Recomendaciones para la supervisión y detección de amenazas

  • Artículo

Se aplica a esta recomendación de lista de comprobación de seguridad de Azure Well-Architected Framework:

SE:10 Implemente una estrategia de supervisión holística que se base en mecanismos de detección de amenazas modernos que se pueden integrar con la plataforma. Los mecanismos deben alertar de forma confiable para evaluar la evaluación de prioridades y enviar señales a los procesos de SecOps existentes.

En esta guía se describen las recomendaciones para la supervisión y la detección de amenazas. La supervisión es fundamentalmente un proceso de obtención de información sobre los eventos que ya se han producido. La supervisión de la seguridad es una práctica de capturar información a diferentes alturas de la carga de trabajo (infraestructura, aplicación, operaciones) para conocer las actividades sospechosas. El objetivo es predecir incidentes y aprender de los eventos anteriores. Los datos de supervisión proporcionan la base del análisis posterior a incidentes de lo que se produjo para ayudar a la respuesta a incidentes y a las investigaciones forenses.

La supervisión es un enfoque de excelencia operativa que se aplica en todos los pilares de Well-Architected Framework. En esta guía solo se proporcionan recomendaciones desde una perspectiva de seguridad. Los conceptos generales de supervisión, como la instrumentación de código, la recopilación de datos y el análisis, están fuera del ámbito de esta guía. Para obtener información sobre los conceptos básicos de supervisión, consulte Recomendaciones para diseñar y crear un marco de observabilidad.

Definiciones

Término Definición
Registros de auditoría Un registro de actividades en un sistema.
Administración de eventos e información de seguridad (SIEM) Un enfoque que usa funcionalidades integradas de inteligencia y detección de amenazas basadas en datos agregados desde varios orígenes.
Detección de amenazas Una estrategia para detectar desviaciones de las acciones esperadas mediante el uso de datos recopilados, analizados y correlacionados.
Información sobre amenazas Una estrategia para interpretar los datos de detección de amenazas para detectar actividades sospechosas o amenazas mediante el examen de patrones.
Prevención de amenazas Controles de seguridad que se colocan en una carga de trabajo a varias alturas para proteger sus recursos.

Estrategias de diseño principales

El propósito principal de la supervisión de la seguridad es la detección de amenazas. El objetivo principal es evitar posibles infracciones de seguridad y mantener un entorno seguro. Sin embargo, es igualmente importante reconocer que no todas las amenazas se pueden bloquear de forma preventiva. En tales casos, la supervisión también sirve como mecanismo para identificar la causa de un incidente de seguridad que se ha producido a pesar de los esfuerzos de prevención.

La supervisión se puede abordar desde varias perspectivas:

  • Supervise a varias altitudes. Observar desde varias altitudes es el proceso de obtener información sobre los flujos de usuario, el acceso a los datos, la identidad, las redes e incluso el sistema operativo. Cada una de estas áreas ofrece información única que puede ayudarle a identificar las desviaciones de los comportamientos esperados que se establecen en la línea base de seguridad. Por el contrario, la supervisión continua de un sistema y las aplicaciones a lo largo del tiempo puede ayudar a establecer esa posición de línea de base. Por ejemplo, normalmente puede ver alrededor de 1000 intentos de inicio de sesión en el sistema de identidades cada hora. Si la supervisión detecta un pico de 50 000 intentos de inicio de sesión durante un breve período, es posible que un atacante intente obtener acceso al sistema.

  • Supervise en varios ámbitos de impacto. Es fundamental observar la aplicación y la plataforma. Suponga que un usuario de la aplicación obtiene accidentalmente privilegios escalados o se produce una infracción de seguridad. Si el usuario realiza acciones más allá de su ámbito designado, el impacto podría limitarse a las acciones que otros usuarios pueden realizar.

    Sin embargo, si una entidad interna pone en peligro una base de datos, la extensión del posible daño es incierta.

    Si se produce un riesgo en el lado del recurso de Azure, el impacto podría ser global, lo que afecta a todas las entidades que interactúan con el recurso.

    El radio de explosión o el ámbito de impacto podrían ser significativamente diferentes, dependiendo de cuál de estos escenarios se produzca.

