Archivo de novedades de Defender for Cloud
En esta página se proporciona información sobre características, correcciones y desusos que tienen más de seis meses. Para obtener las actualizaciones más recientes, lea Novedades de Defender for Cloud.
Septiembre de 2023
Panel de seguridad de datos disponible en versión preliminar pública
27 de septiembre de 2023
El panel de seguridad de datos ya está disponible en versión preliminar pública como parte del plan de Administración de la posición de seguridad en la nube de Defender. El panel de seguridad de datos es un panel interactivo centrado en datos que ilumina riesgos significativos para los datos confidenciales, priorizando alertas y posibles rutas de acceso a ataques para los datos en cargas de trabajo de nube híbrida. Obtenga más información sobre el panel de seguridad de datos.
Versión preliminar: Nuevo proceso de aprovisionamiento automático para el plan de SQL Server en máquinas
21 de septiembre de 2023
Microsoft Monitoring Agent (MMA) se retirará en agosto de 2024. Defender for Cloud ha actualizado su estrategia y, para ello, reemplaza MMA por el lanzamiento de un proceso de aprovisionamiento automático de agente de Azure Monitor destinado a SQL Server.
Durante la versión preliminar, los clientes que usan el proceso de aprovisionamiento automático de MMA con la opción de agente de Azure Monitor (versión preliminar) deberán migrar al nuevo proceso de aprovisionamiento automático de agente de Azure Monitor para SQL Server en máquinas (versión preliminar). El proceso de migración se desarrolla sin contratiempos y ofrece protección continua para todas las máquinas.
Para obtener más información, consulte Migración al proceso de aprovisionamiento automático del agente de Azure Monitor destinado a SQL Server.
Alertas de GitHub Advanced Security para Azure DevOps en Defender for Cloud
20 de septiembre de 2023
Ahora puede ver alertas de GitHub Advanced Security para Azure DevOps (GHAzDO) relativas a CodeQL, secretos y dependencias en Defender for Cloud. Los resultados aparecen en la página de DevOps y en las recomendaciones. Para ver estos resultados, incluya sus repositorios habilitados para GHAzDO en Defender for Cloud.
Para obtener más información, consulte GitHub Advanced Security para Azure DevOps.
Funcionalidad exenta ahora disponible para las recomendaciones de Defender para API
11 de septiembre de 2023
Ahora puede excluir las recomendaciones para las siguientes recomendaciones de seguridad de Defender para API.
| Recomendación | Descripción y directiva relacionada | Gravedad |
|---|---|---|
| (Versión preliminar) Los puntos de conexión de las API que no se usan deben deshabilitarse y quitarse del servicio Azure API Management | Como procedimiento recomendado de seguridad, los puntos de conexión de las API que no han recibido tráfico durante 30 días se consideran sin usar y se deben quitar del servicio Azure API Management. Mantener los puntos de conexión de API sin usar podría suponer un riesgo de seguridad. Pueden tratarse de las API que deberían haber quedado en desuso del servicio Azure API Management, pero que accidentalmente se han dejado activas. Normalmente, estas API no reciben la cobertura de seguridad más actualizada. | Bajo |
| (Versión preliminar) Los puntos de conexión de las API de Azure API Management deben autenticarse | Los puntos de conexión de las API publicados en Azure API Management deben aplicar la autenticación para minimizar el riesgo de seguridad. A veces, los mecanismos de autenticación se implementan incorrectamente o faltan. Esto permite a los atacantes aprovechar los errores de implementación y acceder a los datos. En el caso de las API publicadas en Azure API Management, esta recomendación evalúa la ejecución de la autenticación mediante las claves de suscripción, JWT y el certificado de cliente configurados en Azure API Management. Si ninguno de estos mecanismos de autenticación se ejecuta durante la llamada API, la API recibirá esta recomendación. | Alto |
Obtenga más información sobre la exención de recomendaciones en Defender for Cloud.
Creación de alertas de ejemplo para detecciones de Defender para API
11 de septiembre de 2023
Ahora puede generar alertas de ejemplo para las detecciones de seguridad que se publicaron como parte de la versión preliminar pública de Defender para API. Obtenga más información sobre la generación de alertas de ejemplo en Defender for Cloud.
Versión preliminar: la evaluación de vulnerabilidades de contenedores con tecnología de Administración de vulnerabilidades de Microsoft Defender ahora admite el examen de extracción
6 de septiembre de 2023
La evaluación de vulnerabilidades de contenedores con tecnología de Administración de vulnerabilidades de Microsoft Defender ahora admite un desencadenador adicional para examinar imágenes extraídas de un ACR. Este desencadenador agregado recientemente proporciona cobertura adicional para las imágenes activas además de los desencadenadores existentes que examinan las imágenes insertadas en un ACR en los últimos 90 días e imágenes que se ejecutan actualmente en AKS.
El nuevo desencadenador comenzará a implementarse hoy y se espera que esté disponible para todos los clientes a finales de septiembre.
Actualización del formato de nomenclatura de los estándares de Center for Internet Security (CIS) en cumplimiento normativo
6 de septiembre de 2023
El formato de nomenclatura de las pruebas comparativas de fundamentos de CIS (Center for Internet Security) en el panel de cumplimiento se cambia de [Cloud] CIS [version number] a CIS [Cloud] Foundations v[version number]. Consulte la tabla siguiente:
| Nombre actual | Nombre nuevo |
|---|---|
| Azure CIS 1.1.0 | Fundamentos de CIS Azure v1.1.0 |
| Azure CIS 1.3.0 | Fundamentos de CIS Azure v1.3.0 |
| Azure CIS 1.4.0 | Fundamentos de CIS Azure v1.4.0 |
| AWS CIS 1.2.0 | Fundamentos de CIS AWS v1.2.0 |
| AWS CIS 1.5.0 | Fundamentos de CIS AWS v1.5.0 |
| GCP CIS 1.1.0 | Fundamentos de CIS GCP v1.1.0 |
| GCP CIS 1.2.0 | Fundamentos de CIS GCP v1.2.0 |
Aprenda a mejorar el cumplimiento normativo.
Detección de datos confidenciales para bases de datos PaaS (versión preliminar)
5 de septiembre de 2023
Las funcionalidades de posición de seguridad con reconocimiento de datos para la detección de datos confidenciales sin problemas para bases de datos PaaS (Azure SQL Database e instancias de Amazon RDS de cualquier tipo) ahora están en versión preliminar pública. Esta versión preliminar pública permite crear un mapa de los datos críticos donde resida y el tipo de datos que se encuentran en esas bases de datos.
La detección de datos confidenciales para bases de datos de Azure y AWS agrega a la taxonomía compartida y la configuración que ya está disponible públicamente para los recursos de almacenamiento de objetos en la nube (Azure Blob Storage, cubos de AWS S3 y cubos de almacenamiento de GCP) y proporciona una única experiencia de configuración y habilitación.
Las bases de datos se examinan semanalmente. Si habilita sensitive data discovery, la detección se ejecutará en un plazo de 24 horas. Los resultados se pueden ver en Cloud Security Explorer o revisando las nuevas rutas de acceso de ataque para las bases de datos administradas con datos confidenciales.
La posición de seguridad con reconocimiento de datos para las bases de datos está disponible a través del plan de Defender CSPM y se habilita automáticamente en las suscripciones cuando la opción sensitive data discovery está habilitada.
Puede obtener más información sobre la posición de seguridad compatible con los datos en los artículos siguientes:
- Compatibilidad y requisitos previos para la posición de seguridad con reconocimiento de datos
- Habilitación de la posición de seguridad de reconocimiento de datos
- Exploración de riesgos para datos confidenciales
Disponibilidad general (GA): examen de malware en Defender para Storage
1 de septiembre de 2023
El análisis de malware ahora está disponible con carácter general (GA) como complemento para Defender para Storage. El examen de malware en Defender for Storage ayuda a proteger las cuentas de almacenamiento frente a contenido malintencionado realizando un examen completo de malware en el contenido cargado casi en tiempo real, con las funcionalidades del Antivirus de Microsoft Defender. Está diseñado para ayudar a cumplir los requisitos de seguridad y cumplimiento en el control del contenido que no es de confianza. La funcionalidad del examen de malware es una solución SaaS sin agente que permite una configuración a gran escala, y admite la automatización de la respuesta a gran escala.
Más información sobre el Examen de malware en Defender para Storage.
El análisis de malware tiene un precio según el uso y el presupuesto de los datos. La facturación comienza el 3 de septiembre de 2023. Visite la página de precios para más información.
Si usa el plan anterior, debe migrar de forma proactiva al nuevo plan para habilitar el examen de malware.
Lea la entrada de blog del anuncio de Microsoft Defender for Cloud.
Agosto de 2023
Las actualizaciones de agosto incluyen:
Defender para contenedores: detección sin agente para Kubernetes
30 de agosto de 2023
Nos complace presentar Defender para contenedores: detección sin agente para Kubernetes. Esta versión marca un paso importante en la seguridad de los contenedores, lo que le permite obtener información avanzada y funcionalidades de inventario completas para entornos de Kubernetes. La nueva oferta de contenedor se basa en el gráfico de seguridad contextual de Defender for Cloud. Esto es lo que puede esperar de esta actualización más reciente:
- Detección sin agente de Kubernetes
- Funcionalidades de inventario completas
- Información de seguridad específica de Kubernetes
- Búsqueda de riesgos mejorada con Cloud Security Explorer
La detección sin agente para Kubernetes ahora está disponible para todos los clientes de Defender For Containers. Puede empezar a usar estas funcionalidades avanzadas hoy mismo. Le recomendamos que actualice sus suscripciones para tener habilitado el conjunto completo de extensiones y beneficiarse de las últimas adiciones y características. Visite el panel Entorno y configuración de la suscripción de Defender para contenedores para habilitar la extensión.
Nota:
La habilitación de las adiciones más recientes no incurrirá en nuevos costes en clientes activos de Defender para contenedores.
Para obtener más información, consulte Introducción a la seguridad de los contenedores en Microsoft Defender para contenedores.
Versión de recomendación: Microsoft Defender para Storage debe habilitarse con el examen de malware y la detección de amenazas de datos confidenciales
22 de agosto de 2023
Se ha publicado una nueva recomendación en Defender para Storage. Esta recomendación garantiza que Defender para Storage esté habilitado en el nivel de suscripción con funcionalidades de análisis de malware y de detección de amenazas de datos confidenciales.
| Recomendación | Descripción |
|---|---|
| Microsoft Defender para Storage debe habilitarse con el examen de malware y la detección de amenazas de datos confidenciales | Microsoft Defender para Storage detecta amenazas potenciales para sus cuentas de almacenamiento. Ayuda a evitar los tres impactos principales en los datos y la carga de trabajo: cargas de archivos malintencionadas, filtración de datos confidenciales y datos dañados. El nuevo plan de Defender para Storage incluye el examen de malware y la detección de amenazas de datos confidenciales. Este plan también ofrece una estructura de precios predecible (por cuenta de almacenamiento) para controlar la cobertura y los costes. Con una sencilla configuración a gran escala sin agentes, cuando se habilita en el nivel de suscripción, todas las cuentas de almacenamiento existentes y recién creadas en esa suscripción se protegerán automáticamente. También puede excluir cuentas de almacenamiento específicas de suscripciones protegidas. |
Esta nueva recomendación reemplazará la recomendación actual Microsoft Defender for Storage should be enabled (clave de evaluación 1be22853-8ed1-4005-9907-ddad64cb1417). Sin embargo, esta recomendación seguirá estando disponible en Azure Government nubes.
Más información sobre Microsoft Defender para Storage.
Las propiedades ampliadas de las alertas de seguridad de Defender for Cloud se enmascaran en los registros de actividad
17 de agosto de 2023
Recientemente hemos cambiado la forma de integrar las alertas de seguridad y los registros de actividad. Para proteger mejor la información confidencial de los clientes, ya no incluimos esta información en los registros de actividad. En su lugar, lo enmascaramos con asteriscos. Sin embargo, esta información sigue estando disponible a través de la API de alertas, la exportación continua y el portal de Defender for Cloud.
Los clientes que confían en los registros de actividad para exportar alertas a sus soluciones SIEM deben considerar el uso de una solución diferente, ya que no es el método recomendado para exportar alertas de seguridad de Defender for Cloud.
Para obtener instrucciones sobre cómo exportar alertas de seguridad de Defender for Cloud a SIEM, SOAR y otras aplicaciones de terceros, consulte Transmisión de alertas a una solución de administración de servicios de TI, SOAR o SIEM.
Versión preliminar de la compatibilidad con GCP en Defender CSPM
15 de agosto de 2023
Anunciamos la versión preliminar del gráfico contextual de seguridad en la nube y análisis de rutas de ataque de Defender CSPM con soporte para recursos GCP. Puede aplicar el poder de Defender CSPM para obtener una visibilidad integral y una seguridad inteligente en la nube en todos los recursos de GCP.
Entre las características clave de nuestra compatibilidad con GCP se incluyen:
- Análisis de la ruta de ataque: comprenda las posibles rutas que pueden tomar los atacantes.
- Explorador de seguridad en la nube: identifique proactivamente los riesgos de seguridad mediante la ejecución de consultas basadas en grafos en el gráfico de seguridad.
- Análisis sin agente: examine los servidores e identifique secretos y vulnerabilidades sin instalar un agente.
- Posición de seguridad con reconocimiento de datos: detecte y corrija los riesgos para los datos confidenciales en los buckets de Google Cloud Storage.
Más información sobre las Opciones del plan Defender CSPM.
Nuevas alertas de seguridad en el plan 2 de Defender para servidores: detección de posibles ataques que abusen de extensiones de máquina virtual de Azure
7 de agosto de 2023
Esta nueva serie de alertas se centra en la detección de actividades sospechosas de las extensiones de máquina virtual de Azure y proporciona información sobre los intentos de los atacantes de poner en peligro las máquinas virtuales y llevar a cabo actividades malintencionadas en ellas.
Microsoft Defender para servidores ahora puede detectar actividades sospechosas de las extensiones de máquina virtual, lo que le permite obtener una mejor cobertura de la seguridad de las cargas de trabajo.
Las extensiones de máquina virtual de Azure son pequeñas aplicaciones que se ejecutan después de la implementación en máquinas virtuales y proporcionan funcionalidades de configuración, automatización, supervisión, seguridad, etc. Aunque las extensiones son una herramienta eficaz, los actores de amenazas pueden usarlas con fines malintencionados :
- Para la recopilación y supervisión de datos.
- Para la ejecución de código y la implementación de configuración con privilegios elevados.
- Para restablecer las credenciales y crear usuarios administrativos.
- Para cifrar discos.
Esta es una tabla con las nuevas alertas.
| Alerta (tipo de alerta) | Descripción | Tácticas MITRE | Gravedad |
|---|---|---|---|
| Error sospechoso al instalar la extensión de GPU en la suscripción (versión preliminar) (VM_GPUExtensionSuspiciousFailure) |
Intención sospechosa de instalar una extensión de GPU en máquinas virtuales no admitidas. Esta extensión debe instalarse en máquinas virtuales equipadas con un procesador gráfico, y en este caso las máquinas virtuales no están equipadas con tal. Estos errores se pueden ver cuando los adversarios malintencionados ejecutan varias instalaciones de dicha extensión con fines criptográficos. | Impacto | Media |
| Se detectó una instalación sospechosa de una extensión de GPU en su máquina virtual (versión preliminar) (VM_GPUDriverExtensionUnusualExecution) Esta alerta se publicó en julio de 2023. |
Se detectó la instalación sospechosa de una extensión de GPU en su máquina virtual mediante el análisis de las operaciones de Azure Resource Manager en su suscripción. Los atacantes podrían utilizar la extensión de controlador de GPU para instalar controladores de GPU en su máquina virtual a través del Azure Resource Manager para realizar cryptojacking. Esta actividad se considera sospechosa, ya que el comportamiento de la entidad de seguridad sale de sus patrones habituales. | Impacto | Bajo |
| Se detectó una instancia de Ejecutar comando con un script sospechoso en la máquina virtual (versión preliminar) (VM_RunCommandSuspiciousScript) |
Se detectó una instancia de Ejecutar comando con un script sospechoso en la máquina virtual al analizar las operaciones de Azure Resource Manager en la suscripción. Los atacantes podrían usar Ejecutar comando para ejecutar código malintencionado con privilegios elevados en la máquina virtual mediante Azure Resource Manager. El script se considera sospechoso, ya que ciertas partes se han identificado como potencialmente malintencionadas. | Ejecución | Alto |
| Se detectó un uso sospechoso de Ejecutar comando no autorizado en la máquina virtual (versión preliminar) (VM_RunCommandSuspiciousFailure) |
Error en el uso sospechoso de Ejecutar comando no autorizado. Se detectó en la máquina virtual mediante el análisis de las operaciones de Azure Resource Manager en la suscripción. Los atacantes podrían intentar usar Ejecutar comando para ejecutar código malintencionado con privilegios elevados en la máquina virtual mediante Azure Resource Manager. Esta actividad se considera sospechosa, ya que normalmente no se ha visto antes. | Ejecución | Media |
| Se detectó un uso sospechoso de Ejecutar comando en la máquina virtual (versión preliminar) (VM_RunCommandSuspiciousUsage) |
Se detectó un uso sospechoso de Ejecutar comando en la máquina virtual al analizar las operaciones de Azure Resource Manager en la suscripción. Los atacantes podrían usar Ejecutar comando para ejecutar código malintencionado con privilegios elevados en las máquinas virtuales mediante Azure Resource Manager. Esta actividad se considera sospechosa, ya que normalmente no se ha visto antes. | Ejecución | Bajo |
| Se detectó un uso sospechoso de varias extensiones de recopilación de datos o supervisión en las máquinas virtuales (versión preliminar) (VM_SuspiciousMultiExtensionUsage) |
Se detectó un uso sospechoso de varias extensiones de recopilación de datos o supervisión en las máquinas virtuales mediante el análisis de las operaciones de Azure Resource Manager en la suscripción. Los atacantes podrían abusar de estas extensiones para la recopilación de datos, la supervisión del tráfico de red, etc., en la suscripción. Este uso se considera sospechoso, ya que normalmente no se ha visto antes. | Reconocimiento | Media |
| Se detectó una instalación sospechosa de extensiones de cifrado de disco en las máquinas virtuales (versión preliminar) (VM_DiskEncryptionSuspiciousUsage) |
Se detectó la instalación sospechosa de extensiones de cifrado de discos en sus máquinas virtuales mediante el análisis de las operaciones de Azure Resource Manager en su suscripción. Los atacantes podrían abusar de la extensión de cifrado de disco para implementar cifrados de disco completos en las máquinas virtuales a través de Azure Resource Manager en un intento de realizar actividad ransomware. Esta actividad se considera sospechosa, ya que no se ha visto normalmente antes y debido al alto número de instalaciones de extensiones. | Impacto | Media |
| Se detectó un uso sospechoso de la extensión VM Access en las máquinas virtuales (versión preliminar) (VM_VMAccessSuspiciousUsage) |
Se detectó un uso sospechoso de la extensión VM Access en las máquinas virtuales. Los atacantes podrían abusar de la extensión VM Access para obtener acceso y poner en peligro las máquinas virtuales con privilegios elevados al restablecer el acceso o administrar usuarios administrativos. Esta actividad se considera sospechosa, ya que el comportamiento de la entidad de seguridad sale de sus patrones habituales y debido al gran número de instalaciones de extensiones. | Persistencia | Media |
| Se detectó una extensión Desired State Configuration (DSC) con un script sospechoso en la máquina virtual (versión preliminar) (VM_DSCExtensionSuspiciousScript) |
Se detectó una extensión de Desired State Configuration (DSC) con un script sospechoso en la máquina virtual al analizar las operaciones de Azure Resource Manager en la suscripción. Los atacantes podrían usar la extensión Desired State Configuration (DSC) para implementar configuraciones malintencionadas, como mecanismos de persistencia, scripts malintencionados, etc., con privilegios elevados, en las máquinas virtuales. El script se considera sospechoso, ya que ciertas partes se han identificado como potencialmente malintencionadas. | Ejecución | Alto |
| Se detectó un uso sospechoso de una extensión Desired State Configuration (DSC) en las máquinas virtuales (versión preliminar) (VM_DSCExtensionSuspiciousUsage) |
Se detectó un uso sospechoso de una extensión Desired State Configuration (DSC) en las máquinas virtuales al analizar las operaciones de Azure Resource Manager en la suscripción. Los atacantes podrían usar la extensión Desired State Configuration (DSC) para implementar configuraciones malintencionadas, como mecanismos de persistencia, scripts malintencionados, etc., con privilegios elevados, en las máquinas virtuales. Esta actividad se considera sospechosa, ya que el comportamiento de la entidad de seguridad sale de sus patrones habituales y debido al gran número de instalaciones de extensiones. | Impacto | Bajo |
| Se detectó una extensión de script personalizado con un script sospechoso en la máquina virtual (versión preliminar) (VM_CustomScriptExtensionSuspiciousCmd) (Esta alerta ya existe y se ha mejorado con métodos de detección y lógica más eficaces). |
Se detectó una extensión de script personalizado con un script sospechoso en la máquina virtual al analizar las operaciones de Azure Resource Manager en la suscripción. Los atacantes podrían usar la extensión de Script personalizado para ejecutar un código malintencionado con permisos elevados en la máquina virtual mediante Azure Resource Manager. El script se considera sospechoso, ya que ciertas partes se han identificado como potencialmente malintencionadas. | Ejecución | Alto |
Consulte las alertas basadas en extensiones en Microsoft Defender para servidores.
Para obtener una lista completa de alertas, consulte la tabla de referencia de todas las alertas de seguridad de Microsoft Defender for Cloud.
Actualizaciones de precios y modelos empresariales de los planes de Defender for Cloud
1 de agosto de 2023
Microsoft Defender for Cloud tiene tres planes que ofrecen protección de capa de servicio:
Defender para Key Vault
Defender para Resource Manager
Defender para DNS
Se ha realizando la transición de estos planes a un nuevo modelo de negocio con diferentes precios y empaquetados para abordar los comentarios de los clientes sobre la previsibilidad del gasto y simplificar la estructura de costes general.
Resumen de los cambios en los precios y el modelo empresarial:
Los clientes actuales de Defender para Key-Vault, Defender para Resource Manager y Defender para DNS mantienen su modelo de negocio y precio actuales a menos que decidan activamente cambiar al nuevo modelo de negocio y precio.
- Defender para Resource Manager: Este plan tiene un precio fijo por suscripción al mes. Los clientes pueden cambiar al nuevo modelo de negocio seleccionando el nuevo modelo por suscripción de Defender para Resource Manager.
Los clientes actuales de Defender para Key-Vault, Defender para Resource Manager y Defender para DNS mantienen su modelo de negocio y precio actuales a menos que decidan activamente cambiar al nuevo modelo de negocio y precio.
- Defender para Resource Manager: Este plan tiene un precio fijo por suscripción al mes. Los clientes pueden cambiar al nuevo modelo de negocio seleccionando el nuevo modelo por suscripción de Defender para Resource Manager.
- Defender para Key Vault: Este plan tiene un precio fijo por bóveda al mes sin cargo por exceso. Los clientes pueden cambiar al nuevo modelo de negocio seleccionando el nuevo modelo por bóveda de Defender para Key Vault
- Defender para DNS: Los clientes de Defender para Servidores Plan 2 obtienen acceso a Defender para DNS value como parte de Defender para Servers Plan 2 sin coste adicional. A los clientes que tienen tanto Defender para Server Plan 2 como Defender para DNS ya no se les cobra por Defender para DNS. Defender para DNS ya no está disponible como plan independiente.
Obtenga más información sobre los precios de estos planes en la página de precios de Defender for Cloud.
Julio de 2023
Las actualizaciones de julio incluyen:
Versión preliminar de la evaluación de vulnerabilidades de contenedores con Administración de vulnerabilidades de Microsoft Defender
31 de julio de 2023
Anunciamos la versión de Evaluación de vulnerabilidades (VA) para imágenes de contenedor de Linux en registros de contenedor de Azure con tecnología de Administración de vulnerabilidades de Microsoft Defender en Defender for Containers y Defender para registros de contenedor. La nueva oferta de VA de contenedores se proporcionará junto con la oferta de VA de contenedores existente con tecnología de Qualys tanto en Defender para contenedores como en Defender para registros de contenedor, e incluye exámenes diarios de imágenes de contenedor, información de vulnerabilidad de seguridad, compatibilidad con el sistema operativo y los lenguajes de programación (SCA) y mucho más.
Esta nueva oferta comenzará a implementarse hoy y se espera que esté disponible para todos los clientes el 7 de agosto.
Obtenga más información sobre la evaluación de vulnerabilidades de contenedor con Administración de vulnerabilidades de Microsoft Defender.
La posición del contenedor sin agente en CSPM de Defender ahora está disponible con carácter general
30 de julio de 2023
Las funcionalidades de posición de contenedor sin agente ahora están disponibles con carácter general (GA) como parte del plan de CSPM (Administración de la posición de seguridad en la nube) de Defender.
Obtenga más información sobre laposición de los contenedores sin agente en CSPM de Defender.
Administración de actualizaciones automáticas de Defender para punto de conexión para Linux
20 de julio de 2023
De forma predeterminada, Defender for Cloud intenta actualizar los agentes de Defender para punto de conexión para Linux incorporados con la extensión MDE.Linux. Con esta versión, puede administrar esta configuración y rechazarla de la configuración predeterminada para administrar los ciclos de actualización manualmente.
Aprenda a administrar la configuración de actualizaciones automáticas para Linux.
Análisis de secretos sin agente para máquinas virtuales en Defender para servidores P2 y CSPM de Defender
18 de julio de 2023
El examen de secretos ahora está disponible como parte del examen sin agente en Defender para servidores P2 y CSPM de Defender. Esta funcionalidad ayuda a detectar secretos no administrados e inseguros guardados en máquinas virtuales, en recursos de Azure o en AWS, que se pueden usar para moverse lateralmente en la red. Si se detectan secretos, Defender for Cloud puede ayudar a priorizar y realizar pasos de corrección accionables para minimizar el riesgo de movimiento lateral, todo ello sin afectar al rendimiento de la máquina.
Para obtener más información sobre cómo proteger los secretos con el examen de secretos, consulte Administración de secretos con análisis de secretos sin agente.
Nueva alerta de seguridad en Defender para servidores plan 2: detección de posibles ataques aprovechando las extensiones del controlador GPU de Azure VM
12 de julio de 2023
Esta alerta se centra en la identificación de actividades sospechosas que aprovechan las extensiones del controlador GPU de la máquina virtual Azure y proporciona información sobre los intentos de los atacantes de poner en peligro sus máquinas virtuales. La alerta se centra en las implementaciones sospechosas de extensiones de controladores de GPU; los actores de amenazas suelen abusar de estas extensiones para utilizar toda la potencia de la tarjeta GPU y realizar criptojacking.
| Nombre para mostrar de la alerta (Tipo de alerta) |
Descripción | severity | Táctica MITRE |
|---|---|---|---|
| Instalación sospechosa de una extensión de GPU en su máquina virtual (versión preliminar) (VM_GPUDriverExtensionUnusualExecution) |
Se detectó la instalación sospechosa de una extensión de GPU en su máquina virtual mediante el análisis de las operaciones de Azure Resource Manager en su suscripción. Los atacantes podrían utilizar la extensión de controlador de GPU para instalar controladores de GPU en su máquina virtual a través del Azure Resource Manager para realizar cryptojacking. | Bajo | Impacto |
Para obtener una lista completa de alertas, consulte la tabla de referencia de todas las alertas de seguridad de Microsoft Defender for Cloud.
Compatibilidad con la deshabilitación de conclusiones de vulnerabilidades específicas
9 de julio de 2023
Versión de compatibilidad para deshabilitar los resultados de vulnerabilidades de las imágenes del registro de contenedor o ejecutar imágenes como parte de la posición del contenedor sin agente. Si tiene la necesidad organizativa de omitir un resultado de vulnerabilidad de la imagen del registro de contenedor, en lugar de corregirlo, tiene la opción de deshabilitarlo. Los resultados deshabilitados no afectan a la puntuación de seguridad ni generan ruido no deseado.
Obtenga información sobre cómo deshabilitar los resultados de la evaluación de vulnerabilidades en imágenes de Container Registry.
La posición de seguridad con reconocimiento de datos ya está disponible con carácter general
1 de julio de 2023
La posición de seguridad con reconocimiento de datos en Microsoft Defender for Cloud ya está disponible con carácter general. Ayuda a los clientes a reducir el riesgo de datos y a responder a las brechas de datos. Con la posición de seguridad con reconocimiento de datos, puede:
- Detecta automáticamente recursos de datos confidenciales en Azure y AWS.
- Evalúe la confidencialidad de los datos, la exposición de datos y cómo fluyen los datos en toda la organización.
- Detecte de forma proactiva y continua los riesgos que podrían conducir a la vulneración de datos.
- Detecta actividades sospechosas que podrían indicar amenazas en curso a recursos de datos confidenciales
Para más información, consulte Posición de seguridad con reconocimiento de datos en Microsoft Defender for Cloud.
Junio de 2023
Las actualizaciones de junio incluyen:
Incorporación simplificada de cuentas multinube con una configuración mejorada
26 de junio de 2023
Defender for Cloud ha mejorado la experiencia de incorporación para incluir una nueva interfaz de usuario simplificada e instrucciones, además de nuevas funcionalidades que le permiten incorporar los entornos de AWS y GCP, a la vez que proporciona acceso a características avanzadas de incorporación.
Para las organizaciones que han adoptado Hashicorp Terraform para la automatización, Defender for Cloud ahora incluye la capacidad de usar Terraform como método de implementación junto con AWS CloudFormation o GCP Cloud Shell. Ahora puede personalizar los nombres de rol necesarios al crear la integración. También puede seleccionar entre:
Acceso predeterminado: permite que Defender for Cloud examine los recursos e incluya automáticamente funcionalidades futuras.
Acceso con privilegios mínimos: concede acceso de Defender for Cloud solo a los permisos actuales necesarios para los planes seleccionados.
Si selecciona los permisos con privilegios mínimos, solo recibirá notificaciones sobre los nuevos roles y permisos necesarios para obtener toda la funcionalidad en el estado del conector.
Defender for Cloud permite distinguir entre las cuentas de nube por sus nombres nativos de los proveedores de nube. Por ejemplo, alias de cuenta de AWS y nombres de proyecto de GCP.
Compatibilidad con puntos de conexión privados para el examen de malware en Defender para Storage
25 de junio de 2023
La compatibilidad con puntos de conexión privados ya está disponible como parte de la versión preliminar pública de examen de malware en Defender for Storage. Esta funcionalidad permite habilitar el examen de malware en cuentas de almacenamiento que usan puntos de conexión privados. No se necesita ninguna otra configuración.
El examen de malware (versión preliminar) en Defender para Storage ayuda a proteger las cuentas de almacenamiento frente a contenido malintencionado realizando un examen completo de malware en el contenido cargado casi en tiempo real, con las funcionalidades del Antivirus de Microsoft Defender. Está diseñado para ayudar a cumplir los requisitos de seguridad y cumplimiento en el control del contenido que no es de confianza. Es una solución SaaS sin agente que permite una configuración sencilla a gran escala, sin mantenimiento y admite la automatización de la respuesta a gran escala.
Los puntos de conexión privados proporcionan conectividad segura a los servicios de Azure Storage, eliminando de manera efectiva la exposición pública a Internet, y se consideran un procedimiento recomendado de seguridad.
En el caso de las cuentas de almacenamiento con puntos de conexión privados que ya tienen habilitado el examen de malware, deberá deshabilitar y habilitar el plan con el examen de malware para que funcione.
Obtenga más información sobre el uso de puntos de conexión privados en Defender para Storage y cómo proteger aún más los servicios de almacenamiento.
Recomendación publicada en versión preliminar: las imágenes de contenedor en ejecución deben tener resueltos los resultados de las vulnerabilidades (con tecnología de Administración de vulnerabilidades de Microsoft Defender)
21 de junio de 2023
Se publica una nueva recomendación de contenedor en CSPM de Defender con tecnología de Administración de vulnerabilidades de Microsoft Defender para obtener una versión preliminar:
| Recomendación | Descripción | Clave de evaluación |
|---|---|---|
| Las imágenes de contenedor en ejecución deben tener resueltos los resultados de las vulnerabilidades (con tecnología de Administración de vulnerabilidades de Microsoft Defender) (Versión preliminar) | La evaluación de vulnerabilidades de la imagen de contenedor examina el registro para detectar vulnerabilidades conocidas (CVE) y proporciona un informe detallado de vulnerabilidades para cada imagen. Esta recomendación proporciona visibilidad de las imágenes vulnerables que se ejecutan actualmente en los clústeres de Kubernetes. La corrección de vulnerabilidades en imágenes de contenedor que se están ejecutando actualmente es clave para mejorar la posición de seguridad, lo que reduce significativamente la superficie expuesta a ataques para las cargas de trabajo en contenedores. | c609cf0f-71ab-41e9-a3c6-9a1f7fe1b8d5 |
Esta nueva recomendación reemplaza la recomendación actual del mismo nombre, con tecnología de Qualys, solo en Defender CSPM (reemplaza la clave de evaluación 41503391-efa5-47ee-9282-4eff6131462c).
Se han realizado actualizaciones de control de los estándares 800-53 del NIST en cumplimiento de la normativa
15 de junio de 2023
Los estándares 800-53 del NIST (R4 y R5) se han actualizado recientemente con cambios de control en el cumplimiento normativo de Microsoft Defender for Cloud. Los controles administrados por Microsoft se han quitado del estándar y la información sobre la implementación de responsabilidad de Microsoft (como parte del modelo de responsabilidad compartida en la nube) ahora solo está disponible en el panel de detalles del control en Acciones de Microsoft.
Estos controles se calcularon previamente como controles pasados, por lo que es posible que vea un descenso significativo en la puntuación de cumplimiento de los estándares del NIST entre abril de 2023 y mayo de 2023.
Para obtener más información sobre los controles de cumplimiento, consulte Tutorial: Comprobaciones de cumplimiento normativo: Microsoft Defender for Cloud.
La planificación de la migración a la nube con un caso empresarial de Azure Migrate ahora incluye Defender for Cloud
11 de junio de 2023
Ahora puede descubrir el ahorro potencial de costes en seguridad usando Defender for Cloud en el contexto de un caso empresarial de Azure Migrate.
La configuración rápida para la valoración de vulnerabilidades en Defender para SQL ahora está disponible con carácter general
7 de junio de 2023
La configuración rápida para la valoración de vulnerabilidades en Defender para SQL ahora está disponible con carácter general. La configuración rápida proporciona una experiencia de incorporación simplificada para la valoración de vulnerabilidades de SQL mediante una configuración de un solo clic (o una llamada API). No se necesitan configuraciones ni dependencias adicionales en las cuentas de almacenamiento administrado.
Consulte este blog para más información sobre esta configuración.
Puede conocer las diferencias entre la configuración rápida y la clásica.
Ámbitos adicionales agregados a los conectores de Azure DevOps existentes
6 de junio de 2023
Defender para DevOps agregó los siguientes ámbitos adicionales a la aplicación de Azure DevOps (ADO):
Administración de seguridad avanzada:
vso.advsec_manage. La cual es necesaria para permitirle habilitar, deshabilitar y administrar GitHub Advanced Security para ADO.Asignación de contenedores:
vso.extension_manage,vso.gallery_manager; La cual es necesaria para permitirle compartir la extensión de decorador con la organización de ADO.
Este cambio solo afectará a los nuevos clientes de Defender para DevOps que intentan incorporar recursos de ADO a Microsoft Defender for Cloud.
La incorporación directa (sin Azure Arc) a Defender para servidores ahora está disponible con carácter general
5 de junio de 2023
Anteriormente, se requería Azure Arc para incorporar servidores que no son de Azure a Defender para servidores. Sin embargo, con la versión más reciente también puede incorporar los servidores locales a Defender para servidores con solo el agente de Microsoft Defender para punto de conexión.
Este nuevo método simplifica el proceso de incorporación para los clientes centrados en la protección de puntos de conexión principales y le permite aprovechar la facturación basada en el consumo de Defender para servidores para los recursos tanto en la nube como fuera de ella. La opción de incorporación directa a través de Defender para punto de conexión está disponible ahora, con la facturación de las máquinas incorporadas comenzando a partir del 1° de julio.
Para obtener más información, consulte Conexión de máquinas que no son de Azure a Microsoft Defender for Cloud con Microsoft Defender para punto de conexión.
Reemplazar la detección basada en agente por la detección sin agente para las funcionalidades de contenedores en Defender CSPM
4 de junio de 2023
Ahora que las funcionalidades de posición de contenedor sin agente están disponibles en Defender CSPM, las funcionalidades de detección basadas en agente se han retirado. Si actualmente usa funcionalidades de contenedor en Defender CSPM, asegúrese de que las extensiones pertinentes están habilitadas para seguir recibiendo el valor relacionado con el contenedor de las nuevas funcionalidades sin agente, como rutas de acceso a ataques relacionadas con contenedores, información e inventario. (Puede tardar hasta 24 horas en ver los efectos de habilitar las extensiones).
Más información en Posición de contenedores sin agente.
Mayo de 2023
Las actualizaciones pueden incluir:
- Una nueva alerta en Defender para Key Vault.
- Compatibilidad con el examen sin agente de discos cifrados en AWS.
- Cambios en las convenciones de nomenclatura de reglas JIT (Just-In-Time) en Defender for Cloud.
- Incorporación de regiones de AWS seleccionadas.
- Cambios en las recomendaciones de identidad.
- Desuso de los estándares heredados en el panel de cumplimiento.
- Actualización de dos recomendaciones de Defender para DevOps para incluir los resultados del examen de Azure DevOps.
- Nueva configuración predeterminada para la solución de evaluación de vulnerabilidades de Defender for Servers.
- Capacidad de descargar un informe CSV de los resultados de la consulta del Explorador de seguridad en la nube (versión preliminar).
- Versión de la evaluación de vulnerabilidades de contenedores con Administración de vulnerabilidades de Microsoft Defender.
- Cambio de nombre de las recomendaciones de contenedor con tecnología de Qualys.
- Una actualización de la aplicación GitHub de Defender para DevOps.
- Cambie a las anotaciones de solicitud de incorporación de cambios de Defender for DevOps en repositorios de Azure DevOps que ahora incluyen infraestructura como configuraciones incorrectas de código.
Nueva alerta en Defender para Key Vault
| Alerta (tipo de alerta) | Descripción | Tácticas MITRE | severity |
|---|---|---|---|
| Acceso inusual al almacén de claves desde una IP sospechosa (ajena a Microsoft o externa) (KV_UnusualAccessSuspiciousIP) |
Un usuario o administrador de entidad de servicio ha intentado acceder de forma anómala a almacenes de claves desde una IP ajena a Microsoft en las últimas 24 horas. Este patrón de acceso anómalo podría ser una actividad legítima. Puede indicar que se ha intentado obtener acceso al almacén de claves y a los secretos que este contiene. Se recomienda seguir investigando. | Acceso con credenciales | Media |
Para ver todas las alertas disponibles, consulte Alertas de Azure Key Vault.
El examen sin agente ahora admite discos cifrados en AWS
El examen sin agente de máquinas virtuales ahora admite el procesamiento de instancias con discos cifrados en AWS, con CMK y PMK.
Este soporte extendido aumenta la cobertura y la visibilidad sobre el patrimonio de la nube sin afectar a las cargas de trabajo en ejecución. La compatibilidad con discos cifrados mantiene el mismo método de impacto cero en las instancias en ejecución.
- Para los nuevos clientes que habilitan el examen sin agente en AWS, la cobertura de discos cifrados está integrada y es compatible de forma predeterminada.
- Para los clientes existentes que ya tienen un conector de AWS con el examen sin agente habilitado, deberá volver a aplicar la pila de CloudFormation a las cuentas de AWS incorporadas para actualizar y agregar los nuevos permisos necesarios para procesar discos cifrados. La plantilla de CloudFormation actualizada incluye nuevas asignaciones que permiten a Defender for Cloud procesar discos cifrados.
Puede obtener más información sobre los permisos usados para examinar las instancias de AWS.
Para volver a aplicar la pila de CloudFormation:
- Vaya a la configuración del entorno de Defender for Cloud y abra el conector de AWS.
- Vaya a la pestaña Configurar acceso.
- Seleccione Haga clic para descargar la plantilla CloudFormation.
- Vaya al entorno de AWS y aplique la plantilla actualizada.
Obtenga más información sobre el examen sin agente y la habilitación del examen sin agente en AWS.
Convenciones de nomenclatura de reglas JIT (Just-In-Time) revisadas en Defender for Cloud
Hemos revisado las reglas JIT (Just-In-Time) para alinearlas con la marca de Microsoft Defender for Cloud. Hemos cambiado las convenciones de nomenclatura para las reglas de Azure Firewall y NSG (grupo de seguridad de red).
Los cambios se enumeran de la siguiente manera:
| Descripción | Nombre anterior | Nombre nuevo |
|---|---|---|
| Nombres de reglas JIT (permitir y denegar) en el grupo de seguridad de red (NSG) | SecurityCenter-JITRule | MicrosoftDefenderForCloud-JITRule |
| Descripciones de reglas JIT en NSG | Regla de acceso a red JIT de ASC | Regla de acceso a red JIT de MDC |
| Nombres de colección de reglas de firewall JIT | ASC-JIT | MDC-JIT |
| Nombres de reglas de firewall JIT | ASC-JIT | MDC-JIT |
Aprenda cómo proteger los puertos de administración con acceso Just-in-Time.
Incorporación de regiones de AWS seleccionadas
Para ayudarle a administrar los costos y las necesidades de cumplimiento de AWS CloudTrail, ahora puede seleccionar qué regiones de AWS examinar al agregar o editar un conector en la nube. Ahora puede examinar determinadas regiones de AWS o todas las regiones disponibles (valor predeterminado), al incorporar sus cuentas de AWS a Defender for Cloud. Obtenga más información en Conectar cuenta de AWS a Microsoft Defender for Cloud.
Varios cambios en las recomendaciones de identidad
Las siguientes recomendaciones ahora se publican con disponibilidad general (GA) y reemplazan las recomendaciones V1 que ahora están en desuso.
Versión de disponibilidad general (GA) de las recomendaciones de identidad V2
La versión V2 de las recomendaciones de identidad presenta las siguientes mejoras:
- El ámbito del examen se ha ampliado para incluir todos los recursos de Azure, no solo las suscripciones. Esto permite a los administradores de seguridad ver las asignaciones de roles por cuenta.
- Ahora se pueden excluir cuentas específicas de la evaluación. Los administradores de seguridad pueden excluir cuentas como las cuentas de accedo rápido o las cuentas de servicio.
- La frecuencia de examen se ha aumentado de 24 a 12 horas, lo que garantiza que las recomendaciones de identidad estén más actualizadas y sean más precisas.
Las siguientes recomendaciones de seguridad están disponibles en disponibilidad general y reemplazarán a las recomendaciones de la versión V1:
| Recomendación | Clave de evaluación |
|---|---|
| Deben estar habilitadas para MFA las cuentas con permisos de propietario de los recursos de Azure. | 6240402e-f77c-46fa-9060-a7ce53997754 |
| Deben estar habilitadas para MFA las cuentas con permisos de escritura de los recursos de Azure. | c0cb17b2-0607-48a7-b0e0-903ed22de39b |
| Deben estar habilitadas para MFA las cuentas con permisos de lectura de los recursos de Azure. | dabc9bc4-b8a8-45bd-9a5a-43000df8aa1c |
| Deben quitarse las cuentas de invitado con permisos de propietario de los recursos de Azure. | 20606e75-05c4-48c0-9d97-add6daa2109a |
| Deben quitarse las cuentas de invitado con permisos de escritura de los recursos de Azure. | 0354476c-a12a-4fcc-a79d-f0ab7ffffdbb |
| Deben quitarse las cuentas de invitado con permisos de lectura de los recursos de Azure. | fde1c0c9-0fd2-4ecc-87b5-98956cbc1095 |
| Deben quitarse las cuentas bloqueadas con permisos de propietario de los recursos de Azure. | 050ac097-3dda-4d24-ab6d-82568e7a50cf |
| Deben quitarse las cuentas bloqueadas con permisos de lectura y escritura de los recursos de Azure. | 1ff0b4c9-ed56-4de6-be9c-d7ab39645926 |
Desuso de las recomendaciones de identidad V1
Las siguientes recomendaciones de seguridad han quedado en desuso:
| Recomendación | Clave de evaluación |
|---|---|
| MFA debe habilitarse en cuentas con permisos de propietario en suscripciones. | 94290b00-4d0c-d7b4-7cea-064a9554e681 |
| MFA debe habilitarse en cuentas con permisos de escritura en suscripciones. | 57e98606-6b1e-6193-0e3d-fe621387c16b |
| MFA debe habilitarse en las cuentas con permisos de lectura en las suscripciones. | 151e82c5-5341-a74b-1eb0-bc38d2c84bb5 |
| Las cuentas externas con permisos de propietario deben quitarse de las suscripciones. | c3b6ae71-f1f0-31b4-e6c1-d5951285d03d |
| Las cuentas externas con permisos de escritura deben quitarse de las suscripciones. | 04e7147b-0deb-9796-2e5c-0336343ceb3d |
| Las cuentas externas con permisos de lectura deben quitarse de las suscripciones. | a8c6a4ad-d51e-88fe-2979-d3ee3c864f8b |
| Las cuentas en desuso con permisos de propietario deben quitarse de las suscripciones. | e52064aa-6853-e252-a11e-dffc675689c2 |
| Las cuentas en desuso se deben quitar de las suscripciones. | 00c6d40b-e990-6acf-d4f3-471e747a27c4 |
Se recomienda actualizar los scripts personalizados, flujos de trabajo y reglas de gobernanza para que se correspondan con las recomendaciones V2.
Desuso de los estándares heredados en el panel de cumplimiento
El PCI DSS v3.2.1 heredado y el SOC TSP heredado han quedado totalmente en desuso en el panel de cumplimiento de Defender for Cloud y han sido reemplazados por la iniciativa SOC 2 Tipo 2 y los estándares de cumplimiento basados en iniciativas PCI DSS v4. En Microsoft Azure operado por 21Vianet ha quedado totalmente en desuso el soporte técnico de iniciativa o estándar PCI DSS.
Obtenga más información en Personalización del conjunto de estándares en el panel de cumplimiento normativo.
Ahora, dos recomendaciones de Defender para DevOps incluyen resultados de análisis de Azure DevOps
El código e IaC de Defender para DevOps han ampliado su cobertura de recomendaciones en Microsoft Defender for Cloud para incluir los resultados de seguridad de Azure DevOps para las dos recomendaciones siguientes:
Code repositories should have code scanning findings resolvedCode repositories should have infrastructure as code scanning findings resolved
Anteriormente, la cobertura para el examen de seguridad de Azure DevOps solo incluía la recomendación de secretos.
Obtenga más información sobre Defender para DevOps.
Nueva configuración predeterminada para la solución de evaluación de vulnerabilidades de Defender para servidores
Las soluciones de evaluación de vulnerabilidades (VA) son esenciales para proteger las máquinas frente a ciberataques y vulneraciones de datos.
