Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Completado100 XP
1 minuto
Descripción de la defensa en
profundidad
Completado100 XP
4 minutos
5 minutos
La confianza cero presupone que todo está en una red abierta y que no es de
confianza, incluso los recursos detrás de los firewalls de la red corporativa. El
modelo de confianza cero funciona con el principio de "no confiar en nadie y
comprobarlo todo".
4 minutos
Los datos en reposo son los datos que se almacenan en un dispositivo físico, como
un servidor. Pueden estar almacenados en una base de datos o en una cuenta de
almacenamiento, pero, independientemente de dónde estén almacenados, el
cifrado de datos en reposo garantiza que los datos no se puedan leer sin las claves
y los secretos necesarios para descifrarlos.
Si un atacante obtuviera una unidad de disco duro con datos cifrados, pero no
tuviera acceso a las claves de cifrado, no podría leer los datos.
Los datos en tránsito son los que se están moviendo de una ubicación a otra, por
ejemplo, por Internet o a través de una red privada. La transferencia segura se
puede controlar mediante varias capas diferentes. Esto se puede hacer mediante el
cifrado de los datos en el nivel de aplicación antes de enviarlos a través de una red.
HTTPS es un ejemplo de cifrado en tránsito.
El cifrado de datos en tránsito protege los datos de observadores externos y
proporciona un mecanismo para transmitirlos que limita el riesgo de exposición.
Un caso de uso común para el cifrado de datos en uso conlleva proteger los datos
en un almacenamiento no persistente, como la RAM o la memoria caché de CPU.
Esto se puede lograr mediante tecnologías que crean un enclave (como si fuera
una caja fuerte con llave) que protege los datos y los mantiene cifrados mientras la
CPU los procesa.
El hash es diferente del cifrado, ya que no usa claves, y el valor al que se aplica el
algoritmo hash no se descifra posteriormente en el original.
Los datos son más importantes que nunca. Las organizaciones, las instituciones y
sociedades enteras generan datos y dependen de ellos para que funcionar
correctamente día a día. La gran escala de datos generados y la creciente
dependencia de ellos significa que la privacidad y la protección de esos datos se
han vuelto fundamentales. A medida que las organizaciones e instituciones
mueven sus datos a las nubes del proveedor de servicios, con centros de datos de
todo el mundo, entran en juego consideraciones adicionales.
Introducción
Completado100 XP
1 minuto
Todos los usuarios y todos los dispositivos tienen una identidad que se puede usar
para tener acceso a los recursos. La identidad es la forma en que se identifican las
personas y las cosas en la red corporativa y en la nube. Tener la seguridad de quién
o qué está accediendo a los datos de la organización y otros recursos es una parte
fundamental de la protección del entorno.
Definición de autenticación y
autorización
Completado100 XP
2 minutos
Autenticación
Pero ¿qué significa una identidad? Una identidad es el conjunto de aspectos que
definen o caracterizan a alguien o algo. Por ejemplo, la identidad de una persona
incluye la información que usa para autenticarse, como su nombre de usuario y
contraseña, y su nivel de autorización.
Direccionar cada uno de estos cuatro pilares es clave para una solución completa y
sólida de identidad y control de acceso.
Vea este vídeo para obtener más información sobre la autenticación moderna y
cómo funciona con un proveedor de identidades central.
Para obtener más información sobre las diferencias entre los conceptos de
Active Directory y Azure Active Directory, consulte la sección Más información de la
unidad de resumen y recursos que redirige a la documentación.
Resumen y recursos
Completado100 XP
1 minuto
Más información
Para obtener más información sobre los temas tratados en este módulo, vea:
Introducción
Completado100 XP
1 minuto
Azure Active Directory Premium P1. La edición Premium P1 incluye todas las
características de las ediciones Gratis y Aplicaciones de Office 365. También admite
la administración avanzada, como grupos dinámicos, administración de grupos de
autoservicio, Microsoft Identity Manager (un conjunto de administración local de
identidades y acceso) y funcionalidades de reescritura en la nube, que permiten el
restablecimiento de contraseña de autoservicio a los usuarios locales.
Para obtener más información sobre cada una de las ediciones, visite la página
de precios de Azure Active Directory.
También hay una opción para las licencias de característicasde "Pago por uso".
Puede obtener otras licencias de características por separado, como la opción
Negocio a cliente (B2C) de Azure Active Directory. B2C puede ayudarle a
proporcionar soluciones de administración de acceso y de identidad para las
aplicaciones orientadas al cliente. Para más información, consulte Documentación
de Azure Active Directory B2C.
8 minutos
Usuario
Entidad de servicio
Una entidad de servicio es, básicamente, una identidad para una aplicación. Para
que una aplicación delegue su identidad y funciones de acceso a Azure AD,
primero se debe registrar con Azure AD a fin de habilitar su integración. Una vez
que se registra, se crea una entidad de servicio en cada inquilino de Azure AD
donde se usa la aplicación. La entidad de servicio habilita características básicas
como la autenticación y autorización de la aplicación en los recursos protegidos
por el inquilino de Azure AD.
Para que las entidades de servicio puedan acceder a los recursos protegidos por el
inquilino de Azure AD, los desarrolladores de aplicaciones deben administrar y
proteger las credenciales.
Identidad administrada
Para obtener una lista de los servicios de Azure que admiten identidades
administradas, consulte la sección Más información de la unidad Resumen y
recursos.