  • Use herramientas de supervisión especializadas. Es fundamental invertir en herramientas especializadas que pueden buscar continuamente comportamientos anómalos que podrían indicar un ataque. La mayoría de estas herramientas tienen funcionalidades de inteligencia sobre amenazas que pueden realizar análisis predictivos en función de un gran volumen de datos y amenazas conocidas. La mayoría de las herramientas no tienen estado e incorporan un conocimiento profundo de la telemetría en un contexto de seguridad.

    Las herramientas deben estar integradas en la plataforma o, al menos, tener en cuenta la plataforma para obtener señales profundas de la plataforma y realizar predicciones con alta fidelidad. Deben poder generar alertas de forma oportuna con suficiente información para llevar a cabo una evaluación de prioridades adecuada. El uso de demasiadas herramientas diversas puede dar lugar a complejidad.

  • Use la supervisión para la respuesta a incidentes. Los datos agregados, transformados en inteligencia accionable, permiten reacciones rápidas y eficaces a los incidentes. La supervisión ayuda con las actividades posteriores a los incidentes. El objetivo es recopilar suficientes datos para analizar y comprender lo que sucedió. El proceso de supervisión captura información sobre eventos pasados para mejorar las funcionalidades reactivas y predecir posibles incidentes futuros.

En las secciones siguientes se proporcionan prácticas recomendadas que incorporan las perspectivas de supervisión anteriores.

Captura de datos para mantener un rastro de actividades

El objetivo es mantener un registro de auditoría completo de los eventos que son significativos desde una perspectiva de seguridad. El registro es la forma más común de capturar patrones de acceso. El registro debe realizarse para la aplicación y la plataforma.

En el caso de una pista de auditoría, debe establecer qué, cuándo y quién está asociado a las acciones. Debe identificar los períodos de tiempo específicos cuando se realizan acciones. Realice esta evaluación en el modelado de amenazas. Para contrarrestar una amenaza de rechazo, debe establecer sistemas de registro y auditoría sólidos que dan lugar a un registro de actividades y transacciones.

En las secciones siguientes se describen los casos de uso de algunas altitudes comunes de una carga de trabajo.

Flujos de usuario de la aplicación

La aplicación debe diseñarse para proporcionar visibilidad en tiempo de ejecución cuando se produzcan eventos. Identifique los puntos críticos dentro de la aplicación y establezca el registro de estos puntos. Por ejemplo, cuando un usuario inicia sesión en la aplicación, capture la identidad del usuario, la ubicación de origen y otra información pertinente. Es importante confirmar cualquier escalación en privilegios de usuario, las acciones realizadas por el usuario y si el usuario ha accedido a información confidencial en un almacén de datos seguro. Realice un seguimiento de las actividades del usuario y de la sesión del usuario.

Para facilitar este seguimiento, el código debe instrumentarse a través del registro estructurado. Al hacerlo, se pueden consultar y filtrar los registros de forma sencilla y uniforme.

Importante

Debe aplicar el registro responsable para mantener la confidencialidad y la integridad del sistema. Los secretos y los datos confidenciales no deben aparecer en los registros. Tenga en cuenta la pérdida de datos personales y otros requisitos de cumplimiento al capturar estos datos de registro.

Supervisión de la identidad y el acceso

Mantenga un registro exhaustivo de los patrones de acceso para la aplicación y las modificaciones en los recursos de la plataforma. Tener sólidos registros de actividad y mecanismos de detección de amenazas, especialmente para las actividades relacionadas con la identidad, ya que los atacantes a menudo intentan manipular identidades para obtener acceso no autorizado.

Implemente un registro completo mediante todos los puntos de datos disponibles. Por ejemplo, incluya la dirección IP del cliente para diferenciar entre la actividad normal del usuario y las posibles amenazas de ubicaciones inesperadas. Todos los eventos de registro deben estar registrados por el servidor.

Registre todas las actividades de acceso a recursos, capturando quién está haciendo lo que y cuándo lo están haciendo. Las instancias de escalación de privilegios son un punto de datos significativo que se debe registrar. Las acciones relacionadas con la creación o eliminación de cuentas por parte de la aplicación también se deben registrar. Esta recomendación se extiende a los secretos de aplicación. Supervise quién accede a los secretos y cuándo se rotan.

