Automatización del paquete de seguridad de Microsoft con D3 XGEN SOAR

seguridad de microsoft

Por Walker Banerd, Director Senior de Comunicación y Marketing de Contenidos y Seguridad D3 en Microsoft

Este artículo forma parte de la serie de blogs invitados de la Asociación de Seguridad Inteligente de Microsoft. Más información sobre MISA.

Hay ciertos puntos conflictivos en el centro de operaciones de seguridad (SOC) medio que, independientemente de lo que cambie en el panorama de la seguridad, siguen estando entre los problemas más arraigados. Probablemente pueda nombrarlos de memoria: una cantidad abrumadora de alertas de seguridad; la escasez continua de profesionales de ciberseguridad cualificados; la incapacidad de detectar y responder a ataques cada vez más sofisticados; y la proliferación de herramientas (76 en el SOC de la empresa media) que no siempre funcionan bien juntas.1 Pero estos retos tienen algo más en común, además de ser las principales causas de dolores de cabeza entre los profesionales de la seguridad: todos ellos se ven aliviados por la orquestación de la seguridad, la automatización y la respuesta.más conocido como SOAR.2 Conozca cómo XGEN SOAR de D3 Security se integra con Microsoft Sentinel y cientos de otras herramientas para ayudar a los clientes a superar la fatiga de los analistas de SOC y los conjuntos de herramientas dispares en esta publicación del blog.

¿Qué es SOAR?

Empecemos por lo básico. SOAR es una categoría de potentes herramientas que se integran con otros sistemas de seguridad, como la información de seguridad y la gestión de eventos (SIEM), la detección y respuesta de puntos finales (EDR) y los cortafuegos, para recibir alertas, enriquecerlas con inteligencia contextual y orquestar acciones de corrección en todo el entorno. Las herramientas SOAR utilizan libros de jugadas para automatizar y codificar los flujos de trabajo con el fin de acelerar el tiempo medio de respuesta (MTTR) y estandarizar las respuestas a los tipos de incidentes comunes.

D3 XGEN SOAR es una solución SOAR totalmente independiente del proveedor, lo que significa que puede mantener docenas de integraciones profundas con herramientas de Microsoft.incluyendo a Sentinel-y aportar la automatización de los flujos de trabajo de seguridad en cualquier entorno.

Cómo utilizan los clientes de Microsoft Sentinel la canalización de eventos de D3 para centrarse en las amenazas reales

¿Qué significa para los clientes la integración de D3 XGEN SOAR con las herramientas de Microsoft? Tomemos un ejemplo concreto y veamos cómo la canalización de eventos de D3una oferta única entre las plataformas SOAR-actúa sobre los eventos de Microsoft Sentinel para facilitar la vida de los analistas de seguridad.3

D3 ingiere los eventos de Microsoft Sentinel para su investigación y respuesta. Pero, como sabe cualquier operador de SIEM, es un equilibrio delicado configurar su SIEM, y otras herramientas de generación de alertas, de manera que se capturen todos los incidentes importantes sin una cantidad abrumadora de ruido. Ahí es donde entra el Event Pipeline de D3.

La ruta de las alertas a través de D3 XGEN SOAR, desde el origen de la alerta hasta la fase de respuesta al incidente. La canalización de eventos de D3 cubre las fases de normalización, triaje y desestimación y escalado.

Cuando un evento de Microsoft Sentinel llega a D3, pasa por el Event Pipeline, un libro de jugadas global y automatizado que actúa sobre cada evento o alerta entrante de una herramienta de detección. La canalización de eventos funciona en tres etapas:

  • En primer lugar, se normalizan los datos del evento entrante. Se extraen los artefactos, como direcciones IP, ID de usuario y URL, y se realiza el etiquetado de metadatos.
  • A continuación se realiza la fase de triaje. El evento es deducido y correlacionado con otros eventos. Los artefactos se cotejan con fuentes de inteligencia de amenazas integradas para determinar el riesgo, y se aplican las etiquetas de táctica, técnica y procedimiento (TTP) de MITRE ATT&CK.
  • En la etapa final, el evento de Microsoft Sentinel se descarta como falso positivo o se escala y se asigna a un analista. Las reglas de descarte y escalado las establece el usuario, basándose en criterios como las puntuaciones de riesgo del enriquecimiento de la inteligencia sobre amenazas o la presencia de activos clave en los artefactos.

El resultado de añadir la canalización de eventos de D3 a las investigaciones de incidentes de Microsoft Sentinel es que el 90 por ciento o más de los eventos de Microsoft Sentinel pueden filtrarse de forma segura antes de que lleguen a un analista humano, lo que permite investigar adecuadamente las amenazas genuinas.

