Novedades de Microsoft Defender for Cloud
Defender for Cloud está en desarrollo activo y recibe mejoras continuas. Para mantenerse al día con los avances más recientes, esta página proporciona información sobre las nuevas características, las correcciones de errores y las funcionalidades en desuso.
Esta página se actualiza con frecuencia con las actualizaciones más recientes de Defender for Cloud.
Sugerencia
reciba notificaciones cuando esta página se actualice; para ello, copie y pegue la siguiente dirección URL en su lector de fuentes:
https://aka.ms/mdc/rss
Para obtener información sobre los cambios planeados que están próximos a materializarse en Defender for Cloud, consulte el artículo Próximos cambios importantes en Microsoft Defender for Cloud.
Si busca elementos de más de 6 meses, puede encontrarlos en el Archivo de novedades de Microsoft Defender for Cloud.
Abril de 2024
Defender para contenedores ahora está en fase de disponibilidad general (GA) para AWS y GCP
15 de abril de 2024
La detección de amenazas y la detección sin agente en tiempo de ejecución para AWS y GCP en Defender para contenedores ahora están en la fase de disponibilidad general (GA). Para obtener más información, consulte Matriz de compatibilidad de contenedores en Defender for Cloud.
Además, hay una nueva funcionalidad de autenticación en AWS que simplifica el aprovisionamiento. Para más información, consulte Configuración de componentes de Microsoft Defender para contenedores.
La priorización de riesgos es ahora la experiencia predeterminada en Defender for Cloud
3 de abril de 2024
La priorización de riesgos es ahora la experiencia predeterminada en Defender for Cloud. Esta característica le ayuda a centrarse en los problemas de seguridad más críticos del entorno mediante la priorización de recomendaciones basadas en los factores de riesgo de cada recurso. Los factores de riesgo incluyen el posible impacto del problema de seguridad que se está infringiendo, las categorías de riesgo y la ruta de acceso de ataque de la que forma parte el problema de seguridad.
Obtenga más información sobre priorización de riesgos.
Nuevas recomendaciones de evaluación de vulnerabilidades de contenedores
3 de abril de 2024
Para admitir la nueva experiencia de priorización basada en riesgos para las recomendaciones, hemos creado nuevas recomendaciones para las evaluaciones de vulnerabilidades de contenedores en Azure, AWS y GCP. Informan sobre imágenes de contenedores para cargas de trabajo de registros y contenedores para el tiempo de ejecución:
- Las imágenes de contenedor en el registro de Azure deben tener los resultados de vulnerabilidad resueltos
- Los contenedores que se ejecutan en Azure deben tener los resultados de vulnerabilidad resueltos
- Las imágenes de contenedor en el registro de AWS deben tener los resultados de vulnerabilidad resueltos
- Los contenedores que se ejecutan en AWS deben tener los resultados de vulnerabilidad resueltos
- Las imágenes de contenedor en el Registro de GCP deben tener resultados de vulnerabilidad resueltos
- Los contenedores que se ejecutan en GCP deben tener los resultados de vulnerabilidad resueltos
Las recomendaciones anteriores de evaluación de vulnerabilidades de contenedores se encuentran en una ruta de retirada y se quitarán cuando las nuevas recomendaciones estén disponibles con carácter general.
- Las vulnerabilidades de las imágenes del contenedor del registro de Azure deben resolverse (con la tecnología de Administración de vulnerabilidades de Microsoft Defender)
- Las vulnerabilidades de las imágenes del contenedor en ejecución de Azure deben resolverse (con la tecnología de Administración de vulnerabilidades de Microsoft Defender)
- Las imágenes de contenedor del registro de AWS deben tener resueltos los resultados de vulnerabilidades (con tecnología de Administración de vulnerabilidades de Microsoft Defender)
- La ejecución de imágenes de contenedor de AWS debe tener resueltos los resultados de vulnerabilidades (con tecnología de Administración de vulnerabilidades de Microsoft Defender)
- Las imágenes de contenedor del registro de GCP deben tener resueltos los resultados de las vulnerabilidades (con tecnología de Administración de vulnerabilidades de Microsoft Defender): Microsoft Azure
- Las imágenes de contenedor en ejecución de GCP deben tener resueltos los resultados de las vulnerabilidades (con tecnología de Administración de vulnerabilidades de Microsoft Defender): Microsoft Azure
Nota:
Las nuevas recomendaciones se encuentran actualmente en versión preliminar pública y no se usarán para el cálculo de puntuación segura.
Actualizaciones de Defender para bases de datos relacionales de código abierto
3 de abril de 2024
Actualizaciones posteriores a la disponibilidad general de los servidores flexibles de Defender for PostgreSQL: la actualización permite a los clientes aplicar la protección de los servidores flexibles de PostgreSQL existentes en el nivel de suscripción, lo que permite una flexibilidad completa para habilitar la protección por recurso o para la protección automática de todos los recursos en el nivel de suscripción.
Disponibilidad de los servidores flexibles de Defender for MySQL y disponibilidad general: Defender for Cloud ha ampliado su compatibilidad con bases de datos relacionales de código abierto de Azure mediante la incorporación de servidores flexibles de MySQL.
Esta versión incluye:
- Compatibilidad de alertas con las alertas existentes para servidores únicos de Defender for MySQL.
- Habilitación de recursos individuales.
- Habilitación en el nivel de suscripción.
Si ya protege su suscripción con Defender para bases de datos relacionales de código abierto, los recursos de servidor flexibles se habilitan, protegen y facturan automáticamente.
Las notificaciones de facturación específicas se han enviado por correo electrónico a las suscripciones afectadas.
Obtenga más información sobre Microsoft Defender para bases de datos relacionales de código abierto.
Nota:
Las actualizaciones de los servidores flexibles de Azure Database for MySQL se implementarán en las próximas semanas. Si ve el mensaje de error The server <servername> is not compatible with Advanced Threat Protection, puede esperar a que se implemente la actualización o abrir una incidencia de soporte técnico para actualizar antes el servidor a una versión compatible.
Actualización de recomendaciones para alinearse con los recursos de Azure AI Services
2 de abril de 2024
Las siguientes recomendaciones se han actualizado para alinearse con la categoría Servicios de Azure AI (anteriormente conocida como Cognitive Services y Cognitive Search) para cumplir con el nuevo formato de nomenclatura de Servicios de Azure AI y alinearse con los recursos pertinentes.
| Recomendación antigua | Recomendación actualizada |
|---|---|
| Las cuentas de Cognitive Services deben restringir el acceso a la red | Los recursos de Servicios de Azure AI deben restringir el acceso a la red |
| Las cuentas de Cognitive Services deben tener deshabilitados los métodos de autenticación local | Los recursos del Servicios de Azure AI deben tener deshabilitado el acceso a claves (deshabilitar la autenticación local) |
| Los registros de diagnóstico de los servicios de Search deben estar habilitados. | Los registros de diagnóstico en los recursos de los servicios de Azure AI deben estar habilitados |
Consulte la Lista de recomendaciones de seguridad.
Desuso de la recomendación de Cognitive Services
2 de abril de 2024
La recomendación Public network access should be disabled for Cognitive Services accounts está en desuso. La definición de directiva relacionada Cognitive Services accounts should disable public network access se ha quitado del panel de cumplimiento normativo.
Esta recomendación ya está siendo cubierta por otra recomendación de red para Servicios de Azure AI, Cognitive Services accounts should restrict network access.
Consulte la Lista de recomendaciones de seguridad.