Administración de vulnerabilidades de Microsoft Defender ahora está habilitada como la solución integrada predeterminada para todas las suscripciones protegidas por Defender para servidores que aún no tienen seleccionada una solución de VA.
Si una suscripción tiene habilitada una solución de VA en cualquiera de sus máquinas virtuales, no se realizan cambios y Administración de vulnerabilidades de Microsoft Defender no se habilitarán de forma predeterminada en las máquinas virtuales restantes de esa suscripción. Puede optar por habilitar una solución de VA en las máquinas virtuales restantes de las suscripciones.
Obtenga información sobre cómo Buscar vulnerabilidades y recopilar el inventario de software con la exploración sin agentes (versión preliminar).
Descargar un informe CSV de los resultados de la consulta de Cloud Security Explorer (versión preliminar)
Defender for Cloud ha agregado la capacidad de descargar un informe CSV de los resultados de la consulta de Cloud Security Explorer.
Después de ejecutar una búsqueda de una consulta, puede seleccionar el botón Descargar informe CSV (versión preliminar) en la página Cloud Security Explorer en Defender for Cloud.
Aprenda a crear consultas con Cloud Security Explorer
La versión de la evaluación de vulnerabilidades de contenedores con Administración de vulnerabilidades de Microsoft Defender
Anunciamos la versión de evaluación de vulnerabilidades para imágenes de Linux en registros de contenedor de Azure con tecnología de Administración de vulnerabilidades de Microsoft Defender en CSPM de Defender. Esta versión incluye el examen diario de imágenes. Los resultados usados en el Explorador de seguridad y las rutas de acceso de ataque se basan en la evaluación de vulnerabilidades de Microsoft Defender, en lugar del analizador de Qualys.
La recomendación Container registry images should have vulnerability findings resolved existente se reemplaza por una nueva recomendación:
| Recomendación | Descripción | Clave de evaluación |
|---|---|---|
| Las imágenes de Registro de contenedor deben tener resueltos los resultados de vulnerabilidades (con tecnología de Administración de vulnerabilidades de Microsoft Defender) | La evaluación de vulnerabilidades de la imagen de contenedor examina el registro para detectar vulnerabilidades conocidas (CVE) y proporciona un informe detallado de vulnerabilidades para cada imagen. Esta recomendación proporciona visibilidad de las imágenes vulnerables que se ejecutan actualmente en los clústeres de Kubernetes. La corrección de vulnerabilidades en imágenes de contenedor que se están ejecutando actualmente es clave para mejorar la posición de seguridad, lo que reduce significativamente la superficie expuesta a ataques para las cargas de trabajo en contenedores. | dbd0cb49-b563-45e7-9724-889e799fa648 se reemplaza por c0b7cfc6-3172-465a-b378-53c7ff2cc0d5. |
Obtenga más información sobre la posición de los contenedores sin agente en CSPM de Defender.
Obtenga más información sobre Administración de vulnerabilidades de Microsoft Defender.
Cambiar el nombre de las recomendaciones de contenedor con tecnología de Qualys
Las recomendaciones de contenedor actuales en Defender para contenedores se cambiarán de la siguiente manera:
| Recomendación | Descripción | Clave de evaluación |
|---|---|---|
| Container registry images should have vulnerability findings resolved (powered by Qualys) (Las imágenes del registro de contenedores deben tener resueltos los hallazgos de vulnerabilidades [con tecnología de Qualys]) | La evaluación de vulnerabilidades de la imagen de contenedor examina el registro en busca de vulnerabilidades de seguridad y expone los resultados detallados en cada imagen. La resolución de las vulnerabilidades puede mejorar considerablemente la posición de seguridad de los contenedores y protegerlos frente a ataques. | dbd0cb49-b563-45e7-9724-889e799fa648 |
| Las imágenes de contenedor en ejecución deben tener resueltos los hallazgos de vulnerabilidades (con tecnología de Qualys) | La evaluación de vulnerabilidades de imagen de contenedor examina las imágenes de contenedor que se ejecutan en los clústeres de Kubernetes en busca de vulnerabilidades de seguridad y expone resultados detallados para cada imagen. La resolución de las vulnerabilidades puede mejorar considerablemente la posición de seguridad de los contenedores y protegerlos frente a ataques. | 41503391-efa5-47ee-9282-4eff6131462c |
Actualización de la aplicación de GitHub de Defender para DevOps
Microsoft Defender para DevOps realiza constantemente cambios y actualizaciones que requieren clientes de Defender para DevOps que hayan incorporado sus entornos de GitHub en Defender for Cloud para proporcionar permisos como parte de la aplicación implementada en su organización de GitHub. Estos permisos son necesarios para garantizar que todas las características de seguridad de Defender para DevOps funcionen con normalidad y sin problemas.
Se recomienda actualizar los permisos lo antes posible para garantizar el acceso continuo a todas las características disponibles de Defender para DevOps.
Los permisos se pueden conceder de dos formas diferentes:
En su organización, seleccione Aplicaciones de GitHub. Busque su organización y seleccione Revisar solicitud.
Obtendrá un correo electrónico automatizado del soporte técnico de GitHub. En el correo electrónico, seleccione Revisar solicitud de permiso para aceptar o rechazar este cambio.
Tras seguir cualquiera de estas opciones, se le dirigirá a la pantalla de revisión donde deberá revisar la solicitud. Seleccione Aceptar nuevos permisos para aprobar la solicitud.
Si necesita algún permiso de actualización de asistencia, puede crear una solicitud de Soporte técnico de Azure.
También puede obtener más información sobre Defender para DevOps. Si una suscripción tiene habilitada una solución de VA en cualquiera de sus máquinas virtuales, no se realizan cambios y Administración de vulnerabilidades de Microsoft Defender no se habilitarán de forma predeterminada en las máquinas virtuales restantes de esa suscripción. Puede optar por habilitar una solución de VA en las máquinas virtuales restantes de las suscripciones.
Obtenga información sobre cómo Buscar vulnerabilidades y recopilar el inventario de software con la exploración sin agentes (versión preliminar).
Las anotaciones de solicitud de incorporación de cambios de Defender para DevOps en repositorios de Azure DevOps ahora incluyen infraestructura como errores de configuración de código
Defender para DevOps ha ampliado su cobertura de anotación de solicitud de incorporación de cambios (PR) en Azure DevOps para incluir errores de configuración de infraestructura como código (IaC) que se detectan en las plantillas de Azure Resource Manager y Bicep.
Los desarrolladores ahora pueden ver anotaciones para errores de configuración de IaC directamente en sus solicitudes de incorporación de cambios. Los desarrolladores también pueden corregir problemas críticos de seguridad antes de que la infraestructura se aprovisione en cargas de trabajo en la nube. Para simplificar la corrección, en cada anotación se proporciona a los desarrolladores un nivel de gravedad, una descripción del error de configuración e instrucciones para corregirlo.
Anteriormente, la cobertura de las anotaciones de solicitud de incorporación de cambios de Defender para DevOps en Azure DevOps solo incluía secretos.
Obtenga más información sobre Defender para DevOps y las anotaciones de solicitud de incorporación de cambios.
abril de 2023
Las actualizaciones de abril incluyen:
- Posición de contenedor sin agente en Defender CSPM (versión preliminar)
- Nueva recomendación de cifrado de disco unificado en versión preliminar
- Cambios en la recomendación Las máquinas deben configurarse de forma segura
- Desuso de las directivas de supervisión de lenguaje de App Service
- Nueva alerta en Defender para Resource Manager
- Tres alertas del plan Defender para Resource Manager han quedado en desuso
- Las alertas de exportación automática al área de trabajo de Log Analytics han quedado en desuso
- Desuso y mejora de las alertas seleccionadas para servidores Windows y Linux
- Nuevas recomendaciones relacionadas con la autenticación de Azure Active Directory para Azure Data Services
- Se han publicado dos recomendaciones relacionadas con la falta de actualizaciones del sistema operativo (SO) en disponibilidad general
- Defender para API (versión preliminar)
Posición de contenedor sin agente en Defender CSPM (versión preliminar)
Las nuevas funcionalidades de posición de contenedor sin agente (versión preliminar) están disponibles como parte del plan de Defender CSPM (Administración de posturas de seguridad en la nube).
La posición de contenedor sin agente permite a los equipos de seguridad identificar los riesgos de seguridad en contenedores y dominios de Kubernetes. Un enfoque sin agente permite a los equipos de seguridad obtener visibilidad sobre sus registros de Kubernetes y contenedores en SDLC y tiempo de ejecución, lo que elimina la fricción y la superficie de las cargas de trabajo.
La posición de contenedor sin agente ofrece evaluaciones de vulnerabilidades de contenedor que, combinadas con el análisis de rutas de acceso a ataques, permiten a los equipos de seguridad priorizar y acercar vulnerabilidades de contenedor específicas. También puedes usar el explorador de seguridad en la nube para descubrir riesgos y buscar información sobre la posición del contenedor, como la detección de aplicaciones que ejecutan imágenes vulnerables o expuestas a Internet.
Más información en Posición de contenedores sin agente (versión preliminar).
Recomendación de cifrado de disco unificado (versión preliminar)
Hay nuevas recomendaciones de cifrado de disco unificado en versión preliminar.
Wndows virtual machines should enable Azure Disk Encryption or EncryptionAtHostLinux virtual machines should enable Azure Disk Encryption or EncryptionAtHost.
Estas recomendaciones reemplazan Virtual machines should encrypt temp disks, caches, and data flows between Compute and Storage resources, qué detectó Azure Disk Encryption y la directiva Virtual machines and virtual machine scale sets should have encryption at host enabled, que detectó EncryptionAtHost. ADE y EncryptionAtHost proporcionan una cobertura de cifrado en reposo comparable y se recomienda habilitar una de ellas en cada máquina virtual. Las nuevas recomendaciones detectan si ADE o el EncryptionAtHost están habilitados y solo avisan si ninguno está habilitado. También se advierte si ADE está habilitado en algunos, pero no en todos los discos de una máquina virtual (esta condición no es aplicable a EncryptionAtHost).
Las nuevas recomendaciones requieren la configuración de máquina de Azure Automanage.
Estas recomendaciones se basan en las siguientes directivas:
- (Versión preliminar) Las máquinas virtuales de Windows deben habilitar Azure Disk Encryption o EncryptionAtHost
- (Versión preliminar) Las máquinas virtuales de Linux deben habilitar Azure Disk Encryption o EncryptionAtHost
Obtenga más información sobre ADE y EncryptionAtHost y cómo habilitar uno de ellos.
Cambios en la recomendación Las máquinas deben configurarse de forma segura
Se actualizó la recomendación Machines should be configured securely. Esta actualización mejora el rendimiento y la estabilidad de la recomendación y alineará su experiencia con el comportamiento genérico de las recomendaciones de Defender for Cloud.
Como parte de esta actualización, el id. de recomendación cambia de 181ac480-f7c4-544b-9865-11b8ffe87f47 a c476dc48-8110-4139-91af-c8d940896b98.
No se requiere ninguna acción en el lado del cliente y no se espera ningún efecto en la puntuación de seguridad.
Desuso de las directivas de supervisión de lenguaje de App Service
Las siguientes directivas de supervisión de lenguaje de App Service han quedado en desuso debido a que generan falsos negativos y no proporcionan una mejor seguridad. Siempre debe asegurarse de que usa una versión de lenguaje sin ninguna vulnerabilidad conocida.
| Nombre de la directiva | Id. de directiva |
|---|---|
| Las aplicaciones de App Service que utilizan Java deben utilizar la última "versión de Java" | 496223c3-ad65-4ecd-878a-bae78737e9ed |
| Las aplicaciones de App Service que utilizan Python deben utilizar la última "versión de Python" | 7008174a-fd10-4ef0-817e-fc820a951d73 |
| Las aplicaciones de funciones que usan Java deben usar la "versión más reciente" de Java | 9d0b6ea4-93e2-4578-bf2f-6bb17d22b4bc |
| Las aplicaciones de funciones que usan Python deben usar la "versión más reciente" de Python | 7238174a-fd10-4ef0-817e-fc820a951d73 |
| Las aplicaciones de App Service que utilizan PHP deben utilizar la última "versión de PHP" | 7261b898-8a84-4db8-9e04-18527132abb3 |
Los clientes pueden usar directivas integradas alternativas para supervisar cualquier versión de lenguaje especificada para sus App Services.
Estas directivas ya no están disponibles en las recomendaciones integradas de Defender for Cloud. Puede agregarlas como recomendaciones personalizadas para que Defender for Cloud las supervise.
Nueva alerta en Defender para Resource Manager
Defender para Resource Manager tiene la siguiente alerta nueva:
| Alerta (tipo de alerta) | Descripción | Tácticas MITRE | severity |
|---|---|---|---|
| VERSIÓN PRELIMINAR: se detectó la creación sospechosa de recursos de proceso (ARM_SuspiciousComputeCreation) |
Microsoft Defender para Resource Manager identificó la creación sospechosa de recursos de proceso en la suscripción mediante Virtual Machines o el conjunto de escalado de Azure. Las operaciones identificadas están diseñadas para permitir que los administradores gestionen los entornos de manera eficaz mediante la implementación de nuevos recursos cuando sea necesario. Si bien es posible que se trate de una actividad legítima, un actor de amenazas podría usar estas operaciones para efectuar criptominería. La actividad se considera sospechosa, ya que la escala de recursos de proceso es superior a la observada anteriormente en la suscripción. Esto puede indicar que la entidad de seguridad está en peligro y se está utilizando de manera malintencionada. |
Impacto | Media |
Puede ver una lista de todas las alertas disponibles para Resource Manager.
Tres alertas del plan Defender para Resource Manager han quedado en desuso
Las siguientes tres alertas del plan Defender para Resource Manager han quedado en desuso:
Activity from a risky IP address (ARM.MCAS_ActivityFromAnonymousIPAddresses)Activity from infrequent country (ARM.MCAS_ActivityFromInfrequentCountry)Impossible travel activity (ARM.MCAS_ImpossibleTravelActivity)
En el escenario en el que se detecta actividad de una dirección IP sospechosa, una de las siguientes alertas del plan de Defender para Resource Manager, Azure Resource Manager operation from suspicious IP address o Azure Resource Manager operation from suspicious proxy IP address, estará presente.
Las alertas de exportación automática al área de trabajo de Log Analytics han quedado en desuso
Las alertas de seguridad de Defender for Cloud se exportan automáticamente a un área de trabajo de Log Analytics predeterminada en el nivel de recurso. Esto provoca un comportamiento indeterminista y, por lo tanto, esta característica ha quedado en desuso.
En su lugar, puede exportar las alertas de seguridad a un área de trabajo de Log Analytics dedicada mediante la exportación continua.
Si ya ha configurado la exportación continua de las alertas a un área de trabajo de Log Analytics, no es necesario realizar ninguna otra acción.
Desuso y mejora de las alertas seleccionadas para servidores Windows y Linux
El proceso de mejora de la calidad de las alertas de seguridad de Defender para servidores incluye la puesta en desuso de algunas alertas para servidores Windows y Linux. Las alertas en desuso ahora provienen y están cubiertas por las alertas de amenazas de Defender para punto de conexión.
Si ya tiene habilitada la integración de Defender para punto de conexión, no se requiere ninguna acción adicional. Puede experimentar una disminución en el volumen de alertas en abril de 2023.
Si no tiene habilitada la integración de Defender para puntos de conexión en Defender para servidores, deberá habilitar la integración de Defender para punto de conexión para mantener y mejorar la cobertura de las alertas.
Todos los clientes de Defender para servidores tienen acceso total a la integración de Defender para puntos de conexión como parte del plan de Defender para servidores.
Puede obtener más información sobre las opciones de incorporación de Microsoft Defender para puntos de conexión.
También puede ver la lista completa de alertas que están configuradas para ponerse en desuso.
Lea el blog de Microsoft Defender for Cloud.
Nuevas recomendaciones relacionadas con la autenticación de Azure Active Directory para Azure Data Services
Se han agregado cuatro nuevas recomendaciones de autenticación de Azure Active Directory para Azure Data Services.
| Nombre de la recomendación | Descripción de la recomendación | Directiva |
|---|---|---|
| El modo de autenticación de Azure SQL Managed Instance debe ser solo Azure Active Directory | Deshabilitar los métodos de autenticación local y permitir solo la autenticación de Azure Active Directory mejora la seguridad, ya que garantiza que solo las identidades de Azure Active Directory puedan acceder a las instancias de Azure SQL Managed Instance. | Azure SQL Managed Instance debe tener habilitada solo la autenticación de Azure Active Directory |
| El modo de autenticación del área de trabajo de Azure Synapse debe ser solo Azure Active Directory | Los métodos de autenticación de solo Azure Active Directory mejoran la seguridad al garantizar que las áreas de trabajo de Synapse requieren exclusivamente identidades de AAD para la autenticación. Más información. | Las áreas de trabajo de Synapse solo deberían usar identidades de Azure Active Directory para la autenticación |
| Azure Database for MySQL debe tener un administrador de Azure Active Directory aprovisionado | Aprovisione un administrador de Azure AD para su Azure Database for MySQL para habilitar la autenticación de Azure AD. La autenticación de Azure AD permite la administración simplificada de permisos y la administración centralizada de identidades de usuarios de base de datos y otros servicios de Microsoft | Se debe proporcionar un administrador de Azure Active Directory para servidores MySQL |
| Azure Database for PostgreSQL debe tener aprovisionado un administrador de Azure Active Directory | Aprovisione un administrador de Azure AD para su Azure Database for PostgreSQL para habilitar la autenticación de Azure AD. La autenticación de Azure AD permite la administración simplificada de permisos y la administración centralizada de identidades de usuarios de base de datos y otros servicios de Microsoft | Se debe proporcionar un administrador de Azure Active Directory para servidores PostgreSQL |
Se han publicado dos recomendaciones relacionadas con la falta de actualizaciones del sistema operativo (SO) en disponibilidad general
Las recomendaciones System updates should be installed on your machines (powered by Azure Update Manager) y Machines should be configured to periodically check for missing system updates se han publicado para disponibilidad general.
Para usar la nueva recomendación, es preciso:
- Conectar tus máquinas que no son de Azure a Arc.
- Habilitar la propiedad de evaluación periódica. Puede usar el botón Corregir
en la nueva recomendación,
Machines should be configured to periodically check for missing system updates, para corregir la recomendación.
Después de completar estos pasos, puede quitar la recomendación System updates should be installed on your machines anterior, deshabilitándola de la iniciativa integrada de Microsoft Defender for Cloud en la directiva de Azure.
Las dos versiones de las recomendaciones:
System updates should be installed on your machinesSystem updates should be installed on your machines (powered by Azure Update Manager)
Ambos estarán disponibles hasta que el agente de Log Analytics esté en desuso el 31 de agosto de 2024, que es cuando la versión anterior (System updates should be installed on your machines) de la recomendación también quedará en desuso. Ambas recomendaciones devuelven los mismos resultados y están disponibles en el mismo control Apply system updates.
La nueva recomendación System updates should be installed on your machines (powered by Azure Update Manager) tiene un flujo de corrección disponible a través del botón Corregir, que se puede usar para corregir los resultados a través del Centro Update Management (versión preliminar). Este proceso de corrección todavía está en versión preliminar.
No se espera que la nueva recomendación System updates should be installed on your machines (powered by Azure Update Manager) afecte a la puntuación de seguridad, ya que tiene los mismos resultados que la recomendación anterior System updates should be installed on your machines.
La recomendación de requisitos previos (Habilitar la propiedad de evaluación periódica) tiene un efecto negativo en la puntuación de seguridad. Puede corregir este efecto negativo con el botón Corregir que está disponible.
Defender para API (versión preliminar)
Microsoft Defender for Cloud anuncia que la nueva versión de Defender para API está disponible en versión preliminar.
Defender para API ofrece una protección completa del ciclo de vida, detección y cobertura de respuesta para las API.
Defender para API le ayuda a obtener visibilidad de las API críticas para la empresa. Puede investigar y mejorar la posición de seguridad de una API, priorizar las correcciones de vulnerabilidades y detectar rápidamente amenazas activas en tiempo real.
Obtenga más información sobre Defender para API.
Marzo de 2023
Las actualizaciones de marzo incluyen:
- Hay disponible un nuevo plan de Defender para Storage, que incluye el examen de malware casi en tiempo real y la detección de amenazas a datos confidenciales.
- Posición de seguridad de reconocimiento de datos (versión preliminar).
- Experiencia mejorada para administrar las directivas de seguridad predeterminadas de Azure
- Defender CSPM (administración de la posición de seguridad en la nube) ahora está disponible con carácter general (GA)
- Opción para crear recomendaciones personalizadas y estándares de seguridad en Microsoft Defender for Cloud.
- La versión 1.0 de Microsoft Cloud Security Benchmark (MCSB) ahora está disponible con carácter general (GA).
- Algunos estándares de cumplimiento normativo ahora están disponibles en las nubes gubernamentales
- Nueva recomendación de versión preliminar para servidores de Azure SQL
- Nueva alerta en Defender para Key Vault
Hay disponible un nuevo plan de Defender para Storage, que incluye el examen de malware casi en tiempo real y la detección de amenazas a datos confidenciales
El almacenamiento en la nube desempeña un papel clave en la organización y almacena grandes volúmenes de datos valiosos y confidenciales. Hoy, anunciamos un nuevo plan de Defender para Storage. Si usa el plan anterior (que ahora ha cambiado de nombre a "Defender para Storage (clásico)"), deberá migrar proactivamente al nuevo plan para poder usar las nuevas características y ventajas.
El nuevo plan incluye funcionalidades de seguridad avanzadas para ayudar a protegerse frente a cargas de archivos malintencionados, filtración de datos confidenciales y daños en los datos. También proporciona una estructura de precios más predecible y flexible para un mejor control sobre la cobertura y los costos.
El nuevo plan tiene nuevas funcionalidades que ahora están en versión preliminar pública:
Detección de eventos de exposición y filtración de datos confidenciales
Examen de malware casi en tiempo real de blobs en carga en todos los tipos de archivo
Detección de entidades sin identidades mediante tokens de SAS
Estas funcionalidades mejorarán la funcionalidad de supervisión de actividad existente, en función del análisis de registros del plano de datos, y del control y el modelado de comportamiento para identificar los primeros signos de vulneración.
Todas estas funcionalidades están disponibles en un nuevo plan de precios predecible y flexible que proporciona un control detallado sobre la protección de datos tanto en los niveles de suscripción como de recursos.
Más información en Información general de Microsoft Defender para Storage.
Posición de seguridad de reconocimiento de datos (versión preliminar)
Microsoft Defender for Cloud ayuda a los equipos de seguridad a ser más productivos a la hora de reducir los riesgos y responder a las filtraciones de datos en la nube. Permite reducir el ruido con el contexto de datos y priorizar los riesgos de seguridad más críticos, lo que evita una vulneración de datos costosa.
- Detecte automáticamente los recursos de datos en el patrimonio de la nube y evalúe su accesibilidad, confidencialidad de datos y flujos de datos configurados. -Descubra continuamente los riesgos en las vulneraciones de datos de los recursos de datos confidenciales, la exposición o rutas de acceso de ataque que podrían conducir a un recurso de datos mediante una técnica de movimiento lateral.
- Detecte actividades sospechosas que podrían indicar una amenaza continua a los recursos de datos confidenciales.
Obtenga más información acerca de la posición de seguridad compatible con datos.
Experiencia mejorada para administrar las directivas de seguridad predeterminadas de Azure
Presentamos una experiencia mejorada de administración de directivas de seguridad de Azure para recomendaciones integradas que simplifican la manera en que los clientes de Defender for Cloud ajustan sus requisitos de seguridad. La nueva experiencia incluye las siguientes funcionalidades nuevas:
- Una interfaz sencilla permite un mejor rendimiento y experiencia al administrar directivas de seguridad predeterminadas en Defender for Cloud.
- Una vista única de todas las recomendaciones de seguridad integradas que ofrece Microsoft Cloud Security Benchmark (anteriormente Azure Security Benchmark). Las recomendaciones se organizan en grupos lógicos, lo que facilita la comprensión de los tipos de recursos cubiertos y la relación entre los parámetros y las recomendaciones.
- Se agregaron nuevas características como filtros y búsqueda.
Aprenda a administrar directivas de seguridad.
Lea el blog de Microsoft Defender for Cloud.
Defender CSPM (administración de la posición de seguridad en la nube) ahora está disponible con carácter general (GA)
Anunciamos que Defender CSPM ahora está disponible de forma general (GA). Defender CSPM ofrece todos los servicios disponibles en las funcionalidades de CSPM fundamentales y agrega las siguientes ventajas:
- Análisis de rutas de ataque y API de ARG: un análisis de rutas de ataque usa un algoritmo basado en grafos que examina el grafo de seguridad de la nube para exponer las rutas de acceso de ataque y sugiere recomendaciones sobre la mejor forma de corregir las incidencias que interrumpirán la ruta de acceso de ataque y evitarán que se produzca la vulneración. También puede consumir rutas de acceso de ataque mediante programación consultando la API de Azure Resource Graph (ARG). Obtenga información sobre cómo usar el análisis de rutas de acceso de ataque
- Cloud Security Explorer: use Cloud Security Explorer para ejecutar consultas basadas en grafos en el grafo de seguridad en la nube para identificar proactivamente los riesgos de seguridad en los entornos multinube. Obtenga más información sobre Cloud Security Explorer.
Obtén más información sobre Defender CSPM.
Opción para crear recomendaciones personalizadas y estándares de seguridad en Microsoft Defender for Cloud
Microsoft Defender for Cloud ofrece la opción de crear recomendaciones y estándares personalizados para AWS y GCP mediante consultas KQL. Puede usar un editor de consultas para compilar y probar consultas sobre los datos. Esta característica forma parte del plan de la CSPM (administración de la posición de seguridad en la nube) de Defender. Aprenda a crear recomendaciones personalizadas y estándares de seguridad.
La versión 1.0 de Microsoft Cloud Security Benchmark (MCSB) ahora está disponible con carácter general (GA)
Microsoft Defender for Cloud anuncia que la versión 1.0 de Microsoft Cloud Security Benchmark (MCSB) ya está disponible con carácter general (GA).
MCSB versión 1.0 reemplaza a la versión 3 de Azure Security Benchmark (ASB) como directiva de seguridad predeterminada de Defender for Cloud. La versión 1.0 de MCSB aparece como el estándar de cumplimiento predeterminado en el panel de cumplimiento y está habilitado de manera predeterminada para todos los clientes de Defender for Cloud.
También puede obtener información sobre Cómo Microsoft Cloud Security Benchmark (MCSB) le ayuda a tener éxito en su recorrido de seguridad en la nube.
Obtenga más información sobre MCSB.
Algunos estándares de cumplimiento normativo ahora están disponibles en las nubes gubernamentales
Estamos actualizando estos estándares para los clientes de Azure Government y Microsoft Azure operados por 21Vianet.
Azure Government:
Microsoft Azure operado por 21Vianet:
Obtenga más información en Personalización del conjunto de estándares en el panel de cumplimiento normativo.
Nueva recomendación de versión preliminar para servidores de Azure SQL
Hemos agregado una nueva recomendación para los servidores de Azure SQL, Azure SQL Server authentication mode should be Azure Active Directory Only (Preview).
La recomendación se basa en la directiva existente Azure SQL Database should have Azure Active Directory Only Authentication enabled
Esta recomendación deshabilita los métodos de autenticación local y permite solo la autenticación de Azure Active Directory, lo que mejora la seguridad, ya que garantiza que solo las identidades de Azure Active Directory puedan acceder a las instancias de Azure SQL Database.
Aprenda cómo crear un servidor con únicamente la autenticación de Azure AD habilitada en Azure SQL.
Nueva alerta en Defender para Key Vault
Defender para Key Vault tiene la siguiente alerta nueva:
| Alerta (tipo de alerta) | Descripción | Tácticas MITRE | severity |
|---|---|---|---|
| Acceso denegado desde una dirección IP sospechosa a un almacén de claves (KV_SuspiciousIPAccessDenied) |
Hubo un intento fallido de acceso a un almacén de claves por parte de una dirección IP identificada por la inteligencia sobre amenazas de Microsoft como una dirección IP sospechosa. Aunque este intento no se realizó correctamente, indica que la infraestructura podría haberse puesto en peligro. Se recomienda seguir investigando. | Acceso con credenciales | Bajo |
Puede ver una lista de todas las alertas disponibles para Key Vault.
Febrero de 2023
Las actualizaciones de febrero incluyen:
- Cloud Security Explorer mejorado
- Análisis de vulnerabilidades de Defender para contenedores de imágenes de Linux en ejecución ahora con disponibilidad general
- Anuncio de compatibilidad con el estándar de cumplimiento de AWS CIS 1.5.0
- Microsoft Defender para DevOps (versión preliminar) ya está disponible en otras regiones
- La directiva integrada "[Versión preliminar]: el punto de conexión privado debe estar configurado para Key Vault" está en desuso
Cloud Security Explorer mejorado
Una versión mejorada del Explorador de seguridad en la nube incluye una experiencia de usuario actualizada que elimina drásticamente la fricción de las consultas, se ha agregado la capacidad de ejecutar consultas multinube y varios recursos y documentación insertada para cada opción de consulta.
Cloud Security Explorer ahora permite ahora ejecutar consultas abstractas en la nube entre recursos. Puede usar las plantillas de consulta pregeneradas o la búsqueda personalizada a fin de aplicar filtros para crear la consulta. Consiga más información sobre administrar Cloud Security Explorer.
Análisis de vulnerabilidades de Defender para contenedores de imágenes de Linux en ejecución ahora con disponibilidad general
Defender para contenedores detecta vulnerabilidades en contenedores en ejecución. Se admiten contenedores de Windows y Linux.
En agosto de 2022, esta capacidad se publicó en versión preliminar para Windows y Linux. Ahora la estamos publicando para disponibilidad general (GA) para Linux.
Cuando se detectan vulnerabilidades, Defender for Cloud genera la siguiente recomendación de seguridad en la que se enumeran los hallazgos del análisis: Las imágenes de contenedor en ejecución deben tener resueltos los resultados de vulnerabilidad.
Obtenga más información sobre cómo ver vulnerabilidades para ejecutar imágenes.
Anuncio de compatibilidad con el estándar de cumplimiento de AWS CIS 1.5.0
Defender for Cloud ahora admite el estándar de cumplimiento CIS Amazon Web Services Foundations v1.5.0. El estándar se puede agregar al panel de cumplimiento normativo y se basa en las ofertas existentes de MDC para las recomendaciones y estándares multinube.
Este nuevo estándar incluye tanto las recomendaciones existentes como las nuevas, que amplían la cobertura de Defender for Cloud a nuevos servicios y recursos de AWS.
Aprenda a Administrar evaluaciones y estándares de AWS.
Microsoft Defender para DevOps (versión preliminar) ya está disponible en otras regiones.
Microsoft Defender para DevOps ha ampliado su versión preliminar y ahora está disponible en las regiones Oeste de Europa y Este de Australia, al incorporar los recursos de Azure DevOps y GitHub.
Más información sobre Microsoft Defender para DevOps
La directiva integrada "[Versión preliminar]: el punto de conexión privado debe estar configurado para Key Vault" está en desuso
La directiva integrada [Preview]: Private endpoint should be configured for Key Vault está en desuso y se reemplaza por la directiva [Preview]: Azure Key Vaults should use private link.
Obtenga más información sobre la integración de Azure Key Vault con Azure Policy.
Enero de 2023
Las actualizaciones de enero incluyen:
- Ahora se tiene acceso al componente Endpoint Protection (Microsoft Defender para punto de conexión) en la página Configuración y supervisión
- Nueva versión de la recomendación para buscar las actualizaciones del sistema que falten (versión preliminar)
- Limpieza de máquinas eliminadas de Azure Arc en cuentas de AWS y GCP conectadas
- Permitir la exportación continua a una instancia de Event Hubs detrás de un firewall
- El nombre del control de puntuación segura "Proteger las aplicaciones con soluciones de red avanzadas" de Azure ha cambiado
- La directiva "La configuración de Evaluación de vulnerabilidad para SQL Server debe contener una dirección de correo electrónico para recibir los informes de los exámenes" está en desuso
- Recomendación para habilitar los registros de diagnóstico de Virtual Machine Scale Sets está en desuso
Ahora se tiene acceso al componente Endpoint Protection (Microsoft Defender para punto de conexión) en la página "Configuración y supervisión".
Para acceder a Endpoint Protection, vaya a Configuración del entorno>Planes de Defender>Configuración y supervisión. Desde aquí puede establecer Endpoint Protection en Activado. También puede ver los otros componentes administrados.
Encuentre más información sobre cómo habilitar Microsoft Defender para punto de conexión en los servidores con Defender para servidores.
Nueva versión de la recomendación para buscar las actualizaciones del sistema que falten (versión preliminar)
Ya no necesita un agente en las máquinas virtuales de Azure ni en las máquinas de Azure Arc para asegurarse de que las máquinas tienen las actualizaciones del sistema críticas o de seguridad más recientes.
La nueva recomendación de actualizaciones del sistema, System updates should be installed on your machines (powered by Azure Update Manager) en el control Apply system updates, se basa en el Administrador de actualizaciones (versión preliminar). La recomendación se basa en un agente nativo insertado en cada máquina virtual de Azure y máquinas de Azure Arc en lugar de en un agente instalado. La Corrección rápida de la nueva recomendación le lleva a una instalación única de las actualizaciones que faltan en el portal del Administrador de actualizaciones.
Para usar la nueva recomendación, es preciso:
- Conexión de máquinas que no son de Azure a Arc
- Active la propiedad de evaluación periódica. Puede usar Corrección rápida en la nueva recomendación
Machines should be configured to periodically check for missing system updatespara corregir la recomendación.
La recomendación existente "Las actualizaciones del sistema deben instalarse en las máquinas", que se basa en el agente de Log Analytics, sigue estando disponible bajo el mismo control.
Limpieza de máquinas eliminadas de Azure Arc en cuentas de AWS y GCP conectadas
Una máquina conectada a una cuenta de AWS y GCP que está cubierta por Defender para servidores o Defender para SQL en máquinas se representa en Defender for Cloud como una máquina de Azure Arc. Hasta ahora, esa máquina no se eliminaba del inventario cuando la máquina se eliminaba de la cuenta de AWS o GCP. Esto lleva a que queden recursos innecesarios de Azure Arc en Defender for Cloud que representan máquinas eliminadas.
Ahora, Defender for Cloud eliminará automáticamente las máquinas de Azure Arc cuando esas máquinas se eliminen de la cuenta de AWS o GCP conectada.
Permitir la exportación continua a una instancia de Event Hubs detrás de un firewall
Ahora puede habilitar la exportación continua de alertas y recomendaciones, como un servicio de confianza a instancias de Event Hubs protegidas por un firewall de Azure.
Puede habilitar la exportación continua a medida que se generan las alertas o recomendaciones. También puede definir una programación para enviar instantáneas periódicas de todos los nuevos datos.
Aprenda a habilitar la exportación continua a Event Hubs detrás de un firewall de Azure.
El nombre del control de puntuación de seguridad Proteger las aplicaciones con soluciones de red avanzadas de Azure ha cambiado
El control de puntuación segura Protect your applications with Azure advanced networking solutions se cambia a Protect applications against DDoS attacks.
El nombre actualizado se refleja en Azure Resource Graph (ARG), las API de controles de puntuación segura y Download CSV report.
La directiva "La configuración de Evaluación de vulnerabilidad para SQL Server debe contener una dirección de correo electrónico para recibir los informes de los exámenes" está en desuso
La directiva Vulnerability Assessment settings for SQL server should contain an email address to receive scan reports está en desuso.
El informe de correo electrónico de la evaluación de vulnerabilidades de Defender para SQL seguirá estando disponible y las configuraciones de correo electrónico existentes no han cambiado.
Recomendación para habilitar los registros de diagnóstico de los conjuntos de Virtual Machine Scale Sets está en desuso
La recomendación Diagnostic logs in Virtual Machine Scale Sets should be enabled está en desuso.
La definición de directiva relacionada también está en desuso en los estándares que se muestran en el panel de cumplimiento normativo.
| Recomendación | Descripción | severity |
|---|---|---|
| Los registros de diagnóstico de Virtual Machine Scale Sets deben estar habilitados | Habilita los registros y los conserva hasta un año. Esto le permite recrear seguimientos de la actividad con fines de investigación en caso de algún incidente de seguridad o riesgo para la red. | Bajo |
Diciembre de 2022
Las actualizaciones de diciembre incluyen:
Anuncio de la configuración rápida para la evaluación de vulnerabilidades en Defender para SQL
La configuración rápida para la evaluación de vulnerabilidades en Microsoft Defender para SQL proporciona a los equipos de seguridad una experiencia de configuración simplificada en bases de datos de Azure SQL y grupos de SQL dedicados fuera de las áreas de trabajo de Synapse.
Con la experiencia de configuración rápida para la evaluación de vulnerabilidades, los equipos de seguridad pueden hacer lo siguiente:
- Configurar la evaluación de vulnerabilidades en la configuración de seguridad del recurso de SQL, sin ninguna configuración adicional ni dependencias de cuentas de almacenamiento administradas por el cliente.
- Agregar de inmediato los resultados de los exámenes a las líneas base para que el estado de la búsqueda cambie de Incorrecto a Correcto sin necesidad de volver a examinar una base de datos.
- Agregar varias reglas a las líneas base de una vez y usar los resultados de los exámenes más recientes.
- Habilitar la evaluación de vulnerabilidades para todos los servidores Azure SQL Server al activar Microsoft Defender para las bases de datos en el nivel de suscripción.
Más información acerca de Defender para la evaluación de vulnerabilidades de SQL.
Noviembre de 2022
Las actualizaciones de noviembre incluyen:
- Protección de contenedores en la organización de GCP con Defender para contenedores
- Validación de las protecciones de Defender para contenedores con alertas de ejemplo
- Reglas de gobernanza a gran escala (versión preliminar)
- La capacidad para crear evaluaciones personalizadas en AWS y GCP (versión preliminar) está en desuso
- La recomendación para configurar colas de mensajes fallidos para las funciones lambda está en desuso
Protección de contenedores en la organización de GCP con Defender para contenedores
Ahora puede habilitar Defender para contenedores para el entorno de GCP con el fin de proteger los clústeres de GKE estándar en toda una organización de GCP. Solo tiene que crear un conector de GCP con Defender para contenedores habilitado, o bien habilitar Defender para contenedores en un conector de GCP existente de nivel de organización.
Obtenga más información sobre cómo conectar proyectos y organizaciones de GCP a Defender for Cloud.
Validación de las protecciones de Defender para contenedores con alertas de ejemplo
Ahora puede crear alertas de ejemplo también para el plan Defender para contenedores. Las nuevas alertas de ejemplo se presentan como procedentes de AKS, clústeres conectados a Arc, EKS y recursos de GKE con diferentes gravedades y tácticas de MITRE. Puede usar las alertas de ejemplo para validar la configuración de alertas de seguridad, como integraciones con sistemas SIEM, la automatización de flujos de trabajo y notificaciones por correo electrónico.
Más información sobre la validación de alertas.
Reglas de gobernanza a gran escala (versión preliminar)
Nos complace anunciar la nueva capacidad de aplicar reglas de gobernanza a gran escala (versión preliminar) en Defender for Cloud.
Con esta nueva experiencia, los equipos de seguridad pueden definir reglas de gobernanza de forma masiva para varios ámbitos (suscripciones y conectores). Los equipos de seguridad pueden realizar esta tarea mediante ámbitos de administración, como grupos de administración de Azure, cuentas de nivel superior de AWS u organizaciones de GCP.
Además, en la página de reglas de gobernanza (versión preliminar) se presentan todas las reglas de gobernanza disponibles que son eficaces en los entornos de la organización.
Obtenga más información sobre las nuevas reglas de gobernanza a gran escala.
Nota
A partir del 1 de enero de 2023, para experimentar las funcionalidades que ofrece la gobernanza, debe tener habilitado el plan CSPM de Defender en la suscripción o el conector.
La capacidad para crear evaluaciones personalizadas en AWS y GCP (versión preliminar) está en desuso
La capacidad de crear evaluaciones personalizadas para cuentas de AWS y proyectos de GCP, que era una característica en versión preliminar está en desuso.
La recomendación para configurar colas de mensajes fallidos para las funciones lambda está en desuso
La recomendación Lambda functions should have a dead-letter queue configured está en desuso.
| Recomendación | Descripción | severity |
|---|---|---|
| Las funciones lambda deben tener una cola de mensajes fallidos configurada. | Este control comprueba si una función lambda está configurada con una cola de mensajes fallidos. Este control genera un error si la función lambda no está configurada con una cola de mensajes con problemas de entrega. Como alternativa a un destino en caso de error, puede configurar la función con una cola de mensajes fallidos para guardar los eventos descartados para su posterior procesamiento. Una cola de mensajes fallidos actúa igual que un destino en caso de error. Se usa cuando un evento genera un error en todos los intentos de procesamiento o cuando expira sin procesarse. Una cola de mensajes fallidos le permite volver a buscar errores o solicitudes con error en la función lambda para depurar o identificar comportamientos inusuales. Desde el punto de vista de la seguridad, es importante comprender por qué la función ha generado un error y asegurarse de que, en consecuencia, la función no elimina datos ni pone en peligro la seguridad de los datos. Por ejemplo, si la función no puede comunicarse con un recurso subyacente, podría ser un síntoma de un ataque por denegación de servicio (DoS) en otra parte de la red. | Media |
Octubre de 2022
Las actualizaciones de octubre incluyen:
- Anuncio de Microsoft Cloud Security Benchmark
- Análisis de rutas de acceso a ataques y funcionalidades de seguridad contextuales en Defender for Cloud (versión preliminar)
- Análisis sin agente para máquinas de Azure y AWS (versión preliminar)
- Defender para DevOps (versión preliminar)
- El Panel de cumplimiento normativo ahora admite la administración manual del control e información detallada sobre el estado de cumplimiento de Microsoft
- El aprovisionamiento automático se cambia de nombre a Configuración y supervisión y tiene una experiencia actualizada
- Administración de la posición de seguridad en la nube (CSPM) de Defender (versión preliminar)
- La asignación del marco MITRE ATT&CK ahora también está disponible para las recomendaciones de seguridad de AWS y GCP
- Defender para contenedores ahora admite la evaluación de vulnerabilidades para Elastic Container Registry (versión preliminar)
Anuncio de Microsoft Cloud Security Benchmark
Microsoft Cloud Security Benchmark (MCSB) es un nuevo marco que define los principios fundamentales de la seguridad en la nube según los estándares y los marcos de cumplimiento comunes del sector. Incluye además una guía técnica detallada para implementar estos procedimientos recomendados en las plataformas en la nube. MCSB reemplaza a Azure Security Benchmark. MCSB proporciona detalles prescriptivos sobre cómo implementar sus recomendaciones de seguridad independientes de la nube en varias plataformas de servicios en la nube, que abarcan inicialmente Azure y AWS.
Ahora puede supervisar la posición de cumplimiento de seguridad en la nube por nube en un único panel integrado. Puede ver MCSB como el estándar de cumplimiento predeterminado al ir al panel de cumplimiento normativo de Defender for Cloud.
Microsoft Cloud Security Benchmark se asigna automáticamente a las suscripciones de Azure y a las cuentas de AWS al incorporar Defender for Cloud.
Más información sobre Microsoft Cloud Security Benchmark.
Análisis de rutas de acceso a ataques y funcionalidades de seguridad contextuales en Defender for Cloud (versión preliminar)
Las nuevas funcionalidades del grafo de seguridad en la nube, de análisis de las rutas de acceso de los ataques y de seguridad contextual en la nube ahora están disponibles en Defender for Cloud en versión preliminar.
Uno de los mayores desafíos de los equipos de seguridad hoy en día es el número de problemas de seguridad a los que se enfrentan diariamente. Hay numerosos problemas de seguridad que deben resolverse y nunca suficientes recursos para solucionarlos todos.
El nuevo grafo de seguridad en la nube de Defender for Cloud y las funcionalidades de análisis de rutas de acceso de ataque proporcionan a los equipos de seguridad la capacidad de evaluar el riesgo que hay detrás de cada problema de seguridad. Los equipos de seguridad también pueden identificar los problemas de mayor riesgo que deben resolverse más pronto. Defender for Cloud colabora con los equipos de seguridad para reducir de la manera más eficaz el riesgo de que se produzca una infracción que afecte a su entorno.
Obtenga más información sobre los nuevos grafo de seguridad en la nube, el análisis de rutas de acceso de ataque y explorador de seguridad en la nube.
Análisis sin agente para máquinas de Azure y AWS (versión preliminar)
Hasta ahora, Defender for Cloud se basa en sus evaluaciones de posición de las máquinas virtuales en soluciones basadas en agentes. Con el fin de ayudar a los clientes a maximizar la cobertura y reducir la fricción en la incorporación y la administración, hemos lanzado el examen sin agente para máquinas virtuales en versión preliminar.
Con el examen sin agentes para máquinas virtuales, obtendrá una amplia visibilidad sobre el software instalado y los CVE de software. Obtendrá visibilidad sin los problemas de instalación y mantenimiento de agentes, los requisitos de conectividad de red y el efecto sobre el rendimiento de sus cargas de trabajo. El análisis se basa en Administración de vulnerabilidades de Microsoft Defender.
El análisis de vulnerabilidades sin agente está disponible en la administración de la posición de seguridad en la nube (CSPM) de Defender y en Defender para servidores P2, con compatibilidad nativa con VM de AWS y Azure.
- Obtenga más información sobre la detección sin agente.
- Obtenga información sobre cómo habilitar la evaluación de vulnerabilidades sin agente.
Defender para DevOps (versión preliminar)
Microsoft Defender for Cloud proporciona visibilidad completa, administración de la posición de seguridad y protección contra amenazas en entornos híbridos y multinube, incluidos los recursos de Azure, AWS, Google y el entorno local.
Ahora, el nuevo plan Defender para DevOps integra sistemas de administración de código fuente, como GitHub y Azure DevOps, en Defender for Cloud. Con esta nueva integración, damos a los equipos de seguridad la capacidad de proteger sus recursos desde el código hasta la nube.
Defender para DevOps le permite obtener visibilidad y administrar los entornos de desarrollador conectados y los recursos de código. Actualmente, puede conectar sistemas de Azure DevOps y GitHub a Defender for Cloud e incorporar repositorios de DevOps al inventario y a la nueva página de DevOps Security. Proporciona a los equipos de seguridad información general sobre los problemas de seguridad detectados en una página unificada de seguridad de DevOps.
Puede configurar anotaciones en solicitudes de incorporación de cambios para ayudar a los desarrolladores a abordar los hallazgos de análisis de secretos en Azure DevOps directamente en sus solicitudes de incorporación de cambios.
