Definiciones integradas de Azure Policy para Microsoft Defender for Cloud
Esta página es un índice de las definiciones de directivas integradas de Azure Policy relacionadas con Microsoft Defender for Cloud. Están disponibles las siguientes agrupaciones de definiciones de directivas:
- En el grupo iniciativas se muestran las definiciones de iniciativas de Azure Policy en la categoría "Defender for Cloud".
- En el grupo iniciativa predeterminada se muestran todas las definiciones de Azure Policy que forman parte de la iniciativa predeterminada de Defender for Cloud, Azure Security Benchmark. Este punto de referencia ampliamente respetado creado por Microsoft está basado en los controles del Centro de seguridad de Internet (CIS) y del National Institute of Standards and Technology (NIST) y hace hincapié en la seguridad centrada en la nube.
- En el grupo categoría se muestran todas las definiciones de Azure Policy en la categoría "Defender for Cloud".
Para más información acerca de las directivas de seguridad, consulte Uso de directivas de seguridad. Puede encontrar elementos integrados adicionales de Azure Policy para otros servicios en Definiciones de elementos integrados de Azure Policy.
El nombre de cada definición de directiva integrada se vincula a la definición de directiva en Azure Portal. Use el vínculo de la columna Versión para ver el origen en el repositorio de GitHub de Azure Policy.
Iniciativas de Microsoft Defender for Cloud
Para obtener información sobre las iniciativas integradas que Defender for Cloud supervisa, vea la tabla siguiente:
| Nombre | Descripción | Directivas | Versión |
|---|---|---|---|
| [Versión preliminar]: [Versión preliminar]: Configuración de máquinas virtuales y habilitadas para Arc para crear la canalización de Microsoft Defender for Cloud predeterminada | Configure las máquinas para instalar automáticamente los agentes de seguridad de Azure y Azure Monitor. Microsoft Defender for Cloud recopila eventos de los agentes y los usa para proporcionar alertas de seguridad y tareas de protección personalizadas (recomendaciones). Cree un grupo de recursos y un área de trabajo de Log Analytics en la misma región que la máquina para almacenar los registros de auditoría. Las máquinas de destino deben estar en una ubicación admitida. | 13 | 1.0.0-preview |
| [Versión preliminar]: [Versión preliminar]: Configuración de máquinas virtuales y habilitadas para Arc para crear la canalización de Microsoft Defender for Cloud definida por el usuario | Configure las máquinas para instalar automáticamente los agentes de seguridad de Azure y Azure Monitor. Microsoft Defender for Cloud recopila eventos de los agentes y los usa para proporcionar alertas de seguridad y tareas de protección personalizadas (recomendaciones). Use el área de trabajo de Log Analytics proporcionada por el usuario para almacenar los registros de auditoría. Crea un grupo de recursos y una regla de recopilación de datos en la misma región que el área de trabajo de Log Analytics proporcionada por el usuario. Las máquinas de destino deben estar en una ubicación admitida. | 13 | 1.0.0-preview |
| [Versión preliminar]: [Versión preliminar]: implementación del agente de Microsoft Defender para punto de conexión | Implemente el agente de Microsoft Defender para punto de conexión en las imágenes aplicables. | 4 | 1.0.0-preview |
| Azure Security Benchmark | La iniciativa de Azure Security Benchmark representa las directivas y los controles que implementan las recomendaciones de seguridad definidas en la versión 2 de Azure Security Benchmark; consulte https://aka.ms/azsecbm. También sirve como iniciativa de directivas predeterminada de Azure Security Center. Desde Azure Security Center se puede asignar esta iniciativa o administrar sus directivas y resultados de cumplimiento directamente. | 204 | 50.0.0 |
| Configuración de la Protección contra amenazas avanzada para habilitarla en bases de datos relacionales de código abierto | Habilite la Protección contra amenazas avanzada en las bases de datos relacionales de código abierto y de nivel no básico para detectar actividades anómalas que indiquen intentos inusuales o potencialmente dañinos para acceder a bases de datos o aprovechar sus vulnerabilidades. Vea https://aka.ms/AzDforOpenSourceDBsDocu. | 3 | 1.0.0 |
| Configuración de Azure Defender para que esté habilitado en servidores de SQL Server y SQL Managed Instance | Habilite Azure Defender en los servidores de SQL Server y SQL Managed Instance para detectar actividades anómalas que indiquen intentos inusuales y potencialmente peligrosos de acceder a las bases de datos o de aprovechar sus vulnerabilidades. | 2 | 2.0.0 |
Iniciativa predeterminada de Defender for Cloud (Azure Security Benchmark)
Para obtener información sobre las directivas integradas que Defender for Cloud supervisa, vea la tabla siguiente:
| Nombre de la directiva (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| [Vista previa]: Todo el tráfico de Internet debe enrutarse mediante la instancia de Azure Firewall implementada | Azure Security Center ha identificado que algunas de las subredes no están protegidas con un firewall de próxima generación. Proteja las subredes frente a posibles amenazas mediante la restricción del acceso a ellas con Azure Firewall o un firewall de próxima generación compatible. | AuditIfNotExists, Disabled | 3.0.0-preview |
| [Versión preliminar]: Los clústeres de Kubernetes con Azure Arc habilitado deben tener instalada la extensión de Microsoft Defender for Cloud | La extensión Microsoft Defender for Cloud para Azure Arc proporciona protección contra amenazas para los clústeres de Kubernetes habilitados para Arc. La extensión recopila datos de todos los nodos del clúster y los envía al back-end de Azure Defender para Kubernetes en la nube para su posterior análisis. Puede encontrar más información en https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc. | AuditIfNotExists, Disabled | 5.0.1 (versión preliminar) |
| [Versión preliminar]: Los clústeres de Kubernetes habilitados para Azure Arc deben tener instalada la extensión de Azure Policy | La extensión Azure Policy para Azure Arc proporciona medidas de seguridad y cumplimiento a escala en los clústeres de Kubernetes habilitados para Arc de forma centralizada y coherente. Obtenga más información en https://aka.ms/akspolicydoc. | AuditIfNotExists, Disabled | 1.0.0-preview |
| [Versión preliminar]: Azure Key Vault debe deshabilitar el acceso a la red pública | Deshabilite el acceso de red público para el almacén de claves de modo que no sea accesible mediante la red pública de Internet. Esto puede reducir los riesgos de pérdida de datos. Más información en: https://aka.ms/akvprivatelink. | Audit, Deny, Disabled | 2.0.0-preview |
| [Versión preliminar]: los clústeres de Azure Kubernetes Service deben tener habilitado el perfil de Azure Defender | Microsoft Defender para Contenedores proporciona funcionalidades de seguridad de Kubernetes nativas de la nube, como protección del entorno, protección de cargas de trabajo y protección en tiempo de ejecución. Al habilitar SecurityProfile.AzureDefender en el clúster de Azure Kubernetes Service, se implementa un agente en el clúster para recopilar datos de eventos de seguridad. Más información sobre Microsoft Defender para registros de contenedor en https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-introduction?tabs=defender-for-container-arch-aks | Audit, Disabled | 1.0.2-preview |
| [Versión preliminar]: los certificados deben tener el período de validez máximo especificado | Administre los requisitos de cumplimiento de su organización. Para ello, especifique la cantidad máxima de tiempo que un certificado puede ser válido en el almacén de claves. | audit, Audit, deny, Deny, disabled, Disabled | 2.2.0-preview |
| [Versión preliminar]: la extensión de atestación de invitados debe estar instalada en las máquinas virtuales Linux admitidas | Instale la extensión de atestación de invitados en máquinas virtuales Linux compatibles para permitir que Azure Security Center atestigüe y supervise proactivamente la integridad del arranque. Una vez instalada, la integridad del arranque se atestiguará mediante la atestación remota. Esta evaluación solo se aplica a las máquinas virtuales Linux habilitadas para el inicio de confianza. | AuditIfNotExists, Disabled | 5.0.0-preview |
| [Versión preliminar]: la extensión de atestación de invitados debe estar instalada en los conjuntos de escalado de máquinas virtuales Linux admitidos | Instale la extensión de atestación de invitados en conjuntos de escalado de máquinas virtuales Linux compatibles para permitir que Azure Security Center atestigüe y supervise proactivamente la integridad del arranque. Una vez instalada, la integridad del arranque se atestiguará mediante la atestación remota. Esta evaluación solo se aplica a los conjuntos de escalado de máquinas virtuales Linux habilitados para el inicio seguro. | AuditIfNotExists, Disabled | 4.0.0-preview |
| [Versión preliminar]: la extensión de atestación de invitados debe estar instalada en las máquinas virtuales Windows admitidas | Instale la extensión de atestación de invitados en máquinas virtuales compatibles para permitir que Azure Security Center atestigüe y supervise proactivamente la integridad del arranque. Una vez instalada, la integridad del arranque se atestiguará mediante la atestación remota. Esta evaluación solo se aplica a las máquinas virtuales habilitadas para el inicio seguro. | AuditIfNotExists, Disabled | 3.0.0-preview |
| [Versión preliminar]: la extensión de atestación de invitados debe estar instalada en los conjuntos de escalado de máquinas virtuales Windows admitidos | Instale la extensión de atestación de invitados en conjuntos de escalado de máquinas virtuales compatibles para permitir que Azure Security Center atestigüe y supervise proactivamente la integridad del arranque. Una vez instalada, la integridad del arranque se atestiguará mediante la atestación remota. Esta evaluación solo se aplica a los conjuntos de escalado de máquinas virtuales habilitados para el inicio seguro. | AuditIfNotExists, Disabled | 2.0.0-preview |
| [Versión preliminar] Los clústeres de Kubernetes deben validar la implementación de imágenes vulnerables | Proteja los clústeres de Kubernetes y las cargas de trabajo de contenedor frente a posibles amenazas mediante la restricción de la implementación de imágenes de contenedor con componentes de software vulnerables. Use Azure Defender análisis de CI/CD (https://aka.ms/AzureDefenderCICDscanning) y Azure Defender para registros de contenedor (https://aka.ms/AzureDefenderForContainerRegistries) para identificar y aplicar revisiones a las vulnerabilidades antes de la implementación. Requisito previo de evaluación: complemento de directiva y Azure Defender perfil. Solo se aplica a los clientes de versión preliminar privada. | Audit, Deny, Disabled | 1.0.3-versión preliminar |
| [Vista previa]: La extensión de Log Analytics debe estar instalada en las máquinas Linux de Azure Arc | Esta directiva audita las máquinas Linux de Azure Arc si la extensión de Log Analytics no está instalada. | AuditIfNotExists, Disabled | 1.0.1-preview |
| [Vista previa]: La extensión de Log Analytics debe estar instalada en las máquinas Windows de Azure Arc | Esta directiva audita las máquinas Windows de Azure Arc si la extensión de Log Analytics no está instalada. | AuditIfNotExists, Disabled | 1.0.1-preview |
| [Versión preliminar]: el agente de recopilación de datos de tráfico de red debe instalarse en máquinas virtuales Linux | Security Center usa Microsoft Dependency Agent para recopilar datos del tráfico de red de sus máquinas virtuales de Azure y así poder habilitar características avanzadas de protección de red, como la visualización del tráfico en el mapa de red, las recomendaciones de refuerzo de la red y las amenazas de red específicas. | AuditIfNotExists, Disabled | 1.0.2-preview |
| [Versión preliminar]: el agente de recopilación de datos de tráfico de red debe instalarse en las máquinas virtuales Windows | Security Center usa Microsoft Dependency Agent para recopilar datos del tráfico de red de sus máquinas virtuales de Azure y así poder habilitar características avanzadas de protección de red, como la visualización del tráfico en el mapa de red, las recomendaciones de refuerzo de la red y las amenazas de red específicas. | AuditIfNotExists, Disabled | 1.0.2-preview |
| [Versión preliminar]: el punto de conexión privado debe estar configurado para Key Vault | Private Link proporciona una manera de conectar Key Vault a los recursos de Azure sin enviar tráfico a través de la red pública de Internet. Un vínculo privado proporciona varios niveles de protección contra la filtración de datos. | Audit, Deny, Disabled | 1.1.0-preview |
| [Versión preliminar]: el arranque seguro debe estar habilitado en las máquinas virtuales Windows admitidas | La habilitación del arranque seguro en máquinas virtuales Windows admitidas ayuda a mitigar los cambios malintencionados y no autorizados en la cadena de arranque. Una vez habilitado, solo se permitirá la ejecución de cargadores de arranque de confianza, del kernel y de controladores de kernel. Esta evaluación solo se aplica a las máquinas virtuales Windows habilitadas para el inicio de confianza. | Audit, Disabled | 3.0.0-preview |
| [Versión preliminar]: No se debe permitir el acceso público a la cuenta de almacenamiento | El acceso de lectura público anónimo a contenedores y blobs de Azure Storage es una manera cómoda de compartir datos, pero también puede plantear riesgos para la seguridad. Para evitar las infracciones de datos producidas por el acceso anónimo no deseado, Microsoft recomienda impedir el acceso público a una cuenta de almacenamiento a menos que su escenario lo requiera. | audit, Audit, deny, Deny, disabled, Disabled | 3.1.0: versión preliminar |
| [Versión preliminar]: vTPM debe estar habilitado en las máquinas virtuales admitidas | Habilite el dispositivo TPM virtual en máquinas virtuales compatibles para facilitar el arranque medido y otras características de seguridad del sistema operativo que requieren un TPM. Una vez habilitado, vTPM se puede usar para atestiguar la integridad del arranque. Esta evaluación solo se aplica a las máquinas virtuales habilitadas para el inicio seguro. | Audit, Disabled | 2.0.0-preview |
| Debe designar un máximo de tres propietarios para la suscripción | Se recomienda que designe a un máximo de tres propietarios de suscripción para reducir el riesgo de una brecha de seguridad por parte de un propietario en peligro. | AuditIfNotExists, Disabled | 3.0.0 |
| Debe habilitarse una solución de evaluación de vulnerabilidades en sus máquinas virtuales | Audita las máquinas virtuales para detectar si ejecutan una solución de evaluación de vulnerabilidades admitida. Un componente fundamental de cada programa de seguridad y riesgo cibernético es la identificación y el análisis de las vulnerabilidades. El plan de tarifa estándar de Azure Security Center incluye el análisis de vulnerabilidades de las máquinas virtuales sin costo adicional. Además, Security Center puede implementar automáticamente esta herramienta. | AuditIfNotExists, Disabled | 3.0.0 |
| Los controles de aplicaciones adaptables para definir aplicaciones seguras deben estar habilitados en las máquinas | Habilite controles de aplicaciones para definir la lista de aplicaciones seguras conocidas que se ejecutan en las máquinas, y recibir avisos cuando se ejecuten otras aplicaciones. Esta directiva también ayuda a proteger las máquinas frente al malware. Para simplificar el proceso de configuración y mantenimiento de las reglas, Security Center usa el aprendizaje automático para analizar las aplicaciones que se ejecutan en cada máquina y sugerir la lista de aplicaciones seguras conocidas. | AuditIfNotExists, Disabled | 3.0.0 |
| Las recomendaciones de protección de red adaptable se deben aplicar en las máquinas virtuales accesibles desde Internet | Azure Security Center analiza los patrones de tráfico de máquinas virtuales orientadas a Internet y proporciona recomendaciones de reglas de grupo de seguridad de red que reducen la superficie de ataque potencial. | AuditIfNotExists, Disabled | 3.0.0 |
| Todos los puertos de red deben estar restringidos en los grupos de seguridad de red asociados a la máquina virtual | Azure Security Center identificó que algunas de las reglas de entrada de sus grupos de seguridad de red son demasiado permisivas. Las reglas de entrada no deben permitir el acceso desde los intervalos "Cualquiera" o "Internet". Esto podría permitir a los atacantes acceder a sus recursos. | AuditIfNotExists, Disabled | 3.0.0 |
| Se deben actualizar las reglas de la lista de permitidos de la directiva de controles de aplicaciones adaptables | Supervise los cambios en el comportamiento de los grupos de máquinas configurados para la auditoría mediante controles de aplicaciones adaptables de Azure Security Center. Security Center usa el aprendizaje automático para analizar los procesos en ejecución en las máquinas y sugerir una lista de aplicaciones seguras conocidas. Estas se presentan como aplicaciones recomendadas que se deben permitir en directivas de control de aplicaciones adaptables. | AuditIfNotExists, Disabled | 3.0.0 |
| El administrador de Azure Active Directory debe aprovisionarse para servidores SQL Server | Permite aprovisionar un administrador de Azure Active Directory para SQL Server a fin de habilitar la autenticación de Azure AD. La autenticación de Azure AD permite la administración simplificada de permisos y la administración centralizada de identidades de usuarios de base de datos y otros servicios de Microsoft | AuditIfNotExists, Disabled | 1.0.0 |
| Los servicios de API Management deben usar una red virtual | La implementación de Azure Virtual Network ofrece una seguridad y aislamiento mejorados, y permite colocar el servicio de API Management en una red enrutable sin conexión a Internet cuyo acceso puede controlar. Estas redes se pueden conectar a las redes locales mediante diversas tecnologías de VPN, lo que permite el acceso a los servicios de back-end dentro de la red o de forma local. El portal para desarrolladores y la puerta de enlace de API pueden configurarse para que sea accesible desde Internet o solo dentro de la red virtual. | Audit, Disabled | 1.0.1 |
| App Configuration debe usar Private Link | Azure Private Link permite conectar la red virtual a servicios de Azure sin una dirección IP pública en el origen o el destino. La plataforma Private Link administra la conectividad entre el consumidor y los servicios a través de la red troncal de Azure. Mediante la asignación de puntos de conexión privados a las instancias de App Configuration en lugar de a todo el servicio, además se protege frente a riesgos de pérdida de datos. Más información en: https://aka.ms/appconfig/private-endpoint. | AuditIfNotExists, Disabled | 1.0.2 |
| Las aplicaciones de App Service solo deben ser accesibles a través de HTTPS | El uso de HTTPS garantiza la autenticación del servicio y el servidor, y protege los datos en tránsito frente a ataques de intercepción de nivel de red. | Audit, Disabled | 2.0.0 |
| Auditar el uso de reglas de RBAC personalizadas | Permite auditar roles integrados, como "propietario, colaborador, lector" en lugar de roles RBAC personalizados, que son propensos a errores de auditoría. El uso de roles personalizados se trata como una excepción y requiere una revisión rigurosa y el modelado de amenazas. | Audit, Disabled | 1.0.0 |
| La auditoría de SQL Server debe estar habilitada | La auditoría debe estar habilitada en SQL Server para realizar un seguimiento de las actividades de todas las bases de datos del servidor y guardarlas en un registro de auditoría. | AuditIfNotExists, Disabled | 2.0.0 |
| La autenticación en máquinas Linux debe requerir claves SSH. | Aunque el propio SSH proporciona una conexión cifrada, el uso de contraseñas con SSH deja la máquina virtual vulnerable a ataques por fuerza bruta. La opción más segura para autenticarse en una máquina virtual Linux de Azure mediante SSH es con un par de claves pública y privada, también conocido como claves SSH. Más información: https://docs.microsoft.com/azure/virtual-machines/linux/create-ssh-keys-detailed. | AuditIfNotExists, Disabled | 3.0.0 |
