Muchos de los conectores son de servicio a servicio, lo que significa que Microsoft
Sentinel se conecta directamente al servicio en la nube. Por ejemplo, cada producto de
Microsoft 365 Defender tiene un conector que trae alertas de seguridad de estos productos a
Microsoft Sentinel. Los conectores de Office 365 y Dynamics 365 son otros ejemplos de
conectores de servicio a servicio.
Otros conectores utilizan agentes para recopilar registros de puntos
finales. Actualmente, Microsoft Sentinel usa el agente Log Analytics, que es compatible
con Windows y Linux y puede conectar eventos de Windows, SYSLOG y otros archivos de
registro en el punto final. El agente de Log Analytics se reemplazará por el agente de Azure
Monitor en un futuro próximo.
También están disponibles algunos conectores que no tienen un método de recopilación

de servicio a servicio o de agente. Por lo general, estos usan una función de Azure para
consultar datos de otros servicios y enviar los datos a Log Analytics a través de una API
REST.
Veamos cómo configurar al menos un conector de datos:
1. Abra Azure Portal e inicie sesión con un usuario que tenga privilegios de
colaborador de Microsoft Sentinel.
2. En el panel de navegación izquierdo, haga clic en Microsoft Sentinel .
3. Haga clic en el espacio de trabajo de Microsoft Sentinel .
4. Haga clic en Conectores de datos .
5. Desplácese hacia abajo y seleccione Microsoft Defender for Cloud , como
se muestra en la Figura 3-14 . Puede ver en la figura que Microsoft Defender for
Cloud no está configurado, ya que no muestra una barra verde a la izquierda del
nombre del conector.
FIGURA 3-14 Hoja de conectores de datos
6. Haga clic en el botón Abrir página del conector .

7. Use el control deslizante para habilitar las suscripciones que se conectarán a
Azure Sentinel. La Figura 3-15 muestra la página detallada del conector.
FIGURA 3-15 Blade de Microsoft Defender para Cloud Connector
La Figura 3-16 muestra la pestaña Próximos pasos del conector de datos . Cada
conector de datos tendrá estas tres secciones: libros de trabajo recomendados,
ejemplos de consultas y análisis relevantes . Los libros de trabajo recomendados son
tableros visuales para el tipo de datos y se tratarán más adelante en este capítulo. Los
ejemplos de consulta contienen solo unas pocas consultas simples para que pueda
comenzar con los tipos de datos que trae el conector. Lo más importante es que los
análisis relevantes son plantillas de análisis que están disponibles para el tipo de datos, lo
que facilita comenzar a detectar su fuente de datos.
FIGURA 3-16 Pestaña Pasos siguientes
Detectar
Microsoft Sentinel brinda la capacidad de detectar amenazas a través de reglas de

análisis. Actualmente, hay más de 300 plantillas de reglas analíticas y se están agregando
más. Una regla analítica puede correlacionar eventos y alertas de seguridad en
incidentes. Un incidente es un conjunto discreto de actividad de un atacante potencial
representado por grupos de alertas relacionadas que el SOC deberá evaluar. Hay seis tipos
de reglas analíticas:
 Anomalía Utiliza modelos ML para detectar amenazas en fuentes de datos

conectadas. Microsoft crea y proporciona los modelos de ML, lo que reduce la
necesidad de que el SOC cree sus propios modelos de ML.
 Fusion utiliza la tecnología ML patentada de Microsoft para detectar
automáticamente ataques en varias etapas mediante la combinación de varios
comportamientos anómalos o actividades sospechosas que forman parte de la misma
cadena de eliminación de ataques.
TIP ESCENARIOS DE DETECCIÓN DE ATAQUES

La documentación de Azure Sentinel contiene una lista de escenarios de detección de
ataques para el tipo de regla Fusion. Consulte la documentación
en https://docs.microsoft.com/en-us/azure/sentinel/fusion .
 Análisis de comportamiento de aprendizaje automático (ML) Utiliza

algoritmos de ML propiedad de Microsoft para detectar actividad
anómala. Actualmente, hay dos de estas plantillas de reglas: una para detectar
inicios de sesión anómalos de Secure Shell (SSH) y otra para inicios de sesión de
Protocolo de escritorio remoto (RDP).
 Seguridad de Microsoft Crea un incidente automáticamente cada vez que
se recibe una alerta de seguridad de los productos de Microsoft 365 Defender. Los
productos de Microsoft 365 Defender incluyen Microsoft Defender para
aplicaciones en la nube, Microsoft Defender para la nube, Azure Active Directory
Identity Protection, Microsoft Defender para IoT, Defender para Office 365,
Defender para Endpoint y Defender para identidad.
 Reglas basadas en consultas programadas que se ejecutan en un programa
con parámetros para la programación de consultas, el umbral de alerta, la
agrupación, la supresión y la creación de incidentes.
Un SOC debe comenzar usando plantillas de reglas para cubrir los casos de uso de
detección que desean proteger o monitorear en su entorno. Las plantillas de reglas son
detecciones listas para usar que se pueden usar para detectar ataques en varias fuentes de
datos. Si no existe una plantilla para el caso de uso, también hay otras muestras en la
comunidad de Microsoft Sentinel. La comunidad de Microsoft Sentinel es un repositorio de
GitHub de muestras adicionales que los SOC pueden usar con Microsoft Sentinel.
NOTA COMUNIDAD DE MICROSOFT SENTINEL
La comunidad de Microsoft Sentinel se puede encontrar
en https://github.com/Azure/Azure-Sentinel o a través de la hoja de la comunidad en
Microsoft Sentinel .
Veamos cómo configurar al menos una analítica usando una plantilla:
1. Abra Azure Portal e inicie sesión con un usuario que tenga privilegios
de colaborador de Microsoft Sentinel.
4. Haga clic en Análisis . La figura 3-17 muestra una descripción general de la
hoja de Analytics en Azure Sentinel. Las pestañas Reglas activas y Plantillas de
reglas aparecen en la parte superior. En esta figura, la pestaña Reglas activas está
activa y muestra las reglas habilitadas actualmente para el área de trabajo.
FIGURA 3-17 Hoja de análisis
5. Haga clic en Plantillas de reglas .

6. En el cuadro de búsqueda, escriba Defensor .
7. Seleccione Crear incidentes basados en Azure Defender . Este es un tipo
de regla de seguridad de Microsoft. Creará un incidente cuando se reciba una alerta
de Microsoft Defender for Cloud.
8. En el panel derecho, haga clic en el botón Crear regla .
9. La Figura 3-18 muestra la pestaña General del Asistente para reglas de
Analytics . Debido a que este es un tipo de regla de seguridad de Microsoft, se
requiere una cantidad mínima de configuración. Puede filtrar solo por determinadas
gravedades y nombres de alerta ( Incluir o Excluir ). Puede hacer esto para traer
solo ciertas alertas de los productos de seguridad de Microsoft y excluir las alertas
ruidosas que aún deben ajustarse en el producto de origen.
FIGURA 3-18 Creación de una nueva regla a partir de una plantilla
10. Haga clic en Siguiente: Respuesta automática .

11. En la pestaña Respuesta automática , puede configurar una respuesta
automática. Las siguientes son las acciones que se pueden realizar desde
la pestaña Respuestas automáticas :
1. Ejecutar Playbook Activar una aplicación lógica
2. Cambiar estado Cambia el estado del incidente a Nuevo , Activo o Cerrado
3. Cambiar gravedad Cambie la gravedad del incidente
a Informativo , Bajo , Medio o Alto
4. Asignar propietario Establecer el propietario del incidente
5. Agregar etiqueta Agregar etiquetas al incidente
La Figura 3-19 muestra la pestaña Respuesta automatizada con el menú

desplegable Crear nueva regla de automatización .
FIGURA 3-19 Crear nueva regla de automatización
12. Haga clic en Siguiente: Revisar .

13. Revise la configuración de la regla y haga clic en Crear .
Investigar
Una vez que un análisis desencadena una detección y crea un incidente, el SOC deberá
investigarlo. Microsoft Sentinel proporciona una rica experiencia de investigación para que
el SOC pueda clasificar y responder rápidamente al incidente. Abramos un incidente e
investiguemos siguiendo los pasos a continuación:
4. Haga clic en Incidentes . La hoja Incidentes permite al analista SOC ver
una lista de incidentes. Cuando el analista selecciona un incidente, puede ver los
detalles del incidente, como se muestra en la Figura 3-20 .
FIGURA 3-20 La hoja Incidentes
5. El analista puede ver los detalles completos del incidente haciendo clic
en Ver detalles completos . La Figura 3-21 muestra los detalles completos del
Incidente. El analista puede ver rápidamente una vista de línea de tiempo de las
alertas que forman parte del incidente y los detalles de cada alerta, marcadores,
entidades y comentarios. Esta información proporciona al analista una visión
general rápida y detallada del incidente.
FIGURA 3-21 Hoja de detalles del incidente
6. Cuando el analista hace clic en Investigar , se le proporciona el panel

de investigación , que permite una investigación profunda a través de un gráfico
que ayuda al analista a comprender el alcance y la causa raíz del ataque. El analista
puede hacer preguntas sobre las entidades involucradas en un incidente con simples
clics en el gráfico. Microsoft Sentinel tiene un conjunto de consultas enlatadas que
los analistas suelen hacer a las entidades. Estos se ejecutan en tiempo real y el
analista puede ver si hay algún resultado. Este es un gran ahorro de tiempo; sin estas
consultas enlatadas, el analista tendría que abrir una ventana de consulta y ejecutar
cada consulta para ver si hubo eventos interesantes o relacionados. Figura 3-
22muestra el gráfico de investigación y el menú desplegable para una entidad. Se
muestran todas las consultas con resultados.
FIGURA 3-22 El gráfico de investigación
Luego, el analista puede ver que la entidad del usuario tampoco pudo iniciar sesión en
otra computadora, por lo que ahora el analista sabe que el atacante también intentó iniciar
sesión en otra máquina. La figura 3-23 muestra la expansión del gráfico cuando el analista
hace clic en los resultados. Se agrega una nueva entidad al gráfico y, cuando el analista
hace clic en ella, puede ver los detalles de la entidad de la computadora, como HostName y
DnsDomain.
FIGURA 3-23 El gráfico de investigación con detalles de la entidad
Microsoft Sentinel proporciona otras dos capacidades para la investigación: análisis de

comportamiento de usuarios y entidades (UEBA) y búsqueda. UEBA analiza las fuentes de
registro entrantes y crea perfiles de comportamiento de referencia para las entidades. Al
investigar un incidente, a veces es necesario pasar a una entidad como un usuario para
obtener más información sobre lo que ocurrió. UEBA también utiliza varios tipos de
aprendizaje automático para obtener información de cada entidad, por ejemplo, si un
usuario accede a un servidor por primera vez. Echemos un vistazo al usuario JeffL de
nuestro incidente anterior en la Figura 3-23 .
3. Haga clic en el espacio de trabajo de Microsoft Sentinel.
4. Haga clic en Comportamiento de la entidad.
5. En la Figura 3-24 , puede ver la hoja Comportamiento de la entidad , que
muestra listas de las principales entidades por número de alertas. También puede
buscar una entidad en la barra de búsqueda.
FIGURA 3-24 La hoja Comportamiento de la entidad
6. Busque un usuario y seleccione la cuenta de usuario.

7. En la hoja Comportamiento de la entidad , Microsoft Sentinel proporciona
mucho más contexto a la entidad para comprender lo que ha ocurrido. La Figura 3-
25 muestra la hoja de entidad para un usuario. El panel izquierdo muestra
información sobre el usuario, que se extrae de Azure Active Directory. El panel
central muestra un gráfico de eventos y alertas que contiene la entidad con una
cronología de alertas y eventos significativos que involucran al usuario. El panel
derecho proporciona varias perspectivas del aprendizaje de UEBA, como si el
usuario se ha agregado recientemente a algún grupo.
FIGURA 3-25 Hoja Entidad
UEBA puede proporcionar al analista una mejor comprensión de las entidades

involucradas en un incidente, lo que ayuda al analista a comprender qué tan lejos pudo
haber llegado el ataque dentro del entorno más allá de lo que se encontró en el incidente.
La caza de amenazas es una forma de investigación proactiva que le permite encontrar

adversarios que pasaron por alto las detecciones pero que aún pueden dañar la
organización. Este es un complemento importante para la detección e implica buscar a
través de los datos para buscar amenazas de seguridad sobre las que podrían no estar
alertando hoy. Por ejemplo, no puede crear una alerta para un nombre de proceso malicioso
si no conoce el nombre del proceso. Con la búsqueda, el analista puede encontrar procesos
poco comunes (que son procesos que se han ejecutado en todo el entorno pero que no son
comunes en todos los puntos finales) en todos los datos. Si ocurre algo malicioso, el
analista puede crear un incidente para clasificar y luego crear una regla analítica para
detectar si vuelve a ocurrir ahora que tiene el nombre del proceso. Echemos un vistazo
rápido a la búsqueda de amenazas en Microsoft Sentinel.
4. Haga clic en Caza.
5. En la Figura 3-26 , puede ver la hoja de caza . En la parte superior, puede
ver cuántas consultas existen. El botón Ejecutar todas las consultas le permite
ejecutar todas las consultas a la vez. Esto es útil porque un analista puede ejecutar
todas las consultas y luego concentrarse en las que tienen resultados. En la parte
inferior central de la hoja hay una lista de consultas con un mapeo MITRE
ATT&CK. La hoja derecha muestra los detalles de la consulta de búsqueda. Busque
las consultas de un proceso y seleccione Proceso menos común por línea de
comando .
FIGURA 3-26 La hoja de caza
6. En la hoja de la derecha, haga clic en Ejecutar consulta . Si el entorno

muestra algún resultado, haga clic en Ver resultados para explorar los procesos
poco comunes.
7. La Figura 3-27 muestra un resultado de ejemplo en la hoja Registros . Aquí,
un analista puede tomar dos acciones. En primer lugar, pueden seleccionar un
registro específico y crear un marcador, que es una referencia que se puede usar más
tarde para una investigación más profunda, o se puede agregar el marcador a un
incidente. En segundo lugar, pueden iniciar el asistente para crear una nueva regla
de alerta haciendo clic en Nueva regla de alerta -> Nueva alerta de Microsoft
Sentinel .
FIGURA 3-27 La hoja Registros
La búsqueda en Microsoft Sentinel ofrece una última capacidad para ayudar al SOC:
Livestream. Livestream le permite al analista ejecutar una consulta en tiempo real y ver los
resultados a medida que llegan. Esto se puede usar cuando el SOC tiene un indicador de
compromiso (IOC) que desea observar durante un incidente activo. No cubriremos los
detalles de Livestream aquí, ya que no está cubierto en la prueba.
Responder
Las reglas de automatización proporcionan una forma de desencadenar respuestas

automáticas a incidentes de seguridad. Las reglas de automatización pueden establecer el
estado del incidente, establecer la gravedad, asignar un propietario o una etiqueta, o
ejecutar un libro de jugadas. Los playbooks son colecciones de pasos o flujos de trabajo que
se pueden ejecutar en respuesta a un incidente. Los libros de estrategias se basan en Azure
Logic Apps, que proporciona muchos conectores a varios servicios para integrarlos en el
flujo de trabajo. Vamos a crear una regla de automatización siguiendo los pasos a
continuación:
4. Haga clic en Automatización.
5. La Figura 3-28 muestra la hoja de automatización. Puede ver todas las
automatizaciones configuradas, así como la pestaña Playbooks .
FIGURA 3-28 La hoja de automatización
6. Haga clic en Crear > Agregar nueva regla .

7. La Figura 3-29 muestra un panel vacío Crear nueva regla de
automatización .
FIGURA 3-29 El panel Crear nueva regla de automatización
8. Para este escenario, creemos una regla que asigne un propietario. Introduzca
el nombre Cambiar propietario .
9. En Condiciones , elija Contiene en el menú desplegable Nombre de regla
analítica y deje Todo seleccionado.
10. En el menú desplegable Acciones , elija Asignar propietario .
11. Haga clic en el menú desplegable Asignar propietario y seleccione un
usuario.
12. Deje las opciones Caducidad de la regla y Orden establecidas en sus
valores predeterminados.
13. Haga clic en Aplicar . La Figura 3-30 muestra el panel completo.
FIGURA 3-30 Panel Crear nueva regla de automatización completado
Esto ilustra el concepto de SOAR con una regla de automatización extremadamente

simple para asignar todos los incidentes a un usuario específico. En realidad, la mayoría de
los SOC personalizarían una regla como esta en función de su modelo operativo, como la
asignación de reglas de análisis específicas a un analista o equipo en particular.
MÁS INFORMACIÓN EJEMPLOS DE LIBROS DE JUGADAS

Consulte los ejemplos de Playbook en la comunidad de Microsoft Sentinel
en https://github.com/Azure/Azure-Sentinel/tree/master/Playbooks .
MÁS INFORMACIÓN APLICACIONES LÓGICAS

Logic Apps está fuera del alcance de este libro. Para obtener más información,
consulte https://docs.microsoft.com/en-us/azure/logic-apps/logic-apps-overview .
Visualizar
Una vez que el SOC ha ingerido datos en Microsoft Sentinel, se puede visualizar y
monitorear mediante libros de trabajo. Los libros de trabajo se pueden usar con muchas de
las plantillas proporcionadas, o puede crear tableros personalizados o modificar una
plantilla existente para satisfacer las necesidades de la organización. Echemos un vistazo a
los libros de trabajo.
4. Haga clic en Libros de trabajo.
5. La Figura 3-31 muestra la hoja Libros de trabajo. Puede ver el número de
plantillas y libros de trabajo guardados que están disponibles. Haga clic en
Plantillas .
FIGURA 3-31 Hoja de libros de trabajo
6. Cualquier libro de trabajo con una barra de estado verde en la lista de

plantillas significa que el libro de trabajo ya se guardó. Para guardar un libro de
trabajo no guardado actualmente, simplemente selecciónelo y haga clic
en Guardar .
7. Elija la ubicación en la que desea guardar el libro y haga clic en Aceptar .
8. Haga clic en Ver libro de trabajo guardado . La Figura 3-31 muestra el
libro de trabajo Eficiencia de las operaciones de seguridad. Este libro de trabajo es
útil para que el SOC vea cómo se están realizando las operaciones de seguridad.
FIGURA 3-32 Libro de trabajo Eficiencia de las operaciones de seguridad
Habilidad 3-4: Protección contra amenazas con Microsoft 365 Defender
Este objetivo cubrirá los conceptos de protección contra amenazas con Microsoft 365
Defender. Microsoft 365 Defender es una suite de defensa empresarial unificada previa y
posterior a la infracción que incluye capacidades XDR y SOAR para detección y respuesta,
aunque también incluye controles preventivos.
Describir los servicios de Microsoft 365 Defender
Microsoft 365 (M365) Defender protege puntos finales, correo electrónico, identidades y
aplicaciones en la nube. Cada producto de la suite se tratará en las siguientes secciones. Es
importante comprender que cada producto está diseñado para trabajar en conjunto para
brindar una protección completa contra amenazas en todos los tipos de recursos del
entorno. Microsoft 365 Defender proporciona las siguientes capacidades unificadas:
 Panel de control único Puede ver todas las detecciones, activos, acciones e
información relacionada en una única cola de incidentes en security.microsoft.com .
 Incidentes combinados Las alertas generadas por cada producto se
correlacionan y combinan en un solo incidente y análisis de línea de tiempo. Esto le
permite ver el alcance completo del ataque y los activos afectados en una sola vista
(incluido el contexto adicional, como la confidencialidad de los datos afectados por
un incidente).
 Respuesta automática La información crítica se comparte entre los
productos para permitir una respuesta en tiempo real para ayudar a detener la
progresión de un ataque. Por ejemplo, Defensor deEndpoint encuentra un archivo
malicioso. En este caso, Defender for Endpoint puede indicar a Defender for Office
365 que analice y elimine el archivo de todos los mensajes de correo electrónico.
 La investigación y respuesta automatizada (AutoIR) de SOAR entre
productos ayuda a investigar y remediar automáticamente los ataques.
 Los equipos de SOC de búsqueda de amenazas de productos
cruzados pueden aprovechar los datos sin procesar de cada producto para buscar
signos de compromiso y crear consultas que se pueden usar para alertas
personalizadas.
CONSEJO DE EXAMEN
Para el examen SC-900, es importante comprender qué productos forman parte del
conjunto de aplicaciones Microsoft 365 Defender y qué capacidades se proporcionan.
Describir Microsoft Defender para identidad
Microsoft Defender for Identity, a veces denominado MSDI, es una solución de seguridad
basada en la nube para monitorear Windows Server Active Directory y Active Directory
Federation Services (ADFS). Puede identificar, detectar y permitir la investigación de
amenazas avanzadas e identidades comprometidas o personas internas maliciosas. La figura
3-33 muestra el portal de Defender for Identity. Una vez que haya iniciado sesión, el
analista de seguridad puede revisar la cronología de las alertas de seguridad que deben
investigarse. Iniciemos sesión en el portal y echemos un vistazo a una alerta:
1. Abra un navegador, visite portal.atp.azure.com ,e inicie sesión con un

usuario que tenga privilegios de administrador de seguridad .
2. La figura 3-33 muestra la página de línea de tiempo de Defender for
Identity .
FIGURA 3-33 Portal de Defender for Identity
3. Después de hacer clic en una alerta, el analista puede ver los detalles de la
alerta única. La Figura 3-34 muestra la vista de alerta. Puede ver detalles como el
usuario, la computadora (origen y destino, si corresponde) y el ataque que se
cometió.
FIGURA 3-34 Defender para alerta de identidad
Defender for Identity utiliza un sensor que se puede instalar en controladores de

dominio de Active Directory o servidores de federación de Active Directory para recopilar
datos de registros de eventos, tráfico de red y Active Directory. A medida que se recopilan
datos, Defender for Identity detecta un ataque a través de detecciones específicas; recopila
y analiza los datos para crear líneas de base de comportamiento para cada usuario; y crea
mapeos de actividades, permisos y membresías de grupos. Esto permite que el analista de
seguridad comprenda mejor el ataque en relación con la identidad. El analista puede ver
tanto la alerta como comprender los patrones de identidad a través de un gráfico creado que
muestra las rutas de movimiento lateral del ataque en el entorno. El movimiento lateral es
una técnica de ataque típica que utiliza credenciales para pasar de una parte de la red a otra.
Describir Microsoft Defender para Office 365
Defender para Office 365 (MSDO) brinda protección contra amenazas para mensajes
entrantes (correo electrónico y otros), enlaces (URL) y archivos adjuntos para herramientas
de colaboración, incluidos Microsoft Teams, SharePoint Online, OneDrive para empresas y
Exchange Online. MSDO incluye:
 Políticas de protección contra amenazas Configurar políticas para

proteger la organización
 Informes Ver informes para monitorear MSDO
 Investigación y respuesta a amenazas Prevenir, investigar, responder y
simular ataques
 Investigación y respuesta automáticas Ahorre tiempo mitigando
automáticamente las amenazas
Las políticas de MSDO están configuradas para determinar el comportamiento y el nivel

de protección para amenazas predefinidas. Las políticas se pueden configurar para una
protección detallada contra amenazas a nivel de usuario, organización, destinatario y
dominio. Las políticas se pueden configurar para las siguientes áreas:
 Archivos adjuntos seguros Revise los mensajes de correo electrónico para

brindar protección de día cero. Todos los mensajes y archivos adjuntos que no
tienen una firma de virus/malware se enrutan a una zona de pruebas especial que
utiliza aprendizaje automático (ML) para detectar intenciones maliciosas. Si no se
encuentra ninguna actividad sospechosa, se entrega el mensaje.
 Vínculos seguros Comprueba el momento del clic para garantizar que la
URL sea segura. Los enlaces maliciosos se bloquean, mientras que los enlaces
seguros permanecen accesibles.
 Archivos adjuntos seguros para SharePoint, OneDrive y Microsoft
Teams Al igual que los archivos adjuntos seguros, pero analiza los archivos
compartidos a través del software de colaboración para proteger a la organización.
 Anti-phishing Detecta intentos de hacerse pasar por usuarios y dominios
internos/personalizados y usa ML y algoritmos avanzados de detección de
suplantación.
La figura 3-35 muestra el portal de Microsoft 365 Defender. La figura muestra que las
políticas de MSDO se pueden configurar haciendo clic en Políticas y reglas en el menú de
la izquierda en Correo electrónico y colaboración .
FIGURA 3-35 Políticas de Defender para Office 365
Los informes brindan información en tiempo real que el SOC puede usar para
comprender las amenazas actuales que enfrenta con MSDO. MSDO proporciona un panel
del explorador de amenazas, un informe de estado de protección contra amenazas, un
informe de tipos de archivos y un informe de eliminación de mensajes.
Las organizaciones pueden usar la investigación y respuesta de amenazas para anticipar

y comprender los ataques maliciosos. Los rastreadores de amenazas brindan la inteligencia
más reciente de Microsoft sobre problemas de ciberseguridad. El SOC puede ver el último
malware y recomendaciones para tomar medidas antes de que ocurra el ataque. El
explorador de amenazas proporciona un informe en tiempo real que el SOC puede usar para
analizar amenazas recientes.amenazas Por último, el SOC puede usar el Simulador de
ataques para ejecutar ataques realistas en la organización para identificar vulnerabilidades.
Recientemente, MSDO agregó capacidades de investigación y respuesta automatizadas

(AIR). Este conjunto de Playbooks de seguridad puede ejecutarse automáticamente cuando
se activa una alerta o cuando el SOC lo ejecuta manualmente. Los Playbooks
preconstruidos brindan al equipo SOC pasos que ahorran tiempo para investigar y mitigar
las amenazas.
Describir Microsoft Defender para Endpoint
Microsoft Defender for Endpoint (MSDE) está diseñado para proteger los puntos finales, lo
que permite a las empresas prevenir, detectar, investigar y responder a amenazas
avanzadas. Para el examen SC-900, es importante comprender las siguientes áreas del
MSDE:
 Gestión de amenazas y vulnerabilidades
 Reducción de la superficie de ataque
 Protección de última generación
 Detección y respuesta de punto final
 Investigación y remediación automatizadas
 Gestión y API
La gestión de amenazas y vulnerabilidades (TVM) proporciona la capacidad de

descubrir, priorizar y remediar las vulnerabilidades y errores de configuración de los
terminales. TVM utiliza el mismo sensor MSDE, por lo que no es necesario un agente
adicional. Proporciona inventario de dispositivos en tiempo real, visibilidad del software y
las vulnerabilidades, contexto de tiempo de ejecución de la aplicación y postura de
configuración. TVM cierra la brecha entre los administradores de seguridad y los
administradores de TI al integrarse con Microsoft Endpoint Manager. Revisemos el tablero
de TVM:
1. Abra un navegador, visite security.microsoft.com ,e inicie sesión con un

NOTA MSDE SE HA MOVIDO

Después de agregar el portal de Microsoft 365 Defender, MSDE se trasladó
a security.microsoft.com .
2. Haga clic en Gestión de vulnerabilidades en el menú de la izquierda y

luego seleccione Tablero . Aparece el Panel MSDE TVM, como se muestra en
la Figura 3-36 .
FIGURA 3-36 Panel de administración de amenazas y vulnerabilidades de
Defender para endpoints
3. Aquí puede ver una descripción general de las amenazas y vulnerabilidades.