Propiedad Identidad administrada asignada por el Identidad administrada asignada por el usuario
sistema
Creación Se crea como parte de un recurso de Azure (por Se crea como un recurso de Azure independiente.
ejemplo, una máquina virtual de Azure o Azure
App Service).
Ciclo de vida Se comparte el ciclo de vida con el recurso de Ciclo de vida independiente. Se debe eliminar explícit
Azure. Si se elimina el recurso principal, se
elimina también la identidad administrada.
Uso compartido No se puede compartir. Está asociada a un Se puede compartir. Una identidad administrada asig
de recursos de único recurso de Azure. puede asociar a más de un recurso de Azure.
Azure
Casos de uso Cargas de trabajo que contiene un único Cargas de trabajo que se ejecutan en varios recursos y
comunes recurso de Azure. Cargas de trabajo para las una única identidad. Cargas de trabajo que necesitan
que necesita identidades independientes, un recurso seguro como parte de un flujo de aprovisio
como una aplicación que se ejecuta en una sola trabajo donde los recursos se reciclan con frecuencia,
máquina virtual. permanecer coherentes. Por ejemplo, una carga de tr
máquinas virtuales tienen que acceder al mismo recu
Dispositivo
Colaboración B2B
La colaboración B2B le permite compartir las aplicaciones y los servicios de la
organización con usuarios invitados de otras organizaciones, a la vez que mantiene
el control sobre sus propios datos. La colaboración B2B usa un proceso de
invitación y canje. También puede habilitar los flujos de usuario de registro de
autoservicio para permitir que los usuarios externos se suscriban a aplicaciones o
recursos por sí mismos. Una vez que el usuario externo ha canjeado su invitación o
ha completado el registro, se representa en el mismo directorio que los empleados,
pero con un tipo de usuario de invitado. Como invitado, ahora puede acceder a los
recursos con sus credenciales.
Introducción
Completado100 XP
1 minuto
La autenticación es el proceso de comprobación de la legitimidad de una
identidad. Las contraseñas se usan normalmente para autenticar a los usuarios,
pero hay formas mejores y más seguras de autenticarse.
10 minutos
Contraseñas
Las contraseñas son la forma más común de autenticación, pero tienen muchos
problemas, especialmente si se usan en la autenticación de un solo factor, donde
solo se usa una forma de autenticación. Si son bastante fáciles de recordar, un
hacker podrá vulnerarlas fácilmente. Las contraseñas seguras que no son fáciles de
atacar son difíciles de recordar, y afectan a la productividad de los usuarios cuando
las olvidan.
El uso de contraseñas debe complementarse o reemplazarse por métodos de
autenticación más seguros disponibles en Azure AD.
Teléfono
FIDO2
Como método de autenticación sin contraseña, FIDO2 actúa como forma principal
de autenticación. Además, FIDO2 se puede usar como forma secundaria de
autenticación para comprobar una identidad durante la autenticación multifactor.
10 minutos
Contraseñas
Las contraseñas son la forma más común de autenticación, pero tienen muchos
problemas, especialmente si se usan en la autenticación de un solo factor, donde
solo se usa una forma de autenticación. Si son bastante fáciles de recordar, un
hacker podrá vulnerarlas fácilmente. Las contraseñas seguras que no son fáciles de
atacar son difíciles de recordar, y afectan a la productividad de los usuarios cuando
las olvidan.
Teléfono
OATH
FIDO2
Con las claves de seguridad FIDO2, los usuarios pueden iniciar sesión en
dispositivos Windows 10 unidos a Azure AD o Azure AD híbrido y lograr el inicio de
sesión único en sus recursos de nube y locales. Los usuarios también pueden iniciar
sesión en exploradores compatibles. Las claves de seguridad FIDO2 son una
excelente opción para las empresas que son muy conscientes de la seguridad o
tienen escenarios o empleados que no quieren o no pueden usar su teléfono como
un segundo factor.
Como método de autenticación sin contraseña, FIDO2 actúa como forma principal
de autenticación. Además, FIDO2 se puede usar como forma secundaria de
autenticación para comprobar una identidad durante la autenticación multifactor.
Aplicación Microsoft Authenticator
3 minutos
Los valores predeterminados de seguridad son una excelente opción para las
organizaciones que quieren aumentar su posición de seguridad, pero no saben por
dónde empezar; o para las organizaciones que usan el nivel Gratis de licencias de
Azure AD. Los valores predeterminados de seguridad podrían no ser adecuados
para las organizaciones con licencias Premium de Azure AD, o con requisitos de
seguridad más complejos. Para más información, visite ¿Cuáles son los valores de
seguridad predeterminados?
Cuando los usuarios se registren en SSPR, se les pedirá que elijan los métodos de
autenticación que usarán. Si optan por usar preguntas de seguridad, pueden elegir
entre un conjunto de preguntas para que se muestren y, a continuación,
proporcionar sus propias respuestas. Las preguntas de seguridad se pueden usar
solo durante el proceso de autoservicio de restablecimiento de contraseña (SSPR)
para confirmar quién es. Las preguntas de seguridad no se usan como método de
autenticación durante un evento de inicio de sesión. Las cuentas de administrador
no pueden usar preguntas de seguridad como método de verificación con SSPR.