Puede configurar las herramientas de DevOps de Microsoft Security en Azure Pipelines y flujos de trabajo de GitHub para habilitar los siguientes exámenes de seguridad:
| Nombre | Idioma | Licencia |
|---|---|---|
| Bandit | Python | Licencia de Apache 2.0 |
| BinSkim | Binary – Windows, ELF | Licencia MIT |
| ESlint | JavaScript | Licencia MIT |
| CredScan (solo Azure DevOps) | Credential Scanner (también conocido como CredScan) es una herramienta desarrollada y mantenida por Microsoft para identificar pérdidas de credenciales, como las de código fuente y los archivos de configuración comunes: contraseñas predeterminadas, cadenas de conexión SQL, certificados con claves privadas | No es de código abierto |
| Análisis de plantillas | Plantilla de ARM, archivo de Bicep | Licencia MIT |
| Terrascan | Terraform (HCL2), Kubernetes (JSON/YAML), Helm v3, Kustomize, Dockerfiles, Cloud Formation | Licencia de Apache 2.0 |
| Trivy | Imágenes de contenedor, sistemas de archivos, repositorios de Git | Licencia de Apache 2.0 |
Las siguientes recomendaciones nuevas ya están disponibles para DevOps:
| Recomendación | Descripción | severity |
|---|---|---|
| (versión preliminar) Los resultados de los exámenes de código de los repositorios de código deben estar resueltos | Defender para DevOps ha encontrado vulnerabilidades en los repositorios de código. Para mejorar la posición de seguridad de los repositorios, se recomienda encarecidamente corregir estas vulnerabilidades. (Ninguna directiva relacionada) | Media |
| (versión preliminar) Los resultados de los exámenes de secretos de los repositorios de código deben estar resueltos | Defender para DevOps ha encontrado un secreto en los repositorios de código. Esto debe corregirse inmediatamente para evitar una infracción de seguridad. Los secretos encontrados en los repositorios se pueden filtrar o detectar por adversarios, lo que conduce a un riesgo de una aplicación o servicio. Para Azure DevOps, la herramienta CredScan de Microsoft Security DevOps solo examina las compilaciones en las que se ha configurado para ejecutarse. Por lo tanto, es posible que los resultados no reflejen el estado completo de los secretos en los repositorios. (Ninguna directiva relacionada) | Alto |
| (versión preliminar) Los resultados de los exámenes de Dependabot de los repositorios de código deben estar resueltos | Defender para DevOps ha encontrado vulnerabilidades en los repositorios de código. Para mejorar la posición de seguridad de los repositorios, se recomienda encarecidamente corregir estas vulnerabilidades. (Ninguna directiva relacionada) | Media |
| (versión preliminar) Los resultados de los exámenes de infraestructura como código de los repositorios de código deben estar resueltos | (versión preliminar) Los resultados de los exámenes de infraestructura como código de los repositorios de código deben estar resueltos | Media |
| (versión preliminar) Los repositorios de GitHub deben tener habilitado el análisis de código | GitHub usa el análisis de código para analizar código con el fin de encontrar vulnerabilidades de seguridad y errores en el código. El escaneo de código puede usarse para encontrar, clasificar y priorizar las correcciones de los problemas existentes en su código. El análisis del código también puede evitar que los desarrolladores generen nuevos problemas. Los escaneos se pueden programar para días y horas específicas, o los escaneos se pueden activar cuando se produce un evento específico en el repositorio, como un push. Si el escaneo de código encuentra una posible vulnerabilidad o error en el código, GitHub muestra una alerta en el repositorio. Una vulnerabilidad es un problema en el código de un proyecto que se puede aprovechar para dañar la confidencialidad, la integridad o la disponibilidad del proyecto. (Ninguna directiva relacionada) | Media |
| (versión preliminar) Los repositorios de GitHub deben tener habilitada la característica de examen de secretos | GitHub escanea los repositorios en busca de tipos de secretos conocidos, para evitar el uso fraudulento de los secretos que se confirmaron accidentalmente en los repositorios. El escaneo de secretos escaneará todo el historial de Git en todas las ramas presentes en el repositorio de GitHub en busca de cualquier secreto. Algunos ejemplos de secretos son tokens y claves privadas que un proveedor de servicios puede emitir para la autenticación. Si se registra un secreto en un repositorio, cualquiera que tenga acceso de lectura al repositorio puede usar el secreto para acceder al servicio externo con esos privilegios. Los secretos deben almacenarse en una ubicación dedicada y segura fuera del repositorio del proyecto. (Ninguna directiva relacionada) | Alto |
| (versión preliminar) Los repositorios de GitHub deben tener habilitado el examen de Dependabot | GitHub envía alertas de Dependabot cuando detecta vulnerabilidades en las dependencias de código que afectan a los repositorios. Una vulnerabilidad es un problema en el código de un proyecto que se puede aprovechar para dañar la confidencialidad, la integridad o la disponibilidad del proyecto o de otros proyectos que usan su código. Las vulnerabilidades varían en tipo, severidad y método de ataque. Cuando el código depende de un paquete que tiene una vulnerabilidad de seguridad, esta dependencia puede causar una serie de problemas. (Ninguna directiva relacionada) | Media |
Las recomendaciones de Defender para DevOps han reemplazado al analizador de vulnerabilidades en desuso de los flujos de trabajo de CI/CD que se incluyeron en Defender para contenedores.
Obtenga más información sobre Defender para DevOps.
El Panel de cumplimiento normativo ahora admite la administración manual del control e información detallada sobre el estado de cumplimiento de Microsoft
El panel de cumplimiento de Defender for Cloud es una herramienta clave para que los clientes les ayuden a comprender y realizar un seguimiento de su estado de cumplimiento. Los clientes pueden supervisar continuamente los entornos de acuerdo con los requisitos de muchos estándares y regulaciones diferentes.
Ahora, puede administrar completamente su posición de cumplimiento atestiguando manualmente los controles operativos y otros. Ahora puede proporcionar pruebas de cumplimiento normativo de los controles que no están automatizados. Junto con las evaluaciones automatizadas, ahora puede generar un informe completo de cumplimiento dentro de un ámbito seleccionado, abordando todo el conjunto de controles de un estándar determinado.
Además, con información de control más completa y detalles detallados y pruebas para el estado de cumplimiento de Microsoft, ahora tiene toda la información necesaria para las auditorías a su alcance.
Algunas de las nuevas ventajas son:
Las acciones manuales de los clientes proporcionan un mecanismo para certificar manualmente el cumplimiento de los controles no automatizados. Esto incluye la capacidad de vincular evidencias y de establecer una fecha de cumplimiento y una fecha de expiración.
Detalles de control más completos para los estándares admitidos que muestran las acciones de Microsoft y las acciones manuales de los clientes, además de las acciones de cliente automatizadas ya existentes.
Las acciones de Microsoft proporcionan transparencia en cuanto al estado del cumplimiento normativo de Microsoft, que incluye los procedimientos de evaluación de auditorías, los resultados de las pruebas y las respuestas de Microsoft a los casos de incumplimiento.
Las ofertas de cumplimiento proporcionan una ubicación central para comprobar los productos de Azure, Dynamics 365 y Power Platform y sus respectivas certificaciones de cumplimiento normativo.
Más información sobre cómo mejorar el cumplimiento de la normativa con Defender for Cloud.
El aprovisionamiento automático se cambia de nombre a Configuración y supervisión y tiene una experiencia actualizada
Hemos cambiado el nombre de la página autoaprovisionamiento a Configuración y supervisión.
El aprovisionamiento automático estaba diseñado para permitir la habilitación a gran escala de los requisitos previos, que son necesarios para la funcionalidad y las características avanzadas de Defender for Cloud. Para sustentar mejor la funcionalidad ampliada, hemos lanzado una nueva experiencia con los siguientes cambios:
La página de planes de Defender for Cloud incluye ahora:
- Cuando se habilita un plan de Defender que requiere componentes de supervisión, esos componentes están habilitados para el aprovisionamiento automático con la configuración predeterminada. Esa configuración se puede modificar en cualquier momento.
- Puede acceder a la configuración del componente de supervisión para cada plan de Defender desde la página plan de Defender.
- La página Planes de Defender indica claramente si todos los componentes de supervisión están en vigor para cada plan de Defender o si la cobertura de supervisión está incompleta.
La página de Configuración y supervisión:
- Cada componente de supervisión indica los planes de Defender con los que está relacionado.
Más información sobre cómo administrar la configuración de supervisión.
Administración de la posición de seguridad en la nube (CSPM) de Defender
Uno de los principales pilares de Microsoft Defender for Cloud para la seguridad en la nube es Cloud Security Posture Management (CSPM). CSPM proporciona una guía de protección que le ayudan a mejorar la seguridad de forma eficiente y eficaz. CSPM también proporciona visibilidad sobre la situación de seguridad actual.
Hoy anunciamos un nuevo plan de Defender: Defender CSPM. Este plan mejora las funcionalidades de seguridad de Defender for Cloud e incluye las siguientes características nuevas y ampliadas:
- Evaluación continua de la configuración de seguridad de los recursos en la nube
- Recomendaciones de seguridad para corregir errores de configuración y puntos débiles
- Puntuación segura
- Gobernanza
- Cumplimiento de normativas
- Grafo de seguridad en la nube
- Análisis de las vías de ataque
- Exploración sin agente para máquinas
Más información sobre el plan Defender CSPM.
La asignación del marco MITRE ATT&CK ahora también está disponible para las recomendaciones de seguridad de AWS y GCP
Para los analistas de seguridad, es esencial identificar los riesgos potenciales asociados a las recomendaciones de seguridad y comprender los vectores de ataque, para poder priorizar eficazmente sus tareas.
Defender for Cloud facilita la priorización mediante la asignación de las recomendaciones de seguridad de Azure, AWS y GCP en el marco MITRE ATT&CK. El marco MITRE ATT&CK es una base de conocimiento accesible globalmente de tácticas y técnicas de adversario basadas en observaciones reales, lo que permite a los clientes reforzar la configuración segura de sus entornos.
El marco MITRE ATT&CK se integra de tres maneras:
- Recomendaciones asignar a tácticas y técnicas de MITRE ATT&CK.
- Consulte tácticas y técnicas de MITRE ATT&CK sobre recomendaciones mediante Azure Resource Graph.
Defender para contenedores ahora admite la evaluación de vulnerabilidades para Elastic Container Registry (versión preliminar)
Microsoft Defender para contenedores ahora proporciona análisis de evaluación de vulnerabilidades sin agente para Elastic Container Registry (ECR) en Amazon AWS. Amplía la cobertura para entornos multinube, a partir del lanzamiento a principios de este año de la protección avanzada frente a amenazas y el refuerzo del entorno Kubernetes para AWS y Google GCP. El modelo sin agente crea recursos de AWS en sus cuentas para examinar las imágenes sin extraer imágenes de sus cuentas de AWS y sin huella en la carga de trabajo.
El examen de la evaluación de vulnerabilidades sin agente para imágenes en repositorios ECR ayuda a reducir la superficie expuesta a ataques del patrimonio en contenedores mediante el examen continuo de imágenes para identificar y administrar vulnerabilidades de contenedor. Con esta nueva versión, Defender for Cloud examina las imágenes de contenedor después de insertarlas en el repositorio y evalúa continuamente las imágenes de contenedor ECR en el registro. Los resultados están disponibles en Microsoft Defender for Cloud como recomendaciones, y puede usar los flujos de trabajo automatizados integrados de Defender for Cloud para tomar medidas en los resultados, como abrir un vale para corregir una vulnerabilidad de gravedad alta en una imagen.
Más información sobre la evaluación de vulnerabilidades de imágenes de ECR.
Septiembre de 2022
Las actualizaciones de septiembre incluyen:
- Supresión de alertas basadas en entidades de contenedor y Kubernetes
- Defender para servidores admite la supervisión de la integridad de los archivos con el agente de Azure Monitor
- Desuso de las API de evaluaciones heredadas
- Recomendaciones adicionales añadidas a la identidad
- Alertas de seguridad quitadas para máquinas que informan a áreas de trabajo de Log Analytics entre inquilinos
Supresión de alertas basadas en entidades de contenedor y Kubernetes
- Espacio de nombres de Kubernetes
- Pod de Kubernetes
- Secreto de Kubernetes
- ServiceAccount de Kubernetes
- ReplicaSet de Kubernetes
- StatefulSet de Kubernetes
- DaemonSet de Kubernetes
- Trabajo de Kubernetes
- CronJob de Kubernetes
Obtenga más información sobre las reglas de supresión de alertas.
Defender para servidores admite la supervisión de la integridad de los archivos con el agente de Azure Monitor
La supervisión de la integridad de los archivos (FIM) examina los archivos y registros de los sistemas operativos en busca de cambios que puedan indicar un ataque.
FIM ya está disponible en una nueva versión basada en el agente de Azure Monitor (AMA), que se puede implementar a través de Defender for Cloud.
Obtenga más información sobre Supervisión de la integridad de los archivos con el agente de Azure Monitor.
Desuso de las API de evaluaciones heredadas
Las siguientes API están en desuso:
- Tareas de seguridad
- estados de seguridad
- Resúmenes de seguridad
Estas tres API mostraron formatos antiguos de evaluaciones y son reemplazadas por API de Assessments y las API de SubAssessments. Todos los datos expuestos por estas API heredadas también están disponibles en las nuevas API.
Recomendaciones adicionales añadidas a la identidad
Recomendaciones de Defender for Cloud para mejorar la administración de usuarios y cuentas.
Nuevas recomendaciones
La nueva versión contiene las siguientes funciones:
Alcance de evaluación ampliado: se mejoró la cobertura para las cuentas de identidad sin MFA y las cuentas externas en los recursos de Azure (en lugar de las suscripciones solamente), lo que permite a sus administradores de seguridad ver las asignaciones de roles por cuenta.
Mejora del intervalo de actualización: las recomendaciones de identidad tienen ahora un intervalo de actualización de 12 horas.
Funcionalidad de exención de cuentas: Defender for Cloud tiene muchas características que se pueden usar para personalizar la experiencia y garantizar que la puntuación de seguridad refleje las prioridades de seguridad de la organización. Por ejemplo, se pueden excluir recursos y recomendaciones de la puntuación de seguridad.
Esta actualización le permite eximir a determinadas cuentas de la evaluación con las seis recomendaciones que figuran en la siguiente tabla.
Normalmente, eximiría las cuentas de emergencia "break glass" de las recomendaciones de MFA, ya que estas cuentas suelen excluirse deliberadamente de los requisitos de MFA de una organización. Por otra parte, es posible que tenga cuentas externas a las que le gustaría permitir el acceso, que no tienen MFA habilitado.
Sugerencia
Al excluir una cuenta, no se mostrará como en estado incorrecto y tampoco hará que una suscripción aparezca en estado incorrecto.
Recomendación Clave de evaluación Deben estar habilitadas para MFA las cuentas con permisos de propietario de los recursos de Azure. 6240402e-f77c-46fa-9060-a7ce53997754 Deben estar habilitadas para MFA las cuentas con permisos de escritura de los recursos de Azure. c0cb17b2-0607-48a7-b0e0-903ed22de39b Deben estar habilitadas para MFA las cuentas con permisos de lectura de los recursos de Azure. dabc9bc4-b8a8-45bd-9a5a-43000df8aa1c Deben quitarse las cuentas de invitado con permisos de propietario de los recursos de Azure. 20606e75-05c4-48c0-9d97-add6daa2109a Deben quitarse las cuentas de invitado con permisos de escritura de los recursos de Azure. 0354476c-a12a-4fcc-a79d-f0ab7ffffdbb Deben quitarse las cuentas de invitado con permisos de lectura de los recursos de Azure. fde1c0c9-0fd2-4ecc-87b5-98956cbc1095 Deben quitarse las cuentas bloqueadas con permisos de propietario de los recursos de Azure. 050ac097-3dda-4d24-ab6d-82568e7a50cf Deben quitarse las cuentas bloqueadas con permisos de lectura y escritura de los recursos de Azure. 1ff0b4c9-ed56-4de6-be9c-d7ab39645926
Las recomendaciones, aunque en versión preliminar, aparecerán junto a las recomendaciones que se encuentran actualmente en disponibilidad general.
Alertas de seguridad quitadas para máquinas que informan a áreas de trabajo de Log Analytics entre inquilinos
En el pasado, Defender for Cloud le permite elegir el área de trabajo a la que informan los agentes de Log Analytics. Cuando una máquina pertenecía a un inquilino (inquilino A), pero su agente de Log Analytics notificó a un área de trabajo en otro inquilino ("inquilino B"), las alertas de seguridad sobre la máquina se notificaron al primer inquilino (inquilino A).
Mediante este cambio, las alertas de las máquinas conectadas al área de trabajo de Log Analytics en un inquilino diferente ya no aparecen en Defender for Cloud.
Si desea seguir recibiendo alertas en Defender for Cloud, conecte el agente de Log Analytics de las máquinas pertinentes al área de trabajo en el mismo inquilino que la máquina.
Más información sobre alertas de seguridad.
Agosto de 2022
Las actualizaciones de agosto incluyen:
- Las vulnerabilidades de las imágenes en ejecución ahora están visibles con Defender para contenedores en los contenedores de Windows
- Integración del agente de Azure Monitor ahora en versión preliminar
- Alertas de máquina virtual en desuso relacionadas con actividades sospechosas relativas a un clúster de Kubernetes
Las vulnerabilidades de las imágenes en ejecución ahora están visibles con Defender para contenedores en los contenedores de Windows
Defender para contenedores ahora muestra vulnerabilidades de los contenedores de Windows en ejecución.
Cuando se detectan vulnerabilidades, Defender for Cloud genera la siguiente recomendación de seguridad en la que se enumeran los problemas detectados: La ejecución de imágenes de contenedor debe tener resultados de vulnerabilidad resueltos.
Obtenga más información sobre cómo ver vulnerabilidades para ejecutar imágenes.
Integración del agente de Azure Monitor ahora en versión preliminar
Defender for Cloud ahora incluye compatibilidad en versión preliminar con el agente de Azure Monitor (AMA). El agente de Azure Monitor está pensado para reemplazar al agente antiguo de Log Analytics (también denominado Microsoft Monitoring Agent o MMA), que se encuentra en un proceso de desuso. AMA ofrece muchas ventajas con respecto a los agentes tradicionales.
En Defender for Cloud, al habilitar el aprovisionamiento automático para AMA, el agente se implementa en las máquinas habilitadas para Azure Arc y las máquinas virtuales existentes y nuevas que se detectan en las suscripciones. Si los planes de Defender for Cloud están habilitados, AMA recopila información de configuración y registros de eventos de las máquinas virtuales de Azure y máquinas de Azure Arc. La integración del agente de Azure Monitor está en versión preliminar, por lo que se recomienda usarla en entornos de prueba, en lugar de en entornos de producción.
Alertas de máquina virtual en desuso relacionadas con actividades sospechosas relativas a un clúster de Kubernetes
En la tabla siguiente se enumeran las alertas que quedaron en desuso:
| Nombre de la alerta | Descripción | Tácticas | severity |
|---|---|---|---|
| Se ha detectado una operación de creación de Docker en un nodo de Kubernetes. (VM_ImageBuildOnNode) |
Los registros de la máquina indican una operación de creación de una imagen de contenedor en un nodo de Kubernetes. Aunque este comportamiento podría ser legítimo, los atacantes podrían crear sus imágenes malintencionadas localmente para evitar la detección. | Evasión defensiva | Bajo |
| Solicitud sospechosa a la API de Kubernetes (VM_KubernetesAPI) |
Los registros de la máquina indican que se ha realizado una solicitud sospechosa a la API de Kubernetes. La solicitud se envió desde un nodo Kubernetes, posiblemente desde uno de los contenedores que se ejecutan en el nodo. Aunque este comportamiento puede ser intencionado, podría indicar que el nodo ejecuta un contenedor en peligro. | LateralMovement | Media |
| Se ejecuta un servidor SSH dentro de un contenedor (VM_ContainerSSH) |
Los registros de la máquina indican que se está ejecutando un servidor SSH en un contenedor de Docker. Aunque este comportamiento puede ser intencionado, con frecuencia indica que un contenedor está mal configurado o que es vulnerable. | Ejecución | Media |
Estas alertas se usan para notificar a un usuario la actividad sospechosa conectada a un clúster de Kubernetes. Las alertas se reemplazarán por alertas coincidentes que forman parte de las alertas de contenedor de Microsoft Defender for Cloud (K8S.NODE_ImageBuildOnNode, K8S.NODE_ KubernetesAPI y K8S.NODE_ ContainerSSH) que proporcionarán una fidelidad mejorada y un contexto completo para investigar y actuar sobre las alertas. Obtenga más información sobre las alertas para clústeres de Kubernetes.
Las vulnerabilidades del contenedor ahora incluyen información detallada del paquete
La evaluación de vulnerabilidades (VA) de Defender for Container ahora incluye información detallada del paquete para cada búsqueda, como el nombre, tel tipo, la ruta de acceso, la versión instalada y la versión fija. La información del paquete le permite encontrar paquetes vulnerables para que pueda corregirla o quitar el paquete.
Esta información detallada del paquete está disponible para nuevas digitalizaciones de imágenes.
Julio de 2022
Las actualizaciones de julio incluyen:
- Disponibilidad general (GA) del agente de seguridad nativo de nube para la protección en tiempo de ejecución de Kubernetes
- VA de Defender for Container agrega compatibilidad con la detección de paquetes específicos de idioma (versión preliminar)
- Protección contra la vulnerabilidad de la infraestructura de administración de operaciones CVE-2022-29149
- Integración con Entra Permissions Management
- Recomendaciones de Key Vault cambiadas a "auditoría"
- Desuso de las directivas de aplicación de API de App Service
Disponibilidad general (GA) del agente de seguridad nativo de nube para la protección en tiempo de ejecución de Kubernetes
Estamos encantados de compartir que el agente de seguridad nativo de la nube para la protección en tiempo de ejecución de Kubernetes ahora tiene disponibilidad general (GA).
Las implementaciones de producción de clústeres Kubernetes no dejan de crecer a medida que los clientes siguen poniendo en contenedores sus aplicaciones. Para ayudar con este crecimiento, el equipo de Defender para contenedores ha desarrollado un agente de seguridad orientado a Kubernetes nativo de la nube.
El nuevo agente de seguridad es un DaemonSet de Kubernetes, basado en la tecnología eBPF y está totalmente integrado en clústeres de AKS como parte del perfil de seguridad de AKS.
La habilitación del agente de seguridad está disponible a través del aprovisionamiento automático, el flujo de recomendaciones, el RP de AKS o a escala mediante Azure Policy.
Puede implementar el agente de Defender hoy mismo en sus clústeres de AKS.
Con este anuncio, la protección en tiempo de ejecución: detección de amenazas (carga de trabajo) ahora también está disponible con carácter general.
Obtenga más información sobre la disponibilidad de características de Defender para contenedores.
También puede revisar todas las alertas disponibles.
Tenga en cuenta que si usa la versión preliminar, la marca AKS-AzureDefender de características ya no es necesaria.
VA de Defender for Container agrega compatibilidad con la detección de paquetes específicos de idioma (versión preliminar)
La evaluación de vulnerabilidades (VA) de Defender for Container puede detectar vulnerabilidades en los paquetes del sistema operativo implementados mediante el administrador de paquetes del sistema operativo. Ahora hemos ampliado las capacidades de VA para detectar vulnerabilidades incluidas en paquetes específicos de idioma.
Esta característica está en versión preliminar y solo está disponible para imágenes de Linux.
Para ver todos los paquetes específicos de idioma incluidos que se han agregado, consulte la lista completa de características y su disponibilidad de Defender for Container.
Protección contra la vulnerabilidad de la infraestructura de administración de operaciones CVE-2022-29149
La infraestructura de administración de operaciones (OMI) es una colección de servicios basados en la nube para la administración de sus entornos locales y en la nube desde un único lugar. En lugar de implementar y administrar recursos locales, los componentes de OMI se hospedan en su totalidad en Azure.
Log Analytics integrado con Azure HDInsight que ejecuta OMI versión 13 requiere una revisión para corregir CVE-2022-29149. Revise el informe sobre esta vulnerabilidad en la guía de actualizaciones de seguridad de Microsoft para obtener información sobre cómo identificar los recursos afectados por esta vulnerabilidad y los pasos de corrección.
Si tiene Defender for Servers habilitado con la evaluación de vulnerabilidades, puede usar este libro para identificar los recursos afectados.
Integración con Entra Permissions Management
Defender for Cloud se ha integrado con Microsoft Entra Permissions Management, una solución de administración de derechos de infraestructura en la nube (CIEM) que proporciona visibilidad y control completos sobre los permisos de cualquier identidad y cualquier recurso de Azure, AWS y GCP.
Cada suscripción de Azure, cuenta de AWS y proyecto de GCP que incorpore ahora le mostrará una vista del índice de acumulación de permisos (PCI).
Obtenga más información sobre Entra Permission Management (anteriormente Cloudknox).
Recomendaciones de Key Vault cambiadas a "auditoría"
El efecto de las recomendaciones de Key Vault que se enumeran aquí se cambió a "audit":
| Nombre de la recomendación | Id. de recomendación |
|---|---|
| El período de validez de los certificados almacenados en Azure Key Vault no debe superar los 12 meses | fc84abc0-eee6-4758-8372-a7681965ca44 |
| Los secretos de Key Vault deben tener una fecha de expiración | 14257785-9437-97fa-11ae-898cfb24302b |
| Las claves de Key Vault deben tener una fecha de expiración | 1aabfa0d-7585-f9f5-1d92-ecb40291d9f2 |
Desuso de las directivas de aplicación de API de App Service
Las siguientes directivas entraron en desuso para favorecer a las directivas correspondientes que ya existen para incluir aplicaciones de API, tal y como se muestra a continuación:
| Va a quedar en desuso | Para cambiar a |
|---|---|
Ensure API app has 'Client Certificates (Incoming client certificates)' set to 'On' |
App Service apps should have 'Client Certificates (Incoming client certificates)' enabled |
Ensure that 'Python version' is the latest, if used as a part of the API app |
App Service apps that use Python should use the latest Python version' |
CORS should not allow every resource to access your API App |
App Service apps should not have CORS configured to allow every resource to access your apps |
Managed identity should be used in your API App |
App Service apps should use managed identity |
Remote debugging should be turned off for API Apps |
App Service apps should have remote debugging turned off |
Ensure that 'PHP version' is the latest, if used as a part of the API app |
App Service apps that use PHP should use the latest 'PHP version' |
FTPS only should be required in your API App |
App Service apps should require FTPS only |
Ensure that 'Java version' is the latest, if used as a part of the API app |
App Service apps that use Java should use the latest 'Java version' |
Latest TLS version should be used in your API App |
App Service apps should use the latest TLS version |
Junio de 2022
Las actualizaciones de junio incluyen:
- Disponibilidad general (GA) de Microsoft Defender para Azure Cosmos DB
- Disponibilidad general (GA) de Defender para SQL en máquinas para entornos de AWS y GCP
- Impulse la implementación de las recomendaciones de seguridad para la mejora de la posición de seguridad de su empresa
- Filtrado de alertas de seguridad en función de la dirección IP
- Alertas en función del grupo de recursos
- Aprovisionamiento automático de la solución unificada de Microsoft Defender para punto de conexión
- Desuso de la directiva "La aplicación de API solo debe ser accesible mediante HTTPS"
- Alertas nuevas de Azure Key Vault
Disponibilidad general (GA) de Microsoft Defender para Azure Cosmos DB
Microsoft Defender para Azure Cosmos DB ya está disponible con carácter general y admite tipos de cuenta de SQL API (básico).
Esta nueva versión de disponibilidad general forma parte del conjunto de protección de bases de datos de Microsoft Defender for Cloud, que incluye diferentes tipos de bases de datos SQL y MariaDB. Microsoft Defender para Azure Cosmos DB es una capa de seguridad nativa de Azure que detecta intentos de aprovechar una vulnerabilidad de seguridad de las bases de datos de las cuentas de Azure Cosmos DB.
Al habilitar este plan, se le avisará sobre posibles inyecciones de código SQL, actores malintencionados conocidos, patrones de acceso sospechosos y posibles exploraciones de la base de datos mediante identidades en peligro o usuarios internos malintencionados.
Cuando se detectan actividades potencialmente malintencionadas, se generan alertas de seguridad. Estas alertas proporcionan detalles de la actividad sospechosa junto con los pasos de investigación, las acciones de corrección y las recomendaciones de seguridad pertinentes.
Microsoft Defender para Azure Cosmos DB analiza continuamente el flujo de datos de telemetría generado por los servicios de Azure Cosmos DB y los cruza con la inteligencia sobre amenazas de Microsoft y los modelos de comportamiento para detectar cualquier actividad sospechosa. Defender para Azure Cosmos DB no tiene acceso a los datos de la cuenta de Azure Cosmos DB y no tiene ningún efecto en el rendimiento de la base de datos.
Más información sobre Microsoft Defender para Azure Cosmos DB.
Con la adición de compatibilidad con Azure Cosmos DB, ahora Defender for Cloud proporciona una de las ofertas de protección de cargas de trabajo más completas para bases de datos basadas en la nube. Los equipos de seguridad y los propietarios de bases de datos ahora pueden tener una experiencia centralizada para administrar la seguridad de las bases de datos de sus entornos.
Obtenga información sobre cómo habilitar protecciones para las bases de datos.
Disponibilidad general (GA) de Defender para SQL en máquinas destinadas a entornos de AWS y GCP
Las funcionalidades de protección de bases de datos que proporciona Microsoft Defender for Cloud han agregado compatibilidad con los servidores de SQL que se hospedan en entornos de AWS o GCP.
Ahora, con Defender para SQL, las empresas pueden proteger todo su patrimonio de bases de datos, hospedadas en Azure, AWS, GCP y máquinas locales.
Además,Microsoft Defender para SQL proporciona una experiencia unificada en varias nubes para poder visualizar recomendaciones de seguridad, alertas de seguridad y resultados de evaluación de vulnerabilidades para servidores SQL Server y el sistema operativo Windows subyacente.
Con la experiencia de incorporación para varias nubes, puede habilitar y aplicar la protección de bases de datos para servidores SQL Server que se ejecutan en los servicios EC2 y RDS Custom para SQL Server de AWS y el motor de procesamiento GCP. Una vez habilitado cualquiera de estos planes, se protegen todos los recursos admitidos que existen dentro de la suscripción. También se protegerán los recursos futuros que se hayan en la misma suscripción.
Obtenga información sobre cómo proteger y conectar el entorno de AWS y la organización de GCP con Microsoft Defender for Cloud.
Impulse la implementación de las recomendaciones de seguridad para la mejora de la posición de seguridad de su empresa
Actualmente, el número de amenazas a las que se enfrentan las organizaciones está en constante aumento. Estas dificultan la labor del personal de seguridad, encargado de proteger cargas de trabajo en continua expansión. Por esto, los equipos de seguridad se encuentran ante el desafío de implementar todas las protecciones que definen en sus directivas de seguridad.
Sin embargo, con la nueva experiencia de gobernanza en versión preliminar, los equipos de seguridad pueden asignar acciones de corrección de las recomendaciones de seguridad a los propietarios de recursos y establecer el requerimiento de una programación de corrección. Además, estos pueden ejercer el progreso de corrección con total transparencia y recibir notificaciones cuando venza el plazo de las tareas.
Obtenga más información sobre la experiencia de gobernanza en Impulsar la organización para corregir problemas de seguridad con la gobernanza de recomendaciones.
Filtrado de alertas de seguridad en función de la dirección IP
En muchos casos de ataques, lo normal es que quiera supervisar las alertas en función de la dirección IP de la entidad implicada en el ataque. Hasta ahora, las direcciones IP solo aparecían en la sección "Entidades relacionadas" en el único panel de alertas. Sin embargo, ahora puede filtrar las alertas de la página de alertas de seguridad para ver las alertas relacionadas con una dirección IP y también puede buscar una dirección IP específica.
Alertas en función del grupo de recursos
La capacidad de filtrar, ordenar y agrupar por grupo de recursos se agregó a la página Alertas de seguridad.
Se agregó una columna de grupo de recursos a la cuadrícula de alertas.
Se agregó un nuevo filtro que permite visualizar todas las alertas correspondientes a grupos de recursos específicos.
Además, ahora también puede agrupar las alertas en función del grupo de recursos para visualizar todas las alertas que correspondan a cada uno de los grupos de recursos.
Aprovisionamiento automático de la solución unificada de Microsoft Defender para punto de conexión
Hasta ahora, la integración con Microsoft Defender para punto de conexión (MDE) incluía la instalación automática de la nueva solución unificada de MDE para máquinas (suscripciones de Azure y conectores multinube) con el plan 1 de Microsoft Defender para servidores habilitado, así como para conectores multinube con el plan 2 de Microsoft Defender para servidores habilitado. El plan 2 para las suscripciones de Azure solo habilitó la solución unificada para máquinas Linux y servidores Windows 2019 y 2022. Los servidores Windows 2012R2 y 2016 usaron la solución heredada de MDE dependiente del agente de Log Analytics.
Ahora, la nueva solución unificada está disponible para todas las máquinas de ambos planes, tanto para las suscripciones de Azure como para los conectores multinube. Por un lado, en el caso de las suscripciones de Azure con el plan 2 para servidores que habilitaron la integración de MDE después del 20 de junio de 2022, la solución unificada está habilitada de manera predeterminada para todas las máquinas. Por otro lado, en el caso de las suscripciones de Azure con el plan 2 de Microsoft Defender para servidores habilitado con la integración de MDE antes del 20 de junio de 2022, ahora pueden habilitar la instalación de la solución unificada para servidores Windows 2012R2 y 2016 mediante el botón dedicado de la página Integraciones:
Obtenga más información sobre la integración de MDE con Microsoft Defender para servidores.
Desuso de la directiva "La aplicación de API solo debe ser accesible mediante HTTPS"
La directiva API App should only be accessible over HTTPS está en desuso. Esta directiva se reemplaza por la directiva Web Application should only be accessible over HTTPS, cuyo nombre se cambió a App Service apps should only be accessible over HTTPS.
Para obtener más información sobre las definiciones de directivas para Azure App Service, consulte Definiciones integradas de Azure Policy para Azure App Service.
Alertas nuevas de Azure Key Vault
Para expandir las protecciones contra amenazas que proporciona Microsoft Defender para Azure Key Vault, hemos agregado dos nuevas alertas.
Estas alertas le informarán si se detecta una anomalía de acceso denegado referente a cualquiera de los almacenes de claves.
| Alerta (tipo de alerta) | Descripción | Tácticas MITRE | severity |
|---|---|---|---|
| Acceso inusual denegado: acceso denegado de un usuario a un gran volumen de almacenes de claves (KV_DeniedAccountVolumeAnomaly) |
Un usuario o una entidad de servicio ha intentado acceder a un volumen alto y anómalo de almacenes de claves en las últimas 24 horas. Este patrón de acceso anómalo puede ser una actividad legítima. Aunque este intento no se haya realizado correctamente, puede indicar que se ha intentado obtener acceso al almacén de claves y a los secretos que este contiene. Se recomienda seguir investigando. | Detección | Bajo |
| Acceso inusual denegado: acceso denegado de un usuario inusual al almacén de claves (KV_UserAccessDeniedAnomaly) |
Un usuario intentó obtener acceso a un almacén de claves al que no suele acceder; este patrón de acceso anómalo puede ser una actividad legítima. Aunque este intento no se haya realizado correctamente, puede indicar que se ha intentado obtener acceso al almacén de claves y a los secretos que este contiene. | Acceso inicial, Discovery | Bajo |
Mayo de 2022
Las actualizaciones de mayo incluyen:
- La configuración multinube del plan Servidores ya está disponible en el nivel de conector
- El acceso JIT (Just-In-Time) a las máquinas virtuales ya está disponible para las instancias de AWS EC2 (versión preliminar)
- Adición y eliminación del sensor de Defender para clústeres de AKS mediante la CLI
La configuración multinube del plan Servidores ya está disponible en el nivel de conector
Ahora hay configuraciones de nivel de conector para Defender para servidores en varias nubes.
La nueva configuración de nivel de conector proporciona granularidad para la configuración de precios y aprovisionamiento automático por conector, independientemente de la suscripción.
Todos los componentes de aprovisionamiento automático disponibles en el nivel de conector (Azure Arc, MDE y evaluaciones de vulnerabilidades) están habilitados de manera predeterminada y la nueva configuración admite los planes de tarifa Plan 1 y Plan 2.
Las actualizaciones de la interfaz de usuario incluyen una reflexión del plan de tarifa seleccionado y los componentes necesarios configurados.
Cambios en la evaluación de vulnerabilidades
Defender para contenedores ahora muestra las vulnerabilidades de gravedad media y baja que no se pueden revisar.
Como parte de esta actualización, ahora se muestran vulnerabilidades que tienen gravedades medias y bajas, tanto si hay revisiones disponibles como si no. Esta actualización proporciona la máxima visibilidad, pero todavía le permite filtrar las vulnerabilidades no deseadas utilizando la regla de desactivación proporcionada.
Más información sobre la administración de vulnerabilidades
El acceso JIT (Just-in-time) para las máquinas virtuales ya está disponible para las instancias de AWS EC2 (Vista previa)
Al conectar las cuentas de AWS, JIT evaluará automáticamente la configuración de red de los grupos de seguridad de sus instancias y recomendará qué instancias necesitan protección para sus puertos de gestión expuestos. Esto es similar a cómo funciona JIT con Azure. Al incorporar instancias EC2 no protegidas, JIT bloqueará el acceso público a los puertos de administración y solo los abrirá con solicitudes autorizadas durante un período de tiempo limitado.
Obtenga información sobre cómo JIT protege las instancias de AWS EC2
Adición y eliminación del sensor de Defender para clústeres de AKS mediante la CLI
El agente de Defender es necesario para que Defender para contenedores proporcione protecciones en tiempo de ejecución y recopile las señales de los nodos. Ahora puede usar la CLI de Azure para agregar y quitar el agente de Defender para un clúster de AKS.
Nota:
Esta opción se incluye en la CLI de Azure 3.7 y versiones posteriores.
Abril de 2022
Las actualizaciones de abril incluyen:
- Nuevos planes de Defender para servidores
- Reubicación de recomendaciones personalizadas
- Script de PowerShell para transmitir alertas a Splunk y QRadar
- La recomendación de Azure Cache for Redis está en desuso
- Nueva variante de alerta para Microsoft Defender para Storage (versión preliminar) a fin de detectar la exposición de datos confidenciales
- Título de alerta de examen de contenedor aumentado con reputación de dirección IP
- Visualización de los registros de actividad relacionados con una alerta de seguridad
Nuevos planes de Defender para servidores
Microsoft Defender para servidores ahora se ofrece en dos planes incrementales:
- Plan 2 de Defender para servidores, anteriormente conocido como "Defender para servidores"
- Plan 1 de Defender para servidores, proporciona compatibilidad solo con Microsoft Defender para punto de conexión
Aunque el plan 2 de Defender para servidores sigue proporcionando protecciones frente a amenazas y vulnerabilidades a las cargas de trabajo locales y en la nube, el plan 1 de Defender para servidores solo proporciona protección de punto de conexión, con tecnología de Defender para punto de conexión integrada de forma nativa. Conozca más información sobre los planes de Defender para servidores.
Si ha estado usando Defender para servidores hasta ahora, no se requiere ninguna acción.
Además, Defender for Cloud también comienza una compatibilidad gradual con el agente unificado de Defender para punto de conexión de Windows Server 2012 R2 y 2016. El plan 1 de Defender for Servers implementa el nuevo agente unificado en cargas de trabajo de Windows Server 2012 R2 y 2016.
Reubicación de recomendaciones personalizadas
Las recomendaciones personalizadas son aquellas creadas por usuarios y no afectan a la puntuación de seguridad. Las recomendaciones personalizadas ahora se pueden encontrar en la pestaña Todas las recomendaciones.
Use el nuevo filtro "tipo de recomendación" para buscar recomendaciones personalizadas.
Obtenga más información en Creación de directivas e iniciativas de seguridad personalizadas.
Script de PowerShell para transmitir alertas a Splunk e IBM QRadar
Se recomienda usar Event Hubs y un conector integrado para exportar alertas de seguridad a Splunk e IBM QRadar. Ahora puede usar un script de PowerShell para configurar los recursos de Azure necesarios a fin de exportar alertas de seguridad para su suscripción o inquilino.
Tan solo tiene que descargar y ejecutar el script de PowerShell. Después de proporcionar algunos detalles del entorno, el script configura automáticamente los recursos. Después, el script genera la salida que se usa en la plataforma SIEM para completar la integración.
Para obtener más información, vea Transmisión de alertas a Splunk y QRadar.
La recomendación de Azure Cache for Redis está en desuso
La recomendación Azure Cache for Redis should reside within a virtual network (versión preliminar) está en desuso. Hemos cambiado nuestras instrucciones para proteger las instancias de Azure Cache for Redis. Se recomienda usar un punto de conexión privado para restringir el acceso a la instancia de Azure Cache for Redis, en lugar de una red virtual.
Nueva variante de alerta de Microsoft Defender para Storage (versión preliminar) a fin de detectar la exposición de datos confidenciales
Las alertas de Microsoft Defender para Storage le notifican cuando los actores de amenazas intentan examinar y exponer, con éxito o no, los contenedores de almacenamiento abiertos públicamente o configurados incorrectamente a fin de intentar filtrar información confidencial.
Para permitir una evaluación de prioridades y un tiempo de respuesta más rápidos, cuando se puede haber producido la filtración de datos potencialmente confidenciales, hemos publicado una nueva variante en la alerta existente Publicly accessible storage containers have been exposed.
La nueva alerta, Publicly accessible storage containers with potentially sensitive data have been exposed, se desencadena con un nivel de gravedad High, una vez que se ha detectado correctamente un contenedor de almacenamiento abierto públicamente con nombres que estadísticamente se han encontrado como rara vez expuestos públicamente, lo que sugiere que podrían contener información confidencial.
| Alerta (tipo de alerta) | Descripción | Táctica MITRE | severity |
|---|---|---|---|
| VERSIÓN PRELIMINAR: se han expuesto contenedores de almacenamiento accesibles públicamente con datos potencialmente confidenciales (Storage.Blob_OpenContainersScanning.SuccessfulDiscovery.Sensitive) |
Alguien ha examinado la cuenta de Azure Storage y ha expuesto los contenedores que permiten el acceso público. Uno o varios de los contenedores expuestos tienen nombres que indican que pueden contener datos confidenciales. Esto suele indicar el reconocimiento por parte de un actor de amenazas que está examinando contenedores de almacenamiento de acceso público mal configurados que pueden contener datos confidenciales. Después de que un actor de amenazas detecte correctamente un contenedor, puede continuar filtrando los datos. ✔ Azure Blob Storage ✖ Azure Files ✖ Azure Data Lake Storage Gen2 |
Colección | Alto |
Título de alerta de examen de contenedor aumentado con reputación de dirección IP
La reputación de una dirección IP puede indicar si la actividad de análisis se origina en un actor de amenazas conocido o en un actor que usa la red Tor para ocultar su identidad. Ambos indicadores sugieren que hay intenciones malintencionadas. Inteligencia sobre amenazas de Microsoft proporciona la reputación de la dirección IP.
La incorporación de la reputación de la dirección IP al título de la alerta proporciona una manera de evaluar rápidamente la intención del actor y, por tanto, la gravedad de la amenaza.
Las alertas siguientes incluirán esta información:
Publicly accessible storage containers have been exposedPublicly accessible storage containers with potentially sensitive data have been exposedPublicly accessible storage containers have been scanned. No publicly accessible data was discovered
Por ejemplo, la información agregada al título de la alerta Publicly accessible storage containers have been exposed tendrá este aspecto:
Publicly accessible storage containers have been exposedby a suspicious IP addressPublicly accessible storage containers have been exposedby a Tor exit node
Todas las alertas de Microsoft Defender para Storage seguirán incluyendo información de inteligencia sobre amenazas en la entidad IP en la sección Entidades relacionadas de la alerta.
Visualización de los registros de actividad relacionados con una alerta de seguridad
Como parte de las acciones que puede realizar para evaluar una alerta de seguridad, puede encontrar los registros de la plataforma relacionados en Inspección del contexto del recurso para obtener contexto sobre el recurso afectado. Defender for Cloud identifica los registros de la plataforma que se encuentran a menos de un día de la alerta.
Los registros de la plataforma pueden ayudarle a evaluar la amenaza de seguridad e identificar los pasos que puede seguir para mitigar el riesgo identificado.
Marzo de 2022
Las actualizaciones de marzo incluyen:
- Disponibilidad global de la puntuación de seguridad para entornos de AWS y GCP
- Entrada en desuso de las recomendaciones para instalar el agente de recopilación de datos de tráfico de red
- Defender para contenedores ahora puede buscar vulnerabilidades en las imágenes de Windows (versión preliminar)
- Una alerta nueva para Microsoft Defender para Storage (versión preliminar)
- Configuración de las notificaciones por correo electrónico a partir de una alerta
- Alerta en versión preliminar en desuso: ARM.MCAS_ActivityFromAnonymousIPAddresses
- La recomendación "Las vulnerabilidades en las configuraciones de seguridad de contenedor deben corregirse" abandona la sección de puntuación segura y se traslada a la sección de procedimientos recomendados
- Desuso de la recomendación de usar entidades de servicio para proteger las suscripciones
- La implementación heredada de ISO 27001 se reemplazará por la nueva iniciativa ISO 27001:2013
- Desuso de las recomendaciones de dispositivos de Microsoft Defender para IoT
- Desuso de las alertas de dispositivos de Microsoft Defender para IoT
- Administración de posiciones y protección contra amenazas de AWS y GCP publicadas con disponibilidad general
- Compatibilidad agregada del examen del registro de imágenes de Windows en ACR con nubes nacionales
Disponibilidad global de la puntuación de seguridad para entornos de AWS y GCP
Las funcionalidades de administración de la posición de seguridad en la nube proporcionadas por Microsoft Defender for Cloud ahora han agregado compatibilidad con los entornos de AWS y GCP dentro de la puntuación de seguridad.
Las empresas ahora pueden ver su posición de seguridad general, en varios entornos, como Azure, AWS y GCP.
La página Puntuación de seguridad se reemplazó por el panel Posición de seguridad. El panel Posición de seguridad permite ver una puntuación combinada general de todos los entornos o un desglose de la posición de seguridad en función de cualquier combinación de entornos que elija.
La página Recomendaciones también se ha rediseñado para proporcionar nuevas funcionalidades como: selección del entorno en la nube, filtros avanzados basados en contenido (grupo de recursos, cuenta de AWS, proyecto de GCP, etc.), interfaz de usuario mejorada en baja resolución, compatibilidad con consultas abiertas en el gráfico de recursos, etc. Puede obtener más información sobre la posición de seguridad general y las recomendaciones de seguridad.