Aunque el registro de acciones correctas es importante, los errores de grabación son necesarios desde una perspectiva de seguridad. Documente cualquier infracción, como un usuario que intenta realizar una acción, pero encuentra un error de autorización, intentos de acceso para recursos inexistentes y otras acciones que parecen sospechosas.

Supervisión de redes

Mediante la supervisión de paquetes de red y sus orígenes, destinos y estructuras, se obtiene visibilidad de los patrones de acceso en el nivel de red.

El diseño de segmentación debe permitir que los puntos de observación en los límites supervisen lo que los cruza y registren esos datos. Por ejemplo, supervise las subredes que tienen grupos de seguridad de red que generan registros de flujo. Supervise también los registros de firewall que muestran los flujos permitidos o denegados.

Hay registros de acceso para las solicitudes de conexión entrantes. Estos registros registran las direcciones IP de origen que inician las solicitudes, el tipo de solicitud (GET, POST) y toda la información que forma parte de las solicitudes.

La captura de flujos DNS es un requisito importante para muchas organizaciones. Por ejemplo, los registros DNS pueden ayudar a identificar qué usuario o dispositivo inició una consulta DNS determinada. Al correlacionar la actividad DNS con registros de autenticación de usuario o dispositivo, puede realizar un seguimiento de las actividades a clientes individuales. Esta responsabilidad suele extenderse al equipo de carga de trabajo, especialmente si implementan algo que hace que las solicitudes DNS formen parte de su operación. El análisis del tráfico DNS es un aspecto clave de la observabilidad de la seguridad de la plataforma.

Es importante supervisar las solicitudes DNS inesperadas o las solicitudes DNS dirigidas a los puntos de conexión conocidos de comando y control.

Compensación: el registro de todas las actividades de red puede dar lugar a una gran cantidad de datos. Cada solicitud de la capa 3 se puede registrar en un registro de flujo, incluidas todas las transacciones que cruzan un límite de subred. Desafortunadamente, no es posible capturar solo eventos adversos porque solo se pueden identificar después de que se produzcan. Tome decisiones estratégicas sobre el tipo de eventos que se van a capturar y cuánto tiempo almacenarlos. Si no tiene cuidado, administrar los datos puede ser abrumador. También hay un equilibrio en el costo de almacenar esos datos.

Debido a los inconvenientes, debe considerar si la ventaja de la supervisión de red de la carga de trabajo es suficiente para justificar los costos. Si tiene una solución de aplicación web con un volumen de solicitudes elevado y el sistema usa ampliamente los recursos administrados de Azure, el costo puede superar las ventajas. Por otro lado, si tiene una solución diseñada para usar máquinas virtuales con varios puertos y aplicaciones, puede ser importante capturar y analizar registros de red.

Captura de cambios del sistema

Para mantener la integridad del sistema, debe tener un registro preciso y actualizado del estado del sistema. Si hay cambios, puede usar este registro para solucionar rápidamente los problemas que surjan.

Los procesos de compilación también deben emitir telemetría. Comprender el contexto de seguridad de los eventos es clave. Saber qué desencadenó el proceso de compilación, quién lo desencadenó y cuándo se desencadenó puede proporcionar información valiosa.

Realice un seguimiento de cuándo se crean los recursos y cuándo se retiran. Esta información debe extraerse de la plataforma. Esta información proporciona información valiosa para la administración de recursos y la responsabilidad.

Supervise el desfase en la configuración de recursos. Documente cualquier cambio en un recurso existente. Realice también un seguimiento de los cambios que no se completan como parte de un lanzamiento en una flota de recursos. Los registros deben capturar los detalles del cambio y la hora exacta en que se produjo.

Tener una visión completa, desde una perspectiva de aplicación de revisiones, de si el sistema está actualizado y seguro. Supervise los procesos de actualización rutinarios para comprobar que se completan según lo previsto. Un proceso de aplicación de revisiones de seguridad que no se completa debe considerarse una vulnerabilidad. También debe mantener un inventario que registre los niveles de revisión y cualquier otro detalle necesario.

