Herramienta de autoevaluación de operaciones de seguridad
Selección
Evalúa las alertas, establece prioridades y dirige los incidentes a los miembros de tu equipo del centro de operaciones de seguridad para que los resuelvan.
Investigación
Determina rápidamente si una alerta indica un ataque real o una falsa alarma.
Búsqueda
Aumenta el enfoque en la búsqueda de adversarios que hayan evadido tus defensas primarias y automatizadas.
Administración de incidentes
Coordina la respuesta de las funciones técnicas, operativas, de comunicación, jurídicas y de gobierno.
Automatización
Ahorra tiempo a tus analistas, aumenta la velocidad de respuesta y reduce la carga de trabajo.
¿Cómo priorizas los incidentes y las alertas de amenazas?
(Selecciona todas las opciones que correspondan)
¿En qué medida utilizas la automatización para la investigación y reparación de incidentes de gran volumen o repetitivos?
¿En cuántos escenarios utilizas herramientas basadas en la nube para proteger los recursos locales y de múltiples nubes?
¿Dispones de un sistema de tickets para administrar los incidentes de seguridad y medir el tiempo de reconocimiento y el tiempo de corrección?
¿Cómo administras la fatiga por alertas?
(Selecciona todas las opciones que correspondan)
Recomendaciones
Según tus respuestas, estás en la fase de operaciones de seguridad optimizadas.
Obtén más información sobre cómo optimizar la madurez de tu centro de operaciones de seguridad.
Recomendaciones
Según tus respuestas, estás en la fase de operaciones de seguridad optimizadas.
Obtén más información sobre cómo pasar a la fase óptima de madurez del centro de operaciones de seguridad.
Recomendaciones
Según tus respuestas, estás en la fase de operaciones de seguridad básicas.
Obtén más información sobre cómo pasar a la fase avanzada de madurez del centro de operaciones de seguridad.
Los siguientes recursos y recomendaciones pueden ser útiles en esta etapa.
Priorización de la alerta de amenazas
- Priorizar las alertas de amenazas es fundamental para el éxito. Es una práctica recomendada puntuar basándose en la tasa de verdaderos positivos de la fuente. Descubre conclusiones clave y prácticas recomendadas de la mano de los responsables de seguridad para hacer madurar tus operaciones de seguridad. Más información
Automatización
- La automatización ayuda a liberarte a ti y a tu equipo de operaciones de las tareas tediosas para que podáis centraros en las amenazas críticas, aumentar la productividad y reducir el agotamiento.
- Más información sobre cómo configurar la automatización en Microsoft Defender para punto de conexión
Aprovechar las herramientas basadas en la nube
- Las herramientas basadas en la nube te ayudan a ver todo el panorama de amenazas de tu organización en la nube. El cambio a una SIEM basada en la nube podría mitigar los retos que presentan las soluciones SIEM locales. Más información
Administrar los incidentes de seguridad mediante un sistema de tickets
- Disponer de un sistema de vales ayuda a tu equipo a trabajar de forma más eficiente y a luchar con más éxito contra las amenazas. Más información
Administrar la fatiga por alertas
- Administrar la fatiga por alertas es fundamental para llevar a cabo operaciones de seguridad sin problemas. Sin un sistema de priorización, tu equipo puede acabar investigando falsos positivos y dejando pasar amenazas serias, lo que puede llevar al agotamiento. Azure Sentinel reduce la fatiga por alertas con el aprendizaje automático. Más información
¿Cuántas herramientas de seguridad utilizan los analistas para la investigación de incidentes (por ejemplo, productos o portales de proveedores y herramientas o scripts personalizados)?
¿Utilizas una SIEM u otras herramientas para consolidar y correlacionar todos los orígenes de datos?
¿Utilizas el análisis del comportamiento en la detección e investigación (por ejemplo, el análisis de la entidad y el comportamiento del usuario, o UEBA)?
¿Utilizas herramientas de detección e investigación centradas en la identidad?
¿Utilizas herramientas de detección e investigación centradas en los puntos de conexión?
¿Utilizas herramientas de detección e investigación centradas en el correo electrónico y los datos?
¿Utilizas herramientas de detección e investigación centradas en las aplicaciones SaaS?
¿Utilizas herramientas de detección e investigación centradas en la infraestructura de la nube, como las máquinas virtuales, Internet de las cosas (IoT) y la tecnología operativa (OT)?
¿Utilizas MITRE ATT&CK u otros marcos para seguir y analizar los incidentes?