Entrada en desuso de las recomendaciones para instalar el agente de recopilación de datos de tráfico de red
Los cambios en nuestra hoja de ruta y prioridades han eliminado la necesidad del agente de recopilación de datos del tráfico de red. Han quedado en desuso las dos recomendaciones siguientes y sus directivas relacionadas.
| Recomendación | Descripción | severity |
|---|---|---|
| El agente de recopilación de datos de tráfico de red debe instalarse en máquinas virtuales Linux. | Defender for Cloud usa Microsoft Dependency Agent para recopilar datos del tráfico de red de sus máquinas virtuales de Azure y así poder habilitar características avanzadas de protección de red, como la visualización del tráfico en el mapa de red, las recomendaciones de refuerzo de la red y las amenazas de red específicas. | Media |
| El agente de recopilación de datos de tráfico de red debe instalarse en las máquinas virtuales Windows. | Defender for Cloud usa Microsoft Dependency Agent para recopilar datos del tráfico de red de sus máquinas virtuales de Azure y así poder habilitar características avanzadas de protección de red, como la visualización del tráfico en el mapa de red, las recomendaciones de refuerzo de la red y las amenazas de red específicas. | Media |
Defender para contenedores ahora puede buscar vulnerabilidades en las imágenes de Windows (versión preliminar)
La búsqueda de imágenes de Defender para contenedores ahora admite imágenes de Windows hospedadas en Azure Container Registry. Esta característica es gratis mientras está en versión preliminar, pero conllevará un costo cuando esté disponible con carácter general.
Para más información, consulte Uso de Microsoft Defender para registros de contenedor a fin de examinar las imágenes en busca de vulnerabilidades.
Nueva alerta para Microsoft Defender para Storage (versión preliminar)
Para expandir las protecciones contra amenazas que proporciona por Microsoft Defender for Storage, hemos agregado una nueva alerta en versión preliminar.
Quienes realizan las amenazas usan aplicaciones y herramientas para detectar las cuentas de almacenamiento y acceder a ellas. Microsoft Defender para Storage detecta estas aplicaciones y herramientas para que pueda bloquearlas y corregir su posición de seguridad.
Esta alerta en versión preliminar se denomina Access from a suspicious application. La alerta solo es relevante para Azure Blob Storage y ADLS Gen2.
| Alerta (tipo de alerta) | Descripción | Táctica MITRE | severity |
|---|---|---|---|
| VERSIÓN PRELIMINAR: acceso desde una aplicación sospechosa (Storage.Blob_SuspiciousApp) |
Indica que una aplicación sospechosa ha accedido correctamente a un contenedor de una cuenta de almacenamiento con autenticación. Esto puede indicar que un atacante ha obtenido las credenciales necesarias para acceder a la cuenta y está aprovechando sus vulnerabilidades de seguridad. Esto también podría ser una indicación de una prueba de penetración realizada en su organización. Se aplica a: Azure Blob Storage, Azure Data Lake Storage Gen2 |
Acceso inicial | Media |
Configuración de las notificaciones por correo electrónico a partir de una alerta
Se agregó una nueva sección a la interfaz de usuario (UI) de alertas que permite ver y editar quién recibirá notificaciones por correo electrónico de las alertas que se desencadenan en la suscripción actual.
Aprenda a configurar notificaciones de alertas de seguridad por correo electrónico.
Alerta en versión preliminar en desuso: ARM.MCAS_ActivityFromAnonymousIPAddresses
La siguiente alerta en versión preliminar está en desuso:
| Nombre de la alerta | Descripción |
|---|---|
| VERSIÓN PRELIMINAR: actividad desde direcciones IP de riesgo (ARM.MCAS_ActivityFromAnonymousIPAddresses) |
Se ha detectado actividad de usuarios desde una dirección IP que se ha identificado como una dirección IP de proxy anónima. Estos servidores proxy los usan los usuarios que quieren ocultar la dirección IP del dispositivo y es posible que se usen con fines malintencionados. Esta detección usa un algoritmo de aprendizaje automático que reduce los falsos positivos, como las direcciones IP mal etiquetadas que otros usuarios de la organización usan ampliamente. Requiere una licencia activa de Microsoft Defender for Cloud Apps. |
Se creó una nueva alerta que proporciona esta información y la agrega. Además, las alertas más recientes (ARM_OperationFromSuspiciousIP y ARM_OperationFromSuspiciousProxyIP) no requieren una licencia para Microsoft Defender for Cloud Apps (anteriormente conocido como Microsoft Cloud App Security).
El siguiente enlace le permite ver más alertas para Resource Manager.
La recomendación "Las vulnerabilidades en las configuraciones de seguridad de contenedor deben corregirse" abandona la sección de puntuación segura y se traslada a la sección de procedimientos recomendados
La recomendación Vulnerabilities in container security configurations should be remediated se movió de la sección de puntuación segura a la sección de procedimientos recomendados.
La actual experiencia del usuario solo ofrece la puntuación cuando se han superado todas las comprobaciones de cumplimiento. La mayoría de los clientes tienen dificultades para cumplir con todas las comprobaciones obligatorias. Estamos trabajando en una experiencia mejorada para esta recomendación y, una vez que se publique, la recomendación volverá a la sección de puntuación de seguridad.
Desuso de la recomendación de usar entidades de servicio para proteger las suscripciones
Debido a que las organizaciones se están alejando del uso de certificados de administración para administrar sus suscripciones y al anuncio reciente de que vamos a retirar el modelo de implementación de Cloud Services (clásico), está en desuso la siguiente recomendación de Defender para la nube y su directiva relacionada:
| Recomendación | Descripción | severity |
|---|---|---|
| Para proteger las suscripciones se deben usar entidades de servicio, en lugar de certificados de administración | Los certificados de administración permiten a cualquiera que se autentique con ellos administrar las suscripciones a las que están asociados. Para administrar las suscripciones de forma más segura, al usar entidades de servicio con Resource Manager se recomienda limitar el radio de explosión si el certificado corre peligro. También automatiza la administración de recursos. (Directiva relacionada: para proteger las suscripciones, se deben usar entidades de servicio, en lugar de certificados de administración) |
Media |
Más información:
- El modelo de implementación de Cloud Services (clásico) se retirará el 31 de agosto de 2024
- Información general de Azure Cloud Services (clásico)
- Flujo de trabajo de la arquitectura de máquinas virtuales clásicas de Microsoft Azure, incluidos los conceptos básicos del flujo de trabajo de RDFE
La implementación heredada de ISO 27001 se reemplazará por la nueva iniciativa ISO 27001:2013
La implementación heredada de ISO 27001 se eliminó del panel de cumplimiento normativo de Defender for Cloud. Si está haciendo un seguimiento del cumplimiento de la norma ISO 27001 con Defender for Cloud, incorpore la nueva norma ISO 27001:2013 para todos los grupos de administración o suscripciones pertinentes.
Desuso de las recomendaciones de dispositivos de Microsoft Defender para IoT
Las recomendaciones de dispositivos de Microsoft Defender para IoT ya no están visibles en Microsoft Defender for Cloud. Estas recomendaciones siguen estando disponibles en la página Recomendaciones de Microsoft Defender para IoT.
Las siguientes recomendaciones están en desuso:
| Clave de evaluación | Recomendaciones |
|---|---|
| 1a36f14a-8bd8-45f5-fe5-eef88d76ab5b: dispositivos IoT | Puertos abiertos en el dispositivo |
| ba975338-f956-41e7-a9f2-7614832d382d: dispositivos IoT | Se encontró una regla de firewall permisiva en la cadena de entrada |
| beb62be3-5e78-49bd-ac5f-099250ef3c7c: dispositivos IoT | Se encontró una directiva de firewall permisiva en una de las cadenas |
| d5a8d84a-9ad0-42e2-80e0-d38e3d46028a: dispositivos IoT | Se encontró una regla de firewall permisiva en la cadena de salida |
| 5f65e47f-7a00-4bf3-acae-90ee441ee876: dispositivos IoT | Error de validación de línea base del sistema operativo |
| a9a59ebb-5d6f-42f5-92a1-036fd0fd1879: dispositivos IoT | El agente envía mensajes infrautilizados |
| 2acc27c6-5fdb-405e-9080-cb66b850c8f5: dispositivos IoT | Actualización necesaria del conjunto de cifrado de TLS |
| d74d2738-2485-4103-9919-69c7e63776ec: dispositivos IoT | Auditd proceso detuvo el envío de eventos |
Desuso de las alertas de dispositivos de Microsoft Defender para IoT
Las alertas de dispositivos de Microsoft Defender para IoT ya no están visibles en Microsoft Defender for Cloud. Estas alertas siguen estando disponibles en la página Alerta de Microsoft Defender para IoT y en Microsoft Sentinel.
Administración de posiciones y protección contra amenazas de AWS y GCP publicadas con disponibilidad general
Las características de CSPM de Defender for Cloud se amplían a los recursos de AWS y GCP. Este plan sin agente evalúa los recursos de varias nubes según las recomendaciones de seguridad específicas de estas, las cuales se incluyen en la puntuación de seguridad. Se evalúa el grado de cumplimiento de los recursos mediante los estándares integrados. La página de inventario de recursos de Defender for Cloud es una característica habilitada para varias nubes, que permite administrar los recursos de AWS junto con los de Azure.
Microsoft Defender para servidores proporciona detección de amenazas y defensas avanzadas a las instancias de proceso de AWS y GCP. El plan de Defender para servidores incluye una licencia integrada de Microsoft Defender para punto de conexión, examen de evaluación de vulnerabilidades, etc. Obtenga información sobre todas las características admitidas de máquinas virtuales y servidores. Las funcionalidades de incorporación automática le permitirán conectar fácilmente todas las instancias de proceso nuevas o existentes detectadas en su entorno.
Aprenda a proteger y conectar el entorno de AWS y la organización de GCP con Microsoft Defender for Cloud.
Compatibilidad agregada del examen del registro de imágenes de Windows en ACR con nubes nacionales
El examen del registro de imágenes de Windows ahora es compatible con Azure Government y Microsoft Azure operado por 21Vianet. Esta incorporación se encuentra actualmente en versión preliminar.
Obtenga más información sobre la disponibilidad de la característica.
Febrero de 2022
Las actualizaciones de febrero incluyen:
- Protección de cargas de trabajo de Kubernetes para clústeres de Kubernetes habilitados para Arc
- CSPM nativo para GCP y protección contra amenazas para instancias de proceso de GCP
- Plan de Microsoft Defender para Azure Cosmos DB publicado para versión preliminar
- Protección contra amenazas para clústeres de Google Kubernetes Engine (GKE)
Protección de cargas de trabajo de Kubernetes para clústeres de Kubernetes habilitados para Arc
Anteriormente, Defender para contenedores solo protegía las cargas de trabajo de Kubernetes que se ejecutaban en Azure Kubernetes Service. Ahora se ha ampliado la cobertura de protección para incluir clústeres de Kubernetes habilitados para Azure Arc.
Aprenda a configurar la protección de la carga de trabajo de Kubernetes para clústeres de Kubernetes habilitados para AKS y Azure Arc.
CSPM nativo para GCP y protección contra amenazas para instancias de proceso de GCP
La nueva incorporación automatizada de entornos de GCP permite proteger las cargas de trabajo de GCP con Microsoft Defender for Cloud. Defender for Cloud protege los recursos con los siguientes planes:
Las características de CSPM de Defender for Cloud se extienden a los recursos de GCP. Este plan sin agente evalúa los recursos de GCP según las recomendaciones de seguridad específicas de GCP que se proporcionan con Defender for Cloud. Las recomendaciones de GCP se incluyen en la puntuación segura y se evaluará el cumplimiento de los recursos con el estándar GCP CIS integrado. La página de inventario de recursos de Defender for Cloud es una característica habilitada para varias nubes, que permite administrar los recursos de Azure, AWS y GCP.
Microsoft Defender para servidores proporciona la detección de amenazas y defensas avanzadas a las instancias de proceso de GCP. Este plan incluye la licencia integrada de Microsoft Defender para punto de conexión, el examen de la evaluación de vulnerabilidades, etc.
Para obtener una lista completa de las características disponibles, consulte Características admitidas para máquinas virtuales y servidores. Las funcionalidades de incorporación automática le permitirán conectar fácilmente todas las instancias de proceso nuevas y existentes detectadas en su entorno.
Obtenga información sobre cómo proteger y conectar los proyectos de GCP con Microsoft Defender for Cloud.
Plan de Microsoft Defender para Azure Cosmos DB publicado para versión preliminar
Hemos ampliado la cobertura de base de datos de Microsoft Defender for Cloud. Ahora puede habilitar la protección para las bases de datos de Azure Cosmos DB.
Microsoft Defender para Azure Cosmos DB es una capa de seguridad nativa de Azure que detecta cualquier intento de aprovechar una vulnerabilidad de seguridad de las bases de datos de las cuentas de Azure Cosmos DB. Microsoft Defender para Azure Cosmos DB detecta posibles ataques por inyección de código SQL, actores malintencionados conocidos basados en Inteligencia sobre amenazas de Microsoft, patrones de acceso sospechosos y posible explotación de la base de datos mediante identidades en peligro o usuarios malintencionados.
Analiza continuamente el flujo de datos del cliente generado por los servicios de Azure Cosmos DB.
Cuando se detectan actividades potencialmente malintencionadas, se generan alertas de seguridad. Estas alertas se muestran en Microsoft Defender for Cloud junto con los detalles de la actividad sospechosa y los pasos de investigación pertinentes, las acciones de corrección y las recomendaciones de seguridad.
No hay ningún impacto en el rendimiento de la base de datos al habilitar el servicio, ya que Defender para Azure Cosmos DB no tiene acceso a los datos de la cuenta de Azure Cosmos DB.
Obtenga más información en Información general sobre Microsoft Defender para Azure Cosmos DB.
También presentamos una nueva experiencia de habilitación para la seguridad de las bases de datos. Ahora puede habilitar la protección de Microsoft Defender for Cloud en su suscripción para proteger todos los tipos de bases de datos, como Azure Cosmos DB, Azure SQL Database, servidores de Azure SQL en máquinas y Microsoft Defender para bases de datos relacionales de código abierto mediante un proceso de habilitación. Se pueden incluir o excluir tipos de recursos específicos mediante la configuración del plan.
Aprenda a habilitar la seguridad de la base de datos en el nivel de suscripción.
Protección contra amenazas para clústeres de Google Kubernetes Engine (GKE)
Después de nuestro anuncio reciente CSPM nativo para GCP y protección contra amenazas para instancias de proceso de GCP, Microsoft Defender para contenedores ha ampliado sus directivas de protección contra amenazas de Kubernetes, análisis de comportamiento y control de admisión integrado a los clústeres estándar de Kubernetes Engine de Google (GKE). Puede incorporar fácilmente cualquier clúster estándar de GKE existente o nuevo a su entorno mediante nuestras funcionalidades de incorporación automática. Consulte Seguridad de contenedores en Microsoft Defender for Cloud para obtener una lista completa de las características disponibles.
Enero de 2022
Las actualizaciones de enero incluyen:
- Microsoft Defender para Resource Manager actualizado con nuevas alertas y mayor énfasis en las operaciones de alto riesgo asignadas a MITRE ATT&CK® Matrix
- Recomendaciones para habilitar planes de Microsoft Defender en áreas de trabajo (en versión preliminar)
- Aprovisionamiento automático del agente de Log Analytics en las máquinas habilitadas para Azure Arc (versión preliminar)
- Quedó en desuso la recomendación para clasificar datos confidenciales en bases de datos SQL
- Se expandió la comunicación con una alerta de dominio sospechoso para incluir dominios relacionados con Log4Shell conocidos
- Se agregó el botón "Copiar JSON de alerta" en el panel de detalles de alertas de seguridad
- Se cambió el nombre de dos recomendaciones
- Quedó en desuso la directiva que indicaba que los contenedores de clústeres de Kubernetes solo debían escuchar en los puertos permitidos
- Se agregó el libro "Alertas activas"
- Se agregó la recomendación "Actualización del sistema" a la nube de la administración pública
Microsoft Defender para Resource Manager actualizado con nuevas alertas y mayor énfasis en las operaciones de alto riesgo asignadas a MITRE ATT&CK® Matrix
La capa de administración de la nube es un servicio crucial conectado a todos los recursos en la nube. Ese el motivo por el que también es un objetivo potencial para los atacantes. Se recomienda que los equipos de operaciones de seguridad supervisen estrechamente la capa de administración de recursos.
Microsoft Defender para Resource Manager supervisa automáticamente las operaciones de administración de recursos de cualquier organización, independientemente de que se realicen a través de Azure Portal, las API REST de Azure, la CLI de Azure u otros clientes de programación de Azure. Defender for Cloud ejecuta análisis de seguridad avanzados para detectar amenazas y avisarle de cualquier actividad sospechosa.
Las protecciones del plan mejoran enormemente la resistencia de una organización frente a los ataques de actores de amenazas y aumentan considerablemente el número de recursos de Azure protegidos por Defender for Cloud.
En diciembre de 2020, presentamos la versión preliminar de Defender para Resource Manager y, en mayo de 2021, el plan se publicó con disponibilidad general.
Con esta actualización, revisamos exhaustivamente el enfoque del plan de Microsoft Defender para Resource Manager. El plan actualizado incluye muchas alertas nuevas centradas en identificar la invocación sospechosa de operaciones de alto riesgo. Estas nuevas alertas proporcionan una amplia supervisión de los ataques en la matriz completade MITRE ATT&CK® para técnicas basadas en la nube.
Esta matriz abarca la gama siguiente de posibles intenciones de los actores de amenazas que podrían tener los recursos de la organización en la mira: acceso inicial, ejecución, persistencia, elevación de privilegios, evasión defensiva, acceso a credenciales, detección, desplazamiento lateral, colección, filtración e impacto.
Las aletas nuevas de este plan de Defender abarca estas intenciones, tal como se muestra en la tabla siguiente.
Sugerencia
Estas alertas también aparecen en la página de referencia de alertas.
| Alerta (tipo de alerta) | Descripción | Tácticas de MITRE (intenciones) | severity |
|---|---|---|---|
| Se detectó la invocación sospechosa de una operación de "acceso inicial" de alto riesgo (versión preliminar) (ARM_AnomalousOperation.InitialAccess) |
Microsoft Defender para Resource Manager identificó en su suscripción la invocación sospechosa de una operación de alto riesgo que podría indicar un intento de acceder a recursos restringidos. Las operaciones identificadas están diseñadas para permitir que los administradores accedan a los entornos de manera eficaz. Si bien es posible que se trate de una actividad legítima, un actor de amenazas podría usar estas operaciones para obtener acceso inicial a los recursos restringidos en el entorno. Esto puede indicar que la cuenta está en peligro y se está utilizando de manera malintencionada. | Acceso inicial | Media |
| Se detectó la invocación sospechosa de una operación de "ejecución" de alto riesgo (versión preliminar) (ARM_AnomalousOperation.Execution) |
Microsoft Defender para Resource Manager identificó en una máquina de su suscripción la invocación sospechosa de una operación de alto riesgo que podría indicar un intento de ejecutar código. Las operaciones identificadas están diseñadas para permitir que los administradores administren los entornos de manera eficaz. Si bien es posible que se trate de una actividad legítima, un actor de amenazas podría usar estas operaciones para acceder a credenciales restringidas y poner en peligro los recursos del entorno. Esto puede indicar que la cuenta está en peligro y se está utilizando de manera malintencionada. | Ejecución | Media |
| Se detectó la invocación sospechosa de una operación de "persistencia" de alto riesgo (versión preliminar) (ARM_AnomalousOperation.Persistence) |
Microsoft Defender para Resource Manager identificó en su suscripción la invocación sospechosa de una operación de alto riesgo que podría indicar un intento de establecer persistencia. Las operaciones identificadas están diseñadas para permitir que los administradores administren los entornos de manera eficaz. Si bien es posible que se trate de una actividad legítima, un actor de amenazas podría usar estas operaciones para establecer persistencia en el entorno. Esto puede indicar que la cuenta está en peligro y se está utilizando de manera malintencionada. | Persistencia | Media |
| Se detectó la invocación sospechosa de una operación de "elevación de privilegios" de alto riesgo (versión preliminar) (ARM_AnomalousOperation.PrivilegeEscalation) |
Microsoft Defender para Resource Manager identificó en su suscripción la invocación sospechosa de una operación de alto riesgo que podría indicar un intento de elevar los privilegios. Las operaciones identificadas están diseñadas para permitir que los administradores administren los entornos de manera eficaz. Si bien es posible que se trate de una actividad legítima, un actor de amenazas podría usar estas operaciones para elevar los privilegios mientras pone en peligro los recursos del entorno. Esto puede indicar que la cuenta está en peligro y se está utilizando de manera malintencionada. | Elevación de privilegios | Media |
| Se detectó la invocación sospechosa de una operación de "evasión defensiva" de alto riesgo (versión preliminar) (ARM_AnomalousOperation.DefenseEvasion) |
Microsoft Defender para Resource Manager identificó en su suscripción la invocación sospechosa de una operación de alto riesgo que podría indicar un intento de evadir las defensas. Las operaciones identificadas están diseñadas para permitir que los administradores administren la posición de seguridad de los entornos. Si bien es posible que se trate de una actividad legítima, un actor de amenazas podría usar estas operaciones para evitar que lo detecten mientras pone en peligro los recursos del entorno. Esto puede indicar que la cuenta está en peligro y se está utilizando de manera malintencionada. | Evasión defensiva | Media |
| Se detectó la invocación sospechosa de una operación de "acceso a credenciales" de alto riesgo (versión preliminar) (ARM_AnomalousOperation.CredentialAccess) |
Microsoft Defender para Resource Manager identificó en su suscripción la invocación sospechosa de una operación de alto riesgo que podría indicar un intento de acceder a las credenciales. Las operaciones identificadas están diseñadas para permitir que los administradores accedan a los entornos de manera eficaz. Si bien es posible que se trate de una actividad legítima, un actor de amenazas podría usar estas operaciones para acceder a credenciales restringidas y poner en peligro los recursos del entorno. Esto puede indicar que la cuenta está en peligro y se está utilizando de manera malintencionada. | Acceso con credenciales | Media |
| Se detectó la invocación sospechosa de una operación de "desplazamiento lateral" de alto riesgo (versión preliminar) (ARM_AnomalousOperation.LateralMovement) |
Microsoft Defender para Resource Manager identificó en su suscripción la invocación sospechosa de una operación de alto riesgo que podría indicar un intento de realizar un desplazamiento lateral. Las operaciones identificadas están diseñadas para permitir que los administradores administren los entornos de manera eficaz. Si bien es posible que se trate de una actividad legítima, un actor de amenazas podría usar estas operaciones para poner en peligro recursos adicionales del entorno. Esto puede indicar que la cuenta está en peligro y se está utilizando de manera malintencionada. | Movimiento lateral | Media |
| Se detectó la invocación sospechosa de una operación de "colección de datos" de alto riesgo (versión preliminar) (ARM_AnomalousOperation.Collection) |
Microsoft Defender para Resource Manager identificó en su suscripción la invocación sospechosa de una operación de alto riesgo que podría indicar un intento de recopilar datos. Las operaciones identificadas están diseñadas para permitir que los administradores administren los entornos de manera eficaz. Si bien es posible que se trate de una actividad legítima, un actor de amenazas podría usar estas operaciones para recopilar datos confidenciales sobre los recursos del entorno. Esto puede indicar que la cuenta está en peligro y se está utilizando de manera malintencionada. | Colección | Media |
| Se detectó la invocación sospechosa de una operación de "impacto" de alto riesgo (versión preliminar) (ARM_AnomalousOperation.Impact) |
Microsoft Defender para Resource Manager identificó en su suscripción la invocación sospechosa de una operación de alto riesgo que podría indicar un intento de modificar la configuración. Las operaciones identificadas están diseñadas para permitir que los administradores administren los entornos de manera eficaz. Si bien es posible que se trate de una actividad legítima, un actor de amenazas podría usar estas operaciones para acceder a credenciales restringidas y poner en peligro los recursos del entorno. Esto puede indicar que la cuenta está en peligro y se está utilizando de manera malintencionada. | Impacto | Media |
Además, las dos alertas siguientes de este plan salieron de la versión preliminar:
| Alerta (tipo de alerta) | Descripción | Tácticas de MITRE (intenciones) | severity |
|---|---|---|---|
| Operación de Azure Resource Manager desde una dirección IP sospechosa (ARM_OperationFromSuspiciousIP) |
Microsoft Defender para Resource Manager detectó una operación desde una dirección IP que se ha marcado como sospechosa en fuentes de inteligencia sobre amenazas. | Ejecución | Media |
| Operación de Azure Resource Manager desde una dirección IP de proxy sospechosa (ARM_OperationFromSuspiciousProxyIP) |
Microsoft Defender para Resource Manager ha detectado una operación de administración de recursos desde una dirección IP asociada a servicios de proxy, como TOR. Aunque este comportamiento puede ser legítimo, a menudo se considera como actividades malintencionadas, cuando los actores de las amenazas intentan ocultar su dirección IP de origen. | Evasión defensiva | Media |
Recomendaciones para habilitar planes de Microsoft Defender en áreas de trabajo (en versión preliminar)
Para beneficiarse de todas las características de seguridad disponibles en Microsoft Defender para servidores y Microsoft Defender para SQL en las máquinas, los planes deben estar habilitados tanto en el nivel de suscripción como en el de área de trabajo.
Cuando una máquina está en una suscripción con uno de estos planes habilitado, se le facturará por todas las protecciones. Si embargo, si esa máquina depende de un área de trabajo sin el plan habilitado, no recibirá esas ventajas.
Agregamos dos recomendaciones que resaltan las áreas de trabajo que no tienen habilitados estos planes y que, no obstante, tienen máquinas que dependen de ellas de suscripciones que sí tienen el plan habilitado.
Ambas recomendaciones ofrecen corrección automatizada (la acción "Corregir") y son las siguientes:
| Recomendación | Descripción | severity |
|---|---|---|
| Se debe habilitar Microsoft Defender para servidores en las áreas de trabajo | Microsoft Defender para servidores proporciona detección de amenazas y defensas avanzadas para las máquinas Windows y Linux. Con este plan de Defender habilitado en las suscripciones, pero no en las áreas de trabajo, paga por la funcionalidad completa de Microsoft Defender para los servidores, pero se pierden algunas de las ventajas. Al habilitar Microsoft Defender para servidores en un área de trabajo, todas las máquinas que dependen de esa área de trabajo se facturarán en relación con Microsoft Defender para servidores, incluso si están en suscripciones sin planes de Defender habilitados. A menos que también habilite Microsoft Defender para servidores en la suscripción, esas máquinas no podrán aprovechar el acceso a máquinas virtuales Just-In-Time, los controles de aplicación adaptables y las detecciones de red para los recursos de Azure. Obtenga más información en Información general sobre Microsoft Defender para servidores. (Ninguna directiva relacionada) |
Media |
| Microsoft Defender para SQL en las máquinas debe estar habilitado en las áreas de trabajo | Microsoft Defender para servidores proporciona detección de amenazas y defensas avanzadas para las máquinas Windows y Linux. Con este plan de Defender habilitado en las suscripciones, pero no en las áreas de trabajo, paga por la funcionalidad completa de Microsoft Defender para los servidores, pero se pierden algunas de las ventajas. Al habilitar Microsoft Defender para servidores en un área de trabajo, todas las máquinas que dependen de esa área de trabajo se facturarán en relación con Microsoft Defender para servidores, incluso si están en suscripciones sin planes de Defender habilitados. A menos que también habilite Microsoft Defender para servidores en la suscripción, esas máquinas no podrán aprovechar el acceso a máquinas virtuales Just-In-Time, los controles de aplicación adaptables y las detecciones de red para los recursos de Azure. Obtenga más información en Información general sobre Microsoft Defender para servidores. (Ninguna directiva relacionada) |
Media |
Aprovisionamiento automático del agente de Log Analytics en las máquinas habilitadas para Azure Arc (versión preliminar)
Defender for Cloud usa el agente de Log Analytics para recopilar datos de las máquinas relacionados con la seguridad. El agente lee varios registros de eventos y configuraciones que se relacionan con la seguridad y copia los datos al área de trabajo para su análisis.
La configuración del aprovisionamiento automático de Defender for Cloud tiene una opción de alternancia para cada tipo de extensión admitida, incluido el agente de Log Analytics.
En una expansión adicional de las características de nube híbrida, agregamos una opción de aprovisionamiento automático del agente de Log Analytics a las máquinas conectadas a Azure Arc.
Al igual que ocurre con las opciones de aprovisionamiento automático, esto se configura en el nivel de suscripción.
Al habilitar esta opción, se le pedirá indicar el área de trabajo.
Nota:
En esta versión preliminar, no puede seleccionar las áreas de trabajo predeterminadas que creó Defender for Cloud. Para asegurarse de recibir el conjunto completo de características de seguridad disponibles para los servidores habilitados para Azure Arc, compruebe que tiene instalada la solución de seguridad correspondiente en el área de trabajo seleccionada.
Quedó en desuso la recomendación para clasificar datos confidenciales en bases de datos SQL
Quitamos la recomendación Los datos confidenciales de las bases de datos SQL deben clasificarse como parte de una revisión de cómo Defender for Cloud identifica y protege los datos confidenciales en los recursos en la nube.
Este cambio se notificó por adelantado durante los últimos seis meses en la página Próximos cambios importantes en Microsoft Defender for Cloud.
Se expandió la comunicación con una alerta de dominio sospechoso para incluir dominios relacionados con Log4Shell conocidos
Anteriormente, la alerta siguiente solo estaba disponible para las organizaciones que tenían habilitado el plan Microsoft Defender para DNS.
Con esta actualización, la alerta también se mostrará a las suscripciones que tengan habilitados los planes Microsoft Defender para servidores o Defender para App Service.
Además, Inteligencia sobre amenazas de Microsoft expandió la lista de dominios malintencionados conocidos para incluir dominios relacionados con la explotación de las vulnerabilidades de seguridad ampliamente publicitadas asociadas con Log4j.
| Alerta (tipo de alerta) | Descripción | Tácticas MITRE | severity |
|---|---|---|---|
| Comunicación con un dominio sospechoso identificado por inteligencia sobre amenazas (AzureDNS_ThreatIntelSuspectDomain) |
Se ha detectado la comunicación con un dominio sospechoso mediante el análisis de las transacciones de DNS desde el recurso y la comparación con los dominios malintencionados conocidos identificados por las fuentes de inteligencia sobre amenazas. A menudo, los atacantes realizan comunicación con dominios malintencionados y pueden implicar que el recurso se ve comprometido. | Acceso inicial/persistencia/ejecución/comando y control/explotación | Media |
Se agregó el botón "Copiar JSON de alerta" en el panel de detalles de alertas de seguridad
Para ayuda a los usuarios a compartir rápidamente los detalles de una alerta con otros usuarios (por ejemplo, analistas de SOC, propietarios de recursos y desarrolladores), agregamos la funcionalidad de extraer fácilmente todos los detalles de una alerta específica con un botón en el panel de detalles de la alerta de seguridad.
El botón Copiar JSON de alerta nuevo pone los detalles de la alerta, en formato JSON, en el Portapapeles del usuario.
Se cambió el nombre de dos recomendaciones
A fin de mantener la coherencia con los nombres de otras recomendaciones, cambiamos el nombre de estas dos:
Recomendación para resolver vulnerabilidades detectadas en la ejecución de imágenes de contenedor
- Nombre anterior: Las vulnerabilidades en las imágenes de contenedor en ejecución deben corregirse (con tecnología de Qualys)
- Nombre nuevo: Las imágenes de contenedor en ejecución deben tener resueltos los hallazgos sobre vulnerabilidades
Recomendación para habilitar los registros de diagnóstico para Azure App Service
- Nombre anterior: Los registros de diagnóstico deben habilitarse en App Service
- Nombre nuevo: Los registros de diagnóstico de App Service deben estar habilitados
Quedó en desuso la directiva que indicaba que los contenedores de clústeres de Kubernetes solo debían escuchar en los puertos permitidos
Se ha puesto en desuso la recomendación Los contenedores de clústeres de Kubernetes solo deben escuchar en los puertos permitidos.
| Nombre de la directiva | Descripción | Efectos | Versión |
|---|---|---|---|
| Asegurarse de que los contenedores solo escuchan en los puertos permitidos en el clúster de Kubernetes | Restrinja los contenedores para que escuchen solo en puertos permitidos para proteger el acceso al clúster de Kubernetes. Esta directiva está disponible con carácter general para Kubernetes Service (AKS) y en versión preliminar para el motor de AKS y Kubernetes con Azure Arc habilitado. Para obtener más información, vea https://aka.ms/kubepolicydoc. | audit, deny, disabled | 6.1.2 |
La recomendación Los servicios solo deben escuchar en los puertos permitidos se debe usar para limitar los puertos que una aplicación expone a Internet.
Se agregó el libro "Alertas activas"
A fin de ayudar a los usuarios a comprender las amenazas activas para sus entornos y establecer la prioridad de las alertas activas durante el proceso de corrección, hemos agregado el libro Alertas activas.
El libro de alertas activas permite a los usuarios ver un panel unificado de sus alertas agregadas por gravedad, tipo, etiqueta, tácticas de MITRE ATT&CK y ubicación. Obtenga más información en Uso del libro "Alertas activas".
Se agregó la recomendación "Actualización del sistema" a la nube de la administración pública
La recomendación "Se deben instalar actualizaciones del sistema en las máquinas" ahora está disponible en todas las nubes de la administración pública.
Puede que este cambio afecte la puntuación de seguridad de la suscripción a la nube de la administración pública. Se prevé que el cambio genere una menor puntuación, pero es posible que incluir la recomendación pueda dar lugar a un aumento de la puntuación en algunos casos.
Diciembre de 2021
Las actualizaciones de diciembre incluyen:
- Se ha publicado el plan de Microsoft Defender para contenedores con disponibilidad general (GA)
- Se han publicado nuevas alertas de Microsoft Defender para Storage con disponibilidad general (GA)
- Mejoras en las alertas de Microsoft Defender para Storage
- Se ha eliminado la alerta "PortSweeping" de las alertas de nivel de red
Se ha publicado el plan de Microsoft Defender para contenedores con disponibilidad general (GA)
Hace más de dos años, presentamos Defender para Kubernetes y Defender para registros de contenedor como parte de la oferta de Azure Defender en Microsoft Defender for Cloud.
Con el lanzamiento de Microsoft Defender para contenedores, hemos combinado estos dos planes de Defender existentes.
El nuevo plan:
- Combina las características de los dos planes existentes: detección de amenazas para clústeres de Kubernetes y evaluación de vulnerabilidades para imágenes almacenadas en registros de contenedor
- Ofrece características nuevas y mejoradas, como la compatibilidad con varias nubes, la detección de amenazas en el nivel de host con más de 60 nuevos análisis compatibles con Kubernetes y la evaluación de vulnerabilidades para ejecutar imágenes
- Presenta la incorporación a escala nativa de Kubernetes: de forma predeterminada, cuando se habilita el plan, todos los componentes pertinentes se configuran para implementarse automáticamente.
Con esta versión, la disponibilidad y presentación de Defender para Kubernetes y Defender para registros de contenedor ha cambiado de la siguiente manera:
- Nuevas suscripciones: los dos planes de contenedor anteriores ya no están disponibles
- Suscripciones existentes: siempre que aparezcan en Azure Portal, los planes aparecerán como En desuso con instrucciones sobre cómo actualizar al plan más reciente.
El nuevo plan es gratuito durante el mes de diciembre de 2021. Para ver los posibles cambios en la facturación de los planes antiguos en Defender para contenedores y para más información sobre las ventajas que incluye este plan, consulte Introducción a Microsoft Defender para contenedores.
Para más información, consulte:
- Introducción a Microsoft Defender para contenedores
- Habilitación de Microsoft Defender para contenedores
- Introducción a Microsoft Defender para contenedores: Comunidad tecnológica de Microsoft
- Microsoft Defender para contenedores | Defender for Cloud en el campo nº 3: YouTube
Se han publicado nuevas alertas de Microsoft Defender para Storage con disponibilidad general (GA)
Los actores de amenazas usan herramientas y scripts para buscar contenedores abiertos públicamente con la esperanza de encontrar contenedores de almacenamiento abiertos y mal configurados con datos confidenciales.
Microsoft Defender para Storage detecta estos escáneres para que pueda bloquearlos y corregir su posición de seguridad.
La alerta en versión preliminar que detectaba esto se denominaba "Examen anónimo de contenedores de almacenamiento público". Para proporcionar una mayor claridad sobre los eventos sospechosos detectados, lo hemos dividido en dos nuevas alertas. Estas alertas solo conciernen a Azure Blob Storage.
Hemos mejorado la lógica de detección, actualizado los metadatos de las alertas y cambiado el nombre y el tipo de alerta.
Estas son las nuevas alertas:
| Alerta (tipo de alerta) | Descripción | Táctica MITRE | severity |
|---|---|---|---|
| Contenedores de almacenamiento accesibles públicamente detectados correctamente (Storage.Blob_OpenContainersScanning.SuccessfulDiscovery) |
En la última hora, se ha realizado una detección correcta de contenedores de almacenamiento abiertos públicamente en la cuenta de almacenamiento mediante un script o herramienta de análisis. Esto suele indicar un ataque de reconocimiento, donde el actor de amenazas intenta enumerar blobs mediante la suposición de nombres de contenedor, con la esperanza de encontrar contenedores de almacenamiento abiertos incorrectamente configurados que incluyan información confidencial. El actor de amenazas puede usar su propio script o usar herramientas de búsqueda conocidas como Microburst para buscar en contenedores abiertos públicamente. ✔ Azure Blob Storage ✖ Azure Files ✖ Azure Data Lake Storage Gen2 |
Colección | Media |
| Intentos fallidos de búsqueda en contenedores de almacenamiento públicamente accesibles (Storage.Blob_OpenContainersScanning.FailedAttempt) |
En la última hora se han realizado una serie de intentos fallidos de búsqueda en contenedores de almacenamiento abiertos públicamente. Esto suele indicar un ataque de reconocimiento, donde el actor de amenazas intenta enumerar blobs mediante la suposición de nombres de contenedor, con la esperanza de encontrar contenedores de almacenamiento abiertos incorrectamente configurados que incluyan información confidencial. El actor de amenazas puede usar su propio script o usar herramientas de búsqueda conocidas como Microburst para buscar en contenedores abiertos públicamente. ✔ Azure Blob Storage ✖ Azure Files ✖ Azure Data Lake Storage Gen2 |
Colección | Bajo |
Para más información, consulte:
- Matriz de amenazas para los servicios de almacenamiento
- Información general de Microsoft Defender para Storage
- Lista de alertas proporcionadas por Microsoft Defender para Storage
Mejoras en las alertas de Microsoft Defender para Storage
Las alertas de acceso iniciales ahora tienen una precisión mejorada y más datos para apoyar la investigación.
Los actores de amenazas usan diversas técnicas en el acceso inicial para lograr entrar en una red. Dos de las alertas de Microsoft Defender para Storage que detectan anomalías de comportamiento en esta fase ahora tienen una lógica de detección mejorada y datos adicionales para apoyar las investigaciones.
Si ha configurado automatizaciones o ha definido reglas de supresión de alertas para estas alertas en el pasado, actualícelas de acuerdo con estos cambios.
Detección del acceso desde un nodo de salida de Tor
El acceso desde un nodo de salida de Tor podría indicar que un actor de amenazas está intentando ocultar su identidad.
La alerta ahora se ha ajustado para que se genere solo para el acceso autenticado, lo que da lugar a una mayor precisión y certeza en que la actividad es malintencionada. Esta mejora reduce la tasa de positivos inofensivos.
Un patrón aislado tendrá una gravedad alta, mientras que los patrones menos anómalos tendrán una gravedad media.
Se han actualizado el nombre y la descripción de la alerta. AlertType permanece sin cambios.
- Nombre de alerta (antiguo): Acceso desde un nodo de salida de Tor a una cuenta de almacenamiento
- Nombre de alerta (nuevo): Acceso autenticado desde un nodo de salida de Tor
- Tipos de alerta: Storage.Blob_TorAnomaly / Storage.Files_TorAnomaly
- Descripción: se ha accedido correctamente a uno o varios contenedores de almacenamiento o recursos compartidos de archivos de la cuenta de almacenamiento desde una dirección IP conocida por ser un nodo de salida activo de Tor (un proxy anónimo). Los actores de amenazas usan Tor para dificultar el seguimiento de la actividad. El acceso autenticado desde un nodo de salida de Tor es una indicación probable de que un actor de amenazas está intentando ocultar su identidad. Se aplica a: Azure Blob Storage, Azure Files, Azure Data Lake Storage Gen2
- Táctica de MITRE: acceso inicial
- Gravedad: alta/media
Acceso no autenticado inusual
Un cambio en los patrones de acceso puede indicar que un actor de amenazas pudo aprovechar el acceso de lectura público a los contenedores de almacenamiento, ya sea aprovechando un error en las configuraciones de acceso o cambiando los permisos de acceso.
Esta alerta de gravedad media ahora está ajustada con una lógica de comportamiento mejorada, mayor precisión y certeza en que la actividad es malintencionada. Esta mejora reduce la tasa de positivos inofensivos.
Se han actualizado el nombre y la descripción de la alerta. AlertType permanece sin cambios.
- Nombre de alerta (antiguo): Acceso anónimo a una cuenta de almacenamiento
- Nombre de alerta (nuevo): Acceso no autenticado inusual a un contenedor de almacenamiento
- Tipo de alerta: Storage.Blob_AnonymousAccessAnomaly
- Descripción: se ha accedido a esta cuenta de almacenamiento sin autenticación, lo que es un cambio en el patrón de acceso común. El acceso de lectura a este contenedor normalmente se autentica. Esto podría indicar que un actor de amenazas ha podido aprovechar el acceso de lectura público a los contenedores de almacenamiento de esta cuenta de almacenamiento. Se aplica a: Azure Blob Storage
- Táctica de MITRE: Recopilación
- Gravedad: Media
Para más información, consulte:
- Matriz de amenazas para los servicios de almacenamiento
- Introducción a Microsoft Defender para Storage
- Lista de alertas proporcionadas por Microsoft Defender para Storage
Se ha eliminado la alerta "PortSweeping" de las alertas de nivel de red
La alerta siguiente se ha eliminado de nuestras alertas de nivel de red debido a algunas deficiencias:
| Alerta (tipo de alerta) | Descripción | Tácticas MITRE | severity |
|---|---|---|---|
| Se detectó una posible actividad de detección de puertos de salida. (PortSweeping) |
El análisis del tráfico de red detectó la presencia de tráfico saliente sospechoso desde el host %{Compromised Host}. Este tráfico puede derivarse de una actividad de detección de puertos. Cuando el recurso que se encuentra en peligro es un equilibrador de carga o una puerta de enlace de aplicaciones, significa que el tráfico saliente sospechoso se ha originado en uno o varios de los recursos del grupo de back-end (del equilibrador de carga o de la puerta de enlace de aplicaciones). Si este comportamiento es intencionado, tenga en cuenta que la detección de puertos se realiza de acuerdo con los términos del servicio de Azure. Si este comportamiento no es intencionado, puede significar que el recurso se ha puesto en peligro. | Detección | Media |
Noviembre de 2021
Nuestra versión de Ignite incluye:
- Azure Security Center y Azure Defender ahora se denominan Microsoft Defender para la nube.
- CSPM nativo para AWS y protección contra amenazas para Amazon EKS y AWS EC2
- Priorización de las acciones de seguridad por confidencialidad de los datos (con tecnología de Microsoft Purview; en versión preliminar)
- Evaluaciones de control de seguridad ampliadas con Azure Security Benchmark v3.
- Sincronización de alertas bidireccionales opcionales del conector de Microsoft Sentinel; está publicada para disponibilidad general (GA).
- Nueva recomendación para insertar registros de Azure Kubernetes Service (AKS) en Sentinel.
- Recomendaciones asignadas al marco MITRE ATT&CK®, publicadas en disponibilidad general (GA)
Otros cambios de noviembre incluyen:
- Se agregó la Administración de amenazas y vulnerabilidades de Microsoft como solución de evaluación de vulnerabilidades; versión disponible de forma general (GA).
- Microsoft Defender para punto de conexión para Linux es ahora compatible con Microsoft Defender para servidores; versión disponible de forma general
- Exportación de instantáneas para recomendaciones y conclusiones de seguridad (en versión preliminar).
- Aprovisionamiento automático de soluciones de evaluación de vulnerabilidades publicadas para disponibilidad general (GA)
- Filtros de inventario de software en el inventario de recursos publicados para disponibilidad general (GA).
- Nueva directiva de seguridad de AKS agregada a la iniciativa predeterminada: versión preliminar
- La visualización de inventario de las máquinas locales aplica una plantilla diferente para el nombre del recurso
Azure Security Center y Azure Defender ahora se denominan Microsoft Defender para la nube
Según el Informe de estado de la nube de 2021, el 92 % de las organizaciones tienen ahora una estrategia de varias nubes. En Microsoft, nuestro objetivo es centralizar la seguridad entre entornos y ayudar a los equipos de seguridad a trabajar de forma más eficaz.
Microsoft Defender for Cloud es una solución de administración de la posición de seguridad en la nube (CSPM) y protección de cargas de trabajo en la nube (CWP) que detecta los puntos débiles en la configuración de la nube, le permite reforzar la posición de seguridad general del entorno y protege las cargas de trabajo en entornos híbridos y de varias nubes.
En Ignite 2019, compartimos nuestra visión de crear el enfoque más completo para proteger su patrimonio digital e integrar tecnologías XDR bajo la marca Microsoft Defender. La unificación de Azure Security Center y Azure Defender con el nuevo nombre Microsoft Defender for Cloud refleja las funcionalidades integradas de nuestra oferta de seguridad y nuestra capacidad para admitir cualquier plataforma en la nube.
CSPM nativo para AWS y protección contra amenazas para Amazon EKS y AWS EC2
Una nueva página de configuración del entorno le proporciona mayor visibilidad y control sobre los grupos de administración, las suscripciones y las cuentas de AWS. La página está diseñada para incorporar cuentas de AWS a escala: conecte su cuenta de administración de AWS e incorporará automáticamente cuentas existentes y futuras.
Cuando haya agregado las cuentas de AWS, Defender para la nube protege los recursos de AWS con cualquiera o todos los planes siguientes:
- Las características de CSPM de Defender para la nube se extienden a los recursos de AWS. Este plan sin agente evalúa los recursos de AWS según las recomendaciones de seguridad específicas de AWS, que se incluyen en la puntuación de seguridad. También se evaluará el cumplimiento de los recursos de los estándares integrados específicos de AWS (AWS CIS, AWS PCI DSS y Procedimientos recomendados de seguridad fundamentales de AWS). La página de inventario de recursos de Defender for Cloud es una característica habilitada para varias nubes, que permite administrar los recursos de AWS junto con los de Azure.
- Microsoft Defender para Kubernetes amplía la detección de amenazas de contenedores y defensas avanzadas a los clústeres Linux de Amazon EKS.
- Microsoft Defender para servidores proporciona la detección de amenazas y defensas avanzadas a las instancias de EC2 con Windows y Linux. Este plan incluye la licencia integrada de Microsoft Defender para punto de conexión, líneas de base de seguridad y evaluaciones de nivel de sistema operativo, análisis de evaluación de vulnerabilidades, controles de aplicaciones adaptables (AAC), supervisión de la integridad de archivos (FIM) y mucho más.
Obtenga más información sobre cómo conectar las cuentas de AWS a Microsoft Defender para la nube.