| Los intervalos IP autorizados deben definirse en los servicios de Kubernetes | Restrinja el acceso a la API de administración de servicios de Kubernetes mediante la concesión de acceso de API solo a direcciones IP en intervalos específicos. Se recomienda limitar el acceso a los intervalos IP autorizados para garantizar que solo las aplicaciones de las redes permitidas puedan acceder al clúster. | Audit, Disabled | 2.0.1 |
| El aprovisionamiento automático del agente de Log Analytics debe estar habilitado en la suscripción | A fin de supervisar las amenazas y vulnerabilidades de seguridad, Azure Security Center recopila datos de las máquinas virtuales de Azure. El agente de Log Analytics, anteriormente conocido como Microsoft Monitoring Agent (MMA), recopila los datos al leer distintas configuraciones relacionadas con la seguridad y distintos registros de eventos de la máquina y copiar los datos en el área de trabajo de Log Analytics para analizarlos. Se recomienda habilitar el aprovisionamiento automático para implementar automáticamente el agente en todas las máquinas virtuales de Azure admitidas y en las nuevas que se creen. | AuditIfNotExists, Disabled | 1.0.1 |
| Las variables de cuenta de Automation deben cifrarse | Es importante habilitar el cifrado de recursos de variables de cuentas de Automation al almacenar datos confidenciales. | Audit, Deny, Disabled | 1.1.0 |
| Azure Backup debe estar habilitado para Virtual Machines. | Asegúrese que Azure Virtual Machines está protegido; para ello, habilite Azure Backup. Azure Backup es una solución de protección de datos segura y rentable para Azure. | AuditIfNotExists, Disabled | 3.0.0 |
| Azure Cache for Redis debe usar Private Link | Los puntos de conexión privados le permiten conectar la red virtual a los servicios de Azure sin una dirección IP pública en el origen o el destino. Al asignar puntos de conexión privados a las instancias de Azure Cache for Redis, se reduce el riesgo de pérdida de datos. Más información en: https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link. | AuditIfNotExists, Disabled | 1.0.0 |
| Las cuentas de Azure Cosmos DB deben tener reglas de firewall. | Se deben definir reglas de firewall en las cuentas de Azure Cosmos DB para evitar el tráfico desde orígenes no autorizados. Las cuentas que tienen al menos una regla de IP definida con el filtro de red virtual habilitado se consideran compatibles. Las cuentas que deshabilitan el acceso público también se consideran compatibles. | Audit, Deny, Disabled | 2.0.0 |
| Las cuentas de Azure Cosmos DB deben usar claves administradas por el cliente para cifrar los datos en reposo | Use claves administradas por el cliente para administrar el cifrado en reposo de la instancia de Azure Cosmos DB. De manera predeterminada, los datos se cifran en reposo con claves administradas por el servicio, pero las claves administradas por el cliente suelen ser necesarias para cumplir estándares de cumplimiento normativo. Las claves administradas por el cliente permiten cifrar los datos con una clave de Azure Key Vault creada por el usuario y propiedad de este. Tiene control y responsabilidad totales del ciclo de vida de la clave, incluidos la rotación y administración. Obtenga más información en https://aka.ms/cosmosdb-cmk. | audit, Audit, deny, Deny, disabled, Disabled | 1.1.0 |
| Azure DDoS Protection Standard debe estar habilitado | El estándar de protección DDoS debe estar habilitado en todas las redes virtuales que tengan una subred que forme parte de una instancia de Application Gateway con una dirección IP pública. | AuditIfNotExists, Disabled | 3.0.0 |
| Se debe habilitar Azure Defender para App Service | Azure Defender para App Service aprovecha la escalabilidad de la nube, y la visibilidad que ofrece Azure como proveedor de servicios en la nube, para supervisar si se producen ataques comunes a aplicaciones web. | AuditIfNotExists, Disabled | 1.0.3 |
| Se debe habilitar Azure Defender para servidores de Azure SQL Database | Azure Defender para SQL proporciona funcionalidad para mostrar y mitigar posibles vulnerabilidades de base de datos, detectar actividades anómalas que podrían indicar amenazas para bases de datos SQL, y detectar y clasificar datos confidenciales. | AuditIfNotExists, Disabled | 1.0.2 |
| Se debe habilitar Azure Defender para DNS | Azure Defender para DNS proporciona una capa adicional de protección para los recursos en la nube mediante la supervisión continua de todas las consultas de DNS de los recursos de Azure. Azure Defender alerta sobre las actividades sospechosas en la capa de DNS. Obtenga más información sobre las funcionalidades de Azure Defender para DNS en https://aka.ms/defender-for-dns. La habilitación de este plan de Azure Defender conlleva cargos. Obtenga información sobre los detalles de los precios por región en la página de precios de Security Center: https://aka.ms/pricing-security-center. | AuditIfNotExists, Disabled | 1.0.0 |
| Se debe habilitar Azure Defender para Key Vault | Azure Defender para Key Vault proporciona un nivel de protección adicional de inteligencia de seguridad, ya que detecta intentos inusuales y potencialmente dañinos de obtener acceso a las cuentas de Key Vault o aprovechar sus vulnerabilidades de seguridad. | AuditIfNotExists, Disabled | 1.0.3 |
| Se debe habilitar Azure Defender para bases de datos relacionales de código abierto. | Azure Defender para bases de datos relacionales de código abierto detecta actividades anómalas que indican intentos poco habituales y posiblemente dañinos de acceder a sus bases de datos o de aprovechar sus vulnerabilidades. Obtenga más información sobre las funcionalidades de Azure Defender para bases de datos relacionales de código abierto en https://aka.ms/AzDforOpenSourceDBsDocu. Importante: La habilitación de este plan dará lugar a cargos por la protección de las bases de datos relacionales de código abierto. Obtenga información sobre los precios en la página de precios de Security Center: https://aka.ms/pricing-security-center. | AuditIfNotExists, Disabled | 1.0.0 |
| Se debe habilitar Azure Defender para Resource Manager | Azure Defender para Resource Manager supervisa automáticamente las operaciones de administración de recursos de la organización. Azure Defender detecta amenazas y alerta sobre actividades sospechosas. Obtenga más información sobre las funcionalidades de Azure Defender para Resource Manager en https://aka.ms/defender-for-resource-manager. La habilitación de este plan de Azure Defender conlleva cargos. Obtenga información sobre los detalles de los precios por región en la página de precios de Security Center: https://aka.ms/pricing-security-center. | AuditIfNotExists, Disabled | 1.0.0 |
| Se debe habilitar Azure Defender para servidores | Azure Defender para servidores proporciona protección en tiempo real contra amenazas para las cargas de trabajo del servidor y genera recomendaciones de protección, así como alertas sobre la actividad sospechosa. | AuditIfNotExists, Disabled | 1.0.3 |
| Se debe habilitar Azure Defender para servidores SQL Server en las máquinas | Azure Defender para SQL proporciona funcionalidad para mostrar y mitigar posibles vulnerabilidades de base de datos, detectar actividades anómalas que podrían indicar amenazas para bases de datos SQL, y detectar y clasificar datos confidenciales. | AuditIfNotExists, Disabled | 1.0.2 |
| Se debe habilitar Azure Defender para SQL en las instancias de Azure SQL Server desprotegidas | Auditoría de los servidores de SQL sin Advanced Data Security | AuditIfNotExists, Disabled | 2.0.1 |
| Azure Defender para SQL debe habilitarse en las instancias de SQL Managed Instances desprotegidas | Permite auditr cada servicio SQL Managed Instance sin Advanced Data Security. | AuditIfNotExists, Disabled | 1.0.2 |
| Se debe habilitar Azure Defender para Storage | Azure Defender para Storage detecta intentos inusuales y potencialmente perjudiciales de acceder a las cuentas de almacenamiento o de vulnerarlas. | AuditIfNotExists, Disabled | 1.0.3 |
| Los dominios de Azure Event Grid deben usar Private Link | Azure Private Link permite conectar la red virtual a servicios de Azure sin una dirección IP pública en el origen o el destino. La plataforma Private Link administra la conectividad entre el consumidor y los servicios a través de la red troncal de Azure. Mediante la asignación de puntos de conexión privados al dominio de Event Grid en lugar de a todo el servicio, también estará protegido frente a riesgos de pérdida de datos. Más información en: https://aka.ms/privateendpoints. | Audit, Disabled | 1.0.2 |
| Los temas de Azure Event Grid deben usar Private Link | Azure Private Link permite conectar la red virtual a servicios de Azure sin una dirección IP pública en el origen o el destino. La plataforma Private Link administra la conectividad entre el consumidor y los servicios a través de la red troncal de Azure. Mediante la asignación de puntos de conexión privados al tema de Event Grid en lugar de a todo el servicio, estará además protegido frente a riesgos de pérdida de datos. Más información en: https://aka.ms/privateendpoints. | Audit, Disabled | 1.0.2 |
| Las áreas de trabajo de Azure Machine Learning deben cifrarse con una clave administrada por el cliente. | Administre el cifrado en reposo de los datos del área de trabajo de Azure Machine Learning con claves administradas por el cliente. De manera predeterminada, los datos del cliente se cifran con claves administradas por el servicio, pero las claves administradas por el cliente suelen ser necesarias para cumplir estándares de cumplimiento normativo. Las claves administradas por el cliente permiten cifrar los datos con una clave de Azure Key Vault creada por el usuario y propiedad de este. Tiene control y responsabilidad totales del ciclo de vida de la clave, incluidos la rotación y administración. Obtenga más información en https://aka.ms/azureml-workspaces-cmk. | Audit, Deny, Disabled | 1.0.3 |
| Las áreas de trabajo de Azure Machine Learning deben usar un vínculo privado. | Azure Private Link permite conectar la red virtual a servicios de Azure sin una dirección IP pública en el origen o el destino. La plataforma Private Link administra la conectividad entre el consumidor y los servicios a través de la red troncal de Azure. Mediante la asignación de puntos de conexión privados a áreas de trabajo de Azure Machine Learning, se reducen los riesgos de pérdida de datos. Más información sobre los vínculos privados en https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link. | Audit, Deny, Disabled | 1.1.0 |
| El complemento Azure Policy para Kubernetes Service (AKS) debería estar instalado y habilitado en sus clústeres | El complemento Azure Policy para Kubernetes Service (AKS) amplía Gatekeeper v3, un webhook del controlador de admisión de Open Policy Agent (OPA), para aplicar imposiciones y medidas de seguridad a escala en los clústeres de forma centralizada y coherente. | Audit, Disabled | 1.0.2 |
| Azure SignalR Service debe usar Private Link | Azure Private Link permite conectar la red virtual a servicios de Azure sin una dirección IP pública en el origen o el destino. La plataforma Private Link administra la conectividad entre el consumidor y los servicios a través de la red troncal de Azure. Mediante la asignación de puntos de conexión privados a su recurso de Azure SignalR Service en lugar todo el servicio, reducirá los riesgos de pérdida de datos. Más información sobre los vínculos privados en https://aka.ms/asrs/privatelink. | Audit, Disabled | 1.0.0 |
| Azure Spring Cloud debe usar la inserción de red | Las instancias de Azure Spring Cloud deberían utilizar la inserción de red virtual con los fines siguientes: 1. Aislar Azure Spring Cloud de Internet. 2. Permitir que Azure Spring Cloud interactúe con sistemas en centros de datos locales o con el servicio de Azure en otras redes virtuales. 3. Permite a los clientes controlar las comunicaciones de red entrantes y salientes para Azure Spring Cloud. | Audit, Disabled, Deny | 1.1.0 |
| Azure Web Application Firewall debe estar habilitado para los puntos de entrada de Azure Front Door | Implemente Azure Web Application Firewall (WAF) delante de las aplicaciones web de acceso público para una inspección adicional del tráfico entrante. Web Application Firewall (WAF) ofrece una protección centralizada de las aplicaciones web frente a vulnerabilidades de seguridad comunes, como la inyección de SQL, el scripting entre sitios y las ejecuciones de archivos locales y remotas. También permite restringir el acceso a las aplicaciones web por países, intervalos de direcciones IP y otros parámetros http(s) por medio de reglas personalizadas. | Audit, Deny, Disabled | 1.0.2 |
| Las cuentas de Cognitive Services deben deshabilitar el acceso a la red pública | Al deshabilitar el acceso a la red pública, se mejora la seguridad, ya que la cuenta de Cognitive Services no se expone en la red pública de Internet. La creación de puntos de conexión privados puede limitar la exposición de la cuenta de Cognitive Services. Más información en: https://go.microsoft.com/fwlink/?linkid=2129800. | Audit, Deny, Disabled | 2.0.0 |
| Las cuentas de Cognitive Services deben habilitar el cifrado de datos con una clave administrada por el cliente. | Las claves administradas por el cliente suelen ser necesarias para cumplir estándares de cumplimiento normativo. Las claves administradas por el cliente permiten cifrar los datos almacenados en Cognitive Services con una clave de Azure Key Vault creada por el usuario y propiedad de este. Tiene control y responsabilidad totales del ciclo de vida de la clave, incluidos la rotación y administración. Para más información sobre las claves administradas por el cliente, consulte https://go.microsoft.com/fwlink/?linkid=2121321. | Audit, Deny, Disabled | 2.0.0 |
| Las cuentas de Cognitive Services deben restringir el acceso a la red | Se debe restringir el acceso de red a las cuentas de Cognitive Services. Configure reglas de red, de forma que solo las aplicaciones de redes permitidas pueden acceder a la cuenta de Cognitive Services. Para permitir conexiones desde clientes específicos locales o de Internet, se puede conceder acceso al tráfico procedente de redes virtuales de Azure específicas o a intervalos de direcciones IP de Internet públicas. | Audit, Deny, Disabled | 2.0.0 |
| Los registros de contenedor deben cifrarse con una clave administrada por el cliente | Use claves administradas por el cliente para administrar el cifrado en reposo del contenido de los registros. De manera predeterminada, los datos se cifran en reposo con claves administradas por el servicio, pero las claves administradas por el cliente suelen ser necesarias para cumplir estándares de cumplimiento normativo. Las claves administradas por el cliente permiten cifrar los datos con una clave de Azure Key Vault creada por el usuario y propiedad de este. Tiene control y responsabilidad totales del ciclo de vida de la clave, incluidos la rotación y administración. Obtenga más información en https://aka.ms/acr/CMK. | Audit, Deny, Disabled | 1.1.2 |
| Las instancias de Container Registry no deben permitir el acceso de red sin restricciones | De manera predeterminada, las instancias de Azure Container Registry aceptan conexiones a través de Internet de hosts de cualquier red. Para protegerlas frente a posibles amenazas, permita el acceso solo desde direcciones IP públicas específicas o intervalos de direcciones. Si el registro no tiene una regla de IP/firewall o una red virtual configurada, aparece en los recursos incorrectos. Obtenga más información sobre las reglas de red de Container Registry aquí: https://aka.ms/acr/portal/public-network y aquí https://aka.ms/acr/vnet. | Audit, Deny, Disabled | 1.1.0 |
| Las instancias de Container Registry deben usar Private Link | Azure Private Link permite conectar la red virtual a servicios de Azure sin una dirección IP pública en el origen o el destino. La plataforma Private Link controla la conectividad entre el consumidor y los servicios a través de la red troncal de Azure. Al asignar puntos de conexión privados a las instancias de Container Registry en lugar de a todo el servicio, además se protege frente a riesgos de pérdida de datos. Más información en: https://aka.ms/acr/private-link. | Audit, Disabled | 1.0.1 |
| Las imágenes del registro de contenedor deben tener resueltas las conclusiones de vulnerabilidades. | La evaluación de vulnerabilidades de la imagen de contenedor examina el registro en busca de vulnerabilidades de seguridad y expone los resultados detallados en cada imagen. La resolución de las vulnerabilidades puede mejorar considerablemente la posición de seguridad de los contenedores y protegerlos frente a ataques. | AuditIfNotExists, Disabled | 2.0.1 |
| CORS no debe permitir que todos los recursos accedan a la aplicación de API | El uso compartido de recursos entre orígenes (CORS) no debe permitir que todos los dominios accedan a la aplicación de API. Permita la interacción con API solo de los dominios requeridos. | AuditIfNotExists, Disabled | 1.0.0 |
| CORS no debe permitir que todos los recursos obtengan acceso a las aplicaciones de funciones | El uso compartido de recursos entre orígenes (CORS) no debe permitir que todos los dominios accedan a la aplicación de funciones. Permita la interacción con la aplicación de funciones solo de los dominios requeridos. | AuditIfNotExists, Disabled | 1.0.0 |
| Recomendación de que CORS no permita que todos los recursos accedan a las aplicaciones web | El uso compartido de recursos entre orígenes (CORS) no debe permitir que todos los dominios accedan a la aplicación web. Permita la interacción con la aplicación web solo de los dominios requeridos. | AuditIfNotExists, Disabled | 1.0.0 |
| Las cuentas de la base de datos Cosmos DB deben tener deshabilitados los métodos de autenticación local | La deshabilitación de los métodos de autenticación local mejora la seguridad, ya que garantiza que las cuentas de base de datos de Cosmos DB exijan exclusivamente identidades de Azure Active Directory para la autenticación. Más información en: https://docs.microsoft.com/azure/cosmos-db/how-to-setup-rbac#disable-local-auth. | Audit, Deny, Disabled | 1.0.0 |
| Las cuentas en desuso deben quitarse de la suscripción | Convendría eliminar las cuentas en desuso de las suscripciones. Las cuentas en desuso son cuentas en las que se ha bloqueado el inicio de sesión. | AuditIfNotExists, Disabled | 3.0.0 |
| Las cuentas en desuso con permisos de propietario deben quitarse de la suscripción | Quitar de la suscripción las cuentas en desuso con permisos de propietario Las cuentas en desuso son cuentas en las que se ha bloqueado el inicio de sesión. | AuditIfNotExists, Disabled | 3.0.0 |
| La opción para enviar notificaciones por correo electrónico para alertas de gravedad alta debe estar habilitada. | Para asegurarse de que las personas pertinentes de la organización reciban una notificación cuando se produzca una vulneración de seguridad potencial en una de las suscripciones, habilite las notificaciones por correo electrónico de alertas de gravedad alta en Security Center. | AuditIfNotExists, Disabled | 1.0.1 |
| La opción para enviar notificaciones por correo electrónico al propietario de la suscripción en relación a alertas de gravedad alta debe estar habilitada. | Para asegurarse de que los propietarios de suscripciones reciban una notificación cuando se produzca una vulneración de seguridad potencial en sus suscripciones, establezca notificaciones por correo electrónico a los propietarios de las suscripciones de alertas de gravedad alta en Security Center. | AuditIfNotExists, Disabled | 2.0.0 |
| Los problemas de estado de protección de puntos de conexión se deben resolver en las máquinas | Resuelva los problemas del estado de la protección de los puntos de conexión en las máquinas virtuales para protegerlas frente a amenazas y vulnerabilidades más recientes. Las soluciones de protección de puntos de conexión que admite Azure Security Center se documentan aquí: https://docs.microsoft.com/azure/security-center/security-center-services?tabs=features-windows#supported-endpoint-protection-solutions. La valoración de la protección del punto de conexión se documenta aquí: https://docs.microsoft.com/azure/security-center/security-center-endpoint-protection. | AuditIfNotExists, Disabled | 1.0.0 |