La detección de cambios también se aplica al sistema operativo. Esto implica el seguimiento de si los servicios se agregan o desactivan. También incluye la supervisión de la adición de nuevos usuarios al sistema. Hay herramientas diseñadas para tener como destino un sistema operativo. Ayudan con la supervisión sin contexto en el sentido de que no tienen como destino la funcionalidad de la carga de trabajo. Por ejemplo, la supervisión de la integridad de los archivos es una herramienta crítica que permite realizar un seguimiento de los cambios en los archivos del sistema.

Debe configurar alertas para estos cambios, especialmente si no espera que se produzcan con frecuencia.

Importante

Al implementar en producción, asegúrese de que las alertas están configuradas para detectar actividades anómalas detectadas en los recursos de la aplicación y el proceso de compilación.

En los planes de prueba, incluya la validación del registro y las alertas como casos de prueba con prioridad.

Almacenar, agregar y analizar datos

Los datos recopilados de estas actividades de supervisión deben almacenarse en receptores de datos donde se puedan examinar, normalizar y correlacionar exhaustivamente. Los datos de seguridad deben conservarse fuera de los propios almacenes de datos del sistema. Los receptores de supervisión, ya sean localizados o centrales, deben sobrevivir a los orígenes de datos. Los receptores no pueden ser efímeros porque los receptores son el origen de los sistemas de detección de intrusiones.

Los registros de red pueden ser detallados y ocupar el almacenamiento. Explore diferentes niveles en los sistemas de almacenamiento. Los registros pueden pasar de forma natural al almacenamiento más frío a lo largo del tiempo. Este enfoque es beneficioso porque los registros de flujo más antiguos normalmente no se usan activamente y solo son necesarios a petición. Este método garantiza una administración de almacenamiento eficaz, al mismo tiempo que garantiza que puede acceder a los datos históricos cuando sea necesario.

Los flujos de la carga de trabajo suelen ser una composición de varios orígenes de registro. Los datos de supervisión se deben analizar de forma inteligente en todos esos orígenes. Por ejemplo, el firewall solo bloqueará el tráfico que lo alcance. Si tiene un grupo de seguridad de red que ya ha bloqueado cierto tráfico, ese tráfico no es visible para el firewall. Para reconstruir la secuencia de eventos, debe agregar datos de todos los componentes que están en flujo y, a continuación, agregar datos de todos los flujos. Estos datos son especialmente útiles en un escenario de respuesta posterior al incidente cuando se intenta comprender lo que ha ocurrido. El mantenimiento preciso del tiempo es esencial. Con fines de seguridad, todos los sistemas deben usar un origen de hora de red para que estén siempre sincronizados.

Detección centralizada de amenazas con registros correlacionados

Puede usar un sistema como la información de seguridad y la administración de eventos (SIEM) para consolidar los datos de seguridad en una ubicación central donde se puede correlacionar entre varios servicios. Estos sistemas tienen mecanismos integrados de detección de amenazas . Pueden conectarse a fuentes externas para obtener datos de inteligencia sobre amenazas. Microsoft, por ejemplo, publica datos de inteligencia sobre amenazas que puede usar. También puede comprar fuentes de inteligencia sobre amenazas de otros proveedores, como Anomali y FireEye. Estas fuentes pueden proporcionar información valiosa y mejorar su posición de seguridad. Para obtener información sobre amenazas de Microsoft, consulte Security Insider.

Un sistema SIEM puede generar alertas basadas en datos correlacionados y normalizados. Estas alertas son un recurso significativo durante un proceso de respuesta a incidentes.

Compensación: los sistemas SIEM pueden ser costosos, complejos y requieren aptitudes especializadas. Sin embargo, si no tiene una, es posible que tenga que correlacionar los datos por sí mismos. Esto puede ser un proceso lento y complejo.

Normalmente, los equipos centrales de una organización administran los sistemas SIEM. Si su organización no tiene una, considere la posibilidad de defenderla. Podría aliviar la carga del análisis manual de registros y la correlación para permitir una administración de seguridad más eficaz y eficaz.