1. La puntuación de exposición para la organización se calcula a partir de las
debilidades descubiertas, la probabilidad de una infracción y el valor del dispositivo.
2. En la sección central, puede ver la lista de recomendaciones principales y los
eventos principales.
3. A la derecha está Microsoft Secure Score para dispositivos.
4. Si se desplaza hacia abajo, puede ver la distribución de la exposición por gravedad,
actividades de remediación, software más vulnerable y dispositivos más expuestos.
4. Puede sumergirse en cada una de estas áreas para obtener más información y
comprender mejor los riesgos y vulnerabilidades de su organización.
La reducción de la superficie de ataque proporciona la capacidad de habilitar funciones

en los sistemas operativos para reducir su superficie de ataque.
 Aislamiento basado en hardware Puede habilitar el aislamiento basado en

hardware para garantizar la integridad del sistema cuando se inicia y mientras se
ejecuta.
 Control de aplicaciones El control de aplicaciones puede limitar qué
aplicaciones pueden ejecutarse para reducir el riesgo de aplicaciones no autorizadas.
 Acceso controlado a carpetas El acceso controlado a carpetas permite que
solo las aplicaciones de confianza realicen cambios en las carpetas controladas. Esto
puede evitar que ataques como el ransomware realicen cambios en carpetas y
archivos controlados.
 Protección de red La protección de red bloquea el tráfico HTTP(S)
saliente que intenta conectarse a fuentes de baja reputación (según el nombre de
dominio).
 Protección contra vulnerabilidades La protección contra vulnerabilidades
proporciona técnicas de mitigación de vulnerabilidades a los procesos y
aplicaciones del sistema operativo.
 Control de dispositivos Por último, el control de dispositivos le permite
protegerse contra la pérdida de datos al monitorear y controlar los medios utilizados
en los dispositivos.
Todas las capacidades de ASR pueden reducir significativamente las posibilidades de

ataque si se habilita en todos los dispositivos de la organización.
MSDE está directamente integrado con Microsoft Defender for Antivirus para brindar
protección de próxima generación en los puntos finales. La protección proporciona
aprendizaje automático, análisis de big data, investigación de resistencia a amenazas y la
nube de Microsoft para proteger los dispositivos de amenazas nuevas y
emergentes. Microsoft Defender for Antivirus está integrado en Windows 10 y
WindowsServidor 2016+. Proporciona un antivirus en tiempo real con escaneo siempre
activo que utiliza el monitoreo del comportamiento de archivos y procesos. También puede
detectar y bloquear aplicaciones que se consideran inseguras pero que podrían no detectarse
como malware. Proporciona protección en la nube, lo que significa que puede detectar y
bloquear amenazas emergentes casi al instante aprovechando la nube de Microsoft.
El componente central que hace que MSDE sea tan poderoso para los SOC es la
detección y respuesta de puntos finales. Recopila continuamente cibertelemetría de
comportamiento que incluye información de procesos, actividades de red, óptica profunda
en el kernel y el administrador de memoria, inicios de sesión de usuarios, cambios de
registros y archivos, y otros. La información se almacena en la nube durante seis meses, lo
que permite a los analistas ver todo el camino hasta el comienzo de un ataque. Una vez que
se detecta un ataque, se activa una alerta de seguridad. MSDE combina varias alertas que
forman parte del mismo ataque en incidentes. Esto permite que el SOC tenga una vista
completa del ataque. Echemos un vistazo a la cola de incidentes siguiendo los pasos a
continuación:
1. Abra un navegador, visite security.microsoft.com e inicie sesión con un

2. Expanda Incidentes y alertas en el menú de la izquierda y
seleccione Incidentes .
3. La Figura 3-37 muestra la cola de incidentes de MSDE . Aquí puede ver el
gráfico de línea de tiempo de los incidentes a lo largo del tiempo, que puede mostrar
un pico cuando hay un aumento de los ataques. Debajo del gráfico de la Figura 3-
37 hay una lista de incidentes abiertos. Puede ver un nombre, gravedad, estado e
información más detallada en la tabla en varias columnas. La parte superior de la
lista es la más importante para investigar primero.
FIGURA 3-37 Cola de incidentes
4. Haga clic en un incidente. La Figura 3-38 muestra los detalles del

incidente. Puede ver una descripción general de todo lo relacionado con el
incidente, como una cronología de las alertas de seguridad, las entidades
involucradas y la información del incidente. Cerca de la parte superior hay pestañas
que le permiten profundizar en cada área para que pueda investigar más a fondo y
luego responder al ataque.
FIGURA 3-38 Detalles del incidente
Automated Investigation and Remediation (AIR) es una tecnología SOAR que utiliza
varios algoritmos de inspección para seguir procesos basados en SOC para examinar alertas
y tomar medidas inmediatas. Cuando se activa una alerta de seguridad, AIR
automáticamente comienza a investigar el dispositivo. Según la configuración de la
organización, AIR puede esperar la aprobación para tomar medidas, como eliminar un
archivo malicioso, o puede tomar medidas automáticamente. Además, AIR puede
recomendar o actuar sobre una o varias acciones, como detener un servicio, eliminar una
tarea programada, etc. AIR reduce la carga de trabajo en el SOC al automatizar los
procesos de investigación. Normalmente, un analista de SOC necesitaría realizar estos
pasos y acciones en los terminales, lo que puede resultar engorroso.
MSDE brinda capacidades de administración a los dispositivos integrados y es

totalmente integrable con Microsoft Endpoint Manager y Azure Defender para servidores,
lo que proporciona una experiencia completa e integral para la configuración,
implementación y supervisión. MSDE también proporciona control de acceso basado en
roles (RBAC), que le brinda un control detallado sobre qué usuarios y entidades pueden
acceder a qué recursos. MSDE tiene un amplio conjunto de API, lo que le permite
automatizar flujos de trabajo e integrarse con otras aplicaciones en el entorno de la
organización. La Figura 3-39 muestra una descripción general de las API de MSDE.
FIGURA 3-39 API de Defender para Endpoint
Describir la seguridad de aplicaciones en la nube de Microsoft
Microsoft Cloud App Security (MCAS) es un agente de seguridad de acceso a la nube

(CASB) que proporciona múltiples capacidades, incluido XDR para SOC, gobernanza y
políticas, protección de datos y supervisión de sesiones. MCAS brinda una gran visibilidad
de sus aplicaciones y servicios en la nube y control sobre los datos y análisis para detectar
amenazas en sus servicios en la nube.
MCAS le permite descubrir y controlar el uso de Shadow IT. Al analizar sus registros de
tráfico en la nube, puede descubrir los servicios IaaS, PaaS y SaaS que se utilizan en toda la
organización. Es posible que algunas de estas aplicaciones ya se conozcan y controlen, pero
muchas organizaciones no son conscientes de todos los servicios en la nube que se
consumen, lo que significa que no pueden controlarlos ni protegerlos. MCAS puede
analizar los registros de firewall y proxy o integrarse con Microsoft Defender para
Endpoint para ver el tráfico al que se conectan los puntos finales. Echemos un vistazo al
panel de Discovery siguiendo los pasos a continuación:
1. Abra un navegador, vaya a portal.cloudappsecurity.com ,e inicie sesión con

un usuario que tenga privilegios de administrador de seguridad .
2. Expanda el elemento Discovery en el menú de la izquierda y
seleccione Cloud Discovery Dashboard .
3. La Figura 3-40 muestra el panel de MCAS Cloud Discovery . Aquí puede
ver una descripción general de todas las aplicaciones y servicios en la nube
descubiertos. Puede ver un recuento de aplicaciones, direcciones IP, usuarios,
dispositivos y tráfico. Además, puede ver un desglose de las aplicaciones en la nube
por categoría y riesgo. Además, puede ver las aplicaciones y entidades descubiertas
que usan esas aplicaciones.
FIGURA 3-40 Tablero de MCAS Discovery
Una vez que se descubren las aplicaciones en la nube, se pueden conectar a MCAS para
monitorear y aplicar políticas. MCAS proporciona conexiones para las siguientes
aplicaciones:
 Azur
 Servicios web de Amazon
 Caja
 buzón
 GitHub
 Espacio de trabajo de Google
 Plataforma en la nube de Google
 Oficina 365
 Okta
 Fuerza de ventas
 servicio ahora
 WebEx
 Jornada Laboral
Una vez conectado, MCAS puede aplicar control de políticas sobre la aplicación en la
nube. MCAS proporciona los siguientes tipos de políticas:
 Acceso Brinda monitoreo y control en tiempo real sobre los inicios de sesión
en sus aplicaciones en la nube
 Actividad Permite monitorear y hacer cumplir las actividades en sus
aplicaciones en la nube
 Detección de anomalías Busca actividades inusuales en sus aplicaciones en
la nube
 Detección de aplicaciones Le avisa cuando se detectan nuevas aplicaciones
en la organización
 Detección de anomalías de descubrimiento en la nube Busca actividades
inusuales en los registros de descubrimiento en la nube
 Archivo Escanea aplicaciones en la nube en busca de archivos, tipos de
archivos o datos y aplica acciones de control
 Malware Identifica archivos maliciosos en el almacenamiento en la nube
 Detección de anomalías en la aplicación OAuth Busca actividad inusual
en la aplicación OAuth
 Aplicación OAuth Crea una alerta cuando se detectan aplicaciones OAuth
peligrosas
 Sesión Proporciona monitoreo y control en tiempo real sobre la actividad del
usuario en aplicaciones en la nube
CONSEJO DE EXAMEN
Para el examen SC-900, es importante comprender que MCAS puede descubrir
aplicaciones en la nube y protegerlas con detección de amenazas y prevención de
pérdida de datos.
Habilidad 3-5: Capacidades de administración de seguridad de Microsoft 365
Microsoft Defender 365 reúne los componentes descritos en Skill 3-4 en un portal central
para permitir que los SOC vean las capacidades de protección contra amenazas en toda la
suite. Esto crea una experiencia de investigación unificada, lo que facilita que los
administradores de SOC y de seguridad supervisen y respondan.
Describir el Centro de seguridad de Microsoft 365
Microsoft 365 Security Center es el portal unificado para monitorear y administrar la

seguridad entre identidades, datos, dispositivos, aplicaciones e infraestructura. La
organización puede ver el estado de la seguridad, configurar dispositivos, usuarios y
aplicaciones, y recibir alertas sobre actividades sospechosas. Los equipos de gobierno y los
equipos de gestión de la postura a menudo usan Security Center, y otros equipos lo usan
para monitorear y mejorar la postura de seguridad general de la organización.
Todo el contenido de seguridad del Centro de cumplimiento y seguridad de Office 365

( protection.office.com ) y Defender for Endpoint ( securitycenter.microsoft.com ) ahora se
encuentra en el Centro de seguridad de Microsoft 365. Las alertas de Defender for Identity
y Microsoft Cloud App Security se combinan en el Centro de seguridad para crear una
única cola de incidentes y alertas para los equipos de operaciones de seguridad. La
búsqueda de amenazas también incluye todos los datos de MSDE, MSDO y MDI, lo que
permite a los analistas de SOC realizar búsquedas fácilmente en conjuntos de datos
dispares.
La Figura 3-41 muestra el tablero al iniciar sesión en el Centro de seguridad de
Microsoft 365. El panel muestra la puntuación segura de Microsoft, los usuarios y
dispositivos en riesgo, el cumplimiento de los dispositivos y otros aspectos de la seguridad
en todo el entorno.
FIGURA 3-41 Centro de seguridad de Microsoft 365
CONSEJO DE EXAMEN
Para el examen SC-900, es importante saber que Microsoft 365 Security Center es el
nuevo portal unificado que se encuentra en security.microsoft.com . Actualmente,
Defender para Endpoint y Defender para Office 365 están totalmente integrados.
Describir cómo usar Microsoft Secure Score
Microsoft Secure Score es una representación de la postura de seguridad de la organización

y cómo se puede mejorar. Proporciona una lista recomendada de acciones que la
organización debe habilitar o implementar para mejorar la seguridad. Veamos Microsoft
Secure Score siguiendo los pasos a continuación:

2. Haga clic en Secure Score en el menú de la izquierda .
3. La Figura 3-42 muestra el panel de Microsoft Secure Score . A la izquierda
está el gráfico Secure Score a lo largo del tiempo con un desglose por categoría. En
el medio, puede ver las acciones que deben revisarse. Cada elemento es una
recomendación sobre la que la organización debe tomar medidas. Finalmente, el
panel de la derecha muestra el puntaje seguro en comparación con otras
organizaciones como la suya.
FIGURA 3-42 Puntaje seguro de Microsoft
4. Haga clic en Acciones de mejora .

5. La Figura 3-43 muestra la lista de acciones de mejora. Aquí, la organización
puede trabajar a través de cada acción. Es importante comenzar con las acciones que
tienen el mayor impacto en la puntuación segura. El Puntaje Seguro se calcula con
el mayor impacto siendo el más riesgoso para la organización.
FIGURA 3-43 Acciones de mejora
6. Haga clic en una de las recomendaciones.

7. La Figura 3-44 muestra una única acción de mejora. Aquí, la organización
puede asignar un plan de acción para abordar el problema. También muestra el
impacto potencial de tomar esta acción. Lo más importante es que muestra los pasos
recomendados para resolver la acción. Las organizaciones pueden seguir estos pasos
para mitigar este riesgo adecuadamente.
FIGURA 3-44 Una acción de mejora

CONSEJO DE EXAMEN
Para el examen SC-900, es importante recordar que las organizaciones deben resolver
las acciones de mejora más impactantes porque presentan el mayor riesgo.
Explore los informes y paneles de seguridad
Microsoft 365 Security Center tiene una sección de Informes de seguridad donde los
equipos de seguridad pueden realizar un seguimiento de la seguridad en toda la
organización como parte de sus operaciones diarias. El informe contiene tarjetas en las que
se puede profundizar para obtener información detallada. La Figura 3-45 muestra un
Informe de seguridad.
FIGURA 3-45 Informe de seguridad
De forma predeterminada, las tarjetas en el Informe de seguridad se agrupan por

categorías. También se pueden reorganizar y agrupar en las siguientes áreas:
 Riesgo
 Tendencias de detección
 Configuración y Salud
 Otro
CONSEJO DE EXAMEN
Para el SC-900, recuerde que los informes de seguridad se utilizan para ver las
tendencias de seguridad en toda la organización y rastrear la protección de
dispositivos, identidades, aplicaciones y datos.
Describir los incidentes y las capacidades de gestión de incidentes.
Los incidentes son una agrupación de alertas de seguridad que se han correlacionado y
representan un ataque. El incidente proporciona una vista y un contexto de un
ataque. Normalmente, un analista de SOC tendría que investigar cada alerta de seguridad y
determinar que formaban parte del mismo ataque. Microsoft 365 Defender hace esto para el
SOC. El incidente muestra dónde comenzó el ataque, qué métodos se utilizaron y hasta qué
punto ha progresado el ataque en el entorno. Analicemos un incidente siguiendo los pasos a
continuación:

2. Expanda Incidentes y alertas y seleccione Incidentes .
3. Como lo hizo cuando analizamos la Cola de incidentes anteriormente en este
capítulo, seleccione un incidente.
4. La figura 3-46 muestra el incidente que vimos antes.
FIGURA 3-46 Un incidente en Defender para Endpoint
5. Haga clic en Alertas .

6. La Figura 3-47 muestra la pestaña Alertas . Aquí, el analista de seguridad
puede ver todas las alertas que se agregaron al incidente, incluso si se produjeron
varias veces. Se puede hacer clic en cada alerta para obtener información detallada.
FIGURA 3-47 Alertas de incidentes
7. Haga clic en Dispositivos .

8. La Figura 3-48 muestra la pestaña Dispositivos . Se muestra cada
dispositivo implicado en las alertas que componen la incidencia. El analista de
seguridad puede hacer clic en cada dispositivo para ver información detallada.
FIGURA 3-48 Dispositivos que forman parte de un incidente
9. Haga clic en Usuarios .

10. La Figura 3-49 muestra la pestaña Usuarios . Se muestra cada usuario
implicado en las alertas que componen la incidencia. El analista de seguridad puede
hacer clic en cada usuario y ver información detallada.
FIGURA 3-49 Usuarios de incidentes

11. Al igual que las pestañas Usuarios y Dispositivos , se muestra una
pestaña Buzón si hay algún buzón involucrado.
12. Haga clic en Investigación .
13. La Figura 3-50 muestra la pestaña Investigaciones . Se muestra cada una de
las investigaciones y respuestas automatizadas. El analista puede hacer clic en cada
investigación para obtener información detallada si es necesario.
FIGURA 3-50 Pestaña Investigaciones
14. Haga clic en Evidencia y respuesta .

15. La Figura 3-51 muestra la pestaña Evidencia y respuesta . Cualquier
evidencia encontrada de las investigaciones de AIR se muestra aquí. Si la respuesta
automática está habilitada, también se muestran las acciones de respuesta.
FIGURA 3-51 Evidencia y respuesta a incidentes
16. Una vez que el analista ha investigado el incidente a través de las pestañas y
la información disponible, puede gestionar el incidente. Haga clic en Administrar
incidente .
17. La Figura 3-52 muestra el panel Administrar incidentes . El analista puede
cambiar el nombre del incidente o agregar cualquier etiqueta relevante, cambiar la
asignación y resolver el incidente cuando esté listo. Al resolver el incidente, el
analista puede establecer la Clasificación en Alerta Verdadera o Alerta Falsa . Si
se selecciona Alerta verdadera , se muestra un aviso
adicional, Determinación . La Determinación puede
ser APT , Malware , Personal de seguridad, Pruebas de seguridad , Software no
deseado u Otro . Establecer la determinaciónmarca el incidente como el tipo de
resultado que se encontró después de la investigación.
FIGURA 3-52 Administrar incidente
18. Además, el SOC puede agregar comentarios si lo desea.
CONSEJO DE EXAMEN
Para el examen SC-900, es importante recordar que el Centro de seguridad de
Microsoft 365 permite que el SOC administre los incidentes de forma centralizada en
todo el conjunto de aplicaciones de Microsoft 365 Defender. Pueden asignar la
propiedad, resolver incidentes y realizar la investigación necesaria para responder al
incidente.
Habilidad 3-6: Seguridad de punto final con Microsoft Intune
Ninguna estrategia de seguridad estaría completa sin abordar la seguridad de los

terminales. Es importante administrar los dispositivos propiedad de la organización y los
dispositivos personales (BYOD: traiga su propio dispositivo). Para asegurarse de tener
visibilidad y control de ambos tipos de puntos finales, necesita una solución que ofrezca
administración de dispositivos móviles (MDM) y administración de aplicaciones móviles
(MAM). Esta sección cubre las habilidades necesarias para describir la seguridad de puntos
finales con Microsoft Intune de acuerdo con el esquema del examen SC-900.
¿Qué es Intune?
Microsoft Intune es una solución basada en la nube para MDM y MAM que permite a las
organizaciones administrar teléfonos móviles, tabletas y computadoras portátiles. Con
Microsoft Intune, puede configurar políticas para controlar aplicaciones para diferentes
escenarios, como evitar que se envíen correos electrónicos a personas ajenas a su
organización y permitir que los usuarios usen sus propios dispositivos. Las políticas de
Intune se pueden aprovechar para garantizar que los datos de su organización permanezcan
protegidos y puedan aislarse de los datos personales. Intune está disponible como un
servicio de Azure independiente. También se incluye con Microsoft 365 y Microsoft 365
Government y está disponible como Administración de dispositivos móviles en Microsoft
365 (aunque las características de Intune son limitadas).
La Figura 3-53 muestra un resumen de las plataformas compatibles con Microsoft

Intune y los tres escenarios de administración disponibles.
FIGURA 3-53 Diferentes plataformas compatibles con Microsoft Intune
PRUEBA GRATUITA DE INTUNE

Siga los pasos en http://aka.ms/sc900_intunefreetrial para probar Intune gratis durante
30 días.
Al administrar dispositivos propiedad de la organización, puede crear políticas para

habilitar el control total sobre los dispositivos, lo que incluye la configuración del
dispositivo, el uso de funciones y las opciones de seguridad. En este escenario, los
dispositivos y los usuarios de estos dispositivos se inscribirán en Intune. Después de esta
inscripción, las reglasy la configuración se aplica a través de directivas que se configuraron
en Intune. Si también está administrando dispositivos personales, puede dar libertad a los
usuarios que no están dispuestos a permitir que la organización tenga control total sobre sus
dispositivos personales.
Para abordar las políticas de seguridad de la organización para dispositivos móviles y

respetar la privacidad de los usuarios, puede permitir que los usuarios registren sus
dispositivos de manera opcional. Al inscribir sus dispositivos, también tendrán acceso a los
recursos de su organización según su política configurada. Para este escenario, utilizará
políticas de protección de aplicaciones que requieren autenticación multifactor (MFA) para
que los usuarios utilicen esas aplicaciones.
Algunas de las ventajas de tener dispositivos inscritos y administrados por Intune

incluyen las siguientes capacidades:
 Obtenga un inventario de los dispositivos que acceden a los recursos de la

organización
 Obligue a los dispositivos a cumplir con los estándares de seguridad y salud
de acuerdo con las necesidades de su organización
 Envíe certificados a los dispositivos para habilitar escenarios, como acceder
a la red WiFi o la conexión VPN de su organización
 Visualice informes sobre usuarios y dispositivos que cumplen y no cumplen
 Elimine los datos de la organización si el dispositivo está comprometido o se
pierde
La funcionalidad MAM de Intune permite a las organizaciones proteger sus datos a

nivel de aplicación, lo que incluye aplicaciones personalizadas y aplicaciones de tienda. La
capacidad MAM se puede utilizar en dispositivos personales y de propiedad de la
organización. Cuando Intune administre las aplicaciones, podrá hacer lo siguiente:
 Administre aplicaciones móviles agregando y asignando aplicaciones a

grupos de usuarios y dispositivos, incluidos usuarios en grupos específicos,
dispositivos en grupos específicos y más
 Personalice las aplicaciones para que se inicien o ejecuten con
configuraciones específicas habilitadas y actualice las aplicaciones que ya están en
el dispositivo
 Visualice informes sobre qué aplicaciones se utilizan y haga un seguimiento
de su uso
 Realice un borrado selectivo de datos borrando solo los datos de la
organización de las aplicaciones sin afectar los datos de propiedad de los usuarios
El acceso condicional es otra capacidad importante disponible en Intune; está integrado

con el acceso condicional de Azure AD y es fundamental para implementar los principios
de seguridad de confianza cero. Esto se presenta de dos formas: acceso condicional basado
en dispositivos y acceso condicional basado en aplicaciones.
Para el acceso condicional basado en dispositivos, Intune proporciona una directiva de

cumplimiento de dispositivos que evalúa el estado de cumplimiento de los dispositivos
administrados. Luego, este estado de cumplimiento se informa a Azure AD para que pueda
aplicar la parte del dispositivo de la política de acceso condicional de la organización
cuando el usuario intenta acceder a los recursos de la organización.
NOTA CONFIGURACIÓN DE POLÍTICAS DE ACCESO CONDICIONAL