| La protección de los puntos de conexión debe instalarse en las máquinas | Para proteger las máquinas frente a amenazas y vulnerabilidades, instale una solución Endpoint Protection compatible. | AuditIfNotExists, Disabled | 1.0.0 |
| La solución de protección del punto de conexión debe instalarse en las máquinas virtuales | Audite la existencia y el estado de una solución de protección de puntos de conexión en los conjuntos de escalado de máquinas virtuales para protegerlos frente a amenazas y vulnerabilidades. | AuditIfNotExists, Disabled | 3.0.0 |
| Exigir una conexión SSL debe estar habilitado en los servidores de bases de datos MySQL | Azure Database for MySQL permite conectar el servidor de Azure Database for MySQL con aplicaciones cliente mediante Capa de sockets seguros (SSL). La aplicación de conexiones SSL entre el servidor de bases de datos y las aplicaciones cliente facilita la protección frente a ataques de tipo "Man in the middle" al cifrar el flujo de datos entre el servidor y la aplicación. Esta configuración exige que SSL esté siempre habilitado para el acceso al servidor de bases de datos. | Audit, Disabled | 1.0.1 |
| La aplicación de la conexión SSL debe estar habilitada para los servidores de base de datos PostgreSQL | Azure Database for PostgreSQL permite conectar el servidor de Azure Database for PostgreSQL a las aplicaciones cliente mediante la Capa de sockets seguros (SSL). La aplicación de conexiones SSL entre el servidor de bases de datos y las aplicaciones cliente facilita la protección frente a ataques de tipo "Man in the middle" al cifrar el flujo de datos entre el servidor y la aplicación. Esta configuración exige que SSL esté siempre habilitado para el acceso al servidor de bases de datos. | Audit, Disabled | 1.0.1 |
| Asegúrese de que la aplicación de API tenga la opción "Client Certificates (Incoming client certificates)" activada | Los certificados de cliente permiten que la aplicación solicite un certificado para las solicitudes entrantes. Solo los clientes que tienen un certificado válido podrán acceder a la aplicación. | Audit, Disabled | 1.0.0 |
| Asegurarse de que la "Versión de Java" es la más reciente, si se usa como parte de la aplicación de API | A causa de errores de seguridad o para incluir funcionalidades, se publican de forma periódica versiones más recientes de Java. Para las aplicaciones de API, se recomienda usar la versión más reciente de Python con el fin de aprovechar las correcciones de seguridad, de haberlas, o las nuevas funcionalidades de la versión más reciente. Actualmente, esta directiva solo se aplica a las aplicaciones web de Linux. | AuditIfNotExists, Disabled | 2.0.0 |
| Asegúrese de que la versión de Java sea la más reciente, si se usa como parte de la aplicación de funciones | A causa de errores de seguridad o para incluir funcionalidades, se publican de forma periódica versiones más recientes del software de Java. Para las aplicaciones de funciones, se recomienda usar la versión más reciente de Java con el fin de aprovechar las correcciones de seguridad, de haberlas, o las nuevas funcionalidades de la versión más reciente. Actualmente, esta directiva solo se aplica a las aplicaciones web de Linux. | AuditIfNotExists, Disabled | 2.0.0 |
| Asegúrese de que la "Versión de Java" es la más reciente, si se usa como parte de la aplicación web | A causa de errores de seguridad o para incluir funcionalidades, se publican de forma periódica versiones más recientes del software de Java. Para las aplicaciones web, se recomienda usar la versión más reciente de Java con el fin de aprovechar las correcciones de seguridad, de haberlas, o las nuevas funcionalidades de la versión más reciente. Actualmente, esta directiva solo se aplica a las aplicaciones web de Linux. | AuditIfNotExists, Disabled | 2.0.0 |
| Asegurarse de que la "Versión de PHP" es la más reciente, si se usa como parte de la aplicación de API | A causa de errores de seguridad o para incluir funcionalidades, se publican de forma periódica versiones más recientes del software de PHP. Para las aplicaciones de API, se recomienda usar la versión más reciente de PHP con el fin de aprovechar las correcciones de seguridad, de haberlas, o las nuevas funcionalidades de la versión más reciente. Actualmente, esta directiva solo se aplica a las aplicaciones web de Linux. | AuditIfNotExists, Disabled | 2.1.0 |
| Asegúrese de que la "Versión de PHP" es la más reciente, si se usa como parte de la aplicación web | A causa de errores de seguridad o para incluir funcionalidades, se publican de forma periódica versiones más recientes del software de PHP. Para las aplicaciones web, se recomienda usar la versión más reciente de PHP con el fin de aprovechar las correcciones de seguridad, de haberlas, o las nuevas funcionalidades de la versión más reciente. Actualmente, esta directiva solo se aplica a las aplicaciones web de Linux. | AuditIfNotExists, Disabled | 2.2.0 |
| Asegurarse de que la "Versión de Python" es la más reciente, si se usa como parte de la aplicación de API | A causa de errores de seguridad o para incluir funcionalidades, se publican de forma periódica versiones más recientes del software de Python. Para las aplicaciones de API, se recomienda usar la versión más reciente de Python con el fin de aprovechar las correcciones de seguridad, de haberlas, o las nuevas funcionalidades de la versión más reciente. Actualmente, esta directiva solo se aplica a las aplicaciones web de Linux. | AuditIfNotExists, Disabled | 3.0.0 |
| Asegúrese de que la "Versión de Python" es la más reciente, si se usa como parte de la aplicación de funciones | A causa de errores de seguridad o para incluir funcionalidades, se publican de forma periódica versiones más recientes del software de Python. Para las aplicaciones de funciones, se recomienda usar la versión más reciente de Python con el fin de aprovechar las correcciones de seguridad, de haberlas, o las nuevas funcionalidades de la versión más reciente. Actualmente, esta directiva solo se aplica a las aplicaciones web de Linux. | AuditIfNotExists, Disabled | 3.0.0 |
| Asegúrese de que la "Versión de Python" es la más reciente, si se usa como parte de la aplicación web | A causa de errores de seguridad o para incluir funcionalidades, se publican de forma periódica versiones más recientes del software de Python. Para las aplicaciones web, se recomienda usar la versión más reciente de Python con el fin de aprovechar las correcciones de seguridad, de haberlas, o las nuevas funcionalidades de la versión más reciente. Actualmente, esta directiva solo se aplica a las aplicaciones web de Linux. | AuditIfNotExists, Disabled | 3.0.0 |
| Asegúrese de que la aplicación web tenga la opción "Client Certificates (Incoming client certificates)" activada | Los certificados de cliente permiten que la aplicación solicite un certificado para las solicitudes entrantes. Solo los clientes que tienen un certificado válido podrán acceder a la aplicación. | Audit, Disabled | 1.0.0 |
| Las cuentas externas con permisos de propietario deben quitarse de la suscripción | Las cuentas externas con permisos de propietario deben quitarse de la suscripción a fin de evitar el acceso no supervisado. | AuditIfNotExists, Disabled | 3.0.0 |
| Las cuentas externas con permisos de lectura deben quitarse de la suscripción | Las cuentas externas con privilegios de lectura deben quitarse de la suscripción a fin de evitar el acceso no supervisado. | AuditIfNotExists, Disabled | 3.0.0 |
| Las cuentas externas con permisos de escritura deben quitarse de la suscripción | Las cuentas externas con privilegios de escritura deben quitarse de la suscripción a fin de evitar el acceso no supervisado. | AuditIfNotExists, Disabled | 3.0.0 |
| Es necesario exigir FTPS en la aplicación de API | Habilite el cumplimiento con FTPS para mejorar la seguridad. | AuditIfNotExists, Disabled | 2.0.0 |
| Es necesario exigir FTPS en la aplicación de funciones | Habilite el cumplimiento con FTPS para mejorar la seguridad. | AuditIfNotExists, Disabled | 2.0.0 |
| Es necesario exigir FTPS en la aplicación web | Habilite el cumplimiento con FTPS para mejorar la seguridad. | AuditIfNotExists, Disabled | 2.0.0 |
| Las aplicaciones de funciones deben tener la opción "Certificados de cliente (certificados de cliente entrantes)" habilitada | Los certificados de cliente permiten que la aplicación solicite un certificado para las solicitudes entrantes. Solo los clientes con certificados válidos pueden acceder a la aplicación. | Audit, Disabled | 1.0.1 |
| Las aplicaciones de funciones solo deberían ser accesibles a través de HTTPS | El uso de HTTPS garantiza la autenticación del servicio y el servidor, y protege los datos en tránsito frente a ataques de intercepción de nivel de red. | Audit, Disabled | 2.0.0 |
| La copia de seguridad con redundancia geográfica debe estar habilitada para Azure Database for MariaDB | Azure Database for MariaDB le permite elegir la opción de redundancia para el servidor de bases de datos. Se puede establecer en un almacenamiento de copia de seguridad con redundancia geográfica donde los datos no solo se almacenan dentro de la región en la que se hospeda el servidor, sino que también se replican en una región emparejada para proporcionar la opción de recuperación en caso de que se produzca un error en la región. La configuración de almacenamiento con redundancia geográfica para copia de seguridad solo se permite durante la creación del servidor. | Audit, Disabled | 1.0.1 |
| La copia de seguridad con redundancia geográfica debe estar habilitada para Azure Database for MySQL | Azure Database for MySQL le permite elegir la opción de redundancia para el servidor de bases de datos. Se puede establecer en un almacenamiento de copia de seguridad con redundancia geográfica donde los datos no solo se almacenan dentro de la región en la que se hospeda el servidor, sino que también se replican en una región emparejada para proporcionar la opción de recuperación en caso de que se produzca un error en la región. La configuración de almacenamiento con redundancia geográfica para copia de seguridad solo se permite durante la creación del servidor. | Audit, Disabled | 1.0.1 |
| La copia de seguridad con redundancia geográfica debe estar habilitada para Azure Database for PostgreSQL | Azure Database for PostgreSQL le permite elegir la opción de redundancia para el servidor de bases de datos. Se puede establecer en un almacenamiento de copia de seguridad con redundancia geográfica donde los datos no solo se almacenan dentro de la región en la que se hospeda el servidor, sino que también se replican en una región emparejada para proporcionar la opción de recuperación en caso de que se produzca un error en la región. La configuración de almacenamiento con redundancia geográfica para copia de seguridad solo se permite durante la creación del servidor. | Audit, Disabled | 1.0.1 |
| La extensión "Configuración de invitado" debe estar instalada en las máquinas. | Para garantizar la seguridad de la configuración de invitado, instale la extensión "Configuración de invitado". La configuración de invitado supervisada en la extensión engloba la configuración del sistema operativo, la configuración o presencia de las aplicaciones y la configuración del entorno. Una vez instaladas, las directivas de invitado estarán disponibles como "La protección contra vulnerabilidades de Windows debe estar habilitada.". Obtenga más información en https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 1.0.2 |
| Las máquinas virtuales accesibles desde Internet deben estar protegidas con grupos de seguridad de red | Proteja sus máquinas virtuales de posibles amenazas limitando el acceso a ellas con grupos de seguridad de red (NSG). Más información sobre cómo controlar el tráfico con los grupos de seguridad de red en https://aka.ms/nsg-doc. | AuditIfNotExists, Disabled | 3.0.0 |
| El reenvío de IP en la máquina virtual debe estar deshabilitado | Habilitar el reenvío de IP en la NIC de la máquina virtual permite que la máquina reciba tráfico dirigido a otros destinos. El reenvío de IP rara vez es necesario (por ejemplo, cuando se usa la máquina virtual como una aplicación virtual de red) y, por lo tanto, el equipo de seguridad de red debe revisarlo. | AuditIfNotExists, Disabled | 3.0.0 |
| Las claves de Key Vault deben tener una fecha de expiración | Las claves criptográficas deben tener una fecha de expiración definida y no ser permanentes. Las claves que no expiran proporcionan a los posibles atacantes más tiempo para hacerse con ellas. Por ello, se recomienda como práctica de seguridad establecer fechas de expiración en las claves criptográficas. | Audit, Deny, Disabled | 1.0.2 |
| Los secretos de Key Vault deben tener una fecha de expiración | Los secretos deben tener una fecha de expiración definida y no ser permanentes. Los secretos que no expiran proporcionan a un posible atacante más tiempo para ponerlos en peligro. Por ello, se recomienda como práctica de seguridad establecer fechas de expiración en los secretos. | Audit, Deny, Disabled | 1.0.2 |
| Los almacenes de claves deben tener habilitada la protección contra operaciones de purga | La eliminación malintencionada de un almacén de claves puede provocar una pérdida de datos permanente. Un usuario malintencionado de la organización puede eliminar y purgar los almacenes de claves. La protección contra purgas le protege frente a ataques internos mediante la aplicación de un período de retención obligatorio para almacenes de claves eliminados temporalmente. Ningún usuario de su organización o Microsoft podrá purgar los almacenes de claves durante el período de retención de eliminación temporal. | Audit, Deny, Disabled | 2.0.0 |
| Los almacenes de claves deben tener habilitada la eliminación temporal | Si se elimina un almacén de claves que no tenga habilitada la eliminación temporal, se eliminarán permanentemente todos los secretos, claves y certificados almacenados en ese almacén de claves. La eliminación accidental de un almacén de claves puede provocar una pérdida de datos permanente. La eliminación temporal permite recuperar un almacén de claves eliminado accidentalmente durante un período de retención configurable. | Audit, Deny, Disabled | 2.0.0 |
| Asegurarse de que los límites de los recursos de memoria y CPU del contenedor no superan los límites especificados en el clúster de Kubernetes | Aplique límites de recursos de CPU y memoria de contenedor en un clúster de Kubernetes para evitar los ataques de agotamiento de recursos. Esta directiva está disponible con carácter general para Kubernetes Service (AKS) y en versión preliminar para el motor de AKS y Kubernetes con Azure Arc habilitado. Para obtener más información, vea https://aka.ms/kubepolicydoc. | audit, Audit, deny, Deny, disabled, Disabled | 7.2.0 |
| Los contenedores del clúster de Kubernetes no deben compartir el identificador de proceso del host ni el espacio de nombres IPC del host | No permita que los contenedores de pods compartan el espacio de nombres de id. de proceso de host ni el espacio de nombres de IPC de host en un clúster de Kubernetes. Esta recomendación forma parte de las versiones 5.2.2 y 5.2.3 de CIS, diseñadas para mejorar la seguridad de los entornos de Kubernetes. Esta directiva está disponible con carácter general para Kubernetes Service (AKS) y en versión preliminar para el motor de AKS y Kubernetes con Azure Arc habilitado. Para obtener más información, vea https://aka.ms/kubepolicydoc. | audit, Audit, deny, Deny, disabled, Disabled | 3.2.0 |
| Los contenedores de clúster de Kubernetes solo deben usar perfiles de AppArmor permitidos | Los contenedores solo deben usar perfiles de AppArmor permitidos en un clúster de Kubernetes. Esta recomendación forma parte de las directivas de seguridad de los pods, diseñadas para mejorar la seguridad de los entornos de Kubernetes. Esta directiva está disponible con carácter general para Kubernetes Service (AKS) y en versión preliminar para el motor de AKS y Kubernetes con Azure Arc habilitado. Para obtener más información, vea https://aka.ms/kubepolicydoc. | audit, Audit, deny, Deny, disabled, Disabled | 4.2.0 |
| Los contenedores de clúster de Kubernetes solo deben usar funcionalidades permitidas | Restrinja las funcionalidades para reducir la superficie de contenedores expuesta a ataques en un clúster de Kubernetes. Esta recomendación forma parte de las versiones 5.2.8 y 5.2.9 de CIS, diseñadas para mejorar la seguridad de los entornos de Kubernetes. Esta directiva está disponible con carácter general para Kubernetes Service (AKS) y en versión preliminar para el motor de AKS y Kubernetes con Azure Arc habilitado. Para obtener más información, vea https://aka.ms/kubepolicydoc. | audit, Audit, deny, Deny, disabled, Disabled | 4.2.0 |
| Asegurarse de que solo se admiten las imágenes de contenedor permitidas en el clúster de Kubernetes | Use imágenes de registros de confianza para reducir el riesgo de exposición del clúster de Kubernetes a vulnerabilidades desconocidas, problemas de seguridad e imágenes malintencionadas. Esta directiva está disponible con carácter general para Kubernetes Service (AKS) y en versión preliminar para el motor de AKS y Kubernetes con Azure Arc habilitado. Para obtener más información, vea https://aka.ms/kubepolicydoc. | audit, Audit, deny, Deny, disabled, Disabled | 7.1.0 |
| Los contenedores del clúster de Kubernetes deben ejecutarse con un sistema de archivos raíz de solo lectura | Ejecute contenedores con un sistema de archivos raíz de solo lectura para protegerlos de los cambios en tiempo de ejecución con la incorporación de archivos binarios malintencionados a la ruta de acceso en un clúster de Kubernetes. Esta directiva está disponible con carácter general para Kubernetes Service (AKS) y en versión preliminar para el motor de AKS y Kubernetes con Azure Arc habilitado. Para obtener más información, vea https://aka.ms/kubepolicydoc. | audit, Audit, deny, Deny, disabled, Disabled | 4.2.0 |
| Los volúmenes hostPath del pod del clúster de Kubernetes solo deben usar rutas de host permitidas | Limite los montajes de volumen hostPath del pod a las rutas de acceso de host permitidas en un clúster de Kubernetes. Esta recomendación forma parte de las directivas de seguridad de los pods, diseñadas para mejorar la seguridad de los entornos de Kubernetes. Esta directiva está disponible con carácter general para Kubernetes Service (AKS) y en versión preliminar para el motor de AKS y Kubernetes con Azure Arc habilitado. Para obtener más información, vea https://aka.ms/kubepolicydoc. | audit, Audit, deny, Deny, disabled, Disabled | 5.0.0 |
| Los contenedores y pods de clúster de Kubernetes solo deben ejecutarse con identificadores de usuario y grupo aprobados | Controle los id. de usuario, grupo principal, grupo adicional y grupo de sistema de archivos que los pods y los contenedores pueden usar para ejecutarse en un clúster de Kubernetes. Esta recomendación forma parte de las directivas de seguridad de los pods, diseñadas para mejorar la seguridad de los entornos de Kubernetes. Esta directiva está disponible con carácter general para Kubernetes Service (AKS) y en versión preliminar para el motor de AKS y Kubernetes con Azure Arc habilitado. Para obtener más información, vea https://aka.ms/kubepolicydoc. | audit, Audit, deny, Deny, disabled, Disabled | 5.0.0 |
| Los pods del clúster de Kubernetes solo pueden usar redes de host e intervalos de puerto permitidos | Restringe el acceso de los pods a la red del host y el intervalo de puertos de host permitidos en un clúster de Kubernetes. Esta recomendación forma parte de la versión 5.2.4 de CIS, diseñada para mejorar la seguridad de los entornos de Kubernetes. Esta directiva está disponible con carácter general para Kubernetes Service (AKS) y en versión preliminar para el motor de AKS y Kubernetes con Azure Arc habilitado. Para obtener más información, vea https://aka.ms/kubepolicydoc. | audit, Audit, deny, Deny, disabled, Disabled | 4.2.0 |