Microsoft proporciona algunas opciones rentables. Muchos productos Microsoft Defender proporcionan la funcionalidad de alerta de un sistema SIEM, pero sin una característica de agregación de datos.

Al combinar varias herramientas más pequeñas, puede emular algunas funciones de un sistema SIEM. Sin embargo, es necesario saber que es posible que estas soluciones de cambio de tamaño no puedan realizar el análisis de correlación. Estas alternativas pueden ser útiles, pero es posible que no reemplacen completamente la funcionalidad de un sistema SIEM dedicado.

Detección de abusos

Sea proactivo sobre la detección de amenazas y esté atento a los signos de abuso, como los ataques por fuerza bruta de identidad en un componente SSH o un punto de conexión RDP. Aunque las amenazas externas pueden generar mucho ruido, especialmente si la aplicación está expuesta a Internet, las amenazas internas suelen ser una preocupación mayor. Un ataque inesperado por fuerza bruta de un origen de red de confianza o una configuración incorrecta involuntaria, por ejemplo, debe investigarse inmediatamente.

Manténgase al día con sus prácticas de protección. La supervisión no es un sustituto de la protección proactiva del entorno. Un área expuesta más grande es propensa a más ataques. Apriete los controles tanto como la práctica. Detecte y deshabilite cuentas sin usar, quite los puertos no usados y use un firewall de aplicaciones web, por ejemplo. Para obtener más información sobre las técnicas de protección, consulte Recomendaciones sobre la protección de seguridad.

La detección basada en firmas puede inspeccionar un sistema con detalle. Implica buscar signos o correlaciones entre actividades que podrían indicar un posible ataque. Un mecanismo de detección podría identificar ciertas características que son indicativos de un tipo específico de ataque. Es posible que no siempre sea posible detectar directamente el mecanismo de comando y control de un ataque. Sin embargo, a menudo hay sugerencias o patrones asociados a un proceso de comando y control determinado. Por ejemplo, un ataque podría indicarse mediante una determinada velocidad de flujo desde una perspectiva de solicitud, o bien podría tener acceso a dominios con frecuencia que tienen finales específicos.

Detecte patrones de acceso anómalos de usuario para que pueda identificar e investigar las desviaciones de los patrones esperados. Esto implica comparar el comportamiento actual del usuario con el comportamiento pasado para detectar anomalías. Aunque es posible que no sea factible realizar esta tarea manualmente, puede usar herramientas de inteligencia sobre amenazas para hacerlo. Invierta en herramientas de Análisis de comportamiento de usuarios y entidades (UEBA) que recopilan el comportamiento del usuario de los datos de supervisión y los analizan. Estas herramientas suelen realizar análisis predictivos que asignan comportamientos sospechosos a posibles tipos de ataque.

Detecte amenazas durante las fases anteriores a la implementación y posteriores a la implementación. Durante la fase de implementación previa, incorpore el examen de vulnerabilidades en las canalizaciones y realice las acciones necesarias en función de los resultados. Después de la implementación, siga realizando el examen de vulnerabilidades. Puede usar herramientas como Microsoft Defender para contenedores, que examina imágenes de contenedor. Incluya los resultados en los datos recopilados. Para obtener información sobre los procedimientos de desarrollo seguros, consulte Recomendaciones para el uso de prácticas de implementación seguras.

Aproveche las ventajas de los mecanismos y medidas de detección proporcionados por la plataforma. Por ejemplo, Azure Firewall puede analizar el tráfico y bloquear las conexiones a destinos que no son de confianza. Azure también proporciona maneras de detectar y proteger frente a ataques de denegación de servicio distribuido (DDoS).

Facilitación de Azure

Azure Monitor proporciona observabilidad en todo el entorno. Sin ninguna configuración, obtendrá automáticamente métricas de plataforma, registros de actividad y registros de diagnóstico de la mayoría de los recursos de Azure. Los registros de actividad proporcionan información detallada sobre el diagnóstico y la auditoría.

Nota

Los registros de plataforma no están disponibles indefinidamente. Debe mantenerlos para que pueda revisarlos más adelante con fines de auditoría o análisis sin conexión. Use cuentas de almacenamiento de Azure para el almacenamiento a largo plazo o archivado. En Azure Monitor, especifique un período de retención al habilitar la configuración de diagnóstico para los recursos.