Recomendaciones para contenedores multinube (GA)
2 de abril de 2024
Como parte de la disponibilidad general multinube de Defender para contenedores, también se anuncian las siguientes recomendaciones:
- Para Azure
| Recomendación | Descripción | Clave de evaluación |
|---|---|---|
| Las imágenes de contenedor de Azure Registry deben tener vulnerabilidades resueltas | La evaluación de vulnerabilidades de la imagen de contenedor examina el registro para detectar vulnerabilidades conocidas (CVE) y proporciona un informe detallado de vulnerabilidades para cada imagen. La resolución de vulnerabilidades puede mejorar considerablemente la posición de seguridad, lo que garantiza que las imágenes sean seguras para usarlas antes de la implementación. | c0b7cfc6-3172-465a-b378-53c7ff2cc0d5 |
| Las imágenes de contenedor en ejecución de Azure deben tener vulnerabilidades resueltas | La evaluación de vulnerabilidades de la imagen de contenedor examina el registro para detectar vulnerabilidades conocidas (CVE) y proporciona un informe detallado de vulnerabilidades para cada imagen. Esta recomendación proporciona visibilidad de las imágenes vulnerables que se ejecutan actualmente en los clústeres de Kubernetes. La corrección de vulnerabilidades en imágenes de contenedor que se están ejecutando actualmente es clave para mejorar la posición de seguridad, lo que reduce significativamente la superficie expuesta a ataques para las cargas de trabajo en contenedores. | c609cf0f-71ab-41e9-a3c6-9a1f7fe1b8d5 |
- Para GCP
| Recomendación | Descripción | Clave de evaluación |
|---|---|---|
| Las imágenes de contenedor del registro de GCP deben tener resueltos los resultados de las vulnerabilidades (con tecnología de Administración de vulnerabilidades de Microsoft Defender): Microsoft Azure | Examina las imágenes de contenedor de los registros de GCP para detectar vulnerabilidades conocidas (CVE) y proporciona un informe detallado de vulnerabilidades para cada imagen. La resolución de vulnerabilidades puede mejorar considerablemente la posición de seguridad, lo que garantiza que las imágenes sean seguras para usarlas antes de la implementación. | c27441ae-775c-45be-8ffa-655de37362ce |
| Las imágenes de contenedor en ejecución de GCP deben tener resueltos los resultados de las vulnerabilidades (con tecnología de Administración de vulnerabilidades de Microsoft Defender): Microsoft Azure | La evaluación de vulnerabilidades de la imagen de contenedor examina el registro para detectar vulnerabilidades conocidas (CVE) y proporciona un informe detallado de vulnerabilidades para cada imagen. Esta recomendación proporciona visibilidad de las imágenes vulnerables que se ejecutan actualmente en los clústeres de Google Kubernetes. La corrección de vulnerabilidades en imágenes de contenedor que se están ejecutando actualmente es clave para mejorar la posición de seguridad, lo que reduce significativamente la superficie expuesta a ataques para las cargas de trabajo en contenedores. | 5cc3a2c1-8397-456f-8792-fe9d0d4c9145 |
- Para AWS
| Recomendación | Descripción | Clave de evaluación |
|---|---|---|
| Las imágenes de contenedor del registro de AWS deben tener resueltos los resultados de vulnerabilidades (con tecnología de Administración de vulnerabilidades de Microsoft Defender) | Examina las imágenes de contenedor de los registros de GCP para detectar vulnerabilidades conocidas (CVE) y proporciona un informe detallado de vulnerabilidades para cada imagen. La resolución de vulnerabilidades puede mejorar considerablemente la posición de seguridad, lo que garantiza que las imágenes sean seguras para usarlas antes de la implementación. Examina las imágenes de contenedor de los registros de AWS para detectar vulnerabilidades conocidas (CVE) y proporciona un informe detallado de vulnerabilidades para cada imagen. La resolución de vulnerabilidades puede mejorar considerablemente la posición de seguridad, lo que garantiza que las imágenes sean seguras para usarlas antes de la implementación. | c27441ae-775c-45be-8ffa-655de37362ce |
| La ejecución de imágenes de contenedor de AWS debe tener resueltos los resultados de vulnerabilidades (con tecnología de Administración de vulnerabilidades de Microsoft Defender) | La evaluación de vulnerabilidades de la imagen de contenedor examina el registro para detectar vulnerabilidades conocidas (CVE) y proporciona un informe detallado de vulnerabilidades para cada imagen. Esta recomendación proporciona visibilidad de las imágenes vulnerables que se ejecutan actualmente en los clústeres elásticos de Kubernetes. La corrección de vulnerabilidades en imágenes de contenedor que se están ejecutando actualmente es clave para mejorar la posición de seguridad, lo que reduce significativamente la superficie expuesta a ataques para las cargas de trabajo en contenedores. | 682b2595-d045-4cff-b5aa-46624eb2dd8f |
Las recomendaciones afectan al cálculo de la puntuación segura.
Marzo de 2024
El examen de imágenes de contenedor de Windows ahora está disponible con carácter general (GA)
31 de marzo de 2024
Anunciamos la disponibilidad general (GA) de la compatibilidad con imágenes de contenedor de Windows para el examen mediante Defender para contenedores.
La exportación continua ahora incluye datos de ruta de acceso de ataque
25 de marzo de 2024
Anunciamos que la exportación continua ahora incluye datos de ruta de acceso de ataque. Esta característica permite transmitir datos de seguridad a Log Analytics en Azure Monitor, a Azure Event Hubs o a otra solución de modelo de implementación de Administración de eventos e información de seguridad (SIEM), de respuesta automatizada de orquestación de seguridad (SOAR) o clásica de TI.
Más información sobre la exportación continua.
El examen sin agente admite máquinas virtuales cifradas de CMK en Azure
21 de marzo de 2024
Hasta ahora, el examen sin agente abarcaba máquinas virtuales cifradas de CMK en AWS y GCP. Con esta versión también se está completando la compatibilidad con Azure. La funcionalidad emplea un enfoque de examen único para CMK en Azure:
- Defender for Cloud no controla la clave ni el proceso de descifrado. Azure Compute controla sin problemas el control de claves y el descifrado y es transparente para el servicio de examen sin agente de Defender for Cloud.
- Los datos de disco de máquina virtual sin cifrar nunca se copian ni se vuelven a cifrar con otra clave.
- La clave original no se replica durante el proceso. Purgarla elimina los datos en la máquina virtual de producción y en la instantánea temporal de Defender for Cloud.
Durante la versión preliminar pública, esta funcionalidad no está habilitada automáticamente. Si usa Defender para servidores P2 o CSPM de Defender y su entorno tiene máquinas virtuales con discos cifrados de CMK, ahora puede hacerles analizar vulnerabilidades, secretos y malware siguiendo estos pasos de habilitación.
- Obtener más información sobre el examen sin agente de máquinas virtuales
- Obtener más información sobre los permisos de examen sin agente
Nuevas recomendaciones de detección y respuesta de puntos de conexión
18 de marzo de 2024
Anunciamos nuevas recomendaciones de detección y respuesta de puntos de conexión que detectan y evalúan la configuración de soluciones de respuesta y detección de puntos de conexión compatibles. Si se encuentran problemas, estas recomendaciones ofrecen pasos de corrección.
Las siguientes recomendaciones de protección de puntos de conexión sin agente ahora están disponibles si tiene habilitado el plan 2 de Defender para servidores o el plan CSPM de Defender en la suscripción con la característica de examen de máquinas sin agente habilitada. Las recomendaciones admiten máquinas de Azure y multinube. No se admiten máquinas locales.
| Nombre de la recomendación | Descripción | severity |
|---|---|---|
| La solución EDR debe instalarse en Virtual Machines | Para proteger las máquinas virtuales, instale una solución de detección y respuesta de puntos de conexión (EDR). Las EDR ayudan a evitar, detectar, investigar y responder a amenazas avanzadas. Use Microsoft Defender para servidores para implementar Microsoft Defender para punto de conexión. Si el recurso se clasifica como "Incorrecto", no tiene instalada una solución EDR compatible [Vínculo de marcador de posición - Obtener más información]. Si tiene instalada una solución EDR que esta recomendación no puede reconocer, puede excluirla. | Alto |
| La solución EDR debe instalarse en EC2 | Para proteger EC2, instale una solución de detección y respuesta de puntos de conexión (EDR). Las EDR ayudan a evitar, detectar, investigar y responder a amenazas avanzadas. Use Microsoft Defender para servidores para implementar Microsoft Defender para punto de conexión. Si el recurso se clasifica como "Incorrecto", no tiene instalada una solución EDR compatible [Vínculo de marcador de posición - Obtener más información]. Si tiene instalada una solución EDR que esta recomendación no puede reconocer, puede excluirla. | Alto |
| La solución EDR debe instalarse en máquinas virtuales de GCP | Para proteger las máquinas virtuales, instale una solución de detección y respuesta de puntos de conexión (EDR). Las EDR ayudan a evitar, detectar, investigar y responder a amenazas avanzadas. Use Microsoft Defender para servidores para implementar Microsoft Defender para punto de conexión. Si el recurso se clasifica como "Incorrecto", no tiene instalada una solución EDR compatible [Vínculo de marcador de posición - Obtener más información]. Si tiene instalada una solución EDR que esta recomendación no puede reconocer, puede excluirla. | Alto |
| Los problemas de configuración de EDR deben resolverse en las máquinas virtuales | Para proteger las máquinas virtuales frente a las amenazas y vulnerabilidades más recientes, resuelva todos los problemas de configuración identificados con la solución de detección y respuesta de puntos de conexión (EDR) instalada. Nota: Actualmente, esta recomendación solo se aplica a los recursos con Microsoft Defender para punto de conexión (MDE) habilitado. |
Alto |
| Los problemas de configuración de EDR deben resolverse en EC2 | Para proteger las máquinas virtuales frente a las amenazas y vulnerabilidades más recientes, resuelva todos los problemas de configuración identificados con la solución de detección y respuesta de puntos de conexión (EDR) instalada. Nota: Actualmente, esta recomendación solo se aplica a los recursos con Microsoft Defender para punto de conexión (MDE) habilitado. |
Alto |
| Los problemas de configuración de EDR deben resolverse en máquinas virtuales de GCP | Para proteger las máquinas virtuales frente a las amenazas y vulnerabilidades más recientes, resuelva todos los problemas de configuración identificados con la solución de detección y respuesta de puntos de conexión (EDR) instalada. Nota: Actualmente, esta recomendación solo se aplica a los recursos con Microsoft Defender para punto de conexión (MDE) habilitado. |
Alto |
Obtener información sobre cómo administrar estas nuevas recomendaciones de detección y respuesta de puntos de conexión (sin agente)
Estas recomendaciones de la versión preliminar pública quedarán en desuso a finales de marzo.
| Recomendación | Agente |
|---|---|
| La protección de los puntos de conexión debe instalarse en las máquinas (público) | MMA/AMA |
| Los problemas de estado de la protección de puntos de conexión se deben resolver en las máquinas (público) | MMA/AMA |
Todavía se admiten las recomendaciones disponibles con carácter general y se seguirán admitiendo hasta agosto de 2024.