¿Revisan los equipos de investigación o de búsqueda los casos en la cola de selección para identificar las tendencias, la causa principal y otras conclusiones?
Recomendaciones
Según tus respuestas, estás en la fase de operaciones de seguridad optimizadas.
Recursos clave:
- Obtén más información sobre cómo una pila de seguridad consolidada puede reducir tus riesgos y costes.
- Obtén más información sobre las funciones de las operaciones de seguridad (SecOps).
Obtén más información sobre cómo optimizar la madurez de tu centro de operaciones de seguridad.
Recomendaciones
Según tus respuestas, estás en la fase de operaciones de seguridad optimizadas.
Recursos clave:
- Obtén más información sobre cómo una pila de seguridad consolidada puede reducir tus riesgos y costes.
- Obtén más información sobre las funciones de las operaciones de seguridad (SecOps).
Obtén más información sobre cómo pasar a la fase óptima de madurez del centro de operaciones de seguridad.
Recomendaciones
Según tus respuestas, estás en la fase de operaciones de seguridad básicas.
Recursos clave:
- Obtén más información sobre cómo una pila de seguridad consolidada puede reducir tus riesgos y costes.
- Obtén más información sobre las funciones de las operaciones de seguridad (SecOps).
Obtén más información sobre cómo pasar a la fase avanzada de madurez del centro de operaciones de seguridad.
Los siguientes recursos y recomendaciones pueden ser útiles en esta etapa.
Herramientas de seguridad integradas
- El uso de soluciones de seguridad inteligentes, automatizadas e integradas en todos los dominios puede ayudar a los defensores de SecOps a conectar alertas aparentemente dispares y adelantarse a los atacantes. Descubre cómo una solución SIEM y XDR unificada ayuda a detener los ataques avanzados. Más información
- Moderniza el centro de operaciones de seguridad para proteger mejor a los recursos remotos. Más información
Usar la SIEM para consolidar las fuentes de datos
- Una SIEM, como Azure Sentinel, proporciona una vista panorámica de tu entorno de amenazas y captura todos los datos de las mismas, lo que te ayuda a ser más proactivo para que no se te escape nada. ¿Qué es Azure Sentinel?
- Más información sobre la arquitectura de referencia de ciberseguridad de Microsoft
Prácticas recomendadas de seguridad de Microsoft para las operaciones de seguridad
- El aprendizaje automático y el análisis del comportamiento son prácticas recomendadas que pueden ayudarte a identificar rápidamente los eventos anómalos con gran confianza. Más información
Administración del acceso a los datos
- Es importante saber quién tiene acceso a tus datos y qué tipo de acceso tiene. Aprovechar un marco basado en la identificación es una de las mejores prácticas para reducir los riesgos y mejorar la productividad. Más información
Administración de puntos de conexión
- Es una práctica recomendada saber quién obtiene acceso a los datos desde fuera del perímetro tradicional y si estos dispositivos están en buen estado. Microsoft Defender para punto de conexión puede ayudarte mediante esta guía paso a paso. Más información
- Más información sobre cómo implementar Microsoft Defender para punto de conexión
Detección de correo electrónico y datos
- Los malos actores pueden entrar en tu entorno a través del correo electrónico empresarial vulnerado. Una solución que pueda detectar y detener amenazas como la suplantación de identidad puede evitar que el usuario final tenga que encargarse de la seguridad. Más información
Detección de aplicaciones de SaaS
- Es importante proteger las soluciones basadas en la nube que pueden tener acceso a tus datos confidenciales.
Detección de infraestructura de la nube
- A medida que el perímetro se amplía para incluir el IoT y el almacenamiento, los contenedores y otros componentes de tu infraestructura en la nube, es importante establecer la supervisión y la detección de estas extensiones de tu entorno.
Seguimiento y análisis de los incidentes
- MITRE ATT&CK® es una base de conocimientos globalmente accesible sobre las tácticas y técnicas de los adversarios, basada en observaciones del mundo real. Contar con marcos como el MITRE ATT&CK puede ayudarte a desarrollar modelos de amenazas específicos y metodologías para desarrollar defensas de forma proactiva.
Documentación y revisión
- Para obtener conclusiones y ser proactivo con las amenazas, es importante documentar los casos de investigación.
¿Incluyes la búsqueda proactiva de amenazas como parte de tu estrategia de seguridad?
¿Utilizas procesos de búsqueda automatizados como los cuadernos Jupyter?
¿Tienes procesos y herramientas para ayudar a detectar y administrar las amenazas internas?