BASADAS EN DISPOSITIVOS
Las políticas de acceso condicional basadas en dispositivos para Exchange Online y
otros productos de Microsoft 365 se configuran a través del centro de administración
de Microsoft Endpoint Manager .
El acceso condicional basado en aplicaciones con Intune está disponible a través de

políticas de protección de aplicaciones, que ayudan a proteger los datos de las
organizaciones en los dispositivos mediante la aplicación de políticas de acceso condicional
de Azure AD en ellos. Es importante mencionar que para usar el acceso condicional basado
en aplicaciones, debe tener Enterprise Mobility + Security (EMS) o una suscripción de
Azure AD Premium. Además, los usuarios deben tener una licencia para EMS o Azure AD.
Seguridad de punto final con Intune y el centro de administración de Microsoft Endpoint Manager
Las políticas de seguridad de Endpoint disponibles en Intune lo ayudan a configurar la

seguridad de sus dispositivos para mitigar los riesgos potenciales. Intune proporciona
directivas de seguridad de puntos de conexión que configuran la configuración de seguridad
a nivel de dispositivo para un dispositivo.
Antes de acceder al portal del centro de administración de Microsoft Endpoint Manager,

la cuenta que está usando debe tener ciertos requisitos de RBAC. Además de tener una
licencia asignada para Intune, el rol de la cuenta debe tener permisos iguales a los permisos
proporcionados por el rol integrado de Intune, Endpoint Security Manager . El rol de
Endpoint Security Manager otorga acceso al centro de administración de Microsoft
Endpoint Manager. Este rol lo pueden usar las personas que administran las características
de seguridad y cumplimiento, incluidas las líneas base de seguridad, el cumplimiento de
dispositivos, el acceso condicional y Microsoft Defender para puntos finales (MDE).
Para acceder al portal del centro de administración de Microsoft Endpoint Manager,

vaya a https://endpoint.microsoft.com/ . Allí, verá la opción Endpoint Security en el panel
de navegación izquierdo, como se muestra en la Figura 3-54 .
FIGURA 3-54 Portal del centro de administración de Microsoft Endpoint Manager
Esta opción le permitirá configurar los ajustes de seguridad del dispositivo y administrar
las tareas de seguridad para los dispositivos cuando esos dispositivos estén en
riesgo. Cuando haga clic en la opción Endpoint Security , verá el tablero que se muestra
en la Figura 3-55 .
FIGURA 3-55 Tablero de seguridad de punto final
De manera predeterminada, la opción Resumen está seleccionada y esta opción le

permite realizar las siguientes operaciones:
 Asigne líneas base de seguridad Las líneas base de seguridad son grupos
preconfigurados de configuraciones de Windows que lo ayudan a aplicar una
configuración recomendada por los equipos de seguridad relevantes.
 Configurar políticas de seguridad Aquí, puede configurar políticas para
antivirus, cifrado de disco, firewalls y varias otras áreas que están disponibles a
través de la integración con MDE.
 Corrija la debilidad de los terminales Corrija las vulnerabilidades de los
terminales informadas por MDE y Threat and Vulnerability Management (TVM).
Integración con MDE
Las vulnerabilidades que se descubren en realidad se basan en configuraciones de MDE y

detalles de escaneo. Sin embargo, solo los problemas que Intune puede solucionar se
plantean como tareas de seguridad para Intune. Una ventaja de la integración entre Intune y
MDE es que puede revisar las tareas de seguridad en Intune que identifican dispositivos en
riesgo y proporcionan pasos para mitigar ese riesgo. Luego puede usar las tareas para
informar a MDE cuando esos riesgos se mitiguen con éxito.
MÁS INFORMACIÓN VULNERABILIDADES IDENTIFICADAS POR MDE
Para obtener más información sobre cómo usar Intune para corregir las
vulnerabilidades identificadas por MDE, consulte http://aka.ms/sc900_mdeintune .
Acceso condicional
El acceso condicional está disponible en el panel de control de Endpoint Security en el

panel de navegación izquierdo (consulte la Figura 3-55 ). Debe usar una política de
cumplimiento para establecer las condiciones mediante las cuales los dispositivos y
usuarios pueden acceder a su red y a los recursos de su organización. Si bien las opciones
de cumplimiento disponibles dependerán de la plataforma que utilice, aquí se muestran
algunas reglas de políticas comunes:
 Requerir que los dispositivos ejecuten una versión mínima o específica del
sistema operativo
 Establecer requisitos de contraseña
 Especificar un nivel de amenaza de dispositivo máximo permitido, según lo
determinado por Microsoft Defender para Endpoint u otro socio de Mobile Threat
Defense
Si la organización requiere que los dispositivos que se encuentran en una ubicación

geográfica diferente tengan un tipo de acceso diferente, puede aprovechar
el locationatributo como parte de la política de cumplimiento. Si el dispositivo no cumple
con esta política, también puede establecer acciones para los dispositivos que no
cumplen. Estas acciones son una secuencia de acciones ordenadas en el tiempo que se
aplican a los dispositivos no conformes. Hay muchas opciones disponibles para tomar
medidas reactivas. Los siguientes son algunos ejemplos:
 Envío de correos electrónicos o notificaciones para alertar a los usuarios de

dispositivos sobre el incumplimiento
 Dispositivos de bloqueo remoto
 Retirar los dispositivos no conformes y eliminar los datos de la empresa que
puedan estar en ellos
Experimento mental

siguiente sección.
EXPERIMENTO MENTAL
Diseño de la arquitectura de seguridad de Contoso

Contoso tiene diferentes departamentos y cada departamento tiene aplicaciones a las que se
les asigna una IP en una subred específica del departamento. El equipo de red/seguridad
debe permitir que el departamento mantenga el tráfico de red dentro y fuera de la
subred. Al mismo tiempo, es necesario contar con un firewall de red centralizado para
filtrar el tráfico proveniente de Internet hacia las subredes internas. Contoso debe permitir
que los trabajadores remotos administren los servidores de Windows que se encuentran en
una subred centralizada, y este acceso de administración debe inicializarse a través de
Azure Portal. El equipo de administración de postura de seguridad en la nube de Contoso
necesita seguir mejorando la postura de seguridad de Contoso y poder medir el progreso a
lo largo del tiempo.
Un requisito técnico establecido por el equipo SOC de Contoso es que deben contar con
detección de amenazas para el almacenamiento, SQL y Key Vault. Las alertas deben
transmitirse a una solución SIEM basada en la nube que también se puede usar para
investigar incidentes. Otro requisito es que Contoso debe supervisar los controladores de
dominio locales para garantizar que se puedan identificar los ataques relacionados con la
identidad.
Además, Contoso necesita una solución MDM y MAM que se integre con el EDR que
adoptará la organización. La solución EDR debe integrarse con la solución SIEM
seleccionada para proporcionar un único panel de control para las alertas. Con esta
información en mente, responde las siguientes preguntas:
1. ¿Qué debe implementarse en la subred del departamento para permitir que

se filtre el tráfico de red?
2. ¿Qué solución se debe utilizar para controlar el tráfico entrante procedente
de Internet?
3. ¿Cómo se debe abordar el requisito técnico del SOC para la detección de
amenazas?
4. ¿Qué solución SIEM se debe utilizar para abordar los requisitos de Contoso?
5. ¿Qué solución se debe usar para proteger los controladores de dominio
locales según los requisitos de Contoso?
6. ¿Qué solución de MDM y MAM se debe utilizar para abordar los requisitos
de Contoso?
1. Grupo de seguridad de la red. Este es un escenario típico en el que puede

usar NSG para crear una segmentación de la red. NSG está disponible de forma
nativa y es gratuita. No necesita un firewall robusto para realizar esta tarea.
2. Cortafuegos azul. En este caso, necesita un dispositivo centralizado para
controlar todo el tráfico de Internet, lo que se adapta mejor a una implementación de
Azure Firewall.
3. Defender para almacenamiento, Defender para SQL y Defender para Key
Vault. Debe habilitar el plan de Microsoft Defender para la nube que corresponda a
cada carga de trabajo que desee proteger.
4. Centinela de Microsoft. Microsoft Sentinel es un SIEM basado en la nube,
que es un requisito para Contoso.
5. Microsoft defender para la identidad. Para monitorear los controladores de
dominio que están en las instalaciones, Microsoft Defender for Identity proporciona
el conjunto correcto de detecciones de amenazas para este escenario.
6. Microsoft Intune. Microsoft Intune está completamente integrado con
Microsoft Defender para el punto final, que es un requisito para Contoso.
Los grupos de seguridad de red (NSG) en Azure le permiten filtrar el tráfico de red
mediante la creación de reglas que permiten o deniegan el tráfico de red entrante o saliente
desde diferentes tipos de recursos.
 Si bien la protección básica proporciona mitigaciones automáticas de

ataques contra DDoS, algunas capacidades solo las proporciona el nivel estándar de
DDoS. Los requisitos organizativos son los que determinarán qué nivel utilizará.
 Azure Firewall proporciona un firewall de red centralizado y con estado
como servicio que brinda protección a nivel de red y de aplicación en diferentes
suscripciones y redes virtuales.
 Azure Bastion es un servicio PaaS que puede implementar para permitirle
conectarse a una máquina virtual mediante su navegador y Azure Portal.
 Web Application Firewall (WAF) brinda protección centralizada de sus
aplicaciones web contra vulnerabilidades y vulnerabilidades comunes.
 Puede cifrar los discos de sus máquinas virtuales Windows y Linux
mediante Azure Disk Encryption (ADE). Para el sistema operativo Windows,
necesita Windows 8 o posterior (para cliente) y Windows Server 2008 R2 o
posterior (para servidores).
 Azure Key Vault le permite almacenar información que no debe hacerse
pública, como secretos, certificados y claves. Debido a que Key Vaults puede
almacenar información confidencial, naturalmente querrá limitar quién tiene acceso
a ella en lugar de permitir el acceso a todo el mundo.
 Microsoft Defender para la nube brinda a las organizaciones visibilidad y
control completos sobre la seguridad de las cargas de trabajo de la nube híbrida,
incluidas las cargas de trabajo de cómputo, red, almacenamiento, identidad y
aplicaciones. Al monitorear activamente estas cargas de trabajo, Defender for Cloud
mejora la postura de seguridad general de la implementación de la nube y reduce la
exposición de los recursos a las amenazas.
 Defender for Cloud revisa sus recomendaciones de seguridad en todas las
cargas de trabajo, aplica algoritmos avanzados para determinar qué tan crítica es
cada recomendación y calcula su puntuación de seguridad en función de ellas.
 Cloud Workload Protection Platform (CWPP) permite a las organizaciones
evaluar sus riesgos de carga de trabajo en la nube y detectar amenazas contra su
servidor (IaaS), contenedores, bases de datos (PaaS) y almacenamiento. También
permite a las organizaciones identificar configuraciones defectuosas y remediar
aquellas con configuraciones de mejores prácticas de seguridad.
 Muchas organizaciones ya cuentan con un equipo de SecOps dedicado a
mantener las operaciones de seguridad y un equipo de Gestión de postura de
seguridad en la nube (CSPM) responsable de monitorear la postura de seguridad de
las cargas de trabajo en la nube. Defender for Cloud tiene capacidades que pueden
aprovechar el equipo de SecOps y el equipo de CSPM.
 Azure Security Benchmark es el marco de control de seguridad propio de
Azure, que se basa en estándares de la industria que permiten a los clientes cumplir
con sus requisitos de control de seguridad en Azure.
 Por lo general, un SIEM es el sistema o software central que utiliza un
Centro de operaciones de seguridad (SOC) para monitorear, administrar y responder
a incidentes de seguridad.
 La Orquestación, Automatización y Respuesta de Seguridad (SOAR)
permite a las organizaciones interactuar con sistemas dispares y ayudar con
incidentes de seguridad, generalmente de manera automatizada.
 Las soluciones de detección y respuesta extendidas (XDR) recopilan y
correlacionan automáticamente datos de múltiples productos de seguridad, lo que
mejora la detección de amenazas y le brinda una capacidad de respuesta a
incidentes.
 Microsoft Defender to Cloud es la primera solución SIEM y SOAR nativa
de la nube del mundo. Fue construido desde cero en la nube y permite a las
organizaciones escalar con sus demandas SIEM y SOAR.
 Microsoft 365 (M365) Defender protege puntos finales, correo electrónico,
identidades y aplicaciones en la nube.
 Microsoft Defender for Identity, a veces denominado MSDI, es una solución
de seguridad basada en la nube para monitorear controladores de dominio locales.
 Microsoft Defender para Office 365 (MSDO) brinda protección contra
amenazas para correo electrónico, vínculos (URL) y herramientas de colaboración,
incluidos Microsoft Teams, SharePoint Online, OneDrive para empresas y
Exchange Online.
 Microsoft Defender for Endpoint (MSDE) está diseñado para proteger los
puntos finales, lo que permite a las empresas prevenir, detectar, investigar y
responder a amenazas avanzadas.
 Microsoft Defender para aplicaciones en la nube es un agente de seguridad
de acceso a la nube (CASB). Brinda una gran visibilidad de sus aplicaciones y
servicios en la nube y le brinda control sobre los datos y análisis para detectar
amenazas en sus servicios en la nube.
 Microsoft Intune es una solución basada en la nube para MDM y MAM que
permite a las organizaciones controlar dispositivos, incluidos teléfonos móviles,
tabletas y computadoras portátiles.
 Las directivas de seguridad de puntos de conexión disponibles en Intune
están diseñadas para ayudarlo a concentrarse en la seguridad de sus dispositivos
mientras mitiga los riesgos potenciales. Intune proporciona directivas de seguridad
de puntos de conexión muy enfocadas y configuraciones de seguridad a nivel de
dispositivo que determinan la configuración de muchos componentes.
Capítulo 4
Describir las capacidades de las soluciones de
cumplimiento de Microsoft
Muchas organizaciones operan en una industria regulada y deben cumplir con uno o más
conjuntos de estándares legales y reglamentarios para la tecnología de la información o la
seguridad de la información. Hacer un seguimiento y reportar el cumplimiento de estos
estándares se ha vuelto cada vez más complejo durante la última década, especialmente con
la adopción de tecnologías en la nube. Existen reglamentaciones relacionadas con la salud,
como la Ley de Portabilidad y Responsabilidad del Seguro Médico (HIPAA), reglas
relacionadas con la privacidad de los estudiantes, como la Ley de Privacidad y Derechos
Educativos de la Familia (FERPA), y normas ISO, como la ISO 27701, que brindan
orientación para la gestión de la información personal. información. Microsoft tiene
muchas soluciones de cumplimiento que pueden ayudar a las organizaciones a protegerse a
sí mismas, así como a sus clientes y socios.
 Necesidades comunes de cumplimiento

 Protección y gobernanza de la información
 Riesgo interno
 descubrimiento electrónico
 Revisión de cuentas
 Gobernanza de recursos
Habilidad 4-1: Necesidades comunes de cumplimiento
Si bien es difícil administrar el cumplimiento de una o más normas y estándares, Microsoft

tiene herramientas y capacidades integradas para ayudar a abordar esta complejidad. En
esta sección, analizaremos algunas de estas herramientas y cómo pueden ayudar a las
organizaciones a proteger su información confidencial, administrar el gobierno de datos y
responder a las solicitudes reglamentarias de manera oportuna. Esta sección cubre las
habilidades necesarias para describir las necesidades comunes de cumplimiento de acuerdo
con el esquema del Examen SC-900.
Centro de cumplimiento de Microsoft
El Centro de cumplimiento de Microsoft 365 es un portal que brinda acceso rápido a los
datos y las herramientas que su organización necesita para administrar el cumplimiento. La
recopilación de la información necesaria es uno de los desafíos más difíciles que enfrentan
las organizaciones. El Centro de cumplimiento proporciona una ubicación central que reúne
todas las diversas herramientas de cumplimiento proporcionadas por Microsoft y lo ayuda a
comprender a dónde ir a continuación.
Cuando inicia sesión en el Centro de cumplimiento, se le presenta información
introductoria y varias tarjetas (mosaicos) relacionadas con la administración de
cumplimiento en Microsoft 365, como se muestra en la Figura 4-1 .
FIGURA 4-1 Página de inicio del Centro de cumplimiento de Microsoft 365
Estas tarjetas muestran una representación visual de la postura de cumplimiento de datos

actual de su organización, varias soluciones disponibles para su organización y un resumen
de las alertas activas relacionadas con el cumplimiento. Además de las tarjetas presentadas
en el Centro de cumplimiento, el panel de navegación del lado izquierdo brinda acceso a
información y soluciones adicionales para ayudar a administrar el cumplimiento. Las
siguientes áreas están disponibles a través del panel de navegación:
 Inicio Lo regresa a la página principal del Centro de cumplimiento de

M365.
 Administrador de cumplimiento Le permite verificar su puntaje de
cumplimiento y administrar el cumplimiento para su organización.
 Clasificación de datos Brinda acceso a clasificadores entrenables,
definiciones de entidades de tipo de información confidencial y Content Explorer y
Activity Explorer.
 Conectores de datos Le permite configurar conectores para importar y
archivar datos en su suscripción de Microsoft 365.
 Alertas Proporciona acceso para ver y resolver alertas activas.
 Informes Muestra informes relacionados con el uso y la retención de
etiquetas, coincidencias de políticas de DLP, archivos compartidos y aplicaciones
de terceros en uso.
 Políticas Le permite establecer políticas para gobernar datos y administrar
dispositivos. Proporciona acceso a DLP y políticas de retención.
 Permisos Proporciona opciones para administrar quién tiene acceso al
Centro de cumplimiento de Microsoft 365 para ver contenido o completar
tareas. Más adelante en esta sección se proporcionará información adicional
relacionada con la administración de permisos.
 Catálogo Proporciona información sobre las soluciones de cumplimiento y
gestión de riesgos disponibles para su organización.
 Auditoría Muestra el registro de auditoría que permite a los usuarios
investigar problemas comunes de soporte y cumplimiento.
 Búsqueda de contenido Le permite encontrar correos electrónicos en
buzones de Exchange, documentos en sitios de SharePoint y ubicaciones de
OneDrive, y conversaciones de mensajería instantánea en Microsoft Teams y Skype
for Business.
 Cumplimiento de las comunicaciones Brinda opciones para minimizar los
riesgos de comunicación mediante la automatización de la captura de mensajes
inapropiados, la investigación de posibles infracciones de políticas y la adopción de
medidas correctivas.
 Prevención de pérdida de datos Le permite crear reglas para detectar
contenido confidencial que se usa y comparte en toda su organización, tanto en la
nube como en dispositivos, y ayuda a prevenir la pérdida accidental de datos.
 Solicitudes de interesados Lo ayuda a responder a las solicitudes de
interesados del Reglamento general de protección de datos (GDPR) mediante la
búsqueda y exportación de datos personales del usuario.
 eDiscovery Proporciona opciones de eDiscovery básicas y avanzadas para
conservar, recopilar, revisar, analizar y exportar contenido relacionado con las
investigaciones internas y externas de su organización.
 Gobierno de la información Le permite administrar el ciclo de vida de su
contenido con funciones para importar, almacenar y clasificar datos críticos para el
negocio.
 Protección de la información Proporciona configuración de etiquetas y
políticas de confidencialidad para descubrir, clasificar y proteger contenido
confidencial y crítico para el negocio a lo largo de su ciclo de vida.
 Gestión de riesgos internos Le permite detectar actividades de riesgo en
toda su organización para ayudarlo a identificar, investigar y actuar rápidamente
sobre los riesgos y amenazas internos.
 Gestión de registros Le permite configurar el cronograma de retención de
registros reglamentarios, legales y críticos para el negocio en su organización.
Como puede ver, el Centro de cumplimiento brinda acceso rápido a muchas áreas
diferentes relacionadas con el cumplimiento en Microsoft 365. Analizaremos varias de
estas áreas con más detalle a lo largo de este capítulo.
Permisos en el Centro de cumplimiento de Microsoft 365
El Centro de cumplimiento de Microsoft 365 le permite administrar directamente los

permisos para los usuarios que realizan tareas de cumplimiento en Microsoft 365. Desde la
pestaña Permisos en el panel de navegación, puede administrar los roles de Azure AD y los
roles dedicados del Centro de cumplimiento, como se muestra en la Figura 4- 2 .
FIGURA 4-2 Página Permisos y funciones del Centro de cumplimiento de Microsoft 365
Para ver la pestaña Permisos en el Centro de cumplimiento de Microsoft 365, los

usuarios deben ser administradores globales o deben tener asignado el rol de
administración de funciones . Los roles de Azure AD disponibles se describieron
anteriormente en la Habilidad 2-4, "Describa las capacidades de gobierno y protección de
identidad de Azure AD". Esta sección se centrará en los grupos de roles del Centro de
cumplimiento. Los grupos de roles son grupos de permisos de control de acceso basado en
roles (RBAC) que contienen los roles apropiados para acceder a las diversas funciones
dentro del Centro de cumplimiento de Microsoft 365. Los siguientes grupos de roles
existen en el Centro de cumplimiento:
 Cumplimiento de la comunicación Brinda permiso a todos los roles de

cumplimiento de la comunicación: administrador, analista, investigador y
espectador.
 Administradores de cumplimiento de comunicaciones Administradores de
cumplimiento de comunicaciones que pueden crear y editar políticas y definir
configuraciones globales.
 Analistas de cumplimiento de comunicaciones Analistas de cumplimiento
de comunicaciones que pueden investigar coincidencias de políticas, ver metadatos
de mensajes y tomar medidas correctivas.
 Investigadores de cumplimiento de comunicaciones Analistas de
cumplimiento de comunicaciones que pueden investigar las coincidencias de
políticas, ver el contenido de los mensajes y tomar medidas correctivas.
 Visores de cumplimiento de comunicaciones Visores de cumplimiento de
comunicaciones que pueden acceder a los informes y widgets disponibles.
 Administrador de cumplimiento Los miembros pueden administrar la
configuración para la administración de dispositivos, la prevención de pérdida de
datos, los informes y la conservación.
 Los miembros del administrador de datos de cumplimiento pueden
administrar la configuración para la administración de dispositivos, la protección de
datos, la prevención de pérdida de datos, los informes y la conservación.
 Administradores de Compliance Manager Gestionar la creación y
modificación de plantillas.
 Evaluadores de Compliance Manager Cree evaluaciones, implemente
acciones de mejora y actualice el estado de la prueba para acciones de mejora.
 Colaboradores del administrador de cumplimiento Cree evaluaciones y
realice trabajos para implementar acciones de mejora.
 Lectores de Compliance Manager Ver todo el contenido de Compliance
Manager excepto las funciones de administrador.
 Content Explorer Visor de contenido Vea el contenido de los archivos en
Content Explorer.
 Visor de listas de Content Explorer Vea todos los elementos en Content
Explorer solo en formato de lista.
 Los miembros de eDiscovery Manager pueden realizar búsquedas y
colocar retenciones en buzones, sitios de SharePoint Online y ubicaciones de
OneDrive para empresas. Los miembros también pueden crear y administrar casos
de exhibición de documentos electrónicos, agregar y eliminar miembros de un caso,
crear y editar búsquedas de contenido asociadas con un caso y acceder a datos de
casos en la exhibición avanzada de documentos electrónicos.
 Los miembros de Global Reader tienen acceso de solo lectura a informes y
alertas y pueden ver toda la configuración y ajustes. La principal diferencia
entre Global Reader y Security Reader es que un Global Reader puede acceder a
la configuración y los ajustes.
 Administración de riesgos internos Use este grupo de roles para
administrar la administración de riesgos internos para su organización en un solo
grupo. Este grupo de roles contiene todos los roles de permisos de administración
de riesgos de Insider.
 Administradores de administración de riesgos de Insider Use este grupo
de roles para configurar inicialmente la administración de riesgos de Insider. Más
tarde, utilícelo para segregar a los administradores de riesgos internos en un grupo
definido. Los usuarios de este grupo de funciones pueden crear, leer, actualizar y
eliminar directivas de administración de riesgos internas, configuraciones globales y
asignaciones de grupos de funciones.
 Analistas de gestión de riesgos de Insider Utilice este grupo para asignar
permisos a los usuarios que actuarán como analistas de casos de riesgo de
Insider. Los usuarios de este grupo de funciones pueden acceder a todas las
plantillas de avisos, casos y alertas de administración de riesgos de Insider. No
pueden acceder al Explorador de contenido de riesgo interno.
 Auditores de gestión de riesgos de Insider Use este grupo para asignar
permisos a los usuarios que auditarán las actividades de gestión de riesgos de
Insider. Los usuarios de este grupo de funciones pueden acceder al registro de
auditoría de riesgos de Insider.
 Investigadores de administración de riesgos internos Use este grupo para
asignar permisos a los usuarios que actuarán como investigadores de datos de
riesgos internos. Los usuarios de este grupo de roles pueden acceder a todas las
alertas de administración de riesgos de Insider, casos, plantillas de avisos y Content
Explorer para todos los casos.
 Colaboradores de IRM Este grupo de funciones es visible, pero solo lo
utilizan los servicios en segundo plano.
 Los miembros administradores de MailFlow pueden monitorear y ver
información e informes sobre el flujo de correo en el Centro de seguridad y
cumplimiento.
 Administración de la organización Los miembros pueden controlar los
permisos para acceder a las funciones en el Centro de seguridad y cumplimiento y
también pueden administrar la configuración para la administración de dispositivos,
la prevención de pérdida de datos, los informes y la conservación.
 Los miembros del administrador de cuarentena pueden acceder a todas
las acciones de cuarentena.
 Administración de registros Los miembros pueden configurar todos los
aspectos de la administración de registros, incluidas las etiquetas de retención y las
revisiones de disposición.
 Los miembros revisores pueden acceder a conjuntos de revisión en casos
de eDiscovery avanzado. Los miembros de este grupo de roles pueden ver y abrir la
lista de casos en la página Avanzado de eDiscovery > en el Centro de
cumplimiento de Microsoft 365 del que son miembros.
 Los miembros del administrador de seguridad tienen acceso a una serie
de características de seguridad del Centro de protección de identidad,
Administración de identidad privilegiada, Supervisar el estado del servicio de
Microsoft 365 y el Centro de seguridad y cumplimiento.
 Los miembros del operador de seguridad pueden administrar alertas de
seguridad y ver informes y configuraciones de funciones de seguridad.
 Los miembros lectores de seguridad tienen acceso de solo lectura a una
serie de características de seguridad del Centro de protección de identidad,
Administración de identidad privilegiada, Supervisar el estado del servicio de
Microsoft 365 y el Centro de seguridad y cumplimiento.
 Los usuarios de Garantía de servicio pueden acceder a la sección Garantía
de servicio en el Centro de seguridad y cumplimiento.
 Revisión de supervisión Los miembros pueden crear y administrar las
políticas que definen qué comunicaciones están sujetas a revisión en una
organización.
MÁS INFORMACIÓN GRUPOS DE FUNCIONES