Obtenga información sobre cómo prepararse para la nueva experiencia de recomendaciones de detección de puntos de conexión.
Las recomendaciones personalizadas basadas en KQL para Azure ya son una versión preliminar pública
17 de marzo de 2024
Las recomendaciones personalizadas basadas en KQL para Azure ya son una versión preliminar pública y son compatibles con todas las nubes. Para obtener más información, consulte Crear recomendaciones y estándares de seguridad personalizados.
Inclusión de recomendaciones de DevOps en la prueba comparativa de seguridad en la nube de Microsoft
13 de marzo de 2024
En la actualidad, anunciamos que ahora puedes supervisar la posición de seguridad y cumplimiento de DevOps en la prueba comparativa de seguridad en la nube de Microsoft (MCSB) además de Azure, AWS y GCP. Las evaluaciones de DevOps forman parte del control de seguridad de DevOps en MCSB.
MCSB es un nuevo marco que define los principios fundamentales de la seguridad en la nube según los estándares y los marcos de cumplimiento comunes del sector. MCSB proporciona detalles prescriptivos sobre cómo implementar sus recomendaciones de seguridad independientes de la nube.
Obtén más información sobre las recomendaciones de DevOps que se incluirán y la prueba comparativa de seguridad en la nube de Microsoft.
La integración de ServiceNow ahora está con disponibilidad general (GA)
12 de marzo de 2024
Anunciamos la disponibilidad general (GA) de la integración de ServiceNow.
Protección de recursos críticos en Microsoft Defender for Cloud (versión preliminar)
12 de marzo de 2024
Defender for Cloud ahora incluye una característica crítica para la empresa, mediante el motor de recursos críticos de la administración de la exposición de seguridad de Microsoft, para identificar y proteger recursos importantes mediante la priorización de riesgos, el análisis de rutas de acceso a ataques y el explorador de seguridad en la nube. Para obtener más información, consulta Protección de recursos críticos en Microsoft Defender for Cloud (versión preliminar).
Recomendaciones mejoradas de AWS y GCP con scripts de corrección automatizados
12 de marzo de 2024
Estamos mejorando las recomendaciones de AWS y GCP con scripts de corrección automatizada que te permiten corregirlos mediante programación y a gran escala. Obtén más información sobre scripts de corrección automatizada.
(Versión preliminar) Estándares de cumplimiento agregados al panel de cumplimiento
6 de marzo de 2024
En función de los comentarios de los clientes, hemos agregado estándares de cumplimiento en versión preliminar a Defender for Cloud.
Consulte la lista completa de los estándares de cumplimiento admitidos
Estamos trabajando continuamente para agregar y actualizar nuevos estándares para entornos de Azure, AWS y GCP.
Obtenga información sobre cómo asignar un estándar de seguridad.
Desuso de dos recomendaciones relacionadas con PCI
5 de marzo de 2024
Las dos recomendaciones siguientes relacionadas con Permission Creep Index (PCI) están en desuso:
- Se deben investigar las identidades sobreaprovisionadas en las cuentas para reducir el índice de autorización de permisos (PCI)
- Se deben investigar las identidades sobreaprovisionadas en las suscripciones para reducir el índice de pérdida de permisos (PCI).
Consulte la Lista de recomendaciones de seguridad en desuso.
Evaluación de vulnerabilidades de Los contenedores en la nube de Defender para la nube con tecnología de la retirada de Qualys
3 de marzo de 2024
La evaluación de vulnerabilidades de Defender for Cloud Containers con tecnología de Qualys se está retirando. La retirada se completará el 6 de marzo y, hasta ese momento, los resultados parciales pueden aparecer en las recomendaciones de Qualys y Qualys da como resultado el gráfico de seguridad. Los clientes que anteriormente usaban esta evaluación deben actualizarse a evaluaciones de vulnerabilidades de Azure con la administración de vulnerabilidades de Microsoft Defender. Para obtener información sobre la transición a la oferta de evaluación de vulnerabilidades del contenedor con tecnología de la Administración de vulnerabilidades de Microsoft Defender, consulte Transición de Qualys a la Administración de vulnerabilidades de Microsoft Defender.
Febrero de 2024
Administración de directivas de seguridad actualizadas amplía la compatibilidad con AWS y GCP
28 de febrero de 2024
La experiencia actualizada para administrar directivas de seguridad, publicada inicialmente en versión preliminar para Azure, está ampliando su compatibilidad con entornos entre nubes (AWS y GCP). Esta versión preliminar incluye:
- Administración de estándares de cumplimiento normativo en Defender for Cloud en entornos de Azure, AWS y GCP.
- La misma experiencia de interfaz entre nubes para crear y administrar recomendaciones personalizadas de Microsoft Cloud Security Benchmark (MCSB).
- La experiencia actualizada se aplica a AWS y GCP para crear recomendaciones personalizadas con una consulta KQL.
Compatibilidad con la nube para Defender para contenedores
26 de febrero de 2024
Las características de detección de amenazas de Azure Kubernetes Service (AKS) en Defender para contenedores ahora son totalmente compatibles con las nubes comerciales, de Azure Government y de Azure China 21Vianet. Revise las características admitidas.
Nueva versión del sensor de Defender para Defender para contenedores
20 de febrero de 2024
Hay disponible una nueva versión del sensor de Defender para Defender para contenedores. Esta incluye mejoras de rendimiento y seguridad, compatibilidad con nodos de arco AMD64 y ARM64 (solo Linux) y usa Inspektor Gadget como agente de recopilación de procesos en lugar de Sysdig. La nueva versión solo se admite en las versiones del kernel de Linux 5.4 y posteriores, por lo que si tiene versiones anteriores del kernel de Linux, debe actualizar. La compatibilidad con ARM 64 solo está disponible en AKS V1.29 y versiones posteriores. Para más información, consulte Sistemas operativos host compatibles.
Compatibilidad con la especificación del formato de imagen Open Container Initiative (OCI)
18 de febrero de 2024
La especificación del formato de imagen Open Container Initiative (OCI) ahora es compatible con la evaluación de vulnerabilidades, con tecnología de Administración de vulnerabilidades de Microsoft Defender para AWS, nubes de Azure y GCP.
Retirada de la valoración de vulnerabilidades de contenedores de AWS con tecnología de Trivy
13 de febrero de 2024
La valoración de vulnerabilidades de contenedores de AWS con tecnología de Trivy se ha retirado. Los clientes que previamente utilizaban esta valoración deben actualizar a la nueva Valoración de vulnerabilidades de contenedores de AWS con tecnología de Administración de vulnerabilidades de Microsoft Defender. Para obtener instrucciones de actualización, vea ¿Cómo actualizo de la evaluación de vulnerabilidades de Trivy retirada a la evaluación de vulnerabilidades de AWS con tecnología de Administración de vulnerabilidades de Microsoft Defender?
Recomendaciones publicadas para la versión preliminar: cuatro recomendaciones para el tipo de recurso de Azure Stack HCI
8 de febrero de 2024
Hemos agregado cuatro nuevas recomendaciones para Azure Stack HCI como nuevo tipo de recurso que se puede administrar a través de Microsoft Defender for Cloud. Estas nuevas recomendaciones se encuentran actualmente en versión preliminar pública.
Consulte la Lista de recomendaciones de seguridad.
Enero de 2024
Nueva conclusión para los repositorios activos en Cloud Security Explorer
31 de enero de 2024
Se ha agregado una nueva conclusión para los repositorios de Azure DevOps en Cloud Security Explorer para indicar si los repositorios están activos. Esta conclusión indica que el repositorio de código no está archivado ni deshabilitado, por lo que el acceso de escritura a código, las compilaciones y las solicitudes de cambios siguen estando disponibles para los usuarios. Los repositorios archivados y deshabilitados pueden considerarse de prioridad baja, ya que el código no se usa normalmente en implementaciones activas.
Para probar la consulta a través de Cloud Security Explorer, use este vínculo de consulta.
Desuso de las alertas de seguridad y actualización al nivel de gravedad informativo
25 de enero de 2024
Este anuncio incluye alertas de seguridad de contenedor que están en desuso y alertas de seguridad cuyo nivel de gravedad se actualiza a informativo.