Nota
Nombres de marca
Nombres de producto
Ubicaciones, por ejemplo, la oficina central de la empresa
Términos internos específicos de la empresa
Abreviaturas que tienen un significado específico en la empresa
Seguridad híbrida
Si busca seguridad híbrida, los administradores pueden integrar la Protección de
contraseñas de Azure AD en un entorno de Active Directory local. Un componente
instalado en el entorno local recibe la lista global de contraseñas prohibidas y las
directivas personalizadas de protección de contraseñas de Azure AD. A
continuación, los controladores de dominio las usan para procesar los eventos de
cambio de contraseña. Este enfoque híbrido garantiza que, siempre que un usuario
cambie su contraseña, se aplique la Protección de contraseñas de Azure AD.
Introducción
Completado100 XP
1 minuto
Vea el vídeo para descubrir cómo funcionan las directivas de acceso condicional.
Controles de acceso
Cuando se ha aplicado la directiva de acceso condicional, se toma una decisión
informada sobre si se debe conceder acceso, bloquear el acceso o requerir una
comprobación adicional. La decisión se conoce como la parte de controles de
acceso de la directiva de acceso condicional y define cómo se aplica una directiva.
Las decisiones comunes son las siguientes:
Bloquear acceso
Conceder acceso
Requerir que se cumplan una o más condiciones antes de conceder
acceso:
o Exigir la autenticación multifactor.
o Requerir que el dispositivo esté marcado como compatible.
o Requerir un dispositivo unido a Azure AD híbrido.
o Requerir aplicación cliente aprobada.
o Requerir la directiva de protección de aplicaciones.
o Requerir cambio de contraseña.
Controlar el acceso del usuario en función de controles de sesión para
habilitar experiencias limitadas en aplicaciones en la nube
determinadas. Por ejemplo, Control de aplicaciones de acceso
condicional usa las señales de aplicaciones de Microsoft Defender for
Cloud para bloquear las funciones de descargar, cortar, copiar e
imprimir documentos confidenciales, o bien para exigir el etiquetado
de archivos confidenciales. Otros controles de sesión incluyen la
frecuencia de inicio de sesión y las restricciones aplicadas a la
aplicación que, en el caso de las aplicaciones seleccionadas, usan la
información del dispositivo para proporcionar a los usuarios una
experiencia limitada o completa, según el estado del dispositivo.
Guía interactiva
En esta guía interactiva, creará una directiva de acceso condicional para un grupo
de usuarios.
7 minutos
Los roles de Azure AD controlan los permisos para administrar los recursos de
Azure AD. Por ejemplo, permitir la creación de cuentas de usuario o ver la
información de facturación. Azure AD admite roles integrados y personalizados.
Roles integrados
En Azure AD hay muchos roles integrados, que son los que tienen un conjunto fijo
de permisos de rol. Algunos de los roles integrados más comunes son los
siguientes:
Administrador global: los usuarios con este rol tienen acceso a todas las
características administrativas de Azure Active Directory. El usuario que se
suscribe al inquilino de Azure Active Directory se convierte en administrador
global de manera automática.
Administrador de usuarios: los usuarios con este rol pueden crear y
administrar todos los aspectos de los usuarios y grupos. Además, este rol
incluye la capacidad de administrar incidencias de soporte técnico y
supervisar el estado del servicio.
Administrador de facturación: los usuarios que tienen este rol realizan
compras, administra suscripciones e incidencias de soporte técnico y
supervisan el estado del servicio.
Una asignación de roles concede al usuario los permisos de una definición de roles
según un ámbito específico. Un ámbito define el conjunto de recursos de Azure AD
a los que tiene acceso el miembro del rol. Un rol personalizado se puede asignar
en el ámbito de toda la organización, lo que significa que el miembro del rol tiene
los permisos de rol sobre todos los recursos. También se puede asignar un rol
personalizado en un ámbito de objeto. Un ejemplo del ámbito de objeto sería una
aplicación única. Se puede asignar el mismo rol a un usuario en todas las
aplicaciones de la organización y, luego, a otro usuario que solo tenga un ámbito
de la aplicación de informes de gastos de Contoso.
Para que sea práctico administrar las identidades en los servicios de Microsoft 365,
Azure AD ha agregado roles integrados de servicios específicos, y cada uno
concede acceso administrativo a un servicio de Microsoft 365. Esto significa que los
roles integrados de Azure AD difieren en dónde se pueden usar. Hay tres
categorías principales.
Introducción
Completado100 XP
1 minuto
Están diseñadas para ayudar a las organizaciones a abordar las siguientes cuatro
preguntas clave:
Para muchas organizaciones, este ciclo de vida de la identidad para los empleados
está ligado a la representación del usuario en un sistema de recursos humanos
(RR. HH.), como Workday o SuccessFactors. El sistema de RR. HH. está autorizado
para proporcionar la lista actual de empleados y algunas de sus propiedades, como
el nombre o departamento.
Las organizaciones pueden automatizar el proceso del ciclo de vida de los accesos
con determinadas tecnologías, como los grupos dinámicos. Los grupos dinámicos
permiten a los administradores crear reglas basadas en atributos para determinar la
pertenencia a grupos. Cuando cambia cualquier atributo de un usuario o
dispositivo, el sistema evalúa todas las reglas de grupos dinámicos de un directorio
para ver si la modificación desencadenaría la adición o retirada de usuarios en un
grupo. Si un usuario o dispositivo cumple una regla de un grupo, se agrega a este
como miembro. Si ya no cumple la regla, se quita del grupo.
Es posible que los usuarios no sepan qué acceso deben tener e, incluso
si lo saben, pueden tener dificultades para encontrar los usuarios
adecuados que lo aprueben.
