¿Qué es Microsoft Defender for Cloud?

Microsoft Defender for Cloud es un recurso de administración de la posición de seguridad en la nube (CSPM) y la plataforma de protección de cargas de trabajo en la nube (CWPP) para todos los recursos de Azure, locales y multinube (Amazon AWS y Google GCP). Defender for Cloud cubre tres necesidades vitales a medida que administra la seguridad de los recursos y las cargas de trabajo en la nube y en el entorno local:

Understanding the core functionality of Microsoft Defender for Cloud.

  • Puntuación de seguridad de Defender for Cloudevalúa continuamente su posición de seguridad para que pueda hacer un seguimiento de las nuevas oportunidades de seguridad e informar precisamente sobre el progreso de los esfuerzos de seguridad.
  • Recomendaciones de Defender for Cloudprotege las cargas de trabajo con acciones paso a paso que protegen las cargas de trabajo frente a riesgos de seguridad conocidos.
  • Alertas de Defender for Clouddefiende las cargas de trabajo en tiempo real para que pueda reaccionar de inmediato e impedir que tengan lugar eventos de seguridad.

Para ver un tutorial paso a paso de Defender for Cloud, consulte este tutorial interactivo.

Para obtener más información sobre Defender for Cloud de un experto en ciberseguridad, vea las lecciones aprendidas en el campo.

Protección de los recursos y seguimiento del progreso de la seguridad

Las características de Microsoft Defender for Cloud cubren los dos grandes pilares de la seguridad en la nube: la plataforma de protección de cargas de trabajo en la nube (CWPP) y la administración de la posición de seguridad en la nube (CSPM).

CSPM: Corrección de problemas de seguridad y mejora de la posición de seguridad

En Defender for Cloud, las características de administración de posturas proporcionan:

  • Guía de protección: para ayudarle a mejorar la seguridad de forma eficaz.
  • Visibilidad: para ayudarle a entender su situación de seguridad actual.

Defender for Cloud evalúa continuamente los recursos, las suscripciones y la organización en busca de problemas de seguridad, y muestra la posición de seguridad en la puntuación de seguridad, una puntuación agregada de los resultados de seguridad que le indica, de un vistazo, la situación actual de seguridad: cuanto mayor sea la puntuación, menor será el nivel de riesgo identificado.

Tan pronto como abre Defender for Cloud por primera vez, Defender for Cloud:

  • Genera una puntuación de seguridad para sus suscripciones en función de la evaluación de sus recursos conectados en comparación con la guía de Azure Security Benchmark. Use la puntuación para comprender su posición de seguridad y el panel de cumplimiento para revisar el cumplimiento con la prueba comparativa integrada. Cuando haya habilitado las características de seguridad mejoradas, puede personalizar los estándares que se usan para evaluar el cumplimiento y agregar otras regulaciones (como NIST y Azure CIS) o requisitos de seguridad específicos de la organización. También puede aplicar recomendaciones y puntuar en función de los estándares de procedimientos recomendados de seguridad fundamentales de AWS.

  • Proporciona recomendaciones de protección en función de los errores de configuración y los puntos débiles de seguridad identificados. Use estas recomendaciones de seguridad para reforzar la posición de seguridad de los recursos de Azure, híbridos y multinube de su organización.

Más información sobre la puntuación de seguridad

CWP: identificación de los requisitos propios de seguridad de las cargas de trabajo

Defender for Cloud ofrece alertas de seguridad con tecnología de Inteligencia sobre amenazas de Microsoft. También incluye una gama de protecciones avanzadas e inteligentes para las cargas de trabajo. Las protecciones de cargas de trabajo se proporcionan a través de planes de Microsoft Defender específicos de los tipos de recursos de las suscripciones. Por ejemplo, puede habilitar Microsoft Defender para Storage y recibir alertas sobre actividades sospechosas relacionadas con los recursos de almacenamiento.

Protección de todos los recursos bajo un mismo techo

Dado que Defender for Cloud es un servicio nativo de Azure, muchos servicios de Azure se supervisan y protegen sin necesidad de ninguna implementación, pero también puede agregar recursos que se encuentren en el entorno local o en otras nubes públicas.

Cuando sea necesario, Defender for Cloud puede implementar automáticamente un agente de Log Analytics para recopilar datos relacionados con la seguridad. En el caso de las máquinas de Azure, la implementación se controla directamente. Para entornos híbridos y multinube, los planes de Microsoft Defender se extienden a máquinas que no son de Azure con la ayuda de Azure Arc. Las características de CSPM se extienden a máquinas multinube sin necesidad de ningún agente (consulte Defensa de los recursos que se ejecutan en otras nubes).