Priorización de las acciones de seguridad por confidencialidad de los datos (con tecnología de Microsoft Purview; en versión preliminar)
Los recursos de datos siguen siendo un objetivo popular para los actores de amenazas. Por lo tanto, es fundamental que los equipos de seguridad identifiquen, prioricen y protejan los recursos de datos confidenciales en sus entornos de nube.
Para abordar este desafío, Microsoft Defender for Cloud ahora integra la información de confidencialidad de Microsoft Purview. Microsoft Purview es un servicio unificado de gobernanza de datos que proporciona información valiosa sobre la confidencialidad de los datos en el entorno de varias nubes y en cargas de trabajo locales.
La integración con Microsoft Purview amplía la visibilidad de seguridad en Defender for Cloud desde el nivel de infraestructura hasta los datos, lo que permite una manera completamente nueva de priorizar los recursos y las actividades de seguridad para los equipos de seguridad.
Obtenga más información sobre la Clasificación de acciones de seguridad según la confidencialidad de los datos.
Evaluaciones de control de seguridad ampliadas con Azure Security Benchmark v3
Las recomendaciones de seguridad de Defender for Cloud son compatibles con Azure Security Benchmark.
Azure Security Benchmark es el conjunto de directrices específico de Azure creado por Microsoft para ofrecer los procedimientos recomendados de seguridad y cumplimiento basados en marcos de cumplimiento comunes. Este punto de referencia, que cuenta con un amplísimo respaldo, se basa en los controles del Centro de seguridad de Internet (CIS) y del Instituto Nacional de Normas y Tecnología (NIST), con un enfoque en seguridad centrada en la nube.
A partir de Ignite 2021, Azure Security Benchmark v3 está disponible en el panel de cumplimiento normativo de Defender para la nube y se habilita como la nueva iniciativa predeterminada para todas las suscripciones de Azure protegidas con Microsoft Defender para la nube.
Entre las mejoras de v3 se incluyen:
Asignaciones adicionales a marcos del sector PCI-DSS v3.2.1 y controles CIS v8.
Instrucciones y prácticas más detallados para los controles con la introducción de:
- Principios de seguridad: permiten proporcionar información sobre los objetivos generales de seguridad que crean la base de nuestras recomendaciones.
- Guía de Azure: es el "cómo" técnico para cumplir estos objetivos.
Los nuevos controles incluyen la seguridad de DevOps para problemas como el modelado de amenazas y la seguridad de la cadena de suministro de software, así como la administración de claves y certificados para los procedimientos recomendados en Azure.
Puede obtener más información en Introducción a Azure Security Benchmark.
Sincronización de alertas bidireccionales opcionales del conector de Microsoft Sentinel; está publicada para disponibilidad general (GA)
En julio, anunciamos una característica en versión preliminar, una sincronización de alertas bidireccional, para el conector integrado en Microsoft Sentinel (solución SIEM y SOAR nativa de la nube de Microsoft). Esta característica se ha publicado con disponibilidad general (GA).
Al conectar Microsoft Defender para la nube a Microsoft Sentinel, el estado de las alertas de seguridad se sincroniza entre los dos servicios. Por ejemplo, cuando se cierra una alerta en Defender for Cloud, esa alerta también se mostrará como cerrada en Microsoft Sentinel. El cambio del estado de una alerta en Defender para la nube no afectará al estado de los incidentes de Microsoft Sentinel que contienen la alerta de Microsoft Sentinel sincronizada, sino solo al de la propia alerta sincronizada.
Al habilitar la sincronización de alertas bidireccional, se sincronizará automáticamente el estado de las alertas de Defender for Cloud originales con los incidentes de Microsoft Sentinel que contienen las copias de esas alertas. Por ejemplo, cuando se cierra un incidente de Microsoft Sentinel que contiene una alerta de Defender para la nube, Defender para la nube cerrará automáticamente la alerta original correspondiente.
Obtenga más información sobre cómo conectar alertas de Azure Defender desde Azure Security Center y transmitirlas a Azure Sentinel.
Nueva recomendación para insertar registros de Azure Kubernetes Service (AKS) en Sentinel
En una mejora adicional del valor combinado de Defender para la nube y Microsoft Sentinel, ahora resaltaremos las instancias de Azure Kubernetes Service que no envían datos de registro a Microsoft Sentinel.
Los equipos de SecOps pueden elegir el área de trabajo de Microsoft Sentinel que les interese directamente de la página de detalles de la recomendación y habilitar inmediatamente el streaming de registros sin procesar. Esta conexión sin problemas entre los dos productos facilita a los equipos de seguridad garantizar una cobertura de registro completa en todas sus cargas de trabajo para mantener actualizado todo el entorno.
La nueva recomendación "Los registros de diagnóstico en los servicios de Kubernetes deben estar habilitados" incluye la opción "Corregir" para realizar una corrección más rápida.
También se ha mejorado la recomendación "La auditoría en el servidor de SQL se debe habilitar" con las mismas funcionalidades de streaming de Sentinel.
Recomendaciones asignadas al marco MITRE ATT&CK®, publicadas en disponibilidad general (GA)
Hemos mejorado las recomendaciones de seguridad de Defender for Cloud para mostrar su posición en el marco MITRE ATT&CK®. Esta base de conocimiento de acceso global sobre las tácticas y técnicas de los actores de amenazas basadas en observaciones reales proporciona más contexto para ayudarle a comprender los riesgos asociados de las recomendaciones para su entorno.
Encontrará estas tácticas siempre que acceda a la información de las recomendaciones:
Los resultados de la consulta de Azure Resource Graph para las recomendaciones pertinentes incluyen las tácticas y técnicas de MITRE ATT&CK®.
Las páginas de detalles de las recomendaciones muestran la asignación de todas las recomendaciones pertinentes:
La página de recomendaciones de Defender for Cloud tiene el nuevo filtro
para seleccionar recomendaciones según su táctica asociada:
Más información en Examen de las recomendaciones de seguridad.
Se agregó la Administración de amenazas y vulnerabilidades de Microsoft como solución de evaluación de vulnerabilidades; versión disponible de forma general (GA)
En octubre anunciamos la ampliación de la integración entre Microsoft Defender para servidores y Microsoft Defender para punto de conexión, para poder admitir un nuevo proveedor de vulnerabilidades para las máquinas: Administración de amenazas y vulnerabilidades de Microsoft. Esta característica se ha publicado con disponibilidad general (GA).
Use la administración de amenazas y vulnerabilidades para detectar vulnerabilidades y configuraciones incorrectas casi en tiempo real con la integración con Microsoft Defender para punto de conexión habilitada y sin necesidad de agentes adicionales ni exámenes periódicos. La administración de amenazas y vulnerabilidades prioriza las vulnerabilidades en función del panorama de amenazas y las detecciones de su organización.
Use la recomendación de seguridad "Se debe habilitar una solución de evaluación de vulnerabilidades en las máquinas virtuales" para revelar las vulnerabilidades detectadas por la administración de amenazas y vulnerabilidades para sus máquinas admitidas.
Para detectar automáticamente las vulnerabilidades en máquinas nuevas y existentes, sin necesidad de corregir manualmente la recomendación, consulte Las soluciones de evaluación de vulnerabilidades ahora se pueden habilitar automáticamente (en versión preliminar).
Obtenga más información en Investigación de puntos débiles con la solución de administración de amenazas y vulnerabilidades de Microsoft Defender para punto de conexión.
Microsoft Defender para punto de conexión para Linux es ahora compatible con Microsoft Defender para servidores; versión disponible de forma general
En agosto, anunciamos la compatibilidad con la versión preliminar para implementar el sensor Defender para punto de conexión para Linux en máquinas Linux compatibles. Esta característica se ha publicado con disponibilidad general (GA).
Microsoft Defender para servidores incluye una licencia integrada para Microsoft Defender para punto de conexión. Esta integración ofrece funcionalidades completas de detección y respuesta (EDR) de puntos de conexión.
Cuando Defender for Endpoint detecta una amenaza, desencadena una alerta. La alerta se muestra en Defender for Cloud. En Defender for Cloud, también puede dinamizar hasta la consola de Defender para punto de conexión para realizar una investigación detallada y descubrir el alcance del ataque.
Para más información, consulte Proteja los puntos de conexión con la solución EDR integrada de Security Center: Microsoft Defender para punto de conexión.
Exportación de instantáneas para recomendaciones y conclusiones de seguridad (en versión preliminar)
Defender para la nube genera recomendaciones y alertas de seguridad detalladas. Puede verlas en el portal o mediante herramientas de programación. También puede que deba exportar parte o la totalidad de esta información para realizar el seguimiento con otras herramientas de supervisión de su entorno.
La exportación continua de Defender para la nube le permite personalizar completamente qué se exportará y a dónde irá. Obtenga más información en Exportación continua de datos de Defender para la nube.
Aunque la característica se denomina continua, también hay una opción para exportar instantáneas semanales. Hasta ahora, estas instantáneas semanales se limitaban a la puntuación segura y a los datos de cumplimiento normativo. Hemos agregado la capacidad de exportar recomendaciones y conclusiones de seguridad.
Aprovisionamiento automático de soluciones de evaluación de vulnerabilidades publicadas para disponibilidad general (GA)
En octubre, anunciamos la adición de soluciones de evaluación de vulnerabilidades a la página de aprovisionamiento automático de Defender for Cloud. Esto es pertinente para las máquinas virtuales de Azure y de Azure Arc que están en suscripciones protegidas por Azure Defender para servidores. Esta característica se ha publicado con disponibilidad general (GA).
Además, si la integración con Microsoft Defender para punto de conexión está habilitada, Defender para la nube tendrá una selección de soluciones de evaluación de vulnerabilidades:
- (NUEVO) El módulo de administración de amenazas y vulnerabilidades de Microsoft de Microsoft Defender para punto de conexión (consulte la nota de la versión)
- El agente de Qualys integrado
La solución elegida se habilitará automáticamente en las máquinas admitidas.
Obtenga más información en Configuración automática de la evaluación de vulnerabilidades para las máquinas.
Filtros de inventario de software en el inventario de recursos publicados para disponibilidad general (GA)
En octubre, anunciamos nuevos filtros para la página de inventario de recursos para seleccionar las máquinas que ejecutan software específico e incluso especificar las versiones de interés. Esta característica se ha publicado con disponibilidad general (GA).
Asimismo, puede consultar los datos del inventario de software en el Explorador de Azure Resource Graph.
Para usar estas características, deberá habilitar la integración con Microsoft Defender para punto de conexión.
Para obtener detalles completos, incluidas las consultas de Kusto de ejemplo para Azure Resource Graph, consulte Acceso a un inventario de software.
Nueva directiva de seguridad de AKS agregada a la iniciativa predeterminada
Para asegurarse de que las cargas de trabajo de Kubernetes son seguras de forma predeterminada, Defender para la nube incluye directivas en el nivel de Kubernetes y recomendaciones de protección, incluidas las opciones de cumplimiento con el control de admisión de Kubernetes.
Como parte de este proyecto, hemos agregado una directiva y una recomendación (deshabilitadas de forma predeterminada) para la implementación de acceso en los clústeres de Kubernetes. La directiva está en la iniciativa predeterminada, pero solo es relevante para las organizaciones que se registran para la versión preliminar relacionada.
Puede omitir de forma segura las directivas y la recomendación ("los clústeres de Kubernetes deben realizar la implementación de imágenes vulnerables") y no habrá ningún impacto en el entorno.
Si quiere participar en la versión preliminar, deberá ser miembro del anillo de vista previa. Si aún no es miembro, envíe una solicitud aquí. Los miembros recibirán una notificación cuando comience la versión preliminar.
La visualización de inventario de las máquinas locales aplica una plantilla diferente para el nombre del recurso
Para mejorar la presentación de los recursos en el inventario de recursos, hemos eliminado el elemento "source-computer-IP" de la plantilla para asignar nombres a las máquinas locales.
- Formato anterior:
machine-name_source-computer-id_VMUUID - A partir de esta actualización:
machine-name_VMUUID
Octubre de 2021
Las actualizaciones de octubre incluyen:
- Se ha agregado Administración de amenazas y vulnerabilidades de Microsoft como solución de evaluación de vulnerabilidades (en versión preliminar).
- Las soluciones de evaluación de vulnerabilidades ahora se pueden habilitar automáticamente (en versión preliminar).
- Se han agregado filtros de inventario de software agregados al inventario de recursos (en versión preliminar).
- Cambio del prefijo de algunos tipos de alerta de "ARM_" a "VM_"
- Cambios en la lógica de una recomendación de seguridad para clústeres de Kubernetes
- Las páginas de detalles de recomendaciones ahora muestran recomendaciones relacionadas
- Nuevas alertas para Azure Defender para Kubernetes (en versión preliminar)
Se ha agregado Administración de amenazas y vulnerabilidades de Microsoft como solución de evaluación de vulnerabilidades (en versión preliminar)
Hemos ampliado la integración entre Azure Defender para servidores y Microsoft Defender para punto de conexión para que admita una nueva evaluación de vulnerabilidades para sus máquinas: Administración de amenazas y vulnerabilidades de Microsoft.
Use la administración de amenazas y vulnerabilidades para detectar vulnerabilidades y configuraciones incorrectas casi en tiempo real con la integración con Microsoft Defender para punto de conexión habilitada y sin necesidad de agentes adicionales ni exámenes periódicos. La administración de amenazas y vulnerabilidades prioriza las vulnerabilidades en función del panorama de amenazas y las detecciones de su organización.
Use la recomendación de seguridad "Se debe habilitar una solución de evaluación de vulnerabilidades en las máquinas virtuales" para revelar las vulnerabilidades detectadas por la administración de amenazas y vulnerabilidades para sus máquinas admitidas.
Para detectar automáticamente las vulnerabilidades en máquinas nuevas y existentes, sin necesidad de corregir manualmente la recomendación, consulte Las soluciones de evaluación de vulnerabilidades ahora se pueden habilitar automáticamente (en versión preliminar).
Obtenga más información en Investigación de puntos débiles con la solución de administración de amenazas y vulnerabilidades de Microsoft Defender para punto de conexión.
Las soluciones de evaluación de vulnerabilidades ahora se pueden habilitar automáticamente (en versión preliminar)
La página de aprovisionamiento automático de Security Center ahora incluye la opción para habilitar automáticamente una solución de evaluación de vulnerabilidades para máquinas virtuales de Azure y máquinas de Azure Arc en suscripciones protegidas por Azure Defender para servidores.
Además, si la integración con Microsoft Defender para punto de conexión está habilitada, Defender para la nube tendrá una selección de soluciones de evaluación de vulnerabilidades:
- (NUEVO) El módulo de administración de amenazas y vulnerabilidades de Microsoft de Microsoft Defender para punto de conexión (consulte la nota de la versión)
- El agente de Qualys integrado
La solución elegida se habilitará automáticamente en las máquinas admitidas.
Obtenga más información en Configuración automática de la evaluación de vulnerabilidades para las máquinas.
Se han agregado filtros de inventario de software agregados al inventario de recursos (en versión preliminar)
La página de inventario de recursos ahora incluye un filtro para seleccionar las máquinas que ejecutan software específico e incluso especificar las versiones de interés.
Además, puede consultar los datos del inventario de software en Azure Resource Graph Explorer.
Para usar estas nuevas características, deberá habilitar la integración con Microsoft Defender para punto de conexión.
Para obtener detalles completos, incluidas las consultas de Kusto de ejemplo para Azure Resource Graph, consulte Acceso a un inventario de software.
Cambio del prefijo de algunos tipos de alerta de "ARM_" a "VM_"
En julio de 2021 anunciamos una reorganización lógica de Azure Defender para alertas de Resource Manager.
Durante la reorganización de los planes de Defender, se han movido alertas de Azure Defender para Resource Manager a Azure Defender para servidores.
Con esta actualización, hemos cambiado los prefijos de estas alertas para que coincidan con esta reasignación, y hemos reemplazado "ARM_" por "VM_", tal como se muestra en la tabla siguiente:
| Nombre original | A partir de este cambio |
|---|---|
| ARM_AmBroadFilesExclusion | VM_AmBroadFilesExclusion |
| ARM_AmDisablementAndCodeExecution | VM_AmDisablementAndCodeExecution |
| ARM_AmDisablement | VM_AmDisablement |
| ARM_AmFileExclusionAndCodeExecution | VM_AmFileExclusionAndCodeExecution |
| ARM_AmTempFileExclusionAndCodeExecution | VM_AmTempFileExclusionAndCodeExecution |
| ARM_AmTempFileExclusion | VM_AmTempFileExclusion |
| ARM_AmRealtimeProtectionDisabled | VM_AmRealtimeProtectionDisabled |
| ARM_AmTempRealtimeProtectionDisablement | VM_AmTempRealtimeProtectionDisablement |
| ARM_AmRealtimeProtectionDisablementAndCodeExec | VM_AmRealtimeProtectionDisablementAndCodeExec |
| ARM_AmMalwareCampaignRelatedExclusion | VM_AmMalwareCampaignRelatedExclusion |
| ARM_AmTemporarilyDisablement | VM_AmTemporarilyDisablement |
| ARM_UnusualAmFileExclusion | VM_UnusualAmFileExclusion |
| ARM_CustomScriptExtensionSuspiciousCmd | VM_CustomScriptExtensionSuspiciousCmd |
| ARM_CustomScriptExtensionSuspiciousEntryPoint | VM_CustomScriptExtensionSuspiciousEntryPoint |
| ARM_CustomScriptExtensionSuspiciousPayload | VM_CustomScriptExtensionSuspiciousPayload |
| ARM_CustomScriptExtensionSuspiciousFailure | VM_CustomScriptExtensionSuspiciousFailure |
| ARM_CustomScriptExtensionUnusualDeletion | VM_CustomScriptExtensionUnusualDeletion |
| ARM_CustomScriptExtensionUnusualExecution | VM_CustomScriptExtensionUnusualExecution |
| ARM_VMAccessUnusualConfigReset | VM_VMAccessUnusualConfigReset |
| ARM_VMAccessUnusualPasswordReset | VM_VMAccessUnusualPasswordReset |
| ARM_VMAccessUnusualSSHReset | VM_VMAccessUnusualSSHReset |
Obtenga más información sobre los planes de Azure Defender para Resource Manager y Azure Defender para servidores.
Cambios en la lógica de una recomendación de seguridad para clústeres de Kubernetes
La recomendación "Los clústeres de Kubernetes no deben usar el espacio de nombres predeterminado" impide el uso del espacio de nombres predeterminado para un intervalo de tipos de recursos. Se han eliminado dos de los tipos de recursos incluidos en esta recomendación: ConfigMap y Secret.
Obtenga más información sobre esta recomendación y la seguridad de los clústeres de Kubernetes en Descripción de Azure Policy para clústeres de Kubernetes.
Las páginas de detalles de recomendaciones ahora muestran recomendaciones relacionadas
Para aclarar las relaciones entre las distintas recomendaciones, hemos agregado un área de recomendaciones relacionadas a las páginas de detalles de muchas recomendaciones.
Los tres tipos de relación que se muestran en estas páginas son los siguientes:
- Requisito previo: una recomendación que debe completarse antes de la recomendación seleccionada.
- Alternativa: una recomendación distinta que proporciona otra manera de lograr los objetivos de la recomendación seleccionada.
- Dependiente: una recomendación para la cual la recomendación seleccionada es un requisito previo.
Para cada recomendación relacionada, el número de recursos incorrectos se muestra en la columna "Recursos afectados".
Sugerencia
Si una recomendación relacionada está atenuada, su dependencia aún no se ha completado y, por tanto, no está disponible.
Un ejemplo de recomendaciones relacionadas:
Security Center comprueba si las máquinas admiten soluciones de evaluación de vulnerabilidades:
Debe habilitarse una solución de evaluación de vulnerabilidades en sus máquinas virtualesSi se encuentra una, se le notificará sobre las vulnerabilidades detectadas:
Es necesario corregir las vulnerabilidades de las máquinas virtuales
Obviamente, Security Center no puede notificarle sobre las vulnerabilidades detectadas a menos que encuentre soluciones de evaluación de vulnerabilidades admitidas.
Por lo tanto:
- La primera recomendación es un requisito previo de la segunda
- La segunda recomendación depende de la primera
Nuevas alertas para Azure Defender para Kubernetes (en versión preliminar)
Para expandir las protecciones contra amenazas proporcionadas por Azure Defender para Kubernetes, hemos agregado dos alertas de versión preliminar.
Estas alertas se generan en función de un nuevo modelo de aprendizaje automático y análisis avanzado de Kubernetes, ya que miden varios atributos de implementación y asignación de roles con respecto a las actividades anteriores del clúster y en todos los clústeres que supervisa Azure Defender.
| Alerta (tipo de alerta) | Descripción | Táctica MITRE | severity |
|---|---|---|---|
| Implementación de pods anómalos (versión preliminar) (K8S_AnomalousPodDeployment) |
El análisis del registro de auditoría de Kubernetes detectó una implementación de pods, lo que es anómalo según la actividad de implementación de pods anterior. Esta actividad se considera una anomalía al tener en cuenta cómo las distintas características que se ven en la operación de implementación se relacionan entre sí. Entre las características supervisadas por este análisis se incluye el registro de imágenes de contenedor usado, la cuenta que realiza la implementación, el día de la semana, la frecuencia con la que esta cuenta realiza implementaciones de pods, el agente de usuario utilizado en la operación, si se trata de un espacio de nombres en que la implementación de pods se da a menudo, etc. Las razones que contribuyen a la notificación de esta alerta como actividad anómala se detallan en las propiedades extendidas de la alerta. | Ejecución | Media |
| Permisos de rol excesivos asignados en el clúster de Kubernetes (versión preliminar) (K8S_ServiceAcountPermissionAnomaly) |
El análisis de los registros de auditoría de Kubernetes detectó una asignación excesiva de roles de permisos en el clúster. Al examinar las asignaciones de roles, los permisos enumerados no son comunes para la cuenta de servicio específica. Esta detección tiene en cuenta las asignaciones de roles anteriores a la misma cuenta de servicio en los clústeres supervisados por Azure, el volumen por permiso y el impacto del permiso específico. El modelo de detección de anomalías usado para esta alerta tiene en cuenta cómo se usa este permiso en todos los clústeres supervisados por Azure Defender. | Elevación de privilegios | Bajo |
Para ver una lista completa de las alertas de Kubernetes, consulte Alertas de clústeres de Kubernetes.
Septiembre de 2021
En septiembre, se publicó la siguiente actualización:
Dos nuevas recomendaciones para auditar las configuraciones del sistema operativo para el cumplimiento de la línea de base de seguridad de Azure (en versión preliminar)
Se han publicado las dos recomendaciones siguientes para evaluar el cumplimiento de las máquinas con la línea de base de seguridad de Windows y la línea de base de seguridad de Linux:
- En las máquinas Windows, las vulnerabilidades de la configuración de seguridad de las máquinas Windows deben corregirse (con tecnología de Configuración de invitado).
- En las máquinas Linux, las vulnerabilidades de la configuración de seguridad de las máquinas Linux deben corregirse (con tecnología de Configuración de invitado).
Estas recomendaciones usan la característica Configuración de invitado de Azure Policy para comparar la configuración del sistema operativo de una máquina con la línea de base definida en Azure Security Benchmark.
Obtenga más información sobre el uso de estas recomendaciones en la configuración del sistema operativo de una máquina mediante la configuración de invitado.
Agosto de 2021
Las actualizaciones de agosto incluyen:
- Microsoft Defender para punto de conexión para Linux ahora es compatible con Azure Defender para servidores (en versión preliminar)
- Dos nuevas recomendaciones para administrar soluciones de protección de puntos de conexión (en versión preliminar)
- Solución de problemas integrada y guía para resolver problemas comunes
- Informes de auditoría de Azure del panel de cumplimiento normativo publicados para disponibilidad general (GA)
- Entra en desuso la recomendación "Se deben resolver los problemas de estado del agente de Log Analytics en las máquinas"
- Azure Defender para registros de contenedor ahora examina si hay vulnerabilidades en los registros protegidos con Azure Private Link
- Ahora, Security Center puede aprovisionar automáticamente la extensión de configuración de invitado de Azure Policy (en versión preliminar)
- Recomendaciones para habilitar los planes Azure Defender ahora admiten "Aplicar"
- Las exportaciones CSV de datos de recomendación ahora se limitan a 20 MB
- La página de recomendaciones ahora incluye varias vistas
Microsoft Defender para punto de conexión para Linux ahora es compatible con Azure Defender para servidores (en versión preliminar)
Azure Defender para servidores incluye una licencia integrada para Microsoft Defender para punto de conexión. Esta integración ofrece funcionalidades completas de detección y respuesta (EDR) de puntos de conexión.
Cuando Defender for Endpoint detecta una amenaza, desencadena una alerta. La alerta se muestra en Security Center. En Security Center, también puede dinamizar hasta la consola de Defender for Endpoint para realizar una investigación detallada y descubrir el alcance del ataque.
En el período de versión preliminar, el sensor Defender para punto de conexión para Linux se implementará en las máquinas Linux compatibles de una de estas dos maneras, en función de si ya lo ha implementado en las máquinas Windows:
- Usuarios existentes con las características de seguridad mejorada de Defender for Cloud habilitadas y Microsoft Defender para punto de conexión para Windows
- Nuevos usuarios que no han habilitado nunca la integración con Microsoft Defender para punto de conexión para Windows
Para más información, consulte Proteja los puntos de conexión con la solución EDR integrada de Security Center: Microsoft Defender para punto de conexión.
Dos nuevas recomendaciones para administrar soluciones de protección de puntos de conexión (en versión preliminar)
Hemos agregado dos recomendaciones en versión preliminar para implementar y mantener las soluciones de protección del punto de conexión en las máquinas. Ambas recomendaciones incluyen compatibilidad con máquinas virtuales de Azure y máquinas conectadas a servidores habilitados para Azure Arc.
| Recomendación | Descripción | severity |
|---|---|---|
| La protección de los puntos de conexión debe instalarse en las máquinas | Para proteger las máquinas frente a amenazas y vulnerabilidades, instale una solución Endpoint Protection compatible. Obtenga más información sobre la forma en que se evalúa Endpoint Protection para máquinas. (Directiva relacionada: supervisar la falta de Endpoint Protection en Azure Security Center) |
Alto |
| Los problemas de estado de protección de puntos de conexión se deben resolver en las máquinas | Resuelva los problemas del estado de la protección de los puntos de conexión en las máquinas virtuales para protegerlas frente a amenazas y vulnerabilidades más recientes. Las soluciones de protección del punto de conexión admitidas por Azure Security Center se documentan aquí. La evaluación de la protección del punto de conexión se documenta aquí. (Directiva relacionada: supervisar la falta de protección de puntos de conexión en Azure Security Center) |
Media |
Nota
Las recomendaciones muestran su intervalo de actualización como 8 horas, pero hay algunos escenarios en los que se puede tardar mucho más. Por ejemplo, cuando se elimina una máquina local, Security Center tarda 24 horas en identificar la eliminación. Después, la valoración tardará un máximo de 8 horas en devolver la información. Por consiguiente, en esa situación concreta, se pueden tardar 32 horas en quitar la máquina de la lista de recursos afectados.
Solución de problemas integrada y guía para resolver problemas comunes
Una nueva área dedicada de las páginas de Security Center de Azure Portal proporciona un conjunto recopilado y en constante crecimiento de materiales de autoayuda para resolver los desafíos comunes relacionados con Security Center y Azure Defender.
Si se enfrenta a un problema o busca asesoramiento de nuestro equipo de soporte técnico, Diagnose and solve problems (Diagnosticar y resolver problemas) es otra herramienta que puede ayudarle a encontrar la solución:
Informes de auditoría de Azure del panel de cumplimiento normativo publicados para disponibilidad general (GA)
La barra de herramientas del panel de cumplimiento normativo ofrece informes de certificación de Azure y Dynamics para los estándares aplicados a las suscripciones.
Puede seleccionar la pestaña correspondiente a cada tipo de informe pertinente (PCI, SOC, ISO y otros) y usar filtros para buscar los informes específicos que necesita.
Para más información, consulte Generación de informes y certificados de estado de cumplimiento.
Entra en desuso la recomendación "Se deben resolver los problemas de estado del agente de Log Analytics en las máquinas"
Hemos detectado que la recomendación Se deben resolver los problemas de estado del agente de Log Analytics en las máquinas afecta a las puntuaciones de seguridad de maneras incoherentes con el enfoque de administración de la posición de seguridad en la nube (CSPM) de Security Center. Normalmente, CSPM se relaciona con la identificación de errores de configuración de seguridad. Los problemas de estado del agente no encajan en esta categoría de problemas.
Además, la recomendación es una anomalía en comparación con los demás agentes relacionados con Security Center: este es el único agente con una recomendación relacionada con problemas de estado.
La recomendación está en desuso.
Como resultado de esta entrada en desuso, también hemos realizado pequeños cambios en las recomendaciones sobre la instalación del agente de Log Analytics (el agente de Log Analytics se debe instalar en... ).
Es probable que este cambio afecte a las puntuaciones de seguridad. Para la mayoría de las suscripciones, esperamos que el cambio lleve a una puntuación mayor, pero es posible que las actualizaciones de la recomendación de instalación puedan dar lugar a una disminución de las puntuaciones en algunos casos.
Sugerencia
La página de inventario de recursos también se ha visto afectada por este cambio, ya que muestra el estado de supervisión de las máquinas (supervisada, no supervisada o parcialmente supervisada, un estado que hace referencia a un agente con problemas de estado).
Azure Defender para registros de contenedor ahora examina si hay vulnerabilidades en los registros protegidos con Azure Private Link
Azure Defender para registros de contenedor incluye un detector de vulnerabilidades para detectar imágenes en los registros de Azure Container Registry. Aprenda a examinar los registros y corregir los resultados en Uso de Azure Defender para registros de contenedor para examinar las imágenes en busca de vulnerabilidades.
Para limitar el acceso a un registro hospedado en Azure Container Registry, asigne direcciones IP privadas de red virtual a los puntos de conexión del Registro y use Azure Private Link como se explica en Conexión privada a un registro de contenedor de Azure mediante Azure Private Link.
Como parte de nuestros esfuerzos continuos para admitir más entornos y casos de uso, Azure Defender ahora también examina los registros de contenedor protegidos con Azure Private Link.
Ahora, Security Center puede aprovisionar automáticamente la extensión de configuración de invitado de Azure Policy (en versión preliminar)
Azure Policy puede auditar la configuración dentro de un equipo, tanto para las máquinas que se ejecutan en Azure como para las conectadas a Arc. La validación se realiza mediante el cliente y la extensión Guest Configuration. Puede encontrar más información en Información sobre Guest Configuration de Azure Policy.
Con esta actualización, ahora puede configurar Security Center para que aprovisione automáticamente esta extensión en todas las máquinas admitidas.
Obtenga más información sobre cómo funciona el aprovisionamiento automático en Configuración del aprovisionamiento automático para agentes y extensiones.
Recomendaciones para habilitar los planes Azure Defender ahora admiten "Aplicar"
Security Center incluye dos características que ayudan a garantizar que los recursos recién creados se aprovisionan de forma segura: aplicar y denegar. Cuando una recomendación ofrece estas opciones, puede tener la certeza de que se cumplen los requisitos de seguridad cada vez que alguien intenta crear un recurso:
- Denegar impide la creación de recursos incorrectos
- Aplicar corrige automáticamente los recursos no compatibles cuando se crean
Con esta actualización, la opción de aplicar ahora está disponible en las recomendaciones para habilitar los planes de Azure Defender (por ejemplo, Azure Defender para App Service debe estar habilitado, Azure Defender para Key Vault debe estar habilitado, Azure Defender para Storage debe estar habilitado).
Encontrará más información sobre estas opciones en Evitar errores de configuración con las recomendaciones Aplicar o Denegar.
Las exportaciones CSV de datos de recomendación ahora se limitan a 20 MB
Estamos estableciendo un límite de 20 MB al exportar datos de recomendaciones de Security Center.
Si tiene que exportar mayor cantidad de datos, use los filtros disponibles antes de seleccionarlos, o bien seleccione subconjuntos de las suscripciones y descargue los datos en lotes.
Más información sobre cómo realizar una exportación de archivos .csv de las recomendaciones de seguridad.
La página de recomendaciones ahora incluye varias vistas
La página de recomendaciones ahora tiene dos pestañas para proporcionar formas alternativas de ver las recomendaciones pertinentes para los recursos:
- Recomendaciones de puntuación segura: esta pestaña se usa para ver la lista de recomendaciones agrupadas por control de seguridad. Puede encontrar más información sobre estos controles en Controles de seguridad y sus recomendaciones.
- Todas las recomendaciones: esta pestaña se usa para ver las recomendaciones en forma de lista plana. Esta pestaña también es excelente para saber qué iniciativa (incluidos los estándares de cumplimiento normativo) generó la recomendación. Para más información sobre las iniciativas y su relación con las recomendaciones, consulte ¿Qué son las directivas de seguridad, las iniciativas y las recomendaciones?.
Julio de 2021
Las actualizaciones de julio incluyen:
- El conector de Azure Sentinel ahora incluye la sincronización de alertas bidireccional opcional (en versión preliminar)
- Reorganización lógica de Azure Defender para alertas de Resource Manager
- Mejoras en la recomendación para habilitar Azure Disk Encryption
- Exportación continua de puntuación segura y datos de cumplimiento normativo publicados para disponibilidad general (GA)
- Las automatizaciones de los flujos de trabajo se pueden desencadenar mediante los cambios en las evaluaciones de cumplimiento normativo (GA)
- Los campos de API de evaluaciones "FirstEvaluationDate" y "StatusChangeDate" ahora están disponibles en los esquemas de área de trabajo y las aplicaciones lógicas
- Se ha agregado la plantilla del libro "Cumplimiento a lo largo del tiempo" a la galería Azure Monitor Workbooks
El conector de Azure Sentinel ahora incluye la sincronización de alertas bidireccional opcional (en versión preliminar)
Security Center se integra de forma nativa con Azure Sentinel, la solución SOAR y SIEM nativa de nube de Azure.
Azure Sentinel incluye conectores integrados para Azure Security Center en los niveles de suscripción y de inquilino. Encontrará más información en Transmisión de alertas a Azure Sentinel.
Cuando se conecta Azure Defender a Azure Sentinel, el estado de las alertas de Azure Defender que se ingieren en Azure Sentinel se sincroniza entre los dos servicios. Por ejemplo, cuando se cierra una alerta en Azure Defender, también se mostrará como cerrada en Azure Sentinel. El cambio del estado de una alerta en Azure Defender "no"* afectará al estado de los incidentes de Azure Sentinel que contienen la alerta de Azure Sentinel sincronizada, solo al de la propia alerta sincronizada.
Al habilitar la característica en vista previa, la sincronización de alertas bidireccional, se sincroniza automáticamente el estado de las alertas de Azure Defender originales con incidentes de Azure Sentinel que contienen las copias de esas alertas de Azure Defender. Por ejemplo, cuando se cierra un incidente de Azure Sentinel que contiene una alerta de Azure Defender, Azure Defender cerrará automáticamente la alerta original correspondiente.
Encontrará más información al respecto en Conexión de alertas de Azure Defender desde Azure Security Center.
Reorganización lógica de Azure Defender para alertas de Resource Manager
Las alertas que aparecen a continuación se proporcionaron como parte del plan de Azure Defender para Resource Manager.
Como parte de una reorganización lógica de algunos de los planes de Azure Defender, hemos trasladado algunas alertas de Azure Defender para Resource Manager a Azure Defender para servidores.
Las alertas se organizan según dos principios fundamentales:
- Las alertas que proporcionan protección del plano de control (en muchos tipos de recursos de Azure) forman parte de Azure Defender para Resource Manager.
- Las alertas que protegen cargas de trabajo específicas se encuentran en el plan de Azure Defender relacionado con la carga de trabajo correspondiente.
Estas son las alertas que formaban parte de Azure Defender para Resource Manager y que, como resultado de este cambio, ahora forman parte de Azure Defender para servidores:
- ARM_AmBroadFilesExclusion
- ARM_AmDisablementAndCodeExecution
- ARM_AmDisablement
- ARM_AmFileExclusionAndCodeExecution
- ARM_AmTempFileExclusionAndCodeExecution
- ARM_AmTempFileExclusion
- ARM_AmRealtimeProtectionDisabled
- ARM_AmTempRealtimeProtectionDisablement
- ARM_AmRealtimeProtectionDisablementAndCodeExec
- ARM_AmMalwareCampaignRelatedExclusion
- ARM_AmTemporarilyDisablement
- ARM_UnusualAmFileExclusion
- ARM_CustomScriptExtensionSuspiciousCmd
- ARM_CustomScriptExtensionSuspiciousEntryPoint
- ARM_CustomScriptExtensionSuspiciousPayload
- ARM_CustomScriptExtensionSuspiciousFailure
- ARM_CustomScriptExtensionUnusualDeletion
- ARM_CustomScriptExtensionUnusualExecution
- ARM_VMAccessUnusualConfigReset
- ARM_VMAccessUnusualPasswordReset
- ARM_VMAccessUnusualSSHReset
Obtenga información sobre los planes de Azure Defender para Resource Manager y Azure Defender para servidores.
Mejoras en la recomendación para habilitar Azure Disk Encryption
Tras los comentarios de los usuarios, se ha cambiado el nombre de la recomendación El cifrado de disco se debe aplicar a las máquinas virtuales.
La nueva recomendación usa el mismo identificador de evaluación y se denomina Las máquinas virtuales deben cifrar los discos temporales, las memorias caché y los flujos de datos entre los recursos de proceso y almacenamiento.
La descripción también se ha actualizado para explicar mejor el propósito de esta recomendación de seguridad:
| Recomendación | Descripción | severity |
|---|---|---|
| Las máquinas virtuales deben cifrar los discos temporales, las cachés y los flujos de datos entre los recursos de Proceso y Almacenamiento | De forma predeterminada, los discos de datos y del sistema operativo de una máquina virtual se cifran en reposo mediante claves administradas por la plataforma; los discos temporales y las cachés de datos no se cifran y los datos no se cifran cuando fluyen entre los recursos de proceso y almacenamiento. Para obtener más información, vea la comparación de las distintas tecnologías de cifrado de disco en Azure. Use Azure Disk Encryption para cifrar todos estos datos. Ignore esta recomendación si: (1) usa la característica de cifrado en host o (2) el cifrado del servidor en Managed Disks cumple los requisitos de seguridad. Encontrará más información en Cifrado del lado servidor de Azure Disk Storage. |
Alto |
Exportación continua de puntuación segura y datos de cumplimiento normativo publicados para disponibilidad general (GA)
La exportación continua proporciona el mecanismo para exportar las alertas de seguridad y las recomendaciones necesarias para realizar el seguimiento con otras herramientas de supervisión de su entorno.
Al configurar la exportación continua, se configura lo que se exporta y el lugar al que irán los elementos exportados. Encontrará más información al respecto en la introducción a la exportación continua.
Esta característica se ha mejorado y ampliado:
En noviembre de 2020, se agregó la opción de vista previa para transmitir en secuencias los cambios a su puntuación segura.
En La puntuación de seguridad ahora está disponible en la exportación continua (versión preliminar), encontrará todos los detalles.En diciembre de 2020, se agregó la opción de vista previa para transmitir en secuencias los cambios a sus datos de evaluación de cumplimiento normativo.
Para ver todos los detalles, consulte la sección La exportación continua obtiene nuevos tipos de datos y directivas deployifnotexist mejoradas.
Con esta actualización, estas dos opciones se liberan para disponibilidad general (GA).
Las automatizaciones de los flujos de trabajo se pueden desencadenar mediante los cambios en las evaluaciones de cumplimiento normativo (GA)
En febrero de 2021, se agregó un tercer tipo de datos en vista previa a las opciones del desencadenador para las automatizaciones del flujo de trabajo: cambios en las evaluaciones de cumplimiento normativo. Obtendrá más información en Las automatizaciones de los flujos de trabajo se pueden desencadenar mediante cambios en las evaluaciones de cumplimiento normativo.
Con esta actualización, esta opción del desencadenador se libera para disponibilidad general (GA).
Aprenda a usar las herramientas de automatización del flujo de trabajo en Automatización de respuestas a desencadenadores de Security Center.
Los campos de API de evaluaciones "FirstEvaluationDate" y "StatusChangeDate" ahora están disponibles en los esquemas de área de trabajo y las aplicaciones lógicas
En mayo de 2021, se actualizó Assessment API con dos nuevos campos, FirstEvaluationDate y StatusChangeDate. Para ver todos los detalles al respecto, consulte Assessment API se ha ampliado con dos nuevos campos.
Se puede acceder a esos campos a través de la API REST, Azure Resource Graph, la exportación continua y en las exportaciones de CSV.
Con este cambio, la información estará disponible en el esquema del área de trabajo de Log Analytics y desde las aplicaciones lógicas.
Se ha agregado la plantilla del libro "Cumplimiento a lo largo del tiempo" a la galería Azure Monitor Workbooks
En marzo, se anunció la experiencia integrada de Azure Monitor Workbooks en Security Center (consulte Se integran en Security Center los libros de Azure Monitor y se proporcionan tres plantillas).
La versión inicial incluía tres plantillas para crear informes dinámicos y visuales sobre la posición de seguridad de la organización.
Ahora se ha agregado un libro dedicado a realizar un seguimiento del cumplimiento que realiza una suscripción de los estándares normativos o del sector que se le aplican.
Obtenga información sobre el uso de estos informes o sobre la creación de sus propios informes en Creación de informes enriquecidos e interactivos con los datos de Security Center.
Junio de 2021
Las actualizaciones de junio incluyen:
- Nueva alerta para Azure Defender para Key Vault
- Recomendaciones para cifrar con claves administradas por el cliente (CMK) deshabilitadas de manera predeterminada
- El prefijo de las alertas de Kubernetes cambia de "AKS_" a "K8S_"
- Han entrado en desuso dos recomendaciones del control de seguridad "Aplicar actualizaciones del sistema".
Nueva alerta para Azure Defender para Key Vault
Para expandir las protecciones contra amenazas proporcionadas por Azure Defender para Key Vault, hemos agregado la siguiente alerta:
| Alerta (tipo de alerta) | Descripción | Táctica MITRE | severity |
|---|---|---|---|
| Acceso desde una dirección IP sospechosa a un almacén de claves (KV_SuspiciousIPAccess) |
Una dirección IP identificada por la inteligencia sobre amenazas de Microsoft como una dirección IP sospechosa accedió correctamente a un almacén de claves. Esto puede indicar que la infraestructura se ha puesto en peligro. Se recomienda seguir investigando. Obtenga más información sobre las funcionalidades de inteligencia sobre amenazas de Microsoft. | Acceso con credenciales | Media |
Para más información, consulte:
- Introducción a Azure Defender para Key Vault
- Respuesta a las alertas de Azure Defender para Key Vault
- Lista de alertas proporcionadas por Azure Defender para Key Vault
Recomendaciones para cifrar con claves administradas por el cliente (CMK) deshabilitadas de manera predeterminada
Security Center incluye varias recomendaciones para cifrar los datos en reposo con claves administradas por el cliente, como:
- Las instancias de Container Registry se deben cifrar con una clave administrada por el cliente (CMK)
- Las cuentas de Azure Cosmos DB deben usar claves administradas por el cliente para cifrar los datos en reposo
- Las áreas de trabajo de Azure Machine Learning deben cifrarse con una clave administrada por el cliente (CMK).
Los datos de Azure se cifran automáticamente mediante claves administradas por la plataforma, por lo que el uso de claves administradas por el cliente solo se debe aplicar cuando sea necesario para el cumplimiento de una directiva específica que la organización decida aplicar.
Con este cambio, las recomendaciones para usar CMK ahora están deshabilitadas de manera predeterminada. Cuando sea pertinente para su organización, puede habilitarlas cambiando el parámetro Effect (Efecto) de la directiva de seguridad correspondiente a AuditIfNotExists o Enforce. Obtenga más información en Habilitación de una recomendación de seguridad.
Este cambio se refleja en los nombres de la recomendación con un nuevo prefijo, [Habilitar si es necesario] , como se muestra en los ejemplos siguientes:
- [Habilitar si es necesario] Las cuentas de almacenamiento deben usar claves administradas por el cliente para cifrar los datos en reposo.
- [Habilitar si es necesario] Los registros de contenedor se deben cifrar con una clave administrada por el cliente (CMK).
- [Habilitar si es necesario] Las cuentas de Azure Cosmos DB deben usar claves administradas por el cliente para cifrar los datos en reposo.
El prefijo de las alertas de Kubernetes cambia de "AKS_" a "K8S_"
Azure Defender para Kubernetes se amplió recientemente para proteger los clústeres de Kubernetes hospedados en entornos locales y de varias nubes. Puede encontrar más información en Uso de Azure Defender para Kubernetes para proteger implementaciones de Kubernetes híbridas y de varias nubes (en versión preliminar).
Para reflejar el hecho de que las alertas de seguridad proporcionadas por Azure Defender para Kubernetes ya no están restringidas a los clústeres de Azure Kubernetes Service, hemos cambiado el prefijo de los tipos de alerta de "AKS_" a "K8S_". Cuando ha sido necesario, los nombres y las descripciones también se han actualizado. Por ejemplo, esta alerta:
| Alerta (tipo de alerta) | Descripción |
|---|---|
| Se ha detectado la herramienta de pruebas de penetración de Kubernetes. (AKS_PenTestToolsKubeHunter) |
El análisis del registro de auditoría de Kubernetes ha detectado el uso de la herramienta de pruebas de penetración de Kubernetes en el clúster de AKS. Aunque este comportamiento puede ser legítimo, los atacantes podrían usar estas herramientas públicas con fines malintencionados. |
Se ha cambiado a esta alerta:
| Alerta (tipo de alerta) | Descripción |
|---|---|
| Se ha detectado la herramienta de pruebas de penetración de Kubernetes. (K8S_PenTestToolsKubeHunter) |
El análisis del registro de auditoría de Kubernetes ha detectado el uso de la herramienta de pruebas de penetración de Kubernetes en el clúster de Kubernetes. Aunque este comportamiento puede ser legítimo, los atacantes podrían usar estas herramientas públicas con fines malintencionados. |
Las reglas de eliminación que hacen referencia a las alertas que comienzan por "AKS_" se han convertido automáticamente. Si ha configurado exportaciones de SIEM o scripts de automatización personalizados que hacen referencia a las alertas de Kubernetes por tipo de alerta, deberá actualizarlos con los nuevos tipos de alerta.
Para ver una lista completa de las alertas de Kubernetes, consulte Alertas de clústeres de Kubernetes.
Han entrado en desuso dos recomendaciones del control de seguridad "Aplicar actualizaciones del sistema".
Las dos recomendaciones siguientes han entrado en desuso:
- La versión del sistema operativo debe actualizarse en los roles del servicio en la nube: de manera predeterminada, Azure actualiza periódicamente el sistema operativo invitado a la imagen compatible más reciente dentro de la familia de sistema operativo que ha especificado en la configuración del servicio (.cscfg), como Windows Server 2016.