Para ver información adicional sobre las funciones incluidas en cada uno de los
grupos de funciones, consulte https://aka.ms/SC900_ComplianceRoleGroups .
CONSEJO DE EXAMEN
Diferentes grupos de funciones permiten el acceso a áreas específicas del Centro de
cumplimiento de Microsoft 365. Comprenda qué grupos de roles son necesarios para
acceder a estas áreas.
El Administrador de cumplimiento de Microsoft es un subconjunto de la funcionalidad del

Centro de cumplimiento de Microsoft 365 y se puede acceder a él a través del menú de
navegación en el Centro de cumplimiento. Esta característicale permite administrar los
requisitos de cumplimiento de su organización proporcionando un inventario de sus riesgos
de protección de datos, brindando evaluaciones preconstruidas y personalizadas que pueden
ayudar a su organización a cumplir con los estándares y regulaciones regionales y de la
industria comunes, y orientándolo hacia acciones de mejora que pueden ayudar a aumentar
su cumplimiento puntaje. El Administrador de cumplimiento proporciona una guía paso a
paso para ayudar a las organizaciones a implementar los requisitos reglamentarios y ayuda
a traducir las reglamentaciones complicadas a un lenguaje sencillo.
El Administrador de cumplimiento se divide en cuatro elementos clave: controles,

evaluaciones, plantillas y acciones de mejora. Al navegar al Administrador de
cumplimiento, comienza en la página Descripción general , como se muestra en la Figura
4-3 .
FIGURA 4-3 Página de descripción general del administrador de cumplimiento
La página Descripción general muestra el panel de control del Administrador de

cumplimiento, que muestra el puntaje de cumplimiento actual de su organización, llama su
atención sobre las áreas de mejora y enumera las acciones de mejora clave. Además, el
Centro de Cumplimiento le permite administrar el flujo de trabajo de los controles y asignar
tareas al personal adecuado. Al acceder por primera vez al Administrador de cumplimiento,
su puntaje de cumplimiento se basa en la línea de base de protección de datos de Microsoft
365. Esta línea de base es un conjunto de controles que incluye normas y estándares
comunes de la industria.
Control S
Un control es un requisito de una regulación, norma o política. Estos controles definen

cómo puede evaluar y gestionar la configuración del sistema, el proceso organizativo y las
partes responsables de cumplir requisitos específicos. Hay tres tipos de controles que el
Administrador de cumplimiento realiza un seguimiento: los controles administrados por
Microsoft, sus controles y los controles compartidos.
Los controles administrados por Microsoft son controles relacionados con los servicios
en la nube de Microsoft. Microsoft es responsable de la implementación de estos controles,
aunque es posible que deba informar sobre esos controles a sus reguladores. Su
organización implementa y administra sus controles y los controles administrados por el
cliente. Finalmente, los controles compartidos son aquellos en los que tanto su organización
como Microsoft comparten la responsabilidad de implementar.
Evaluaciones
Las evaluaciones son agrupaciones de controles relacionados con una regulación, norma o
política específica. Las evaluaciones se componen de cinco componentes:
 Servicios incluidos en el alcance El conjunto específico de servicios de

Microsoft aplicables a la evaluación .
 Controles administrados por Microsoft Controles para los servicios en la
nube de Microsoft, que Microsoft implementa en su nombre .
 Sus controles A veces denominados controles administrados por el cliente ,
estos son controles implementados y administrados por su organización .
 Controles compartidos Estos son controles que tanto su organización como
Microsoft comparten la responsabilidad de implementar.
 Puntaje de evaluación Muestra su progreso en la consecución del total de
puntos posibles de las acciones dentro de la evaluación que son administradas por
su organización y por Microsoft .
Las evaluaciones se pueden asignar a grupos personalizados que le permiten

organizarlas de la forma más lógica para su organización. Luego, estos grupos se pueden
usar para filtrar los resultados en el panel de control del Administrador de cumplimiento
para ver su puntaje de cumplimiento relacionado con un grupo específico o varios grupos.
Plantillas
Las plantillas se proporcionan dentro del Administrador de cumplimiento para ayudarlo a

crear fácilmente evaluaciones para regulaciones o estándares específicos que su
organización debe cumplir. Compliance Manager proporciona más de 325 plantillas
prediseñadas que se pueden modificar y optimizar para satisfacer las necesidades de su
organización. También puede crear evaluaciones personalizadas mediante la creación de
una plantilla con sus propios controles y acciones.
MÁS INFORMACIÓN PLANTILLAS DE ADMINISTRADOR DE

CUMPLIMIENTO
Puede encontrar una lista completa de las plantillas de Compliance Manager
disponibles en https://aka.ms/SC900_CMTemplates .
Acciones de mejora
Las acciones de mejora brindan orientación recomendada destinada a ayudarlo a alinearse

con las normas y estándares de protección de datos. Estas acciones se pueden asignar a los
usuarios dentro de suorganización tanto para la prueba como para la implementación. Las
acciones de mejora también se pueden utilizar para almacenar actualizaciones de estado,
documentación y notas relacionadas con la actividad.
La pestaña Acciones de mejora contiene una lista de acciones que su organización

puede realizar para mejorar su puntaje de cumplimiento. Estas acciones se pueden filtrar
para mostrar acciones relacionadas con regulaciones específicas, soluciones, grupos,
categorías, el estado actual de la prueba y a quién se le asignó la acción de mejora. La
Figura 4-4 muestra algunas de las acciones de mejora que puede ver en la pestaña Acciones
de mejora en el Administrador de cumplimiento.
FIGURA 4-4 Pestaña Acciones de mejora del administrador de cumplimiento
CONSEJO DE EXAMEN
Asegúrese de conocer los elementos clave de Compliance Manager y cómo se utilizan.
Puntuación de cumplimiento
La puntuación de cumplimiento se mencionó varias veces en la sección anterior porque se

expone a través del Administrador de cumplimiento, y hay varias herramientas en el
Administrador de cumplimiento que pueden ayudarlo a mejorar su puntuación de
cumplimiento. Para el examen, debe comprender el propósito del puntaje de cumplimiento
y los beneficios que brinda a su organización.
La puntuación general de cumplimiento de su organización se muestra en el panel de

control del Administrador de cumplimiento, como se muestra anteriormente en la Figura 4-
3 . Esta puntuación se basa inicialmente en la línea base de protección de datos de
Microsoft 365, que es un conjunto de controles que incluye normas y estándares clave para
la protección de datos y el gobierno general de datos. Además del puntaje general que se
muestra en el panel del administrador de cumplimiento, hay un desglose detallado del
puntaje de cumplimiento que muestra el puntaje de cumplimiento de su organización para
cada una de las categorías de cumplimiento. Un ejemplo de esto se muestra en la Figura 4-
5.
FIGURA 4-5 Desglose de puntuación de cumplimiento
Comprensión de la puntuación de cumplimiento
La puntuación de cumplimiento se calcula mediante los puntos que se asignan a las

acciones que su organización o Microsoft pueden realizar para mejorar su postura de
cumplimiento. Las acciones se agrupan en función de si son técnicas o no técnicas, y el
impacto que tienen en la puntuación de cumplimiento difiere según su tipo.
Las acciones técnicas se completan interactuando con la tecnología de una solución,

como cambiar una configuración. Este tipo de acción solo otorga puntos una vez,
independientemente del número de grupos a los que pertenezca la acción. Las acciones no
técnicas se implementan sin interactuar con la tecnología de una solución y se clasifican
como documentación o acciones operativas. Estas acciones se aplican a nivel de grupo y,
por lo tanto, recibirá puntos cada vez que se realice esta acción, incluso si la acción existe
en varios grupos.
Los puntajes asignados a varias acciones se basan en si son obligatorias o discrecionales

y si son acciones preventivas, de detección o correctivas. Las acciones obligatorias y
preventivas tienen el valor de puntuación más alto. Los valores de puntos para las acciones
de mejora se muestran en la Tabla 4-1 .
TABLA 4-1 Valores de puntos de acciones de mejora
Obligatorio discrecional
Preventivo +27 +9
detective +3 +1
Correctivo +3 +1
La puntuación de cumplimiento se pondera de esta manera para alentar a las

organizaciones a tomar medidas que tendrán un alto impacto en sus posturas de seguridad y
cumplimiento.
CONSEJO DE EXAMEN
Asegúrese de comprender cómo se calcula la puntuación de cumplimiento y la
cantidad de puntos que puede recibir en función de las acciones técnicas frente a las
no técnicas y los valores de puntos para las acciones preventivas. (Los puntos cuentan
solo una vez para acciones técnicas, pero pueden contar varias veces para diferentes
grupos para acciones no técnicas).
Habilidad 4-2: Protección y gobierno de la información
Las organizaciones de hoy se enfrentan a la proliferación de datos en una escala nunca

antes vista. Hay muchas regulaciones con respecto al manejo de la información, y cada año
surgen más. Las organizaciones se enfrentan a la abrumadora tarea de controlar sus
conjuntos de datos y organizar décadas de datos existentes, al mismo tiempo que manejan
los nuevos datos que se crean cada día. Microsoft proporciona muchas herramientas y
soluciones para la protección y el control de esta información. Esta sección cubre las
habilidades necesarias para comprender las diversas capacidades de protección y gobierno
de la información de Microsoft de acuerdo con el esquema del Examen SC-900.
Capacidades de clasificación de datos
El advenimiento de la nube y los modelos de negocios digitales están generando un

volumen, una velocidad y una variedad de datos nunca antes vistos. Las organizaciones
necesitan conocer sus datos para asegurarse de que se manejen de acuerdo con las normas y
estándares de cumplimiento. Microsoft tiene varias capacidades de clasificación de datos
para ayudar con esto, incluidos tipos de información confidencial predefinidos,
clasificadores entrenables, Content Explorer y Activity Explorer, que pueden ayudar a las
organizaciones a descubrir y etiquetar sus datos confidenciales.
La Figura 4-6 muestra la página Clasificación de datos del Centro de cumplimiento de

Microsoft. La pestaña Resumen muestra la siguiente información:
FIGURA 4-6 Página Clasificación de datos en el Centro de cumplimiento de Microsoft
 Gráficos para los tipos de información confidencial más utilizados que se

encuentran en sus datos
 Cómo se aplican las etiquetas de confidencialidad y retención al contenido
 Un resumen de las acciones más comunes que se toman en los elementos
etiquetados
 Sensibilidad y retención de datos etiquetados por ubicación
Los tipos de información confidencial se pueden usar para identificar información

confidencial en función de palabras clave, funciones o expresiones regulares
específicas. Microsoft 365 tiene muchos tipos de información confidencial integrados que
pueden ayudar a las organizaciones a identificar rápidamente los datos
confidenciales. Algunos ejemplos de estos incluyen números de tarjetas de crédito,
números de identificación fiscal, números de cuentas bancarias e información relacionada
con la salud. También puede crear tipos de información confidencial personalizados para
identificar y clasificar datos específicos de su organización, como números de
identificación de empleados, números de cuentas de clientes, nombres clave de proyectos
confidenciales o números de pieza.
Los clasificadores entrenables son otra opción de clasificación de datos disponible en el

Centro de cumplimiento de Microsoft 365. Estos clasificadores utilizan inteligencia
artificial y aprendizaje automático para clasificar de forma inteligente sus datos en función
de lo que es el elemento, en lugar de utilizar la coincidencia de patrones para identificar los
elementos que se encuentran dentro de ese elemento. Hay dos tipos de clasificadores:
clasificadores preentrenados y clasificadores personalizados. Microsoft crea y entrena
clasificadores preentrenados para identificar cinco tipos de datos:
 Currículums Detecta elementos que pueden contener información personal
confidencial relacionada con los solicitantes
 Código fuente Escrito en los 25 principales lenguajes de programación de
computadoras utilizados en GitHub
 Acoso Detecta lenguaje ofensivo relacionado con conducta ofensiva dirigida
a personas en función de su raza, etnia, religión, origen nacional, género,
orientación sexual, edad o discapacidad.
 Blasfemias Detecta lenguaje ofensivo que contiene expresiones que
avergüenzan a la mayoría de las personas.
 Amenaza Detecta lenguaje ofensivo relacionado con amenazas de cometer
violencia o causar daño físico o daño a una persona o propiedad.
Estos clasificadores preentrenados aparecerán en el Centro de Cumplimiento con un

estado de Listo para usar. Los clasificadores entrenables personalizados son los que crea
su organización y se utilizan normalmente al clasificar datos que son exclusivos de su
organización, como contratos específicos o documentos legales, información financiera o
registros de clientes. La creación de un clasificador entrenable personalizado requiere que
proporcione de 50 a 500 muestras de datos que coincidan positivamente con la
categoría. Una vez que se hayan procesado las muestras, se creará un modelo de predicción
y luego podrá probar el clasificador brindándole muestras positivas y negativas de los datos
para garantizar que coincida con precisión con el contenido. Luego puede proporcionar
comentarios sobre los resultados verificando si cada predicción es correcta, incorrecta o si
no está seguro. El clasificador utilizará esta información para mejorar el modelo de
predicción.
MÁS INFORMACIÓN CLASIFICADORES ENTRENABLES

PERSONALIZADOS
Puede encontrar más detalles sobre la creación de clasificadores entrenables
personalizados en https://aka.ms/SC900_TrainableClassifiers .
Explorador de contenido y Explorador de actividades
Clasificar grandes cantidades de datos puede ser una tarea desalentadora, y comprender
todos esos datos puede ser aún más difícil. Microsoft ha creado Content Explorer y Activity
Explorer para ayudar a las organizaciones a visualizar grandes cantidades de datos,
comprender las acciones que se llevan a cabo en esos datos e incluso acceder directamente
al contenido encontrado.
Content Explorer muestra una vista consolidada de los datos que tienen asignada una
etiqueta de confidencialidad o retención o que se han clasificado como un tipo de
información confidencial para su organización. Para acceder a Content Explorer, un usuario
debe ser miembro de la función Visor de lista de Content Explorer o la función Visor de
contenido de Content Explorer . Content Explorer le permite identificar rápidamente
dónde se encuentran los datos confidenciales en múltiples ubicaciones, como se muestra en
la Figura 4-7 .
FIGURA 4-7 Explorador de contenido
Puede profundizar más en ubicaciones específicas para encontrar documentos que

contengan esa información confidencial y, con los permisos apropiados, puede ver
directamente el contenido coincidente, como se muestra en la Figura 4-8 .
FIGURA 4-8 Visualización de contenido específico mediante Content Explorer
El Explorador de actividades complementa la funcionalidad del Explorador de

contenido al mostrar qué actividades han tenido lugar en el contenido etiquetado a lo largo
del tiempo. Esto puede incluir cuándo se leen los documentos, los usuarios que han
accedido a esos documentos y cuándo se cambian o degradan las etiquetas de los
documentos (por ejemplo, al pasar de Altamente confidencial a Público). Hay más de 30
filtros disponibles para ayudarlo a identificar las actividades que le interesan, incluido el
intervalo de fechas, el tipo de actividad, el usuario, la política de DLP y las etiquetas de
confidencialidad o retención.
El Explorador de actividades usa los registros de auditoría de Microsoft 365 para

recopilar información sobre la actividad de etiquetado. Las actividades de las etiquetas
rastreadas incluyen la actividad de las etiquetas de confidencialidad y retención de las
aplicaciones nativas de Office, el complemento Azure Information Protection, Exchange
Online (solo confidencialidad), SharePoint Online y OneDrive. Algunas de las actividades
de las etiquetas que se rastrean incluyen cuándo se aplican o cambian las etiquetas, cuándo
se aplica o cambia la protección y cuándo se descubren o leen los archivos.
MÁS INFORMACIÓN ETIQUETAS ACTIVIDADES

Puede encontrar una lista completa de las actividades de etiquetas rastreadas por
Activity Explorer en https://aka.ms/SC900_LabelActivities .
Además de etiquetar actividades, Activity Explorer también realiza un seguimiento de

las coincidencias de políticas DLP de varios servicios y ubicaciones, incluidos los
siguientes:
 Intercambio en línea
 SharePoint en línea
 OneDrive
 Chat y canales de Teams
 Bibliotecas y carpetas de SharePoint locales
 Recursos compartidos de archivos locales
 Dispositivos con Windows 10 a través de Endpoint DLP
El Explorador de actividades ayuda a las organizaciones a comprender las acciones que

los usuarios realizan en el contenido etiquetado confidencial. Esto puede ayudar a
determinar si las políticas y los controles que han implementado son efectivos y qué podría
ser necesario modificar o mejorar.
Etiquetas de sensibilidad
Microsoft Information Protection (MIP) puede ayudar a las organizaciones a descubrir,

clasificar y proteger información confidencial dondequiera que viva o viaje. Las etiquetas
de confidencialidad son fundamentales para estas actividades y se analizaron anteriormente
en este capítulo. Las etiquetas de confidencialidad le permiten clasificar y proteger los
datos de su organización, al mismo tiempo que garantizan que la productividad y la
capacidad de los usuarios para colaborar no se vean obstaculizadas. Pero, ¿qué son
exactamente las etiquetas de sensibilidad?
Las etiquetas de confidencialidad son metadatos que se aplican al contenido que pueden
incluir marcas de contenido visual y el cifrado de los datos en sí. Estos metadatos, marcas y
encriptación se aplican directamente a los datos y los siguen dondequiera que se almacenen
o viajen. Las etiquetas de confidencialidad son como una etiqueta que se aplica al
contenido. Las etiquetas de confidencialidad son personalizables, se almacenan como
metadatos de texto sin cifrar en archivos y correos electrónicos, y son persistentes.
Las etiquetas de confidencialidad se pueden personalizar para satisfacer las necesidades

de cualquier organización y se pueden modelar según los esquemas de clasificación
existentes. Las etiquetas de confidencialidad predeterminadas que se crean cuando crea su
arrendatario son Personal, Público, General, Confidencial yAltamente confidencial. Son
casi idénticas a las etiquetas de confidencialidad de nivel superior utilizadas por Microsoft
(con la excepción del uso de la etiqueta No comercial en lugar de la etiqueta
Personal). Estas etiquetas se almacenan como metadatos de texto claro dentro de archivos y
correos electrónicos para permitir que los sistemas DLP usen esta información para tomar
medidas para evitar que el contenido confidencial se vea comprometido. Almacenar las
etiquetas como metadatos dentro de archivos y correos electrónicos les permite ser
persistentes y moverse con el contenido independientemente de dónde se guarde o
almacene (incluso en servicios de nube de intercambio de archivos de terceros).
Cada archivo o correo electrónico puede tener solo una etiqueta de confidencialidad
aplicada en un momento dado. Sin embargo, puede tener una etiqueta de confidencialidad y
una etiqueta de retención separada aplicadas al mismo documento. Las etiquetas de
confidencialidad se pueden configurar para usar con archivos y correos electrónicos, y se
pueden usar con aplicaciones y servicios. Algunos de los usos principales de las etiquetas
de confidencialidad incluyen:
 Las etiquetas de confidencialidad de cifrado se pueden utilizar para cifrar

correos electrónicos y documentos para evitar que personas no autorizadas accedan
a los datos. Las etiquetas de confidencialidad tienen opciones para los usuarios y
grupos que tienen acceso al documento y qué nivel de acceso tienen (por ejemplo,
algunos grupos pueden tener acceso completo mientras que otros pueden tener
acceso de solo lectura). También puede permitir que los usuarios asignen permisos a
los documentos de forma ad hoc.
 Marcado del contenido Las etiquetas de confidencialidad se pueden usar
para marcar el contenido mediante aplicaciones de Office para agregar encabezados,
pies de página y marcas de agua a correos electrónicos y documentos. (Las marcas
de agua solo están disponibles en los documentos).
 Aplicar etiquetas automáticamente Puede aplicar etiquetas
automáticamente en las aplicaciones de Office mientras trabaja en archivos y
servicios individuales como SharePoint Online y el escáner AIP para aplicar
etiquetas de forma masiva. También puede establecer condiciones para que las
aplicaciones de Office recomienden una etiqueta según el contenido de un correo
electrónico o documento.
 Protección de contenido mediante contenedores (ubicaciones
lógicas) Las etiquetas de confidencialidad se pueden usar para proteger el contenido
mediante contenedores cuando se usan etiquetas de confidencialidad con Microsoft
Teams, Microsoft 365 Groups y sitios de SharePoint. Aunque esta configuración no
da como resultado directamente que el contenido de estos contenedores herede la
etiqueta y la protección asociada, los contenedores utilizan las etiquetas para
controlar el acceso a la ubicación donde se almacena el contenido.
 Protección de contenido de terceros Las etiquetas de confidencialidad se
pueden usar para proteger contenido en aplicaciones y servicios de terceros
mediante Microsoft Cloud App Security.
 Etiquetado de activos en PowerBI y Azure Purview Azure Purview
permite que se apliquen etiquetas que tienen condiciones automáticas y
recomendadas a los activos que se almacenan en la infraestructura en la nube y en
las bases de datos locales y en la nube. Las etiquetas se pueden aplicar a conjuntos
de datos e informes de PowerBI, lo que permite etiquetar y proteger el contenido
exportado desde estas ubicaciones.
 Clasificación de contenido sin configuración de protección Puede aplicar
etiquetas al contenido sin cifrar el contenido, lo que aún permite a su organización
mapear visualmente el contenido y realizar un seguimiento de su uso y ubicación
dentro de los informes en ubicaciones como el Explorador de contenido y el
Explorador de actividades.
Antes de que los usuarios, las aplicaciones y los servicios puedan usar las etiquetas de
confidencialidad, primero deben asignarse a una política de etiquetas. Las políticas de
etiquetas permiten que usuarios y grupos específicos vean las etiquetas que se publican en
cada política. Las políticas de etiquetas permiten a los administradores asignar una etiqueta
predeterminada que se aplicará a todos los documentos y correos electrónicos creados por
los usuarios de una política específica. También pueden solicitar a los usuarios que
justifiquen el cambio de la etiqueta de un documento a una etiqueta de orden inferior (como
cambiar de Confidencial a Público). Además, las políticas pueden hacer que el etiquetado
de documentos y correos electrónicos sea obligatorio para los usuarios incluidos. Esto
significa que se requerirá que un usuario aplique una etiqueta antes de guardar un
documento o enviar un correo electrónico.
Políticas y etiquetas de retención
Las organizaciones de hoy deben administrar un estado de datos en constante crecimiento

que puede contener décadas de información almacenada. Las políticas y etiquetas de
retención pueden ayudar a garantizar que los datos se mantengan de acuerdo con las
reglamentaciones. Además, las políticas y etiquetas de retención garantizan que los
usuarios solo trabajen con contenido actual y relevante para ellos, y también pueden reducir
el riesgo cuando se trata de litigios e infracciones de seguridad.
La configuración de retención funciona en muchas cargas de trabajo diferentes de

