002 - El eterno problema: ¿Qué licencias debo escoger?
¡Buenas!
Siempre hay que empezar por el principio, y por eso quiero detallar paso a paso cómo será nuestro entorno de pruebas y bajo qué condiciones vamos a trabajar para crear cosas interesantes.
Microsoft no vive del aire, y por ello nos "facilita" una serie de licencias para que escojamos exactamente qué servicios queremos utilizar.
Nota: cuando digo "facilita", me refiero más bien a "dificulta".
Las licencias de Microsoft son famosas por:
- --Nombres complicados
- --Códigos imposibles
- --Servicios interminables
Y una vez te los has aprendido, Microsoft —en su buena voluntad de mantener nuestra memoria activa— decide cambiar los nombres o modificar los servicios incluidos.
Una vez asumido esto… ¡empezamos!
¿Qué necesitamos para nuestro entorno de pruebas?
Para empezar necesitamos crear un entorno lo más realista posible. De lo contrario, no tiene mucho sentido hacer ejercicios relacionados con seguridad.
En mi opinión, esto es lo mínimo indispensable:
A nivel de entorno
- --Tenant propio (suscripción propia a Microsoft Azure)
- --1 usuario víctima con sus herramientas corporativas
- --1 máquina (Windows, Windows Server, macOS o Unix) que pertenecerá a ese usuario
- --1 cuenta de administrador con los permisos necesarios
Qué queremos proteger y monitorizar
A nivel de seguridad queremos cubrir varias áreas:
- --Aplicaciones de Office: Microsoft Defender for Office 365
- --Endpoint o máquina del usuario: Microsoft Defender for Endpoint
- --Identidad del usuario: Microsoft Defender for Identity y Entra ID Protection
- --Actividad del usuario en la nube: Defender for Cloud Apps
- --Gestión de dispositivos: Intune
Servicios opcionales
Como extras, también podríamos tener:
- --Purview
- --eDiscovery Premium
- --Insider Risk
Pero para este tenant de pruebas, de momento no lo veo necesario.
Plan 1 vs Plan 2
Todavía no hemos entrado en qué planes escoger para cada servicio.
Normalmente cada servicio tiene al menos dos planes:
- --Plan 1 (P1) → funcionalidades base
- --Plan 2 (P2) → funcionalidades avanzadas
Entonces llega la pregunta importante:
¿Cuál escogemos y por qué?
Defender for Office 365
| Área | Plan 1 | Plan 2 |
|---|---|---|
| Prevención (Safe Links / Attachments) | ✅ | ✅ |
| Anti-phishing avanzado | ✅ | ✅ |
| Protección en Teams / SharePoint / OneDrive | ✅ | ✅ |
| Simulación de ataques | ❌ | ✅ |
| Investigación automática | ❌ | ✅ |
| Threat Explorer / Trackers | ❌ | ✅ |
| Threat Hunting (XDR) | ❌ | ✅ |
| Enfoque principal | Prevención | Prevención + Detección + Respuesta |
Después de ver la comparativa escogemos Plan 2.
El motivo principal es Threat Explorer, que para mí es una de las mejores herramientas que existen para analizar correos maliciosos y campañas de phishing.
Defender for Endpoint
| Área | Plan 1 | Plan 2 |
|---|---|---|
| Antivirus / Antimalware | ✅ | ✅ |
| Attack Surface Reduction | ✅ | ✅ |
| Firewall / Network protection | ✅ | ✅ |
| Acciones manuales | ✅ | ✅ |
| EDR | ❌ | ✅ |
| Investigación automática | ❌ | ✅ |
| Threat Hunting | ❌ | ✅ |
| Device discovery | ❌ | ✅ |
| Vulnerability Management | ❌ | ✅ |
| Integración XDR | ❌ | ✅ |
Después de ver la comparativa nos decantamos por el plan 2 también.
Esto nos permite tener:
- --EDR (Endpoint Detection & Response)
- --Threat Hunting
- --Integración con Microsoft XDR
- --Timeline completa del dispositivo
Defender for Identity y Entra ID Protection
| Área / Funcionalidad | Entra ID Protection P1 | Entra ID Protection P2 | Defender for Identity |
|---|---|---|---|
| Tipo de protección | Acceso (IAM) | Acceso basado en riesgo (IAM) | ITDR (detección post-breach) |
| Momento de actuación | Antes / durante login | Antes / durante login | Después del acceso |
| Identidades cloud (Entra ID) | ✅ | ✅ | ✅ (correlación) |
| Active Directory on-prem | ❌ | ❌ | ✅ |
| Detección de riesgo de inicio de sesión | ❌ | ✅ | ❌ |
| Detección de riesgo de usuario | ❌ | ✅ | ✅ (comportamiento anómalo) |
| Impossible travel | ❌ | ✅ | ❌ |
| IP anónima / TOR | ❌ | ✅ | ❌ |
| Password spray / credenciales filtradas | ❌ | ✅ | ❌ |
| Acceso Condicional basado en riesgo | ❌ | ✅ | ❌ |
| Forzar MFA Dinámicamente | ❌ | ✅ | ❌ |
| Reset automático de contraseña por riesgo | ❌ | ✅ | ❌ |
| Investigación de riesgos (reports) | ❌ | ✅ | ✅ |
| Detección de movimiento lateral | ❌ | ❌ | ✅ |
| Pass-the-hash / Pass-the-ticket | ❌ | ❌ | ✅ |
| DC Sync / Golden ticket | ❌ | ❌ | ✅ |
| Identity Security Posture (AD) | ❌ | ❌ | ✅ |
| Integración con Microsoft Defender XDR | ❌ Limitada | ❌ Parcial | ✅ Completa |
De nuevo escogemos Plan 2.