- Los servicios de Kubernetes deben actualizarse a una versión de Kubernetes no vulnerable: las evaluaciones de esta recomendación no son tan amplias como nos gustaría. Tenemos previsto reemplazar la recomendación por una versión mejorada que se ajuste mejor a sus necesidades de seguridad.
Mayo de 2021
Las actualizaciones de mayo incluyen:
- Lanzamiento de Azure Defender para DNS y Azure Defender para Resource Manager para disponibilidad general (GA)
- Lanzamiento de Azure Defender para bases de datos relacionales de código abierto para disponibilidad general (GA)
- Nuevas alertas para Azure Defender para Resource Manager
- Examen de vulnerabilidades de CI/CD de imágenes de contenedor con flujos de trabajo de GitHub y Azure Defender (versión preliminar)
- Más consultas de Resource Graph disponibles para algunas recomendaciones
- Se ha cambiado la gravedad de la recomendación de clasificación de datos SQL
- Nuevas recomendaciones para habilitar las funcionalidades de inicio seguro (en versión preliminar)
- Nuevas recomendaciones para reforzar los clústeres de Kubernetes (en versión preliminar)
- La API de evaluaciones se ha ampliado con dos nuevos campos
- El inventario de recursos obtiene un filtro de entorno de nube
Lanzamiento de Azure Defender para DNS y Azure Defender para Resource Manager para disponibilidad general (GA)
Estos dos planes de protección contra amenazas con amplitud nativa de nube ahora están disponibles de forma general.
Estas nuevas protecciones mejoran enormemente la resistencia frente a los ataques de actores de amenazas y aumentan considerablemente el número de recursos de Azure protegidos por Azure Defender.
Azure Defender para Resource Manager: supervisa automáticamente todas las operaciones de administración de recursos realizadas en la organización. Para más información, consulte:
Azure Defender para DNS: supervisa continuamente todas las consultas de DNS de los recursos de Azure. Para más información, consulte:
Para simplificar el proceso de habilitación de estos planes, use las recomendaciones siguientes:
- Se debe habilitar Azure Defender para Resource Manager
- Se debe habilitar Azure Defender para DNS
Nota
La habilitación de los planes de Azure Defender conlleva cargos. Obtenga información sobre los detalles de los precios por región en la página de precios de Security Center.
Lanzamiento de Azure Defender para bases de datos relacionales de código abierto para disponibilidad general (GA)
Azure Security Center amplía su oferta de protección de SQL con un nuevo conjunto para cubrir las bases de datos relacionales de código abierto:
- Azure Defender para servidores de bases de datos Azure SQL: defiende los servidores SQL Server nativos de Azure.
- Azure Defender para servidores SQL Server en máquinas: amplía las mismas protecciones a los servidores SQL Server en entornos híbridos, multinube y locales.
- Azure Defender para bases de datos relacionales de código abierto: protege los servidores únicos de Azure Database for MySQL, PostgreSQL y MariaDB.
Azure Defender para bases de datos relacionales de código abierto supervisa constantemente las amenazas de seguridad de los servidores y detecta actividades anómalas de base de datos que indican posibles amenazas para Azure Database for MySQL, PostgreSQL y MariaDB. Ejemplos:
- Detección granular de ataques por fuerza bruta: Azure Defender para bases de datos relacionales de código abierto proporciona información detallada sobre los ataques por fuerza bruta intentados y cometidos. Esto le permite investigar y responder con una comprensión más completa de la naturaleza y el estado del ataque en su entorno.
- Detección de alertas de comportamiento: Azure Defender para bases de datos relacionales de código abierto le alertan de comportamientos sospechosos e inesperados en los servidores, como cambios en el patrón de acceso a la base de datos.
- Detección basada en inteligencia sobre amenazas: Azure Defender aplica la inteligencia sobre amenazas de Microsoft y la amplia base de conocimientos para que pueda actuar contra ellas.
Obtenga más información en Introducción a Azure Defender para bases de datos relacionales de código abierto.
Nuevas alertas para Azure Defender para Resource Manager
Para expandir las protecciones contra amenazas proporcionadas por Azure Defender para Resource Manager, hemos agregado las siguientes alertas:
| Alerta (tipo de alerta) | Descripción | Tácticas MITRE | severity |
|---|---|---|---|
| Permisos concedidos para un rol RBAC de forma inusual para el entorno de Azure (versión preliminar) (ARM_AnomalousRBACRoleAssignment) |
Azure Defender para Resource Manager detectó una asignación de roles RBAC inusual en comparación con otras asignaciones realizadas por el mismo asignador o realizadas para el mismo asignado o en el inquilino debido a las siguientes anomalías: hora de asignación, ubicación del asignador, asignador, método de autenticación, entidades asignadas, software cliente usado y extensión de asignación. Es posible que un usuario legítimo de su organización haya realizado esta operación. Como alternativa, podría indicar que se ha vulnerado una cuenta de su organización y que el actor de la amenaza intenta conceder permisos a una cuenta de usuario adicional de su propiedad. | Desplazamiento lateral, evasión de las defensas | Media |
| Rol personalizado con privilegios creado para la suscripción de forma sospechosa (versión preliminar) (ARM_PrivilegedRoleDefinitionCreation) |
Azure Defender para Resource Manager detectó una creación sospechosa de la definición de roles personalizados con privilegios en la suscripción. Es posible que un usuario legítimo de su organización haya realizado esta operación. Como alternativa, podría indicar que se ha vulnerado una cuenta de la organización y que el actor de la amenaza intenta crear un rol con privilegios para usarlo en el futuro para eludir la detección. | Desplazamiento lateral, evasión de las defensas | Bajo |
| Operación de Azure Resource Manager desde una dirección IP sospechosa (versión preliminar) (ARM_OperationFromSuspiciousIP) |
Azure Defender para Resource Manager detectó una operación desde una dirección IP que se ha marcado como sospechosa en fuentes de inteligencia sobre amenazas. | Ejecución | Media |
| Operación de Azure Resource Manager desde una dirección IP de proxy sospechosa (versión preliminar) (ARM_OperationFromSuspiciousProxyIP) |
Azure Defender para Resource Manager ha detectado una operación de administración de recursos desde una dirección IP asociada a servicios de proxy, como TOR. Aunque este comportamiento puede ser legítimo, a menudo se considera como actividades malintencionadas, cuando los actores de las amenazas intentan ocultar su dirección IP de origen. | Evasión defensiva | Media |
Para más información, consulte:
- Introducción a Azure Defender para Resource Manager
- Respuesta a las alertas de Azure Defender para Resource Manager
- Lista de alertas proporcionadas por Azure Defender para Resource Manager
Examen de vulnerabilidades de CI/CD de imágenes de contenedor con flujos de trabajo de GitHub y Azure Defender (versión preliminar)
Azure Defender para registros de contenedor ahora proporciona a los equipos de DevSecOps observabilidad en los flujos de trabajo de las Acciones de GitHub.
La nueva característica de examen de vulnerabilidades para imágenes de contenedor, que utiliza Trivy, le ayuda a buscar vulnerabilidades comunes en las imágenes de contenedor antes de insertar las imágenes en los registros de contenedor.
Los informes del examen de contenedores se resumen en Azure Security Center, lo que proporciona a los equipos de seguridad una mejor información y comprensión sobre el origen de las imágenes de contenedor vulnerables y los flujos de trabajo y repositorios desde donde se originan.
Más información en Identificación de imágenes de contenedor vulnerables en los flujos de trabajo de CI/CD.
Más consultas de Resource Graph disponibles para algunas recomendaciones
Todas las recomendaciones de Security Center ofrecen la opción de ver la información sobre el estado de los recursos afectados mediante Azure Resource Graph desde la opción Abrir consulta. Para obtener detalles completos sobre esta eficaz característica, consulte Revisión de los datos de recomendación en Azure Resource Graph Explorer (ARG).
Security Center incluye escáneres de vulnerabilidades integrados para examinar las VM, los servidores SQL Server y sus hosts, y los registros de contenedor en busca de vulnerabilidades de seguridad. Los resultados se devuelven como recomendaciones con todas las conclusiones individuales de cada tipo de recurso recopiladas en una sola vista. Las recomendaciones son:
- Es necesario corregir las vulnerabilidades de las imágenes de Azure Container Registry (con tecnología de Qualys)
- Es necesario corregir las vulnerabilidades de las máquinas virtuales
- Las bases de datos SQL deben tener resueltos los hallazgos de vulnerabilidades.
- Los servidores SQL de las máquinas deben tener resueltos los hallazgos de vulnerabilidades.
Con este cambio, puede usar el botón Abrir consulta para abrir también la consulta que muestra los hallazgos de seguridad.
El botón Abrir consulta también ofrece opciones adicionales para algunas otras recomendaciones si procede.
Obtenga más información sobre los detectores de vulnerabilidades de Security Center:
- Detector de vulnerabilidades de Qualys integrado en Azure Defender para Azure y máquinas híbridas
- Detector de evaluación de vulnerabilidades integrado de Azure Defender para los servidores SQL Server
- Detector de evaluación de vulnerabilidades integrado de Azure Defender para los registros de contenedor
Se ha cambiado la gravedad de la recomendación de clasificación de datos SQL
La gravedad de la recomendación Los datos confidenciales en las bases de datos SQL debe clasificarse se cambió de Alta a Baja.
Esto forma parte de un cambio continuo en esta recomendación que se anuncia en nuestra página de próximos cambios.
Nuevas recomendaciones para habilitar las funcionalidades de inicio seguro (en versión preliminar)
Azure ofrece el inicio seguro como una manera continua de mejorar la seguridad de las máquinas virtuales de generación 2. El inicio seguro protege frente a técnicas de ataque persistentes y avanzadas. El inicio seguro se compone de varias tecnologías de infraestructura coordinadas que se pueden habilitar de manera independiente. Cada tecnología proporciona otro nivel de defensa contra amenazas sofisticadas. Obtenga más información en Inicio seguro para máquinas virtuales de Azure.
Importante
El inicio seguro requiere la creación de nuevas máquinas virtuales. No se puede habilitar el inicio seguro en las máquinas virtuales existentes que se crearon inicialmente sin él.
El inicio seguro está actualmente en versión preliminar pública. Esta versión preliminar se ofrece sin acuerdo de nivel de servicio y no es aconsejable usarla para cargas de trabajo de producción. Es posible que algunas características no sean compatibles o que tengan sus funcionalidades limitadas.
La recomendación de Security Center, vTPM debe estar habilitado en las máquinas virtuales admitidas, garantiza que las VM de Azure usen vTPM. Esta versión virtualizada del hardware Módulo de plataforma segura permite la atestación mediante la medición de toda la cadena de arranque de la VM (UEFI, sistema operativo, sistema y controladores).
Con vTPM habilitado, la extensión de atestación de invitado puede validar de forma remota el arranque seguro. Las siguientes recomendaciones garantizan la implementación de esta extensión:
- El arranque seguro debe estar habilitado en las máquinas virtuales Windows admitidas
- La extensión de atestación de invitados debe estar instalada en las máquinas virtuales Windows
- La extensión de atestación de invitados debe estar instalada en conjuntos de escalado de máquinas virtuales Windows admitidos
- La extensión de atestación de invitados debe estar instalada en las máquinas virtuales Linux
- La extensión de atestación de invitados debe estar instalada en conjuntos de escalado de máquinas virtuales Linux admitidos
Obtenga más información en Inicio seguro para máquinas virtuales de Azure.
Nuevas recomendaciones para reforzar los clústeres de Kubernetes (en versión preliminar)
Las siguientes recomendaciones le permiten reforzar aún más los clústeres de Kubernetes.
- Los clústeres de Kubernetes no deben utilizar el espacio de nombres predeterminado: para proteger del acceso no autorizado los tipos de recurso ConfigMap, Pod, Secret, Service y ServiceAccount, evite utilizar el espacio de nombres predeterminado en los clústeres de Kubernetes.
- Los clústeres de Kubernetes deben deshabilitar el montaje automático de credenciales de API: para evitar que un recurso pod potencialmente comprometido ejecute comandos de API en clústeres de Kubernetes, deshabilite el montaje automático de credenciales de API.
- Los clústeres de Kubernetes no deben otorgar funcionalidades de seguridad CAPSYSADMIN.
Descubra qué puede hacer Security Center para proteger los entornos contenedorizados en Seguridad de contenedor en Security Center.
La API de evaluaciones se ha ampliado con dos nuevos campos
Se han agregado los dos campos siguientes a la API REST de evaluaciones:
- FirstEvaluationDate: hora a la que se creó y evaluó por primera vez la recomendación. Se devuelve en horario UTC en formato ISO 8601.
- StatusChangeDate: hora a la que cambió por última vez el estado de la recomendación. Se devuelve en horario UTC en formato ISO 8601.
El valor predeterminado inicial de estos campos (para todas las recomendaciones) es 2021-03-14T00:00:00+0000000Z.
Para acceder a esta información, puede usar cualquiera de los métodos de la tabla siguiente.
| Herramienta | Detalles |
|---|---|
| Llamada a API REST | GET https://management.azure.com/subscriptions/<SUBSCRIPTION_ID>/providers/Microsoft.Security/assessments?api-version=2019-01-01-preview&$expand=statusEvaluationDates |
| Azure Resource Graph | securityresourceswhere type == "microsoft.security/assessments" |
| Exportación continua | Los dos campos dedicados estarán disponibles para los datos del área de trabajo de Log Analytics. |
| Exportación de CSV | Los dos campos se incluyen en los archivos CSV. |
Más información sobre la API REST de evaluaciones.
El inventario de recursos obtiene un filtro de entorno de nube
La página del inventario de recursos de Security Center ofrece muchos filtros para refinar rápidamente la lista de recursos que se muestran. Más información en Exploración y administración de los recursos con Asset Inventory.
Un nuevo filtro ofrece la opción de refinar la lista según las cuentas de nube conectadas con las características de varias nubes de Security Center:
Más información sobre las funcionalidades de varias nubes:
- Conexión de las cuentas de AWS a Azure Security Center
- Conexión de los proyectos de GCP a Azure Security Center
Abril de 2021
Las actualizaciones de abril incluyen:
- Actualización de la página de estado de recursos (en versión preliminar)
- Las imágenes del registro de contenedor que se han extraído recientemente ahora se vuelven a examinar semanalmente (lanzado en disponibilidad general)
- Uso de Azure Defender para Kubernetes para proteger implementaciones de Kubernetes híbridas y de varias nubes (versión preliminar)
- La integración de Microsoft Defender para punto de conexión con Azure Defender ahora es compatible con Windows Server 2019 y Windows 10 en Windows Virtual Desktop lanzado en disponibilidad general
- Recomendaciones para habilitar Azure Defender para DNS y Resource Manager (en versión preliminar)
- Se han agregado tres estándares de cumplimiento normativo: Azure CIS 1.3.0, CMMC Nivel 3 e ISM restringido de Nueva Zelanda
- Cuatro nuevas recomendaciones relacionadas con la configuración de invitado (en versión preliminar)
- Recomendaciones de CMK trasladadas al control de seguridad de procedimientos recomendados
- Once alertas de Azure Defender se han puesto en desuso
- Dos recomendaciones del control de seguridad "Aplicar actualizaciones del sistema" entraron en desuso.
- Azure Defender para SQL en el icono de la máquina se ha eliminado del panel de Azure Defender
- Recomendaciones se movieron entre controles de seguridad
Actualización de la página de estado de recursos (en versión preliminar)
El estado del recurso se ha ampliado y mejorado para proporcionar una vista de instantánea del estado general de un recurso individual.
Puede revisar información detallada sobre el recurso y todas las recomendaciones que se aplican a ese recurso. Además, si usa los planes de protección avanzados de Microsoft Defender, también puede ver alertas de seguridad pendientes para ese recurso específico.
Para abrir la página de mantenimiento de un recurso, seleccione cualquier recurso en la página de inventario de recursos.
En esta página de vista previa del portal de Security Center se muestra lo siguiente:
- Información sobre los recursos: el grupo de recursos y la suscripción a la que está asociado, la ubicación geográfica, etc.
- Característica de seguridad aplicada: muestra si Azure Defender está habilitado para el recurso o no.
- Recuentos de recomendaciones y alertas pendientes: el número de recomendaciones de seguridad y alertas pendientes de Azure Defender.
- Recomendaciones y alertas prácticas: en dos pestañas se incluyen las recomendaciones y alertas que son aplicables al recurso.
Obtenga más información en Tutorial: Investigación del estado de los recursos.
Las imágenes del registro de contenedor que se han extraído recientemente ahora se vuelven a examinar semanalmente (lanzado en disponibilidad general)
Azure Defender para registros de contenedor incluye un analizador de vulnerabilidades integrado. Este analizador examina inmediatamente cualquier imagen que se inserte en el registro y cualquier imagen que se haya extraído en los últimos 30 días.
Cada día se detectan nuevas vulnerabilidades. Con esta actualización, las imágenes de contenedor que fueron extraídas de los registros durante los últimos 30 días se volverán a examinar cada semana. Esto garantiza que se identifiquen las vulnerabilidades recién detectadas en las imágenes.
El examen se cobra por imagen, por lo que no hay ningún cargo adicional por estos nuevos exámenes.
Más información sobre este analizador en Uso de Azure Defender para registros de contenedor para examinar las imágenes en busca de vulnerabilidades.
Uso de Azure Defender para Kubernetes para proteger implementaciones de Kubernetes híbridas y de varias nubes (versión preliminar)
Azure Defender para Kubernetes está expandiendo sus funcionalidades de protección contra amenazas para defender los clústeres dondequiera que estén implementados. Esto se ha habilitado mediante la integración con Kubernetes habilitado para Azure Arc y sus nuevas funcionalidades de extensiones.
Una vez habilitado Azure Arc en los clústeres de Kubernetes que no son de Azure, una nueva recomendación de Azure Security Center le ofrecerá la implementación del agente de Azure Defender en ellos en tan solo unos clics.
Use la recomendación (los clústeres de Kubernetes habilitados para Azure Arc deben tener instalada la extensión de Azure Defender) y la extensión para proteger los clústeres de Kubernetes implementados en otros proveedores de nube, aunque no en los servicios de Kubernetes administrado.
Esta integración entre Azure Security Center, Azure Defender y Kubernetes habilitado para Azure Arc ofrece:
- Aprovisionamiento sencillo del agente de Azure Defender en clústeres de Kubernetes habilitados para Azure Arc sin protección (manualmente y a escala)
- Supervisión del agente de Azure Defender y su estado de aprovisionamiento desde el portal de Azure Arc
- Las recomendaciones de seguridad de Security Center se muestran en la nueva página de seguridad del portal de Azure Arc.
- Las amenazas de seguridad identificadas de Azure Defender se muestran en la nueva página de seguridad del portal de Azure Arc.
- Los clústeres de Kubernetes habilitados para Azure Arc están integrados en la plataforma y la experiencia de Azure Security Center.
Puede encontrar más información en Uso de Azure Defender para Kubernetes con los clústeres de Kubernetes locales y de varias nubes.
La integración de Microsoft Defender para punto de conexión con Azure Defender ahora es compatible con Windows Server 2019 y Windows 10 en Windows Virtual Desktop lanzado en disponibilidad general
Microsoft Defender para punto de conexión es una solución integral de seguridad de punto de conexión que se entrega en la nube. Proporciona funciones de administración y evaluación de vulnerabilidades basadas en riesgos, así como de detección y respuesta de puntos de conexión (EDR). Para obtener una lista completa de las ventajas del uso de Defender para punto de conexión junto con Azure Security Center, consulte Proteja los puntos de conexión con la solución EDR integrada de Security Center: Microsoft Defender para punto de conexión.
Si se habilita Azure Defender para servidores en Windows Server, el plan incluye una licencia de Defender para punto de conexión. Si ya ha habilitado Azure Defender para servidores y tiene servidores Windows Server 2019 en la suscripción, los servidores recibirán automáticamente Defender para punto de conexión con esta actualización. No se requiere ninguna acción manual.
Ahora se ha ampliado la compatibilidad para incluir Windows Server 2019 y Windows 10 en Windows Virtual Desktop.
Nota:
Si va a habilitar Defender para punto de conexión en un servidor con Windows Server 2019, asegúrese de que cumple los requisitos previos descritos en Habilitación de la integración de Microsoft Defender para punto de conexión.
Recomendaciones para habilitar Azure Defender para DNS y Resource Manager (en versión preliminar)
Se han agregado dos nuevas recomendaciones para simplificar el proceso de habilitación de Azure Defender para Resource Manager y Azure Defender para DNS:
- Azure Defender para Resource Manager se debe habilitar: Defender para Resource Manager supervisa automáticamente las operaciones de administración de recursos de la organización. Azure Defender detecta amenazas y alerta sobre actividades sospechosas.
- Azure Defender para DNS se debe habilitar: Defender para DNS proporciona una capa adicional de protección para los recursos de la nube, ya que supervisa de forma ininterrumpida todas las consultas de DNS de los recursos de Azure. Azure Defender alerta sobre las actividades sospechosas en la capa de DNS.
La habilitación de los planes de Azure Defender conlleva cargos. Obtenga información sobre los detalles de los precios por región en la página de precios de Security Center.
Sugerencia
Las recomendaciones de la versión preliminar no representan un recurso incorrecto y no se incluyen en los cálculos de una puntuación segura. Corríjalas siempre que sea posible, de tal forma que, cuando finalice el período de versión preliminar, contribuyan a la puntuación. Puede encontrar más información sobre cómo responder a estas recomendaciones en Recomendaciones de corrección en Azure Security Center.
Se han agregado tres estándares de cumplimiento normativo: Azure CIS 1.3.0, CMMC Nivel 3 e ISM restringido de Nueva Zelanda
Hemos agregado tres estándares para su uso con Azure Security Center. Con el panel de cumplimiento normativo, ahora puede realizar un seguimiento del cumplimiento con:
Puede asignarlos a las suscripciones como se describe en Personalización del conjunto de estándares en el panel de cumplimiento normativo.
Puede encontrar más información en:
- Personalización del conjunto de estándares en el panel de cumplimiento normativo
- Tutorial: Mejora del cumplimiento normativo
- Tutorial: Mejora del cumplimiento normativo
Cuatro nuevas recomendaciones relacionadas con la configuración de invitado (en versión preliminar)
La extensión de configuración de invitado de Azure informa a Security Center para ayudar a garantizar la protección de la configuración de invitado de las máquinas virtuales. La extensión no es necesaria para los servidores habilitados para Arc porque está incluida en el agente Connected Machine de Arc. La extensión requiere una identidad administrada por el sistema en la máquina.
Hemos agregado cuatro nuevas recomendaciones a Security Center para sacar el máximo partido a esta extensión.
En dos recomendaciones se le pide que instale la extensión y su identidad administrada por el sistema requerida:
- La extensión "Configuración de invitado" debe estar instalada en las máquinas
- La extensión "Configuración de invitado" de las máquinas virtuales debe implementarse con una identidad administrada asignada por el sistema
Cuando la extensión esté instalada y en ejecución, empezará a auditar las máquinas y se le pedirá que refuerce la configuración del sistema operativo y del entorno. Estas dos recomendaciones le pedirán que proteja sus máquinas Windows y Linux como se describe a continuación:
- La Protección contra vulnerabilidades de seguridad de Windows Defender debe estar habilitada en las máquinas.
- La autenticación en máquinas Linux debe requerir claves SSH.
Puede encontrar más información en Información sobre Guest Configuration de Azure Policy.
Recomendaciones de CMK trasladadas al control de seguridad de procedimientos recomendados
El programa de seguridad de cada organización incluye requisitos de cifrado de datos. De manera predeterminada, los datos de los clientes de Azure se cifran en reposo con claves administradas por el servicio. Sin embargo, las claves administradas por el cliente (CMK) suelen ser necesarias para cumplir estándares de cumplimiento normativo. Las CMK permiten cifrar los datos con una clave de Azure Key Vault creada por el usuario y propiedad de este. Esto le da control y responsabilidad total sobre el ciclo de vida de la clave, incluidas la rotación y la administración.
Los controles de seguridad de Azure Security Center son grupos lógicos de recomendaciones de seguridad relacionadas y reflejan las superficies de ataque vulnerables. Cada control tiene un número máximo de puntos que puede sumar a la puntuación de seguridad si corrige todas las recomendaciones enumeradas en el control para todos los recursos. El control de seguridad Implementar procedimientos recomendados de seguridad vale cero puntos. Por lo tanto, las recomendaciones de este control no afectan a la puntuación de seguridad.
Las recomendaciones que se enumeran a continuación se trasladan al control de seguridad Implementar procedimientos recomendados de seguridad para reflejar mejor su naturaleza opcional. Este traslado garantiza que cada una de estas recomendaciones está en el control más adecuado para cumplir su objetivo.
- Las cuentas de Azure Cosmos DB deben usar claves administradas por el cliente para cifrar los datos en reposo
- Las áreas de trabajo de Azure Machine Learning deben cifrarse con una clave administrada por el cliente (CMK).
- Las cuentas de servicios Azure AI deben habilitar el cifrado de datos con una clave gestionada por el cliente (CMK)
- Las instancias de Container Registry se deben cifrar con una clave administrada por el cliente (CMK)
- Las instancias administradas de SQL deben usar claves administradas por el cliente para cifrar los datos en reposo
- Los servidores SQL deben usar claves administradas por el cliente para cifrar los datos en reposo
- Las cuentas de almacenamiento deben usar claves administradas por el cliente (CMK) para el cifrado
Obtenga información sobre qué recomendaciones se encuentran en cada control de seguridad en Controles de seguridad y sus recomendaciones.
11 alertas de Azure Defender se han puesto en desuso.
Las once alertas de Azure Defender que se enumeran a continuación han quedado en desuso.
Las nuevas alertas reemplazarán estas dos y proporcionarán una mejor cobertura:
AlertType AlertDisplayName ARM_MicroBurstDomainInfo VERSIÓN PRELIMINAR: Se detectó la ejecución de la función "Get-AzureDomainInfo" del kit de herramientas de MicroBurst. ARM_MicroBurstRunbook VERSIÓN PRELIMINAR: Se detectó la ejecución de la función "Get-AzurePasswords" del kit de herramientas de MicroBurst. Estas nueve alertas se refieren a un conector de Azure Active Directory Identity Protection (IPC) que ya está en desuso:
AlertType AlertDisplayName UnfamiliarLocation Propiedades de inicio de sesión desconocidas AnonymousLogin Dirección IP anónima InfectedDeviceLogin Dirección IP vinculada al malware ImpossibleTravel Viaje atípico MaliciousIP Dirección IP malintencionada LeakedCredentials Credenciales con fugas PasswordSpray Difusión de contraseñas LeakedCredentials Inteligencia de Azure AD sobre amenazas AADAI IA de Azure AD Sugerencia
Estas nueve alertas de IPC nunca fueron alertas de Security Center. Forman parte del conector de Azure Active Directory Identity Protection que las envía a Security Center. Durante los últimos dos años, los únicos clientes que han estado viendo esas alertas son las organizaciones que han configurado la exportación (del conector a ASC) en 2019 o versiones anteriores. El conector de Azure Active Directory Identity Protection ha continuado mostrando sus propios sistemas de alertas y ha continuado estando disponible en Azure Sentinel. El único cambio es que ya no aparecen en Security Center.
Dos recomendaciones del control de seguridad "Aplicar actualizaciones del sistema" entraron en desuso.
Las dos recomendaciones siguientes estaban en desuso y los cambios pueden dar lugar a un leve impacto en la puntuación de seguridad:
- Las máquinas deben reiniciarse para aplicar las actualizaciones del sistema
- El agente de supervisión debe instalarse en las máquinas. Esta recomendación solo está relacionada con máquinas locales y parte de su lógica se transferirá a otra recomendación, Se deben resolver los problemas de estado del agente de Log Analytics en las máquinas.
Se recomienda comprobar las configuraciones de exportación continua y de automatización del flujo de trabajo para ver si estas recomendaciones están incluidas en ellas. Además, los paneles u otras herramientas de supervisión que puedan estar usándolas se deben actualizar en consecuencia.
Más información sobre estas recomendaciones en la página de referencia de las recomendaciones de seguridad.
Azure Defender para SQL en el icono de la máquina se ha eliminado del panel de Azure Defender
El área de cobertura del panel de Azure Defender incluye iconos para los planes de Azure Defender pertinentes para su entorno. Debido a un problema con los informes de los números de recursos protegidos y no protegidos, hemos decidido quitar temporalmente el estado de cobertura de recursos para Azure Defender para SQL en las máquinas hasta que se resuelva el problema.
Recomendaciones movidos entre controles de seguridad
Las siguientes recomendaciones se han trasladado a otros controles de seguridad. Los controles de seguridad son grupos lógicos de recomendaciones de seguridad relacionadas y reflejan las superficies de ataque vulnerables. Este traslado garantiza que cada una de estas recomendaciones está en el control más adecuado para cumplir su objetivo.
Obtenga información sobre qué recomendaciones se encuentran en cada control de seguridad en Controles de seguridad y sus recomendaciones.
| Recomendación | Cambio e impacto |
|---|---|
| La evaluación de vulnerabilidades debe estar activada en sus servidores de SQL Server. La evaluación de vulnerabilidad debe estar habilitada en las instancias administradas de SQL. Las vulnerabilidades de sus bases de datos SQL deben remediarse ahora Las vulnerabilidades de las bases de datos SQL en máquinas virtuales deben corregirse |
Cambia de Corregir vulnerabilidades (con un valor de seis puntos) a Corregir configuraciones de seguridad (con un valor de cuatro puntos). En función del entorno, estas recomendaciones tendrán menor impacto en la puntuación. |
| Debe haber más de un propietario asignado a su suscripción Las variables de cuenta de automatización deben cifrarse Dispositivos IoT: el proceso auditado dejó de enviar eventos. Dispositivos IoT: error de validación de línea base del sistema operativo Dispositivos IoT: es preciso actualizar el conjunto de cifrado de TLS. Dispositivos IoT: puertos abiertos en el dispositivo. Dispositivos IoT: se encontró una directiva de firewall permisiva en una de las cadenas. Dispositivos IoT: se encontró una regla de firewall permisiva en la cadena de entrada. Dispositivos IoT: se encontró una regla de firewall permisiva en la cadena de salida. Los registros de diagnóstico de IoT Hub deben estar habilitados Dispositivos IoT: mensajes infrautilizados de envío del agente. Dispositivos IoT: la directiva de filtro de IP predeterminada debe ser Denegar. Dispositivos IoT: intervalo de IP amplio de la regla del filtro de IP. Dispositivos IoT: se deben ajustar tanto el tamaño como los intervalos de los mensajes de los agentes Dispositivos IoT: credenciales de autenticación idénticas Dispositivos IoT: el proceso auditado dejó de enviar eventos. Dispositivos IoT: la configuración de la línea base del sistema operativo (SO) debe corregirse |
Cambia a Implementación de procedimientos recomendados de seguridad. Cuando una recomendación pasa al control de seguridad Implementar prácticas recomendadas de seguridad, que no vale ningún punto, la recomendación deja de afectar a la puntuación segura. |
Marzo de 2021
Las actualizaciones de marzo incluyen:
- Administración de Azure Firewall integrada en Security Center
- La evaluación de vulnerabilidades de SQL ahora incluye la experiencia "Deshabilitación de regla" (versión preliminar)
- Se integran en Security Center los libros de Azure Monitor y se proporcionan tres plantillas
- El panel de cumplimiento normativo ahora incluye informes de auditoría de Azure (versión preliminar)
- Los datos de recomendaciones se pueden ver en Azure Resource Graph con "Explore in ARG" (Explorar en ARG)
- Actualizaciones en las directivas para implementar la automatización de flujos de trabajo
- Dos recomendaciones heredadas dejan de escribir datos directamente en el registro de actividad de Azure
- Mejoras de la página de recomendaciones
Administración de Azure Firewall integrada en Security Center
Al abrir Azure Security Center, la primera página que aparece es la página de información general.
Este panel interactivo proporciona una vista unificada de la posición de seguridad de las cargas de trabajo de la nube híbrida. Además, muestra alertas de seguridad, información de cobertura y mucho más.
Para ayudarle a ver el estado de seguridad desde una experiencia central, hemos integrado Azure Firewall Manager en este panel. Ahora puede comprobar el estado de cobertura del firewall en todas las redes y administrar de forma centralizada las directivas de Azure Firewall desde Security Center.
Obtenga más información sobre este panel en Página de información general de Azure Security Center.
La evaluación de vulnerabilidades de SQL ahora incluye la experiencia "Deshabilitación de regla" (versión preliminar)
Security Center incluye un detector de vulnerabilidades integrado para ayudarle a detectar, realizar un seguimiento y corregir posibles vulnerabilidades de la base de datos. Los resultados de los exámenes de evaluación proporcionan información general sobre el estado de seguridad de las máquinas SQL y detalles de las conclusiones sobre seguridad.
Si tiene una necesidad organizativa de omitir un resultado, en lugar de corregirlo, tiene la opción de deshabilitarlo. Los resultados deshabilitados no afectan a la puntuación de seguridad ni generan ruido no deseado.
Obtenga más información en Deshabilitación de resultados específicos.
Se integran en Security Center los libros de Azure Monitor y se proporcionan tres plantillas
En la conferencia Ignite de primavera de 2021, anunciamos la integración de los libros de Azure Monitor en Security Center.
Puede utilizar la nueva integración para empezar a usar las plantillas predefinidas de la galería de Security Center. Con las plantillas de libro, puede acceder y crear informes visuales y dinámicos para realizar un seguimiento de la posición de seguridad de su organización. Además, puede crear nuevos libros basados en los datos de Security Center o en cualquier otro tipo de datos admitido e implementar rápidamente libros de comunidad desde la comunidad de GitHub de Security Center.
Se proporcionan tres plantillas de informe:
- Puntuación de seguridad a lo largo del tiempo: puede realizar el seguimiento de las puntuaciones de las suscripciones y de los cambios en las recomendaciones sobre sus recursos.
- Actualizaciones del sistema: puede ver las actualizaciones del sistema que faltan por recursos, sistema operativo, gravedad, etc.
- Conclusiones de la evaluación de vulnerabilidad: puede ver los resultados de los exámenes de vulnerabilidades de los recursos de Azure.
Obtenga información sobre el uso de estos informes o sobre la creación de sus propios informes en Creación de informes enriquecidos e interactivos con los datos de Security Center.
El panel de cumplimiento normativo ahora incluye informes de auditoría de Azure (versión preliminar)
Ahora puede descargar informes de certificación de Azure y Dynamics desde la barra de herramientas del panel de cumplimiento normativo.
Puede seleccionar la pestaña correspondiente a cada tipo de informe pertinente (PCI, SOC, ISO y otros) y usar filtros para buscar los informes específicos que necesita.
Más información sobre cómo administrar los estándares en el panel de cumplimiento normativo.
Los datos de recomendaciones se pueden ver en Azure Resource Graph con "Explore in ARG" (Explorar en ARG)
Ahora, las páginas de detalles de la recomendación incluyen el botón de la barra de herramientas "Explore in ARG" (Explorar en ARG). Utilice este botón para abrir una consulta de Azure Resource Graph y explorar, exportar y compartir los datos de la recomendación.
Azure Resource Graph (ARG) proporciona acceso instantáneo a la información de los recursos en los entornos en la nube con funcionalidades sólidas para filtrar, agrupar y ordenar. Es una forma rápida y eficaz de consultar información en las suscripciones de Azure mediante programación o desde Azure Portal.
Más información sobre Azure Resource Graph (ARG).
Actualizaciones en las directivas para implementar la automatización de flujos de trabajo
La automatización de los procesos de supervisión y respuesta ante incidentes de la organización puede mejorar considerablemente el tiempo necesario para investigar y mitigar los incidentes de seguridad.
Proporcionamos tres directivas "DeployIfNotExist" de Azure Policy que crean y configuran procedimientos de automatización de flujos de trabajo para que pueda implementar sus automatizaciones en toda la organización:
| Objetivo | Directiva | Id. de directiva |
|---|---|---|
| Automatización de flujos de trabajo para alertas de seguridad | Implementar la automatización del flujo de trabajo para las alertas de Azure Security Center | f1525828-9a90-4fcf-be48-268cdd02361e |
| Automatización de flujos de trabajo para recomendaciones de seguridad | Implementar la automatización del área de trabajo para las recomendaciones de Azure Security Center | 73d6ab6c-2475-4850-afd6-43795f3492ef |
| Automatización de flujos de trabajo para cambios de cumplimiento normativo | Implementación de la automatización del flujo de trabajo para el cumplimiento normativo de Azure Security Center | 509122b9-ddd9-47ba-a5f1-d0dac20be63c |
Hay dos novedades en las características de estas directivas:
- Cuando se asignan, permanecen habilitadas por cumplimiento.
- Ahora puede personalizar estas directivas y actualizar cualquiera de sus parámetros incluso después de que se hayan implementado. Por ejemplo, puede agregar o editar una clave de evaluación.
Empiece a usar las plantillas de automatización de flujos de trabajo.
Puede obtener más información en Automatización de respuestas a desencadenadores de Security Center.
Dos recomendaciones heredadas dejan de escribir datos directamente en el registro de actividad de Azure
Security Center pasa los datos de casi todas las recomendaciones de seguridad a Azure Advisor que, a su vez, los escribe en el registro de actividad de Azure.
Para dos recomendaciones, los datos se escriben de forma simultánea directamente en el registro de actividad de Azure. Con este cambio, Security Center deja de escribir datos para estas recomendaciones de seguridad heredadas directamente en el registro de actividad. En su lugar, exportamos los datos a Azure Advisor como hacemos para las restantes recomendaciones.
Las dos recomendaciones heredadas son:
- Los problemas de estado de protección de puntos de conexión se deben resolver en las máquinas
- Se deben corregir las vulnerabilidades en la configuración de seguridad en las máquinas
Si ha accedido a la información de estas dos recomendaciones en la categoría "Recomendación de tipo TaskDiscovery" del registro de actividad, ya no estará disponible.
Mejoras de la página recomendaciones
Hemos lanzado una versión mejorada de la lista de recomendaciones para presentar más información que se pueda consultar de un vistazo.
Ahora, en la página verá:
- La puntuación máxima y la puntuación actual de cada control de seguridad.
- Hay iconos que reemplazan etiquetas como Corrección y Versión preliminar.
- Una columna nueva que muestra la iniciativa de directiva relacionada con cada recomendación: se puede ver cuando "Agrupar por controles" está deshabilitado.
Más información en Recomendaciones de seguridad en el Centro de seguridad de Azure
Febrero de 2021
Las actualizaciones de febrero incluyen:
- La nueva página de alertas de seguridad de Azure Portal se ha publicado con disponibilidad general (GA)
- Las recomendaciones de protección de la carga de trabajo de Kubernetes se han publicado con disponibilidad general (GA)
- La integración de Microsoft Defender para punto de conexión con Azure Defender ahora es compatible con Windows Server 2019 y Windows 10 en Windows Virtual Desktop (en versión preliminar)
- Vínculo directo a la directiva desde la página de detalles de la recomendación
- La recomendación de clasificación de datos SQL ya no afecta a la puntuación segura
- Las automatizaciones de los flujos de trabajo se pueden desencadenar mediante cambios en las evaluaciones de cumplimiento normativo (versión preliminar)
- Mejoras en la página de inventario de recursos
La nueva página de alertas de seguridad de Azure Portal se ha publicado con disponibilidad general (GA)
La página de alertas de seguridad de Azure Security Center se rediseñó para proporcionar:
- Mejora en la evaluación de prioridades en las alertas: ahora es más fácil ayudar a reducir la fatiga de las alertas y centrarse en las amenazas más importantes, la lista incluye filtros personalizables y opciones de agrupación.
- Más información en la lista de alertas: por ejemplo las tácticas ATT y ACK de MITRE.
- Botón para crear alertas de ejemplo: para evaluar las funcionalidades de Azure Defender y probar la configuración de las alertas (para la integración de SIEM, las notificaciones por correo electrónico y las automatizaciones de los flujos de trabajo), puede crear alertas de ejemplo desde todos los planes de Azure Defender.
- Alineación con la experiencia de incidentes de Azure Sentinel: para los clientes que usan ambos productos, cambiar entre ellos ahora es más sencillo y es fácil que uno aprenda del otro.
- Mejor rendimiento de listas de alertas grandes.
- Desplazamiento mediante el teclado a través de la lista de alertas.
- Alertas de Azure Resource Graph: puede consultar las alertas en Azure Resource Graph, la API similar a Kusto para todos los recursos. Esto también resulta útil si va a crear sus propios paneles de alertas. Más información sobre Azure Resource Graph.
- Característica Crear alertas de ejemplo: para crear alertas de ejemplo en la nueva experiencia de alertas, consulte el apartado Generación de alertas de ejemplo de Azure Defender.
Las recomendaciones de protección de la carga de trabajo de Kubernetes se han publicado con disponibilidad general (GA)
Nos complace anunciar la disponibilidad general (GA) del conjunto de recomendaciones para las protecciones de la carga de trabajo de Kubernetes.
Para que las cargas de trabajo de Kubernetes sean seguras de forma predeterminada, Security Center ha agregado recomendaciones de protección de nivel de Kubernetes, incluidas opciones de cumplimiento con el control de admisión de Kubernetes.
Cuando Azure Policy para Kubernetes está instalado en el clúster de Azure Kubernetes Service (AKS), todas las solicitudes al servidor de la API de Kubernetes se supervisarán contra el conjunto predefinido de procedimientos recomendados (que aparecen en forma de 13 recomendaciones de seguridad) antes de guardarse en el clúster. Después, puede realizar la configurar para aplicar los procedimientos recomendados y exigirlos para futuras cargas de trabajo.
Por ejemplo, puede exigir que no se creen los contenedores con privilegios y que se bloqueen las solicitudes futuras para este fin.
Más información en Procedimientos recomendados de protección de cargas de trabajo con el control de admisión de Kubernetes
Nota
Aunque las recomendaciones estaban en versión preliminar, no representaban los recursos de clúster de AKS en mal estado y no se incluían en los cálculos de la puntuación segura. Con este anuncio de disponibilidad general, se incluirán en el cálculo de puntuaciones. Si aún no ha hecho nada al respecto, esto podría afectar negativamente a su puntuación segura. Corríjalas siempre que sea posible como se describe en Recomendaciones de corrección en Azure Security Center.
La integración de Microsoft Defender para punto de conexión con Azure Defender ahora es compatible con Windows Server 2019 y Windows 10 en Windows Virtual Desktop (en versión preliminar)
Microsoft Defender para punto de conexión es una solución integral de seguridad de punto de conexión que se entrega en la nube. Proporciona funciones de administración y evaluación de vulnerabilidades basadas en riesgos, así como de detección y respuesta de puntos de conexión (EDR). Para obtener una lista completa de las ventajas del uso de Defender para punto de conexión junto con Azure Security Center, consulte Proteja los puntos de conexión con la solución EDR integrada de Security Center: Microsoft Defender para punto de conexión.
Si se habilita Azure Defender para servidores en Windows Server, el plan incluye una licencia de Defender para punto de conexión. Si ya ha habilitado Azure Defender para servidores y tiene servidores Windows Server 2019 en la suscripción, los servidores recibirán automáticamente Defender para punto de conexión con esta actualización. No se requiere ninguna acción manual.
Ahora se ha ampliado la compatibilidad para incluir Windows Server 2019 y Windows 10 en Windows Virtual Desktop.
Nota:
Si va a habilitar Defender para punto de conexión en un servidor con Windows Server 2019, asegúrese de que cumple los requisitos previos descritos en Habilitación de la integración de Microsoft Defender para punto de conexión.
Vínculo directo a la directiva desde la página de detalles de la recomendación
Cuando se revisan los detalles de una recomendación, a menudo resulta útil poder ver la directiva subyacente. Para cada recomendación admitida en una directiva, hay un vínculo nuevo en la página de detalles de la recomendación:
Use este vínculo para ver la definición de directiva y revisar la lógica de evaluación.
Si va a revisar la lista de recomendaciones de la guía de referencia de recomendaciones de seguridad, también verá vínculos a las páginas de definición de directiva:
La recomendación de clasificación de datos SQL ya no afecta a la puntuación segura
La recomendación Los datos confidenciales de las bases de datos SQL deben clasificarse ya no afecta a la puntuación segura. El control de seguridad Aplicar clasificación de datos que lo contiene ahora tiene un valor de puntuación segura de 0.
Para obtener una lista completa de todos los controles de seguridad, junto con sus puntuaciones y una lista de las recomendaciones de cada uno, consulte Controles de seguridad y sus recomendaciones.
Las automatizaciones de los flujos de trabajo se pueden desencadenar mediante cambios en las evaluaciones de cumplimiento normativo (versión preliminar)
Hemos agregado un tercer tipo de datos a las opciones del desencadenador para las automatizaciones del flujo de trabajo: cambios en las evaluaciones de cumplimiento normativo.
Aprenda a usar las herramientas de automatización del flujo de trabajo en Automatización de respuestas a desencadenadores de Security Center.
Mejoras en la página de inventario de recursos
Se ha mejorado la página de inventario de activos de Security Center:
Los resúmenes de la parte superior de la página ahora incluyen suscripciones no registradas, que muestran el número de suscripciones sin Security Center habilitado.
Se han expandido y mejorado los filtros, que incluyen:
Recuentos: cada filtro presenta el número de recursos que cumplen los criterios de cada categoría.
Contiene filtro de exenciones (opcional): restrinja los resultados a los recursos que tienen o no tienen exenciones. Este filtro no se muestra de forma predeterminada, pero se puede acceder a él el botón Agregar filtro.
Más información sobre los procedimientos para explorar y administrar los recursos con el inventario de recursos.
Enero de 2021
Las actualizaciones de enero incluyen:
- Azure Security Benchmark es ahora la iniciativa de directivas predeterminada para Azure Security Center
- Ya está disponible con carácter general (GA) la evaluación de vulnerabilidades tanto para máquinas locales como para las que se encuentran en varias nubes
- Puntuación segura para grupos de administración ya está disponible en versión preliminar
- La API de Puntuación segura se ha publicado en disponibilidad general (GA)
- Las protecciones de DNS pendientes se han agregado a Azure Defender para App Service
- Ya están disponibles con carácter general (GA) los conectores de varias nubes
- Exclusión de recomendaciones completas de su puntuación segura para suscripciones y grupos de administración
- Los usuarios ya pueden solicitar visibilidad en todo el inquilino de su administrador global
- Se han agregado 35 recomendaciones en versión preliminar para aumentar la cobertura de Azure Security Benchmark.
- Exportación de CSV de una lista filtrada de recomendaciones
- Los recursos en estado "No aplicable" ahora se notifican como "Compatible" en las valoraciones de Azure Policy
- Exportación de instantáneas semanales de datos de cumplimiento normativo y puntuación segura con exportación continua (versión preliminar)
Azure Security Benchmark es ahora la iniciativa de directivas predeterminada para Azure Security Center
Azure Security Benchmark es el conjunto de directrices específico de Azure creado por Microsoft para ofrecer los procedimientos recomendados de seguridad y cumplimiento basados en marcos de cumplimiento comunes. Este punto de referencia, que cuenta con un amplísimo respaldo, se basa en los controles del Centro de seguridad de Internet (CIS) y del Instituto Nacional de Normas y Tecnología (NIST), con un enfoque en seguridad centrada en la nube.