Microsoft 365, incluidos los sitios de SharePoint y OneDrive, los buzones de correo y las
carpetas públicas de Exchange, y los chats y mensajes de Teams y Yammer. La
configuración de retención se aplica al contenido mediante políticas de retención, etiquetas
de retención con políticas de etiquetas o una combinación de ambas.
Las políticas de retención se utilizan para asignar configuraciones de retención

uniformes para el contenido en el nivel del sitio o del buzón. Se puede usar una directiva de
retención para aplicar etiquetas de retención específicas a todo el contenido de un sitio de
SharePoint específico. Por ejemplo, si tiene una política que exige que todos los
documentos de un sitio de SharePoint específico se conserven durante tres años, puede
aplicar una política de retención a ese sitio. Debido a que las políticas de retención se
aplican a una ubicación en lugar de a archivos individuales, la configuración de retención
no seguirá el contenido si se mueve fuera de esa ubicación. Sin embargo, si los archivos se
mueven o eliminan, se guardará una copia de ese contenido en un almacenamiento seguro
dentro de la ubicación durante el resto del período de retención.
Las etiquetas de retención, por otro lado, se utilizan para aplicar políticas de retención a
nivel de elemento, como en una carpeta, documento o correo electrónico individual. Esto
significa que la configuración de retención permanecerá con esos artículos sin importar a
dónde viajen. Al aplicar una etiqueta de retención, puede hacer que el período de retención
comience cuando se etiqueta el contenido, o puede basarlo en la antigüedad o la última
fecha de modificación del contenido. Se puede establecer una etiqueta de retención
predeterminada para documentos de SharePoint y se pueden configurar clasificadores
entrenables para aplicar etiquetas de retención al contenido coincidente. Las etiquetas de
retención también admitenrevisión de disposición del contenido antes de que se elimine de
forma permanente y puede establecer el contenido como un registro, por lo que una
organización siempre tendrá una prueba de disposición cuando el contenido se elimine al
final de su período de retención.
Las etiquetas de retención también se pueden usar para aumentar las políticas de
retención. Por ejemplo, podría haber una situación en la que tenga un sitio con una política
de retención de tres años, pero también tenga contenido en ese sitio que deba conservarse
durante cinco años. En este caso, podría usar etiquetas de retención en el contenido
específico que debe retenerse por más tiempo y que tendría prioridad.
Gestión de registros
La mayoría de las organizaciones requieren una solución de administración de registros

para administrar los registros regulatorios, legales y críticos para el negocio en todos sus
estados de datos. La administración de registros en Microsoft 365 puede ayudar a las
organizaciones a administrar sus obligaciones legales, mantener el cumplimiento de las
normas y aumentar la eficiencia a través de la disposición regular de elementos que ya no
es necesario conservar, que ya no tienen valor o que ya no se requieren para fines
comerciales. .
La administración de registros en Microsoft 365 brinda a las organizaciones capacidades

para:
 Etiquete el contenido como un registro usando etiquetas de retención

aplicadas manualmente por los usuarios o automáticamente mediante la
identificación de información confidencial, palabras clave o tipos de contenido.
 Migre y administre sus requisitos de retención con el plan de archivos, que
permite a las organizaciones incorporar un plan de retención existente o crear uno
nuevo para mejorar las capacidades de administración.
 Configure los ajustes de retención y eliminación con etiquetas de retención
que pueden establecer períodos de retención y acciones en función de factores como
la última fecha de modificación o la fecha de creación.
 Inicie diferentes períodos de retención cuando ocurra un evento utilizando la
retención basada en eventos.
 Revise y valide la disposición con revisiones de disposición y prueba de
eliminación de registros.
 Exporte información sobre todos los artículos desechados con la opción de
exportación.
 Establezca permisos específicos para las funciones del administrador de
registros en su organización.
Las etiquetas de retención se pueden usar para marcar el contenido como un registro o
como un registro reglamentario. Cuando el contenido se marca como un registro, se
imponen restricciones sobre los tipos de acciones que se permiten o bloquean, se genera un
registro adicional para las actividades relacionadas con el elemento y tiene una prueba de
disposición después de que se elimine el elemento al final de el período de retención. Los
registros reglamentarios tienen controles adicionales, como evitar que se retire la etiqueta
del artículo y evitar que se acorte el período de retención después de aplicar la etiqueta.
MÁS INFORMACIÓN ACCIONES PERMITIDAS Y BLOQUEADAS

Puede encontrar información adicional sobre las acciones que están permitidas y
bloqueadas en diferentes tipos de registros en https://aka.ms/SC900_RecordActions .
La administración de registros en Microsoft 365 tiene muchos usos comunes. Estos

incluyen la declaración y gestión de registros mediante etiquetas de retención, lo que
permite a los usuarios aplicar manualmente etiquetas que establecerán acciones de
retención y eliminación en documentos y etiquetas y permite a los usuarios establecer
automáticamente acciones de retención mediante las reglas de Outlook. Las organizaciones
también pueden configurar períodos de retención en función de eventos como la
terminación de un empleado, el vencimiento del contrato y el fin del ciclo de vida del
producto.
MÁS INFORMACIÓN CASOS DE USO DE GESTIÓN DE REGISTROS

Se pueden encontrar casos de uso adicionales para la administración de registros en
Microsoft 365 en https://aka.ms/SC900_RMCommonScenarios .
Prevención de pérdida de datos
Las organizaciones manejan regularmente información confidencial, incluidos datos

financieros, secretos comerciales y datos personales que les confían sus usuarios y
clientes. El acto de reducir el riesgo de divulgación inapropiada a menudo se
denomina prevención de pérdida de datos (DLP) .
Microsoft 365 ayuda a las organizaciones a implementar la prevención de pérdida de

datos mediante el uso de directivas de DLP. Estas políticas permiten a las organizaciones
identificar, monitorear,yproteger automáticamente los elementos confidenciales a través de
lo siguiente:
 Servicios de Microsoft 365 como Teams, Exchange, SharePoint y OneDrive

 Aplicaciones de Office como Word, Excel y PowerPoint
 Puntos finales de Windows 10
 Aplicaciones en la nube que no son de Microsoft
 Recursos compartidos de archivos locales y SharePoint local.
Las políticas de DLP también ayudan a los usuarios a comprender mejor el

cumplimiento en tiempo real a través de notificaciones en línea y sugerencias de
políticas. Por ejemplo, si un usuario ingresa un número de Seguro Social o un número de
tarjeta de crédito en un chat de Teams, la política de DLP puede bloquear automáticamente
el mensaje y notificar al usuario que esto fue impedido por una política.
Las políticas de DLP permiten a las organizaciones monitorear las actividades que los
usuarios realizan con elementos confidenciales en reposo, en tránsito o en uso y tomar
medidas de protección. Si un usuario intenta realizar una acción prohibida (como almacenar
datos confidenciales en ubicaciones no aprobadas o compartir información financiera por
correo electrónico), DLP puede realizar una de las siguientes acciones:
 Muestre una sugerencia de política que advierta al usuario que podría estar
intentando compartir contenido confidencial de manera inapropiada
 Bloquee condicionalmente la actividad de uso compartido y use una
sugerencia de política para brindarle al usuario la opción de anular el bloqueo y
capturar la justificación de los usuarios.
 Bloquee completamente la actividad de compartir sin opción de anulación
 Cuando trabaje con datos en reposo, bloquee el contenido confidencial y
muévalo a una ubicación de cuarentena segura
 Impedir la visualización de información confidencial en el chat de Teams
Para comenzar a proteger los datos con las políticas de DLP, primero debe configurarlas
correctamente para que sean efectivas. Para configurar las políticas de DLP, hay cuatro
preguntas que deben responderse:
1. ¿Qué datos debemos monitorear? Microsoft 365 incluye plantillas de

políticas predefinidas que pueden ayudar a identificar datos confidenciales,
incluidos datos financieros, relacionados con la privacidad y de salud. Además,
puede definir una política personalizada que pueda identificar los tipos de
información confidencial, las etiquetas de confidencialidad o las etiquetas de
retención de su organización.
2. ¿Dónde se almacenan los datos que queremos monitorear? Debe definir
las ubicaciones en las que desea que DLP supervise la información
confidencial. Estos pueden ser cualquiera de los lugares mencionados
anteriormente.
3. ¿Qué condiciones se deben cumplir para que los datos coincidan con la
póliza? Microsoft 365 viene con condiciones predefinidas que puede usar, o puede
definir condiciones personalizadas que definirán una coincidencia de política
DLP. Algunos ejemplos de estos incluyen la identificación de tipos de información
confidencial o etiquetas de confidencialidad y cuando la información confidencial
se comparte externamente.
4. ¿Qué acciones se tomarán cuando los datos coincidan con la
política? Las acciones que se pueden realizar dependen de la ubicación o el servicio
donde se haya producido la coincidencia de políticas. Por ejemplo, SharePoint,
Exchange y OneDrive le permiten bloquear el acceso de terceros al contenido,
mientras que cuando se produce una coincidencia de políticas en recursos
compartidos de archivos locales, los archivos coincidentes se moverán a una
ubicación de cuarentena segura.
Una vez que haya definido los parámetros para su directiva de DLP, puede
implementarla en el Centro de cumplimiento de Microsoft 365. Tiene algunas opciones
para crear políticas de DLP y puede usar una plantilla predefinida y personalizarla según
sus necesidades o crear una política de DLP personalizada. La Figura 4-9 muestra la
página Comience con una plantilla o cree una política personalizada usando una
plantilla para identificar los datos de HIPPA.
FIGURA 4-9 Página de creación de políticas DLP
Prevención de pérdida de datos de punto final
Microsoft 365 DLP también le permite monitorear las actividades que tienen lugar en
dispositivos con Windows 10 a través de la prevención de pérdida de datos de punto final
(DLP de punto final). Puede auditar y, opcionalmente, restringir las siguientes actividades
mediante DLP de punto final:
 Carga de elementos protegidos a un servicio en la nube o acceso por parte de

navegadores no permitidos
 Copiar información confidencial de un elemento protegido a otra aplicación
 Copia de elementos protegidos a medios extraíbles USB
 Copia de elementos protegidos a un recurso compartido de red o una unidad
de red asignada
 Impresión de elementos protegidos en una impresora local o de red
 Copia de elementos protegidos en una sesión de escritorio remoto
 Copia de elementos protegidos a aplicaciones Bluetooth no permitidas
 Creación de artículos (solo auditoría)
 Cambio de nombre de elementos (solo auditoría)
Endpoint DLP admite la supervisión de los siguientes tipos de archivos:
 archivos de palabras
 archivos de PowerPoint
 archivos de Excel
 archivos PDF
 archivos .csv
 archivos .tsv
 archivos .txt
 archivos .rtf
 archivos .c
 archivos .class
 archivos .cpp
 archivos .cs
 archivos .h
 archivos .java
Endpoint DLP monitorea la actividad usando el tipo MIME, por lo que incluso si se
cambia la extensión de un archivo, las actividades seguirán siendo monitoreadas. La
actividad registrada por Endpoint DLP está disponible a través de la pestaña Alertas en la
sección Prevención de pérdida de datos del Centro de cumplimiento de Microsoft .
Los informes de DLP le permiten ver los resultados de las coincidencias y acciones de
políticas de DLP y las actividades de los usuarios. Estos resultados se almacenan en los
registros de auditoría del centro de cumplimiento de Microsoft 365 y luego se envían a
varias herramientas de generación de informes, como el Panel de administración de alertas
de DLP y el Explorador de actividades de DLP. El panel de administración de alertas de
DLP le permite configurar y revisar alertas, clasificarlas en una ubicación central y realizar
un seguimiento hasta su resolución. Puede filtrar las alertas en el tablero por Intervalo de
tiempo , Usuario , Estado de la alerta y Gravedad de la alerta .
El Explorador de actividades de DLP funciona como el Explorador de actividades

descrito en la sección anterior, pero tiene el filtro de actividad preestablecido
en DLPRuleMatch . Esto le permite ver rápidamente todas las coincidencias de políticas
de DLP y filtrar aún más la actividad mediante los filtros estándar.
Habilidad 4-3: Riesgo interno
Las organizaciones deben identificar y mitigar muchos tipos de riesgos para proteger su
información. Si bien la mayoría de las personas piensa inmediatamente en los riesgos de
fuentes externas, los riesgos también pueden provenir de personas internas, como
empleados y contratistas (y pueden ser involuntarios o deliberados). Protegiendo
tuorganización frente a estos riesgos puede ser difícil de identificar y de mitigar. Esta
sección cubre las habilidades necesarias para describir las diversas capacidades de la
solución de administración de riesgos de Microsoft Insider de acuerdo con el esquema del
Examen SC-900.
Gestión de riesgos internos
Comprender los tipos de riesgos que se encuentran en el lugar de trabajo moderno debe ser
el primer paso para administrar y minimizar el riesgo para su organización. La
administración de riesgos de Insider para Microsoft 365 es una solución que tiene como
objetivo minimizar los riesgos que se originan en fuentes internas al facilitar la detección de
actividades riesgosas o maliciosas y permitirle investigarlas y actuar en
consecuencia. Algunos de estos comportamientos de riesgo incluyen la fuga de datos
confidenciales y el derrame de datos, violaciones de confidencialidad, robo de propiedad
intelectual, fraude, abuso de información privilegiada y violaciones de cumplimiento
normativo. La gestión de riesgos internos se centra en los siguientes principios:
 Transparencia Equilibre la privacidad del usuario frente al riesgo de la

organización con una arquitectura de privacidad por diseño
 Configurable Políticas configurables basadas en grupos industriales,
geográficos y comerciales
 Flujo de trabajo integrado en las soluciones de cumplimiento de Microsoft
365
 Accionable Proporciona información para habilitar las notificaciones de los
revisores, las investigaciones de datos y las investigaciones de los usuarios.
CONSEJO DE EXAMEN
Asegúrese de conocer y comprender los principios de la gestión de riesgos internos.
La gestión de riesgos interna utiliza un flujo de trabajo de cinco pasos que puede ayudar
a las organizaciones a identificar, investigar y tomar medidas correctivas sobre los riesgos
internos. Mediante el uso de plantillas de políticas, señalización de actividad en
profundidad y herramientas de gestión de casos y alertas, las organizaciones pueden utilizar
conocimientos prácticos para identificar y actuar rápidamente sobre cualquier
comportamiento de riesgo identificado. El siguiente flujo de trabajo de gestión de riesgos
interno puede ayudar a identificar y resolver problemas de cumplimiento y actividades de
riesgo internas:
 Políticas Las políticas de administración de riesgos de Insider se crean

utilizando plantillas predefinidas y condiciones de políticas que definen qué
indicadores de riesgo se evaluarán. Algunas de estas condiciones incluyen la forma
en que se utilizan los indicadores de riesgo para las alertas, qué usuarios se
incluyen, qué servicios se priorizan y el período de vigencia. Hay ocho plantillas de
políticas predefinidas entre las que puede elegir para comenzar:
 Robo de datos por usuarios salientes
 Fugas de datos generales
 Fugas de datos por usuarios prioritarios (vista previa)
 Fugas de datos por parte de usuarios descontentos (vista previa)
 Infracciones generales de la política de seguridad (versión
preliminar)
 Infracciones de la política de seguridad por parte de los usuarios que
se van (versión preliminar)
 Infracciones de la política de seguridad por usuarios prioritarios
(versión preliminar)
 Infracciones de la política de seguridad por parte de usuarios
descontentos (versión preliminar)
 Alertas Cuando se encuentran indicadores de riesgo que coinciden con las
condiciones de la política, las alertas se generan automáticamente y se muestran en
el panel Alertas en la sección Riesgo interno del Centro de cumplimiento de
Microsoft 365. Este tablero muestra una lista priorizada de alertas que deben
revisarse. Las alertas se clasifican por gravedad como Alta , Media o Baja .
 Clasificación Cuando se identifican nuevas actividades que necesitan
investigación, se les asigna el estado Necesita revisión . Esto ayuda a los revisores
a revisar y clasificar rápidamente estas alertas. Para resolver alertas en este estado,
los revisores pueden abrir un nuevo caso, asignar la alerta a un caso existente o
descartar la alerta. Los filtros de alerta se pueden usar para ordenar rápidamente las
alertas por tiempo de detección, estado o gravedad. Durante el proceso de
clasificación, los revisores pueden ver los detalles de la actividad identificada, ver la
actividad del usuario asociada con la coincidencia de la política, revisar la gravedad
de la alerta y ver detalles adicionales del perfil del usuario.
 Investigar Una vez que se identifica una alerta durante la fase de
clasificación que requiere una investigación adicional, se crea un caso. El panel
de casos proporciona una vista de todos los casos actualmente activos, casos
abiertos a lo largo del tiempo y estadísticas de casos adicionales. Cuando se
selecciona un caso del tablero, se abrirá para su investigación y revisión. Este es el
paso más importante en el flujo de trabajo de gestión de riesgos internos. Aquí, los
revisores pueden ver detalles de alertas, condiciones de políticas coincidentes,
actividades de riesgo y detalles de usuario relacionados para cada caso. Las
herramientas de investigación disponibles en esta área incluyen la actividad del
usuario, Content Explorer y una sección para proporcionar notas de casos.
 Acción Una vez que se han investigado los casos, el paso final en el flujo de
trabajo es tomar medidas sobre los hallazgos. Los revisores pueden resolver el caso
o colaborar con otras partes interesadas de la organización. Si la acción no fue
intencional, la resolución podría ser tan simple como enviar un aviso de
recordatorio al usuario o dirigirlo a una capacitación de cumplimiento adicional. Si
la situación es más grave, es posible que deba compartir información relacionada
con el caso con otras partes interesadas de la organización.
Hay muchos escenarios comunes en los que la gestión de riesgos internos puede ayudar
a las organizaciones a detectar, investigar y tomar medidas correctivas. Algunos de estos
incluyen la fuga intencional o no intencional de información confidencial, violaciones de la
política de seguridad, robo de datos por parte de empleados que se van, acciones tomadas
por empleados descontentos y comportamiento ofensivo general.
Cumplimiento de las comunicaciones
El cumplimiento de las políticas y normas internas a menudo requiere tanto la protección de

la información sensible y confidencial como la detección y actuación ante casos de
comunicaciones inapropiadas. El cumplimiento de las comunicaciones en Microsoft 365
puede ayudar a las organizaciones a minimizar los riesgos relacionados con este tipo de
actividad al permitirle detectar, capturar y tomar medidas correctivas para las
comunicaciones y el correo electrónico inadecuados de Microsoft Teams. Estas
comunicaciones inapropiadas pueden contener blasfemias, amenazas y acoso, o pueden
contener información confidencial que se comparte interna o externamente.
Hay varios escenarios centrales donde las políticas de cumplimiento de comunicaciones

pueden ayudar a las organizaciones a tener éxito:
 Políticas corporativas Las organizaciones deben asegurarse de que los

usuarios cumplan con los estándares éticos, el uso aceptable y otras políticas
corporativas durante las comunicaciones comerciales. Las políticas de
cumplimiento de comunicaciones pueden ayudar a las organizaciones a detectar
comunicaciones que no cumplan con estos estándares (como acoso o uso de
lenguaje ofensivo) y tomar medidas para mitigarlas.
 Gestión de riesgos El cumplimiento de las comunicaciones también puede
ayudar a identificar y mitigar la posible exposición legal y otros riesgos al escanear
las comunicaciones en busca de divulgaciones no autorizadas de información
confidencial, como fusiones y adquisiciones o divulgaciones de ganancias.
 Cumplimiento normativo Casi todas las organizaciones deben cumplir con
algunos tipos de estándares normativos como parte de su actividad comercial
diaria. Estos pueden incluir regulaciones para la industria financiera que requieren
salvaguardas para protegerse contra el uso de información privilegiada, el lavado de
dinero y las actividades de soborno. Mediante el uso de políticas de cumplimiento
de comunicaciones, las organizaciones pueden escanear e informar sobre las
comunicaciones corporativas para ayudar a cumplir con estas regulaciones.
El cumplimiento de comunicaciones de Microsoft utiliza el siguiente flujo de trabajo de

cuatro pasos para ayudar a las organizaciones a identificar y resolver problemas de
cumplimiento:
 Configurar Las organizaciones primero deben identificar los requisitos de

cumplimiento y configurar las políticas de cumplimiento de comunicaciones
aplicables. Puede usar las plantillas de políticas disponibles para comenzar a crear
nuevas políticas de cumplimiento y puede actualizarlas fácilmente a medida que
cambian las regulaciones.
 Investigar Una vez que las políticas de cumplimiento están configuradas y
comienzan a hacer coincidir el contenido, se generan alertas que deben
investigarse. Hay varias herramientas que están disponibles para su uso en esta fase
del flujo de trabajo, incluida la gestión de problemas, la revisión de documentos, la
revisión del historial de actividad del usuario y los filtros para ayudar a reducir las
comunicaciones específicas.
 Remediar Una vez que se han identificado los problemas de cumplimiento,
se pueden resolver a través de una de las siguientes opciones:
 Resuelva la alerta Si el problema se soluciona, puede resolverlo, lo
que lo eliminará de la cola de alertas pendientes .
 Etiquetar un mensaje Los mensajes se pueden etiquetar
como Conforme, No conforme o Cuestionable , que luego se pueden usar
para filtrar aún más las alertas de políticas como parte de su proceso de
revisión.
 Notificar al usuario Esto se puede usar para proporcionar un aviso
de advertencia a los usuarios que podrían haber violado su política de
cumplimiento de comunicaciones sin darse cuenta o accidentalmente.
 Escalar a otro revisor Ocasionalmente, puede ser necesario escalar
a otros revisores para resolver un incidente.
 Informar como mensajes mal clasificados se pueden identificar
incorrectamente como coincidencias para las políticas de
cumplimiento. Estos pueden marcarse como mal clasificados e informar a
Microsoft para ayudar a mejorar los clasificadores globales y resolver el
problema automáticamente.
 Quitar mensaje en Teams Es posible que los mensajes
inapropiados no se muestren en el canal o chat de Teams y se reemplacen
con un mensaje de notificación de infracción de política.
 Escalar para investigación La escalación del caso para
investigación puede permitirle transferir datos y la gestión de los casos más
graves a eDiscovery avanzado en Microsoft 365.
 Supervisar Este paso del flujo de trabajo abarca todo el proceso del flujo de
trabajo. El monitoreo de las comunicaciones a través de la investigación y la
corrección puede permitir a los administradores revisar y actualizar las políticas
existentes o agregar otras nuevas según sea necesario.
Barreras de información
Si bien Microsoft 365 sobresale al permitir la colaboración entre grupos y organizaciones,

también tiene capacidades para restringir la comunicación y la colaboración a grupos
específicos cuando sea necesario. Hay muchos escenarios en los que la comunicación debe
mantenerse en silos para proteger la información de la organización.
Las barreras de información son compatibles con SharePoint Online, OneDrive para
empresas y Microsoft Teams y están disponibles como parte de las SKU de
Microsoft/Office 365 E5/A5, Cumplimiento avanzado y Administración de riesgos
internos. Se pueden definir políticas para permitir o evitar grupos de usuarios en Microsoft
Teams. Cuando esté restringido, los usuarios no podrán encontrar, seleccionar, llamar o
chatear con usuarios bloqueados por la política. A continuación se enumeran algunos
escenarios comunes en los que se podrían utilizar barreras de información:
 Se puede evitar que los contratistas se comuniquen o compartan archivos

con grupos que trabajan en proyectos altamente confidenciales.
 Un equipo de investigación está restringido a comunicarse únicamente con
los miembros del equipo de desarrollo de productos.
 Los estudiantes de un distrito escolar solo pueden ver la información de
contacto de otros estudiantes de su escuela.
Hay muchos tipos de comunicaciones en Microsoft Teams que se pueden restringir

mediante políticas de barrera de información. Estos incluyen lo siguiente:
 Buscando un usuario
 Adición de un miembro a un equipo
 Iniciar una sesión de chat con alguien
 Iniciar un chat de grupo
 Invitar a alguien a unirse a una reunión
 Compartir una pantalla
 Hacer una llamada
 Compartir un archivo con otro usuario
 Acceso al archivo a través de un enlace para compartir
Se puede evitar que los usuarios incluidos en una política de barrera de información se
comuniquen según la configuración de la política. Si un usuario ya es parte de un equipo o
chat antes de que se aplique la política de barrera de información, es posible que se elimine
de esas sesiones de chat y es posible que no se permita más comunicación.
Gestión de acceso privilegiado
Proporcionar a los usuarios acceso permanente a información confidencial o configuración

de infraestructura crítica en Microsoft 365 podría causar problemas importantes a las
organizaciones si esas cuentas se ven comprometidas o si hay actores de amenazas
internas. La administración de acceso privilegiado en Microsoft 365 puede ayudar a
proteger a las organizaciones de infracciones y cumplir con los requisitos de cumplimiento
al requerir acceso justo a tiempo a datos confidenciales y configuraciones de configuración
críticas.
La administración de acceso privilegiado brinda a las organizaciones la capacidad de

operar con acceso permanente, lo que significa que los usuarios deben solicitar permiso
cada vez que necesitan acceso y solo recibirán el nivel de acceso necesario durante el
tiempo necesario para completar su tarea. El acceso permanente cero ayuda a proteger a las
organizaciones contra las vulnerabilidades de acceso administrativo permanente.
Los cuatro pasos del flujo del proceso de administración de acceso privilegiado se
describen a continuación:
1. Configurar una política de acceso privilegiado Se debe configurar una

política de aprobación en el centro de administración de Microsoft 365 para definir
los requisitos de aprobación específicos en el ámbito de la tarea.
2. Solicitud de acceso Los usuarios pueden solicitar acceso a tareas elevadas o
privilegiadas. La característica de acceso privilegiado envía la solicitud a Microsoft
365 para que la procese según la directiva de acceso privilegiado. Esta actividad se
registra en los registros del Centro de seguridad y cumplimiento.
3. Aprobación de acceso Una vez realizada la solicitud, se crea una solicitud
de aprobación y se envía por correo electrónico una notificación de solicitud
pendiente a los aprobadores designados. Si se aprueba la solicitud, la solicitud de
acceso privilegiado se procesa como una aprobación y el solicitante podrá realizar la
tarea designada. Si se deniega la solicitud, no se concede acceso al solicitante. El
solicitante es notificado de la aprobación o denegación de la solicitud por correo
electrónico.
4. Procesamiento de acceso Si se aprueba la solicitud, se procesa la tarea. La
aprobación se compara con la política de acceso privilegiado y la procesa
Microsoft. Luego, toda la actividad de la tarea se registra en el Centro de seguridad
y cumplimiento.
Caja de seguridad del cliente
Las organizaciones a menudo requieren asistencia del Soporte de Microsoft cuando

solucionan problemas que surgen con varios servicios. Para diagnosticar estos problemas,
Microsoft suele utilizar los recursos disponiblestelemetría y herramientas de depuración
dedicadas para los servicios de Microsoft. Sin embargo, los ingenieros a veces necesitan
acceder a los datos de la organización para identificar la causa raíz. Customer Lockbox es
una protección que garantiza que Microsoft no pueda acceder a los datos de la organización
para realizar operaciones de servicio sin la aprobación explícita del cliente.
Customer Lockbox admite solicitudes de acceso a datos en SharePoint Online,