Esto nos permite tener detecciones avanzadas sobre identidades, riesgo de usuarios y capacidades de análisis que en un laboratorio de seguridad son extremadamente útiles.
El resto de servicios
Para los otros servicios que hemos mencionado no hay diferentes planes, por lo que simplemente se incluyen dentro del paquete correspondiente.
El problema: todo esto cuesta dinero
Llegados a este punto ya sabemos qué queremos y por qué.
Pero aparece el problema clásico:
Todo esto vale una pasta.
Afortunadamente Microsoft ya sabe que la mayoría no nadamos en dinero, así que ofrece paquetes de licencias que incluyen varios de estos servicios a mejor precio.
Opciones que nos pueden interesar
De todos los paquetes que ofrece Microsoft, los más interesantes para nuestro caso serían:
- --Microsoft Business Premium + Defender Suite for Business Premium
- --Microsoft E3
- --Microsoft E5
- --Microsoft E7 (disponible desde el 1 de mayo de 2026)
Diferencias principales:
Business Premium + Defender Suite
Incluye todo lo que necesitamos para nuestro laboratorio.
> ⚠️ Importante: Business Premium tiene un límite máximo de 300 usuarios. Si tu organización supera ese número, esta opción no está disponible.
E3
Una alternativa para organizaciones que superen los 300 usuarios. Incluye las herramientas de productividad de Microsoft 365 y algunas capacidades de seguridad base, aunque sin el nivel de detección avanzada del E5. No tiene límite de usuarios, pero es más cara por licencia que Business Premium.
E5
Incluye todo lo anterior más los servicios opcionales que mencionamos antes:
- --Purview
- --Insider Risk
- --eDiscovery
E7
Ya existe oficialmente y estará disponible para su compra el 1 de mayo de 2026. Incluye Microsoft 365 Copilot, Agent 365, Microsoft Entra Suite y todas las capacidades de M365 E5. Está especialmente orientado a organizaciones que quieren desplegar inteligencia artificial de forma segura y gobernada (lo que Microsoft llama "Frontier Transformation").
Precios aproximados
Microsoft Business Premium + Defender Suite for Business Premium: 25,20 € al mes
- --16.50 € / mes (sin Teams)
- --8.70 € Defender Suite
Microsoft E5: 55,20 € al mes
Microsoft E7
- --Disponible desde el 1 de mayo de 2026
- --Precio oficial: 99 $/usuario/mes
- --Incluye Microsoft 365 Copilot, Agent 365, Microsoft Entra Suite y M365 E5
- --También incluye Agent 365 (15 $/usuario/mes como producto independiente), el plano de control unificado para agentes de IA
Qué opción escoger
Aquí ya depende de cada uno.
Nosotros estamos empezando, así que vamos a escoger Microsoft Business Premium + Defender Suite.
Con esto tenemos una visibilidad muy buena y únicamente renunciamos a detecciones o capacidades que probablemente no aparecerán en un tenant de laboratorio.
De hecho, esta es la opción que recomendaría a muchas pequeñas o medianas empresas (siempre que no superen los 300 usuarios).
Para empresas medianas o grandes sin límite de usuarios… E3 o E5 según el nivel de seguridad que necesiten.
Pero un momento… aún no hemos acabado :)
Todavía nos falta pagar algo más: La suscripción de Azure.
Aquí tenemos dos opciones muy sencillas:
- --Pagas
- --Pagas luego
En la primera opción tienes 200$ de crédito durante 30 días y después pagas por el uso real:
- --Ingestión de logs
- --Automatizaciones
- --Máquinas virtuales
- --etc.
En la segunda opción empiezas pagando directamente.
Mi caso personal
No quiero daros demasiada envidia, pero al trabajar para una empresa que es partner de Microsoft, tengo acceso a un tenant de pruebas con un presupuesto mensual de 150$.
Esto me permite hacer pruebas sin preocuparme demasiado por el gasto.
De todas formas, para los ejercicios que vamos a hacer en este blog, Azure no debería suponer un coste elevado.
Hablamos de céntimos al mes, siempre y cuando no nos volvamos locos creando recursos.
Enlaces de interés y referencias:
- --Microsoft 365 Business Premium
- --Defender Suite for Business Premium
- --Microsoft 365 E3
- --Microsoft 365 E5
- --Azure
- --Nuevas capacidades y actualización de precios de Microsoft 365 (diciembre 2025)
- --Microsoft 365 E7: The Frontier Suite y Agent 365
En el próximo post empezaremos a montar nuestro entorno paso a paso.
Espero que este post os haya ayudado a entender un poco mejor qué licencias necesitamos y por qué, y que os haya dado una idea clara de cómo empezar a montar vuestro propio laboratorio de ciberseguridad en Microsoft.
¡Que vaya MUY bien!
¿No quieres perderte ningún artículo?
Suscríbete a la newsletter y recibe cada nuevo post directamente en tu bandeja de entrada.