¿Tu equipo de búsqueda dedica tiempo a perfeccionar las alertas para aumentar las tasas de Verdaderos positivos para los equipos de selección (nivel 1)?
Recomendaciones
Según tus respuestas, estás en la fase de operaciones de seguridad optimizadas.
Recursos clave:
- Obtén más información sobre la administración de riesgos internos con Microsoft 365.
Obtén más información sobre cómo optimizar la madurez de tu centro de operaciones de seguridad.
Recomendaciones
Según tus respuestas, estás en la fase de operaciones de seguridad optimizadas.
Recursos clave:
- Obtén más información sobre la administración de riesgos internos con Microsoft 365.
Obtén más información sobre cómo pasar a la fase óptima de madurez del centro de operaciones de seguridad.
Recomendaciones
Según tus respuestas, estás en la fase de operaciones de seguridad básicas.
Recursos clave:
- Obtén más información sobre la administración de riesgos internos con Microsoft 365.
Obtén más información sobre cómo pasar a la fase avanzada de madurez del centro de operaciones de seguridad.
Los siguientes recursos y recomendaciones pueden ser útiles en esta etapa.
Búsqueda proactiva de amenazas
- Identifica las amenazas antes de que se produzcan. Los adversarios decididos pueden encontrar formas de eludir tus detecciones automáticas, por lo que es importante tener una estrategia proactiva. Reduce el impacto de los riesgos internos acortando el tiempo para tomar medidas. Más información
- Descubrir cómo el SOC de Microsoft aborda la búsqueda de amenazas
Búsqueda automatizada
- Utilizar procesos de búsqueda automatizados puede ayudar a aumentar la productividad y reducir el volumen.
Amenazas internas
- Con los empleados, proveedores y contratistas que tienen acceso a la red corporativa desde innumerables puntos de conexión, es más importante que nunca que los profesionales del riesgo sean capaces de identificar rápidamente los riesgos que se producen dentro de la organización y tomar medidas de corrección.
- Más información sobre la supervisión de amenazas internas
- Introducción a la administración de riesgos internos
Refinar los procesos de búsqueda
- La información obtenida de los equipos de búsqueda de amenazas puede ayudar a perfeccionar y mejorar la precisión de los sistemas de alerta de selección. Más información
¿Dispone tu equipo de un proceso de administración de crisis para manejar incidentes de seguridad importantes?
¿Incluye este proceso disposiciones para incorporar equipos de proveedores con gran experiencia en respuesta a incidentes, inteligencia de amenazas o plataformas tecnológicas?
¿Involucra este proceso a la dirección ejecutiva, incluidos los equipos jurídicos y los organismos reguladores?
¿Incluye este proceso a los equipos de comunicación y relaciones públicas?
¿Realiza tu equipo ejercicios regulares para practicar y perfeccionar este proceso?
Recomendaciones
Según tus respuestas, estás en la fase de operaciones de seguridad optimizadas.
Recursos clave:
- Obtén más información sobre la administración de riesgos internos con Microsoft 365.
Obtén más información sobre cómo optimizar la madurez de tu centro de operaciones de seguridad.
Recomendaciones
Según tus respuestas, estás en la fase de operaciones de seguridad optimizadas.
Recursos clave:
- Obtén más información sobre la administración de riesgos internos con Microsoft 365.
Obtén más información sobre cómo pasar a la fase óptima de madurez del centro de operaciones de seguridad.
Recomendaciones
Según tus respuestas, estás en la fase de operaciones de seguridad básicas.
Recursos clave:
- Obtén más información sobre la administración de riesgos internos con Microsoft 365.
Obtén más información sobre cómo pasar a la fase avanzada de madurez del centro de operaciones de seguridad.
Los siguientes recursos y recomendaciones pueden ser útiles en esta etapa.
Respuesta a incidentes
- En la respuesta a un momento de crisis, cada minuto cuenta. Incluso disponer de un proceso temporal es importante para garantizar una rápida reparación y administración de incidentes.
- Obtener la guía de referencia de respuesta a incidentes
- Más información sobre cómo prevenir los ataques de ciberseguridad, desde el ransomware hasta la extorsión
Corrección de incidentes
- La agilidad y la flexibilidad son importantes para la corrección y la administración de incidentes. Entender y evaluar dónde están las habilidades y experiencias de tu equipo también te ayuda a determinar los equipos de proveedores y la tecnología que necesitas. Más información
Mitigar los impactos
- La seguridad es cosa de todos en la organización. Las conclusiones de otras partes interesadas de la empresa pueden proporcionar una orientación específica para mitigar el impacto de una infracción.