OneDrive for Business y Exchange Online y está disponible como parte de la suscripción a
Microsoft/Office 365 E5 o las suscripciones complementarias de Cumplimiento avanzado o
Protección de la información y Cumplimiento. El flujo de trabajo de la caja de seguridad
del cliente se describe a continuación.
1. Solicitud del cliente El proceso comienza cuando un cliente envía una

solicitud de soporte y se involucra con el soporte de Microsoft.
2. Revisión del soporte de Microsoft El soporte de Microsoft luego revisa el
caso y determina que se requerirá acceso a los datos de la organización para resolver
el problema.
3. Solicitud de caja de seguridad El ingeniero de soporte inicia sesión en la
herramienta de solicitud de caja de seguridad del cliente y solicita acceso a los datos
de la organización. Esta solicitud incluye el nombre del arrendatario, el número de
solicitud de servicio y la cantidad de tiempo que el ingeniero requerirá acceso a los
datos.
4. Aprobación del administrador de soporte técnico Esta solicitud se envía
al administrador de soporte técnico de Microsoft del cliente para su aprobación. Una
vez aprobada, la caja de seguridad del cliente enviará una notificación por correo
electrónico al aprobador designado en la organización para informarle sobre la
solicitud de acceso pendiente.
5. Aprobación del cliente El aprobador iniciará sesión en el centro de
administración de Microsoft 365 para aprobar la solicitud. Esta aprobación generará
un registro de auditoría en el registro de auditoría. Si el cliente no aprueba la
solicitud dentro de las 12 horas o la rechaza, el ingeniero no tendrá acceso a los
datos.
6. Acceso de ingeniero Si el cliente aprueba la solicitud, se notificará al
ingeniero de soporte técnico de Microsoft y podrá iniciar sesión en el arrendatario
para recopilar los datos necesarios durante el período de tiempo designado.
Todas las acciones realizadas por el ingeniero durante el tiempo de acceso se registran
en el registro de auditoría unificado y el cliente puede revisarlas mediante la herramienta de
búsqueda de registros de auditoría.
Habilidad 4-4: eDiscovery
Las organizaciones a menudo necesitan identificar, recopilar y/o auditar información por
motivos legales, reglamentarios o comerciales. Con la gran cantidad y variedad de datos
que se encuentran en los negocios hoy en día, es vital que las organizaciones hagan esto de
manera eficiente y oportuna. Las capacidades de eDiscovery de Microsoft 365 pueden
ayudar a las organizaciones a lograr este objetivo. Esta sección del capítulo cubre las
habilidades necesarias para describir las diversas capacidades de eDiscovery de Microsoft
365 de acuerdo con el esquema del Examen SC-900.
Descubrimiento electrónico de Microsoft 365
El descubrimiento electrónico (eDiscovery), implica la identificación y entrega de

información electrónica que se puede utilizar como evidencia en casos legales. Las
herramientas de exhibición de documentos electrónicos en Microsoft 365 se pueden usar
para buscar contenido en Exchange Online, Microsoft 365 Groups, sitios de SharePoint
Online y OneDrive for Business, Microsoft Teams, conversaciones de Skype for Business y
equipos de Yammer. Hay tres componentes principales para eDiscovery: la herramienta de
búsqueda de contenido, Core eDiscovery y Advanced eDiscovery.
Los buzones y los sitios se pueden buscar en una sola consulta de exhibición de
documentos electrónicos mediante la herramienta de búsqueda de contenido. Los casos
principales de exhibición de documentos electrónicos se pueden usar para identificar,
retener y exportar contenido de sitios y buzones de correo. Advanced eDiscovery es parte
de la suscripción de Office 365 E5 o Microsoft 365 E5 (o suscripciones complementarias
de E5 relacionadas) y le brinda la capacidad de administrar aún más a los custodios y
analizar el contenido.
Búsqueda de contenido
La herramienta de búsqueda de contenido disponible en Microsoft 365 u Office 365

Compliance Center se puede usar para buscar rápidamente contenido existente en sitios de
SharePoint y ubicaciones de OneDrive, buzones de correo de Exchange Online y
conversaciones en Microsoft Teams, Skype for Business y Microsoft 365 y Yammer grupos
Lo primero que debe hacer para usar la búsqueda de contenido es crear una nueva
consulta de búsqueda. Esto consiste en un nombre significativo, la ubicación del contenido
que le gustaría buscar y cualquier palabra clave y condición adicional en la que le gustaría
buscar. La Figura 4-10 a continuación muestra una lista de las condiciones de búsqueda que
se pueden usar en sus consultas de búsqueda.
FIGURA 4-10 Página Definir sus condiciones de búsqueda en Búsqueda de contenido
También puede dejar las palabras clave y las condiciones en blanco en la consulta de
búsqueda para obtener todo el contenido de las ubicaciones seleccionadas. Después de
ejecutar una consulta, devuelve contenido coincidente y tiene varias opciones para las
acciones que puede realizar con esos datos. A continuación se muestran algunos ejemplos
de acciones que puede realizar en los resultados de búsqueda:
 Exportar los resultados Esto le permite descargar los resultados del
contenido coincidente a su computadora para un análisis adicional.
 Buscar y eliminar mensajes de correo electrónico Esta acción puede
permitirle eliminar contenido malicioso como virus y mensajes de phishing.
 Exportar un informe También puede exportar un resumen del contenido
encontrado para generar informes sin exportar ningún contenido real.
Para realizar estas acciones, puede seleccionar una consulta de búsqueda en la

sección Búsqueda de contenido del Centro de cumplimiento de Microsoft 365 y hacer clic
en el botón Acciones en la parte inferior del panel Búsqueda de mensajes , como se
muestra en la Figura 4-11 .
FIGURA 4-11 Búsqueda de mensajes
Flujo de trabajo principal de eDiscovery
Core eDiscovery en Microsoft 365 permite a las organizaciones buscar y exportar

contenido de los servicios de Microsoft 365 y Office 365. También puede usar Core
eDiscovery en lugares comoSitios de SharePoint, cuentas de OneDrive, buzones de correo
de Exchange y equipos de Microsoft para colocar una retención de exhibición de
documentos electrónicos en elementos específicos. Aunque Core eDiscovery está habilitado
de forma predeterminada, para usar la funcionalidad, un usuario debe ser miembro del
grupo de funciones de eDiscovery Manager en el Centro de cumplimiento y seguridad de
Office 365.
Una vez que se hayan asignado los permisos adecuados, puede crear nuevos casos de
exhibición de documentos electrónicos yendo a la página principal de exhibición de
documentos electrónicos > en el Centro de cumplimiento de Microsoft 365. Al crear un
nuevo caso, el único requisito es darle un nombre de caso que sea exclusivo de su
organización. Opcionalmente, puede agregar información adicional del caso y miembros al
caso en la pestaña Configuración del caso, como se muestra en la Figura 4-12 .
FIGURA 4-12 Pestaña Configuración
Una vez que haya creado un nuevo caso, puede recorrer el flujo de trabajo principal de
exhibición de documentos electrónicos, que consta de tres pasos: crear una retención de
exhibición de documentos electrónicos, buscar contenido y exportar contenido.
Crear una retención de exhibición de documentos electrónicos
Los casos principales de exhibición de documentos electrónicos se pueden usar para

conservar contenido que podría ser relevante para un caso mediante la creación de
retenciones de exhibición de documentos electrónicos. Se pueden colocar retenciones en el
contenido de los buzones y sitios asociados con los grupos de Microsoft Teams, Office 365
y Yammer. Cuando estas ubicaciones se ponen en espera, el contenido se conserva hasta
que elimine o elimine la retención en la ubicación. Las retenciones de eDiscovery pueden
demorar hasta 24 horas antes de que surtan efecto.
Cuando se crea una retención de exhibición de documentos electrónicos, hay dos

opciones disponibles para definir el alcance del contenido que se conservará en las
ubicaciones designadas:
 Crear una retención infinita Cuando se crea este tipo de retención, todo el
contenido en la ubicación designada se pone en espera. Una consulta también se
puede usar para reducir el alcance a un subconjunto más pequeño de datos en esa
ubicación.
 Especificar un intervalo de fechas Esto le permite retener los datos que se
crean, envían o reciben solo durante el intervalo de fechas especificado.
Buscar contenido en un caso
Una vez que se ha creado el caso Core eDiscovery y se ha colocado una retención en las
ubicaciones designadas, puede realizar búsquedas en el contenido relacionado con el
caso. Las búsquedas relacionadas con los casos de exhibición de documentos electrónicos
no se enumeran en las consultas de búsqueda en el área de búsqueda de contenido en el
Centro de cumplimiento de Microsoft 365. Más bien, se enumeran en la pestaña Búsquedas
para el caso específico para el que se crearon las búsquedas. Esto evita que los usuarios que
no son miembros de un caso específico vean qué búsquedas se están realizando
relacionadas con el caso. Las consultas de búsqueda creadas en un caso Core eDiscovery
son muy similares a las consultas de búsqueda en Búsqueda de contenido, excepto que
también tienen la capacidad de dirigirse específicamente a áreas que están en espera para el
caso.
Exportar contenido de un caso
Después de ejecutar con éxito una consulta de búsqueda dentro de un caso, tiene la opción
de exportar los resultados de la búsqueda. Cuando los resultados de la búsqueda se exportan
desde sitios de SharePoint y OneDrive para empresas, se exportarán copias de los
documentos. Para el contenido del buzón, los elementos se descargarán como mensajes
individuales o como archivos PST. Además de los elementos individuales, se exporta un
archivo Results.csv de resumen con información sobre cada uno de los elementos
exportados y se crea un archivo de manifiesto en formato XML con información sobre cada
resultado de búsqueda.
Acciones adicionales
Una vez que haya completado un caso, hay algunas acciones adicionales que pueden
llevarse a cabo como parte del ciclo de vida de Core eDiscovery:
 Cerrar un caso Cuando finaliza la investigación o el caso legal para el que

se utilizó Core eDiscovery, puede cerrar el caso. Una vez cerrado el caso, se
deshabilitarán todas las retenciones de eDiscovery relacionadas y se aplicará un
período de gracia de 30 días (retención por demora) al contenido para evitar que se
elimine de inmediato. Esto proporciona al administrador del caso tiempo para
buscar y restaurar el contenido antes de que se elimine de forma
permanente. Aunque el caso esté cerrado, permanecerá en la página Core
eDiscovery en el Centro de cumplimiento y se conservarán todos los detalles
relacionados con el caso (retenciones, miembros y búsquedas).
 Reabrir un caso Puede haber instancias en las que sea necesario reabrir los
casos después de cerrarlos. Debido a que se conservan todos los detalles, esto se
puede hacer fácilmente desde la página Core eDiscovery. Cuando se vuelve a abrir
un caso, las retenciones no se restablecen inmediatamente y deben activarse
manualmente desde la pestaña Retener en el caso.
 Eliminar un caso Se pueden eliminar tanto los casos activos como los
cerrados. Eliminar un caso es diferente de simplemente cerrarlo porque se pierden
todos los detalles, búsquedas, retenciones y miembros, y el caso se elimina de la
lista de casos en la página principal de exhibición de documentos electrónicos.
Flujo de trabajo avanzado de eDiscovery
Advanced eDiscovery se basa en las capacidades existentes de Microsoft Core eDiscovery

al agregar un flujo de trabajo integral para preservar, recopilar, revisar, analizar y exportar
contenido relevante para las investigaciones de su organización. También permite una
estrecha colaboración entre los equipos legales y los custodios de casos y les permite
administrar las notificaciones de retención legal.
El flujo de trabajo de descubrimiento electrónico avanzado se diseñó para alinearse con

el modelo de referencia de descubrimiento electrónico (EDRM), que es un marco que
describe los estándares para la recuperación y el descubrimiento de datos digitales. Los
cinco pasos del flujo de trabajo de eDiscovery avanzado incluyen lo siguiente:
 Preservar El primer paso es identificar a los custodios (la persona o

personas que tienen control administrativo sobre el archivo o documento electrónico
relevante para el caso) y recopilar fuentes de datos adicionales que puedan ser
relevantes para el caso que no estén asociadas con usuarios específicos. Luego,
estos datos se vuelven a indexar (indexación avanzada) y se puede retener los datos
para preservar la información relevante del caso. El flujo de trabajo de
comunicación en eDiscovery avanzado se puede usar para enviar notificaciones de
retención legal.
 Recopilar Una vez que se han agregado al caso las fuentes de datos
custodios y no custodios, la herramienta de recopilación integrada se puede utilizar
para buscar y recopilar datos relevantes de estas fuentes de datos.
 Revisar Una vez que se haya ejecutado la búsqueda y haya verificado que
ha recopilado los datos que busca, puede agregar los resultados a un conjunto de
revisión. Cuando se agregan datos a un conjunto de revisión, una copia de los
elementos se transfiere a una ubicación segura en Azure Storage, donde se vuelve a
indexar para optimizarla para el análisis. También puede crear un conjunto de
revisión de conversaciones que proporcionará capacidades de reconstrucción de
conversaciones para exportar conversaciones desde ubicaciones como Microsoft
Teams.
 Analizar Una vez que los datos están en el conjunto de revisión, puede
analizar los datos del caso y reducirlos a lo que sea más relevante para el caso. Hay
varias herramientas que se pueden usar, incluida la visualización de documentos, el
uso de consultas y filtros (incluidas las propiedades de metadatos), la aplicación de
etiquetas a los elementos, la anotación y redacción de información específica y el
uso de la funcionalidad de análisis de eDiscovery avanzado.
 Exportar El último paso es exportar los datos de Advanced eDiscovery para
que los revisen personas ajenas al equipo de investigación. Este es un proceso de
dos pasos. Primero, debe exportar los datos del conjunto de revisión y copiarlos en
una ubicación diferente de Azure Storage. A continuación, debe descargar los datos
mediante Azure Storage Explorer. Este contendrá los archivos de datos exportados y
también un informe de exportación, un informe resumido y un informe de errores.
Habilidad 4-5: Auditoría
El Centro de cumplimiento de Microsoft 365 tiene auditorías que pueden permitir a las
organizaciones ver la actividad de los usuarios y administradores a través de un registro de
auditoría unificado. Este registro de auditoría permite a los administradores y auditores de
cumplimiento identificar los cambios que se han producido en todo el ecosistema de
Microsoft 365. Esto puede incluir ubicaciones como los servicios principales de Microsoft
365, como SharePoint Online, Exchange Online, OneDrive y Teams, pero también se
extiende a aplicaciones y servicios adicionales como Azure Active Directory, Microsoft
Power Apps, PowerBI, Dynamics 365 y otros.
MÁS INFORMACIÓN UBICACIONES Y ACTIVIDADES DEL REGISTRO DE

AUDITORÍA UNIFICADO
Puede encontrar una lista completa de ubicaciones y actividades que se pueden
monitorear a través del registro de auditoría unificado
en https://aka.ms/SC900_AuditActivities .
Hay dos tipos de auditoría disponibles en Microsoft 365 según la licencia asignada a
usuarios específicos: capacidades de auditoría básica y avanzada. Esta sección cubre las
habilidades necesarias para describir las capacidades de auditoría de Microsoft 365 de
acuerdo con el esquema del Examen SC-900.
Capacidades de auditoría de Microsoft 365
Microsoft 365 permite a las organizaciones monitorear las actividades realizadas por los
usuarios y administradores a través del registro de auditoría unificado. En la mayoría de las
organizaciones de Microsoft 365 y Office 365, una auditoría básica está habilitada de forma
predeterminada. Cuando se realiza una actividad auditada, se genera un registro de
auditoría y se almacena en el registro de auditoría unificado. Con una auditoría básica, estos
registros se conservan y se pueden buscar hasta por 90 días.
Hay dos roles que se pueden asignar para permitir a los usuarios acceder y buscar en el
registro de auditoría: Registros de auditoría de solo lectura y Registros de
auditoría . Estos permisos se pueden controlar. Una vez que se ha asignado la función a un
usuario, puede buscar en el registro de auditoría unificado. Hay cuatro criterios que se
pueden utilizar para filtrar los resultados de la búsqueda (consulte la Figura 4-13 ).
FIGURA 4-13 Explorador de contenido en el Centro de cumplimiento de Microsoft
 Rango de fecha y hora Le permite limitar el alcance de la búsqueda a un

período de tiempo específico, que se muestra en su hora local. De forma
predeterminada, la búsqueda mostrará los últimos siete días de actividad auditada.
 Actividades Le permite definir actividades auditadas específicas que le
gustaría incluir en la búsqueda. Si deja este campo en blanco, se devolverán todas
las actividades auditadas durante el período de tiempo especificado.
 Archivo, carpeta o sitio Le permite proporcionar una palabra clave
específica para restringir la búsqueda. Al igual que con Actividades, esto se puede
dejar en blanco para devolver todas las ubicaciones auditadas.
 Usuarios Le da la opción de limitar los resultados de su búsqueda
seleccionando usuarios específicos. Este cuadro de búsqueda realizará una búsqueda
de Azure AD a medida que escribe para ayudarlo a seleccionar rápidamente los
usuarios o las cuentas de servicio que le interesa encontrar.
Inicialmente, los resultados de la búsqueda mostrarán hasta 150 elementos, pero esto
aumentará dinámicamente a medida que se desplace por ellos. Puede usar el
botón Exportar como se muestra en la Figura 4-14 para exportar un CSV de todos los
resultados de búsqueda.
FIGURA 4-14 Exportación de resultados de búsqueda de registro de auditoría a CSV
La búsqueda del registro de auditoría devuelve la siguiente información para cada

entrada de auditoría:
 Fecha La fecha en que se registró el evento se muestra en su hora local.

 Dirección IP Dirección IP en formato IPv4 o IPv6 del dispositivo utilizado
cuando se registró la actividad.
 Usuario Usuario (o cuenta de servicio) que realizó la acción que activó la
entrada de auditoría.
 Actvidad Actividad que se realizó.
 Elemento Elemento que se creó o modificó en función de la actividad. (No
todas las actividades contendrán valores en esta columna).
 Detalle Detalles relacionados con la actividad. (No todas las actividades
contendrán valores en esta columna).
Además de esta información básica, puede hacer clic en cada entrada individual en los
resultados de búsqueda del registro de auditoría para ver el panel Detalle , como se
muestra en la Figura 4-15 .
FIGURA 4-15 Panel de detalles adicionales de los resultados de la búsqueda del registro
de auditoría
Auditoría Avanzada
Si bien la auditoría básica en Microsoft 365 es una herramienta increíble para la supervisión
y el cumplimiento, hay capacidades adicionales disponibles a través de la Auditoría
avanzada en Microsoft 365. La Auditoría avanzada amplía las capacidades de la auditoría
básica al aumentar la retención de registros de auditoría para facilitar los plazos más largos
necesarios para realizar análisis forenses. e investigaciones de cumplimiento, brindando
acceso a eventos adicionales que podrían resultar cruciales para determinar el alcance de un
compromiso y permitir el acceso directo y de gran ancho de banda a la API de actividad de
administración de Office 365.
La auditoría avanzada está disponible para organizaciones con una suscripción a

Microsoft 365 Enterprise u Office 365 E5/A5/G5. Las organizaciones con licencias de
Microsoft 365/Office 365 E3 también pueden usar capacidades de auditoría avanzada con
una licencia complementaria de Microsoft 365 E5 Cumplimiento o Microsoft 365 E5
eDiscovery and Audit.
Advanced Audit conserva todos los registros de auditoría de Exchange, SharePoint y