Principales integraciones de Microsoft

La integración de D3 con Microsoft Sentinel es solo una de las 33 integraciones entre D3 XGEN SOAR y las herramientas de Microsoft. Veintidós de esas integraciones son de la suite Azure. Algunas de las integraciones clave para casos de uso de operaciones de seguridad comunes incluyen Microsoft Defender for EndpointMicrosoft 365y Azure Active Directory (Azure AD).

Microsoft Defender for Endpoint

Los usuarios de Microsoft Defender pueden orquestar 26 acciones diferentes desde D3, incluyendo la obtención de eventos, el enriquecimiento de los incidentes con datos de los puntos finales y la puesta en cuarentena de los hosts infectados. Esto crea un proceso automatizado para cualquier incidente de seguridad de puntos finales que actúa de forma rápida y concluyente antes de que las amenazas se salgan de control.

Microsoft 365

El phishing sigue siendo el punto de entrada de la mayoría de los ciberataques, lo que hace que el correo electrónico sea una parte fundamental de la respuesta a los incidentes de ciberseguridad. Cuando se detecta un posible correo electrónico de phishing, D3 puede recuperar el correo electrónico y los archivos adjuntos, analizar los artefactos, comprobar la reputación de los artefactos con la inteligencia de amenazas y los incidentes anteriores, y determinar si el correo electrónico es una amenaza genuina. Si lo es, D3 puede encontrar otras instancias del correo electrónico en las bandejas de entrada de la empresa y eliminarlas.

Azure Active Directory

Es posible que haya oído decir que "la identidad es el nuevo perímetro", lo que subraya la importancia de poder actuar rápidamente en Azure AD durante un incidente de seguridad. Las empresas que utilizan Azure AD (y AD local) pueden enriquecer los incidentes de D3 con información de usuarios y grupos, gestionar usuarios y grupos desde D3, y orquestar rápidamente acciones de remediación como forzar un restablecimiento de contraseña o revocar una sesión de inicio de sesión.

Orquestación de la seguridad para los MSSP

Los proveedores de servicios de seguridad gestionados (MSSP) obtienen de las soluciones conjuntas de D3 y Microsoft beneficios similares a los de los SOC, pero a mayor escala.4 En D3 se han dado cuenta de que los MSSP no siempre tienen acceso directo a todas las herramientas de sus clientes, o puede que no quieran convertirse en expertos en cada una de las herramientas que utilizan sus clientes si lo único que hacen con ellas es gestionar las alertas. En su lugar, los clientes dan a su MSSP acceso a D3, desde donde pueden gestionar las alertas de todas sus herramientas de detección desde una única interfaz.

Esto hace que D3 sea un centro de operaciones útil para los MSSP con clientes que dependen de sistemas Azure u otras herramientas de Microsoft. El MSSP puede aprovechar las integraciones de D3 con Microsoft Sentinel, Microsoft Defender for Endpoint, Microsoft 365y otros, para gestionar las alertas e incluso orquestar las acciones de respuesta.sin necesidad de tener acceso completo a las herramientas de sus clientes.5 La canalización de eventos también es una herramienta valiosa en este escenario, ya que permite a los MSSP gestionar un volumen mucho mayor de alertas, sin añadir recursos.

Mejor juntos: Casos de uso de Microsoft y D3 XGEN SOAR

Caso práctico 1: Investigación y orquestación en entornos híbridos

Un diagrama de cómo D3 recibe alertas de fuentes en la nube o en las instalaciones, y orquesta libros de juego sin código a través de herramientas en la nube o en las instalaciones.

Cada vez son más las empresas que trasladan sus sistemas y servidores a servicios en la nube como Microsoft Azure, pero muchas mantienen un entorno híbrido, en el que algunos sistemas siguen alojados en las instalaciones. Este modelo híbrido crea un problema en torno a la seguridad, ya que la empresa tiene que gestionar dos conjuntos de herramientas de seguridad.una en la nube y otra en las instalaciones.

D3 puede integrarse con Microsoft Sentinel, otras 21 herramientas de la pila de Azure y cientos de herramientas locales para crear una única interfaz de operaciones de seguridad (SecOps) para todo el entorno híbrido. Los usuarios conjuntos de Microsoft Sentinel y D3 pueden enriquecer las alertas con inteligencia sobre amenazas, identificar las técnicas de MITRE ATT&CK, ejecutar libros de juego automatizados para responder a los incidentes y mucho más.en la nube y en los sistemas locales simultáneamente.