Una vez que los usuarios buscan y reciben acceso a un recurso, puede
que conserven el acceso por más tiempo del necesario para los fines
empresariales.
Administración del acceso para usuarios externos.
La administración de derechos incluye las siguientes funcionalidades para
solucionar estos desafíos:
Una vez completada la revisión, se puede establecer para que los cambios se
apliquen de forma manual o automática para quitar el acceso de una asignación de
aplicación o pertenencia a un grupo, excepto para grupos dinámicos o grupos que
se originen del entorno local. En esos casos, los cambios se deben aplicar
directamente al grupo.
Entre los casos de uso de ejemplo en los que es posible que los empleados o
invitados deban aceptar condiciones de uso se incluyen los siguientes:
Los términos de uso se presentan en formato PDF, con contenido que crea el
usuario, como un documento de contrato existente. Los términos de uso también
se pueden presentar a los usuarios en dispositivos móviles.
Las directivas de acceso condicional se usan para solicitar que se muestren los
términos de uso y garantizar que el usuario ha aceptado esos términos antes de
acceder a una aplicación. A continuación, los administradores pueden ver quién ha
aceptado las condiciones de uso y quién las ha rechazado.
8 minutos
Identity Protection clasifica el riesgo en tres niveles: bajo, medio y alto. También
puede calcular el riesgo de inicios de sesión y el riesgo de identidades del usuario.
Un riesgo de inicio de sesión representa la probabilidad de que el propietario de la
identidad no haya autorizado una solicitud de autenticación determinada. El riesgo
de inicio de sesión se puede calcular en tiempo real o sin conexión, usando
orígenes de inteligencia sobre amenazas internos y externos de Microsoft. A
continuación, se enumeran algunos de los riesgos de inicio de sesión que Identity
Protection de Azure AD puede identificar:
Identity Protection proporciona a las organizaciones tres informes que pueden usar
para investigar los riesgos de identidad en su entorno. Estos informes son sobre
los usuarios de riesgo, los inicios de sesión de riesgo y las detecciones de
riesgo. La investigación de eventos es clave para comprender e identificar los
puntos débiles de la estrategia de seguridad.
Las amenazas pueden provenir de cualquier dirección: por ejemplo, un ataque por
denegación de servicio a los servicios de su organización, o un pirata informático
que intente acceder a la red probando a penetrar en el firewall. Azure ofrece una
amplia gama de herramientas de seguridad configurables que se pueden
personalizar para proporcionarle la seguridad y el control para satisfacer las
necesidades de su organización.
Completado100 XP
4 minutos
Cualquier empresa, grande o pequeña, puede ser objeto de un grave ataque de red. La naturaleza
de estos ataques podría ser para mostrar una postura o simplemente porque el atacante se había
puesto un desafío.
Ataques de denegación de servicio distribuido
Ataques volumétricos: Se tratan de ataques basados en volúmenes que inundan la red con tráfico
aparentemente legítimo, sobrepasando el ancho de banda disponible. El tráfico legítimo no logra
comunicarse. Estos tipos de ataques se miden en bits por segundo.
Ataques de protocolo: Los ataques de protocolo representan un destino inaccesible al agotar los
recursos del servidor con solicitudes de protocolo falsas que aprovechan los puntos débiles de los
protocolos de nivel 3 (red) y nivel 4 (transporte). Estos tipos de ataques se miden normalmente en
paquetes por segundo.
Ataques de nivel de recurso (aplicación) : estos ataques van dirigidos a paquetes de aplicaciones
web y su objetivo es interrumpir la transmisión de datos entre hosts.
El servicio Azure DDoS Protection está diseñado para ayudar a proteger sus aplicaciones y
servidores mediante el análisis del tráfico de red y el descarte de todo lo que parezca un ataque
DDoS.
Azure DDoS Protection usa la escala y la elasticidad de la red global de Microsoft para incorporar
capacidad de mitigación de DDoS a cada región de Azure. Durante un ataque DDoS, Azure puede
escalar las necesidades informáticas para satisfacer la demanda. Para administra el consumo de la
nube, DDoS Protection se asegura de que la carga de red solo refleje el uso real de los clientes.
Básico: El nivel de servicio Básico está habilitado automáticamente para cada propiedad de Azure,
sin costo adicional, como parte de la plataforma Azure. La supervisión continua de tráfico y la
mitigación en tiempo real de ataques de nivel de red comunes ofrecen la misma defensa que usan
los servicios en línea de Microsoft. La red global de Azure se usa para distribuir y mitigar el tráfico
de ataques en las distintas regiones.
El servicio Estándar de DDoS Protection tiene un cargo mensual fijo que incluye protección para
100 recursos. La protección de recursos adicionales se cobra mensualmente por cada recurso.
Use Azure DDoS para proteger los dispositivos y las aplicaciones mediante el análisis del tráfico a
través de la red, y la adopción de acciones adecuadas relativas al tráfico sospechoso.
Completado100 XP
2 minutos
Azure Firewall es un servicio de seguridad de red administrado y basado en la nube que protege
los recursos de redes virtuales (VNet) de Azure frente a los atacantes. Puede implementar Azure
Firewall en cualquier red virtual, pero el mejor enfoque es usarlo en una red virtual centralizada.
Todas las demás redes virtuales y locales se enrutarán a través de ella. La ventaja de este modelo
es la capacidad de ejercer de forma centralizada el control del tráfico de red para todas las redes
virtuales en diferentes suscripciones.