Azure Active Directory durante un año completo. Los registros de auditoría se pueden
mantener durante 10 años con una licencia complementaria adicional. Conservar estos
registros durante 10 años puede ayudar a respaldar investigaciones de larga duración y
responder a obligaciones normativas, legales e internas. La política de retención de
registros de auditoría predeterminada retiene las cargas de trabajo mencionadas
anteriormente durante un año y todos los demás servicios durante 90 días. Opcionalmente,
puede crear políticas de retención de registros de auditoría personalizadas para retener otros
tipos de registros de auditoría por períodos de hasta 10 años. Estas políticas se pueden
configurar para dirigirse a servicios específicos de Microsoft 365 donde ocurren actividades
auditadas, para actividades de auditoría específicas o para usuarios específicos que realizan
actividades auditadas.
Acceso a eventos cruciales para las investigaciones
Advanced Audit también puede ayudar a las organizaciones a realizar investigaciones

forenses y de cumplimiento al proporcionar detalles avanzados como cuándo se accedió a
los elementos de correo, la hora y el contenido debúsquedas realizadas en SharePoint
Online y Exchange Online, y cuándo se reenviaron o respondieron elementos de
correo. Estos elementos pueden ayudar con las investigaciones de posibles infracciones y
pueden ayudar con la evaluación del alcance de un compromiso. Específicamente,
Advanced Audit brinda acceso a los siguientes eventos cruciales:
 MailItemsAccessed Este evento es una acción de auditoría de buzón que se

activa cuando los protocolos de correo o los clientes de correo acceden a los datos
de correo. Este evento puede ayudar a los investigadores a identificar cuándo ha
habido una filtración de datos y determinar el alcance de los mensajes que podrían
haberse visto comprometidos.
 Enviar El evento Enviar es otro evento de auditoría de buzón que se
desencadena cuando un usuario envía, responde o reenvía un mensaje de correo
electrónico. Este evento puede ayudar a los investigadores a identificar detalles
sobre los mensajes de correo electrónico enviados por un atacante o desde una
cuenta comprometida. Estos eventos contienen detalles que incluyen cuándo se
envió el mensaje, si incluía archivos adjuntos, la línea de asunto y el
InternetMessageID. Los investigadores pueden usar la línea de asunto o el ID del
mensaje de este evento para encontrar dónde se envió el mensaje e identificar otras
cuentas potencialmente comprometidas mediante las herramientas de exhibición de
documentos electrónicos.
 SearchQueryInitiatedExchange Este evento se desencadena cuando un
usuario busca elementos en un buzón de correo mediante un cliente móvil o de
escritorio de Outlook, como Outlook en la web (OWA) o la aplicación de correo de
Windows 10. Los investigadores pueden usar esto para determinar si un atacante
intentó acceder a información confidencial en un buzón comprometido. Este evento
contiene el texto completo de la consulta de búsqueda y puede ayudar a los
investigadores a tener una mejor idea de a qué información podría estar apuntando
un atacante.
 SearchQueryInitiatedSharePoint Este evento es similar al anterior pero se
desencadena cuando se realiza una búsqueda en un sitio de SharePoint. Este evento
puede ayudar a los investigadores a determinar qué estaba buscando un atacante y
potencialmente identificar información confidencial en SharePoint a la que accedió
el atacante. Este evento también contiene el texto completo de la consulta de
búsqueda y puede ser útil para comprender a qué información apunta el atacante.
Además del acceso a eventos cruciales, Advanced Audit también brinda a las
organizaciones acceso de gran ancho de banda a la API de administración de Office
365. En el pasado, el acceso de la API a los registros de auditoría estaba restringido por
límites limitados establecidos en el nivel del editor. Con el lanzamiento de Advanced
Audit, Microsoft ha cambiado de un límite de nivel de editor a un límite de nivel de
arrendatario, lo que proporciona a cada organización su propia cuota de ancho de banda
asignada para acceder a los datos de auditoría. Esta cuota escala con la cantidad de licencias
que compra una organización y el tipo de licencia. Las organizaciones con licencias E5
recibirán aproximadamente el doble de ancho de banda que las organizaciones que no son
E5.
Habilidad 4-6: Gobernanza de recursos
Las organizaciones de hoy en día deben asegurarse de que todos sus recursos de Azure se
gestionen correctamente y sean seguros. Azure tiene muchas capacidades que pueden
ayudar a las organizaciones con recursosgobernancia. Esta sección cubre las habilidades
necesarias para describir las capacidades de gobierno de recursos de Microsoft de acuerdo
con el esquema del Examen SC-900.
Bloqueos de recursos de Azure
Los bloqueos de recursos de Azure brindan a las organizaciones la capacidad de bloquear

un recurso, un grupo de recursos o una suscripción para evitar que los usuarios eliminen o
modifiquen accidentalmente recursos críticos. Estos bloqueos de administración se aplican
globalmente a todos los usuarios y roles y anularán cualquier permiso que el usuario pueda
tener. Hay dos niveles de bloqueo disponibles para los administradores de recursos:
 CanNotDelete Este nivel de bloqueo (denominado Eliminar en el portal)

brinda a los usuarios la capacidad de modificar recursos, pero restringe su capacidad
para eliminar el recurso.
 Solo lectura Este nivel de bloqueo (llamado Solo lectura en el portal) otorga
a los usuarios el derecho de leer el recurso, pero no permitirá ninguna modificación
o eliminación del recurso. Esto es el equivalente a restringir a todos los usuarios al
rol Lector del recurso.
También es importante comprender la herencia de bloqueo para los bloqueos de

recursos de Azure. Cuando se aplica un bloqueo en un ámbito principal, los recursos dentro
de ese ámbito heredarán el mismo bloqueo. Cuando se agregan nuevos recursos al ámbito,
también heredarán el bloqueo del padre. Debido a esto, los recursos pueden tener un
bloqueo CanNotDelete (nivel principal) y un bloqueo ReadOnly (nivel de recurso). En este
caso, tiene prioridad el bloqueo más restrictivo de la herencia (en este caso, el bloqueo
ReadOnly en el nivel de recurso).
Los bloqueos de recursos solo afectan a las operaciones en el plano de gestión. Esto
significa que los bloqueos no afectarán la forma en que los recursos completan sus
funciones. Por lo tanto, aunque es posible que el recurso no se pueda modificar una vez que
se haya realizado el bloqueo, el recurso puede continuar con sus operaciones normales.
Planos de Azure
Azure Blueprints es una forma de definir un conjunto repetible de recursos de Azure que
cumple con los estándares, patrones y requisitos de una organización. Esto es similar al
modelo que usaría un ingeniero o arquitecto para esbozar los parámetros de diseño de un
proyecto, pero se centra en ayudar a los equipos de desarrollo que trabajan en Azure. Esto
puede ayudar a los equipos de desarrollo a automatizar la creación de nuevos entornos de
aplicaciones con confianza, sabiendo que lo que están construyendo cumplirá con la
política de la organización o con los estándares de cumplimiento externos. Esto permite que
los equipos creen recursos a través de múltiples suscripciones simultáneamente y les
permite tener ciclos de vida de desarrollo más cortos y una entrega rápida.
Azure Blueprints es una forma declarativa de orquestar la implementación de varias

plantillas de recursos y otros artefactos como
 Asignaciones de roles
 Asignaciones de políticas
 Plantillas de Azure Resource Manager (plantillas ARM)
 Grupos de recursos
El servicio Azure Blueprints está respaldado por Azure Cosmos DB y se replica en

varias regiones de Azure. Esto ayuda a proporcionar alta disponibilidad, baja latencia y
acceso constante a los objetos del blueprint sin importar en qué región se esté
implementando. Con Azure Blueprints, se conserva la relación entre la definición del
blueprint (lo que se debe implementar) y la asignación del blueprint (lo que se
implementó). Esta conexión admite un mejor seguimiento y auditoría de las
implementaciones.
Azure Blueprints proporciona una forma para que las organizaciones se aseguren de que
los recursos de Azure se implementen de manera eficiente y cumplan con los requisitos de
cumplimiento.
Política de Azure
Azure Policy se desarrolló para hacer cumplir los estándares de la organización y evaluar el
cumplimiento general. El panel de control de cumplimiento de Azure Policy proporciona
una vista panorámica del estado del entorno de una organización con la capacidad de
desglosar la granularidad por recurso o por política. También puede usar la corrección
masiva para llevar los recursos al cumplimiento a escala y aplicar la política a los nuevos
recursos automáticamente.
Azure Policy tiene muchos casos de uso comunes, incluida la implementación de la

gobernanza para fines de cumplimiento normativo, seguridad, costo, coherencia de recursos
y administración. Azure Policy viene con definiciones integradas para estos casos de
uso. Azure Policy usa estas definiciones para evaluar si las propiedades de los recursos se
alinean con las reglas comerciales.
Las definiciones de políticas son reglas comerciales que se expresan mediante el

formato JSON. Estas definiciones se pueden agrupar como un conjunto para formar
iniciativas políticas. Puede asignar estas definiciones de políticas o iniciativas a cualquier
ámbito de recursos admitidos, incluidos recursos individuales, grupos de recursos,
suscripciones e incluso grupos de administración completos.
Los recursos se evalúan regularmente para garantizar que cumplen con la definición de
política o iniciativa asignada. Hay momentos o eventos específicos que harán que se evalúe
un recurso:
 Modificación de recursos Cuando se crea, modifica o actualiza un recurso

en un ámbito con una asignación de política
 Política o iniciativa asignada Cuando una política o iniciativa se asigna a
un ámbito
 Política o iniciativa actualizada Cuando se actualiza una política o
iniciativa asignada a un alcance
 Ciclo de evaluación de cumplimiento Cada 24 horas durante el ciclo de
evaluación de cumplimiento estándar
Las organizaciones tienen varias opciones cuando manejan el incumplimiento de las

reglas comerciales. A continuación se muestran algunos ejemplos de acciones que una
organización puede tomar en respuesta a un recurso que no cumple con los requisitos:
 Denegar un cambio en un recurso

 Registrar cambios en el recurso
 Modificar el recurso después de que se haya producido el cambio.
 Modificar el recurso antes de que se produzca el cambio.
 Implementar recursos compatibles relacionados
Azure Policy y el control de acceso basado en roles (RBAC) de Azure sirven para
proteger los recursos, pero son diferentes con respecto a cómo implementan las
protecciones. Mientras que Azure RBAC se enfoca en evitar que los usuarios realicen
modificaciones incorrectas mediante la administración de los permisos que tienen sobre los
recursos, Azure Policy se enfoca en mantener un estado de recursos que cumpla con las
políticas de la organización, independientemente de quién realice los cambios. Si lo que
busca controlar son las acciones de los usuarios, Azure RBAC es la herramienta adecuada
para lograrlo. Azure Policy, por otro lado, bloqueará una acción si da como resultado un
estado de incumplimiento, incluso si el usuario tiene los permisos adecuados para realizar
la acción.
Cloud Adoption Framework de Microsoft para Azure es una colección de documentación,

mejores prácticas, orientación técnica y herramientas que pueden ayudar a las
organizaciones a alinear los objetivos comerciales, la preparación y las estrategias
tecnológicas. Esta alineación permite un viaje claro y procesable a la nube que entrega
rápidamente los resultados comerciales deseados.
Cloud Adoption Framework ayuda a las organizaciones a migrar a la nube utilizando

una metodología comprobada y consistente para adoptar tecnologías en la nube. Hay seis
módulos principales (metodologías) que se alinean con las diferentes fases de Cloud
Adoption Framework:
 Definir estrategia
 Plan
 Listo
 Adoptar
 Regir
 Administrar
Definir estrategia
Al definir una estrategia de adopción de la nube, las organizaciones deben evaluar sus
motivaciones para migrar a la nube, establecer resultados comerciales claros y definir la
justificación comercial para sus viajes.
Las organizaciones a menudo tienen diferentes motivaciones para migrar a la

nube. Algunas organizaciones están motivadas por alejarse de las costosas aplicaciones
locales, mientras que otras pueden estar interesadas en las nuevas capacidades y productos
disponibles. Algunos motivadores comunes incluyen:
 Mejorar la escalabilidad de los servicios en diferentes geografías

 Reducción de la complejidad técnica
 Ahorro de costes
 Aumentos en la agilidad empresarial
 Optimización de operaciones internas
Todas estas son razones válidas para comenzar a mirar la nube. Al desarrollar una
estrategia para migrar a la nube, las áreas clave en las que las organizaciones deben
centrarse son establecer resultados comerciales claros que impulsarán el compromiso para
su viaje a la nube y definir las oportunidades comerciales que justifican el esfuerzo, para
que puedan identificar las tecnologías correctas que utilizarán. usar.
Una buena manera para que las organizaciones comiencen su viaje de adopción de la
nube es seleccionar algunas aplicaciones iniciales que les gustaría migrar y usarlas para
probar la migración. Puede comenzar con aplicaciones de producción en las que el
propietario de la empresa tenga una fuerte motivación para migrar a la nube o con
aplicaciones con una pequeña cantidad de dependencias que se pueden migrar
rápidamente. Encontrará muchas aplicaciones en ambas categorías, por lo que comprender
cómo manejará cada tipo ayudará a determinar la mejor estrategia para migrar a la nube.
Plan
A medida que su organización se embarca en su viaje de adopción de la nube, la

planificación adecuada es parte integral de su éxito. Primero debe comprender dónde se
encuentra su organización con sus inversiones técnicas y luego desarrollar un plan de
acción priorizado para su migración a la nube. Las principales acciones que debe realizar
para esta sección son racionalizar su patrimonio digital y crear un plan de adopción de la
nube.
Para comenzar con la racionalización de su patrimonio digital, debe hacer un inventario

de todos sus activos digitales existentes y determinar si desea migrar o modernizar esos
activos para la nube. Esto generalmente se logra observando las cinco R:
 Rehost Esto a menudo se conoce como una operación de elevación y

cambio , donde las aplicaciones se mueven en su estado actual directamente al
proveedor de alojamiento en la nube, realizando cambios mínimos en la arquitectura
subyacente.
 Refactorización Este es el proceso de reconstrucción del código de las
aplicaciones para que sean más eficientes al ejecutarse en la nueva plataforma en la
nube, lo que reducirá el consumo de recursos y el costo y, a menudo, mejorará la
velocidad de las aplicaciones.
 Rediseñar Esto se hace cuando las aplicaciones heredadas no se pueden
mover directamente a la nube o refactorizar fácilmente. Estas aplicaciones
requerirán una nueva arquitectura para ayudar a mejorar el costo del producto y las
eficiencias operativas en la nube.
 Reconstruir Esto se hace cuando las aplicaciones locales sin soporte o
desalineadas no se pueden mover a la nube o cuando el costo no sería viable. Para
estos, la creación de una nueva base de código con un diseño nativo de la nube
podría ser una mejor solución.
 Reemplazar A veces, existen mejores alternativas a las aplicaciones locales
que ya existen en la nube. En este caso, reemplazar la aplicación con una de estas
aplicaciones podría resultar ventajoso para la organización.
Una vez que haya racionalizado la mejor manera de manejar sus diversos activos
digitales durante su migración a la nube, estará listo para comenzar a crear su plan de
adopción de la nube. Los pasos clave para construir este plan son los siguientes:
 Revise ejemplos de resultados comerciales

 Identifique las métricas que mejor mostrarán el progreso hacia los resultados
comerciales identificados
 Establecer un modelo financiero que se alinee con estos resultados
Listo
Una vez que haya realizado un inventario de su patrimonio digital y haya desarrollado un
plan para pasar a la nube, debe preparar a su organización para el traslado a la nube. Esta
metodología se enfoca en dos áreas principales:
 El primero es definir habilidades y un plan de preparación de soporte que

ayude a su organización a abordar las brechas actuales, garantizar que tanto el
personal comercial como el de TI estén preparados para cambiar a las nuevas
tecnologías y definir las necesidades de soporte futuras basadas en la nueva
arquitectura basada en la nube.
 El segundo es crear su zona de aterrizaje o configurar un objetivo de
migración en la nube para manejar las aplicaciones prioritarias.
Una zona de aterrizaje es un entorno como Microsoft Azure que está preparado para
alojar cargas de trabajo en la nube. Una zona de aterrizaje completamente funcional es el
resultado final de cualquier iteración de la metodología Cloud Adoption Framework for
Azure.
Adoptar
En este punto, ha definido sus objetivos comerciales y tecnológicos y ha preparado el

entorno para mover sus aplicaciones a la nube, se ha establecido su zona de aterrizaje y está
listo para que su organización comience a adoptar tecnologías de punta. Como se mencionó
anteriormente, su organización tiene motivaciones únicas para migrar a la nube. Estos se
reducen a actividades de migración a la nube o actividades de innovación en la nube.
 Migración a la nube La migración a la nube implica mover activos

digitales desde una ubicación local a una plataforma en la nube. Una vez que una
aplicación está disponible en la nube, los usuarios deben realizar la transición de la
aplicación existente a la nueva en la nube. La forma en que migre las aplicaciones a
la nube depende en gran medida del cronograma de la migración, las motivaciones
comerciales y las estrategias tecnológicas.
 Innovación en la nube La innovación en la nube se refiere al uso de los
beneficios nativos de la nube para modernizar las aplicaciones más antiguas que
pueden aprovecharlas. Los enfoques modernos de DevOps y ciclo de vida de
desarrollo de software (SDLC) que utilizan tecnología en la nube acortan el tiempo
desde la idea hasta la transformación del producto. Estas herramientas ayudan a las
organizaciones a crear ciclos de retroalimentación más cortos y mejores
experiencias para los clientes.
Gobernar y Administrar
La migración a la nube no es un destino sino un viaje. El objetivo final a menudo se

desconoce cuando recién comienza este viaje. Solo a través de la iteración constante a
medida que mueve aplicaciones y cargas de trabajo a la nube, el resultado final comenzará
a tomar forma. Es importantedefina soluciones de gobierno para su entorno de nube que
ayudarán a controlar los riesgos, brindarán agilidad y, sobre todo, satisfarán las necesidades
de su negocio. Junto con esto, también debe administrar el entorno de la nube en función de
esas soluciones de gobierno de una manera que fomente el crecimiento, evolucione con el
tiempo y se adapte a las necesidades comerciales en constante cambio de su organización.
El gobierno de la nube establece pautas para mantener segura a su organización a lo

largo de su viaje a la nube. Cloud Adoption Framework for Azure describe un modelo de
gobierno que identifica áreas clave de importancia que están relacionadas con diferentes
riesgos que una organización debe abordar durante el cambio a la nube. Debido a que las
necesidades de gobierno evolucionarán con el tiempo a medida que se traslada a la nube, el
modelo de gobierno de su organización debe ser flexible y debe moverse rápidamente para
seguir el ritmo de las demandas comerciales y mantener la relevancia a lo largo de su viaje
a la nube.
El gobierno incremental se basa en un pequeño conjunto de políticas, procesos y

herramientas corporativas para establecer una base para la adopción y el gobierno. Esta
base se conoce como el producto mínimo viable (MVP) y permite que su equipo de
gobierno incorpore el gobierno en las implementaciones a lo largo del ciclo de vida de la
adopción. Una vez que se ha establecido el MVP, se pueden agregar capas adicionales de
gobernanza al entorno.
La metodología de gestión tiene como objetivo maximizar el retorno de la inversión al

equilibrar la estabilidad y los costos operativos. Las operaciones comerciales deben ser
estables para mantener los flujos de ingresos, pero los costos operativos deben minimizarse
para reducir los gastos generales y aumentar las ganancias de los procesos comerciales. Las
operaciones en la nube crean un modelo de madurez que ayuda al equipo a cumplir los
compromisos con el negocio. Al principio del viaje a la nube de una organización, la
atención se centra en el inventario, la visibilidad de los activos de la nube y el
rendimiento. Sin embargo, a medida que maduran las operaciones en la nube, pueden
cambiar a enfoques híbridos o nativos de la nube y mantener y mejorar el cumplimiento
operativo.
Experimento mental

siguiente sección.
EXPERIMENTO MENTAL
Protección de la propiedad intelectual de Contoso
Usted es un administrador de cumplimiento que trabaja para Contoso Electronics, una

corporación multinacional que proporciona componentes electrónicos especializados para
grandes fabricantes de computadoras. Recientemente migró muchos de sus servicios y
cargas de trabajo locales a la nube, y los usuarios se incorporaron por completo a Exchange
Online, SharePoint Online, OneDrive y Microsoft Teams. Esto ha aumentado
considerablemente su productividad, aunque también ha traído nuevos riesgos.
Después de migrar a la nube, Contoso tuvo un incidente de seguridad cibernética en el que

varias cuentas del equipo de desarrollo se vieron comprometidas a través de malware que
una cuenta de contratista compartió en Teams. Para empeorar las cosas, una de las cuentas
comprometidas era un administrador de Exchange en una función anterior cuyo acceso no
se había eliminado. Su CISO le ha pedido que determine el alcance de la información
confidencial a la que se podría haber accedido y que determine medidas de seguridad
adicionales que deben implementarse para mitigar este tipo de ataque en el futuro. Contoso
compró recientemente una suscripción a Microsoft 365 E5 para garantizar que puedan
implementar las mejores protecciones para sus datos confidenciales.
Con esta información en mente, responde las siguientes preguntas:
1. ¿Qué se puede usar para determinar qué información confidencial podría

haber estado tratando de encontrar el atacante cuando accedió a las cuentas
comprometidas?
2. ¿Cómo puede asegurarse de que los contratistas no puedan compartir
archivos o ponerse en contacto con los miembros críticos del equipo de desarrollo?
3. ¿Qué salvaguardas puede utilizar para garantizar que los privilegios
administrativos permanentes se minimicen dentro de la organización?
1. Con las capacidades de auditoría avanzada, puede revisar los eventos de

auditoría de SearchQueryInitiatedExchange para la cuenta comprometida para
ayudar a determinar el tipo de datos confidenciales que buscaba el atacante.
2. Las barreras de información se pueden usar para evitar que los miembros del
grupo de contratistas se comuniquen con los usuarios del equipo de desarrollo o
compartan archivos a través de Microsoft Teams.
3. La gestión de acceso privilegiado se puede utilizar para eliminar el acceso
administrativo permanente, lo que reducirá el riesgo de que las cuentas
administrativas se vean comprometidas.
 El Administrador de cumplimiento proporciona una guía paso a paso para

ayudar a las organizaciones a implementar los requisitos reglamentarios y ayuda a
traducir las reglamentaciones complicadas a un lenguaje sencillo.
 Los cuatro elementos clave de Compliance Manager son los controles, las
evaluaciones, las plantillas y las acciones de mejora.
 La puntuación de cumplimiento se basa inicialmente en la línea base de
protección de datos de Microsoft 365.
 Las puntuaciones asignadas a varias acciones afectan la puntuación de
cumplimiento en función de si son obligatorias o discrecionales y si son acciones
preventivas, de detección o correctivas. Las acciones que son obligatorias y
preventivas tienen el valor de puntuación más alto.
 Los tipos de información confidencial se pueden usar para identificar
información confidencial en función de palabras clave, funciones o expresiones
regulares específicas.
 La creación de un clasificador entrenable personalizado requiere que
proporcione de 50 a 500 muestras de datos que coincidan positivamente con la
categoría. Una vez procesadas las muestras, se creará un modelo de predicción y
podrá probar el clasificador.
 Content Explorer muestra una vista consolidada de los datos que tienen
asignada una etiqueta de confidencialidad o retención o que se han clasificado como
un tipo de información confidencial para su organización.
 El Explorador de actividades complementa la funcionalidad del Explorador
de contenido al mostrar qué actividades han tenido lugar en el contenido etiquetado
a lo largo del tiempo.
 El Explorador de actividades usa los registros de auditoría de Microsoft 365
para recopilar información sobre la actividad de etiquetado.
 Las etiquetas de confidencialidad son metadatos que se aplican al contenido
que, opcionalmente, pueden incluir marcas de contenido visual y cifrado de los
datos en sí.
 Las etiquetas de confidencialidad son como sellos que se aplican al
contenido y son personalizables, almacenados como metadatos de texto claro dentro
de archivos y correos electrónicos, y persistentes.
 La configuración de retención funciona en sitios de SharePoint y OneDrive,
buzones y carpetas públicas de Exchange, y chats y mensajes de Teams y
Yammer. La configuración de retención se aplica al contenido mediante políticas de
retención, etiquetas de retención con políticas de etiquetas o una combinación de
ambas.
 Cuando el contenido se marca como un registro, se establecen restricciones
sobre los tipos de acciones que se permiten o bloquean. Además, se genera un
registro adicional para las actividades relacionadas con el elemento, y tiene una
prueba de disposición después de que se elimine el elemento al final del período de
retención.
 Los registros reglamentarios tienen controles adicionales, como evitar que se
retire la etiqueta del artículo y evitar que se acorte el período de retención después
de aplicar la etiqueta.
 La gestión de riesgos internos se centra en los siguientes principios:
transparencia, políticas configurables, flujo de trabajo integrado e información
procesable.
 Las políticas internas de gestión de riesgos se crean utilizando plantillas
predefinidas y condiciones de política que definen qué indicadores de riesgo se
evaluarán.
 Las barreras de información se utilizan para controlar las comunicaciones a
través de SharePoint Online, OneDrive for Business y Microsoft Teams.
 La administración de acceso privilegiado brinda a las organizaciones la
capacidad de operar con acceso permanente, lo que significa que los usuarios deben
solicitar permiso cada vez que necesitan acceso y solo recibirán el nivel de acceso
necesario durante el tiempo necesario para completar sus tareas.
 Customer Lockbox es una protección que garantiza que Microsoft no pueda
acceder a los datos de la organización para realizar operaciones de servicio sin la
aprobación explícita del cliente.
 El flujo de trabajo principal de exhibición de documentos electrónicos
consta de tres pasos: crear una retención de exhibición de documentos electrónicos,
buscar contenido y exportar contenido.
 Advanced eDiscovery se basa en las capacidades existentes de Microsoft
Core eDiscovery al agregar un flujo de trabajo integral para preservar, recopilar,
revisar, analizar y exportar contenido.
 La auditoría avanzada aumenta la retención de registros de auditoría (hasta
10 años), brinda acceso a eventos adicionales y permite un acceso de gran ancho de
banda a la API de actividad de administración de Office 365.
 Los bloqueos de recursos de Azure brindan a las organizaciones la
capacidad de bloquear un recurso, un grupo de recursos o una suscripción para
evitar que los usuarios eliminen o modifiquen accidentalmente recursos críticos.
 Azure Blueprints es una forma de definir un conjunto repetible de recursos
de Azure que cumple con los estándares, patrones y requisitos de una organización.
 Azure Policy se desarrolló para hacer cumplir los estándares de la
organización y evaluar el cumplimiento general.
 Cloud Adoption Framework for Azure es una colección de documentación,
mejores prácticas, orientación técnica y herramientas que pueden ayudar a las
organizaciones a alinear los objetivos comerciales, la preparación y las estrategias
tecnológicas.
 Las seis metodologías que se alinean con las diferentes fases del marco de
adopción de la nube son: definir la estrategia, planificar, preparar, adoptar, gobernar
y administrar.
Índice
A
acceso
LCA, 15
Azure AD, 26
políticas de acceso condicional, 54 – 58 , 135 , 138
gestión de acceso privilegiado, 167