| Los servicios de clúster de Kubernetes solo deben escuchar en los puertos permitidos | Restrinja los servicios para que escuchen solo en puertos permitidos para proteger el acceso al clúster de Kubernetes. Esta directiva está disponible con carácter general para Kubernetes Service (AKS) y en versión preliminar para el motor de AKS y Kubernetes con Azure Arc habilitado. Para obtener más información, vea https://aka.ms/kubepolicydoc. | audit, Audit, deny, Deny, disabled, Disabled | 6.2.0 |
| No permitir contenedores con privilegios en el clúster de Kubernetes | No permita la creación de contenedores con privilegios en un clúster de Kubernetes. Esta recomendación forma parte de la versión 5.2.1 de CIS, diseñada para mejorar la seguridad de los entornos de Kubernetes. Esta directiva está disponible con carácter general para Kubernetes Service (AKS) y en versión preliminar para el motor de AKS y Kubernetes con Azure Arc habilitado. Para obtener más información, vea https://aka.ms/kubepolicydoc. | audit, Audit, deny, Deny, disabled, Disabled | 7.2.0 |
| Los clústeres de Kubernetes solo deben ser accesibles mediante HTTPS | El uso de HTTPS garantiza la autenticación y protege los datos en tránsito frente a ataques de intercepción de nivel de red. Esta funcionalidad está disponible actualmente con carácter general para Kubernetes Service (AKS) y en versión preliminar para el motor de AKS y Kubernetes con Azure Arc habilitado. Para más información, visite https://aka.ms/kubepolicydoc | audit, Audit, deny, Deny, disabled, Disabled | 6.1.0 |
| Los clústeres de Kubernetes deben deshabilitar las credenciales de la API de montaje automático | Deshabilite las credenciales de la API de montaje automático para evitar que un recurso de pod de riesgo ejecute comandos de la API en clústeres de Kubernetes. Para más información, consulte https://aka.ms/kubepolicydoc. | audit, Audit, deny, Deny, disabled, Disabled | 2.1.0 |
| Los clústeres de Kubernetes no deben permitir la elevación de privilegios del contenedor | No permita que los contenedores se ejecuten con elevación de privilegios en la raíz en un clúster de Kubernetes. Esta recomendación forma parte de la versión 5.2.5 de CIS, diseñada para mejorar la seguridad de los entornos de Kubernetes. Esta directiva está disponible con carácter general para Kubernetes Service (AKS) y en versión preliminar para el motor de AKS y Kubernetes con Azure Arc habilitado. Para obtener más información, vea https://aka.ms/kubepolicydoc. | audit, Audit, deny, Deny, disabled, Disabled | 4.2.0 |
| Los clústeres de Kubernetes no deben conceder funcionalidades de seguridad CAP_SYS_ADMIN. | Para reducir la superficie expuesta a ataques de sus contenedores, restrinja las funcionalidades CAP_SYS_ADMIN de Linux. Para más información, consulte https://aka.ms/kubepolicydoc. | audit, Audit, deny, Deny, disabled, Disabled | 3.3.0 |
| Los clústeres de Kubernetes no deben usar el espacio de nombres predeterminado | Evite el uso del espacio de nombres predeterminado en los clústeres de Kubernetes para proteger del acceso no autorizado a los tipos de recurso ConfigMap, Pod, Secret, Service y ServiceAccount. Para más información, consulte https://aka.ms/kubepolicydoc. | audit, Audit, deny, Deny, disabled, Disabled | 3.0.0 |
| Debe usarse la versión más reciente de TLS en la aplicación de API | Actualiza a la versión más reciente de TLS. | AuditIfNotExists, Disabled | 1.0.0 |
| Debe usarse la versión más reciente de TLS en la aplicación de funciones | Actualiza a la versión más reciente de TLS. | AuditIfNotExists, Disabled | 1.0.0 |
| Debe usarse la versión más reciente de TLS en la aplicación web | Actualiza a la versión más reciente de TLS. | AuditIfNotExists, Disabled | 1.0.0 |
| Las máquinas Linux deben tener la extensión de Log Analytics instalada en Azure Arc | Las máquinas no son compatibles si la extensión de Log Analytics no está instalada en el servidor Linux habilitado para Azure Arc. | AuditIfNotExists, Disabled | 1.1.0 |
| Las máquinas Linux deben cumplir los requisitos de la base de referencia de seguridad de procesos de Azure | Requiere que los requisitos previos se implementen en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. Las máquinas no son compatibles si la máquina no está configurada correctamente para una de las recomendaciones de la base de referencia de seguridad de procesos de Azure. | AuditIfNotExists, Disabled | 2.0.0 |
| El agente de Log Analytics debe instalarse en la máquina virtual para la supervisión de Azure Security Center. | Esta directiva audita cualquier máquina virtual Windows o Linux si el agente de Log Analytics no está instalado y Security Center la utiliza para supervisar las amenazas y vulnerabilidades de seguridad | AuditIfNotExists, Disabled | 1.0.0 |
| El agente de Log Analytics debe instalarse en sus conjuntos de escalado de máquinas virtuales para supervisar Azure Security Center. | Security Center recopila datos de las máquinas virtuales de Azure para supervisar las amenazas y vulnerabilidades de la seguridad. | AuditIfNotExists, Disabled | 1.0.0 |
| La identidad administrada debe usarse en la aplicación de API | Usa una identidad administrada para la seguridad de autenticación mejorada. | AuditIfNotExists, Disabled | 2.0.0 |
| La identidad administrada debe usarse en la aplicación de funciones | Usa una identidad administrada para la seguridad de autenticación mejorada. | AuditIfNotExists, Disabled | 2.0.0 |
| La identidad administrada debe usarse en la aplicación web | Usa una identidad administrada para la seguridad de autenticación mejorada. | AuditIfNotExists, Disabled | 2.0.0 |
| Los puertos de administración de las máquinas virtuales deben protegerse con el control de acceso de red Just-In-Time. | Azure Security Center supervisará el posible acceso de red Just-In-Time (JIT) como recomendaciones. | AuditIfNotExists, Disabled | 3.0.0 |
| Se deben cerrar los puertos de administración en las máquinas virtuales | Los puertos de administración remota abiertos exponen la máquina virtual a un alto nivel de riesgo de recibir ataques basados en Internet. Estos ataques intentan averiguar las credenciales por medio de fuerza bruta a fin de obtener acceso de administrador a la máquina | AuditIfNotExists, Disabled | 3.0.0 |
| MFA debe estar habilitado en las cuentas con permisos de escritura de la suscripción. | Multi-Factor Authentication (MFA) debe estar habilitada para todas las cuentas de la suscripción que tengan permisos de escritura, a fin de evitar una brecha de seguridad en las cuentas o los recursos. | AuditIfNotExists, Disabled | 3.0.0 |
| MFA debe estar habilitada en las cuentas con permisos de propietario en la suscripción | Multi-Factor Authentication (MFA) debe estar habilitada para todas las cuentas de la suscripción que tengan permisos de propietario, a fin de evitar una brecha de seguridad en las cuentas o los recursos. | AuditIfNotExists, Disabled | 3.0.0 |
| MFA debe estar habilitada en las cuentas con permisos de lectura en la suscripción | Multi-Factor Authentication (MFA) debe estar habilitada para todas las cuentas de la suscripción que tengan permisos de lectura, a fin de evitar una brecha de seguridad en las cuentas o los recursos. | AuditIfNotExists, Disabled | 3.0.0 |
| Microsoft Defender para contenedores debería estar habilitado | Microsoft Defender para contenedores proporciona protección, evaluación de vulnerabilidades y protecciones en tiempo de ejecución para los entornos de Kubernetes de Azure, híbridos y multinube. | AuditIfNotExists, Disabled | 1.0.0 |
| Supervisar la falta de Endpoint Protection en Azure Security Center | Azure Security Center supervisará los servidores sin un agente de Endpoint Protection instalado como recomendaciones. | AuditIfNotExists, Disabled | 3.0.0 |
| Los servidores MySQL deben usar claves administradas por el cliente para cifrar los datos en reposo. | Use claves administradas por el cliente para administrar el cifrado en reposo de los servidores MySQL. De manera predeterminada, los datos se cifran en reposo con claves administradas por el servicio, pero las claves administradas por el cliente suelen ser necesarias para cumplir estándares de cumplimiento normativo. Las claves administradas por el cliente permiten cifrar los datos con una clave de Azure Key Vault creada por el usuario y propiedad de este. Tiene control y responsabilidad totales del ciclo de vida de la clave, incluidos la rotación y administración. | AuditIfNotExists, Disabled | 1.0.4 |
| Network Watcher debe estar habilitado | Network Watcher es un servicio regional que permite supervisar y diagnosticar problemas en un nivel de escenario de red mediante Azure. La supervisión del nivel de escenario permite diagnosticar problemas en una vista de nivel de red de un extremo a otro. Es preciso que se haya creado un grupo de recursos de Network Watcher en todas las regiones en las que haya una red virtual. Si algún grupo de recursos de Network Watcher no está disponible en una región determinada, se habilita una alerta. | AuditIfNotExists, Disabled | 3.0.0 |
| Las máquinas virtuales sin conexión a Internet deben protegerse con grupos de seguridad de red | Proteja las máquinas virtuales no accesibles desde Internet de posibles amenazas limitando el acceso con grupos de seguridad de red (NSG). Más información sobre cómo controlar el tráfico con los grupos de seguridad de red en https://aka.ms/nsg-doc. | AuditIfNotExists, Disabled | 3.0.0 |
| Solo se deben habilitar las conexiones seguras a la instancia de Azure Cache for Redis. | Permite auditar la habilitación solo de conexiones a Azure Cache for Redis a través de SSL. El uso de conexiones seguras garantiza la autenticación entre el servidor y el servicio, y protege los datos en tránsito de ataques de nivel de red, como "man in-the-middle", interceptación y secuestro de sesión | Audit, Deny, Disabled | 1.0.0 |
| Los servidores PostgreSQL deben usar claves administradas por el cliente para cifrar los datos en reposo. | Use claves administradas por el cliente para administrar el cifrado en reposo de los servidores PostgreSQL. De manera predeterminada, los datos se cifran en reposo con claves administradas por el servicio, pero las claves administradas por el cliente suelen ser necesarias para cumplir estándares de cumplimiento normativo. Las claves administradas por el cliente permiten cifrar los datos con una clave de Azure Key Vault creada por el usuario y propiedad de este. Tiene control y responsabilidad totales del ciclo de vida de la clave, incluidos la rotación y administración. | AuditIfNotExists, Disabled | 1.0.4 |
| Las conexiones de punto de conexión privado en Azure SQL Database deben estar habilitadas | Las conexiones de punto de conexión privado garantizan una comunicación segura al habilitar la conectividad privada con Azure SQL Database. | Audit, Disabled | 1.1.0 |
| El punto de conexión privado debe estar habilitado para servidores MariaDB | Las conexiones de punto de conexión privado garantizan una comunicación segura al permitir la conectividad privada con Azure Database for MariaDB. Configure una conexión de punto de conexión privado para permitir el acceso al tráfico que solo proviene de redes conocidas y evitar el acceso desde todas las demás direcciones IP, incluido desde Azure. | AuditIfNotExists, Disabled | 1.0.2 |
| El punto de conexión privado debe estar habilitado para servidores MySQL | Las conexiones de punto de conexión privado garantizan una comunicación segura al permitir la conectividad privada a Azure Database for MySQL. Configure una conexión de punto de conexión privado para permitir el acceso al tráfico que solo proviene de redes conocidas y evitar el acceso desde todas las demás direcciones IP, incluido desde Azure. | AuditIfNotExists, Disabled | 1.0.2 |
| El punto de conexión privado debe estar habilitado para servidores PostgreSQL | Las conexiones de punto de conexión privado garantizan una comunicación segura al permitir la conectividad privada con Azure Database for PostgreSQL. Configure una conexión de punto de conexión privado para permitir el acceso al tráfico que solo proviene de redes conocidas y evitar el acceso desde todas las demás direcciones IP, incluido desde Azure. | AuditIfNotExists, Disabled | 1.0.2 |
| Debe deshabilitarse el acceso a redes públicas en Azure SQL Database | Al deshabilitar la propiedad de acceso a la red pública, se mejora la seguridad al garantizar que solo se pueda acceder a la instancia de Azure SQL Database desde un punto de conexión privado. Esta configuración deniega todos los inicios de sesión que coincidan con las reglas de firewall basadas en IP o redes virtuales. | Audit, Deny, Disabled | 1.1.0 |
| El acceso a redes públicas debe estar deshabilitado para los servidores MariaDB | Deshabilite la propiedad de acceso a la red pública para mejorar la seguridad y garantizar que solo se pueda acceder a la instancia de Azure Database for MariaDB desde un punto de conexión privado. Esta configuración deshabilita estrictamente el acceso desde cualquier espacio de direcciones público que esté fuera del intervalo de direcciones IP de Azure y deniega todos los inicios de sesión que coincidan con las reglas de firewall basadas en IP o en red virtual. | Audit, Deny, Disabled | 2.0.0 |
| El acceso a las redes públicas debe estar deshabilitado para los servidores MySQL | Deshabilite la propiedad de acceso a la red pública para mejorar la seguridad y garantizar que solo se pueda acceder a la instancia de Azure Database for MySQL desde un punto de conexión privado. Esta configuración deshabilita estrictamente el acceso desde cualquier espacio de direcciones público que esté fuera del intervalo de direcciones IP de Azure y deniega todos los inicios de sesión que coincidan con las reglas de firewall basadas en IP o en red virtual. | Audit, Deny, Disabled | 2.0.0 |
| El acceso a redes públicas debe estar deshabilitado para los servidores PostgreSQL | Deshabilite la propiedad de acceso a la red pública para mejorar la seguridad y garantizar que solo se pueda acceder a la instancia de Azure Database for PostgreSQL desde un punto de conexión privado. Esta configuración deshabilita el acceso desde cualquier espacio de direcciones público que esté fuera del intervalo de direcciones IP de Azure y deniega todos los inicios de sesión que coinciden con las reglas de firewall basadas en la IP o en la red virtual. | Audit, Deny, Disabled | 2.0.0 |
| La depuración remota debe estar desactivada para las aplicaciones de API | La depuración remota requiere puertos de entrada que se abran en una aplicación de API. Se debe desactivar la depuración remota. | AuditIfNotExists, Disabled | 1.0.0 |
| La depuración remota debe estar desactivada para las aplicaciones de funciones | La depuración remota requiere puertos de entrada que se abran en una instancia de aplicaciones de funciones. Se debe desactivar la depuración remota. | AuditIfNotExists, Disabled | 1.0.0 |
| Recomendación de desactivación de la depuración remota para aplicaciones web | La depuración remota requiere puertos de entrada que se abran en una aplicación web. Se debe desactivar la depuración remota. | AuditIfNotExists, Disabled | 1.0.0 |
| Los registros de recursos de App Services deben estar habilitados | Audite la habilitación de los registros de recursos en la aplicación. Esto le permite volver a crear seguimientos de actividad con fines de investigación si se produce un incidente de seguridad o se pone en peligro la red. | AuditIfNotExists, Disabled | 2.0.0 |
| Los registros de recursos de Azure Data Lake Store deben estar habilitados. | Habilitación de la auditoría de los registros de recursos. Esto le permite volver a crear seguimientos de actividad con fines de investigación en caso de incidente de seguridad o riesgo para la red. | AuditIfNotExists, Disabled | 5.0.0 |
| Los registros de recursos de Azure Kubernetes Service se deben habilitar | Los registros de recursos de Azure Kubernetes Service pueden ayudar a volver a crear trazos de actividad al investigar incidentes de seguridad. Habilite esta opción para asegurarse de que los registros existirán cuando sea necesario | AuditIfNotExists, Disabled | 1.0.0 |
| Los registros de recursos de Azure Stream Analytics deben estar habilitados. | Habilitación de la auditoría de los registros de recursos. Esto le permite volver a crear seguimientos de actividad con fines de investigación en caso de incidente de seguridad o riesgo para la red. | AuditIfNotExists, Disabled | 5.0.0 |
| Los registros de recursos de las cuentas de Batch deben estar habilitados. | Habilitación de la auditoría de los registros de recursos. Esto le permite volver a crear seguimientos de actividad con fines de investigación en caso de incidente de seguridad o riesgo para la red. | AuditIfNotExists, Disabled | 5.0.0 |
| Los registros de recursos de Data Lake Analytics deben estar habilitados | Habilitación de la auditoría de los registros de recursos. Esto le permite volver a crear seguimientos de actividad con fines de investigación en caso de incidente de seguridad o riesgo para la red. | AuditIfNotExists, Disabled | 5.0.0 |
| Los registros de recursos de la instancia de Event Hubs deben estar habilitados. | Habilitación de la auditoría de los registros de recursos. Esto le permite volver a crear seguimientos de actividad con fines de investigación en caso de incidente de seguridad o riesgo para la red. | AuditIfNotExists, Disabled | 5.0.0 |
| Los registros de recursos de IoT Hub deben estar habilitados. | Habilitación de la auditoría de los registros de recursos. Esto le permite volver a crear seguimientos de actividad con fines de investigación en caso de incidente de seguridad o riesgo para la red. | AuditIfNotExists, Disabled | 3.0.1 |
| Los registros de recursos de Key Vault deben estar habilitados | Habilitación de la auditoría de los registros de recursos. De esta forma, puede volver a crear seguimientos de actividad con fines de investigación en caso de incidentes de seguridad o riesgos para la red. | AuditIfNotExists, Disabled | 5.0.0 |
| Los registros de recursos de Logic Apps deben estar habilitados | Habilitación de la auditoría de los registros de recursos. Esto le permite volver a crear seguimientos de actividad con fines de investigación en caso de incidente de seguridad o riesgo para la red. | AuditIfNotExists, Disabled | 5.0.0 |
| Los registros de recursos de los servicios Search deben estar habilitados. | Habilitación de la auditoría de los registros de recursos. Esto le permite volver a crear seguimientos de actividad con fines de investigación en caso de incidente de seguridad o riesgo para la red. | AuditIfNotExists, Disabled | 5.0.0 |
| Los registros de recursos de Service Bus deben estar habilitados | Habilitación de la auditoría de los registros de recursos. Esto le permite volver a crear seguimientos de actividad con fines de investigación en caso de incidente de seguridad o riesgo para la red. | AuditIfNotExists, Disabled | 5.0.0 |
| Los registros de recursos de Virtual Machine Scale Sets deben estar habilitados | Se recomienda habilitar los registros para que ese seguimiento de actividad se pueda volver a crear cuando se necesiten investigaciones en caso de incidente o riesgo. | AuditIfNotExists, Disabled | 2.1.0 |
| Se debe usar el control de acceso basado en rol (RBAC) en los servicios de Kubernetes | Para proporcionar un filtrado detallado de las acciones que los usuarios pueden realizar, use el control de acceso basado en rol (RBAC) para administrar los permisos en los clústeres de Kubernetes Service y configurar las directivas de autorización correspondientes. | Audit, Disabled | 1.0.2 |
| Las imágenes de contenedor en ejecución deben tener resueltos los resultados de vulnerabilidad | La evaluación de vulnerabilidades de imagen de contenedor examina las imágenes de contenedor que se ejecutan en los clústeres de Kubernetes en busca de vulnerabilidades de seguridad y expone resultados detallados para cada imagen. La resolución de las vulnerabilidades puede mejorar considerablemente la posición de seguridad de los contenedores y protegerlos frente a ataques. | AuditIfNotExists, Disabled | 1.0.1 |
