AlleyOps
004 - Montando el entorno: licencias, usuarios y onboarding de dispositivos
Volver al blogOnboardings

004 - Montando el entorno: licencias, usuarios y onboarding de dispositivos

Cristian//10 minutos
Enlace al vídeo

¡Vamos al lío!

Ya tenemos claro qué es Defender XDR y para qué sirve. Ahora toca ponerse a montar el entorno de verdad. En este post vamos a configurar las cuentas, comprar las licencias necesarias y hacer el onboarding de nuestra máquina víctima. Café en mano, que esto tiene chicha.

Las cuentas que vamos a usar

Antes de nada, hay que tener claro qué cuentas vamos a utilizar. En nuestro laboratorio trabajaremos con dos usuarios:

  • --SecOps → nuestra cuenta de administrador, la que lo gestiona todo
  • --Víctima → el usuario "inocente" sobre el que simularemos ataques

Para crearlas, nos vamos a Entra ID y creamos ambas cuentas:

EntraID

Nada complicado: le damos a New user, rellenamos los campos y listo.

Una vez creadas, le asignamos a la cuenta de SecOps el rol de Global Administrator. Necesitamos ese nivel de acceso para hacer el onboarding de los servicios. Más adelante ya recortaremos los permisos y le asignaremos solo los roles mínimos indispensables — buenas prácticas, que aquí no somos cowboys.

Comprando las licencias

Con las cuentas listas, toca abrir la cartera (o aprovecharnos del mes de prueba, que también vale). Accedemos al tenant con la cuenta de SecOps y nos ponemos a comprar.

Microsoft 365 Business Premium

Primero necesitamos Microsoft 365 Business Premium. Es más barata que la E3 y, como no vamos a tener más de 300 usuarios, nos sobra.

Podéis encontrarla aquí: microsoft.com/es-es/microsoft-365/business/microsoft-365-business-premium

Tenéis dos opciones: con o sin Teams. Nosotros elegimos sin Teams, sale un poco más barata y tampoco lo vamos a usar. Si no estáis seguros, podéis probarla gratis durante un mes.

Iniciamos sesión con nuestra cuenta de altos privilegios, rellenamos los datos del método de pago y le damos a Probar ahora:

CompraMSDefenderForBusinessPremium

Y si todo va bien, veremos la confirmación:

ConfirmacionCompra

Asignando la licencia a la víctima

Ahora vamos a asignar la licencia a nuestro usuario víctima. Podéis hacerlo desde el enlace que os dan tras la compra, o navegando a Centro de administración de Microsoft 365 → Inicio → Licencias → Suscripciones:

Licencias365BusinessPremium

Con la prueba gratuita nos dan el máximo de licencias: 300. Más que suficiente. Si en algún momento necesitáis más, siempre podéis escalar a las E3.

Le damos a Asignar licencias y se la asignamos al usuario Víctima:

Asignar365BP

Si habéis rellenado bien los campos al crear el usuario, todo debería ir sin problemas:

365BPAsignada

> ⚠️ Importante: el usuario debe tener una Usage Location configurada. Si no la tiene, no podréis asignarle ninguna licencia. Se establece al crear el usuario o editando sus propiedades en Entra ID.

Microsoft Defender for Business Premium

Ya tenemos M365, pero aún nos falta la suite de seguridad. Vamos a este enlace:

microsoft.com/es-es/security/small-medium-business

Y elegimos el plan que más nos convenga (en mi caso, el plan central):

PlanesDSFBP

También se puede probar gratis durante un mes. Le damos caña:

CompraLicenciasDSFBP

Seguimos los mismos pasos de antes y, si todo va bien:

ConfirmacionLicenciasDSFBP

¡Licencias asignadas! Ya vamos tomando forma.

Onboarding de la máquina víctima

Con las licencias listas, toca incorporar nuestra máquina al entorno. En nuestro caso, una máquina virtual con Windows 11 Pro.