Con Azure Firewall puede escalar el uso verticalmente para acoger los flujos de tráfico de red
cambiantes, por lo que no es necesario elaborar un presupuesto para los picos de tráfico. El tráfico
de red está sujeto a las reglas de firewall configuradas cuando se enruta al firewall, como la puerta
de enlace predeterminada de la subred.
Alta disponibilidad y zonas de disponibilidad integradas: La alta disponibilidad está integrada, por
lo que no hay nada que configurar. Además, Azure Firewall se puede configurar para abarcar
varias zonas de disponibilidad y aumentar la disponibilidad.
Filtrado a nivel de aplicación y de red: Use la dirección IP, el puerto y el protocolo para admitir el
filtrado de nombres de dominio completo para el tráfico HTTP(s) saliente y los controles de filtrado
de red.
SNAT de salida y DNAT de entrada para comunicación con recursos de Internet: traduce la
dirección IP privada de los recursos de red a una dirección IP pública de Azure (traducción de
direcciones de red de origen, SNAT) para identificar y permitir el tráfico procedente de la red
virtual a destinos de Internet. Del mismo modo, el tráfico entrante de Internet a la dirección IP
pública del firewall se traduce (traducción de direcciones de red de destino o DNAT) y se filtra a las
direcciones IP privadas de los recursos de la red virtual.
Varias direcciones IP públicas: Estas direcciones se pueden asociar a Azure Firewall.
Inteligencia sobre amenazas: El filtrado basado en inteligencia sobre amenazas puede habilitarse
para que el firewall alerte y deniegue el tráfico desde y hacia los dominios y las direcciones IP
malintencionados conocidos.
Integración en Azure Monitor: Se integra en Azure Monitor para habilitar la recopilación, el análisis
y la acción en función de la telemetría de los registros de Azure Firewall.
Use Azure Firewall para ayudar a proteger los recursos de Azure que ha conectado a las redes
virtuales de Azure.
Continuar
Las aplicaciones web son cada vez más el objetivo de ataques malintencionados
que aprovechan vulnerabilidades habitualmente conocidas. Evitar dichos ataques
en el código de la aplicación es todo un desafío. Puede requerir un mantenimiento
riguroso, revisión y supervisión.
2 minutos
Las VNets proporcionan una contención a nivel de red de los recursos sin que se
permita el tráfico a través de las VNets o de entrada a la VNet, de forma
predeterminada. La comunicación tiene que ser aprovisionada de forma explícita.
Esto permite un mayor control sobre la forma en que los recursos de Azure en una
VNet se comunican con otros recursos de Azure, Internet y las redes locales.
Siguiente unidad: Descripción de los grupos de
seguridad de red de Azure
6 minutos
Los grupos de seguridad de red (NSG) permiten filtrar el tráfico de red hacia y
desde los recursos de Azure en una red virtual de Azure; por ejemplo, una máquina
virtual. Un NSG consta de reglas que definen cómo se filtra el tráfico. Solo puede
asociar un grupo de seguridad de red a cada subred e interfaz de red de la red
virtual en una máquina virtual. Sin embargo, el mismo grupo de seguridad de red
se puede asociar a tantas subredes e interfaces de red distintas como elija.
En el diagrama muy simplificado que se muestra a continuación, puede ver una red
virtual de Azure con dos subredes que están conectadas a Internet, y cada subred
tiene una máquina virtual. La subred 1 tiene un NSG asignado que filtra el acceso
entrante y saliente a VM1, que necesita un mayor nivel de acceso. En cambio, VM2
podría representar una máquina de acceso público que no requiere un NSG.
Nombre: Cada regla de NSG debe tener un nombre único que describa su
propósito. Por ejemplo, FiltroSoloAccesoAdmin.
Prioridad: las reglas se procesan en orden de prioridad, donde los números
más bajos se procesan antes que los números más altos. Cuando el tráfico
coincide con una regla, el procesamiento se detiene. Esto significa que no se
procesarán otras reglas con una prioridad más baja (números mayores).
Origen o destino: especifique una dirección IP individual o un intervalo de
direcciones IP, una etiqueta de servicio (un grupo de prefijos de dirección IP
de un servicio de Azure determinado) o un grupo de seguridad de
aplicaciones. La especificación de un intervalo, una etiqueta de servicio o
grupo de seguridad de aplicaciones le permite crear menos reglas de
seguridad.
Protocolo: Qué protocolo de red comprobará la regla. El protocolo puede ser
cualquiera de los siguientes: TCP, UDP, ICMP o Any.
Dirección: Indica si la regla debe aplicarse al tráfico entrante o saliente.
Intervalo de puertos: Puede especificar un puerto individual o un intervalo
de puertos. La especificación de intervalos permite ser más eficaz al crear
reglas de seguridad.
Acción: Por último, debe decidir qué ocurrirá cuando se desencadene esta
regla.
¿Cuál es la diferencia entre los grupos de seguridad de red (NSG) y Azure Firewall?
Ahora que ha obtenido información sobre los grupos de seguridad de red y Azure
Firewall, es posible que se pregunte en qué difieren, ya que ambos protegen los
recursos de red virtual. El servicio Azure Firewall complementa la funcionalidad de
grupo de seguridad de red. Juntos proporcionan una mejor seguridad de red de
"defensa en profundidad". Los grupos de seguridad de red proporcionan filtrado
de tráfico distribuido de nivel de red para limitar el tráfico a los recursos dentro de
las redes virtuales de cada suscripción. Azure Firewall es un firewall de red como
servicio con estado y centralizado, que proporciona protección de nivel de red y de
aplicación entre las diferentes suscripciones y redes virtuales.