Configure alertas basadas en métricas y registros predefinidos o personalizados para obtener notificaciones cuando se detecten eventos o anomalías específicos relacionados con la seguridad.

Para más información, consulte la documentación de Azure Monitor.

Microsoft Defender for Cloud proporciona funcionalidades integradas para la detección de amenazas. Funciona en los datos recopilados y analiza los registros. Dado que es consciente de los tipos de registros generados, puede usar reglas integradas para tomar decisiones informadas. Por ejemplo, comprueba las listas de direcciones IP potencialmente comprometidas y genera alertas.

Habilite los servicios de protección contra amenazas integrados para los recursos de Azure. Por ejemplo, habilite Microsoft Defender para recursos de Azure, como máquinas virtuales, bases de datos y contenedores, para detectar y proteger contra amenazas conocidas.

Defender for Cloud proporciona funcionalidades de plataforma de protección de cargas de trabajo en la nube (CWPP) para la detección de amenazas de todos los recursos de carga de trabajo.

Para más información, vea ¿Qué es Microsoft Defender for Cloud?

Las alertas generadas por Defender también pueden introducirse en sistemas SIEM. Microsoft Sentinel es la oferta nativa. Usa inteligencia artificial y aprendizaje automático para detectar y responder a amenazas de seguridad en tiempo real. Proporciona una vista centralizada de los datos de seguridad y facilita la búsqueda proactiva de amenazas y la investigación.

Para obtener más información, consulte ¿Qué es Microsoft Sentinel?

Microsoft Sentinel también puede usar fuentes de inteligencia sobre amenazas de diversos orígenes. Para más información, consulte Integración de inteligencia sobre amenazas en Microsoft Sentinel.

Microsoft Sentinel puede analizar el comportamiento del usuario a partir de los datos de supervisión. Para obtener más información, consulte Identificación de amenazas avanzadas con Análisis de comportamiento de usuarios y entidades (UEBA) en Microsoft Sentinel.

Defender y Microsoft Sentinel funcionan juntos, a pesar de que se superponen en la funcionalidad. Esta colaboración mejora su posición de seguridad general al ayudar a garantizar una detección y respuesta de amenazas integrales.

Aproveche las ventajas del Centro de continuidad empresarial de Azure para identificar brechas en su patrimonio de continuidad empresarial y defenderse contra amenazas como ataques de ransomware, actividades malintencionadas e incidentes de administrador no autorizado. Para más información, consulte ¿Qué es el Centro de continuidad empresarial de Azure?

Redes

Revise todos los registros, incluido el tráfico sin procesar, desde los dispositivos de red.

Identidad

Supervise los eventos de riesgo relacionados con la identidad en busca de identidades potencialmente en peligro y corrija esos riesgos. Revise los eventos de riesgo notificados de las siguientes maneras:

  • Use informes de Microsoft Entra ID. Para obtener más información, consulte ¿Qué es Identity Protection? y Identity Protection.

  • Use los miembros de la API de detección de riesgos de Identity Protection para obtener acceso mediante programación a las detecciones de seguridad a través de Microsoft Graph. Para obtener más información, consulte riskDetection y riskyUser.

Microsoft Entra ID usa algoritmos de aprendizaje automático adaptables, heurística y credenciales en peligro conocidas (pares de nombre de usuario y contraseña) para detectar acciones sospechosas relacionadas con las cuentas de usuario. Estos pares de nombre de usuario y contraseña se exponen supervisando la web pública y oscura y trabajando con investigadores de seguridad, aplicación de la ley, equipos de seguridad en Microsoft y otros.

Azure Pipelines

DevOps promueve la administración de cambios de las cargas de trabajo a través de la integración continua y la entrega continua (CI/CD). Asegúrese de agregar la validación de seguridad en las canalizaciones. Siga las instrucciones descritas en Protección de Azure Pipelines.

Lista de comprobación de seguridad

Consulte el conjunto completo de recomendaciones.

Lista de comprobación de seguridad