Las siguientes alertas de seguridad de contenedor están en desuso:
Anomalous pod deployment (Preview) (K8S_AnomalousPodDeployment)Excessive role permissions assigned in Kubernetes cluster (Preview) (K8S_ServiceAcountPermissionAnomaly)Anomalous access to Kubernetes secret (Preview) (K8S_AnomalousSecretAccess)
Las siguientes alertas de seguridad se actualizan al nivel de gravedad informativo:
Alertas de máquinas Windows:
Adaptive application control policy violation was audited (VM_AdaptiveApplicationControlWindowsViolationAudited)Adaptive application control policy violation was audited (VM_AdaptiveApplicationControlLinuxViolationAudited)
Alertas para contenedores:
Attempt to create a new Linux namespace from a container detected (K8S.NODE_NamespaceCreation)Attempt to stop apt-daily-upgrade.timer service detected (K8S.NODE_TimerServiceDisabled)Command within a container running with high privileges (K8S.NODE_PrivilegedExecutionInContainer)Container running in privileged mode (K8S.NODE_PrivilegedContainerArtifacts)Container with a sensitive volume mount detected (K8S_SensitiveMount)Creation of admission webhook configuration detected (K8S_AdmissionController)Detected suspicious file download (K8S.NODE_SuspectDownloadArtifacts)Docker build operation detected on a Kubernetes node (K8S.NODE_ImageBuildOnNode)New container in the kube-system namespace detected (K8S_KubeSystemContainer)New high privileges role detected (K8S_HighPrivilegesRole)Privileged container detected (K8S_PrivilegedContainer)Process seen accessing the SSH authorized keys file in an unusual way (K8S.NODE_SshKeyAccess)Role binding to the cluster-admin role detected (K8S_ClusterAdminBinding)SSH server is running inside a container (K8S.NODE_ContainerSSH)
Alertas de DNS:
Communication with suspicious algorithmically generated domain (AzureDNS_DomainGenerationAlgorithm)Communication with suspicious algorithmically generated domain (DNS_DomainGenerationAlgorithm)Communication with suspicious random domain name (Preview) (DNS_RandomizedDomain)Communication with suspicious random domain name (AzureDNS_RandomizedDomain)Communication with possible phishing domain (AzureDNS_PhishingDomain)Communication with possible phishing domain (Preview) (DNS_PhishingDomain)
Alertas de Azure App Service:
NMap scanning detected (AppServices_Nmap)Suspicious User Agent detected (AppServices_UserAgentInjection)
Alertas de la capa de red de Azure:
Possible incoming SMTP brute force attempts detected (Generic_Incoming_BF_OneToOne)Traffic detected from IP addresses recommended for blocking (Network_TrafficFromUnrecommendedIP)
Alertas de Azure Resource Manager:
Privileged custom role created for your subscription in a suspicious way (Preview)(ARM_PrivilegedRoleDefinitionCreation)
Consulte la lista completa de alertas de seguridad.
Posición de contenedor sin agente para GCP en Defender para contenedores y CSPM de Defender (versión preliminar)
24 de enero de 2024
Las nuevas funcionalidades de posición de contenedor sin agente (versión preliminar) están disponibles para GCP, incluidas las Evaluaciones de vulnerabilidades de GCP con administración de vulnerabilidades de Microsoft Defender. Para obtener más información acerca de todas las funcionalidades, consulte Posición de contenedor sin agente en el CSPM de Defender y Funcionalidades sin agente en Defender para contenedores.
También puede leer sobre la administración de la posición de contenedor sin agente para multinube en esta entrada de blog.
Versión preliminar pública del examen de malware sin agente para servidores
16 de enero de 2024
Anunciamos el lanzamiento de la detección de malware sin agente de Defender for Cloud para las máquinas virtuales (VM) de Azure, las instancias de AWS EC2 y las instancias de máquina virtual de GCP, como una nueva característica incluida en Defender para servidores Plan 2.
La detección de malware sin agente para máquinas virtuales ahora se incluye en nuestra plataforma de análisis sin agente. El análisis de malware sin agente utiliza Antivirus de Microsoft Defender motor antimalware para examinar y detectar archivos malintencionados. Cualquier amenaza detectada, desencadene alertas de seguridad directamente en Defender for Cloud y XDR de Defender, donde se pueden investigar y corregir. El escáner de malware sin agente complementa la cobertura basada en agente con una segunda capa de detección de amenazas con incorporación sin fricción y no tiene ningún efecto en el rendimiento de la máquina.
Obtenga más información acerca del análisis de malware sin agente para servidores y análisis sin agente de máquinas virtuales.
Disponibilidad general de la integración de Defender for Cloud con XDR de Microsoft Defender
15 de enero de 2024
Anunciamos la disponibilidad general (GA) de la integración entre Defender for Cloud y Microsoft Defender XDR (anteriormente Microsoft 365 Defender).
La integración aporta funcionalidades competitivas de protección en la nube al día a día de centro de operaciones de seguridad (SOC). Con la integración de Microsoft Defender for Cloud y Defender XDR, los equipos SOC pueden descubrir ataques que combinan detecciones de múltiples pilares, incluyendo Cloud, Endpoint, Identity, Office 365 y más.
Obtenga más información acerca de Alertas e incidentes en XDR de Microsoft Defender.
Las anotaciones de solicitud de incorporación de cambios de seguridad de DevOps ahora están habilitadas de manera predeterminada para los conectores de Azure DevOps
12 de enero de 2024
La seguridad de DevOps expone los resultados de seguridad como anotaciones en solicitudes de incorporación de cambios (PR) para ayudar a los desarrolladores a evitar y corregir posibles vulnerabilidades de seguridad y configuraciones incorrectas antes de entrar en producción. A partir del 12 de enero de 2024, las anotaciones de solicitud de incorporación de cambios ahora están habilitadas de manera predeterminada para todos los repositorios de Azure DevOps nuevos y existentes que están conectados a Defender for Cloud.
De manera predeterminada, las anotaciones de PR solo están habilitadas para las conclusiones de infraestructura de gravedad alta como código (IaC). Los clientes seguirán teniendo que configurar Microsoft Security para DevOps (MSDO) para que se ejecuten en compilaciones de PR y habilitar la directiva de validación de compilación para compilaciones de CI en la configuración del repositorio de Azure DevOps. Los clientes pueden deshabilitar la característica anotación de PR para repositorios específicos desde las opciones de configuración del repositorio de la hoja de seguridad de DevOps.
Obtenga más información acerca de cómo Habilitar anotaciones de solicitud de incorporación de cambios para Azure DevOps.
Recomendaciones publicadas para la versión preliminar: nueve nuevas recomendaciones de seguridad de Azure
4 de enero de 2024
Hemos agregado nueve nuevas recomendaciones de seguridad de Azure alineadas con Microsoft Cloud Security Benchmark. Estas nuevas recomendaciones se encuentran actualmente en versión preliminar pública.
| Recomendación | Descripción | severity |
|---|---|---|
| Las cuentas de Cognitive Services deben tener deshabilitados los métodos de autenticación local | La deshabilitación de métodos de autenticación local mejora la seguridad, ya que garantiza que las cuentas de Cognitive Services requieran identidades de Azure Active Directory exclusivamente para la autenticación. Más información en: https://aka.ms/cs/auth. (Directiva relacionada: Las cuentas de Cognitive Services deben tener deshabilitados los métodos de autenticación local). | Bajo |
| Cognitive Services debe usar un vínculo privado | Azure Private Link permite conectar las redes virtuales a los servicios de Azure sin una dirección IP pública en el origen o el destino. La plataforma Private Link administra la conectividad entre el consumidor y los servicios a través de la red troncal de Azure. Al asignar puntos de conexión privados a Cognitive Services, reducirá la posibilidad de pérdida de datos. Más información acerca de los vínculos privados. (Directiva relacionada: Cognitive Services debe usar un vínculo privado). | Media |
| Las máquinas virtuales y los conjuntos de escalado de máquinas virtuales deben tener habilitado el cifrado en el host | Use el cifrado en el host para obtener el cifrado de un extremo a otro para la máquina virtual y los datos del conjunto de escalado de máquinas virtuales. El cifrado en el host permite el cifrado en reposo para las memorias caché de disco temporal y de sistema operativo y de datos. Los discos temporales y los discos de SO efímeros se cifran con claves administradas por la plataforma cuando se habilita el cifrado en el host. Las memorias caché del disco de datos y de sistema operativo se cifran en reposo con claves administradas por el cliente o por la plataforma, según el tipo de cifrado seleccionado en el disco. Obtenga más información en https://aka.ms/vm-hbe. (Directiva relacionada: Las máquinas virtuales y los conjuntos de escalado de máquinas virtuales deben tener cifrado en el host habilitado). | Media |
| Azure Cosmos DB debe deshabilitar el acceso a la red pública | Deshabilitar el acceso a la red pública mejora la seguridad asegurándose de que la cuenta de Cosmos DB no se expone en la red pública de Internet. La creación de puntos de conexión privados puede limitar la exposición de la cuenta de Cosmos DB. Más información. (Directiva relacionada: Azure Cosmos DB debe deshabilitar el acceso a la red pública). | Media |
| Las cuentas de Cosmos DB deben usar un vínculo privado | Azure Private Link permite conectar la red virtual a servicios de Azure sin una dirección IP pública en el origen o el destino. La plataforma Private Link administra la conectividad entre el consumidor y los servicios a través de la red troncal de Azure. Mediante la asignación de puntos de conexión privados a la cuenta de Cosmos DB, se reducen los riesgos de pérdida de datos. Obtenga más información acerca de vínculos privados. (Directiva relacionada: Las cuentas de Cosmos DB deben usar un vínculo privado). | Media |
| Las puertas de enlace de VPN solo deben usar la autenticación de Azure Active Directory (Azure AD) para los usuarios de punto a sitio | La deshabilitación de los métodos de autenticación local mejora la seguridad, ya que garantiza que las instancias de VPN Gateway usen exclusivamente identidades de Azure Active Directory para la autenticación. Obtenga más información acerca de Autenticación de Azure AD. (Directiva relacionada: Las puertas de enlace de VPN deben usar solo la autenticación de Azure Active Directory (Azure AD) para usuarios de punto a sitio). | Media |
| Azure SQL Database should be running TLS version 1.2 or newer | Si la versión de TLS se establece en 1.2 o una versión posterior, la seguridad mejora al garantizar que solo se tenga acceso a Azure SQL Database desde clientes que utilicen TLS 1.2 o una versión posterior. El uso de versiones de TLS anteriores a la versión 1.2 no se recomienda, ya que presentan vulnerabilidades de seguridad bien documentadas. (Directiva relacionada: Azure SQL Database debe ejecutar TLS versión 1.2 o posterior). | Media |
| Azure SQL Managed Instances debería deshabilitar el acceso a la red pública | Deshabilitar el acceso a la red pública (punto de conexión público) en Azure SQL Managed Instance mejora la seguridad al garantizar que solo se pueda acceder desde dentro de las redes virtuales o a través de puntos de conexión privados. Obtenga más información sobre acceso a la red pública. (Directiva relacionada: Instancias administradas de Azure SQL deben deshabilitar el acceso a la red pública). | Media |
| Las cuentas de almacenamiento deben evitar el acceso a claves compartidas | Requisito de auditoría de Azure Active Directory (Azure AD) para autorizar las solicitudes de la cuenta de almacenamiento. De forma predeterminada, las solicitudes se pueden autorizar con credenciales de Azure Active Directory o mediante la clave de acceso de la cuenta para la autorización con clave compartida. De estos dos tipos de autorización, Azure AD proporciona mayor seguridad y facilidad de uso sobre clave compartida, y Microsoft lo recomienda. (Directiva relacionada: Las cuentas de almacenamiento deben impedir el acceso a claves compartidas). | Media |
Consulte la Lista de recomendaciones de seguridad.