Siguiente unidad: Descripción del acceso JIT y Azure
Bastion
Introducción
Completado100 XP
1 minuto
A medida que más empresas mueven sus distintos recursos a la nube, mantener su
seguridad es una consideración principal para todos los Departamentos de TI y
Seguridad. La ciberdelincuencia es un negocio de varios miles de millones de
dólares. No proteger su organización puede resultar costoso debido a la pérdida
de datos y de reputación.
2 minutos
6 minutos
Microsoft Defender for Cloud rellena tres necesidades vitales a medida que
administra la seguridad de los recursos y las cargas de trabajo en la nube y en el
entorno local:
Las características de Microsoft Defender for Cloud, que cumplen estos requisitos,
cubren dos grandes pilares de la seguridad en la nube: administración de la
posición de seguridad en la nube y protección de cargas de trabajo en la nube.
La característica central de Microsoft Defender for Cloud que le permite lograr esos
objetivos es la puntuación segura. Microsoft Defender for Cloud evalúa
continuamente los recursos, las suscripciones y la organización en busca de
problemas de seguridad. A continuación, agrega todos los resultados a una sola
puntuación para que pueda conocer de un vistazo la situación de la seguridad
actual: cuanto mayor sea la puntuación, menor será el nivel de riesgo identificado.
5 minutos
Planes de Defender
Entre las ventajas adicionales se incluye la protección contra amenazas para los
recursos conectados al entorno de Azure y a las características de seguridad de
contenedores, entre otras. Algunas características pueden estar asociadas a planes
de Defender específicos para cargas de trabajo concretas.
5 minutos
1 minuto
La protección del patrimonio digital, los recursos, los activos y los datos de una
organización ante las infracciones y los ataques a la seguridad es un reto continuo
y creciente. En el mundo empresarial hay multitud de trabajadores remotos, lo que
crea vulnerabilidades de seguridad que los cibercriminales pueden aprovechar.
Un sistema SIEM es una herramienta que una organización utiliza para recopilar
datos de todo el patrimonio, incluida la infraestructura, el software y los recursos.
Realiza análisis, busca correlaciones o anomalías y genera alertas e incidencias.
1 minuto
La protección del patrimonio digital, los recursos, los activos y los datos de una
organización ante las infracciones y los ataques a la seguridad es un reto continuo
y creciente. En el mundo empresarial hay multitud de trabajadores remotos, lo que
crea vulnerabilidades de seguridad que los cibercriminales pueden aprovechar.
Un sistema SIEM es una herramienta que una organización utiliza para recopilar
datos de todo el patrimonio, incluida la infraestructura, el software y los recursos.
Realiza análisis, busca correlaciones o anomalías y genera alertas e incidencias.
Descripción de cómo
Microsoft Sentinel proporciona
administración contra amenazas
integrada
Completado100 XP
13 minutos
La administración efectiva del perímetro de seguridad de red de una organización
requiere la combinación adecuada de herramientas y sistemas. Microsoft Sentinel
es una solución SIEM/SOAR escalable y nativa de la nube que ofrece análisis de
seguridad inteligentes e inteligencia sobre amenazas en toda la empresa.
Proporciona una única solución para la detección de alertas, la visibilidad de las
amenazas, la búsqueda proactiva y la respuesta a las amenazas.
Workbooks
Microsoft Sentinel usa el análisis para poner en correlación las alertas con los
incidentes. Los incidentes son grupos de alertas relacionadas que, juntas, crean una
posible amenaza procesable que se puede investigar y resolver. Con el análisis en
Microsoft Sentinel, puede utilizar las reglas de correlación integradas tal y como
están, o bien usarlas como punto de partida para crear otras propias. Microsoft
Azure Sentinel también proporciona reglas de aprendizaje automático para asignar
el comportamiento de red y buscar luego anomalías en los recursos. Estos análisis
conectan los puntos, al combinar alertas de baja fidelidad sobre distintas entidades
en posibles incidentes de seguridad de alta fidelidad.
Búsqueda
Cuaderno
6 minutos
4 minutos
Microsoft Defender for Office 365 está disponible en dos planes. El plan que elija
influye en las herramientas que verá y usará. Es importante asegurarse de que
selecciona el mejor plan para satisfacer las necesidades de su organización.
Use Microsoft 365 Defender for Office 365 para proteger los mensajes y las
herramientas de colaboración de su organización.
3 minutos
Use Microsoft Defender para punto de conexión para proteger los puntos de
conexión de su organización y responder a amenazas avanzadas.
11 minutos
Estas áreas de funcionalidad representan la base del marco Defender for Cloud
Apps que se describe a continuación.
3 minutos
Para entornos híbridos en los que Servicios de federación de Active Directory (AD
FS) está presente, Defender for Identity protege AD FS mediante la detección de
ataques locales y la visibilidad de los eventos de autenticación generados por
AD FS.
Reconocimiento
Credenciales en peligro
Movimientos laterales
Dominación de dominio
Defender for Identity está diseñado para reducir el ruido general de las alertas, y
proporcionar solo las alertas de seguridad pertinentes e importantes en una escala
de tiempo de ataque organizativa, simple y en tiempo real.
Utilice la vista de la línea de tiempo del ataque de Defender for Identity y la
inteligencia de los análisis inteligentes para mantenerse enfocado en lo que
importa. Además, puede utilizar Defender for Identity para investigar rápidamente
las amenazas y obtener información sobre los usuarios, los dispositivos y los
recursos de red de toda la organización.