- Ver vídeos de la serie CISO Spotlight
- Más información sobre la seguridad en la nube
Comunicaciones y relaciones públicas
- Tu proceso debe incluir planes de relaciones públicas y de comunicación en caso de que se produzca una vulneración, de modo que estés preparado para apoyar a los clientes y mitigar el impacto de la vulneración. Más información sobre cómo dirigir una operación de seguridad altamente eficaz
La práctica hace la perfección
- La práctica garantiza que puedas detectar las lagunas y las áreas de mejora antes de que se produzca una vulneración. Usa casos de prueba para asegurarte de que estás preparado para una vulneración.
- ¿Tienes una automatización proporcionada o mantenida por un proveedor que reduzca la carga de trabajo de investigación y corrección de los analistas?
¿Puedes organizar acciones automatizadas en diferentes herramientas?
Si organizas acciones automatizadas con diferentes herramientas, ¿te conectas de forma nativa con todas o la mayoría de tus herramientas, o te basas en scripts personalizados?
¿Utilizas la automatización proporcionada por la comunidad?
Recomendaciones
Según tus respuestas, estás en la fase de operaciones de seguridad optimizadas.
Recursos clave:
- Azure Sentinel - Libro del marco de procesos SOC. Obtener ahora.
- Organización, automatización y respuesta de seguridad (SOAR) en Azure Sentinel. Obtén más información.
- Guía para el acceso seguro y directo: una experiencia de usuario mejorada con una seguridad reforzada. Obtén más información.
- Adopta una seguridad proactiva con Confianza cero. Obtén más información.
- Guía de implementación de confianza cero para Microsoft Azure Active Directory. Obtener ahora.
Obtén más información sobre cómo optimizar la madurez de tu centro de operaciones de seguridad.
Recomendaciones
Según tus respuestas, estás en la fase de operaciones de seguridad optimizadas.
Recursos clave:
- Azure Sentinel - Libro del marco de procesos SOC. Obtener ahora.
- Organización, automatización y respuesta de seguridad (SOAR) en Azure Sentinel. Obtén más información.
- Guía para el acceso seguro y directo: una experiencia de usuario mejorada con una seguridad reforzada. Obtén más información.
- Adopta una seguridad proactiva con Confianza cero. Obtén más información.
- Guía de implementación de confianza cero para Microsoft Azure Active Directory. Obtener ahora.
Obtén más información sobre cómo pasar a la fase óptima de madurez del centro de operaciones de seguridad.
Recomendaciones
Según tus respuestas, estás en la fase de operaciones de seguridad básicas.
Recursos clave:
- Azure Sentinel - Libro del marco de procesos SOC. Obtener ahora.
- Organización, automatización y respuesta de seguridad (SOAR) en Azure Sentinel. Obtén más información.
- Guía para el acceso seguro y directo: una experiencia de usuario mejorada con una seguridad reforzada. Obtén más información.
- Adopta una seguridad proactiva con Confianza cero. Obtén más información.
- Guía de implementación de confianza cero para Microsoft Azure Active Directory. Obtener ahora.
Obtén más información sobre cómo pasar a la fase avanzada de madurez del centro de operaciones de seguridad.
Los siguientes recursos y recomendaciones pueden ser útiles en esta etapa.
Cómo administrar la carga de trabajo de los analistas
- El apoyo a la automatización de los proveedores podría ayudar a tu equipo a administrar su carga de trabajo. Considera la posibilidad de proteger tu patrimonio digital con un enfoque integrado para aumentar la eficiencia del SOC. Más información
- Descubrir cómo los equipos de operaciones de seguridad se están adaptando a un panorama de amenazas cambiante
Disponer acciones automatizadas
- Integrar las acciones automatizadas en todas tus herramientas podría mejorar la productividad y ayudar a aumentar la probabilidad de que no se te escape ninguna amenaza. Comprueba cómo una pila de seguridad consolidada podría ayudarte a reducir tus riesgos y costes. Más información
Conectar acciones automatizadas
- Las herramientas y los procesos conectados e integrados podrían ayudar a reducir las deficiencias de tu programa de supervisión de amenazas y a mantenerte al día sobre un panorama de amenazas de ciberseguridad en constante cambio.
Automatización proporcionada por la comunidad
- Considera la posibilidad de utilizar la automatización proporcionada por la comunidad, que aumenta el reconocimiento de patrones de amenazas y podría ahorrarte tiempo al eliminar la necesidad de herramientas automatizadas creadas a medida.
Seguir a Seguridad de Microsoft