| Se debe habilitar la transferencia segura a las cuentas de almacenamiento | Permite auditar el requisito de transferencia segura en la cuenta de almacenamiento. La transferencia segura es una opción que obliga a la cuenta de almacenamiento a aceptar solamente solicitudes de conexiones seguras (HTTPS). El uso de HTTPS garantiza la autenticación entre el servidor y el servicio, y protege los datos en tránsito de ataques de nivel de red, como los de tipo "Man in the middle", interceptación y secuestro de sesión | Audit, Deny, Disabled | 2.0.0 |
| Se debe establecer la propiedad ClusterProtectionLevel en EncryptAndSign en los clústeres de Service Fabric | Service Fabric proporciona tres niveles de protección (None, Sign y EncryptAndSign) para la comunicación de nodo a nodo mediante un certificado de clúster principal. Establezca el nivel de protección para asegurarse de que todos los mensajes de nodo a nodo se cifran y se firman digitalmente. | Audit, Deny, Disabled | 1.1.0 |
| Los clústeres de Service Fabric solo deben usar Azure Active Directory para la autenticación de cliente | Permite auditar el uso de la autenticación de clientes solo mediante Azure Active Directory en Service Fabric | Audit, Deny, Disabled | 1.1.0 |
| Las bases de datos SQL deben tener resueltos los hallazgos de vulnerabilidades. | Permite supervisar los resultados del examen de evaluación de puntos vulnerables y las recomendaciones para solucionar los de las bases de datos. | AuditIfNotExists, Disabled | 4.0.0 |
| Las instancias administradas de SQL deben usar claves administradas por el cliente para cifrar los datos en reposo | La implementación de Cifrado de datos transparente (TDE) con una clave propia proporciona una mayor transparencia y control sobre el protector de TDE, ofrece mayor seguridad con un servicio externo respaldado con HSM y permite la separación de tareas. Esta recomendación se aplica a las organizaciones con un requisito de cumplimiento relacionado. | Audit, Deny, Disabled | 2.0.0 |
| Los servidores SQL de las máquinas deben tener resueltos los hallazgos de vulnerabilidades. | La evaluación de vulnerabilidades de SQL examina la base de datos en busca de vulnerabilidades de seguridad y expone las posibles desviaciones de los procedimientos recomendados, como errores de configuración, permisos excesivos y datos confidenciales sin protección. La corrección de las vulnerabilidades detectadas puede mejorar considerablemente la posición de seguridad de la base de datos. | AuditIfNotExists, Disabled | 1.0.0 |
| Los servidores SQL deben usar claves administradas por el cliente para cifrar los datos en reposo | La implementación de Cifrado de datos transparente (TDE) con una clave propia proporciona una mayor transparencia y control sobre el protector de TDE, ofrece mayor seguridad con un servicio externo respaldado con HSM y permite la separación de tareas. Esta recomendación se aplica a las organizaciones con un requisito de cumplimiento relacionado. | Audit, Deny, Disabled | 2.0.1 |
| Los servidores SQL Server con auditoría en el destino de la cuenta de almacenamiento se deben configurar con una retención de 90 días o superior. | Con fines de investigación de incidentes, se recomienda establecer la retención de datos de auditoría de las instancias de SQL Server en el destino de la cuenta de almacenamiento en al menos 90 días. Confirme que cumple las reglas de retención necesarias para las regiones en las que trabaja. A veces, es necesario para cumplir con los estándares normativos. | AuditIfNotExists, Disabled | 3.0.0 |
| Se deben migrar las cuentas de almacenamiento a los nuevos recursos de Azure Resource Manager | Use el nuevo Azure Resource Manager para las cuentas de almacenamiento a fin de proporcionar mejoras de seguridad como las siguientes: mayor control de acceso (RBAC), mejor auditoría, gobernanza e implementación basados en Azure Resource Manager, acceso a las identidades administradas, acceso a los secretos de Key Vault, autenticación basada en Azure AD y compatibilidad con las etiquetas y los grupos de recursos para facilitar la administración de seguridad. | Audit, Deny, Disabled | 1.0.0 |
| Se debe restringir el acceso de red a las cuentas de almacenamiento | El acceso de red a las cuentas de almacenamiento debe estar restringido. Configure reglas de red, solo las aplicaciones de redes permitidas pueden acceder a la cuenta de almacenamiento. Para permitir conexiones desde clientes específicos locales o de Internet, se puede conceder acceso al tráfico procedente de redes virtuales de Azure específicas o a intervalos de direcciones IP de Internet públicas. | Audit, Deny, Disabled | 1.1.1 |
| Las cuentas de almacenamiento deben restringir el acceso a la red mediante el uso de reglas de red virtual | Proteja las cuentas de almacenamiento frente a amenazas potenciales mediante reglas de red virtual como método preferente en lugar de filtrado basado en IP. La deshabilitación del filtrado basado en IP evita que las direcciones IP públicas accedan a las cuentas de almacenamiento. | Audit, Deny, Disabled | 1.0.1 |
| Las cuentas de almacenamiento deben utilizar una clave administrada por el cliente para el cifrado. | Proteja su cuenta de almacenamiento de blobs y archivos con mayor flexibilidad mediante claves administradas por el cliente. Cuando se especifica una clave administrada por el cliente, esa clave se usa para proteger y controlar el acceso a la clave que cifra los datos. El uso de claves administradas por el cliente proporciona funcionalidades adicionales para controlar la rotación de la clave de cifrado de claves o para borrar datos mediante criptografía. | Audit, Disabled | 1.0.3 |
| Las cuentas de almacenamiento deben usar un vínculo privado. | Azure Private Link permite conectar la red virtual a servicios de Azure sin una dirección IP pública en el origen o el destino. La plataforma Private Link administra la conectividad entre el consumidor y los servicios a través de la red troncal de Azure. Al asignar puntos de conexión privados a su cuenta de almacenamiento, se reduce el riesgo de pérdida de datos. Más información sobre los vínculos privados en https://aka.ms/azureprivatelinkoverview. | AuditIfNotExists, Disabled | 2.0.0 |
| Las subredes deben estar asociadas con un grupo de seguridad de red. | Proteja la subred de posibles amenazas mediante la restricción del acceso con un grupo de seguridad de red (NSG). Estos grupos contienen las reglas de la lista de control de acceso (ACL) que permiten o deniegan el tráfico de red a la subred. | AuditIfNotExists, Disabled | 3.0.0 |
| Las suscripciones deben tener una dirección de correo electrónico de contacto para los problemas de seguridad | Para asegurarse de que las personas pertinentes de la organización reciban una notificación cuando se produzca una vulneración de seguridad potencial en una de las suscripciones, establezca un contacto de seguridad para la recepción de notificaciones por correo electrónico de Security Center. | AuditIfNotExists, Disabled | 1.0.1 |
| Se deben instalar las actualizaciones del sistema en los conjuntos de escalado de máquinas virtuales | Audite si falta alguna actualización de seguridad del sistema o actualización crítica que deba instalarse para garantizar que los conjuntos de escalado de máquinas virtuales Windows y Linux sean seguros. | AuditIfNotExists, Disabled | 3.0.0 |
| Se deben instalar actualizaciones del sistema en las máquinas | Azure Security Center supervisará las actualizaciones del sistema de seguridad que faltan en los servidores como recomendaciones. | AuditIfNotExists, Disabled | 4.0.0 |
| Debe haber más de un propietario asignado a la suscripción | Se recomienda que designe a más de un propietario de la suscripción para tener redundancia de acceso de administrador. | AuditIfNotExists, Disabled | 3.0.0 |
| El cifrado de datos transparente en bases de datos SQL debe estar habilitado | El cifrado de datos transparente debe estar habilitado para proteger los datos en reposo y satisfacer los requisitos de cumplimiento. | AuditIfNotExists, Disabled | 2.0.0 |
| Se deben migrar las máquinas virtuales a nuevos recursos de Azure Resource Manager | Use el nuevo Azure Resource Manager para las máquinas virtuales a fin de proporcionar mejoras de seguridad como las siguientes: mayor control de acceso (RBAC), mejor auditoría, gobernanza e implementación basados en Azure Resource Manager, acceso a identidades administradas, acceso a secretos de Key Vault, autenticación basada en Azure AD y compatibilidad con etiquetas y grupos de recursos para facilitar la administración de seguridad. | Audit, Deny, Disabled | 1.0.0 |
| Las máquinas virtuales deben cifrar los discos temporales, las cachés y los flujos de datos entre los recursos de Proceso y Almacenamiento | De manera predeterminada, los discos del sistema operativo y de datos de una máquina virtual se cifran en reposo mediante claves administradas por la plataforma. Los discos temporales, las memorias caché de datos y los datos que fluyen entre el proceso y el almacenamiento no se cifran. Ignore esta recomendación si: 1. Se utiliza el cifrado en el host, o 2. El cifrado del lado servidor en Managed Disks cumple sus requisitos de seguridad. Obtenga más información en: Cifrado del lado servidor de Azure Disk Storage: https://aka.ms/disksse, Diferentes ofertas de cifrado de disco: https://aka.ms/diskencryptioncomparison | AuditIfNotExists, Disabled | 2.0.3 |
| La extensión "Configuración de invitado" de las máquinas virtuales debe implementarse con una identidad administrada asignada por el sistema | La extensión Configuración de invitado requiere una identidad administrada asignada por el sistema. Si las máquinas virtuales de Azure incluidas en el ámbito de esta directiva tienen instalada la extensión "Configuración de invitado" pero no tienen una identidad administrada asignada por el sistema, no cumplirán los requisitos establecidos. Más información en https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 1.0.1 |
| Las plantillas de VM Image Builder deben usar Private Link | Azure Private Link permite conectar la red virtual a servicios de Azure sin una dirección IP pública en el origen o el destino. La plataforma Private Link administra la conectividad entre el consumidor y los servicios a través de la red troncal de Azure. Mediante la asignación de puntos de conexión privados a los recursos de creación del generador de imágenes de máquina virtual, se reducen los riesgos de pérdida de datos. Más información sobre los vínculos privados en https://docs.microsoft.com/azure/virtual-machines/linux/image-builder-networking#deploy-using-an-existing-vnet. | Audit, Disabled, Deny | 1.1.0 |
| Las vulnerabilidades en las configuraciones de seguridad de contenedor deben corregirse | Audite las vulnerabilidades en la configuración de seguridad de las máquinas con Docker instalado y muéstrelas como recomendaciones en Azure Security Center. | AuditIfNotExists, Disabled | 3.0.0 |
| Se deben corregir las vulnerabilidades en la configuración de seguridad en las máquinas | Azure Security Center supervisará los servidores que no cumplan la línea de base configurada como recomendaciones. | AuditIfNotExists, Disabled | 3.0.0 |
| Se deben corregir las vulnerabilidades en la configuración de seguridad de los conjuntos de escalado de máquinas virtuales | Audite las vulnerabilidades del sistema operativo en los conjuntos de escalado de máquinas virtuales para protegerlos frente a ataques. | AuditIfNotExists, Disabled | 3.0.0 |
| La evaluación de vulnerabilidades debe estar habilitada en Instancia administrada de SQL | Audita cada servicio SQL Managed Instance que no tiene habilitado los exámenes de evaluación de vulnerabilidades periódicos. La evaluación de vulnerabilidades permite detectar las vulnerabilidades potenciales de la base de datos, así como hacer un seguimiento y ayudar a corregirlas. | AuditIfNotExists, Disabled | 1.0.1 |
| La evaluación de vulnerabilidades debe estar activada en sus servidores de SQL Server | Audita los servidores Azure SQL Server que no tienen habilitados los exámenes de evaluación de vulnerabilidades periódicos. La evaluación de vulnerabilidades permite detectar las vulnerabilidades potenciales de la base de datos, así como hacer un seguimiento y ayudar a corregirlas. | AuditIfNotExists, Disabled | 2.0.0 |
| El firewall de aplicaciones web (WAF) debe estar habilitado para Application Gateway | Implemente Azure Web Application Firewall (WAF) delante de las aplicaciones web de acceso público para una inspección adicional del tráfico entrante. Web Application Firewall (WAF) ofrece una protección centralizada de las aplicaciones web frente a vulnerabilidades de seguridad comunes, como la inyección de SQL, el scripting entre sitios y las ejecuciones de archivos locales y remotas. También permite restringir el acceso a las aplicaciones web por países, intervalos de direcciones IP y otros parámetros http(s) por medio de reglas personalizadas. | Audit, Deny, Disabled | 2.0.0 |
| La Protección contra vulnerabilidades de seguridad de Windows Defender debe estar habilitada en las máquinas. | La protección contra vulnerabilidades de seguridad de Windows Defender utiliza el agente de configuración de invitado de Azure Policy. La protección contra vulnerabilidades de seguridad tiene cuatro componentes diseñados para bloquear dispositivos en una amplia variedad de vectores de ataque y comportamientos de bloque utilizados habitualmente en ataques de malware, al tiempo que permiten a las empresas equilibrar los requisitos de productividad y riesgo de seguridad (solo Windows). | AuditIfNotExists, Disabled | 2.0.0 |
| Las máquinas Windows deben tener instalada la extensión de Log Analytics en Azure Arc | Las máquinas no son compatibles si el agente de Log Analytics no está instalado en el servidor de Windows habilitado para Azure Arc. | AuditIfNotExists, Disabled | 2.0.0 |
| Las máquinas Windows deben cumplir los requisitos de la base de referencia de seguridad de procesos de Azure | Requiere que los requisitos previos se implementen en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. Las máquinas no son compatibles si la máquina no está configurada correctamente para una de las recomendaciones de la base de referencia de seguridad de procesos de Azure. | AuditIfNotExists, Disabled | 2.0.0 |
| Los servidores web de Windows deben estar configurados para usar protocolos de comunicación seguros | Para proteger la privacidad de la información que se comunica a través de Internet, los servidores web deben usar la versión más reciente del protocolo criptográfico estándar del sector, Seguridad de la capa de transporte (TLS). TLS protege las comunicaciones que se realizan a través de una red mediante el uso de certificados de seguridad para cifrar una conexión entre máquinas. | AuditIfNotExists, Disabled | 4.0.0 |
Categoría de Microsoft Defender for Cloud
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| [Vista previa]: El agente de seguridad de Azure debe estar instalado en las máquinas de Linux Arc | Instale el agente de seguridad de Azure en las máquinas virtuales Linux Arc con el fin de supervisar las configuraciones de seguridad y las vulnerabilidades de las máquinas. Los resultados de las valoraciones se pueden ver y administrar en Azure Security Center. | AuditIfNotExists, Disabled | 1.0.0-preview |
| [Versión preliminar]: [Versión preliminar]: el agente de seguridad de Azure debe estar instalado en los conjuntos de escalado de máquinas virtuales Linux | Instale el agente de seguridad de Azure en los conjuntos de escalado de máquinas virtuales Linux con el fin de supervisar las configuraciones y vulnerabilidades de seguridad de las máquinas. Los resultados de las valoraciones se pueden ver y administrar en Azure Security Center. | AuditIfNotExists, Disabled | 1.0.0-preview |
| [Versión preliminar]: [Versión preliminar]: el agente de seguridad de Azure debe estar instalado en las máquinas virtuales Linux | Instale el agente de seguridad de Azure en las máquinas virtuales Linux con el fin de supervisar las configuraciones de seguridad y las vulnerabilidades de las máquinas. Los resultados de las valoraciones se pueden ver y administrar en Azure Security Center. | AuditIfNotExists, Disabled | 1.0.0-preview |
| [Vista previa]: El agente de seguridad de Azure debe estar instalado en las máquinas de Windows Arc | Instale el agente de seguridad de Azure en las máquinas virtuales Windows Arc con el fin de supervisar las configuraciones de seguridad y las vulnerabilidades de las máquinas. Los resultados de las valoraciones se pueden ver y administrar en Azure Security Center. | AuditIfNotExists, Disabled | 1.0.0-preview |
| [Versión preliminar]: [Versión preliminar]: el agente de seguridad de Azure debe estar instalado en el conjunto de escalado de máquinas virtuales Windows | Instale el agente de seguridad de Azure en los conjuntos de escalado de máquinas virtuales Windows con el fin de supervisar las configuraciones y vulnerabilidades de seguridad de las máquinas. Los resultados de las valoraciones se pueden ver y administrar en Azure Security Center. | AuditIfNotExists, Disabled | 1.0.0-preview |
| [Versión preliminar]: [Versión preliminar]: el agente de seguridad de Azure debe estar instalado en las máquinas virtuales Windows | Instale el agente de seguridad de Azure en las máquinas virtuales Windows con el fin de supervisar las configuraciones y vulnerabilidades de seguridad de las máquinas. Los resultados de las valoraciones se pueden ver y administrar en Azure Security Center. | AuditIfNotExists, Disabled | 1.0.0-preview |
| [Vista previa]: La extensión ChangeTracking debe instalarse en la máquina de Linux Arc | Instale la extensión ChangeTracking en máquinas de Arc para Linux a fin de habilitar la supervisión de la integridad de los archivos (FIM) en Azure Security Center. FIM examina los archivos del sistema operativo, los registros de Windows, el software de aplicación, los archivos del sistema Linux, etc., en busca de cambios que puedan indicar un ataque. La extensión se puede instalar en máquinas virtuales y ubicaciones compatibles con Azure Monitoring Agent. | AuditIfNotExists, Disabled | 1.0.0-preview |
| [Versión preliminar]: [Versión preliminar]: la extensión ChangeTracking debe estar instalada en la máquina virtual Linux | Instale la extensión ChangeTracking en máquinas virtuales Linux para habilitar la supervisión de la integridad de los archivos (FIM) en Azure Security Center. FIM examina los archivos del sistema operativo, los registros de Windows, el software de aplicación, los archivos del sistema Linux, etc., en busca de cambios que puedan indicar un ataque. La extensión se puede instalar en máquinas virtuales y ubicaciones compatibles con Azure Monitoring Agent. | AuditIfNotExists, Disabled | 1.0.0-preview |
| [Versión preliminar]: [Versión preliminar]: la extensión ChangeTracking debe estar instalada en los conjuntos de escalado de máquinas virtuales Linux | Instale la extensión ChangeTracking en conjunto de escalado de máquinas virtuales Linux para habilitar la supervisión de la integridad de los archivos (FIM) en Azure Security Center. FIM examina los archivos del sistema operativo, los registros de Windows, el software de aplicación, los archivos del sistema Linux, etc., en busca de cambios que puedan indicar un ataque. La extensión se puede instalar en máquinas virtuales y ubicaciones compatibles con Azure Monitoring Agent. | AuditIfNotExists, Disabled | 1.0.0-preview |
| [Vista previa]: La extensión ChangeTracking debe estar instalada en la máquina de Windows Arc | Instale la extensión ChangeTracking en máquinas de Arc para Windows a fin de habilitar la supervisión de la integridad de los archivos (FIM) en Azure Security Center. FIM examina los archivos del sistema operativo, los registros de Windows, el software de aplicación, los archivos del sistema Linux, etc., en busca de cambios que puedan indicar un ataque. La extensión se puede instalar en máquinas virtuales y ubicaciones compatibles con Azure Monitoring Agent. | AuditIfNotExists, Disabled | 1.0.0-preview |