Diciembre de 2023
Defender para servidores a nivel de recurso con disponibilidad general
24 de diciembre de 2023
Ahora es posible administrar Defender para servidores en recursos específicos dentro de su suscripción, lo que le proporciona un control total sobre la estrategia de protección. Con esta funcionalidad, puede configurar recursos específicos con configuraciones personalizadas distintas a las opciones configuradas a nivel de suscripción.
Obtenga más información sobre Habilitar Defender para servidores a nivel de recursos.
Retirada de conectores clásicos para multinube
21 de diciembre de 2023
La experiencia clásica del conector multinube se retira y los datos ya no se transmiten a los conectores creados a través de ese mecanismo. Estos conectores clásicos se usaron para conectar las recomendaciones de AWS Security Hub y GCP Security Command Center a Defender for Cloud e incorporar AWS EC2s a Defender para servidores.
El valor completo de estos conectores se ha reemplazado por la experiencia nativa de conectores de seguridad de nube múltiple, que ha estado disponible con carácter general para AWS y GCP desde marzo de 2022 sin costo adicional.
Los nuevos conectores nativos se incluyen en el plan y ofrecen una experiencia de incorporación automatizada con opciones para incorporar cuentas únicas, varias cuentas (con Terraform) e incorporación organizativa con aprovisionamiento automático para los siguientes planes de Defender: funcionalidades de CSPM básicas gratuitas, Administración de posturas de seguridad en la nube de Defender (CSPM), Defender para servidores, Defender para SQL y Defender para contenedores.
Versión del libro Cobertura
21 de diciembre de 2023
El libro Cobertura le permite realizar un seguimiento de qué planes de Defender for Cloud están activos en qué partes de sus entornos. Este libro puede ayudarle a asegurarse de que sus entornos y suscripciones están totalmente protegidos. Al tener acceso a información detallada de cobertura, también puede identificar las áreas que podrían necesitar otra protección y tomar medidas para abordar esas áreas.
Obtenga más información sobre el Libro de cobertura .
Disponibilidad general de la valoración de vulnerabilidades de contenedores con tecnología de administración de vulnerabilidades de Microsoft Defender en Azure Government y Azure operado por 21Vianet
14 de diciembre de 2023
La valoración de vulnerabilidades (VA) para imágenes de contenedor de Linux en registros de contenedor de Azure con tecnología de Administración de vulnerabilidades de Microsoft Defender se publica para disponibilidad general (GA) en Azure Government y Azure operado por 21Vianet. Esta nueva versión está disponible en los planes Defender para contenedores y Defender para registros de contenedor.
Como elemento de este cambio, se publican las siguientes recomendaciones para disponibilidad general y se incluyen en el cálculo de la puntuación segura:
| Nombre de la recomendación | Descripción | Clave de evaluación |
|---|---|---|
| Las vulnerabilidades de las imágenes del contenedor del registro de Azure deben resolverse (con la tecnología de Administración de vulnerabilidades de Microsoft Defender) | Las valoraciones de vulnerabilidades de la imagen de contenedor examina el registro para detectar vulnerabilidades conocidas (CVE) y proporcionan un informe detallado de vulnerabilidades para cada imagen. La resolución de vulnerabilidades puede mejorar considerablemente la posición de seguridad, lo que garantiza que las imágenes sean seguras para usarlas antes de la implementación. | c0b7cfc6-3172-465a-b378-53c7ff2cc0d5 |
| La ejecución de imágenes de contenedor debe tener resueltos los resultados de vulnerabilidades (con tecnología de Administración de vulnerabilidades de Microsoft Defender) | Las imágenes de contenedor en ejecución de Azure deben tener vulnerabilidades resueltas (con tecnología de Administración de vulnerabilidades de Microsoft Defender). La evaluación de vulnerabilidades de la imagen de contenedor examina el registro para detectar vulnerabilidades conocidas (CVE) y proporciona un informe detallado de vulnerabilidades para cada imagen. Esta recomendación proporciona visibilidad de las imágenes vulnerables que se ejecutan actualmente en los clústeres de Kubernetes. La corrección de vulnerabilidades en imágenes de contenedor que se están ejecutando actualmente es clave para mejorar la posición de seguridad, lo que reduce significativamente la superficie expuesta a ataques para las cargas de trabajo en contenedores. |
c609cf0f-71ab-41e9-a3c6-9a1f7fe1b8d5 |
El examen de imágenes de contenedor con tecnología de Administración de vulnerabilidades de Microsoft Defender ahora también incurre en cargos según precios del plan.
Nota:
Las imágenes digitalizadas tanto por nuestra oferta de VA de contenedor con tecnología de Qualys y va de contenedor con tecnología de Administración de vulnerabilidades de Microsoft Defender solo se facturarán una vez.
Se cambia el nombre de las siguientes recomendaciones de Qualys para la valoración de vulnerabilidades de contenedores y siguen estando disponibles para los clientes que habilitaron Defender para contenedores en cualquiera de sus suscripciones antes de esta versión. Los nuevos clientes que incorporan Defender para contenedores después de esta versión solo verán las nuevas recomendaciones de valoración de vulnerabilidades de contenedor basadas en la administración de vulnerabilidades de Microsoft Defender.
| Nombre de recomendación actual | Nuevo nombre de la recomendación | Descripción | Clave de evaluación |
|---|---|---|---|
| Container registry images should have vulnerability findings resolved (powered by Qualys) (Las imágenes del registro de contenedores deben tener resueltos los hallazgos de vulnerabilidades [con tecnología de Qualys]) | Las imágenes de contenedores de registros de Azure deben tener resueltas las vulnerabilidades (con tecnología de Qualys) | La evaluación de vulnerabilidades de la imagen de contenedor examina el registro en busca de vulnerabilidades de seguridad y expone los resultados detallados en cada imagen. La resolución de las vulnerabilidades puede mejorar considerablemente la posición de seguridad de los contenedores y protegerlos frente a ataques. | dbd0cb49-b563-45e7-9724-889e799fa648 |
| Las imágenes de contenedor en ejecución deben tener resueltos los hallazgos de vulnerabilidades (con tecnología de Qualys) | Las imágenes de contenedores en ejecución de Azure deben tener resueltas las vulnerabilidades (con tecnología de Qualys) | La evaluación de vulnerabilidades de imagen de contenedor examina las imágenes de contenedor que se ejecutan en los clústeres de Kubernetes en busca de vulnerabilidades de seguridad y expone resultados detallados para cada imagen. La resolución de las vulnerabilidades puede mejorar considerablemente la posición de seguridad de los contenedores y protegerlos frente a ataques. | 41503391-efa5-47ee-9282-4eff6131462c |
Versión preliminar pública del soporte de Windows con la valoración de vulnerabilidades de contenedores con tecnología de administración de vulnerabilidades de Microsoft Defender
14 de diciembre de 2023
El soporte con imágenes de Windows se publicó en versión preliminar pública como elemento de la valoración de vulnerabilidades (VA) con tecnología de Administración de vulnerabilidades de Microsoft Defender para registros de contenedor de Azure y Azure Kubernetes Services.
Retirada de la valoración de vulnerabilidades de contenedores de AWS con tecnología de Trivy
13 de diciembre de 2023
La valoración de la vulnerabilidad de los contenedores impulsada por Trivy ahora está en una ruta de retirada que se completará el 13 de febrero. Esta capacidad ya está en desuso y seguirá estando disponible para los clientes existentes que usan esta capacidad hasta el 13 de febrero. Animamos a los clientes que usen esta capacidad para actualizar a la nueva Valoración de vulnerabilidades de contenedores de AWS con tecnología de Administración de vulnerabilidades de Microsoft Defender para el 13 de febrero.
Posición de contenedor sin agente para AWS en Defender para contenedores y CSPM de Defender (versión preliminar)
13 de diciembre de 2023
Las nuevas capacidades de posición de contenedor sin agente (versión preliminar) están disponibles para AWS. Para obtener más información, consulte Posición de contenedor sin agente en el CSPM de Defender y capacidades sin agente en Defender para contenedores.