Por ejemplo, en un ataque de phishing que dio lugar a un endpoint potencialmente infectado, un analista que utilice D3 podría desactivar el acceso del usuario en Azure AD, consultar Microsoft Sentinel para obtener datos adicionales, buscar en los buzones de correo de Microsoft 365 más instancias del correo electrónico de phishing y poner en cuarentena el endpoint afectado utilizando Microsoft Defender for Endpoint.6

Tener D3 SOAR integrado tanto con sus herramientas de Azure como con sus herramientas locales puede reducir su trabajo.y su riesgo-a la mitad. Gracias a la capacidad de supervisar y actuar en todo su entorno híbrido, no perderá de vista los incidentes que se mueven entre entornos, y siempre podrá ejecutar toda su respuesta sin tener que cambiar entre herramientas.

Caso de uso 2: credenciales comprometidas

Un diagrama de cómo D3 ingiere los informes de credenciales filtradas, los comprueba con Active Directory y orquesta la respuesta adecuada.

Cuando las credenciales de un empleado se ven comprometidas, hackeadas o filtradas, pueden aparecer en las listas proporcionadas por las plataformas de inteligencia de amenazas. Los equipos de seguridad necesitan formas de agilizar su capacidad para conocer las credenciales comprometidas, cotejar las credenciales con el resto de la información del empleado, determinar en qué máquinas podrían utilizarse las credenciales y tomar medidas para evitar el acceso no autorizado. D3 se integra con AD (Azure o local), plataformas de inteligencia de amenazas y otras herramientas, para orquestar este proceso.

D3 puede ingerir listas de credenciales filtradas desde plataformas de inteligencia de amenazas integradas. Cuando las credenciales de un empleado están incluidas en una lista, D3 puede consultar el Directorio Activo para cotejar las credenciales con otra información relacionada con el empleado, incluida la lista de máquinas a las que tiene acceso. D3 puede obtener el historial de inicio de sesión del usuario desde Active Directory para buscar actividad inusual, desactivar temporalmente al usuario si es necesario y orquestar un cambio de contraseña.

El cielo es el límite

Estos son sólo un par de casos de uso que los usuarios de D3 pueden orquestar a través de sus herramientas y sistemas de Microsoft. Con más de 30 integraciones y cientos de comandos, hay un techo extremadamente alto en lo que los usuarios sofisticados pueden lograr con las capacidades combinadas de D3 y Microsoft. Sin embargo, no dejes que eso te intimide. Gracias a los libros de juego sin código y listos para usar para los tipos de incidentes más comunes, incluso los usuarios menos técnicos pueden aprovechar inmediatamente las ventajas de las soluciones conjuntas.

Acerca de D3 Security

La plataforma XGEN SOAR de D3 Security combina la automatización y la orquestación en más de 500 herramientas integradas con una canalización de eventos automatizada que reduce el volumen de eventos en un 90 por ciento o más.2 Los playbooks sin código de D3 automatizan las tareas de enriquecimiento y remediación al tiempo que facilitan la creación, modificación y ampliación de los flujos de trabajo para las operaciones de seguridad, la respuesta a incidentes y la caza de amenazas.

Con más de 30 integraciones de Microsoft, D3 Security es miembro de la Microsoft Intelligent Security Association (MISA) desde 2020. Visite la página de Azure Marketplace aquí. Puede obtener más información sobre cómo D3 trabaja con Microsoft en la página de socios tecnológicos de D3.5

Más información

Para obtener más información sobre MISA, visite nuestro sitio web de MISA, donde podrá conocer el programa MISA, las integraciones de productos y encontrar a los miembros de MISA. Visite la lista de reproducción de vídeos para conocer la fuerza de las integraciones de los miembros con los productos de Microsoft.

Para obtener más información sobre las soluciones de seguridad de Microsoft, visite nuestro sitio web. Marque el blog de Seguridad para mantenerse al día con nuestra cobertura de expertos en temas de seguridad. Además, síganos en @MSFTSecurity para conocer las últimas noticias y actualizaciones sobre ciberseguridad.


1 Los responsables de la seguridad siguen sin tener visibilidad de los activos, mientras que la falta de conocimiento está provocando fallos de control, Panaseer. 2022.

2 Plataforma XGEN SOAR, D3 Security.

3 XGEN SOAR Event Pipeline, D3 Security.

4 Security Automation and Orchestration for MSSPs, D3 Security.

5 Integración de Microsoft Azure Sentinel, D3 Security.

6 D3 XGEN SOAR para ataques de phishing, D3 Security.