| [Versión preliminar]: [Versión preliminar]: la extensión ChangeTracking debe estar instalada en la máquina virtual Windows | Instale la extensión ChangeTracking en máquinas virtuales Windows para habilitar la supervisión de la integridad de los archivos (FIM) en Azure Security Center. FIM examina los archivos del sistema operativo, los registros de Windows, el software de aplicación, los archivos del sistema Linux, etc., en busca de cambios que puedan indicar un ataque. La extensión se puede instalar en máquinas virtuales y ubicaciones compatibles con Azure Monitoring Agent. | AuditIfNotExists, Disabled | 1.0.0-preview |
| [Versión preliminar]: [Versión preliminar]: la extensión ChangeTracking debe estar instalada en los conjuntos de escalado de máquinas virtuales Windows | Instale la extensión ChangeTracking en conjunto de escalado de máquinas virtuales Windows para habilitar la supervisión de la integridad de los archivos (FIM) en Azure Security Center. FIM examina los archivos del sistema operativo, los registros de Windows, el software de aplicación, los archivos del sistema Linux, etc., en busca de cambios que puedan indicar un ataque. La extensión se puede instalar en máquinas virtuales y ubicaciones compatibles con Azure Monitoring Agent. | AuditIfNotExists, Disabled | 1.0.0-preview |
| [Versión preliminar]: [Versión preliminar]: Configuración de las máquinas para crear automáticamente la canalización de Security Center para el agente de Azure Monitor | Configure las máquinas de Arc para crear automáticamente la canalización de Azure Security Center para el agente de Azure Monitor. Security Center recopila eventos del agente y los usa para proporcionar alertas de seguridad y tareas de protección personalizadas (recomendaciones). Cree un grupo de recursos y un área de trabajo de Log Analytics en la misma región que la máquina para almacenar los registros de auditoría. Las máquinas virtuales de destino deben estar en una ubicación admitida. | DeployIfNotExists, Disabled | 1.1.0-preview |
| [Versión preliminar]: [Versión preliminar]: Configuración de las máquinas de Arc para crear automáticamente la canalización de Security Center definida por el usuario para el agente de Azure Monitor | Configure las máquinas de Arc para crear automáticamente la canalización Azure Security Center definida por el usuario para el agente de Azure Monitor. Security Center recopila eventos del agente y los usa para proporcionar alertas de seguridad y tareas de protección personalizadas (recomendaciones). Cree un grupo de recursos y un área de trabajo de Log Analytics en la misma región que la máquina para almacenar los registros de auditoría. Las máquinas de Arc de destino deben estar en una ubicación admitida. | DeployIfNotExists, Disabled | 1.1.0-preview |
| [Versión preliminar]: [Versión preliminar]: Configuración de una asociación para vincular máquinas de Arc a la regla de recopilación de datos predeterminada de Azure Security Center | Configure las máquinas de Arc para crear automáticamente una asociación con la regla de recopilación de datos predeterminada para Azure Security Center. La eliminación de esta asociación interrumpirá la detección de vulnerabilidades de seguridad en esta máquina de Arc. Las máquinas de Arc de destino deben estar en una ubicación admitida. | DeployIfNotExists, Disabled | 1.1.0-preview |
| [Versión preliminar]: [Versión preliminar]: Configuración de la asociación para vincular máquinas de Arc a una regla de recopilación de datos de Azure Security Center definida por el usuario | Configure las máquinas de Arc para crear automáticamente una asociación con la regla de recopilación de datos definida por el usuario para Azure Security Center. La eliminación de esta asociación interrumpirá la detección de vulnerabilidades de seguridad en esta máquina de Arc. Las máquinas de Arc de destino deben estar en una ubicación admitida. | DeployIfNotExists, Disabled | 1.1.0-preview |
| [Versión preliminar]: [Versión preliminar]: configurar una asociación para vincular máquinas virtuales a la regla de recopilación de datos predeterminada de Azure Security Center | Configure las máquinas para crear automáticamente una asociación con la regla de recopilación de datos predeterminada para Azure Security Center. La eliminación de esta asociación interrumpirá la detección de vulnerabilidades de seguridad para esta máquina virtual. Las máquinas virtuales de destino deben estar en una ubicación admitida. | DeployIfNotExists, Disabled | 2.1.0-preview |
| [Versión preliminar]: [Versión preliminar]: Configuración de la asociación para vincular máquinas virtuales a una regla de recopilación de datos de Azure Security Center definida por el usuario | Configure las máquinas para crear automáticamente una asociación con la regla de recopilación de datos definida por el usuario para Azure Security Center. La eliminación de esta asociación interrumpirá la detección de vulnerabilidades de seguridad para esta máquina virtual. Las máquinas virtuales de destino deben estar en una ubicación admitida. | DeployIfNotExists, Disabled | 1.1.0-preview |
| [Versión preliminar]: [Versión preliminar]: configurar el agente de Azure Defender para SQL en máquinas virtuales | Configure las máquinas Windows para que instalen automáticamente el agente de Azure Defender para SQL en el agente de Azure Monitor instalado. Security Center recopila eventos del agente y los usa para proporcionar alertas de seguridad y tareas de protección personalizadas (recomendaciones). Cree un grupo de recursos y un área de trabajo de Log Analytics en la misma región que la máquina. Las máquinas virtuales de destino deben estar en una ubicación admitida. | DeployIfNotExists, Disabled | 1.0.0-preview |
| [Vista previa]: Configurar la extensión ChangeTracking para las máquinas de Linux Arc | Configure máquinas de Arc para Linux para instalar automáticamente la extensión ChangeTracking a fin de habilitar la supervisión de la integridad de los archivos (FIM) en Azure Security Center. FIM examina los archivos del sistema operativo, los registros de Windows, el software de aplicación, los archivos del sistema Linux, etc., en busca de cambios que puedan indicar un ataque. La extensión se puede instalar en máquinas virtuales y ubicaciones compatibles con el agente de Azure Monitor. | DeployIfNotExists, Disabled | 1.0.0-preview |
| [Versión preliminar]: [Versión preliminar]: configurar la extensión ChangeTracking para los conjuntos de escalado de máquinas virtuales Linux | Configure conjuntos de escalado de máquinas virtuales Linux para instalar automáticamente la extensión ChangeTracking para habilitar la supervisión de la integridad de los archivos (FIM) en Azure Security Center. FIM examina los archivos del sistema operativo, los registros de Windows, el software de aplicación, los archivos del sistema Linux, etc., en busca de cambios que puedan indicar un ataque. La extensión se puede instalar en máquinas virtuales y ubicaciones compatibles con el agente de Azure Monitor. | DeployIfNotExists, Disabled | 1.0.0-preview |
| [Versión preliminar]: [Versión preliminar]: configurar la extensión ChangeTracking para máquinas virtuales Linux | Configure máquinas virtuales Linux para instalar automáticamente la extensión ChangeTracking para habilitar la supervisión de la integridad de los archivos (FIM) en Azure Security Center. FIM examina los archivos del sistema operativo, los registros de Windows, el software de aplicación, los archivos del sistema Linux, etc., en busca de cambios que puedan indicar un ataque. La extensión se puede instalar en máquinas virtuales y ubicaciones compatibles con el agente de Azure Monitor. | DeployIfNotExists, Disabled | 1.0.0-preview |
| [Vista previa]: Configurar la extensión ChangeTracking para las máquinas de Windows Arc | Configure máquinas de Arc para Windows para instalar automáticamente la extensión ChangeTracking a fin de habilitar la supervisión de integridad de archivos (FIM) en Azure Security Center. FIM examina los archivos del sistema operativo, los registros de Windows, el software de aplicación, los archivos del sistema Linux, etc., en busca de cambios que puedan indicar un ataque. La extensión se puede instalar en máquinas virtuales y ubicaciones compatibles con el agente de Azure Monitor. | DeployIfNotExists, Disabled | 1.0.0-preview |
| [Vista previa]: Configurar la extensión ChangeTracking para los conjuntos de escalado de máquinas virtuales Windows | Configure conjuntos de escalado de máquinas virtuales Windows para instalar automáticamente la extensión ChangeTracking para habilitar la supervisión de la integridad de los archivos (FIM) en Azure Security Center. FIM examina los archivos del sistema operativo, los registros de Windows, el software de aplicación, los archivos del sistema Linux, etc., en busca de cambios que puedan indicar un ataque. La extensión se puede instalar en máquinas virtuales y ubicaciones compatibles con el agente de Azure Monitor. | DeployIfNotExists, Disabled | 1.0.0-preview |
| [Versión preliminar]: [Versión preliminar]: configurar la extensión ChangeTracking para las máquinas virtuales Windows | Configure máquinas virtuales Windows para instalar automáticamente la extensión ChangeTracking para habilitar la supervisión de la integridad de los archivos (FIM) en Azure Security Center. FIM examina los archivos del sistema operativo, los registros de Windows, el software de aplicación, los archivos del sistema Linux, etc., en busca de cambios que puedan indicar un ataque. La extensión se puede instalar en máquinas virtuales y ubicaciones compatibles con el agente de Azure Monitor. | DeployIfNotExists, Disabled | 1.0.0-preview |
| [Versión preliminar]: [Versión preliminar]: configurar las máquinas para crear automáticamente la canalización de Azure Security Center para el agente de Azure Monitor | Configure las máquinas para crear automáticamente la canalización de Azure Security Center para el agente de Azure Monitor. Security Center recopila eventos del agente y los usa para proporcionar alertas de seguridad y tareas de protección personalizadas (recomendaciones). Cree un grupo de recursos y un área de trabajo de Log Analytics en la misma región que la máquina para almacenar los registros de auditoría. Las máquinas virtuales de destino deben estar en una ubicación admitida. | DeployIfNotExists, Disabled | 5.1.1-preview |
| [Versión preliminar]: [Versión preliminar]: Configuración de máquinas para crear la canalización de Microsoft Defender for Cloud definida por el usuario para el agente de Azure Monitor | Configure máquinas para crear la canalización de Microsoft Defender for Cloud definida por el usuario para el agente de Azure Monitor. Microsoft Defender for Cloud recopila eventos del agente y los usa para proporcionar alertas de seguridad y tareas de protección personalizadas (recomendaciones). Use el área de trabajo de Log Analytics proporcionada por el usuario para almacenar los registros de auditoría. Crea un grupo de recursos y una regla de recopilación de datos en la misma región que el área de trabajo de Log Analytics proporcionada por el usuario. Las máquinas virtuales de destino deben estar en una ubicación admitida. | DeployIfNotExists, Disabled | 1.1.1-preview |
| [Vista previa]: Configuración de las máquinas de Linux Arc para instalar automáticamente el agente de seguridad de Azure | Configure máquinas Linux Arc para instalar automáticamente el agente de seguridad de Azure. Security Center recopila eventos del agente y los usa para proporcionar alertas de seguridad y tareas de protección personalizadas (recomendaciones). Las máquinas Linux Arc de destino deben estar en una ubicación admitida. | DeployIfNotExists, Disabled | 1.0.0-preview |
| [Versión preliminar]: [Versión preliminar]: configurar los conjuntos de escalado de máquinas virtuales Linux compatibles para instalar automáticamente el agente de seguridad de Azure | Configure conjuntos de escalado de máquinas virtuales Linux compatibles para instalar automáticamente el agente de seguridad de Azure. Security Center recopila eventos del agente y los usa para proporcionar alertas de seguridad y tareas de protección personalizadas (recomendaciones). Las máquinas virtuales de destino deben estar en una ubicación admitida. | DeployIfNotExists, Disabled | 1.0.0-preview |
| [Versión preliminar]: [Versión preliminar]: configurar conjuntos de escalado de máquinas virtuales Linux compatibles para instalar automáticamente la extensión de atestación del invitado | Configure conjuntos de escalado de máquinas virtuales Linux compatibles para instalar automáticamente la extensión de atestación de invitados a fin de permitir que Azure Security Center atestigüe y supervise proactivamente la integridad del arranque. La integridad del arranque se atestigua a través de la atestación remota. | DeployIfNotExists, Disabled | 5.0.0-preview |
| [Versión preliminar]: [Versión preliminar]: configurar máquinas virtuales Linux compatibles para habilitar automáticamente el arranque seguro | Configure las máquinas virtuales Linux admitidas para habilitar automáticamente el arranque seguro para mitigar los cambios malintencionados y no autorizados en la cadena de arranque. Una vez habilitado, solo se permitirá la ejecución de cargadores de arranque de confianza, del kernel y de controladores de kernel. | DeployIfNotExists, Disabled | 5.0.0-preview |
| [Versión preliminar]: [Versión preliminar]: configurar máquinas virtuales Linux para instalar automáticamente el agente de seguridad de Azure | Configure máquinas virtuales Linux compatibles para instalar automáticamente el agente de seguridad de Azure. Security Center recopila eventos del agente y los usa para proporcionar alertas de seguridad y tareas de protección personalizadas (recomendaciones). Las máquinas virtuales de destino deben estar en una ubicación admitida. | DeployIfNotExists, Disabled | 6.0.0 (preliminar) |
| [Versión preliminar]: [Versión preliminar]: configurar máquinas virtuales Linux compatibles para instalar automáticamente la extensión de atestación del invitado | Configure máquinas virtuales Linux compatibles para instalar automáticamente la extensión de atestación de invitados a fin de permitir que Azure Security Center atestigüe y supervise proactivamente la integridad del arranque. La integridad del arranque se atestigua a través de la atestación remota. | DeployIfNotExists, Disabled | 6.0.0 (preliminar) |
| [Versión preliminar]: [Versión preliminar]: configurar máquinas virtuales compatibles para habilitar automáticamente vTPM | Configure las máquinas virtuales admitidas para habilitar automáticamente vTPM para facilitar el arranque medido y otras características de seguridad del sistema operativo que requieren un TPM. Una vez habilitado, vTPM se puede usar para atestiguar la integridad del arranque. | DeployIfNotExists, Disabled | 2.0.0-preview |
| [Vista previa]: Configuración de las máquinas Windows Arc admitidas para instalar automáticamente el agente de seguridad de Azure | Configure las máquinas Windows Arc admitidas para instalar automáticamente el agente de seguridad de Azure. Security Center recopila eventos del agente y los usa para proporcionar alertas de seguridad y tareas de protección personalizadas (recomendaciones). Las máquinas Windows Arc de destino deben estar en una ubicación admitida. | DeployIfNotExists, Disabled | 1.0.0-preview |
| [Versión preliminar]: [Versión preliminar]: configurar las máquinas Windows admitidas para instalar automáticamente el agente de seguridad de Azure | Configure las máquinas Windows admitidas para instalar automáticamente el agente de seguridad de Azure. Security Center recopila eventos del agente y los usa para proporcionar alertas de seguridad y tareas de protección personalizadas (recomendaciones). Las máquinas virtuales de destino deben estar en una ubicación admitida. | DeployIfNotExists, Disabled | 4.0.0-preview |
| [Versión preliminar]: [Versión preliminar]: configurar conjuntos de escalado de máquinas virtuales Windows compatibles para instalar automáticamente el agente de seguridad de Azure | Configure conjuntos de escalado de máquinas virtuales Windows compatibles para instalar automáticamente el agente de seguridad de Azure. Security Center recopila eventos del agente y los usa para proporcionar alertas de seguridad y tareas de protección personalizadas (recomendaciones). Los conjuntos de escalado de máquinas virtuales Windows de destino deben estar en una ubicación admitida. | DeployIfNotExists, Disabled | 1.0.0-preview |
| [Versión preliminar]: [Versión preliminar]: configurar conjuntos de escalado de máquinas virtuales Windows compatibles para instalar automáticamente la extensión de atestación de invitado | Configure conjuntos de escalado de máquinas virtuales Windows compatibles para instalar automáticamente la extensión de atestación de invitados a fin de permitir que Azure Security Center atestigüe y supervise proactivamente la integridad del arranque. La integridad del arranque se atestigua a través de la atestación remota. | DeployIfNotExists, Disabled | 3.0.0-preview |
| [Versión preliminar]: [Versión preliminar]: configurar máquinas virtuales Windows compatibles para habilitar automáticamente el arranque seguro | Configure las máquinas virtuales Windows admitidas para habilitar automáticamente el arranque seguro para mitigar los cambios malintencionados y no autorizados en la cadena de arranque. Una vez habilitado, solo se permitirá la ejecución de cargadores de arranque de confianza, del kernel y de controladores de kernel. | DeployIfNotExists, Disabled | 3.0.0-preview |
| [Versión preliminar]: [Versión preliminar]: configurar máquinas virtuales Windows compatibles para instalar automáticamente la extensión de atestación de invitado | Configure máquinas virtuales Windows compatibles para instalar automáticamente la extensión de atestación de invitados a fin de permitir que Azure Security Center atestigüe y supervise proactivamente la integridad del arranque. La integridad del arranque se atestigua a través de la atestación remota. | DeployIfNotExists, Disabled | 4.0.0-preview |
| [Versión preliminar]: [Versión preliminar]: configurar máquinas virtuales creadas con imágenes de Shared Image Gallery para instalar la extensión de atestación de invitado | Configure máquinas virtuales creadas con Shared Image Gallery para instalar automáticamente la extensión de atestación de invitados a fin de permitir que Azure Security Center atestigüe y supervise proactivamente la integridad del arranque. La integridad del arranque se atestigua a través de la atestación remota. | DeployIfNotExists, Disabled | 2.0.0-preview |
| [Versión preliminar]: [Versión preliminar]: configurar VMSS creadas con imágenes de Shared Image Gallery para instalar la extensión de atestación de invitado | Configure VMSS creadas con Shared Image Gallery para instalar automáticamente la extensión de atestación de invitados a fin de permitir que Azure Security Center atestigüe y supervise proactivamente la integridad del arranque. La integridad del arranque se atestigua a través de la atestación remota. | DeployIfNotExists, Disabled | 2.0.0-preview |
| [Versión preliminar]: [Versión preliminar]: Implementación del agente de Microsoft Defender para punto de conexión en máquinas híbridas de Linux | Implementa el agente de Microsoft Defender para punto de conexión en máquinas híbridas de Linux. | DeployIfNotExists, AuditIfNotExists, Disabled | 2.0.1-preview |
| [Versión preliminar]: [Versión preliminar]: Implementación del agente de Microsoft Defender para punto de conexión en máquinas virtuales de Linux | Implementa el agente de Microsoft Defender para punto de conexión en las imágenes de VM de Linux aplicables. | DeployIfNotExists, AuditIfNotExists, Disabled | 2.0.1-preview |
| [Versión preliminar]: [Versión preliminar]: Implementación del agente de Microsoft Defender para punto de conexión en máquinas de Azure Arc con sistema Windows | Implementa el agente de Microsoft Defender para punto de conexión en máquinas de Azure Arc con sistema Windows. | DeployIfNotExists, AuditIfNotExists, Disabled | 2.0.1-preview |
| [Versión preliminar]: [Versión preliminar]: Implementación del agente de Microsoft Defender para punto de conexión en máquinas virtuales de Windows | Implementa Microsoft Defender para punto de conexión en las imágenes de VM de Windows aplicables. | DeployIfNotExists, AuditIfNotExists, Disabled | 2.0.1-preview |