En los últimos meses, la lista de recomendaciones de seguridad integradas de Security Center ha crecido considerablemente para ampliar la cobertura de este punto de referencia.
A partir de esta versión, el punto de referencia es la base de las recomendaciones de Security Center y está totalmente integrado como iniciativa de directivas predeterminada.
Todos los servicios de Azure tienen una página de línea base de seguridad en su documentación. Estas líneas base se basan en el Azure Security Benchmark.
Si usa el panel de cumplimiento normativo de Security Center, verá dos instancias del punto de referencia durante un período de transición:
Las recomendaciones existentes no se ven afectadas y a medida que crezca el punto de referencia, los cambios se reflejarán automáticamente en Security Center.
Para más información, consulte las páginas siguientes:
- Más información sobre Azure Security Benchmark
- Personalización del conjunto de estándares en el panel de cumplimiento normativo
Ya está disponible con carácter general (GA) la evaluación de vulnerabilidades tanto para máquinas locales como para las que se encuentran en varias nubes
En octubre, se anunció una versión preliminar para examinar servidores habilitados para Azure Arc con el analizador de evaluación de vulnerabilidades integrado de Azure Defender para servidores (con tecnología de Qualys).
Ahora se ha publicado con disponibilidad general (GA).
Al habilitar Azure Arc en máquinas que no son de Azure, Security Center le ofrecerá la opción de implementar en ellas el analizador de vulnerabilidades integrado, manualmente y a escala.
Con esta actualización, puede aprovechar toda la capacidad de Azure Defender para servidores para consolidar su programa de administración de vulnerabilidades en todos sus recursos, tanto si son de Azure como si no.
Principales funcionalidades:
- Supervisión del estado de aprovisionamiento del analizador de evaluación de vulnerabilidades en máquinas de Azure Arc.
- Aprovisionamiento del agente de evaluación de vulnerabilidades integrado en máquinas de Azure Arc Windows y Linux (manualmente y a escala).
- Recepción y análisis de vulnerabilidades detectadas por agentes implementados (manualmente y a escala).
- Experiencia unificada para máquinas virtuales de Azure y máquinas de Azure Arc.
Más información sobre los servidores habilitados para Azure Arc.
Puntuación segura para grupos de administración ya está disponible en versión preliminar
La página de puntuación segura ahora muestra las puntuaciones seguras agregadas para los grupos de administración, además del nivel de suscripción. Por consiguiente, ahora puede ver la lista de grupos de administración de la organización y la puntuación de cada uno de ellos.
Obtenga más información sobre la puntuación segura y los controles de seguridad en Azure Security Center.
La API de Puntuación segura se ha publicado en disponibilidad general (GA)
Ahora puede acceder a la puntuación a través de la API de puntuación segura. Los métodos de API proporcionan la flexibilidad necesaria para consultar los datos y crear su propio mecanismo de creación de informes de las puntuaciones seguras a lo largo del tiempo. Por ejemplo:
- use la API Secure Scores para obtener la puntuación de una suscripción específica.
- use la API Secure Score Controls para mostrar los controles de seguridad y la puntuación actual de las suscripciones.
Conozca las herramientas externas que son posibles gracias a la API de puntuación segura en el área de puntuación segura de la comunidad de GitHub.
Obtenga más información sobre la puntuación segura y los controles de seguridad en Azure Security Center.
Las protecciones de DNS pendientes se han agregado a Azure Defender para App Service
Las adquisiciones de subdominios son una amenaza muy grave que se producen de forma común en las organizaciones. Una adquisición de subdominio puede producirse cuando se tiene un registro DNS que apunta a un sitio web desaprovisionado. Estos registros DNS también se conocen como entradas "DNS pendientes". Los registros CNAME son especialmente vulnerables a esta amenaza.
Las adquisiciones de subdominios permiten a los actores de las amenazas redirigir el tráfico destinado al dominio de una organización a un sitio que realiza una actividad malintencionada.
Azure Defender para App Service ahora detecta las entradas DNS pendientes cuando se retira un sitio web de App Service. Este es el momento en el que la entrada DNS apunta a un recurso que no existe y el sitio web es vulnerable a una adquisición de subdominios. Estas protecciones están disponibles tanto si los dominios se administran con Azure DNS como con un registrador de dominios externo y se aplican a App Service en Windows y en Linux.
Más información:
- Tabla de referencia de alertas de App Service: incluye dos nuevas alertas de Azure Defender que se desencadenan cuando se detecta una entrada DNS pendiente
- Evitar las entradas DNS pendientes y evitar la adquisición de subdominios: obtenga información sobre la amenaza de la adquisición de subdominios y el aspecto de los DNS pendientes
- Introducción a Azure Defender para App Service
Ya están disponibles con carácter general (GA) los conectores de varias nubes
Las cargas de trabajo de nube abarcan normalmente varias plataformas de nube, por lo que los servicios de seguridad de la nube deben hacer lo mismo.
Azure Security Center protege las cargas de trabajo de Azure, Amazon Web Services (AWS) y Google Cloud Platform (GCP).
La conexión de los proyectos de AWS o GCP integra sus herramientas de seguridad nativas, como AWS Security Hub y GCP Security Center, en Azure Security Center.
Esta capacidad significa que Security Center proporciona visibilidad y protección en los principales entornos de nube. Algunas de las ventajas de esta integración son:
- Aprovisionamiento automático de agentes (Security Center usa Azure Arc para implementar el agente de Log Analytics en las instancias de AWS)
- Administración de directivas
- Administración de vulnerabilidades
- Detección y respuesta de puntos de conexión (EDR) integrados
- Detección de errores de configuración de seguridad
- Una vista única que muestra recomendaciones de seguridad de todos los proveedores de nube
- Incorporación de todos los recursos a los cálculos de puntuación segura de Security Center
- Evaluaciones de cumplimiento normativo de los recursos de AWS y GCP
En el menú de Defender for Cloud, seleccione Multicloud connectors y verá las opciones para crear conectores:
Puede encontrar más información en:
- Conexión de las cuentas de AWS a Azure Security Center
- Conexión de los proyectos de GCP a Azure Security Center
Exclusión de recomendaciones completas de su puntuación segura para suscripciones y grupos de administración
Estamos ampliando la capacidad de exención para incluir recomendaciones completas. Proporcionar más opciones para ajustar las recomendaciones de seguridad que Security Center realiza para las suscripciones, el grupo de administración o los recursos.
En ocasiones, un recurso se mostrará como incorrecto cuando se sepa que el problema se ha resuelto mediante una herramienta de terceros que Security Center no ha detectado. O bien se mostrará una recomendación en un ámbito al que cree que no pertenece. La recomendación podría no ser adecuada para una suscripción concreta. O quizás la organización ha decidido aceptar los riesgos relacionados con la recomendación o el recurso específicos.
Con esta característica en vista previa (GB), ahora puede crear una exención para que una recomendación:
Excluya un recurso para asegurarse de que no aparezca con los recursos incorrectos en el futuro y no afecte a la puntuación de seguridad. El recurso se mostrará como no aplicable y el motivo aparecerá como "exento" con la justificación específica que seleccione.
Excluir una suscripción o un grupo de administración para asegurarse de que la recomendación no afecte a la puntuación de seguridad y no que no se muestre para la suscripción o el grupo de administración en el futuro. Esto se refiere a los recursos existentes y cualquiera que cree en el futuro. La recomendación se marcará con la justificación específica que seleccione para el ámbito que ha seleccionado.
Puede obtener más información en Exención de recursos y recomendaciones de la puntuación de seguridad.
Los usuarios ya pueden solicitar visibilidad en todo el inquilino de su administrador global
Si algún usuario no tiene los permisos necesarios para ver los datos de Security Center, ahora verá un vínculo para solicitar permisos al administrador global de su organización. La solicitud incluye el rol que desean y la justificación de por qué es necesario.
Para más información, consulte Solicitud de permisos para todo el inquilino cuando el suyo sea insuficiente.
Se han agregado 35 recomendaciones en versión preliminar para aumentar la cobertura de Azure Security Benchmark.
Azure Security Benchmark es la iniciativa de directivas predeterminada de Azure Security Center.
Para aumentar la cobertura del punto de referencia se han agregado a Security Center las siguientes 35 recomendaciones en versión preliminar.
Sugerencia
Las recomendaciones de la versión preliminar no representan un recurso incorrecto y no se incluyen en los cálculos de una puntuación segura. Corríjalas siempre que sea posible, de tal forma que, cuando finalice el período de versión preliminar, contribuyan a la puntuación. Puede encontrar más información sobre cómo responder a estas recomendaciones en Recomendaciones de corrección en Azure Security Center.
| Control de seguridad | Nuevas recomendaciones |
|---|---|
| Habilitación del cifrado de datos en reposo | - Las cuentas de Azure Cosmos DB deben usar claves administradas por el cliente para cifrar los datos en reposo. - Las áreas de trabajo de Azure Machine Learning deben cifrarse con una clave administrada por el cliente (CMK). - La protección de datos de Bring Your Own Key debe estar habilitada para los servidores MySQL. - La protección de datos de Bring Your Own Key debe estar habilitada para los servidores PostgreSQL. - Las cuentas de servicios Azure AI deben habilitar el cifrado de datos con una clave gestionada por el cliente (CMK) - Las instancias de Container Registry se deben cifrar con una clave administrada por el cliente (CMK). - Las instancias administradas de SQL deben usar claves administradas por el cliente para cifrar los datos en reposo. - Los servidores SQL deben usar claves administradas por el cliente para cifrar los datos en reposo. - Las cuentas de almacenamiento deben usar la clave administrada por el cliente (CMK) para el cifrado. |
| Implementación de procedimientos recomendados de seguridad | - Las suscripciones deben tener una dirección de correo electrónico de contacto para los problemas de seguridad. - El aprovisionamiento automático del agente de Log Analytics debe habilitarse en la suscripción - La opción para enviar notificaciones por correo electrónico para alertas de gravedad alta debe estar habilitada. - La opción para enviar notificaciones por correo electrónico al propietario de la suscripción en relación a alertas de gravedad alta debe estar habilitada. - Los almacenes de claves deben tener habilitada la protección contra operaciones de purga. - Los almacenes de claves deben tener habilitada la eliminación temporal. |
| Administración de acceso y permisos | - Las aplicaciones de funciones deben tener la opción "Certificados de cliente (certificados de cliente entrantes)" habilitada. |
| Protección de aplicaciones contra ataques DDoS | - Web Application Firewall (WAF) debe estar habilitado para Application Gateway. - Web Application Firewall [WAF] debe estar habilitado en el servicio Azure Front Door Service |
| Restricción de los accesos de red no autorizados | - El firewall debe estar habilitado en Key Vault. - Se debe configurar un punto de conexión privado para Key Vault. - App Configuration debe usar un vínculo privado. - Azure Cache for Redis debe residir en una red virtual. - Los dominios de Azure Event Grid deben usar un vínculo privado. - Los temas de Azure Event Grid deben usa un vínculo privado. - Las áreas de trabajo de Azure Machine Learning deben usar un vínculo privado. Azure SignalR Service debe usar un vínculo privado. - Azure Spring Cloud debe usar la inserción de red. -Las instancias de Container Registry no deben permitir el acceso de red sin restricciones. - Las instancias de Container Registry deben usar vínculo privado. -El acceso a redes públicas debe estar deshabilitado para los servidores de MariaDB. El acceso a las redes públicas debe estar deshabilitado para los servidores de MySQL - El acceso a redes públicas debe estar deshabilitado para los servidores de PostgreSQL. - La cuenta de almacenamiento debería utilizar una conexión de vínculo privado - Las cuentas de almacenamiento deben restringir el acceso a la red mediante el uso de reglas de red virtual. - Las plantillas de VM Image Builder deben usar un vínculo privado. |
Vínculos relacionados:
- Más información sobre Azure Security Benchmark
- Más información sobre Azure Database for MariaDB
- Más información sobre Azure Database for MySQL
- Más información sobre Azure Database for PostgreSQL
Exportación de CSV de una lista filtrada de recomendaciones
En noviembre de 2020, hemos agregado filtros a la página de recomendaciones (consulte La lista de recomendaciones ahora incluye filtros). En diciembre, hemos expandido esos filtros (La página Recomendaciones tiene nuevos filtros de entorno, gravedad y respuestas disponibles).
Con este anuncio, vamos a cambiar el comportamiento del botón Descargar como CSV para que la exportación de CSV solo incluya las recomendaciones que se muestran actualmente en la lista filtrada.
Por ejemplo, en la imagen siguiente puede ver que la lista se ha filtró a dos recomendaciones. El archivo CSV que se genera incluye los detalles de estado de cada recurso afectado por esas dos recomendaciones.
Más información en Recomendaciones de seguridad en el Centro de seguridad de Azure
Los recursos en estado "No aplicable" ahora se notifican como "Compatible" en las valoraciones de Azure Policy
Anteriormente, los recursos que se evaluaban para una recomendación y se detectaba que eran no aplicables aparecían en in Azure Policy como "No compatible". Ninguna acción del usuario podría cambiar su estado a "Compatible". Con este cambio, se notificarán como "Compatible" para aumentar la claridad.
El único impacto se verá en Azure Policy, donde el número de recursos compatibles aumentará. Esto no afectará a la puntuación de seguridad de Azure Security Center.
Exportación de instantáneas semanales de datos de cumplimiento normativo y puntuación segura con exportación continua (versión preliminar)
Hemos agregado una nueva característica en versión preliminar a las herramientas de exportación continua para exportar instantáneas semanales de datos de cumplimiento normativo y puntuación segura.
Al definir una exportación continua, establezca la frecuencia de exportación:
- Streaming: las evaluaciones se enviarán cuando se actualice el estado de mantenimiento de un recurso (si no se produce ninguna actualización, no se enviarán datos).
- Instantáneas: se enviará una instantánea del estado actual de todas las evaluaciones de cumplimiento normativo cada semana (se trata de una característica en versión preliminar para las instantáneas semanales de datos de cumplimiento normativo y puntuaciones seguras).
Puede encontrar más información sobre las funcionalidades completas de esta característica en Exportación continua de alertas y recomendaciones de seguridad.
Diciembre de 2020
Las actualizaciones de diciembre incluyen:
- Disponibilidad general de Azure Defender para servidores SQL Server en máquinas
- Compatibilidad de Azure Defender para SQL para el grupo de SQL dedicado de Azure Synapse Analytics disponible con carácter general
- Ahora, los administradores globales se pueden conceder a sí mismos permisos de nivel de inquilino
- Dos nuevos planes de Azure Defender: Azure Defender para DNS y Azure Defender para Resource Manager (en versión preliminar)
- Nueva página de alertas de seguridad en Azure Portal (versión preliminar)
- Experiencia de Security Center revitalizada en Azure SQL Database y SQL Managed Instance
- Se han actualizado las herramientas y filtros para el inventario de recursos
- La recomendación acerca de las aplicaciones web que solicitan certificados SSL ya no forma parte de la puntuación segura
- La página Recomendaciones tiene nuevos filtros de entorno, gravedad y respuestas disponibles
- La exportación continua obtiene nuevos tipos de datos y directivas deployifnotexist mejoradas
Disponibilidad general de Azure Defender para servidores SQL Server en máquinas
Azure Security Center ofrece dos planes de Azure Defender para servidores SQL Server:
- Azure Defender para servidores de bases de datos Azure SQL: defiende los servidores SQL Server nativos de Azure.
- Azure Defender para servidores SQL Server en máquinas: amplía las mismas protecciones a los servidores SQL Server en entornos híbridos, multinube y locales.
Con este anuncio, Azure Defender para SQL ahora protege las bases de datos y sus datos dondequiera que se encuentren.
Azure Defender para SQL incluye funcionalidades de evaluación de vulnerabilidades. La herramienta de evaluación de vulnerabilidades incluye las siguientes características avanzadas:
- La configuración de línea de base (nuevo) para limitar de forma inteligente los resultados de los análisis de vulnerabilidades a aquellas que podrían representar problemas de seguridad reales. Una vez establecido el estado de seguridad de la línea de base, la herramienta de evaluación de vulnerabilidades solo informa de las desviaciones con respecto a esa línea de base. Los resultados que coinciden con la línea de base se consideran como correctos en análisis posteriores. Esto le permite a usted y a sus analistas centrar la atención en lo que importa.
- Información comparativa detallada para ayudarle a comprender los hechos detectados y por qué se relacionan con los recursos.
- Scripts de corrección para ayudarle a mitigar los riesgos identificados.
Más información sobre Azure Defender for SQL.
Compatibilidad de Azure Defender para SQL para Azure Synapse Analytics disponible con carácter general
Azure Synapse Analytics (anteriormente SQL Data Warehouse) es un servicio de análisis que combina almacenamiento de datos empresariales con análisis de macrodatos. Los grupos de SQL dedicados son las características de almacenamiento de datos empresariales de Azure Synapse. Más información en ¿Qué es Azure Synapse Analytics (anteriormente SQL Data Warehouse)?
Azure Defender para SQL protege los grupos de SQL dedicados con:
- Protección contra amenazas avanzada para detectar amenazas y ataques.
- Funcionalidades de evaluación de vulnerabilidades para identificar y corregir configuraciones erróneas de seguridad.
La compatibilidad de Azure Defender para SQL con los grupos de SQL de Azure Synapse Analytics se agrega automáticamente al paquete de bases de datos SQL de Azure en Azure Security Center. Hay una nueva pestaña de Azure Defender para SQL en la página del área de trabajo de Synapse en Azure Portal.
Más información sobre Azure Defender for SQL.
Ahora, los administradores globales se pueden conceder a sí mismos permisos de nivel de inquilino.
Un usuario con el rol de administrador global de Azure Active Directory puede tener responsabilidades en todo el inquilino, pero carecer de los permisos de Azure para ver la información de toda la organización en Azure Security Center.
Para asignarse a sí mismo permisos de nivel de inquilino, siga las instrucciones que se indican en Concederse a uno mismo permisos para todo el inquilino.
Dos nuevos planes de Azure Defender: Azure Defender para DNS y Azure Defender para Resource Manager (en versión preliminar)
Se han agregado dos nuevas funcionalidades de protección contra amenazas con amplitud nativa de nube para el entorno de Azure.
Estas nuevas protecciones mejoran enormemente la resistencia frente a los ataques de actores de amenazas y aumentan considerablemente el número de recursos de Azure protegidos por Azure Defender.
Azure Defender para Resource Manager: supervisa automáticamente todas las operaciones de administración de recursos realizadas en la organización. Para más información, consulte:
Azure Defender para DNS: supervisa continuamente todas las consultas de DNS de los recursos de Azure. Para más información, consulte:
Nueva página de alertas de seguridad en Azure Portal (versión preliminar)
La página de alertas de seguridad de Azure Security Center se rediseñó para proporcionar:
- Mejora en la evaluación de prioridades en las alertas: ahora es más fácil ayudar a reducir la fatiga de las alertas y centrarse en las amenazas más importantes, la lista incluye filtros personalizables y opciones de agrupación.
- Más información en la lista de alertas: por ejemplo las tácticas ATT y ACK de MITRE
- Botón para crear alertas de ejemplo: para evaluar las funcionalidades de Azure Defender y probar la configuración de las alertas (para la integración de SIEM, las notificaciones por correo electrónico y las automatizaciones de los flujos de trabajo), puede crear alertas de ejemplo desde todos los planes de Azure Defender.
- Alineación con la experiencia de incidentes de Azure Sentinel: para los clientes que usan ambos productos, cambiar entre ellos ahora es más sencillo y es fácil que uno aprenda del otro.
- Mejor rendimiento de listas de alertas grandes.
- Desplazamiento mediante el teclado a través de la lista de alertas.
- Alertas de Azure Resource Graph: puede consultar las alertas en Azure Resource Graph, la API similar a Kusto para todos los recursos. Esto también resulta útil si va a crear sus propios paneles de alertas. Más información sobre Azure Resource Graph.
Para acceder a la nueva experiencia, use el vínculo "Intentarlo ahora" del banner de la parte superior de la página de alertas de seguridad.
Para crear alertas de ejemplo a partir de la nueva experiencia de alertas, consulte el apartado Generación de alertas de ejemplo de Azure Defender.
Experiencia de Security Center revitalizada en Azure SQL Database y SQL Managed Instance
La experiencia de Security Center en SQL proporciona acceso a las siguientes características de Security Center y Azure Defender para SQL:
- Recomendaciones de seguridad: Azure Security Center analiza periódicamente el estado de seguridad de todos los recursos de Azure conectados para identificar posibles configuraciones erróneas de seguridad. A continuación, proporciona recomendaciones sobre cómo corregir esas vulnerabilidades y mejorar la postura de seguridad de las organizaciones.
- Alertas de seguridad: un servicio de detección que supervisa continuamente las actividades de Azure SQL para detectar amenazas tales como la inyección de código SQL, ataques por fuerza bruta y abuso de privilegios. Este servicio desencadena alertas de seguridad detalladas y orientadas a acciones en Security Center, y proporciona opciones para continuar las investigaciones con Azure Sentinel, la solución SIEM nativa de Microsoft Azure.
- Conclusiones: un servicio de evaluación de vulnerabilidades que supervisa continuamente las configuraciones de Azure SQL y ayuda a corregir las vulnerabilidades. Los análisis de evaluación proporcionan una visión general de los estados de seguridad de Azure SQL junto con conclusiones detalladas de seguridad.
Se han actualizado las herramientas y filtros para el inventario de recursos
La página Inventario de Azure Security Center se ha actualizado con los cambios siguientes:
Se han agregado guías y comentarios a la barra de herramientas. Esto permite abrir un panel con vínculos a información y herramientas relacionados.
Se ha agregado un filtro de suscripciones a los filtros predeterminados disponibles para los recursos.
Se ha agregado el enlace Abrir consulta para abrir las opciones de filtro actuales como una consulta de Azure Resource Graph (anteriormente se denominaba "Ver en Resource Graph Explorer").
Opciones de operador para cada filtro. Ahora puede elegir entre más operadores lógicos adicionales distintos de "=". Por ejemplo, puede que desee buscar todos los recursos con recomendaciones activas cuyos títulos incluyan la cadena "Encrypt".
Más información acerca del inventario en Exploración y administración de los recursos con Asset Inventory.
La recomendación acerca de las aplicaciones web que solicitan certificados SSL ya no forma parte de la puntuación segura
La recomendación "Las aplicaciones web deben solicitar un certificado SSL a todas las solicitudes entrantes" se trasladó desde el control de seguridad Administración de acceso y permisos (con una puntuación máxima de 4 puntos) a Implementación de procedimientos recomendados de seguridad (con ningún punto).
Asegurarse de que una aplicación web solicita un certificado ciertamente hace que sea más segura. Sin embargo, para las aplicaciones web de acceso público, esto es irrelevante. Si accede a su sitio a través de HTTP y no de HTTPS, no recibirá ningún certificado de cliente. Por lo tanto, si la aplicación requiere certificados de cliente, no debe permitir solicitudes a la aplicación mediante HTTP. Puede encontrar más información en Configuración de la autenticación mutua de TLS en Azure App Service.
Con este cambio, la recomendación es ahora un procedimiento recomendado que no influye en la puntuación.
Obtenga información sobre qué recomendaciones se encuentran en cada control de seguridad en Controles de seguridad y sus recomendaciones.
La página Recomendaciones tiene nuevos filtros de entorno, gravedad y respuestas disponibles
Azure Security Center supervisa todos los recursos conectados y genera recomendaciones de seguridad. Use estas recomendaciones para fortalecer su postura en la nube híbrida y realizar un seguimiento del cumplimiento de las directivas y los estándares importantes para su organización, sector y país o región.
A medida que Security Center amplía su cobertura y características, la lista de recomendaciones de seguridad crece cada mes. Por ejemplo, consulte Se han agregado veintinueve recomendaciones en versión preliminar para aumentar la cobertura de Azure Security Benchmark.
Con una lista en continuo crecimiento, existe la necesidad de filtrar las recomendaciones para encontrar las de mayor interés. En noviembre, hemos agregado filtros a la página Recomendaciones (consulte La lista de recomendaciones ahora incluye filtros).
Los filtros que se han agregado este mes proporcionan opciones para refinar la lista de recomendaciones según:
El entorno: vea las recomendaciones para los recursos de AWS, GCP o Azure (o cualquier combinación).
La gravedad: vea las recomendaciones según la clasificación de gravedad establecida por Security Center.
Acciones de respuesta: consulte las recomendaciones según la disponibilidad de las opciones de respuesta de Security Center: corrección, denegación y aplicación
Sugerencia
El filtro de acciones de respuesta reemplaza al filtro Solución rápida disponible (Sí/No) .
Puede aprender más información acerca de cada una de estas opciones de respuesta:
La exportación continua obtiene nuevos tipos de datos y directivas deployifnotexist mejoradas
Las herramientas de exportación continua de Azure Security Center permiten exportar las recomendaciones y alertas de Security Center para su uso con otras herramientas de supervisión de su entorno.
La exportación continua le permite personalizar completamente qué se exportará y a dónde irá. Para más información, consulte Exportación continua de datos de Security Center.
Estas herramientas se han mejorado y ampliado de las siguientes maneras:
Se han mejorado las directivas deployifnotexist de la exportación continua. Las directivas ahora:
Comprueban si la configuración está habilitada. Si no es así, la directiva aparecerá como no compatible y creará un recurso compatible. Obtenga más información acerca de las plantillas de Azure Policy proporcionadas en la pestaña "Implementación a gran escala con Azure Policy" deConfiguración de una exportación continua.
Compatibilidad con la exportación de conclusiones de seguridad. Cuando usa las plantillas de Azure Policy, puede configurar la exportación continua para que incluya conclusiones. Esto es importante cuando se exportan recomendaciones que incluyen "subrecomendaciones", como en el caso de los resultados de los escáneres de evaluación de vulnerabilidades o las actualizaciones específicas del sistema para la recomendación principal "Se deben instalar actualizaciones del sistema en las máquinas".
Compatibilidad con la exportación de datos de puntuación de seguridad.
Se han agregado datos de evaluación de cumplimiento normativo (en versión preliminar). Ahora puede exportar continuamente las actualizaciones de las evaluaciones de cumplimiento normativo, incluidas las iniciativas personalizadas, a un área de trabajo Log Analytics o a Event Hubs. Esta característica no está disponible en las nubes nacionales.
Noviembre de 2020
Las actualizaciones de noviembre incluyen:
- Se han agregado 29 recomendaciones en versión preliminar para aumentar la cobertura de Azure Security Benchmark.
- Se ha agregado NIST SP 800 171 R2 al panel de cumplimiento normativo de Security Center.
- La lista de recomendaciones ahora incluye filtros
- Mejora y ampliación de la experiencia de aprovisionamiento automático
- La puntuación de seguridad ahora está disponible en la exportación continua (versión preliminar)
- La recomendación "Las actualizaciones del sistema deben estar instaladas en las máquinas" ahora incluye recomendaciones secundarias
- En la página de administración de directivas de Azure Portal ahora se muestra el estado de las asignaciones de directivas predeterminadas
Se han agregado 29 recomendaciones en versión preliminar para aumentar la cobertura de Azure Security Benchmark.
Azure Security Benchmark es el conjunto de directrices específico de Azure creado por Microsoft para ofrecer los procedimientos recomendados de seguridad y cumplimiento basados en marcos de cumplimiento comunes. Mas información sobre Azure Security Benchmark.
Se han agregado a Security Center las siguientes 29 recomendaciones en versión preliminar para aumentar la cobertura de la prueba comparativa.
Las recomendaciones de la versión preliminar no representan un recurso incorrecto y no se incluyen en los cálculos de una puntuación segura. Corríjalas siempre que sea posible, de tal forma que, cuando finalice el período de versión preliminar, contribuyan a la puntuación. Puede encontrar más información sobre cómo responder a estas recomendaciones en Recomendaciones de corrección en Azure Security Center.
| Control de seguridad | Nuevas recomendaciones |
|---|---|
| Cifrado de los datos en tránsito | - La aplicación de la conexión SSL debe estar habilitada para los servidores de base de datos PostgreSQL. - La aplicación de la conexión SSL debe estar habilitada para los servidores de bases de datos MySQL. - TLS debe actualizarse a la versión más reciente en la aplicación de API. - TLS debe actualizarse a la versión más reciente en la aplicación de funciones. - TLS debe actualizarse a la versión más reciente en la aplicación web. - Es necesario exigir FTPS en la aplicación de API. - Es necesario exigir FTPS en la aplicación de funciones. - Es necesario exigir FTPS en la aplicación web. |
| Administración de acceso y permisos | - Las aplicaciones web deben solicitar un certificado SSL a todas las solicitudes entrantes. - Se debe usar una identidad administrada en la aplicación de API. - Se debe usar una identidad administrada en la aplicación de funciones. - Se debe usar una identidad administrada en la aplicación web. |
| Restricción de los accesos de red no autorizados | - El punto de conexión privado debe estar habilitado para servidores PostgreSQL. - El punto de conexión privado debe estar habilitado para servidores MariaDB. - El punto de conexión privado debe estar habilitado para servidores MySQL. |
| Habilitar auditoría y registro | - Los registros de diagnóstico de App Services deben estar habilitados |
| Implementación de procedimientos recomendados de seguridad | - Azure Backup debería habilitarse en las máquinas virtuales. - La copia de seguridad con redundancia geográfica debe estar habilitada para Azure Database for MariaDB. - La copia de seguridad con redundancia geográfica debe estar habilitada para Azure Database for MySQL. - La copia de seguridad con redundancia geográfica debe estar habilitada para Azure Database for PostgreSQL. - PHP debe actualizarse a la versión más reciente en la aplicación de API. - PHP debe actualizarse a la versión más reciente en la aplicación web. - Java debe actualizarse a la versión más reciente en la aplicación de API. - Java debe actualizarse a la versión más reciente en la aplicación de funciones. - Java debe actualizarse a la versión más reciente en la aplicación web. - Python debe actualizarse a la versión más reciente en la aplicación de API. - Python debe actualizarse a la versión más reciente en la aplicación de funciones. - Python debe actualizarse a la versión más reciente en la aplicación web. - La retención de la auditoría en los servidores SQL Server debe establecerse en 90 días, como mínimo. |
Vínculos relacionados:
- Más información sobre Azure Security Benchmark
- Más información sobre las aplicaciones de API de Azure
- Más información sobre las aplicaciones de funciones de Azure
- Más información sobre las aplicaciones web de Azure
- Más información sobre Azure Database for MariaDB
- Más información sobre Azure Database for MySQL
- Más información sobre Azure Database for PostgreSQL
Se ha agregado NIST SP 800 171 R2 al panel de cumplimiento normativo de Security Center.
La norma NIST SP 800-171 R2 ahora está disponible como una iniciativa integrada para su uso con el panel de cumplimiento normativo de Azure Security Center. Las asignaciones de los controles se describen en Detalles de la iniciativa integrada de cumplimiento normativo NIST SP 800-171 R2.
Para aplicar la norma a sus suscripciones y supervisar continuamente el estado de cumplimiento, siga las instrucciones que se describen en Personalización del conjunto de normas del panel de cumplimiento normativo.
Para más información acerca de este estándar normativo, consulte NIST SP 800-171 R2.
La lista de recomendaciones ahora incluye filtros
Ahora puede filtrar la lista de recomendaciones de seguridad de acuerdo con una gama de criterios. En el ejemplo siguiente, la lista de recomendaciones se ha filtrado para mostrar recomendaciones que:
- estén disponibles con carácter general (es decir, no en versión preliminar).
- sean para cuentas de almacenamiento.
- admitan las correcciones de Corrección rápida.
Mejora y ampliación de la experiencia de aprovisionamiento automático
La característica de aprovisionamiento automático ayuda a reducir la sobrecarga de administración mediante la instalación de las extensiones necesarias en máquinas virtuales de Azure nuevas y existentes para que puedan beneficiarse de las protecciones de Security Center.
A medida que crece Azure Security Center, se han desarrollado más extensiones y Security Center puede supervisar una lista más amplia de tipos de recursos. Las herramientas de aprovisionamiento automático ahora se han ampliado para admitir otras extensiones y tipos de recursos que aprovechan las funcionalidades de Azure Policy.
Ahora puede configurar el aprovisionamiento automático de:
- Agente de Log Analytics
- (Nuevo) Azure Policy para Kubernetes
- (Nuevo) Microsoft Dependency Agent
Obtenga más información en Aprovisionamiento automático de agentes y extensiones de Azure Security Center.
La puntuación de seguridad ahora está disponible en la exportación continua (versión preliminar)
Con la exportación continua de la puntuación de seguridad, puede transmitir los cambios de la puntuación en tiempo real a Azure Event Hubs o a un área de trabajo de Log Analytics. Use esta funcionalidad para:
- Realizar un seguimiento de la puntuación de seguridad en el tiempo con informes dinámicos
- Exportar datos de puntuación de seguridad a Azure Sentinel (o a cualquier otro SIEM)
- Integrar estos datos con cualquier proceso que ya esté usando para supervisar la puntuación de seguridad en la organización
Obtenga más información sobre la Exportación continua de datos de Security Center.
La recomendación "Las actualizaciones del sistema deben estar instaladas en las máquinas" ahora incluye recomendaciones secundarias
La recomendación Las actualizaciones del sistema deben estar instaladas en las máquinas se ha mejorado. La nueva versión incluye recomendaciones secundarias para cada actualización que falta y ofrece las siguientes mejoras:
Una nueva experiencia en las páginas de Azure Security Center de Azure Portal. La página de detalles de la recomendación Las actualizaciones del sistema deben estar instaladas en las máquinas incluye la lista de conclusiones que se muestran a continuación. Al seleccionar una única búsqueda, se abre el panel de detalles con un vínculo a la información de corrección y una lista de los recursos afectados.
Datos enriquecidos para la recomendación de Azure Resource Graph (ARG). ARG es un servicio de Azure diseñado para proporcionar una exploración de recursos eficaz. Puede usar ARG para realizar consultas a escala para un conjunto determinado de suscripciones a fin de controlar eficazmente su entorno.
Para Azure Security Center, puede usar ARG y el lenguaje de consulta Kusto (KQL) para consultar una amplia variedad de datos de posición de seguridad.
Anteriormente, si consultaba esta recomendación en ARG, la única información disponible era que la recomendación debía corregirse en una máquina. La siguiente consulta de la versión mejorada devolverá las actualizaciones del sistema que faltan agrupadas por máquina.
securityresources | where type =~ "microsoft.security/assessments/subassessments" | where extract(@"(?i)providers/Microsoft.Security/assessments/([^/]*)", 1, id) == "4ab6e3c5-74dd-8b35-9ab9-f61b30875b27" | where properties.status.code == "Unhealthy"
En la página de administración de directivas de Azure Portal ahora se muestra el estado de las asignaciones de directivas predeterminadas
Ahora puede ver si las suscripciones tienen la directiva de Security Center predeterminada asignada, en la página Directiva de seguridad de Security Center en Azure Portal.
Octubre de 2020
Las actualizaciones de octubre incluyen:
- Evaluación de vulnerabilidades para máquinas locales y en varias nubes (versión preliminar)
- Recomendación sobre Azure Firewall agregada (versión preliminar)
- La recomendación de que los intervalos IP autorizados deben definirse en los servicios de Kubernetes se ha actualizado con una corrección rápida
- El panel de cumplimiento normativo ahora incluye la opción para eliminar estándares
- Tabla Microsoft.Security/securityStatuses quitada de Azure Resource Graph (ARG)
Evaluación de vulnerabilidades para máquinas locales y en varias nubes (versión preliminar)
El analizador de evaluación de vulnerabilidades integrado de Azure Defender para servidores (con tecnología de Qualys) ahora analiza los servidores habilitados para Azure Arc.
Al habilitar Azure Arc en máquinas que no son de Azure, Security Center le ofrecerá la opción de implementar en ellas el analizador de vulnerabilidades integrado, manualmente y a escala.
Con esta actualización, puede aprovechar toda la capacidad de Azure Defender para servidores para consolidar su programa de administración de vulnerabilidades en todos sus recursos, tanto si son de Azure como si no.
Principales funcionalidades:
- Supervisión del estado de aprovisionamiento del analizador de evaluación de vulnerabilidades en máquinas de Azure Arc.
- Aprovisionamiento del agente de evaluación de vulnerabilidades integrado en máquinas de Azure Arc Windows y Linux (manualmente y a escala).
- Recepción y análisis de vulnerabilidades detectadas por agentes implementados (manualmente y a escala).
- Experiencia unificada para máquinas virtuales de Azure y máquinas de Azure Arc.
Más información sobre los servidores habilitados para Azure Arc.
Recomendación sobre Azure Firewall agregada (versión preliminar)
Se agregó una nueva recomendación para proteger todas las redes virtuales con Azure Firewall.
La recomendación Azure Firewall debe proteger las redes virtuales le aconseja restringir el acceso a las redes virtuales y evitar posibles amenazas mediante el uso de Azure Firewall.
Más información acerca de Azure Firewall.
La recomendación de que los intervalos IP autorizados deben definirse en los servicios de Kubernetes se ha actualizado con una corrección rápida
La recomendación Authorized IP ranges should be defined on Kubernetes Services (Los intervalos IP autorizados deben definirse en los servicios de Kubernetes) ahora tiene una opción de corrección rápida.
Para más información sobre esta y todas las demás recomendaciones de Security Center, consulte Guía de referencia sobre las recomendaciones de seguridad.
El panel de cumplimiento normativo ahora incluye la opción para eliminar estándares
En el panel de cumplimiento normativo de Security Center se proporciona información sobre su postura de cumplimiento en función de cómo cumple los requisitos y controles de cumplimiento específicos.
El panel incluye un conjunto predeterminado de estándares normativos. Si alguno de ellos no es pertinente para su organización, quitarlo de la interfaz de usuario ahora es un proceso sencillo en una suscripción. Los estándares se pueden quitar solo en el nivel de suscripción, no en el ámbito del grupo de administración.
Encontrará más información en Eliminación de un estándar del panel.
Tabla Microsoft.Security/securityStatuses quitada de Azure Resource Graph (ARG)
Azure Resource Graph es un servicio de Azure diseñado para proporcionar una exploración de recursos eficaz con la capacidad de consultar a escala a través de un conjunto especificado de suscripciones para que pueda controlar eficazmente el entorno.
Para Azure Security Center, puede usar ARG y el lenguaje de consulta Kusto (KQL) para consultar una amplia variedad de datos de posición de seguridad. Por ejemplo:
- El inventario de recursos utiliza ARG.
- Hemos documentado una consulta de ARG de ejemplo sobre la identificación de cuentas sin la autenticación multifactor habilitada.
En ARG hay tablas de datos que se pueden usar en las consultas.
Sugerencia
La documentación de ARG muestra todas las tablas disponibles en la tabla de Azure Resource Graph y la referencia de tipo de recurso.
A partir de esta actualización, se ha quitado la tabla Microsoft.Security/securityStatuses. La API securityStatuses sigue estando disponible.
La tabla Microsoft.Security/Assessments puede usar sustitución de datos.
La diferencia principal entre Microsoft.Security/securityStatuses y Microsoft.Security/Assessments es que, mientras que la primera muestra la agregación de las evaluaciones, la segunda contienen un único registro para cada una.
Por ejemplo, Microsoft.Security/securityStatuses devolvería un resultado con una matriz de dos policyAssessments:
{
id: "/subscriptions/449bcidd-3470-4804-ab56-2752595 felab/resourceGroups/mico-rg/providers/Microsoft.Network/virtualNetworks/mico-rg-vnet/providers/Microsoft.Security/securityStatuses/mico-rg-vnet",
name: "mico-rg-vnet",
type: "Microsoft.Security/securityStatuses",
properties: {
policyAssessments: [
{assessmentKey: "e3deicce-f4dd-3b34-e496-8b5381bazd7e", category: "Networking", policyName: "Azure DDOS Protection should be enabled",...},
{assessmentKey: "sefac66a-1ec5-b063-a824-eb28671dc527", category: "Compute", policyName: "",...}
],
securitystateByCategory: [{category: "Networking", securityState: "None" }, {category: "Compute",...],
name: "GenericResourceHealthProperties",
type: "VirtualNetwork",
securitystate: "High"
}
Por su parte, Microsoft.Security/Assessments contendrá un registro para cada una de estas evaluaciones de directivas como se indica a continuación:
{
type: "Microsoft.Security/assessments",
id: "/subscriptions/449bc1dd-3470-4804-ab56-2752595f01ab/resourceGroups/mico-rg/providers/Microsoft. Network/virtualNetworks/mico-rg-vnet/providers/Microsoft.Security/assessments/e3delcce-f4dd-3b34-e496-8b5381ba2d70",
name: "e3deicce-f4dd-3b34-e496-8b5381ba2d70",
properties: {
resourceDetails: {Source: "Azure", Id: "/subscriptions/449bc1dd-3470-4804-ab56-2752595f01ab/resourceGroups/mico-rg/providers/Microsoft.Network/virtualNetworks/mico-rg-vnet"...},
displayName: "Azure DDOS Protection should be enabled",
status: (code: "NotApplicable", cause: "VnetHasNOAppGateways", description: "There are no Application Gateway resources attached to this Virtual Network"...}
}
{
type: "Microsoft.Security/assessments",
id: "/subscriptions/449bc1dd-3470-4804-ab56-2752595f01ab/resourcegroups/mico-rg/providers/microsoft.network/virtualnetworks/mico-rg-vnet/providers/Microsoft.Security/assessments/80fac66a-1ec5-be63-a824-eb28671dc527",
name: "8efac66a-1ec5-be63-a824-eb28671dc527",
properties: {
resourceDetails: (Source: "Azure", Id: "/subscriptions/449bc1dd-3470-4804-ab56-2752595f01ab/resourcegroups/mico-rg/providers/microsoft.network/virtualnetworks/mico-rg-vnet"...),
displayName: "Audit diagnostic setting",
status: {code: "Unhealthy"}
}
Ejemplo de conversión de una consulta de ARG existente usando securityStatuses para usar ahora la tabla Assessments:
Consulta que hace referencia a SecurityStatuses:
SecurityResources
| where type == 'microsoft.security/securitystatuses' and properties.type == 'virtualMachine'
| where name in ({vmnames})
| project name, resourceGroup, policyAssesments = properties.policyAssessments, resourceRegion = location, id, resourceDetails = properties.resourceDetails
Consulta de sustitución para la tabla Assessments:
securityresources
| where type == "microsoft.security/assessments" and id contains "virtualMachine"
| extend resourceName = extract(@"(?i)/([^/]*)/providers/Microsoft.Security/assessments", 1, id)
| extend source = tostring(properties.resourceDetails.Source)
| extend resourceId = trim(" ", tolower(tostring(case(source =~ "azure", properties.resourceDetails.Id,
source =~ "aws", properties.additionalData.AzureResourceId,
source =~ "gcp", properties.additionalData.AzureResourceId,
extract("^(.+)/providers/Microsoft.Security/assessments/.+$",1,id)))))
| extend resourceGroup = tolower(tostring(split(resourceId, "/")[4]))
| where resourceName in ({vmnames})
| project resourceName, resourceGroup, resourceRegion = location, id, resourceDetails = properties.additionalData
Para más información, consulte los siguientes vínculos:
Septiembre de 2020
Las actualizaciones de septiembre incluyen:
- Security Center tiene un nuevo aspecto
- Lanzamiento de Azure Defender
- Azure Defender para Key Vault está disponible con carácter general
- La protección de Azure Defender para Storage en archivos y ADLS Gen2 está disponible con carácter general
- Las herramientas para el inventario de recursos ya están disponibles con carácter general
- Deshabilitación de la detección de una vulnerabilidad específica para análisis de registros de contenedores y máquinas virtuales
- Exclusión de un recurso de una recomendación
- Los conectores de AWS y GCP de Security Center ofrecen una experiencia de varias nubes
- Conjunto de recomendaciones de protección de cargas de trabajo de Kubernetes
- Los resultados de la evaluación de vulnerabilidades ahora están disponibles en la exportación continua
- Imponer recomendaciones al crear recursos para prevenir errores de configuración de seguridad
- Mejoras de las recomendaciones del grupo de seguridad de red
- La recomendación de AKS en versión preliminar "Se deben definir las directivas de seguridad de pod en los servicios de Kubernetes" está en desuso
- Notificaciones por correo electrónico mejoradas en Azure Security Center
- La puntuación de seguridad no incluye recomendaciones en versión preliminar
- Las recomendaciones incluyen ahora un indicador de gravedad y el intervalo de actualización
Security Center tiene un nuevo aspecto
Hemos lanzado una interfaz de usuario actualizada para las páginas del portal de Security Center. Las nuevas páginas incluyen una nueva página de información general, así como paneles para puntuación de seguridad, inventario de recursos y Azure Defender.
La página de información general renovada ahora incorpora un icono para acceder a los paneles de puntuación de seguridad, inventario de recursos y Azure Defender. También tiene un icono vinculado al panel de cumplimiento normativo.
Más información sobre la página de información general
Lanzamiento de Azure Defender
Azure Defender es la plataforma de protección de cargas de trabajo en la nube (CWPP) integrada en Security Center para la protección avanzada e inteligente de las cargas de trabajo híbridas y de Azure. Reemplaza a la opción del plan de tarifa estándar de Security Center.
Al habilitar Azure Defender en el área Precios y configuración de Azure Security Center, se habilitan a la vez los siguientes planes de Defender, que proporcionan defensas completas para las capas de proceso, datos y servicio de su entorno:
- Azure Defender para servidores
- Azure Defender para App Service
- Azure Defender para Storage
- Azure Defender para SQL
- Azure Defender para Key Vault
- Azure Defender para Kubernetes
- Azure Defender para registros de contenedor
Cada uno de estos planes se explica por separado en la documentación de Security Center.
Con su panel dedicado, Azure Defender proporciona alertas de seguridad y protección contra amenazas avanzada para máquinas virtuales, bases de datos SQL, contenedores, aplicaciones web, la red y mucho más.
Más información sobre Azure Defender
Azure Defender para Key Vault está disponible con carácter general
Azure Key Vault es un servicio en la nube que protege las claves de cifrado y los secretos, como certificados, cadenas de conexión y contraseñas.
Azure Defender para Key Vault ofrece protección frente a amenazas avanzada, nativa de Azure, para Azure Key Vault, que proporciona una capa adicional de inteligencia de seguridad. Por extensión, Azure Defender para Key Vault protege por consiguiente muchos de los recursos que dependen de las cuentas de Key Vault.
El plan opcional ahora está en disponibilidad general. Esta característica se encontraba en versión preliminar como "protección contra amenazas avanzada para Azure Key Vault".
Además, las páginas de Key Vault de Azure Portal ahora incluyen una página de Seguridad dedicada para las recomendaciones y las alertas de Security Center.
Más información en Azure Defender para Key Vault
La protección de Azure Defender para Storage en archivos y ADLS Gen2 está disponible con carácter general
Azure Defender para Storage detecta actividades potencialmente dañinas en las cuentas de Azure Storage. Los datos se pueden proteger tanto si se almacenan como contenedores de blobs, recursos compartidos de archivos o lagos de datos.