Defensa de los recursos nativos de Azure

Defender for Cloud le permite detectar amenazas en:

  • Servicios de PaaS de Azure: puede detectar amenazas dirigidas a servicios de Azure como Azure App Service, Azure SQL, la cuenta de Azure Storage y otros servicios de datos. También puede realizar la detección de anomalías en los registros de actividad de Azure mediante la integración nativa con Microsoft Defender para aplicaciones en la nube (anteriormente conocido como Microsoft Cloud App Security).

  • Servicios de datos de Azure: Defender for Cloud incluye funcionalidades que le ayudarán a clasificar automáticamente los datos en Azure SQL. También puede obtener evaluaciones de las posibles vulnerabilidades en los servicios de Azure SQL y Azure Storage, además de recomendaciones sobre cómo mitigarlas.

  • Redes: Defender for Cloud le permite limitar la exposición a los ataques por fuerza bruta. Si reduce el acceso a los puertos de las máquinas virtuales mediante el acceso de máquina virtual Just-In-Time, puede proteger la red al prevenir el acceso innecesario. Puede establecer directivas de acceso seguro en los puertos seleccionados, solo para usuarios autorizados, direcciones IP o intervalos de direcciones IP de origen permitidos y durante un período limitado.

Defensa de los recursos locales

Además de defender el entorno de Azure, puede agregar funcionalidades de Defender for Cloud a su entorno de nube híbrida para proteger los servidores que no sean de Azure. Para que pueda centrarse en lo que más le importa, obtenga inteligencia personalizada sobre las amenazas y alertas prioritarias según su entorno específico.

Para ampliar la protección a las máquinas locales, implemente Azure Arc y habilite las características de seguridad mejoradas de Defender for Cloud. Obtenga más información en Incorporación de máquinas que no sean de Azure con Azure Arc.

Defensa de los recursos que se ejecutan en otras nubes

Defender for Cloud puede proteger los recursos de otras nubes (como AWS y GCP).

Por ejemplo, si ha conectado una cuenta de Amazon Web Services (AWS) a una suscripción de Azure, puede habilitar cualquiera de estas protecciones:

  • Las características de CSPM de Defender para la nube se extienden a los recursos de AWS. Este plan sin agente evalúa los recursos de AWS según las recomendaciones de seguridad específicas de AWS, que se incluyen en la puntuación de seguridad. También se evaluará el cumplimiento de los recursos de los estándares integrados específicos de AWS (AWS CIS, AWS PCI DSS y Procedimientos recomendados de seguridad fundamentales de AWS). La página de inventario de recursos de Defender for Cloud es una característica habilitada para varias nubes, que permite administrar los recursos de AWS junto con los de Azure.
  • Microsoft Defender para Kubernetes amplía la detección de amenazas de contenedores y defensas avanzadas a los clústeres Linux de Amazon EKS.
  • Microsoft Defender para servidores proporciona la detección de amenazas y defensas avanzadas a las instancias de EC2 con Windows y Linux. Este plan incluye la licencia integrada de Microsoft Defender para punto de conexión, líneas base de seguridad y evaluaciones de nivel de sistema operativo, análisis de evaluación de vulnerabilidades, controles de aplicaciones adaptables (AAC), supervisión de la integridad de los archivos (FIM) y mucho más.

Más información sobre la conexión de las cuentas de AWS y GCP a Microsoft Defender para la nube.

Cierre de las brechas antes de que se conviertan en vulnerabilidades

Focus on the assessment features of Microsoft Defender for Cloud.

Defender for Cloud incluye soluciones de evaluación de vulnerabilidades para las máquinas virtuales, los registros de contenedor y los servidores de SQL como parte de las características de seguridad mejoradas. Algunos de los exámenes están basados en Qualys. Aún así, no necesita ninguna licencia ni cuenta de Qualys, ya que todo se administra sin problemas en Defender for Cloud.

Microsoft Defender para servidores incluye integración nativa automática con Microsoft Defender para punto de conexión. Para obtener más información, consulte Protección de los puntos de conexión con la solución EDR integrada de Defender for Cloud: Microsoft Defender para puntos de conexión. Si ha habilitado esta integración, tendrá acceso a los hallazgos relacionados con vulnerabilidades de la administración de amenazas y vulnerabilidades de Microsoft. Obtenga más información en Investigación de puntos débiles con la solución de administración de amenazas y vulnerabilidades de Microsoft Defender para punto de conexión.

Revise los resultados de estos exámenes de vulnerabilidades y responda a todos ellos desde Defender for Cloud. Este amplio enfoque permite que Defender for Cloud sea el único panel para todos los esfuerzos de seguridad en la nube.

Más información en las siguientes páginas:

Aplicación de la directiva de seguridad de la cima a la base

Focus on the 'secure' features of Microsoft Defender for Cloud.