| [Versión preliminar]: [Versión preliminar]: la extensión de atestación de invitado debe estar instalada en las máquinas virtuales Linux | Instale la extensión de atestación de invitados en máquinas virtuales Linux compatibles para permitir que Azure Security Center atestigüe y supervise proactivamente la integridad del arranque. Una vez instalada, la integridad del arranque se atestiguará mediante la atestación remota. Esta evaluación solo se aplica a las máquinas virtuales Linux habilitadas para el inicio de confianza. | AuditIfNotExists, Disabled | 5.0.0-preview |
| [Versión preliminar]: [Versión preliminar]: la extensión de atestación de invitado debe estar instalada en los conjuntos de escalado de máquinas virtuales Linux | Instale la extensión de atestación de invitados en conjuntos de escalado de máquinas virtuales Linux compatibles para permitir que Azure Security Center atestigüe y supervise proactivamente la integridad del arranque. Una vez instalada, la integridad del arranque se atestiguará mediante la atestación remota. Esta evaluación solo se aplica a los conjuntos de escalado de máquinas virtuales Linux habilitados para el inicio seguro. | AuditIfNotExists, Disabled | 4.0.0-preview |
| [Versión preliminar]: [Versión preliminar]: la extensión de atestación de invitado debe estar instalada en las máquinas virtuales Windows | Instale la extensión de atestación de invitados en máquinas virtuales compatibles para permitir que Azure Security Center atestigüe y supervise proactivamente la integridad del arranque. Una vez instalada, la integridad del arranque se atestiguará mediante la atestación remota. Esta evaluación solo se aplica a las máquinas virtuales habilitadas para el inicio seguro. | AuditIfNotExists, Disabled | 3.0.0-preview |
| [Versión preliminar]: [Versión preliminar]: la extensión de atestación de invitado debe estar instalada en el conjunto de escalado de las máquinas virtuales Windows | Instale la extensión de atestación de invitados en conjuntos de escalado de máquinas virtuales compatibles para permitir que Azure Security Center atestigüe y supervise proactivamente la integridad del arranque. Una vez instalada, la integridad del arranque se atestiguará mediante la atestación remota. Esta evaluación solo se aplica a los conjuntos de escalado de máquinas virtuales habilitados para el inicio seguro. | AuditIfNotExists, Disabled | 2.0.0-preview |
| [Versión preliminar]: [Versión preliminar]: las máquinas virtuales Linux deben usar el arranque seguro | Para protegerse contra la instalación de rootkits y bootkits basados en malware, habilite el arranque seguro en las máquinas virtuales Linux admitidas. El arranque seguro garantiza que solo se permitirá la ejecución de controladores y sistemas operativos firmados. Esta evaluación solo se aplica a las máquinas virtuales Linux que tienen instalado el agente de Azure Monitor. | AuditIfNotExists, Disabled | 1.0.0-preview |
| [Versión preliminar]: [Versión preliminar]: las máquinas deben tener puertos cerrados que puedan exponer vectores de ataque | Los Términos de uso de Azure prohíben el uso de servicios de Azure de maneras que puedan dañar, deshabilitar, sobrecargar o afectar a cualquier servidor de Microsoft o a la red. Los puertos expuestos identificados por esta recomendación deben cerrarse por motivos de seguridad continuados. Para cada puerto identificado, la recomendación también proporciona una explicación de la posible amenaza. | AuditIfNotExists, Disabled | 1.0.0-preview |
| [Versión preliminar]: [Versión preliminar]: el arranque seguro debe estar habilitado en las máquinas virtuales Windows admitidas | La habilitación del arranque seguro en máquinas virtuales Windows admitidas ayuda a mitigar los cambios malintencionados y no autorizados en la cadena de arranque. Una vez habilitado, solo se permitirá la ejecución de cargadores de arranque de confianza, del kernel y de controladores de kernel. Esta evaluación solo se aplica a las máquinas virtuales Windows habilitadas para el inicio de confianza. | Audit, Disabled | 3.0.0-preview |
| [Versión preliminar]: [Versión preliminar]: el estado de atestación del invitado de la máquina virtual debe ser correcto | La atestación de invitado se realiza mediante el envío de un registro de confianza (TCGLog) a un servidor de atestación. El servidor usa estos registros para determinar si los componentes de arranque son de confianza. Esta evaluación está pensada para detectar riesgos de la cadena de arranque que podrían ser el resultado de una infección por bootkit o rootkit. Esta evaluación solo se aplica a las máquinas virtuales habilitadas para el inicio seguro de confianza que tengan instalada la extensión de atestación de invitado. | AuditIfNotExists, Disabled | 1.0.0-preview |
| [Versión preliminar]: [Versión preliminar]: vTPM debe estar habilitado en las máquinas virtuales admitidas | Habilite el dispositivo TPM virtual en máquinas virtuales compatibles para facilitar el arranque medido y otras características de seguridad del sistema operativo que requieren un TPM. Una vez habilitado, vTPM se puede usar para atestiguar la integridad del arranque. Esta evaluación solo se aplica a las máquinas virtuales habilitadas para el inicio seguro. | Audit, Disabled | 2.0.0-preview |
| Debe designar un máximo de tres propietarios para la suscripción | Se recomienda que designe a un máximo de tres propietarios de suscripción para reducir el riesgo de una brecha de seguridad por parte de un propietario en peligro. | AuditIfNotExists, Disabled | 3.0.0 |
| Debe habilitarse una solución de evaluación de vulnerabilidades en sus máquinas virtuales | Audita las máquinas virtuales para detectar si ejecutan una solución de evaluación de vulnerabilidades admitida. Un componente fundamental de cada programa de seguridad y riesgo cibernético es la identificación y el análisis de las vulnerabilidades. El plan de tarifa estándar de Azure Security Center incluye el análisis de vulnerabilidades de las máquinas virtuales sin costo adicional. Además, Security Center puede implementar automáticamente esta herramienta. | AuditIfNotExists, Disabled | 3.0.0 |
| Los controles de aplicaciones adaptables para definir aplicaciones seguras deben estar habilitados en las máquinas | Habilite controles de aplicaciones para definir la lista de aplicaciones seguras conocidas que se ejecutan en las máquinas, y recibir avisos cuando se ejecuten otras aplicaciones. Esta directiva también ayuda a proteger las máquinas frente al malware. Para simplificar el proceso de configuración y mantenimiento de las reglas, Security Center usa el aprendizaje automático para analizar las aplicaciones que se ejecutan en cada máquina y sugerir la lista de aplicaciones seguras conocidas. | AuditIfNotExists, Disabled | 3.0.0 |
| Las recomendaciones de protección de red adaptable se deben aplicar en las máquinas virtuales accesibles desde Internet | Azure Security Center analiza los patrones de tráfico de máquinas virtuales orientadas a Internet y proporciona recomendaciones de reglas de grupo de seguridad de red que reducen la superficie de ataque potencial. | AuditIfNotExists, Disabled | 3.0.0 |
| Todos los puertos de red deben estar restringidos en los grupos de seguridad de red asociados a la máquina virtual | Azure Security Center identificó que algunas de las reglas de entrada de sus grupos de seguridad de red son demasiado permisivas. Las reglas de entrada no deben permitir el acceso desde los intervalos "Cualquiera" o "Internet". Esto podría permitir a los atacantes acceder a sus recursos. | AuditIfNotExists, Disabled | 3.0.0 |
| Se deben actualizar las reglas de la lista de permitidos de la directiva de controles de aplicaciones adaptables | Supervise los cambios en el comportamiento de los grupos de máquinas configurados para la auditoría mediante controles de aplicaciones adaptables de Azure Security Center. Security Center usa el aprendizaje automático para analizar los procesos en ejecución en las máquinas y sugerir una lista de aplicaciones seguras conocidas. Estas se presentan como aplicaciones recomendadas que se deben permitir en directivas de control de aplicaciones adaptables. | AuditIfNotExists, Disabled | 3.0.0 |
| Los intervalos IP autorizados deben definirse en los servicios de Kubernetes | Restrinja el acceso a la API de administración de servicios de Kubernetes mediante la concesión de acceso de API solo a direcciones IP en intervalos específicos. Se recomienda limitar el acceso a los intervalos IP autorizados para garantizar que solo las aplicaciones de las redes permitidas puedan acceder al clúster. | Audit, Disabled | 2.0.1 |
| El aprovisionamiento automático del agente de Log Analytics debe estar habilitado en la suscripción | A fin de supervisar las amenazas y vulnerabilidades de seguridad, Azure Security Center recopila datos de las máquinas virtuales de Azure. El agente de Log Analytics, anteriormente conocido como Microsoft Monitoring Agent (MMA), recopila los datos al leer distintas configuraciones relacionadas con la seguridad y distintos registros de eventos de la máquina y copiar los datos en el área de trabajo de Log Analytics para analizarlos. Se recomienda habilitar el aprovisionamiento automático para implementar automáticamente el agente en todas las máquinas virtuales de Azure admitidas y en las nuevas que se creen. | AuditIfNotExists, Disabled | 1.0.1 |
| Azure DDoS Protection Standard debe estar habilitado | El estándar de protección DDoS debe estar habilitado en todas las redes virtuales que tengan una subred que forme parte de una instancia de Application Gateway con una dirección IP pública. | AuditIfNotExists, Disabled | 3.0.0 |
| Se debe habilitar Azure Defender para App Service | Azure Defender para App Service aprovecha la escalabilidad de la nube, y la visibilidad que ofrece Azure como proveedor de servicios en la nube, para supervisar si se producen ataques comunes a aplicaciones web. | AuditIfNotExists, Disabled | 1.0.3 |
| Se debe habilitar Azure Defender para servidores de Azure SQL Database | Azure Defender para SQL proporciona funcionalidad para mostrar y mitigar posibles vulnerabilidades de base de datos, detectar actividades anómalas que podrían indicar amenazas para bases de datos SQL, y detectar y clasificar datos confidenciales. | AuditIfNotExists, Disabled | 1.0.2 |
| Se debe habilitar Azure Defender para DNS | Azure Defender para DNS proporciona una capa adicional de protección para los recursos en la nube mediante la supervisión continua de todas las consultas de DNS de los recursos de Azure. Azure Defender alerta sobre las actividades sospechosas en la capa de DNS. Obtenga más información sobre las funcionalidades de Azure Defender para DNS en https://aka.ms/defender-for-dns. La habilitación de este plan de Azure Defender conlleva cargos. Obtenga información sobre los detalles de los precios por región en la página de precios de Security Center: https://aka.ms/pricing-security-center. | AuditIfNotExists, Disabled | 1.0.0 |
| Se debe habilitar Azure Defender para Key Vault | Azure Defender para Key Vault proporciona un nivel de protección adicional de inteligencia de seguridad, ya que detecta intentos inusuales y potencialmente dañinos de obtener acceso a las cuentas de Key Vault o aprovechar sus vulnerabilidades de seguridad. | AuditIfNotExists, Disabled | 1.0.3 |
| Se debe habilitar Azure Defender para bases de datos relacionales de código abierto. | Azure Defender para bases de datos relacionales de código abierto detecta actividades anómalas que indican intentos poco habituales y posiblemente dañinos de acceder a sus bases de datos o de aprovechar sus vulnerabilidades. Obtenga más información sobre las funcionalidades de Azure Defender para bases de datos relacionales de código abierto en https://aka.ms/AzDforOpenSourceDBsDocu. Importante: La habilitación de este plan dará lugar a cargos por la protección de las bases de datos relacionales de código abierto. Obtenga información sobre los precios en la página de precios de Security Center: https://aka.ms/pricing-security-center. | AuditIfNotExists, Disabled | 1.0.0 |
| Se debe habilitar Azure Defender para Resource Manager | Azure Defender para Resource Manager supervisa automáticamente las operaciones de administración de recursos de la organización. Azure Defender detecta amenazas y alerta sobre actividades sospechosas. Obtenga más información sobre las funcionalidades de Azure Defender para Resource Manager en https://aka.ms/defender-for-resource-manager. La habilitación de este plan de Azure Defender conlleva cargos. Obtenga información sobre los detalles de los precios por región en la página de precios de Security Center: https://aka.ms/pricing-security-center. | AuditIfNotExists, Disabled | 1.0.0 |
| Se debe habilitar Azure Defender para servidores | Azure Defender para servidores proporciona protección en tiempo real contra amenazas para las cargas de trabajo del servidor y genera recomendaciones de protección, así como alertas sobre la actividad sospechosa. | AuditIfNotExists, Disabled | 1.0.3 |
| Se debe habilitar Azure Defender para servidores SQL Server en las máquinas | Azure Defender para SQL proporciona funcionalidad para mostrar y mitigar posibles vulnerabilidades de base de datos, detectar actividades anómalas que podrían indicar amenazas para bases de datos SQL, y detectar y clasificar datos confidenciales. | AuditIfNotExists, Disabled | 1.0.2 |
| Se debe habilitar Azure Defender para Storage | Azure Defender para Storage detecta intentos inusuales y potencialmente perjudiciales de acceder a las cuentas de almacenamiento o de vulnerarlas. | AuditIfNotExists, Disabled | 1.0.3 |
| Las instancias de rol de Cloud Services (soporte extendido) deben configurarse de forma segura | Proteja las instancias de rol de Cloud Service (soporte extendido) de los ataques asegurándose de que no se expongan a ninguna vulnerabilidad del sistema operativo. | AuditIfNotExists, Disabled | 1.0.0 |
| Las instancias de rol de Cloud Services (soporte extendido) deben tener instalada una solución de Endpoint Protection | Para proteger las instancias de rol de Cloud Services (soporte extendido) de amenazas y vulnerabilidades, asegúrese de que tiene instalada en ellas una solución de Endpoint Protection. | AuditIfNotExists, Disabled | 1.0.0 |
| Las instancias de rol de Cloud Services (soporte extendido) deben tener instaladas las actualizaciones del sistema | Proteja sus instancias de rol de Cloud Services (soporte extendido) asegurándose de que las actualizaciones críticas y de seguridad más recientes estén instaladas en ellas. | AuditIfNotExists, Disabled | 1.0.0 |
| Configuración para habilitar Azure Defender para App Service | Azure Defender para App Service aprovecha la escalabilidad de la nube, y la visibilidad que ofrece Azure como proveedor de servicios en la nube, para supervisar si se producen ataques comunes a aplicaciones web. | DeployIfNotExists, Disabled | 1.0.1 |
| Configuración para habilitar Azure Defender para una base de datos de Azure SQL | Azure Defender para SQL proporciona funcionalidad para mostrar y mitigar posibles vulnerabilidades de base de datos, detectar actividades anómalas que podrían indicar amenazas para bases de datos SQL, y detectar y clasificar datos confidenciales. | DeployIfNotExists, Disabled | 1.0.0 |
| Configuración para habilitar Azure Defender para DNS | Azure Defender para DNS proporciona una capa adicional de protección para los recursos en la nube mediante la supervisión continua de todas las consultas de DNS de los recursos de Azure. Azure Defender alerta sobre las actividades sospechosas en la capa de DNS. Obtenga más información sobre las funcionalidades de Azure Defender para DNS en https://aka.ms/defender-for-dns. La habilitación de este plan de Azure Defender conlleva cargos. Obtenga información sobre los detalles de los precios por región en la página de precios de Security Center: https://aka.ms/pricing-security-center. | DeployIfNotExists, Disabled | 1.0.1 |
| Configuración para habilitar Azure Defender para Key Vault | Azure Defender para Key Vault proporciona un nivel de protección adicional de inteligencia de seguridad, ya que detecta intentos inusuales y potencialmente dañinos de obtener acceso a las cuentas de Key Vault o aprovechar sus vulnerabilidades de seguridad. | DeployIfNotExists, Disabled | 1.0.1 |
| La configuración de Azure Defender para las bases de datos relacionales de código abierto debería estar habilitada | Azure Defender para bases de datos relacionales de código abierto detecta actividades anómalas que indican intentos poco habituales y posiblemente dañinos de acceder a sus bases de datos o de aprovechar sus vulnerabilidades. Obtenga más información sobre las funcionalidades de Azure Defender para bases de datos relacionales de código abierto en https://aka.ms/AzDforOpenSourceDBsDocu. Importante: La habilitación de este plan dará lugar a cargos por la protección de las bases de datos relacionales de código abierto. Obtenga información sobre los precios en la página de precios de Security Center: https://aka.ms/pricing-security-center. | DeployIfNotExists, Disabled | 1.0.0 |
| Configuración para habilitar Azure Defender para Resource Manager | Azure Defender para Resource Manager supervisa automáticamente las operaciones de administración de recursos de la organización. Azure Defender detecta amenazas y alerta sobre actividades sospechosas. Obtenga más información sobre las funcionalidades de Azure Defender para Resource Manager en https://aka.ms/defender-for-resource-manager. La habilitación de este plan de Azure Defender conlleva cargos. Obtenga información sobre los detalles de los precios por región en la página de precios de Security Center: https://aka.ms/pricing-security-center. | DeployIfNotExists, Disabled | 1.0.1 |
| Configuración para habilitar Azure Defender para servidores | Azure Defender para servidores proporciona protección en tiempo real contra amenazas para las cargas de trabajo del servidor y genera recomendaciones de protección, así como alertas sobre la actividad sospechosa. | DeployIfNotExists, Disabled | 1.0.0 |
| Configuración para habilitar Azure Defender para servidores SQL en máquinas | Azure Defender para SQL proporciona funcionalidad para mostrar y mitigar posibles vulnerabilidades de base de datos, detectar actividades anómalas que podrían indicar amenazas para bases de datos SQL, y detectar y clasificar datos confidenciales. | DeployIfNotExists, Disabled | 1.0.0 |
| Configuración para habilitar Azure Defender para Storage | Azure Defender para Storage detecta intentos inusuales y potencialmente perjudiciales de acceder a las cuentas de almacenamiento o de vulnerarlas. | DeployIfNotExists, Disabled | 1.0.0 |
| Configuración de máquinas para recibir un proveedor de valoración de vulnerabilidades | Azure Defender incluye el examen de vulnerabilidades de las máquinas sin costo adicional. No se necesita ninguna licencia ni cuenta de Qualys, ya que todo se administra sin problemas en Security Center. Al habilitar esta directiva, Azure Defender implementa automáticamente el proveedor de valoración de vulnerabilidades Qualys en todas las máquinas compatibles que todavía no lo tengan instalado. | DeployIfNotExists, Disabled | 4.0.0 |
| Configuración de Microsoft Defender para Azure Cosmos DB para habilitarlo | Microsoft Defender para Azure Cosmos DB es una capa de seguridad nativa de Azure que detecta intentos de aprovechar una vulnerabilidad de seguridad de las bases de datos de las cuentas de Azure Cosmos DB. Defender para Azure Cosmos DB detecta posibles ataques por inyección de código SQL, actores malintencionados conocidos basados en Inteligencia sobre amenazas de Microsoft, patrones de acceso sospechosos y posibles vulnerabilidades de seguridad de la base de datos mediante identidades en peligro o usuarios malintencionados. | DeployIfNotExists, Disabled | 1.0.0 |
| La configuración de Microsoft Defender para contenedores debería estar habilitada | Microsoft Defender para contenedores proporciona protección, evaluación de vulnerabilidades y protecciones en tiempo de ejecución para los entornos de Kubernetes de Azure, híbridos y multinube. | DeployIfNotExists, Disabled | 1.0.0 |