Soporte de disponibilidad general para el servidor flexible de PostgreSQL en Defender para el plan de bases de datos relacionales de código abierto
13 de diciembre de 2023
Anunciamos la versión de disponibilidad general (GA) de la compatibilidad con el servidor flexible de PostgreSQL en el plan de bases de datos relacionales de código abierto de Microsoft Defender. Microsoft Defender para bases de datos relacionales de código abierto proporciona protección contra amenazas avanzada a servidores flexibles de PostgreSQL mediante la detección de actividades anómalas y la generación de alertas de seguridad.
Obtenga información sobre cómo Habilitar Microsoft Defender para bases de datos relacionales de código abierto.
La valoración de vulnerabilidades de contenedor con tecnología de Administración de vulnerabilidades de Microsoft Defender ahora admite Google Distroless
12 de diciembre de 2023
Las evaluaciones de vulnerabilidades de contenedor con tecnología de Administración de vulnerabilidades de Microsoft Defender se han ampliado con cobertura adicional para los paquetes del sistema operativo Linux, que ahora admiten Google Distroless.
Para obtener una lista de todos los sistemas operativos admitidos, consulte Soporte de registros e imágenes para Azure: Valoración de vulnerabilidades con tecnología de Administración de vulnerabilidades de Microsoft Defender.
Alerta de Defender para Storage publicada para la versión preliminar: el blob malintencionado se descargó de una cuenta de almacenamiento
4 de diciembre de 2023
Se está liberando la siguiente alerta para la versión preliminar:
| Alerta (tipo de alerta) | Descripción | Tácticas MITRE | Gravedad |
|---|---|---|---|
| El blob malintencionado se descargó de una cuenta de almacenamiento (versión preliminar) Storage.Blob_MalwareDownload |
La alerta indica que un blob malintencionado se descargó de una cuenta de almacenamiento. Las posibles causas pueden incluir malware cargado en la cuenta de almacenamiento y no eliminados o en cuarentena, lo que permite a un actor de amenazas descargarlo o una descarga involuntaria del malware por parte de usuarios o aplicaciones legítimos. Se aplica a: Cuentas de almacenamiento de Azure Blob (estándar de uso general v2, Azure Data Lake Storage Gen2 o blobs en bloques Premium) con el nuevo plan de Defender para Storage con la característica Detección de malware habilitada. |
Movimiento lateral | Alto, si Eicar - bajo |
Consulte las alertas basadas en extensiones de Defender para Storage.
Para obtener una lista completa de alertas, consulte la tabla de referencia de todas las alertas de seguridad de Microsoft Defender for Cloud.
Noviembre de 2023
Cuatro alertas están en desuso
30 de noviembre de 2023
Como parte de nuestro proceso de mejora de la calidad, las siguientes alertas de seguridad quedarán en desuso:
Possible data exfiltration detected (K8S.NODE_DataEgressArtifacts)Executable found running from a suspicious location (K8S.NODE_SuspectExecutablePath)Suspicious process termination burst (VM_TaskkillBurst)PsExec execution detected (VM_RunByPsExec)
Disponibilidad general del examen de secretos sin agente en Defender para servidores y CSPM de Defender
27 de noviembre de 2023
El examen de secretos sin agente mejora la seguridad de las Máquinas virtuales (VM) basadas en la nube mediante la identificación de secretos de texto no cifrado en discos de máquina virtual. El examen de secretos sin agente proporciona información completa para ayudar a priorizar los resultados detectados y mitigar los riesgos de movimiento lateral antes de que se produzcan. Este enfoque proactivo evita el acceso no autorizado, lo que garantiza que el entorno en la nube sigue siendo seguro.
Anunciamos la Disponibilidad general (GA) del examen de secretos sin agente, que se incluye tanto en los planes de Defender para servidores P2 y el CSPM de Defender.
El examen de secretos sin agente usa las API en la nube para capturar instantáneas de los discos, realizando análisis fuera de banda que garantiza que no haya ningún efecto en el rendimiento de la máquina virtual. El examen de secretos sin agente amplía la cobertura que ofrece Defender for Cloud a través de recursos en la nube en entornos de Azure, AWS y GCP para mejorar la seguridad en la nube.
Con esta versión, las capacidades de detección de Defender for Cloud ahora admiten otros tipos de bases de datos, direcciones URL firmadas de almacenes de datos, tokens de acceso y mucho más.
Aprenda a administrar secretos con el examen de secretos sin agentes.
Habilitar la administración de permisos con Defender for Cloud (versión preliminar)
22 de noviembre de 2023
Microsoft ahora ofrece soluciones de plataformas de protección de aplicaciones nativas de la nube (CNAPP) y Administración de derechos de la infraestructura en la nube (CIEM) con Microsoft Defender for Cloud (CNAPP) y Administración de permisos de Microsoft Entra (CIEM).
Los administradores de seguridad pueden obtener una vista centralizada de sus permisos de acceso excesivos o sin usar en Defender for Cloud.
Los equipos de seguridad pueden impulsar los controles de acceso con privilegios mínimos para los recursos en la nube y recibir recomendaciones accionables para resolver riesgos de permisos en entornos en la nube de Azure, AWS y GCP como parte de su Administración de posturas de seguridad en la nube (CSPM) de Defender, sin requisitos de licencia adicionales.
Obtenga información sobre cómo habilitar la administración de permisos en Microsoft Defender for Cloud (versión preliminar).
Integración de Defender for Cloud con ServiceNow
22 de noviembre de 2023
ServiceNow ahora está integrado con Microsoft Defender for Cloud, lo que permite a los clientes conectar ServiceNow a su entorno de Defender for Cloud para priorizar la corrección de recomendaciones que afectan a su negocio. Microsoft Defender for Cloud se integra con el módulo ITSM (administración de incidentes). Como parte de esta conexión, los clientes pueden crear o ver vales de ServiceNow (vinculados a recomendaciones) desde Microsoft Defender for Cloud.
Más información sobre la integración de Defender for Cloud con ServiceNow.
Disponibilidad general del proceso de aprovisionamiento automático para el plan de SQL Server en máquinas
20 de noviembre de 2023
En preparación para la entrada en desuso de Microsoft Monitoring Agent (MMA) en agosto de 2024, Defender for Cloud publicó un proceso de aprovisionamiento automático del agente de Azure Monitor (AMA) dirigido a SQL Server. El nuevo proceso se habilita y configura automáticamente para todos los clientes nuevos y, además, permite habilitar el nivel de recurso para máquinas virtuales de Azure SQL y servidores SQL Server habilitados para Arc.
Se solicita a los clientes que usan el proceso de aprovisionamiento automático de MMA que migren al nuevo proceso de aprovisionamiento automático de Azure Monitor Agent para SQL Server en máquinas. El proceso de migración se desarrolla sin contratiempos y ofrece protección continua para todas las máquinas.
Disponibilidad general de Defender para las API
15 de noviembre de 2023
Anunciamos la disponibilidad general (GA) de Microsoft Defender para API. Defender para las API está diseñado para proteger a las organizaciones frente a amenazas de seguridad de API.
Defender para las API permite a las organizaciones proteger las API y datos de actores malintencionados. Las organizaciones pueden investigar y mejorar su posición de seguridad de API, priorizar las correcciones de vulnerabilidades y detectar y responder rápidamente a amenazas activas en tiempo real. Las organizaciones también pueden integrar alertas de seguridad directamente en su plataforma de administración de eventos e incidentes de seguridad (SIEM), por ejemplo, Microsoft Sentinel, para investigar y evaluación de prioridades de incidencias.
Puede aprender a Proteger las API con Defender para las API. También puede obtener más información sobre Acerca de Microsoft Defender para las API.
También puede leer este blog para obtener más información acerca del anuncio de disponibilidad general.
Defender for Cloud ahora está integrado con Microsoft 365 Defender (versión preliminar)
15 de noviembre de 2023
Las empresas pueden proteger sus recursos y dispositivos en la nube con la nueva integración entre Microsoft Defender for Cloud y XDR de Microsoft Defender. Esta integración conecta los puntos entre los recursos en la nube, los dispositivos y las identidades, que anteriormente requerían varias experiencias.
La integración también aporta funcionalidades competitivas de protección en la nube al día a día del Centro de operaciones de seguridad (SOC). Con XDR de Microsoft Defender, los equipos de SOC pueden descubrir fácilmente ataques que combinan detecciones de varios pilares, como Cloud, Endpoint, Identity, Office 365, etc.
Algunas de las principales ventajas son:
Una interfaz fácil de usar para los equipos del SOC: con las alertas y correlaciones en la nube de Defender for Cloud integradas en M365D, los equipos del SOC ahora pueden acceder a toda la información de seguridad desde una sola interfaz, lo que mejora significativamente la eficacia operativa.
Una historia de ataque: los clientes pueden comprender la historia de ataque completa, incluido su entorno de nube, mediante correlaciones precompiladas que combinan alertas de seguridad de varios orígenes.
Nuevas entidades en la nube en la XDR de Microsoft Defender: Microsoft Defender XDR ahora admite nuevas entidades en la nube que son exclusivas de Microsoft Defender for Cloud, como los recursos en la nube. Los clientes pueden hacer coincidir las entidades de máquina virtual (VM) con las entidades de dispositivo, lo que proporciona una vista unificada de toda la información relevante sobre una máquina, incluidas las alertas y los incidentes que se desencadenaron en ella.