10 minutos
Nota
Incidentes y alertas
Análisis de amenazas
Puntuación segura
Centro de aprendizaje
3 minutos
Para cumplir los requisitos normativos y transmitir confianza a los clientes, las
organizaciones deben adoptar una postura de garantizar la privacidad de forma
predeterminada. En lugar de depender de procesos manuales y una amalgama de
herramientas, las organizaciones necesitan una solución completa para abordar
desafíos comunes como los siguientes:
Microsoft Priva le ayuda a superar estos desafíos para que pueda alcanzar sus
objetivos de privacidad. Las funcionalidades de Priva están disponibles mediante
dos soluciones: Administración de riesgo de privacidad Priva, que ofrece
visibilidad de las plantillas de directivas y datos de la organización para reducir los
riesgos, y Solicitudes de derechos de los interesados Priva, que proporciona
herramientas de automatización y flujo de trabajo para satisfacer solicitudes de
datos.
Exchange Online
SharePoint Online
OneDrive para la Empresa
Microsoft Teams
Comprobación de conocimientos
1.
7 minutos
Nota
Los clientes con una SKU de Microsoft 365 que tengan uno de los siguientes roles
pueden obtener acceso al Portal de cumplimiento:
Administrador global
Administrador de cumplimiento
Administrador de datos de cumplimiento
Nota
La interfaz de usuario (UI) de Microsoft 365 está evolucionando continuamente, por
lo que es posible que la interfaz de usuario que se muestra en la guía interactiva no
refleje las actualizaciones más recientes.
10 minutos
Nota
Nota
Controles
Valoraciones
Una valoración consta de varios componentes, incluidos los servicios que están
dentro del ámbito, los controles y una puntuación de valoración que muestra el
progreso para completar las acciones necesarias para el cumplimiento.
Plantillas
Acciones de mejora
Guía interactiva
Nota
3 minutos
Nota
Completado
200 XP
3 minutos
Elija la respuesta más adecuada para cada una de las siguientes preguntas. Después, seleccione Comprobar las
respuestas.
Comprobación de conocimientos
1. Un nuevo administrador se unió al equipo y necesita obtener acceso al Portal de cumplimiento de Microsoft Purview.
¿Cuál de los siguientes roles puede usar el administrador para obtener acceso al Portal de cumplimiento?
Correcto. Se trata de uno de los diversos roles que puede usar para acceder al Portal de cumplimiento.
2. Sus nuevos compañeros del equipo de administración no están familiarizados con el concepto de controles compartidos
del Administrador de cumplimiento. ¿Cómo podría explicar el concepto de los controles compartidos?
Son controles que los reguladores externos y Microsoft tienen la responsabilidad de implementar.
Son controles que la organización y los reguladores externos tienen la responsabilidad de implementar.
Correcto. Tanto la organización como Microsoft trabajan juntos para implementar estos controles.
3. Un cliente ha solicitado una presentación sobre cómo podría usar el Portal de cumplimiento de Microsoft Purview para
mejorar la postura de cumplimiento de su organización. La presentación deberá explicar el Administrador de cumplimiento y
la puntuación de cumplimiento. ¿Cuál es la diferencia entre el Administrador de cumplimiento y la puntuación de
cumplimiento?
El Administrador de cumplimiento es una solución completa del Portal de cumplimiento de Microsoft Purview, que permite
que los administradores administren y realicen un seguimiento de las actividades de cumplimiento. En cambio, la
puntuación de cumplimiento es un cálculo de la posición de cumplimiento general en toda la organización.
Correcto. El Administrador de cumplimiento ofrece a los administradores las funciones que necesitan para comprender y
aumentar la puntuación de cumplimiento, de modo que puedan mejorar en última instancia la posición de cumplimiento de
la organización y así lograr los requisitos de cumplimiento.
El Administrador de cumplimiento es una solución completa del Portal de cumplimiento de Microsoft Purview, que permite
que los administradores administren y realicen un seguimiento de las actividades de cumplimiento. La puntuación de
cumplimiento es una puntuación que la organización recibe de los reguladores para lograr el cumplimiento establecido.
Conocimiento, protección y
gobernanza de los datos
Completado100 XP
2 minutos
Nota
11 minutos
Nota
123-456-789-ABC
Nota
Cualquier persona que desee tener acceso al explorador de contenido debe tener
una cuenta en uno o en ambos grupos de roles.
Los administradores usan los filtros para ver todos los detalles de una etiqueta
específica, incluidos los tipos de archivo, los usuarios y las actividades. El
explorador de actividades ayuda a comprender lo que se está haciendo con el
contenido etiquetado a lo largo del tiempo. Los administradores utilizan el
explorador de actividades para evaluar si los controles implementados son
efectivos.
Los administradores pueden usar más de 30 filtros para los datos, entre los que se
incluyen:
Location
Usuario
Etiqueta de confidencialidad
Etiqueta de retención
El valor de conocer las acciones que se están llevando a cabo con el contenido
confidencial está en que los administradores pueden ver si los controles que ya han
implementado, como las directivas de prevención de pérdida de datos, son
efectivos o no. Por ejemplo, si se detecta que un gran número de elementos con la
etiqueta Extremadamente confidencial se han degradado repentinamente con la
etiqueta Público, los administradores pueden actualizar las directivas y actuar para
restringir el comportamiento no deseado como respuesta.