Uniendo el dispositivo a Intune

Para no complicarnos la vida (al fin y al cabo solo es una máquina), lo hacemos de forma manual:

En la máquina virtual, vamos a Configuración → Cuentas → Obtener acceso a trabajo o escuela y hacemos clic en Conectar:

ObtenerAccesoATrabajo

Iniciamos sesión con la cuenta de la víctima y, en el campo del servidor MDM, añadimos la URL de enrollment. La podéis encontrar en Intune → Devices → Enrollment:

IntuneMDMEnrollment

La URL es: https://enrollment.manage.microsoft.com/enrollmentserver/discovery.svc

Tras completar el proceso, el dispositivo debería aparecer en Intune. Actualizamos y listo:

IntuneOnboarded

Activando Defender for Endpoint

Ahora toca enlazar Defender for Endpoint con Intune. Vamos a Intune → Endpoint Security → Microsoft Defender for Endpoint y lo activamos:

EnlazarDEAIntune

Luego, en la consola de Defender, navegamos a Settings → Endpoints. Aquí viene el primer momento de paciencia: puede tardar entre 24 y 48 horas en estar todo listo. No os alarméis si la sección de Endpoints no aparece de inmediato en la barra lateral, es normal. En mi caso apareció al día siguiente.

Una vez disponible, desde la home podemos hacer clic en Onboard devices:

OnboardDevices

También podéis acceder desde Settings → Endpoints → Onboard (al final de la barra lateral). Esto abre el panel de onboarding:

MDEOnboard

Como solo vamos a onboardear un dispositivo, la opción más sencilla es descargar el onboarding package: un .zip que enviamos a la máquina virtual, descomprimimos y ejecutamos con permisos de administrador:

EjecucionScript

Una vez terminado, la máquina aparecerá en el inventario de dispositivos:

DeviceInventory

Et voilà. Dispositivo onboardeado en Intune y Defender for Endpoint. 🎉

Instalando Microsoft Office en la máquina víctima

Para rematar la faena, instalamos la suite de Office en la máquina víctima para que el entorno sea lo más realista posible.

Desde la máquina virtual, vamos a portal.office.com, iniciamos sesión con la cuenta de la víctima y descargamos todas las aplicaciones:

DescargaOffice

Gestión de suscripciones y licencias

Por último, un apunte útil: para tener controladas todas las licencias podéis ir a admin.cloud.microsoft con vuestra cuenta de altos privilegios y navegar a Home → Products:

ViewLicencias

Ahí veréis qué licencias tenéis, cuántas están asignadas y cuándo vence el ciclo de facturación. En mi caso, al estar en el período de prueba, aparece que caducan el mes que viene. Sin problema, las renovaremos — esta vez pagando, que hay que ser serios.

¿Qué viene ahora?

Ya tenemos el entorno montado. En los siguientes posts nos dedicaremos a explorar y configurar cada herramienta de MS Defender XDR:

  • --Microsoft Defender for Endpoint
  • --Microsoft Defender for Identity
  • --Microsoft Defender for Office 365
  • --Microsoft Defender for Cloud Apps
  • --Microsoft Defender Alerts
  • --Microsoft Defender Vulnerability Management
  • --Microsoft Purview Data Loss Prevention
  • --Microsoft Entra ID Protection
  • --Microsoft Threat Intelligence

Queda mucho por delante, ¡pero lo peor (o lo más aburrido) ya está hecho!

Si tenéis cualquier duda, no dudéis en contactar conmigo a través del botón de correo que tenéis arriba a la derecha.

¡Que vaya MUY bien!

¿No quieres perderte ningún artículo?

Suscríbete a la newsletter y recibe cada nuevo post directamente en tu bandeja de entrada.

Suscribirse

¿Quieres más?

005 - Permisos en Azure: RBAC, PIM, Managed Identities y Service Principals
Cloud

005 - Permisos en Azure: RBAC, PIM, Managed Identities y Service Principals

Antes de ponernos a detectar ataques, hay que tener el castillo bien cerrado. En este post te explico cómo funciona el sistema de permisos de Azure de arriba abajo: jerarquía de recursos, roles RBAC, PIM y las identidades para aplicaciones.

Cristian/
20 minutos
003 - Microsoft Defender XDR: ¿Qué es y para qué sirve?
Cloud

003 - Microsoft Defender XDR: ¿Qué es y para qué sirve?

Antes de ponernos a trastear con el entorno, conviene entender qué es Microsoft Defender XDR, cómo encaja todo y por qué es el centro de operaciones de seguridad en el ecosistema Microsoft.

Cristian/
6 minutos
002 - El eterno problema: ¿Qué licencias debo escoger?
Cloud

002 - El eterno problema: ¿Qué licencias debo escoger?

Antes de empezar a montar nuestro laboratorio de ciberseguridad en Microsoft, necesitamos resolver una de las grandes dudas: qué licencias escoger y por qué.

Cristian/
7 minutos