003 - Microsoft Defender XDR: ¿Qué es y para qué sirve?

¡Buenas de nuevo!

En los posts anteriores montamos las bases de nuestro entorno: licencias, tenant, usuarios… Pero antes de empezar a hacer cosas interesantes, necesito que tengamos claro qué es Microsoft Defender XDR y cómo encajan todas las piezas.

Porque sí, hay mucho producto con el nombre "Defender" por ahí suelto, y es fácil perderse.

El problema de los silos

Imagina que tienes cinco cámaras de seguridad en tu casa, pero cada una tiene su propia app, su propia pantalla y su propio sistema de alertas. Si pasa algo, tienes que mirar cinco sitios distintos para entender qué ha pasado.

Eso es exactamente lo que ocurría antes en los entornos corporativos: cada producto de seguridad vivía en su propio mundo, con sus propias alertas, su propia consola y sus propios datos.

Microsoft Defender XDR es la respuesta a ese problema.

¿Qué significa XDR?

XDR son las siglas de Extended Detection and Response.

• --Extended → cubre múltiples dominios: endpoints, identidades, correo, aplicaciones en la nube…
• --Detection → detecta amenazas correlacionando señales de todos esos dominios
• --Response → permite responder a los incidentes desde un único lugar

La idea es sencilla: ver más, investigar más rápido y responder desde un único punto de control.

¿Qué productos forman parte de Defender XDR?

Aquí es donde muchos se pierden. Defender XDR no es un producto independiente, es una plataforma que integra varios productos de Microsoft:

Cada uno de estos productos alimenta a Defender XDR con señales. Y Defender XDR las correlaciona todas para darte una visión unificada.

¿Cómo funciona por dentro?

El flujo es más o menos así:

• --Cada producto detecta algo → genera una alerta
• --Defender XDR correlaciona las alertas → las agrupa en un incidente
• --El analista investiga el incidente → tiene todo el contexto en un solo sitio
• --Se toma acción → desde la misma consola, sin saltar entre herramientas

Por ejemplo: si un usuario recibe un phishing por correo, hace clic, se ejecuta un malware en su equipo y ese malware intenta moverse lateralmente… todo eso aparece como un único incidente correlacionado, con la línea de tiempo completa.

Sin XDR, eso serían tres alertas independientes en tres consolas distintas. Con XDR, es una sola historia que se entiende de un vistazo.

El centro de operaciones: security.microsoft.com

Todo esto se gestiona desde Microsoft Defender XDR Portal, accesible en:

security.microsoft.com

Desde ahí tienes acceso a:

• --Incidentes y alertas → la vista principal del SOC
• --Threat Hunting → búsqueda proactiva con KQL (Advanced Hunting)
• --Secure Score → puntuación de seguridad de tu organización
• --Attack Simulation → simulaciones de phishing y ataques
• --Threat Intelligence → información sobre actores y campañas activas
• --Configuración de cada producto → todo desde un único portal

¿Y Microsoft Sentinel?

Buena pregunta. Es normal confundirse entre Defender XDR y Microsoft Sentinel.

La diferencia principal es:

• --Defender XDR → productos nativos de Microsoft, correlación automática, respuesta integrada
• --Microsoft Sentinel → SIEM/SOAR, ingiere logs de cualquier fuente (también de terceros), más flexible pero requiere más configuración

En la práctica, se usan juntos. Sentinel recibe los incidentes de Defender XDR y añade capacidades adicionales de correlación, automatización y retención de logs a largo plazo.

En nuestro laboratorio, de momento nos centraremos en Defender XDR. Sentinel vendrá más adelante.

Resumen rápido

• --Defender XDR es una plataforma de seguridad unificada que integra múltiples productos de Microsoft
• --Correlaciona señales de endpoints, identidades, correo y nube en incidentes únicos
• --Se gestiona todo desde security.microsoft.com
• --Complementa (no sustituye) a Microsoft Sentinel

En el próximo post empezamos a configurar el entorno paso a paso: onboarding de dispositivos, usuarios y primeras políticas.

¡Nos vemos!