API unificada para productos de Seguridad de Microsoft: los clientes ahora pueden exportar sus datos de alertas de seguridad a sus sistemas de elección mediante una sola API, ya que las alertas e incidentes de Microsoft Defender for Cloud ahora forman parte de la API pública de XDR de Microsoft Defender.
La integración entre Defender for Cloud y Microsoft Defender XDR está disponible para todos los clientes nuevos y existentes de Defender for Cloud.
Disponibilidad general de Evaluación de vulnerabilidades de contenedores con la tecnología de Administración de vulnerabilidades de Microsoft Defender (MDVM) en Defender para contenedores y Defender para registros de contenedor
15 de noviembre de 2023
La evaluación de vulnerabilidades (VA) para imágenes de contenedor de Linux en registros de contenedor de Azure con tecnología de Administración de vulnerabilidades de Microsoft Defender (MDVM) se publica en disponibilidad general (GA) en Defender para contenedores y Defender para registros de contenedor.
Como parte de este cambio, las siguientes recomendaciones se publicaron para disponibilidad general y se renombraron, y ahora se incluyen en el cálculo de puntuación segura:
| Nombre de recomendación actual | Nuevo nombre de la recomendación | Descripción | Clave de evaluación |
|---|---|---|---|
| Las imágenes de Registro de contenedor deben tener resueltos los resultados de vulnerabilidades (con tecnología de Administración de vulnerabilidades de Microsoft Defender) | Las imágenes de contenedor de registro de Azure deben tener vulnerabilidades resueltas (con tecnología de Administración de vulnerabilidades de Microsoft Defender) | Las evaluaciones de vulnerabilidades de la imagen de contenedor examina el registro para detectar vulnerabilidades conocidas (CVE) y proporciona un informe detallado de vulnerabilidades para cada imagen. La resolución de vulnerabilidades puede mejorar considerablemente la posición de seguridad, lo que garantiza que las imágenes sean seguras para usarlas antes de la implementación. | c0b7cfc6-3172-465a-b378-53c7ff2cc0d5 |
| La ejecución de imágenes de contenedor debe tener resueltos los resultados de vulnerabilidades (con tecnología de Administración de vulnerabilidades de Microsoft Defender) | Las imágenes de contenedor en ejecución de Azure deben tener vulnerabilidades resueltas (con tecnología de Administración de vulnerabilidades de Microsoft Defender) | La evaluación de vulnerabilidades de la imagen de contenedor examina el registro para detectar vulnerabilidades conocidas (CVE) y proporciona un informe detallado de vulnerabilidades para cada imagen. Esta recomendación proporciona visibilidad de las imágenes vulnerables que se ejecutan actualmente en los clústeres de Kubernetes. La corrección de vulnerabilidades en imágenes de contenedor que se están ejecutando actualmente es clave para mejorar la posición de seguridad, lo que reduce significativamente la superficie expuesta a ataques para las cargas de trabajo en contenedores. | c609cf0f-71ab-41e9-a3c6-9a1f7fe1b8d5 |
El examen de imágenes de contenedor con tecnología MDVM ahora también incurre en cargos según los precios del plan.
Nota:
Las imágenes escaneadas tanto por nuestra oferta de VA de contenedor con tecnología Qualys como por nuestra oferta de VA de contenedor con tecnología MDVM solo se facturarán una vez.
Las siguientes recomendaciones de Qualys para la evaluación de vulnerabilidades de contenedores cambian de nombre y seguirán estando disponibles para los clientes que habilitaron Defender para contenedores en cualquiera de sus suscripciones antes del 15 de noviembre. Los nuevos clientes que incorporan Defender para contenedores después del 15 de noviembre solo verán las nuevas recomendaciones de evaluación de vulnerabilidades de contenedores basadas en la administración de vulnerabilidades de Microsoft Defender.
| Nombre de recomendación actual | Nuevo nombre de la recomendación | Descripción | Clave de evaluación |
|---|---|---|---|
| Container registry images should have vulnerability findings resolved (powered by Qualys) (Las imágenes del registro de contenedores deben tener resueltos los hallazgos de vulnerabilidades [con tecnología de Qualys]) | Las imágenes de contenedores de registros de Azure deben tener resueltas las vulnerabilidades (con tecnología de Qualys) | La evaluación de vulnerabilidades de la imagen de contenedor examina el registro en busca de vulnerabilidades de seguridad y expone los resultados detallados en cada imagen. La resolución de las vulnerabilidades puede mejorar considerablemente la posición de seguridad de los contenedores y protegerlos frente a ataques. | dbd0cb49-b563-45e7-9724-889e799fa648 |
| Las imágenes de contenedor en ejecución deben tener resueltos los hallazgos de vulnerabilidades (con tecnología de Qualys) | Las imágenes de contenedores en ejecución de Azure deben tener resueltas las vulnerabilidades (con tecnología de Qualys) | La evaluación de vulnerabilidades de imagen de contenedor examina las imágenes de contenedor que se ejecutan en los clústeres de Kubernetes en busca de vulnerabilidades de seguridad y expone resultados detallados para cada imagen. La resolución de las vulnerabilidades puede mejorar considerablemente la posición de seguridad de los contenedores y protegerlos frente a ataques. | 41503391-efa5-47ee-9282-4eff6131462c |
Cambio de los nombres de recomendación de las evaluaciones de vulnerabilidades de contenedor
Se ha cambiado el nombre de las siguientes recomendaciones de evaluaciones de vulnerabilidades de contenedor:
| Nombre de recomendación actual | Nuevo nombre de la recomendación | Descripción | Clave de evaluación |
|---|---|---|---|
| Container registry images should have vulnerability findings resolved (powered by Qualys) (Las imágenes del registro de contenedores deben tener resueltos los hallazgos de vulnerabilidades [con tecnología de Qualys]) | Las imágenes de contenedores de registros de Azure deben tener resueltas las vulnerabilidades (con tecnología de Qualys) | La evaluación de vulnerabilidades de la imagen de contenedor examina el registro en busca de vulnerabilidades de seguridad y expone los resultados detallados en cada imagen. La resolución de las vulnerabilidades puede mejorar considerablemente la posición de seguridad de los contenedores y protegerlos frente a ataques. | dbd0cb49-b563-45e7-9724-889e799fa648 |
| Las imágenes de contenedor en ejecución deben tener resueltos los hallazgos de vulnerabilidades (con tecnología de Qualys) | Las imágenes de contenedores en ejecución de Azure deben tener resueltas las vulnerabilidades (con tecnología de Qualys) | La evaluación de vulnerabilidades de imagen de contenedor examina las imágenes de contenedor que se ejecutan en los clústeres de Kubernetes en busca de vulnerabilidades de seguridad y expone resultados detallados para cada imagen. La resolución de las vulnerabilidades puede mejorar considerablemente la posición de seguridad de los contenedores y protegerlos frente a ataques. | 41503391-efa5-47ee-9282-4eff6131462c |
| Las imágenes del registro de contenedor elásticas deberían tener resultados de vulnerabilidad resueltos | Las imágenes de contenedores de registros de AWS deben tener resueltas las vulnerabilidades (con tecnología de Trivy) | La evaluación de vulnerabilidades de la imagen de contenedor examina el registro en busca de vulnerabilidades de seguridad y expone los resultados detallados en cada imagen. La resolución de las vulnerabilidades puede mejorar considerablemente la posición de seguridad de los contenedores y protegerlos frente a ataques. | 03587042-5d4b-44ff-af42-ae99e3c71c87 |
Priorización de riesgos ya está disponible para las recomendaciones
15 de noviembre de 2023
Ahora puede priorizar las recomendaciones de seguridad según el nivel de riesgo que plantean, teniendo en cuenta tanto la vulnerabilidad de seguridad como el posible efecto empresarial de cada problema de seguridad subyacente.
Al organizar las recomendaciones en función de su nivel de riesgo (crítico, alto, medio y bajo), puede abordar los riesgos más críticos dentro de su entorno y priorizar eficazmente la corrección de problemas de seguridad en función del riesgo real, como la exposición a Internet, la confidencialidad de los datos, las posibilidades de movimiento lateral y las posibles rutas de acceso a ataques que podrían mitigarse mediante la resolución de las recomendaciones.
Obtenga más información sobre priorización de riesgos.
Nuevo motor y mejoras extensas de análisis de rutas de acceso de ataque
15 de noviembre de 2023
Estamos publicando mejoras en las funcionalidades de análisis de rutas de acceso de ataque en Defender for Cloud.
Nuevo motor: el análisis de rutas de acceso a ataques tiene un nuevo motor, que usa el algoritmo de búsqueda de rutas de acceso para detectar todas las posibles rutas de acceso a ataques que existen en su entorno en la nube (en función de los datos que tenemos en nuestro grafo). Podemos encontrar muchas más rutas de acceso de ataque en su entorno y detectar patrones de ataque más complejos y sofisticados que los atacantes pueden usar para vulnerar la organización.
Mejoras: se publican las siguientes mejoras:
- Priorización de riesgos: lista priorizada de rutas de acceso de ataque basadas en el riesgo (vulnerabilidad de seguridad repercusión en la empresa).