En lo que respecta a la seguridad, resulta fundamental saber que las cargas de trabajo están protegidas y asegurarse de ello, y todo esto comienza con la implementación de directivas de seguridad a la medida. Como las directivas de Defender for Cloud se crean sobre los controles de directivas de Azure, puede obtener la gama completa y la flexibilidad de una solución de directivas de primer nivel. En Defender for Cloud, puede establecer que las directivas se ejecuten en grupos de administración, entre distintas suscripciones e incluso en un inquilino completo.

Defender for Cloud detecta continuamente nuevos recursos que se implementan en las cargas de trabajo y evalúa si están configurados según los procedimientos recomendados de seguridad. Si no es así, se marcan y se obtiene una lista prioritaria de recomendaciones para lo que necesita corregir. Las recomendaciones le permitirán disminuir la superficie expuesta a ataques en cada uno de los recursos.

La lista de recomendaciones está habilitada y es compatible con Azure Security Benchmark. Este punto de referencia es el conjunto de directrices específico de Azure y creado por Microsoft relativo a los procedimientos recomendados de seguridad y cumplimiento basados en marcos de cumplimiento comunes. Puede obtener más información en Introducción a Azure Security Benchmark.

De este modo, Defender for Cloud le permite no solo establecer las directivas de seguridad, sino también aplicar los estándares de seguridad en todos los recursos.

Defender for Cloud recommendation example.

Para ayudarle a conocer el grado de importancia que tiene cada una de las recomendaciones en su postura global acerca de la seguridad, Defender for Cloud agrupa las recomendaciones en controles de seguridad y agrega un valor de puntuación de la seguridad a cada control. Esto resulta esencial para permitirle clasificar por orden de prioridad el trabajo de seguridad.

Defender for Cloud secure score.

Extensión de Defender for Cloud con planes de Defender y supervisión externa

Focus on the 'defend'' features of Microsoft Defender for Cloud.

Puede ampliar la protección Defender for Cloud con:

  • Características avanzadas de protección contra amenazas para máquinas virtuales, bases de datos de SQL, contenedores, aplicaciones web y su red entre otros elementos: las protecciones incluyen la protección de los puertos de administración de las VM con acceso de tipo Just-In-Time y los controles de aplicaciones adaptables para crear listas de elementos permitidos para las aplicaciones que deben y no deben ejecutarse en las máquinas.

Los planes de Defender de Microsoft Defender for Cloud ofrecen defensas completas para los niveles de proceso, datos y servicio de su entorno:

Use los iconos de protección avanzada del panel para la protección de cargas de trabajo para supervisar y configurar cada una de estas protecciones.

Sugerencia

Microsoft Defender para IoT es un producto independiente. Encontrará todos los detalles en Presentación de Microsoft Defender para IoT.

  • Alertas de seguridad: cuando Defender for Cloud detecta una amenaza en cualquiera de las áreas del entorno, genera una alerta de seguridad. Estas alertas describen los detalles de los recursos afectados, los pasos de corrección sugeridos y, en algunos casos, una opción para desencadenar una aplicación lógica como respuesta. Tanto si Defender for Cloud genera una alerta como si la recibe desde un producto de seguridad integrado, puede exportarla. Para exportar las alertas a Microsoft Sentinel, la SIEM de terceros, o cualquier otra herramienta externa, sigue las instrucciones de Transmisión de alertas a una solución de administración de servicios de TI, SIEM o SOAR. La protección contra amenazas de Defender for Cloud incluye el análisis de la cadena de destrucción de fusión, que correlaciona de manera automática las alertas del entorno en función del análisis de la cadena de destrucción cibernética, para que pueda entender mejor la historia completa de una campaña de ataque, dónde empezó y qué tipo de impacto tuvo en los recursos. Las intenciones de la cadena de eliminación admitidas de Defender for Cloud se basan en la versión 9 de la matriz de MITRE ATT&CK.

Más información

También puede consultar los siguientes blogs:

Pasos siguientes

  • Para empezar a trabajar con Defender for Cloud, necesita una suscripción a Microsoft Azure. Si aún no tiene una suscripción, regístrese para obtener una evaluación gratuita.

  • El plan gratuito de Defender para la nube está habilitado en todas las suscripciones actuales de Azure cuando visite las páginas de Defender para la nube en Azure Portal por primera vez, o si se habilita mediante programación con la API REST. Para aprovechar las funcionalidades de detección de amenazas y administración de seguridad avanzada, debe habilitar las características de seguridad mejoradas. Estas características son gratuitas durante los primeros 30 días. Obtenga más información sobre los precios.

  • Si ya está listo para habilitar las características de seguridad mejoradas, el artículo Guía de inicio rápido: Habilitación de características de seguridad mejoradas le guiará a través de los pasos necesarios.