Exploración de la clasificación de los datos en el
Portal de cumplimiento
El siguiente vídeo hace un recorrido por las diversas características de clasificación
de datos disponibles en el Portal de cumplimiento.
Nota
5 minutos
Nota
Las organizaciones deben proteger sus datos, a los clientes y las operaciones
empresariales y satisfacer los estándares de cumplimiento. Los administradores
pueden preparar su organización para proteger los datos, con características y
herramientas como las directivas y las etiquetas de confidencialidad del Portal de
cumplimiento de Microsoft Purview.
Etiquetas de confidencialidad
Las etiquetas de confidencialidad, disponibles como parte de la protección de la
información en el Portal de cumplimiento de Microsoft Purview, permiten etiquetar
y proteger el contenido, sin que ello afecte a la productividad y la colaboración.
Con las etiquetas de confidencialidad, las organizaciones pueden decidir si se
aplican a contenido como los mensajes de correo electrónico y los documentos, de
forma muy similar a como se aplican diferentes sellos a los documentos físicos:
Directivas de etiquetas
Una vez creadas las etiquetas de confidencialidad, deben publicarse con el fin de
que estén disponibles para las personas y los servicios de la organización. Las
etiquetas de confidencialidad se publican para los usuarios o grupos mediante
directivas de etiquetas. Después, las etiquetas de confidencialidad aparecen en las
aplicaciones de Office para esos usuarios y grupos. Las etiquetas de
confidencialidad se pueden aplicar a documentos y mensajes de correo electrónico.
Las directivas de etiquetas permiten a los administradores hacer lo siguiente:
Elegir los usuarios y grupos que pueden ver las etiquetas. Las etiquetas se
pueden publicar para usuarios específicos, grupos de distribución, grupos de
Microsoft 365 en Azure Active Directory, etc.
Aplicar una etiqueta predeterminada a todos los mensajes de correo
electrónico y documentos nuevos que creen los usuarios y grupos
especificados. Los usuarios siempre pueden cambiar la etiqueta
predeterminada si creen que el documento o el correo electrónico se han
etiquetado erróneamente.
Requerir justificaciones para los cambios de etiqueta. Si un usuario desea
quitar una etiqueta o reemplazarla, los administradores pueden exigir que el
usuario proporcione una justificación válida para completar la acción. Se le
pedirá al usuario que proporcione una explicación de por qué se debe
cambiar la etiqueta.
Requerir a los usuarios que apliquen una etiqueta (etiquetado
obligatorio). Esto asegura que se aplique una etiqueta antes de que los
usuarios puedan guardar los documentos, enviar mensajes de correo
electrónico o crear sitios o grupos nuevos.
Vincular usuarios a páginas de ayuda personalizadas. Ayuda a los usuarios
a saber qué significan las diferentes etiquetas y cómo deben usarse.
Descripción de la prevención de la
pérdida de datos
Completado100 XP
5 minutos
Nota
Por ejemplo, un administrador puede configurar una directiva DLP que ayude a
detectar información sujeta al cumplimiento de una normativa, como la Ley de
transferencia y responsabilidad de seguros de salud (HIPAA), en todos los sitios de
SharePoint y OneDrive para la Empresa. El administrador puede impedir que los
documentos correspondientes se compartan de forma inapropiada.
Una directiva puede contener una o varias reglas, y cada regla se compone de
condiciones y acciones como mínimo. Para cada regla, cuando se cumplen las
condiciones, las acciones se realizan automáticamente. Las reglas se pueden
agrupar en una directiva para simplificar la administración y la creación de
informes. En el diagrama siguiente se muestra cómo se agrupan varias reglas en
una única directiva, cada una con sus propias condiciones y acciones.
Las reglas de la directiva se clasifican por orden de prioridad en cuanto a su
implementación. Por ejemplo, en el diagrama anterior, la regla uno tiene prioridad
sobre la regla dos, etc.
Crear un elemento
Cambiar el nombre de un elemento
Copiar elementos en medios extraíbles
Copiar elementos en recursos compartidos de red
Imprimir documentos
Acceder a elementos desde aplicaciones y exploradores no permitidos
En el explorador de actividades, puede ver información sobre lo que hacen los
usuarios con el contenido confidencial.
El usuario puede seleccionar el vínculo "¿Qué puedo hacer?" para obtener más
información sobre por qué se ha bloqueado su mensaje y realizar la acción
adecuada.
Con las directivas DLP, Microsoft Teams puede ayudar a los usuarios a colaborar de
forma segura y en línea con los requisitos de cumplimiento.
Siguiente unidad: Descripción de las directivas y las
etiquetas de retención
Descripción de la administración de
registros
Completado100 XP
3 minutos
Nota
Las organizaciones de todos los tipos requieren una solución para administrar los
registros normativos, legales y críticos para la empresa en todos los datos
corporativos. La Administración de registros en Microsoft Purview ayuda a una
organización a atender sus obligaciones legales. También ayuda a demostrar el
cumplimiento normativo y aumenta la eficacia con la eliminación periódica de los
elementos que ya no es necesario conservar, ya no tienen valor o ya no son
necesarios para fines empresariales. La Administración de registros en
Microsoft Purview abarca muchas características, entre las que se incluyen las
siguientes:
Prueba de conocimientos
200 XP
4 minutos
Elija la respuesta más adecuada para cada una de las siguientes preguntas. Después,
seleccione Comprobar las respuestas.
Comprobación de conocimientos
1.