- Corrección mejorada : identificación de las recomendaciones específicas que se deben resolver para romper realmente la cadena.
- Rutas de acceso de ataque entre nubes: detección de rutas de acceso de ataque que son nubes cruzadas (rutas que comienzan en una nube y terminan en otra).
- MITRE: asignación de todas las rutas de acceso de ataque al marco de MITRE.
- Experiencia de usuario actualizada: experiencia actualizada con funcionalidades más sólidas: filtros avanzados, búsqueda y agrupación de rutas de acceso de ataque para permitir una evaluación de prioridades más sencilla.
Obtenga información sobre Cómo identificar y corregir rutas de acceso de ataque.
Cambios en el esquema de tabla de Azure Resource Graph de la ruta de acceso de ataque
15 de noviembre de 2023
Se actualiza el esquema de tabla de Azure Resource Graph (ARG) de la ruta de acceso de ataque. Se quita la propiedad attackPathType y se agregan otras propiedades.
Versión de disponibilidad general de la compatibilidad con GCP en la CSPM de Defender
15 de noviembre de 2023
Anunciamos la versión de disponibilidad general (GA) del grafo contextual de seguridad en la nube de CSPM de Defender y el análisis de rutas de acceso a ataques con compatibilidad con los recursos de GCP. Puede aplicar el poder de Defender CSPM para obtener una visibilidad integral y una seguridad inteligente en la nube en todos los recursos de GCP.
Entre las características clave de nuestra compatibilidad con GCP se incluyen:
- Análisis de la ruta de ataque: comprenda las posibles rutas que pueden tomar los atacantes.
- Explorador de seguridad en la nube: identifique proactivamente los riesgos de seguridad mediante la ejecución de consultas basadas en grafos en el gráfico de seguridad.
- Análisis sin agente: examine los servidores e identifique secretos y vulnerabilidades sin instalar un agente.
- Posición de seguridad con reconocimiento de datos: detecte y corrija los riesgos para los datos confidenciales en los buckets de Google Cloud Storage.
Más información sobre las Opciones del plan Defender CSPM.
Nota:
La facturación de la versión de disponibilidad general del soporte técnico de GCP en CSPM de Defender comenzará el 1 de febrero de 2024.
Versión de disponibilidad general del panel de seguridad de datos
15 de noviembre de 2023
El panel de seguridad de datos ya está disponible en disponibilidad general (GA) como parte del plan de CSPM de Defender.
El panel de seguridad de datos le permite ver el patrimonio de datos de la organización, los riesgos para los datos confidenciales e información sobre los recursos de datos.
Obtenga más información sobre el panel de seguridad de datos.
Versión de disponibilidad general de la detección de datos confidenciales para bases de datos
15 de noviembre de 2023
La detección de datos confidenciales para bases de datos administradas, incluidas las bases de datos de Azure SQL y las instancias de AWS RDS (todos los tipos de RDBMS) ahora está disponible con carácter general y permite la detección automática de bases de datos críticas que contienen datos confidenciales.
Para habilitar esta característica en todos los almacenes de datos admitidos en los entornos, debe habilitar Sensitive data discovery en CSPM de Defender. Obtenga información sobre cómo habilitar la detección de datos confidenciales en CSPM de Defender.
También puede obtener información sobre cómo se usa la detección de datos confidenciales en la posición de seguridad compatible con los datos.
Anuncio de versión preliminar pública: nueva visibilidad ampliada de la seguridad de datos multinube en Microsoft Defender for Cloud.
Una nueva versión de la recomendación para buscar las actualizaciones del sistema que faltan tiene ahora disponibilidad general
6 de noviembre de 2023
Ya no se necesita un agente adicional en las máquinas virtuales de Azure ni en las máquinas de Azure Arc para asegurarse de que las máquinas tengan las últimas actualizaciones de seguridad o críticas del sistema.
La nueva recomendación de actualizaciones del sistema, System updates should be installed on your machines (powered by Azure Update Manager), en el control Apply system updates, se basa en el Administrador de actualizaciones y tiene ahora plena disponibilidad general. La recomendación se basa en un agente nativo insertado en cada máquina virtual de Azure y máquinas de Azure Arc en lugar de en un agente instalado. La corrección rápida de la nueva recomendación le lleva a una instalación única de las actualizaciones que faltan en el portal del Administrador de actualizaciones.
Las versiones anteriores y nuevas de las recomendaciones para buscar actualizaciones del sistema que faltan estarán disponibles hasta agosto de 2024, cuando la versión anterior queda en desuso. Ambas recomendaciones, System updates should be installed on your machines (powered by Azure Update Manager)y System updates should be installed on your machines, están disponibles en el mismo control, Apply system updates, con los mismos resultados. Por lo tanto, no hay efecto de duplicación en la puntuación de seguridad.
Sugerimos migrar a la nueva recomendación y eliminar la anterior; para ello, deshabilítela de la iniciativa integrada de Defender for Cloud en la directiva de Azure.
La recomendación [Machines should be configured to periodically check for missing system updates](https://ms.portal.azure.com/#view/Microsoft_Azure_Security/GenericRecommendationDetailsBlade/assessmentKey/90386950-71ca-4357-a12e-486d1679427c) también tiene disponibilidad general y es un requisito previo, lo cual tendrá un efecto negativo en la puntuación de seguridad. Puede solucionar este efecto negativo con la corrección disponible.
Para aplicar la nueva recomendación, es preciso lo siguiente:
- Conectar tus máquinas que no son de Azure a Arc.
- Active la propiedad de evaluación periódica. Puede usar Corrección rápida en la nueva recomendación
[Machines should be configured to periodically check for missing system updates](https://ms.portal.azure.com/#view/Microsoft_Azure_Security/GenericRecommendationDetailsBlade/assessmentKey/90386950-71ca-4357-a12e-486d1679427c)para corregir la recomendación.
Nota:
La habilitación de evaluaciones periódicas para máquinas habilitadas para Arc en las que el Plan 2 de Azure Defender para servidores no está habilitado en las suscripciones o conectores relacionados, está sujeta a los precios del Administrador de actualizaciones de Azure. Las máquinas habilitadas para Arc en las que está habilitado el Plan 2 de Defender para servidores en las suscripciones o conectores relacionados, o en cualquier máquina virtual de Azure, son aptas para esta funcionalidad sin costo adicional.
Octubre de 2023
Cambio de la gravedad de las alertas de seguridad del control de aplicaciones adaptables
Fecha del anuncio: 30 de octubre de 2023
Como parte del proceso de mejora de la calidad de las alertas de seguridad de Defender para servidores, y como parte de la característica de controles de aplicaciones adaptables, la gravedad de la siguiente alerta de seguridad cambia a “Informativo”:
| Alerta [Alert Type] | Descripción de la alerta |
|---|---|
| Se auditó la infracción de directivas de controles de aplicaciones adaptables. [VM_AdaptiveApplicationControlWindowsViolationAudited, VM_AdaptiveApplicationControlWindowsViolationAudited] | Los usuarios siguientes ejecutaron aplicaciones que infringen la directiva de controles de aplicaciones de su organización en esta máquina. Posiblemente puede exponer la máquina a malware o vulnerabilidades de aplicaciones. |
Para seguir viendo esta alerta en la página "Alertas de seguridad" del portal de Microsoft Defender for Cloud, cambie el filtro de vista predeterminado Gravedad para que incluya alertas informativas en la cuadrícula.
Revisiones de Azure API Management sin conexión eliminadas de Defender para API
25 de octubre de 2023
Defender para API actualizó su compatibilidad con las revisiones de la API de Azure API Management. Las revisiones sin conexión ya no aparecen en el inventario de Defender para API incorporado y ya no parecen incorporarse a Defender para API. Las revisiones sin conexión no permiten que se les envíe ningún tráfico y no suponen ningún riesgo desde el punto de vista de la seguridad.
Recomendaciones de administración de la posición de seguridad de DevOps disponibles en versión preliminar pública
19 de octubre de 2023
Las nuevas recomendaciones de administración de la posición de DevOps ahora están disponibles en versión preliminar pública para todos los clientes con un conector para Azure DevOps o GitHub. La administración de la posición de DevOps ayuda a reducir la superficie expuesta a ataques de entornos de DevOps al descubrir debilidades en las configuraciones de seguridad y los controles de acceso. Obtenga más información sobre la administración de la posición de DevOps.
Publicación de CIS Azure Foundations Benchmark v2.0.0 en el panel de cumplimiento normativo
18 de octubre de 2023
Microsoft Defender for Cloud ahora admite la versión 2.0.0 de CIS Azure Security Foundations Benchmark más reciente en el panel de cumplimiento normativo y una iniciativa de directiva integrada en Azure Policy. La versión 2.0.0 de Microsoft Defender for Cloud es un esfuerzo conjunto de colaboración entre Microsoft, Center for Internet Security (CIS) y las comunidades de usuarios. La versión 2.0.0 amplía significativamente el ámbito de evaluación, que ahora incluye más de 90 directivas integradas de Azure y sucede a las versiones anteriores 1.4.0 y 1.3.0 y 1.0 en Microsoft Defender for Cloud y Azure Policy. Para más información, puede consultar esta entrada de blog.
Pasos siguientes
Para ver los cambios anteriores en Defender for Cloud, consulte Archivo de novedades de Defender for Cloud.