| Las imágenes del registro de contenedor deben tener resueltas las conclusiones de vulnerabilidades. | La evaluación de vulnerabilidades de la imagen de contenedor examina el registro en busca de vulnerabilidades de seguridad y expone los resultados detallados en cada imagen. La resolución de las vulnerabilidades puede mejorar considerablemente la posición de seguridad de los contenedores y protegerlos frente a ataques. | AuditIfNotExists, Disabled | 2.0.1 |
| Implementación: configuración de reglas de eliminación de alertas de Azure Security Center | Elimine las alertas de Azure Security Center para reducir la fatiga que estas ocasionan, mediante la implementación de reglas de eliminación en el grupo de administración o la suscripción. | deployIfNotExists | 1.0.0 |
| Implementación de la exportación a Event Hubs de los datos de Azure Security Center | Habilite la exportación a Event Hubs de los datos de Azure Security Center. Esta directiva implementa una exportación a la configuración del centro de eventos con sus condiciones y centro de eventos de destino en el ámbito asignado. Para implementar esta directiva en las suscripciones recién creadas, abra la pestaña Compatibilidad, seleccione la asignación no conforme pertinente y cree una tarea de corrección. | deployIfNotExists | 4.0.0 |
| Implementación de la exportación al área de trabajo de Log Analytics de los datos de Azure Security Center | Habilitación de la exportación al área de trabajo de Log Analytics de los datos de Azure Security Center. Esta directiva implementa una exportación a la configuración del área de trabajo de Log Analytics con sus condiciones y área de trabajo de destino en el ámbito asignado. Para implementar esta directiva en las suscripciones recién creadas, abra la pestaña Compatibilidad, seleccione la asignación no conforme pertinente y cree una tarea de corrección. | deployIfNotExists | 4.0.0 |
| Implementar la automatización del flujo de trabajo para las alertas de Azure Security Center | Permite la automatización de alertas de Azure Security Center. Esta directiva implementa una automatización de flujos de trabajo con sus condiciones y desencadenadores en el ámbito asignado. Para implementar esta directiva en las suscripciones recién creadas, abra la pestaña Compatibilidad, seleccione la asignación no conforme pertinente y cree una tarea de corrección. | deployIfNotExists | 4.0.0 |
| Implementar la automatización del área de trabajo para las recomendaciones de Azure Security Center | Permite la automatización de las recomendaciones de Azure Security Center. Esta directiva implementa una automatización de flujos de trabajo con sus condiciones y desencadenadores en el ámbito asignado. Para implementar esta directiva en las suscripciones recién creadas, abra la pestaña Compatibilidad, seleccione la asignación no conforme pertinente y cree una tarea de corrección. | deployIfNotExists | 4.0.0 |
| Implementación de la automatización del flujo de trabajo para el cumplimiento normativo de Azure Security Center | Habilitación de la automatización del cumplimiento normativo de Azure Security Center. Esta directiva implementa una automatización de flujos de trabajo con sus condiciones y desencadenadores en el ámbito asignado. Para implementar esta directiva en las suscripciones recién creadas, abra la pestaña Compatibilidad, seleccione la asignación no conforme pertinente y cree una tarea de corrección. | deployIfNotExists | 4.0.0 |
| Las cuentas en desuso deben quitarse de la suscripción | Convendría eliminar las cuentas en desuso de las suscripciones. Las cuentas en desuso son cuentas en las que se ha bloqueado el inicio de sesión. | AuditIfNotExists, Disabled | 3.0.0 |
| Las cuentas en desuso con permisos de propietario deben quitarse de la suscripción | Quitar de la suscripción las cuentas en desuso con permisos de propietario Las cuentas en desuso son cuentas en las que se ha bloqueado el inicio de sesión. | AuditIfNotExists, Disabled | 3.0.0 |
| La opción para enviar notificaciones por correo electrónico para alertas de gravedad alta debe estar habilitada. | Para asegurarse de que las personas pertinentes de la organización reciban una notificación cuando se produzca una vulneración de seguridad potencial en una de las suscripciones, habilite las notificaciones por correo electrónico de alertas de gravedad alta en Security Center. | AuditIfNotExists, Disabled | 1.0.1 |
| La opción para enviar notificaciones por correo electrónico al propietario de la suscripción en relación a alertas de gravedad alta debe estar habilitada. | Para asegurarse de que los propietarios de suscripciones reciban una notificación cuando se produzca una vulneración de seguridad potencial en sus suscripciones, establezca notificaciones por correo electrónico a los propietarios de las suscripciones de alertas de gravedad alta en Security Center. | AuditIfNotExists, Disabled | 2.0.0 |
| Habilitación de los planes de Microsoft Defender for Cloud en la suscripción | Identifica las suscripciones existentes que Microsoft Defender for Cloud no supervisa y las protege con las características gratuitas de Defender for Cloud. Las suscripciones ya supervisadas se considerarán compatibles. Para registrar las suscripciones recién creadas, abra la pestaña Cumplimiento, seleccione la asignación no compatible pertinente y cree una tarea de corrección. | deployIfNotExists | 1.0.1 |
| Habilite el aprovisionamiento automático de Security Center del agente de Log Analytics en sus suscripciones con un área de trabajo personalizada. | Permite a Security Center aprovisionar automáticamente el agente de Log Analytics en sus suscripciones para supervisar y recopilar datos de seguridad mediante un área de trabajo personalizada. | DeployIfNotExists, Disabled | 1.0.0 |
| Habilite el aprovisionamiento automático de Security Center del agente de Log Analytics en sus suscripciones con el área de trabajo predeterminada. | Permite a Security Center aprovisionar automáticamente el agente de Log Analytics en sus suscripciones para supervisar y recopilar datos de seguridad mediante el área de trabajo predeterminada de ASC. | DeployIfNotExists, Disabled | 1.0.0 |
| Los problemas de estado de protección de puntos de conexión se deben resolver en las máquinas | Resuelva los problemas del estado de la protección de los puntos de conexión en las máquinas virtuales para protegerlas frente a amenazas y vulnerabilidades más recientes. Las soluciones de protección de puntos de conexión que admite Azure Security Center se documentan aquí: https://docs.microsoft.com/azure/security-center/security-center-services?tabs=features-windows#supported-endpoint-protection-solutions. La valoración de la protección del punto de conexión se documenta aquí: https://docs.microsoft.com/azure/security-center/security-center-endpoint-protection. | AuditIfNotExists, Disabled | 1.0.0 |
| La protección de los puntos de conexión debe instalarse en las máquinas | Para proteger las máquinas frente a amenazas y vulnerabilidades, instale una solución Endpoint Protection compatible. | AuditIfNotExists, Disabled | 1.0.0 |
| La solución de protección del punto de conexión debe instalarse en las máquinas virtuales | Audite la existencia y el estado de una solución de protección de puntos de conexión en los conjuntos de escalado de máquinas virtuales para protegerlos frente a amenazas y vulnerabilidades. | AuditIfNotExists, Disabled | 3.0.0 |
| Las cuentas externas con permisos de propietario deben quitarse de la suscripción | Las cuentas externas con permisos de propietario deben quitarse de la suscripción a fin de evitar el acceso no supervisado. | AuditIfNotExists, Disabled | 3.0.0 |
| Las cuentas externas con permisos de lectura deben quitarse de la suscripción | Las cuentas externas con privilegios de lectura deben quitarse de la suscripción a fin de evitar el acceso no supervisado. | AuditIfNotExists, Disabled | 3.0.0 |
| Las cuentas externas con permisos de escritura deben quitarse de la suscripción | Las cuentas externas con privilegios de escritura deben quitarse de la suscripción a fin de evitar el acceso no supervisado. | AuditIfNotExists, Disabled | 3.0.0 |
| La extensión "Configuración de invitado" debe estar instalada en las máquinas. | Para garantizar la seguridad de la configuración de invitado, instale la extensión "Configuración de invitado". La configuración de invitado supervisada en la extensión engloba la configuración del sistema operativo, la configuración o presencia de las aplicaciones y la configuración del entorno. Una vez instaladas, las directivas de invitado estarán disponibles como "La protección contra vulnerabilidades de Windows debe estar habilitada.". Obtenga más información en https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 1.0.2 |
| Las máquinas virtuales accesibles desde Internet deben estar protegidas con grupos de seguridad de red | Proteja sus máquinas virtuales de posibles amenazas limitando el acceso a ellas con grupos de seguridad de red (NSG). Más información sobre cómo controlar el tráfico con los grupos de seguridad de red en https://aka.ms/nsg-doc. | AuditIfNotExists, Disabled | 3.0.0 |
| El reenvío de IP en la máquina virtual debe estar deshabilitado | Habilitar el reenvío de IP en la NIC de la máquina virtual permite que la máquina reciba tráfico dirigido a otros destinos. El reenvío de IP rara vez es necesario (por ejemplo, cuando se usa la máquina virtual como una aplicación virtual de red) y, por lo tanto, el equipo de seguridad de red debe revisarlo. | AuditIfNotExists, Disabled | 3.0.0 |
| Kubernetes Services se debe actualizar a una versión de Kubernetes no vulnerable | Actualice el clúster de servicio de Kubernetes a una versión de Kubernetes posterior para protegerse frente a vulnerabilidades conocidas en la versión actual de Kubernetes. La vulnerabilidad CVE-2019-9946 se ha revisado en las versiones de Kubernetes 1.11.9+, 1.12.7+, 1.13.5+ y 1.14.0+ | Audit, Disabled | 1.0.2 |
| El agente de Log Analytics debe instalarse en las instancias de rol de Cloud Services (soporte extendido) | Security Center recopila datos de las instancias de rol de Cloud Services (soporte extendido) para supervisar las vulnerabilidades y amenazas de seguridad. | AuditIfNotExists, Disabled | 2.0.0 |
| El agente de Log Analytics debe instalarse en la máquina virtual para la supervisión de Azure Security Center. | Esta directiva audita cualquier máquina virtual Windows o Linux si el agente de Log Analytics no está instalado y Security Center la utiliza para supervisar las amenazas y vulnerabilidades de seguridad | AuditIfNotExists, Disabled | 1.0.0 |
| El agente de Log Analytics debe instalarse en sus conjuntos de escalado de máquinas virtuales para supervisar Azure Security Center. | Security Center recopila datos de las máquinas virtuales de Azure para supervisar las amenazas y vulnerabilidades de la seguridad. | AuditIfNotExists, Disabled | 1.0.0 |
| Los puertos de administración de las máquinas virtuales deben protegerse con el control de acceso de red Just-In-Time. | Azure Security Center supervisará el posible acceso de red Just-In-Time (JIT) como recomendaciones. | AuditIfNotExists, Disabled | 3.0.0 |
| Se deben cerrar los puertos de administración en las máquinas virtuales | Los puertos de administración remota abiertos exponen la máquina virtual a un alto nivel de riesgo de recibir ataques basados en Internet. Estos ataques intentan averiguar las credenciales por medio de fuerza bruta a fin de obtener acceso de administrador a la máquina | AuditIfNotExists, Disabled | 3.0.0 |
| MFA debe estar habilitado en las cuentas con permisos de escritura de la suscripción. | Multi-Factor Authentication (MFA) debe estar habilitada para todas las cuentas de la suscripción que tengan permisos de escritura, a fin de evitar una brecha de seguridad en las cuentas o los recursos. | AuditIfNotExists, Disabled | 3.0.0 |
| MFA debe estar habilitada en las cuentas con permisos de propietario en la suscripción | Multi-Factor Authentication (MFA) debe estar habilitada para todas las cuentas de la suscripción que tengan permisos de propietario, a fin de evitar una brecha de seguridad en las cuentas o los recursos. | AuditIfNotExists, Disabled | 3.0.0 |
| MFA debe estar habilitada en las cuentas con permisos de lectura en la suscripción | Multi-Factor Authentication (MFA) debe estar habilitada para todas las cuentas de la suscripción que tengan permisos de lectura, a fin de evitar una brecha de seguridad en las cuentas o los recursos. | AuditIfNotExists, Disabled | 3.0.0 |
| Microsoft Defender para Azure Cosmos DB debe estar habilitado | Microsoft Defender para Azure Cosmos DB es una capa de seguridad nativa de Azure que detecta intentos de aprovechar una vulnerabilidad de seguridad de las bases de datos de las cuentas de Azure Cosmos DB. Defender para Azure Cosmos DB detecta posibles ataques por inyección de código SQL, actores malintencionados conocidos basados en Inteligencia sobre amenazas de Microsoft, patrones de acceso sospechosos y posibles vulnerabilidades de seguridad de la base de datos mediante identidades en peligro o usuarios malintencionados. | AuditIfNotExists, Disabled | 1.0.0 |
| Microsoft Defender para contenedores debería estar habilitado | Microsoft Defender para contenedores proporciona protección, evaluación de vulnerabilidades y protecciones en tiempo de ejecución para los entornos de Kubernetes de Azure, híbridos y multinube. | AuditIfNotExists, Disabled | 1.0.0 |
| Supervisar la falta de Endpoint Protection en Azure Security Center | Azure Security Center supervisará los servidores sin un agente de Endpoint Protection instalado como recomendaciones. | AuditIfNotExists, Disabled | 3.0.0 |
| Las máquinas virtuales sin conexión a Internet deben protegerse con grupos de seguridad de red | Proteja las máquinas virtuales no accesibles desde Internet de posibles amenazas limitando el acceso con grupos de seguridad de red (NSG). Más información sobre cómo controlar el tráfico con los grupos de seguridad de red en https://aka.ms/nsg-doc. | AuditIfNotExists, Disabled | 3.0.0 |
| Se debe usar el control de acceso basado en rol (RBAC) en los servicios de Kubernetes | Para proporcionar un filtrado detallado de las acciones que los usuarios pueden realizar, use el control de acceso basado en rol (RBAC) para administrar los permisos en los clústeres de Kubernetes Service y configurar las directivas de autorización correspondientes. | Audit, Disabled | 1.0.2 |
| Las imágenes de contenedor en ejecución deben tener resueltos los resultados de vulnerabilidad | La evaluación de vulnerabilidades de imagen de contenedor examina las imágenes de contenedor que se ejecutan en los clústeres de Kubernetes en busca de vulnerabilidades de seguridad y expone resultados detallados para cada imagen. La resolución de las vulnerabilidades puede mejorar considerablemente la posición de seguridad de los contenedores y protegerlos frente a ataques. | AuditIfNotExists, Disabled | 1.0.1 |
| Es necesario seleccionar el plan de tarifa estándar de Security Center. | El plan de tarifa estándar le permite detectar amenazas en redes y máquinas virtuales, lo que proporciona inteligencia sobre amenazas, detección de anomalías y análisis de comportamiento en Azure Security Center. | Audit, Disabled | 1.0.0 |
| Las bases de datos SQL deben tener resueltos los hallazgos de vulnerabilidades. | Permite supervisar los resultados del examen de evaluación de puntos vulnerables y las recomendaciones para solucionar los de las bases de datos. | AuditIfNotExists, Disabled | 4.0.0 |
| Los servidores SQL de las máquinas deben tener resueltos los hallazgos de vulnerabilidades. | La evaluación de vulnerabilidades de SQL examina la base de datos en busca de vulnerabilidades de seguridad y expone las posibles desviaciones de los procedimientos recomendados, como errores de configuración, permisos excesivos y datos confidenciales sin protección. La corrección de las vulnerabilidades detectadas puede mejorar considerablemente la posición de seguridad de la base de datos. | AuditIfNotExists, Disabled | 1.0.0 |
| Las subredes deben estar asociadas con un grupo de seguridad de red. | Proteja la subred de posibles amenazas mediante la restricción del acceso con un grupo de seguridad de red (NSG). Estos grupos contienen las reglas de la lista de control de acceso (ACL) que permiten o deniegan el tráfico de red a la subred. | AuditIfNotExists, Disabled | 3.0.0 |
| Las suscripciones deben tener una dirección de correo electrónico de contacto para los problemas de seguridad | Para asegurarse de que las personas pertinentes de la organización reciban una notificación cuando se produzca una vulneración de seguridad potencial en una de las suscripciones, establezca un contacto de seguridad para la recepción de notificaciones por correo electrónico de Security Center. | AuditIfNotExists, Disabled | 1.0.1 |
| Se deben instalar las actualizaciones del sistema en los conjuntos de escalado de máquinas virtuales | Audite si falta alguna actualización de seguridad del sistema o actualización crítica que deba instalarse para garantizar que los conjuntos de escalado de máquinas virtuales Windows y Linux sean seguros. | AuditIfNotExists, Disabled | 3.0.0 |
| Se deben instalar actualizaciones del sistema en las máquinas | Azure Security Center supervisará las actualizaciones del sistema de seguridad que faltan en los servidores como recomendaciones. | AuditIfNotExists, Disabled | 4.0.0 |
| Debe haber más de un propietario asignado a la suscripción | Se recomienda que designe a más de un propietario de la suscripción para tener redundancia de acceso de administrador. | AuditIfNotExists, Disabled | 3.0.0 |
| Las máquinas virtuales deben cifrar los discos temporales, las cachés y los flujos de datos entre los recursos de Proceso y Almacenamiento | De manera predeterminada, los discos del sistema operativo y de datos de una máquina virtual se cifran en reposo mediante claves administradas por la plataforma. Los discos temporales, las memorias caché de datos y los datos que fluyen entre el proceso y el almacenamiento no se cifran. Ignore esta recomendación si: 1. Se utiliza el cifrado en el host, o 2. El cifrado del lado servidor en Managed Disks cumple sus requisitos de seguridad. Obtenga más información en: Cifrado del lado servidor de Azure Disk Storage: https://aka.ms/disksse, Diferentes ofertas de cifrado de disco: https://aka.ms/diskencryptioncomparison | AuditIfNotExists, Disabled | 2.0.3 |
| La extensión "Configuración de invitado" de las máquinas virtuales debe implementarse con una identidad administrada asignada por el sistema | La extensión Configuración de invitado requiere una identidad administrada asignada por el sistema. Si las máquinas virtuales de Azure incluidas en el ámbito de esta directiva tienen instalada la extensión "Configuración de invitado" pero no tienen una identidad administrada asignada por el sistema, no cumplirán los requisitos establecidos. Más información en https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 1.0.1 |
| Las vulnerabilidades en las configuraciones de seguridad de contenedor deben corregirse | Audite las vulnerabilidades en la configuración de seguridad de las máquinas con Docker instalado y muéstrelas como recomendaciones en Azure Security Center. | AuditIfNotExists, Disabled | 3.0.0 |
| Se deben corregir las vulnerabilidades en la configuración de seguridad en las máquinas | Azure Security Center supervisará los servidores que no cumplan la línea de base configurada como recomendaciones. | AuditIfNotExists, Disabled | 3.0.0 |
| Se deben corregir las vulnerabilidades en la configuración de seguridad de los conjuntos de escalado de máquinas virtuales | Audite las vulnerabilidades del sistema operativo en los conjuntos de escalado de máquinas virtuales para protegerlos frente a ataques. | AuditIfNotExists, Disabled | 3.0.0 |
Pasos siguientes
En este artículo, ha obtenido información sobre las definiciones de directivas de seguridad de Azure Policy en Defender for Cloud. Para obtener más información sobre las iniciativas, las directivas y cómo se relacionan con las recomendaciones de Defender for Cloud, vea ¿Qué son las directivas de seguridad, las iniciativas y las recomendaciones?