RBAC,86
reseñas, 65 – 67
cuentas (servicio), autorización, 16
ACL (Listas de control de acceso), 15
Explorador de actividades, Administrador de cumplimiento de Microsoft, 155 – 156
AD (directorios activos), Azure
acceso
gestión, 26 , 54 – 58
reseñas, 65 – 67
aplicaciones (aplicaciones), 26
identidades, 36 – 39
apoderados, 26
autenticación, 26 , 41
MAE, 42
sin contraseña, 42
autorización, 16 – 17 , 18
Conexión de Azure Active Directory, 28 – 29
Azure AD Gratis, 28
Protección con contraseña de Azure AD, 42
Integración con Azure AD, 44
Azure AD Premium 1 , 28
listas prohibidas personalizadas, 43

puntuación de contraseñas, 44
B2B, 39 – 40 , 41
B2C, 41
definido, 17 – 18 , 25
dispositivos
identidades, 34
gestión, 26 – 27
servicios de dominio, 27
gestión de derechos, 64 – 65
FS, 32
gobernanza, 27
sincronización hash, 29 – 30
identidad
identidades de dispositivos, 34
identidades externas, 27 , 39 – 41
gobernanza, 63 – 64
identidades de grupo, 35 – 36
identidades híbridas, 28 – 33
Protección de la Identidad, 68 – 70
identidades administradas, 38
identidades de usuario, 33
Sintonía, 26 – 27
licencias, 28
MAE, 48 – 50
PTA, 31 – 32
informes (registros), 27
papeles, 58 – 62
SSPR, 44 – 48
ADE (cifrado de datos de Azure), 83
roles administrativos, autenticación, 15
auditoría avanzada, Centro de cumplimiento de Microsoft 365, 176 – 177
Flujos de trabajo avanzados de eDiscovery, 173
agregar datos/registros, SIEM, 95 – 96
AIR (Investigación y remediación automatizadas), 122
alertas, gestión de riesgos internos, 164
acciones permitidas/bloqueadas, gestión de registros, 159
analítica
Reglas de análisis, Azure Sentinel, 102 – 105
análisis forense 97
SIEM, 96
UEBA, 108 – 109
Servicio de aplicaciones, 84
aplicaciones (aplicaciones)
Azure AD, 26
Aplicaciones lógicas, 113

MCAS, 123 – 124
Microsoft Intune, seguridad de punto final, 134 – 136
servidores proxy, Azure AD, 26
metodología de confianza cero, 3 , 5
evaluaciones, Administrador de cumplimiento de Microsoft, 150
ataques
redes de bots, 10
ataques de identidad comunes, 20 – 21
reutilización de credenciales, 20
violaciones de datos, 10
Ataques DDoS, 9 – 10 , 78
Ataques DoS, 9 – 10
ataques de espionaje, 9
malware, 9
Inteligencia de amenazas de Microsoft, 80
Ataques MITM, 10
MSDE, 119 – 122
MSDO, 115
políticas, 118
seguimiento de amenazas, 118 – 119
aerosoles de contraseña, 20 – 21
ataques de phishing, 9 , 21
ataques de escaneo de puertos, 9

ransomware, 10
auditoría, Centro de cumplimiento de Microsoft 365
auditoría avanzada, 176 – 177
capacidades, 174 – 176
registros de auditoría unificados, 174
autenticación
LCA, 15
roles administrativos, 15
Azure AD, 26 , 41
MAE, 42
autenticación sin contraseña, 42
métodos comunes de autenticación, 14
definido, 13
factores de, 14
FIDO 2 , 54
MAE, 42 , 48 – 50
autenticación sin contraseña, 42 , 50 – 54
contraseñas, 44 – 47
autorización, 16
Funciones de Azure AD, 16 – 17 , 18
definido, 15
privilegio mínimo, 16 – 17
RBAC, 15 – 16
cuentas de servicio, 16
automatización, Azure Sentinel, 111 – 113
disponibilidad (pilares CIA), defensa en profundidad, 7
Azure AD
acceso
gestión, 26 , 54 – 58
reseñas, 65 – 67
aplicaciones (aplicaciones), 26
apoderados, 26
autenticación, 26 , 41
MAE, 42
sin contraseña, 42
autorización, 16 – 17 , 18
Azure AD Gratis, 28
B2B, 39 – 40 , 41
B2C, 41
definido, 17 – 18 , 25
dispositivos
identidades, 34
gestión, 26 – 27
servicios de dominio, 27
gestión de derechos, 64 – 65
FS, 32
gobernanza, 27
identidad
gobernanza, 63 – 64
identidades híbridas, 28 – 33
Protección de la Identidad, 68 – 70
Sintonía, 26 – 27
licencias, 28
MAE, 48 – 50
PTA, 31 – 32
informes (registros), 27
papeles, 58 – 62
SSPR, 44 – 48
Bastión Azul, 80 – 81
Planos de Azure, 178 – 179
Defensor azur, 87 – 90
Cortafuegos azul, 78 – 80
Almacén de claves de Azure, 83 , 84
Política de Azure, 179 – 180
Puntaje seguro de Azure, 87 – 88
Punto de referencia de seguridad de Azure, 93 – 94
Centro de seguridad de Azure, 85 – 87
Centinela azul, 94
Reglas de análisis, 102 – 105
automatización, 111 – 113
recoger, 99 – 102
conectores de datos, 99 – 102
detección, 102 – 105
Comportamiento de la entidad, 108 – 109
Caza, 109 – 111
Incidentes, 105 – 106
investigar, 105 – 111

Gráficos de investigación, 107
libros de jugadas, 113
responder, 111 – 113
SIEM, 95 – 97
VUELA, 98
UEBA, 108 – 109
visualizar, 114 – 115
Cuadernos de trabajo, 114 – 115
XDR, 99
Identidades B2B (empresa a empresa), 39 – 40 , 41
identidades B2C (empresa a consumidor), 41
listas de contraseñas prohibidas
costumbre, 43
mundial, 43
barreras, información, 166 – 167
referencias, Azure Security Benchmark, 93 – 94
protección DDoS básica, 77 – 78
Bastión, Azur, 80 – 81
puntos de referencia, Azure Security, 93 – 94
acciones bloqueadas/permitidas, gestión de registros, 159
Planos, Azur, 178 – 179

redes de bots, 10
infracciones, datos, 10
Empresa, Windows Hello para, 50 – 54
CEF (Formato de evento común), 95 – 96
pilares de la CIA, defensa en profundidad, 7
reclamos, definido, 19
clasificación de datos
Administrador de cumplimiento de Microsoft, 153 – 154
clasificadores entrenables, 154
Marco de adopción de la nube, 12 , 180 – 183
seguridad en la nube
Defensor azur, 87 – 90
CSPM, 70 , 91 – 93
CWPP, 87 – 90
MCAS, 123 – 124
métodos comunes de autenticación, 14
ataques de identidad comunes, 20
ataques de phishing, 21
amenazas comunes, 9
redes de bots, 10
malware, 9
Ataques MITM, 10
ransomware, 10
cumplimiento de las comunicaciones, 164 – 166
cumplimiento, 143
evaluaciones, 150
Centro de cumplimiento de Microsoft 365
navegando, 144 – 146
permisos, 146 – 148
grupos de reglas, 148
Explorador de actividades, 155 – 156
evaluaciones, 150
puntajes de cumplimiento, 151 – 153
Explorador de contenido, 155

controles, 149 – 150
Página de clasificación de datos, 153 – 154
Acciones de Mejora, 150 – 151
etiqueta actividades, 156
Página de resumen, 149
puntuaciones, 151 – 153
plantillas, 150
confidencialidad (pilares CIA), defensa en profundidad, 7
configurando
DDoS, 78
GSN, 77
conectores (datos), Azure Sentinel, 99 – 102
Explorador de contenido, Administrador de cumplimiento de Microsoft, 155
Herramienta de búsqueda de contenido, Microsoft 365, 169 – 170
controles, Administrador de cumplimiento de Microsoft, 149 – 150
Flujos de trabajo básicos de eDiscovery, 170 – 173
correlación, SIEM, 96
credenciales, reutilización, 20
criptografía, criptografía de clave pública, 19
CSPM (gestión de postura de seguridad en la nube), 70 , 91 – 93
listas personalizadas de contraseñas prohibidas, 43

Caja fuerte del cliente, 167 – 168
CWPP (Plataforma de protección de cargas de trabajo en la nube), 87 – 90
datos, metodología de confianza cero, 3 , 5
agregación de datos, SIEM, 95 – 96
Página Clasificación de datos, Administrador de cumplimiento de Microsoft, 153 – 154
conectores de datos, Azure Sentinel, 99 – 102
cifrado de datos
ADE, 83
ubicaciones de datos, encriptación, 10 – 11
retención de datos, SIEM, 97
visualización de datos, SIEM, 96 – 97
DDoS (Denegación de servicio distribuida)
ataques, 78
protección básica, 77 – 78
configurar, 78
Nivel estándar, 77 – 78
Ataques DDoS (Distributed Denial of Service), 9 – 10
Defensor, Azul, 87 – 90
Defensor, Microsoft
MSDE, 119 – 122

MSDO, 115
caracteristicas, 117
políticas, 118
servicios, 115 – 116
defensa en profundidad, 7
Redes Azure, 8 – 9
pilares de la CIA, 7
tradicional, 7 – 8
dispositivos
Azure AD
gestión de dispositivos, 26 – 27
identidades, 34
seguridad con Microsoft Intune, 134 – 136
resúmenes (texto hash), 12
firmas digitales, 12
DLP (Prevención de pérdida de datos), 160 – 162
servicios de dominio, Azure AD, 27
Ataques DoS (Denegación de Servicio), 9 – 10
mi
descubrimiento electrónico, 169
flujos de trabajo avanzados, 173

flujos de trabajo básicos, 170 – 173
cifrado
ADE, 83
ubicaciones de datos, 10 – 11
firmas digitales, 12
texto hash (resúmenes), 12
llaves, 12
MPT, 83
puntos finales
DLP, 160 – 162
MDE, 136 – 137
MSDE, 119 – 122
seguridad con Microsoft Intune, 134 – 137
administración de derechos, Azure AD, 64 – 65
Comportamiento de la entidad, Azure Sentinel, 108 – 109
gestión de eventos
CEF, 95 – 96
SIEM, 95 – 97
identidades externas, Azure AD, 27 , 39 – 41
federación
AD FS, 32
servicios, 18
IdP, 19
fideicomisos, 19
autenticación FIDO 2, 54
cortafuegos
Cortafuegos azul, 78 – 80
WAF, 81 – 82
análisis forense, SIEM, 97
GRAMO
listas globales de contraseñas prohibidas, 43
gobernanza, Azure AD, 27
grupos
GSN, 74 – 77
grupos de reglas, Centro de cumplimiento de Microsoft 365, 148
sincronización hash, contraseñas, 29 – 30
texto hash (resúmenes), 12
Hola para empresas, Windows, 50 – 54
Caza, Centinela azul, 109 – 111
identidades híbridas, 28
AD FS, 32
sincronización de hash de contraseña, 29 – 30
PTA, 31 – 32
SSPR, 47
yo
identidad
identidades de aplicación (aplicación), Azure AD, 36 – 39
ataques, común, 20 – 21
Identidades de Azure AD
identidades de aplicación (aplicación), 36 – 39
Protección de identidad de Azure AD, 68 – 70
identidades de dispositivos, Azure AD, 34
identidades externas, Azure AD, 27 , 39 – 41
gobernanza, Azure AD, 63 – 64
identidades de grupo, Azure AD, 35 – 36
AD FS, 32
sincronización de hash de contraseña, 29 – 30
PTA, 31 – 32
SSPR, 47
identidades administradas, Azure AD, 38
MSDO, 116 – 117
PIM, 67 – 68
como perímetro de seguridad principal, 13
PTA, 31 – 32
identidades de usuario, Azure AD, 33
IdP (Proveedores de Identidad), 19
Acciones de mejora, Administrador de cumplimiento de Microsoft, 150 – 151
gestión de incidencias, 129 – 133
Incidentes, Azure Sentinel, 105 – 106
barreras de información, 166 – 167
protección/orientación de la información, 153
microsoft 365
auditoría, 174 – 177

Centro de Cumplimiento, 174 – 177
Herramienta de búsqueda de contenido, 169 – 170
Políticas DLP, 160 – 162
eDiscovery, flujos de trabajo avanzados, 173
eDiscovery, flujos de trabajo básicos, 170 – 173
gestión de riesgos internos, 162 – 164
gestión de registros, 159
etiquetas de retención, 158
infraestructuras, metodología zero trust, 3 , 5
integridad, pilares de la CIA, defensa en profundidad, 7
Intune, Microsoft, 26 – 27
políticas de acceso condicional, 135 , 138

seguridad del dispositivo, 134 – 136
seguridad de punto final, 134 – 137
MAM, 134 – 136
MDM, 134 – 136
Gráficos de investigación, Azure Sentinel, 107
J-K
llaves
Almacén de claves de Azure, 83 , 84
cifrado, 12
etiquetas
etiquetas de sensibilidad, 156 – 158
privilegio mínimo, autorización, 16 – 17
licencias, Azure AD, 28
listas, contraseñas prohibidas
costumbre, 43
mundial, 43
ubicaciones de datos, encriptación, 10 – 11
pantalla de bloqueo, Windows 10 , integración SSPR, 48
Caja fuerte, Cliente, 167 – 168
cerraduras, recurso, 177 – 178

Aplicaciones lógicas, 113
registros
agregación, SIEM, 95 – 96
informes, Azure AD, 27
METRO
malware, 9
MAM (Administración de aplicaciones móviles), seguridad de punto final de Microsoft

Intune, 134 – 136
gerente
acceso
Azure AD, 26 , 54 – 58
políticas de acceso condicional, 54 – 58
aplicaciones (aplicaciones), Microsoft Intune, seguridad de punto final, 134 – 136
dispositivos, Azure AD, 26 – 27
administración de derechos, Azure AD, 64 – 65
eventos, SIEM, 95 – 97
identidad
Azure AD, 38
PIM, 67 – 68
incidentes, 129 – 133
riesgo interno, 162 – 164
acceso privilegiado, 167
registros, 159
MCAS (Seguridad de aplicaciones en la nube de Microsoft), 123 – 124
MDM (Administración de dispositivos móviles), Microsoft Intune, seguridad de punto

final, 134 – 136
metodologías, 1
defensa en profundidad, 7
Redes Azure, 8 – 9
pilares de la CIA, 7
tradicional, 7 – 8
modelo de responsabilidad compartida, 5 – 7
metodología de confianza cero, 1 – 5
MFA (autenticación multifactor), 42 , 48 – 50
microsoft 365
Centro de Cumplimiento
auditoría avanzada, 176 – 177
auditoría, 174 – 177
navegando, 144 – 146
permisos, 146 – 148
grupos de reglas, 148
Herramienta de búsqueda de contenido, 169 – 170

Centro de seguridad de Microsoft 365, 124 – 125
gestión de incidencias, 129 – 133
Puntaje seguro de Microsoft, 126 – 127
Informes de seguridad, 128 – 129
Informes de seguridad de Microsoft 365, 128 – 129
evaluaciones, 150
puntajes de cumplimiento, 151 – 153
controles, 149 – 150
Acciones de Mejora, 150 – 151
Página de resumen, 149

plantillas, 150
microsoft intune
políticas de acceso condicional, 135 , 138
seguridad del dispositivo, 134 – 136
seguridad de punto final, 134 – 137
MAM, 134 – 136
MDM, 134 – 136
MIP (Microsoft Information Protection), etiquetas de confidencialidad, 156 – 158
Ataques MITM (Man-in-the-Middle), 10
bibliotecas MSAL, 36
MSDE (Microsoft Defender para Endpoint), 119 – 122
MSDO (Microsoft Defender para Office 365), 115
políticas, 118
norte
NSG (Grupos de seguridad de red), 74
configurar, 77
creando, 77
implementaciones, 74
parámetros, 77
reglas, 75 – 76
coincidencias de números, autenticación sin contraseña, 52 – 53
Oficina 365
MSDE, 119 – 122
MSDO
identidad, 116 – 117
políticas, 118
políticas de contraseña organizacionales, 42
Página de información general, Administrador de cumplimiento de Microsoft, 149
PAGS
autenticación sin contraseña, 42 , 50 – 54
contraseñas
listas de contraseñas prohibidas, 44
listas globales prohibidas, 43

PIN versus, 50
puesta a cero, 44 – 48
puntuación, 44
aerosoles, 20 – 21
SSPR, 44
métodos de autenticación, 44 – 47
Integración de la pantalla de bloqueo de Windows 10, 48
reescrituras, 47
reescrituras, SSPR, 47
permisos, Centro de cumplimiento de Microsoft 365, 146 – 148
PIM (Gestión de Identidad Privilegiada), 67 – 68
PIN versus contraseñas, 50
libros de jugadas, Azure Sentinel, 113
políticas
Política de Azure, 179 – 180
políticas de riesgo de información privilegiada, 163 – 164

Políticas de MSDO, 118
políticas de retención, 158
PTA (autenticación de paso), 31 – 32
criptografía de clave pública, 19
Q-R
ransomware, 10
RBAC (Control de acceso basado en funciones), 15 – 16 , 86
reportando
registros, Azure AD, 27
Informes de seguridad de Microsoft 365, 128 – 129
restablecer contraseñas, SSPR, 44 – 48
bloqueos de recursos, redes Azure, 177 – 178
retención de datos, SIEM, 97
políticas/etiquetas de retención, 158
revisión de acceso, 65 – 67
generación de riesgos, Azure AD Identity Protection, 70
gestión de riesgos, información privilegiada, 162 – 164
funciones, Azure AD, 58 – 62

normas
grupos, Centro de cumplimiento de Microsoft 365, 148
GSN, 75 – 76
puntuación
Puntaje seguro de Azure, 87 – 88
puntajes de cumplimiento, Administrador de cumplimiento de Microsoft, 151 – 153
contraseñas, 44
búsqueda, herramienta de búsqueda de contenido, Microsoft 365, 169 – 170
Puntaje seguro, Azure, 87 – 88
Puntuación segura, Microsoft, 126 – 127
Punto de referencia de seguridad, Azure, 93 – 94
Centro de seguridad, Azure, 85 – 87
Centro de seguridad, Microsoft 365, 124 – 125
Informes de seguridad, 128 – 129
Informes de seguridad, Microsoft 365, 128 – 129
etiquetas de sensibilidad, 156 – 158
Centinela, Azur, 94
Reglas de análisis, 102 – 105
automatización, 111 – 113
recoger, 99 – 102
conectores de datos, 99 – 102
detección, 102 – 105
Comportamiento de la entidad, 108 – 109
Caza, 109 – 111
Incidentes, 105 – 106
investigar, 105 – 111
Gráficos de investigación, 107
libros de jugadas, 113
responder, 111 – 113
SIEM, 95 – 97
VUELA, 98
UEBA, 108 – 109
visualizar, 114 – 115
Cuadernos de trabajo, 114 – 115
XDR, 99
cuentas de servicio, autorización, 16
servicios
servicios de dominio, Azure AD, 27
servicios de la federación, 18
IdP, 19
fideicomisos, 19
MSDO, 115 – 116
modelo de responsabilidad compartida, 5 – 7

SIEM (Seguridad de la Información y Gestión de Eventos), 94 – 95
analítica, 96
correlación, 96
retención de datos, 97
visualización de datos, 96 – 97
agregación de datos/registros, 95 – 96
análisis forense, 97
firmas, digitales, 12
SOAR (orquestación de seguridad, automatización y respuesta), 98
aerosoles, contraseña, 20 – 21
SSPR (autoservicio de restablecimiento de contraseña)
métodos de autenticación, 44 – 47
Integración de la pantalla de bloqueo de Windows 10, 48
reescrituras, 47
Nivel estándar, DDoS, 77 – 78
sincronización, hash, 29 – 30
plantillas, Administrador de cumplimiento de Microsoft, 150
texto, hashing (resúmenes), 12
caza de amenazas, Azure Sentinel, 109 – 111
Inteligencia de amenazas, Microsoft, 80
amenazas
redes de bots, 10
ataques de identidad comunes, 20 – 21
malware, 9
Ataques MITM, 10
MSDE, 119 – 122
MSDO, 115
políticas, 118
ransomware, 10
TPM (Módulo de plataforma segura), 83
seguimiento de amenazas, MSDO, 118 – 119
fideicomisos, federación, 19
tu
UEBA (Análisis de comportamiento de usuarios y entidades), 108 – 109
visualización, datos, 96 – 97
WAF (cortafuegos de aplicaciones web), 81 – 82
Pantalla de bloqueo de Windows 10, integración SSPR, 48
Windows Hello para empresas, 50 – 54
Cuadernos, Azure Sentinel, 114 – 115
flujos de trabajo, eDiscovery
reescrituras, SSPR, 47
X-Y-Z
XDR (detección y respuesta extendidas), 99
metodología de confianza cero, 1 – 5

Ref. Examen SC-900 Fundamentos de Seguridad, Cumplimiento e Identidad de Microsoft

Cargado por

Copyright:

Formatos disponibles

Ref. Examen SC-900 Fundamentos de Seguridad, Cumplimiento e Identidad de Microsoft

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Ref. Examen SC-900 Fundamentos de Seguridad, Cumplimiento e Identidad de Microsoft

Cargado por

Copyright:

Formatos disponibles

Acerca de este libro electrónico

ePUB es un formato abierto estándar de la industria para libros electrónicos. Sin

Muchos títulos incluyen código de programación o ejemplos de configuración. Para

Ref. examen SC-900 Fundamentos de seguridad, cumplimiento e

Ref. examen SC-900 Fundamentos de seguridad, cumplimiento e identidad de Microsoft

Publicado con la autorización de Microsoft Corporation por:

Pearson Educación, Inc.

Copyright © 2022 por Pearson Education, Inc.

No se asume ninguna responsabilidad de patente con respecto al uso de la información

Número de control de la Biblioteca del Congreso: 2021946889

Microsoft y las marcas comerciales enumeradas en http://www.microsoft.com en la página

ADVERTENCIA Y DESCARGO DE RESPONSABILIDAD

Para consultas de ventas gubernamentales, comuníquese

EDITOR DE PROYECTOS SÉNIOR

Torsión creativa, Seattle

Compromiso de Pearson con la diversidad, la equidad y

Nuestra ambición es contribuir decididamente a un mundo donde:

 Comuníquese con nosotros si tiene inquietudes sobre cualquier posible sesgo

Sobre los autores

CAPÍTULO 1 Describir los conceptos de seguridad, cumplimiento e identidad

CAPÍTULO 2 Soluciones de administración de acceso e identidad de Microsoft

CAPÍTULO 3 Capacidades de las soluciones de seguridad de Microsoft

CAPÍTULO 4 Describir las capacidades de las soluciones de cumplimiento de Microsoft

Organización de este libro

preparándose para el examen

Errata, actualizaciones y soporte de libros

Capítulo 1 Describir los conceptos de seguridad, cumplimiento e identidad

Habilidad 1-1: Conceptos y metodologías de seguridad y cumplimiento

Metodología de confianza cero

modelo de responsabilidad compartida

Marco de adopción de la nube

Habilidad 1-2: Conceptos de identidad

La identidad como principal perímetro de seguridad

¿Qué es el Directorio Activo?

¿Qué son los servicios de federación y los proveedores de identidad?

Ataques de identidad comunes

Resumen del capítulo

Capítulo 2 Soluciones de administración de acceso e identidad de Microsoft

Describir qué es Azure Active Directory

Describir qué es la identidad híbrida

Describir las identidades de Azure AD (usuarios, dispositivos, grupos y

Describir los diferentes tipos de identidad externa (usuarios invitados)

Habilidad 2-2: Describir las capacidades de autenticación de Azure AD

Describir los diferentes métodos de autenticación.

Describir las capacidades de administración y protección de contraseñas

Describir el restablecimiento de contraseña de autoservicio

Describir la autenticación multifactor

Describir Windows Hello para empresas y credenciales sin contraseña

Habilidad 2-3: Describir las capacidades de administración de acceso de Azure AD

Describir qué es el acceso condicional

Describir los usos y beneficios del acceso condicional

Describir los beneficios de los roles de Azure AD

Habilidad 2-4: Describir las capacidades de gobierno y protección de identidad de Azure AD

Describir qué es el gobierno de la identidad

Describir qué son la administración de derechos y las revisiones de acceso

Describir las capacidades de PIM

Describir la protección de identidad de Azure AD

Respuestas del experimento mental

Resumen del capítulo