La compatibilidad con Azure Files y Azure Data Lake Storage Gen2 ahora está disponible con carácter general.
A partir del 1 de octubre de 2020, empezaremos a cobrar por la protección de los recursos de estos servicios.
Más información en Azure Defender para Storage
Las herramientas para el inventario de recursos ya están disponibles con carácter general
La página de inventario de recursos de Azure Security Center proporciona una sola página para ver la posición de seguridad de los recursos que se han conectado a Security Center.
Security Center analiza periódicamente el estado de seguridad de los recursos de Azure para identificar posibles puntos vulnerables de la seguridad. A continuación, se proporcionan recomendaciones sobre cómo corregir dichos puntos vulnerables.
Cuando algún recurso tenga recomendaciones pendientes, aparecerán en el inventario.
Más información en Exploración y administración de los recursos con Asset Inventory.
Deshabilitación de la detección de una vulnerabilidad específica para análisis de registros de contenedores y máquinas virtuales
Azure Defender incluye detectores de vulnerabilidades para examinar imágenes en Azure Container Registry y en las máquinas virtuales.
Si tiene una necesidad organizativa de omitir un resultado, en lugar de corregirlo, tiene la opción de deshabilitarlo. Los resultados deshabilitados no afectan a la puntuación de seguridad ni generan ruido no deseado.
Cuando un resultado coincide con los criterios que ha definido en las reglas de deshabilitación, no aparecerá en la lista de resultados.
Esta opción está disponible en las páginas de detalles de recomendaciones para:
- Se deben corregir las vulnerabilidades de las imágenes de Azure Container Registry
- Es necesario corregir las vulnerabilidades de las máquinas virtuales
Obtenga más información en Deshabilitación de resultados específicos para las imágenes de contenedor y Deshabilitación de resultados específicos para las máquinas virtuales.
Exclusión de un recurso de una recomendación
En ocasiones, un recurso se mostrará como incorrecto en relación con una recomendación específica y, por lo tanto, se reduce la puntuación de seguridad, aunque crea que no debería ser así. Es posible que lo haya corregido un proceso del que Security Center no ha realizado un seguimiento. O, quizás, la organización ha decidido aceptar el riesgo de ese recurso específico.
En tales casos, puede crear una regla de exención para asegurarse de que el recurso no aparezca entre los recursos incorrectos en el futuro. Estas reglas pueden incluir justificaciones documentadas, tal y como se describe a continuación.
Más información en Exención de un recurso de las recomendaciones y la puntuación de seguridad
Los conectores de AWS y GCP de Security Center ofrecen una experiencia de varias nubes
Las cargas de trabajo de nube abarcan normalmente varias plataformas de nube, por lo que los servicios de seguridad de la nube deben hacer lo mismo.
Azure Security Center ahora protege las cargas de trabajo de Azure, Amazon Web Services (AWS) y Google Cloud Platform (GCP).
Al incorporar proyectos de AWS y GCP en Security Center, se integra AWS Security Hub, GCP Security Command y Azure Security Center.
Obtenga más información en Conexión de las cuentas de AWS a Azure Security Center y Conexión de los proyectos de GCP a Azure Security Center.
Conjunto de recomendaciones de protección de cargas de trabajo de Kubernetes
Para asegurarse de que las cargas de trabajo de Kubernetes son seguras de forma predeterminada, Security Center está agregando recomendaciones de protección en el nivel de Kubernetes, incluidas las opciones de cumplimiento con el control de admisión de Kubernetes.
Una vez instalado Azure Policy para Kubernetes en el clúster de AKS, todas las solicitudes al servidor de la API de Kubernetes se supervisarán según el conjunto predefinido de procedimientos recomendados antes de guardarse en el clúster. Después, puede realizar la configurar para aplicar los procedimientos recomendados y exigirlos para futuras cargas de trabajo.
Por ejemplo, puede exigir que no se creen los contenedores con privilegios y que se bloqueen las solicitudes futuras para este fin.
Más información en Procedimientos recomendados de protección de cargas de trabajo con el control de admisión de Kubernetes
Los resultados de la evaluación de vulnerabilidades ahora están disponibles en la exportación continua
Use la exportación continua para transmitir sus alertas y recomendaciones a Azure Event Hubs, áreas de trabajo de Log Analytics o Azure Monitor. A partir de ahí, puede integrar estos datos con SIEM (como Azure Sentinel, Power BI, Azure Data Explorer y mucho más).
Las herramientas de evaluación de vulnerabilidades integradas en Security Center devuelven resultados sobre los recursos, como recomendaciones útiles dentro de una recomendación "principal", tipo "Es necesario corregir las vulnerabilidades de las máquinas virtuales.".
Los resultados de seguridad ahora están disponibles para la exportación mediante la exportación continua al seleccionar recomendaciones y habilitar la opción include security findings (Incluir resultados de seguridad).
Páginas relacionadas:
- Solución de evaluación de vulnerabilidades de Qualys integrada en Security Center para Azure Virtual Machines
- Solución de evaluación de vulnerabilidades integrada en Security Center para las imágenes de Azure Container Registry
- Exportación continua
Imponer recomendaciones al crear recursos para prevenir errores de configuración de seguridad
Los errores de configuración de seguridad son una causa principal de los incidentes de seguridad. Security Center ofrece ahora la posibilidad de ayudar a evitar errores de configuración de los nuevos recursos con respecto a recomendaciones específicas.
Esta característica puede ayudar a mantener las cargas de trabajo seguras y a estabilizar la puntuación de seguridad.
Puede aplicar una configuración segura, en función de una recomendación específica, en dos modos:
Con el modo denegado de Azure Policy, puede impedir que se creen recursos incorrectos.
Con la opción aplicada, puede aprovechar el efecto DeployIfNotExist de Azure Policy y corregir automáticamente los recursos no compatibles tras la creación.
Está disponible para las recomendaciones de seguridad seleccionadas y puede encontrarse en la parte superior de la página de detalles del recurso.
Más información en Impedir errores de configuración con las recomendaciones Exigir/Denegar.
Mejoras de las recomendaciones del grupo de seguridad de red
Se han mejorado las siguientes recomendaciones de seguridad relacionadas con los grupos de seguridad de red para reducir algunas instancias de falsos positivos.
- Todos los puertos de red deben estar restringidos en el NSG asociado a la máquina virtual
- Se deben cerrar los puertos de administración en las máquinas virtuales
- Las máquinas virtuales accesibles desde Internet deben estar protegidas con grupos de seguridad de red
- Las subredes deben estar asociadas con un grupo de seguridad de red.
La recomendación de AKS en versión preliminar "Se deben definir las directivas de seguridad de pod en los servicios de Kubernetes" está en desuso
La recomendación en versión preliminar "Las directivas de seguridad de pod deben definirse en los servicios de Kubernetes" está en desuso, tal y como se describe en la documentación de Azure Kubernetes Service.
La característica de la directiva de seguridad de pod (versión preliminar), está programada para quedar en desuso y dejará de estar disponible a partir del 15 de octubre de 2020 en favor de Azure Policy para AKS.
Una vez que la directiva de seguridad de pod (versión preliminar) haya quedado en desuso, deberá deshabilitar la característica en todos los clústeres existentes que la incluyan para realizar futuras actualizaciones de clústeres y seguir recibiendo el soporte técnico de Azure.
Notificaciones por correo electrónico mejoradas en Azure Security Center
Se han mejorado las siguientes áreas de los correos electrónicos con respecto a las alertas de seguridad:
- Se ha agregado la capacidad de enviar notificaciones por correo electrónico sobre las alertas de todos los niveles de gravedad.
- Se ha agregado la capacidad de notificar a los usuarios con diferentes roles de Azure en la suscripción.
- Se notifica de forma proactiva y predeterminada a los propietarios de la suscripción sobre las alertas de gravedad alta (con una probabilidad elevada de que se produzcan infracciones genuinas).
- Se ha eliminado el campo de número de teléfono de la página de configuración de notificaciones por correo electrónico.
Más información en Configuración de notificaciones de alertas de seguridad por correo electrónico
La puntuación de seguridad no incluye recomendaciones en versión preliminar
Security Center evalúa continuamente los recursos, suscripciones y la organización en busca de problemas de seguridad. A continuación, agrega todos los resultados a una sola puntuación para que pueda conocer de un vistazo la situación de la seguridad actual: cuanto mayor sea la puntuación, menor será el nivel de riesgo identificado.
A medida que se detectan nuevas amenazas, se habilitan nuevos consejos de seguridad en Security Center mediante recomendaciones nuevas. Para evitar cambios inesperados en la puntuación de seguridad y ofrecer un período de gracia en el que pueda explorar nuevas recomendaciones antes de que afecten a las puntuaciones, las recomendaciones marcadas como Versión preliminar ya no se incluyen en los cálculos de la puntuación de seguridad. Aun así, deben corregirse siempre que sea posible, de tal forma que, cuando finalice el período de versión preliminar, contribuyan a la puntuación.
Además, las recomendaciones en Versión preliminar no representan un recurso "Incorrecto".
Un ejemplo de una recomendación en versión preliminar:
Más información sobre la puntuación de seguridad
Las recomendaciones incluyen ahora un indicador de gravedad y el intervalo de actualización
La página de detalles de las recomendaciones incluye ahora un indicador del intervalo de actualización (siempre que sea pertinente) y una visualización clara de la gravedad de la recomendación.
Agosto de 2020
Las actualizaciones de agosto incluyen:
- Inventario de recursos: nueva vista eficaz de la posición de seguridad de sus recursos
- Compatibilidad agregada con los valores predeterminados de seguridad de Azure Active Directory (para la autenticación multifactor)
- Recomendación de entidades de servicio agregada
- Evaluación de vulnerabilidades en máquinas virtuales: recomendaciones y directivas consolidadas
- Nuevas directivas de seguridad de AKS agregadas a ASC_default iniciativa
Inventario de recursos: nueva vista eficaz de la posición de seguridad de sus recursos
El inventario de recursos de Security Center (actualmente en versión preliminar) proporciona una manera de ver la posición de seguridad de los recursos que ha conectado a Security Center.
Security Center analiza periódicamente el estado de seguridad de los recursos de Azure para identificar posibles puntos vulnerables de la seguridad. A continuación, se proporcionan recomendaciones sobre cómo corregir dichos puntos vulnerables. Cuando algún recurso tenga recomendaciones pendientes, aparecerán en el inventario.
Puede usar la vista y sus filtros para explorar los datos de la posición de seguridad y realizar acciones adicionales en función de los resultados.
Obtenga más información sobre el inventario de recursos.
Compatibilidad agregada con los valores predeterminados de seguridad de Azure Active Directory (para la autenticación multifactor)
Security Center ha agregado compatibilidad total con los valores predeterminados de seguridad, las protecciones de seguridad de la identidad gratuitas de Microsoft.
Los valores predeterminados de seguridad proporcionan una configuración de seguridad de la identidad preconfigurada para proteger su organización frente a ataques habituales relacionados con la identidad. Los valores predeterminados de seguridad ya protegen más de 5 millones de inquilinos en total; 50 000 inquilinos también reciben la protección de Security Center.
Security Center ahora proporciona una recomendación de seguridad cada vez que identifica una suscripción de Azure sin valores predeterminados de seguridad habilitados. Hasta ahora, Security Center recomendaba habilitar la autenticación multifactor mediante el acceso condicional, que forma parte de la licencia Premium de Azure Active Directory (AD). Para los clientes que usen Azure AD de forma gratuita, ahora recomendamos que se habiliten los valores predeterminados de seguridad.
Nuestro objetivo es animar a más clientes a proteger sus entornos en la nube con MFA y mitigar uno de los mayores riesgos que también es el que tiene más impacto en su puntuación de seguridad.
Obtenga más información sobre los valores predeterminados de seguridad.
Recomendación de entidades de servicio agregada
Se agregó una nueva recomendación para recomendar que los clientes de Security Center que usan certificados de administración para administrar sus suscripciones cambien a las entidades de servicio.
La recomendación, Para proteger las suscripciones,deben usarse entidades de servicio en lugar de certificados de administración, le aconseja usar entidades de servicio o Azure Resource Manager para administrar de forma más segura sus suscripciones.
Obtenga más información sobre Objetos de aplicación y de entidad de servicio de Azure Active Directory.
Evaluación de vulnerabilidades en máquinas virtuales: recomendaciones y directivas consolidadas
Security Center inspecciona las máquinas virtuales para detectar si ejecutan alguna solución de valoración de las vulnerabilidades. Si no encuentra ninguna solución, Security Center recomienda simplificar la implementación.
Si se encuentran vulnerabilidades, Security Center realiza una recomendación en la que se resumen los resultados que se deben investigar y corregir, en caso de que sea necesario.
Para garantizar una experiencia coherente para todos los usuarios, independientemente del tipo de analizador que usen, se han unificado cuatro recomendaciones en las dos siguientes:
| Recomendación unificada | Descripción del cambio |
|---|---|
| Debe habilitarse una solución de evaluación de vulnerabilidades en sus máquinas virtuales | Reemplaza las dos recomendaciones siguientes: ***** Habilitar la solución de evaluación de vulnerabilidades integrada en las máquinas virtuales (con tecnología de Qualys) (ahora en desuso) (se incluye con el nivel Estándar). ***** La solución de evaluación de vulnerabilidades debe instalarse en sus máquinas virtuales (ahora en desuso) (niveles gratuito y Estándar). |
| Es necesario corregir las vulnerabilidades de las máquinas virtuales | Reemplaza las dos recomendaciones siguientes: ***** Corregir las vulnerabilidades que se encontraron en las máquinas virtuales (con tecnología de Qualys) (ahora en desuso). ***** Se deben corregir las vulnerabilidades mediante una solución de evaluación de vulnerabilidades (ahora en desuso). |
Ahora usará la misma recomendación para implementar la extensión de evaluación de vulnerabilidades de Security Center o una solución con licencia privada ("BYOL") de un asociado como Qualys o Rapid7.
Además, cuando se detectan vulnerabilidades y se notifican a Security Center, una sola recomendación le avisará de los hallazgos, independientemente de la solución de evaluación de vulnerabilidades que los haya identificado.
Actualización de dependencias
Si tiene scripts, consultas o automatizaciones que hacen referencia a las recomendaciones anteriores o a nombres o claves de directivas, use las tablas siguientes para actualizar las referencias:
Antes de agosto de 2020
| Recomendación | Ámbito |
|---|---|
| Habilitar la solución de evaluación de vulnerabilidades integrada en las máquinas virtuales (con tecnología de Qualys) Clave: 550e890b-e652-4d22-8274-60b3bdb24c63 |
Integrada |
| Corregir las vulnerabilidades que se encontraron en las máquinas virtuales (con tecnología de Qualys) Clave: 1195afff-c881-495e-9bc5-1486211ae03f |
Integrada |
| La solución de evaluación de vulnerabilidades debe instalarse en sus máquinas virtuales Clave: 01b1ed4c-b733-4fee-b145-f23236e70cf3 |
BYOL |
| Se deben corregir las vulnerabilidades mediante una solución de evaluación de vulnerabilidades Clave: 71992a2a-d168-42e0-b10e-6b45fa2ecddb |
BYOL |
| Directiva | Ámbito |
|---|---|
| La evaluación de vulnerabilidades debe estar habilitada en las máquinas virtuales Id. de directiva: 501541f7-f7e7-4cd6-868c-4190fdad3ac9 |
Integrada |
| Se deben corregir las vulnerabilidades mediante una solución de evaluación de vulnerabilidades Id. de directiva: 760a85ff-6162-42b3-8d70-698e268f648c |
BYOL |
Desde agosto de 2020
| Recomendación | Ámbito |
|---|---|
| Debe habilitarse una solución de evaluación de vulnerabilidades en sus máquinas virtuales Clave: ffff0522-1e88-47fc-8382-2a80ba848f5d |
Integrada + BYOL |
| Es necesario corregir las vulnerabilidades de las máquinas virtuales Clave: 1195afff-c881-495e-9bc5-1486211ae03f |
Integrada + BYOL |
| Directiva | Ámbito |
|---|---|
| La evaluación de vulnerabilidades debe estar habilitada en las máquinas virtuales Id. de directiva: 501541f7-f7e7-4cd6-868c-4190fdad3ac9 |
Integrada + BYOL |
Nuevas directivas de seguridad de AKS agregadas a ASC_default iniciativa
Para asegurarse de que las cargas de trabajo de Kubernetes son seguras de forma predeterminada, Security Center está agregando directivas en el nivel de Kubernetes y recomendaciones de protección, incluidas las opciones de cumplimiento con el control de admisión de Kubernetes.
La fase inicial de este proyecto incluye una versión preliminar y la adición de directivas nuevas (deshabilitadas de forma predeterminada) a la iniciativa ASC_default.
Puede omitir estas directivas con seguridad y no habrá ningún impacto en el entorno. Si quiere habilitarlas, inicie sesión para la versión preliminar en Microsoft Cloud Security Private Community y seleccione una de las opciones siguientes:
- Versión preliminar única: para unirse solo a esta versión preliminar. Mencione explícitamente "ASC Continuous SCAN" como la versión preliminar a la que le gustaría unirse.
- Programa continuo: para agregarse a esta y a futuras versiones preliminares privadas. Deberá completar un perfil y un contrato de privacidad.
Julio de 2020
Las actualizaciones de julio incluyen:
- La evaluación de vulnerabilidades de las máquinas virtuales ya está disponible para las imágenes que no están en el marketplace
- Protección contra amenazas para Azure Storage expandido con el fin de incluir Azure Files y Azure Data Lake Storage Gen2 (versión preliminar)
- Ocho nuevas recomendaciones para habilitar las características de protección contra amenazas
- Mejoras en la seguridad de los contenedores: análisis del registro más rápido y documentación actualizada
- Controles de aplicaciones adaptables actualizados con una nueva recomendación y compatibilidad para caracteres comodín en reglas de ruta de acceso
- Novedades de Azure Security Center
Evaluación de vulnerabilidades de las máquinas virtuales disponible ahora para las imágenes que no son de Marketplace
Al implementar una solución de evaluación de vulnerabilidades, Security Center realizó anteriormente una comprobación de validación antes de la implementación. La comprobación se realizaba para confirmar la SKU de Marketplace de la máquina virtual de destino.
A partir de esta actualización, se ha eliminado esta comprobación y ahora puede implementar herramientas de evaluación de vulnerabilidades en máquinas Windows y Linux personalizadas. Las imágenes personalizadas son aquellas que se han modificado a partir de los valores predeterminados de Marketplace.
Aunque ahora puede implementar la extensión de evaluación de vulnerabilidades integrada (con tecnología de Qualys) en muchas más máquinas, la compatibilidad solo está disponible si usa uno de los sistemas operativos que se indica en Implementación del detector de vulnerabilidades integrado en VM de nivel estándar.
Más información sobre el Detector de vulnerabilidades integrado para máquinas virtuales (requiere Azure Defender)
Obtenga más información sobre el uso de su propia solución de evaluación de vulnerabilidades con licencia privada desde Qualys o Rapid7 en Implementación de una solución de examen de vulnerabilidades de asociado.
Protección contra amenazas para Azure Storage expandido con el fin de incluir Azure Files y Azure Data Lake Storage Gen2 (versión preliminar)
La protección contra amenazas para Azure Storage detecta actividades potencialmente dañinas en las cuentas de Azure Storage. Security Center muestra alertas cuando detecta intentos de acceder a las cuentas de almacenamiento o de aprovecharlas.
Los datos se pueden proteger tanto si se almacenan como contenedores de blobs, recursos compartidos de archivos o lagos de datos.
Ocho nuevas recomendaciones para habilitar las características de protección contra amenazas
Se han agregado ocho nuevas recomendaciones para proporcionar una manera sencilla de habilitar las características de protección contra amenazas de Azure Security Center para los siguientes tipos de recursos: máquinas virtuales, planes de App Service, servidores de Azure SQL Database, servidores SQL Server en máquinas, cuentas de Azure Storage, clústeres de Azure Kubernetes Service, registros de Azure Container Registry y almacenes de Azure Key Vault.
Las nuevas recomendaciones son:
- Advanced Data Security debe estar habilitado en los servidores de Azure SQL Database
- Advanced Data Security debe estar habilitado en los servidores SQL Server en las máquinas
- Advanced Threat Protection debe estar habilitado en los planes de Azure App Service
- Advanced Threat Protection debe estar habilitado en los registros de Azure Container Registry
- Advanced Threat Protection debe estar habilitado en los almacenes de Azure Key Vault
- Advanced Threat Protection debe estar habilitado en los clústeres de Azure Kubernetes Service
- Advanced Threat Protection debe estar habilitado en las cuentas de almacenamiento de Azure
- Advanced Threat Protection debe estar habilitado en Virtual Machines
Las recomendaciones también incluyen la funcionalidad de corrección rápida.
Importante
La corrección de cualquiera de estas recomendaciones dará lugar a cargos por la protección de los recursos pertinentes. Estos cargos se iniciarán de forma inmediata si tiene recursos relacionados en la suscripción actual. O en el futuro, si los agrega en una fecha posterior.
Por ejemplo, si no tiene ningún clúster de Azure Kubernetes Service en su suscripción y habilita la protección contra amenazas, no se aplicarán cargos. Si, en el futuro, agrega un clúster a la misma suscripción, este se protegerá automáticamente y a partir de ese momento, se iniciarán los cargos.
Más información sobre cada una de estas recomendaciones en la página de referencia de las recomendaciones de seguridad.
Más información sobre la protección contra amenazas en Azure Security Center.
Mejoras en la seguridad de los contenedores: análisis del registro más rápido y documentación actualizada
Como parte de las inversiones continuas en el dominio de la seguridad de los contenedores, nos complace compartir una mejora significativa del rendimiento en los análisis dinámicos de las imágenes de contenedor de Security Center que se almacenan en Azure Container Registry. Los exámenes se completan ahora en aproximadamente dos minutos. En algunos casos, pueden tardar hasta 15 minutos.
Para mejorar la claridad y la orientación con respecto a las funcionalidades de seguridad de los contenedores de Azure Security Center, también hemos actualizado las páginas de documentación sobre la seguridad de los contenedores.
Más información sobre la seguridad de los contenedores de Security Center en los artículos siguientes:
- Información general sobre las características de seguridad de los contenedores de Azure Security Center
- Detalles de la integración con Azure Container Registry
- Detalles de la integración con Azure Kubernetes Service
- Procedimientos para el examen de los registros y la protección de los hosts de Docker
- Alertas de seguridad de las características de protección contra amenazas para clústeres de Azure Kubernetes Service
- Recomendaciones de seguridad para contenedores
Controles de aplicaciones adaptables actualizados con una nueva recomendación y compatibilidad para caracteres comodín en reglas de ruta de acceso
La característica de controles de aplicaciones adaptables ha recibido dos actualizaciones importantes:
Una nueva recomendación identifica un comportamiento potencialmente legítimo que no se ha permitido previamente. La nueva recomendación, Se deben actualizar las reglas de la lista de permitidos de la directiva de controles de aplicaciones adaptables, le pedirá que agregue nuevas reglas a la directiva existente para reducir el número de falsos positivos en las alertas de infracción de controles de aplicaciones adaptables.
Las reglas de ruta de acceso ahora admiten caracteres comodín. A partir de esta actualización, puede configurar las reglas de ruta de acceso permitidas mediante caracteres comodín. Se admiten dos escenarios:
El uso de un carácter comodín al final de una ruta de acceso para permitir todos los ejecutables dentro de esta carpeta y sus subcarpetas.
El uso de un carácter comodín en medio de una ruta de acceso para habilitar un nombre ejecutable conocido con un nombre de carpeta cambiante (por ejemplo, carpetas de usuario personales con un archivo ejecutable conocido, nombres de carpeta generados automáticamente, etc.).
Más información acerca de los controles de aplicación adaptables.
Seis directivas para la seguridad avanzada de datos de SQL en desuso
Seis directivas relacionadas con la seguridad avanzada de datos para máquinas SQL están en desuso:
- Los tipos de Advanced Threat Protection deben definirse como "Todos" en la configuración de Advanced Data Security para SQL Managed Instance.
- Los tipos de Advanced Threat Protection deben definirse como "Todos" en la configuración de Advanced Data Security del servidor SQL Server.
- La configuración de seguridad de datos avanzada para una instancia administrada SQL debe contener una dirección de correo electrónico para recibir alertas de seguridad
- La configuración de seguridad de datos avanzada para SQL Server debe contener una dirección de correo electrónico para recibir alertas de seguridad
- Las notificaciones a los administradores y a los propietarios de la suscripción deben estar habilitadas en la configuración de seguridad avanzada de datos de la instancia administrada de SQL
- Las notificaciones por correo electrónico para administradores y propietarios de suscripciones deben estar habilitadas en la configuración de seguridad avanzada de datos de SQL Server
Obtenga más información sobre las directivas integradas.
Junio de 2020
Las actualizaciones de junio incluyen:
- API de puntuación segura (versión preliminar)
- Advanced Data Security para máquinas SQL (Azure, otras nubes e instancias locales) (versión preliminar)
- Dos nuevas recomendaciones para implementar el agente de Log Analytics en máquinas de Azure Arc (versión preliminar)
- Nuevas directivas para crear configuraciones de exportación continua y de automatización de flujos de trabajo a escala
- Nueva recomendación para usar NSG para proteger las máquinas virtuales sin conexión a Internet
- Nuevas directivas para habilitar la protección contra amenazas y Advanced Data Security
API de puntuación segura (versión preliminar)
Ahora puede acceder a la puntuación a través de la API de puntuación segura (actualmente en versión preliminar). Los métodos de API proporcionan la flexibilidad necesaria para consultar los datos y crear su propio mecanismo de creación de informes de las puntuaciones seguras a lo largo del tiempo. Por ejemplo, puede usar Secure Scores API para obtener la puntuación de una suscripción específica. Además, puede usar la API Secure Score Controls para mostrar los controles de seguridad y la puntuación actual de las suscripciones.
Para ver ejemplos de herramientas externas que son posibles gracias a la API de puntuación segura, vea el área de puntuación segura de la comunidad de GitHub.
Obtenga más información sobre la puntuación segura y los controles de seguridad en Azure Security Center.
Advanced Data Security para máquinas SQL (Azure, otras nubes e instancias locales) (versión preliminar)
Ahora, Advanced Data Security de Azure Security Center para máquinas SQL protege los servidores SQL Server hospedados en Azure, en otros entornos en la nube e incluso en máquinas locales. Esto amplía las protecciones de los servidores SQL Server nativos de Azure, de modo que se admitan totalmente los entornos híbridos.
Advanced Data Security proporciona una evaluación de vulnerabilidades y protección contra amenazas avanzada para máquinas SQL dondequiera que se encuentren.
La configuración conlleva dos pasos:
Implementación del agente de Log Analytics en la máquina host de SQL Server para proporcionar la conexión a la cuenta de Azure.
Habilitación del conjunto de productos opcional en la página de precios y configuración de Security Center.
Obtenga más información sobre Advanced Data Security para máquinas SQL.
Dos nuevas recomendaciones para implementar el agente de Log Analytics en máquinas de Azure Arc (versión preliminar)
Se han agregado dos nuevas recomendaciones para ayudar a implementar el agente de Log Analytics en las máquinas de Azure Arc y asegurarse de que están protegidas por Azure Security Center:
- El agente de Log Analytics debe estar instalado en las máquinas de Azure Arc basadas en Windows (versión preliminar) .
- El agente de Log Analytics debe estar instalado en las máquinas de Azure Arc basadas en Linux (versión preliminar) .
Estas nuevas recomendaciones aparecerán en los mismos cuatro controles de seguridad que la recomendación existente (relacionada) El agente de supervisión debe estar instalado en las máquinas: corrija las configuraciones de seguridad, aplique el control de aplicaciones adaptativo, aplique actualizaciones del sistema y habilite Endpoint Protection.
Las recomendaciones también incluyen la función de Corrección rápida para acelerar el proceso de implementación.
Obtenga más información sobre estas dos nuevas recomendaciones en la tabla Recomendaciones de proceso y aplicación.
Obtenga más información sobre la manera en que Azure Security Center usa el agente en ¿Qué es el agente de Log Analytics?
Obtenga más información sobre las extensiones para máquinas de Azure Arc.
Nuevas directivas para crear configuraciones de exportación continua y de automatización de flujos de trabajo a escala
La automatización de los procesos de supervisión y respuesta ante incidentes de la organización puede mejorar considerablemente el tiempo necesario para investigar y mitigar los incidentes de seguridad.
Para implementar las configuraciones de automatización en la organización, use estas directivas de Azure "DeployIfdNotExist" integradas para crear y configurar los procedimientos de exportación continua y automatización de flujos de trabajo:
Las definiciones de directiva se pueden encontrar en Azure Policy:
| Objetivo | Directiva | Id. de directiva |
|---|---|---|
| Exportación continua a Event Hubs | Implementación de la exportación a Event Hubs para las alertas y recomendaciones de Azure Security Center | cdfcce10-4578-4ecd-9703-530938e4abcb |
| Exportación continua a las áreas de trabajo de Log Analytics | Implementar la exportación al área de trabajo de Log Analytics para las alertas y recomendaciones de Azure Security Center | ffb6f416-7bd2-4488-8828-56585fef2be9 |
| Automatización de flujos de trabajo para alertas de seguridad | Implementar la automatización del flujo de trabajo para las alertas de Azure Security Center | f1525828-9a90-4fcf-be48-268cdd02361e |
| Automatización de flujos de trabajo para recomendaciones de seguridad | Implementar la automatización del área de trabajo para las recomendaciones de Azure Security Center | 73d6ab6c-2475-4850-afd6-43795f3492ef |
Empiece a usar las plantillas de automatización de flujos de trabajo.
Para más información sobre el uso de las dos directivas de exportación, consulte las secciones sobre la configuración de la automatización de flujos de trabajo a escala mediante las directivas suministradas y sobre la configuración de una exportación continua.
Nueva recomendación para usar NSG para proteger las máquinas virtuales sin conexión a Internet
El control de seguridad "implementar prácticas recomendadas de seguridad" incluye ahora la siguiente recomendación nueva:
- Las máquinas virtuales sin conexión a Internet deben protegerse con grupos de seguridad de red
Una recomendación existente (Las máquinas virtuales sin conexión a Internet deben protegerse con grupos de seguridad de red) no distinguía entre las máquinas virtuales con y sin conexión a Internet. En ambos casos, se generaba una recomendación de alta gravedad si una máquina virtual no estaba asignada a un grupo de seguridad de red. Esta nueva recomendación separa las máquinas sin conexión a Internet para reducir los falsos positivos y evitar alertas innecesarias de alta gravedad.
Obtenga más información en la tabla Recomendaciones de red.
Nuevas directivas para habilitar la protección contra amenazas y Advanced Data Security
Las nuevas definiciones de directiva que se indican a continuación se agregaron a la iniciativa predeterminada de ASC y están diseñadas para ayudar a habilitar la protección contra amenazas o Advanced Data Security para los tipos de recursos pertinentes.
Las definiciones de directiva se pueden encontrar en Azure Policy:
Obtenga más información sobre la protección contra amenazas en Azure Security Center.
Mayo de 2020
Las actualizaciones de mayo incluyen:
- Reglas de supresión de alertas (versión preliminar)
- La evaluación de vulnerabilidades de la máquina virtual ya está disponible con carácter general
- Cambios en el acceso a la máquina virtual (VM) Just-in-Time (JIT)
- Las recomendaciones personalizadas se han migrado a un control de seguridad independiente
- Alternancia agregada para ver las recomendaciones en controles o como una lista plana
- Control de seguridad expandido "implementar prácticas recomendadas de seguridad"
- Las directivas personalizadas con metadatos personalizados ya están disponibles con carácter general
- Migración de funcionalidades de análisis de volcado de memoria a detección de ataques sin archivos
Reglas de supresión de alertas (versión preliminar)
Esta nueva característica (actualmente en versión preliminar) ayuda a reducir la fatiga de la alerta. Use reglas para ocultar automáticamente las alertas que se sabe que son inocuas o relacionadas con las actividades normales de su organización. Esto le permite centrarse en las amenazas más importantes.
Todavía se generarán alertas que coincidan con las reglas de supresión habilitadas, pero su estado se establecerá en descartado. Puede ver el estado en el Azure Portal o tener acceso a las alertas de seguridad de Security Center.
Las reglas de supresión definen los criterios para los que se deben descartar automáticamente las alertas. Normalmente, se usaría una regla de supresión para:
Eliminar las alertas identificadas como falsos positivos
suprimir las alertas que se desencadenan con demasiada frecuencia para ser útiles
Más información sobre la supresión de alertas de protección contra amenazas de Azure Security Center.
La evaluación de vulnerabilidades de la máquina virtual ya está disponible con carácter general
El nivel estándar de Security Center ahora incluye una evaluación de vulnerabilidades integrada para máquinas virtuales sin precio adicional. Esta extensión está basada en Qualys pero notifica sus hallazgos directamente de nuevo a Security Center. No se necesita ninguna licencia ni cuenta de Qualys, ya que todo se administra sin problemas en Security Center.
La nueva solución puede examinar continuamente las máquinas virtuales para encontrar vulnerabilidades y presentar las conclusiones en Security Center.
Para implementar la solución, use la nueva recomendación de seguridad:
"Habilitar la solución de evaluación de vulnerabilidades integrada en las máquinas virtuales (con tecnología de Qualys)"
Más información sobre la evaluación de vulnerabilidades integradas de Security Center para máquinas virtuales.
Cambios en el acceso a la máquina virtual (VM) Just-in-Time (JIT)
Security Center incluye una característica opcional para proteger los puertos de administración de las máquinas virtuales. Esto proporciona una defensa contra la forma más común de ataques por fuerza bruta.
Esta actualización lleva a cabo los siguientes cambios en esta característica:
Se cambió el nombre de la recomendación que le aconseja habilitar JIT en una máquina virtual. "El control de acceso de red Just-In-Time debe aplicarse en las máquinas virtuales" ahora es: "Los puertos de administración de las máquinas virtuales deben protegerse con el control de acceso de red cuando es necesario".
La recomendación se desencadena solo si hay puertos de administración abiertos.
Más información acerca de la característica de acceso JIT.
Las recomendaciones personalizadas se han migrado a un control de seguridad independiente
Un control de seguridad introducido con la puntuación de seguridad mejorada era "Implementar procedimientos recomendados de seguridad". Las recomendaciones personalizadas creadas para las suscripciones se colocan automáticamente en ese control.
Para que sea más fácil encontrar las recomendaciones personalizadas, las hemos pasado a un control de seguridad dedicado, "Recomendaciones personalizadas". Este control no afecta a la puntuación segura.
Más información sobre los controles de seguridad en puntuación de seguridad mejorada (versión preliminar) de Azure Security Center.
Alternancia agregada para ver las recomendaciones en controles o como una lista plana
Los controles de seguridad son grupos lógicos de recomendaciones de seguridad relacionadas. Reflejan las superficies de ataque vulnerables. Un control es un conjunto de recomendaciones de seguridad con instrucciones que le ayudan a implementar esas recomendaciones.
Para ver de inmediato cómo protege su organización cada superficie de ataque individual, revise las puntuaciones de cada control de seguridad.
De forma predeterminada, las recomendaciones se muestran en los controles de seguridad. A partir de esta actualización también se pueden mostrar como una lista. Para verlos como una lista simple ordenada por el estado de mantenimiento de los recursos afectados, use el nuevo comando de alternancia "agrupar por controles". El comando de alternancia está encima de la lista en el portal.
Los controles de seguridad y esta alternancia forman parte de la nueva experiencia de puntuación segura. No se olvide de enviarnos sus comentarios desde dentro del portal.
Más información sobre los controles de seguridad en puntuación de seguridad mejorada (versión preliminar) de Azure Security Center.
Control de seguridad expandido "implementar prácticas recomendadas de seguridad"
Un control de seguridad introducido con la puntuación de seguridad mejorada es "Implementar procedimientos recomendados de seguridad". Cuando una recomendación está en este control, no afecta a la puntuación segura.
Con esta actualización, se han sacado tres recomendaciones de los controles en los que se colocaron originalmente y en este control de prácticas recomendadas. Hemos realizado este paso porque hemos determinado que el riesgo de estas tres recomendaciones es menor de lo que se pensó inicialmente.
Además, se han incorporado dos nuevas recomendaciones y se han agregado a este control.
Las tres recomendaciones que se movieron son:
- MFA debe estar habilitada en las cuentas con permisos de lectura en la suscripción (originalmente en el control "habilitar MFA")
- Las cuentas externas con permisos de lectura deben quitarse de la suscripción (originalmente en el control "administrar acceso y permisos")
- Se debe designar un máximo de 3 propietarios para la suscripción (originalmente en el control "administrar acceso y permisos")
Las dos nuevas recomendaciones que se han agregado al control son:
La extensión de configuración de invitado debe instalarse en máquinas virtuales Windows (versión preliminar): el uso de la configuración de invitado de Azure Policy proporciona visibilidad dentro de las máquinas virtuales a la configuración de servidor y de aplicación (solo Windows).
Protección contra vulnerabilidades de seguridad de Windows Defender debe estar habilitada en las máquinas (versión preliminar) : Protección contra vulnerabilidades de seguridad de Windows Defender aprovecha el agente de configuración de invitado de Azure Policy. La protección contra vulnerabilidades de seguridad tiene cuatro componentes diseñados para bloquear dispositivos en una amplia variedad de vectores de ataque y comportamientos de bloque utilizados habitualmente en ataques de malware, al tiempo que permiten a las empresas equilibrar los requisitos de productividad y riesgo de seguridad (solo Windows).
Más información sobre la protección contra vulnerabilidades de seguridad de Windows Defender en Crear e implementar una directiva de protección contra vulnerabilidades.
Obtenga más información sobre los controles de seguridad en Puntuación de seguridad mejorada (versión preliminar).
Las directivas personalizadas con metadatos personalizados ya están disponibles con carácter general
Las directivas personalizadas ahora forman parte de la experiencia de recomendaciones de Security Center, la puntuación segura y el panel de normas de cumplimiento normativo. Esta característica ya está disponible con carácter general y permite ampliar la cobertura de evaluación de seguridad de la organización en Security Center.
Cree una iniciativa personalizada en Azure Policy, agréguele directivas e incorpórela a Azure Security Center, y visualícela como recomendaciones.
Ahora también hemos agregado la opción para editar los metadatos de recomendación personalizados. Las opciones de metadatos incluyen gravedad, pasos de corrección, información de amenazas y mucho más.
Más información sobre mejora de las recomendaciones personalizadas con información detallada.
Migración de funcionalidades de análisis de volcado de memoria a detección de ataques sin archivos
Estamos integrando las capacidades de detección del análisis de volcado de memoria de Windows (CDA) en detección de ataques sin archivos. El análisis de detección de ataques sin archivos proporciona versiones mejoradas de las siguientes alertas de seguridad para máquinas Windows: Inserción de código detectada, Detectado módulo de Windows enmascarado, Shellcode detectado y Segmento de código sospechoso.
Algunas de las ventajas de esta transición son:
Detección de malware proactiva y oportuna: el enfoque de CDA implicaba esperar a que se produjera un bloqueo y, después, ejecutar el análisis para encontrar artefactos malintencionados. El uso de la detección de ataques sin archivos proporciona una identificación proactiva de las amenazas en memoria mientras se ejecutan.
Alertas enriquecidas: las alertas de seguridad de la detección de ataques sin archivos no están disponibles en CDA, como la información de las conexiones de red activas.
Agregación de alertas: cuando CDA detectó varios patrones de ataque en un solo volcado de memoria, desencadenó varias alertas de seguridad. Detección de ataques sin archivos combina todos los patrones de ataque identificados del mismo proceso en una única alerta, lo que elimina la necesidad de poner en correlación varias alertas.
Requisitos reducidos en el área de trabajo de Log Analytics: los volcados que contienen datos potencialmente confidenciales ya no se cargarán en el área de trabajo de Log Analytics.
Abril de 2020
Las actualizaciones de abril incluyen:
- Los paquetes de cumplimiento dinámico ya están disponibles con carácter general
- Las recomendaciones de identidad ahora están incluidas en el nivel gratuito de Azure Security Center
Los paquetes de cumplimiento dinámico ya están disponibles con carácter general
El panel de cumplimiento normativo de Azure Security Center ahora incluye paquetes de cumplimiento dinámico (ya disponible con carácter general) para realizar un seguimiento de los estándares de la industria y normativas adicionales.
Los paquetes de cumplimiento dinámico se pueden agregar a su suscripción o grupo de administración desde la página de la directiva de seguridad de Security Center. Cuando haya incorporado un estándar o una prueba comparativa, el estándar aparece en el panel de cumplimiento normativo con todos los datos de cumplimiento asociados asignados como evaluaciones. Podrá descargar un informe de resumen para cualquiera de los estándares que se hayan incorporado.
Ahora, puede agregar estándares como:
- NIST SP 800-53 R4
- SWIFT CSP CSCF-v2020
- UK Official y UK NHS
- Canada Federal PBMM
- Azure CIS 1.1.0 (nuevo) (que es una representación más completa de Azure CIS 1.1.0)
Además, recientemente hemos agregado el Azure Security Benchmark, las instrucciones específicas de Azure creadas por Microsoft para las prácticas recomendadas de seguridad y cumplimiento basadas en los marcos de cumplimiento comunes. Se admitirán estándares adicionales en el panel a medida que estén disponibles.
Más información sobre cómo personalizar el conjunto de estándares en el panel de cumplimiento normativo.
Recomendaciones de identidad ahora incluidas en el nivel gratuito de Azure Security Center
Las recomendaciones de seguridad para la identidad y el acceso en el nivel gratuito de Azure Security Center ya están disponibles con carácter general. Esto forma parte del esfuerzo de hacer que las características de la administración de posturas de seguridad en la nube (CSPM) sean gratuitas. Hasta ahora, estas recomendaciones solo estaban disponibles en el plan de tarifa estándar.
Los ejemplos de recomendaciones de identidad y acceso incluyen:
- "La autenticación multifactor debe estar habilitada en las cuentas con permisos de propietario en la suscripción".
- "Debe designar un máximo de tres propietarios para la suscripción".
- "Las cuentas en desuso deben quitarse de la suscripción".
Si tiene suscripciones en el plan de tarifa gratuito, su puntuación de seguridad se verá afectada por este cambio ya que nunca se evaluó su identidad y seguridad de acceso.
Más información sobre recomendaciones de identidad y acceso.
Obtenga más información sobre cómo administrar la aplicación de la autenticación multifactor (MFA) en las suscripciones.
Marzo de 2020
Las actualizaciones de marzo incluyen:
- La automatización del flujo de trabajo ya está disponible con carácter general
- Integración de Azure Security Center con Windows Admin Center
- Protección para Azure Kubernetes Service
- Experiencia Just-in-Time mejorada
- Dos recomendaciones de seguridad para las aplicaciones web en desuso
La automatización del flujo de trabajo ya está disponible con carácter general
La característica de automatización del flujo de trabajo de Azure Security Center ahora está disponible con carácter general. Úsela para desencadenar automáticamente una instancia de Logic Apps sobre alertas y recomendaciones de seguridad. Además, los desencadenadores manuales están disponibles para las alertas y todas las recomendaciones que tienen la opción corrección rápida disponible.
Cada programa de seguridad incluye varios flujos de trabajo para la respuesta a incidentes. Estos procesos pueden incluir notificaciones para las partes interesadas competentes, iniciar un proceso de administración de cambios y aplicar pasos de corrección específicos. Los expertos en seguridad recomiendan automatizar tantos pasos de esos procedimientos como sea posible. La automatización reduce la sobrecarga y puede mejorar la seguridad asegurándose de que los pasos del proceso se realizan de forma rápida, coherente y según sus requisitos predefinidos.
Para más información acerca de las capacidades de Security Center automática y manual para ejecutar los flujos de trabajo, consulte automatización de flujos de trabajo.
Más información acerca de la creación de Logic Apps.
Integración de Azure Security Center con Windows Admin Center
Ahora es posible migrar los servidores de Windows locales desde Windows Admin Center directamente a Azure Security Center. Security Center, a continuación, se convierte en el único panel para ver la información de seguridad de todos los recursos de Windows Admin Center, incluidos los servidores locales, las máquinas virtuales y las cargas de trabajo PaaS adicionales.
Después de mover un servidor de Windows Admin Center a Azure Security Center, podrá realizar lo siguiente:
- Ver alertas y recomendaciones de seguridad en la extensión de Security Center de Windows Admin Center.
- Ver la postura de seguridad y recuperar información detallada adicional de los servidores administrados de Windows Admin Center en Security Center, mediante Azure Portal (o a través de una API).
Más información sobre cómo integrar Azure Security Center con Windows Admin Center.
Protección para Azure Kubernetes Service
Azure Security Center está expandiendo sus características de seguridad de contenedor para proteger Azure Kubernetes Service (AKS).
La popular plataforma de código abierto Kubernetes se ha adoptado tan ampliamente que ahora es un estándar del sector para la orquestación de contenedores. A pesar de esta implementación generalizada, todavía hay una falta de comprensión sobre cómo proteger un entorno de Kubernetes. Defender las superficies de ataque de una aplicación en contenedores requiere conocimientos para asegurarse de que la infraestructura esté configurada de forma segura y se supervise constantemente para detectar posibles amenazas.
La defensa de Security Center incluye:
- Detección y visibilidad: detección continua de instancias de AKS administradas dentro de las suscripciones registradas de Security Center.
- Recomendaciones de seguridad: recomendaciones útiles para ayudarle a cumplir los procedimientos recomendados de seguridad para AKS. Estas recomendaciones se incluyen en su puntuación segura para asegurarse de que se ven como parte de la postura de seguridad de su organización. Un ejemplo de una recomendación relacionada con AKS que podría ver es que "Se debe usar el control de acceso basado en roles para restringir el acceso a un clúster de servicio de Kubernetes".
- Protección contra amenazas: gracias al análisis continuo de la implementación de AKS, Security Center le alerta de las amenazas y actividades malintencionadas que se detectan en el host y el nivel de clúster de AKS.
Más información acerca de integración de Azure Kubernetes Services con Security Center.
Más información sobre las características de seguridad de los contenedores en Security Center.
Experiencia Just-in-Time mejorada
Las características, la operación y la interfaz de usuario de las herramientas Just-in-Time de Azure Security Center que protegen los puertos de administración se han mejorado de la manera siguiente:
- Campo de justificación: al solicitar acceso a una máquina virtual (VM) a través de la página Just-in-Time del Azure Portal, hay un nuevo campo opcional disponible para especificar una justificación para la solicitud. Se puede realizar un seguimiento de la información especificada en este campo en el registro de actividad.
- Limpieza automática de reglas Just-In-Time (JIT) redundantes: siempre que se actualiza una directiva JIT, se ejecuta automáticamente una herramienta de limpieza para comprobar la validez de todo el conjunto de reglas. La herramienta busca discrepancias entre las reglas de la directiva y las reglas del grupo de seguridad de red. Si la herramienta de limpieza encuentra una discrepancia, determina la causa y, cuando es seguro hacerlo, quita las reglas integradas que ya no son necesarias. El limpiador no elimina nunca las reglas que ha creado.
Más información acerca de la característica de acceso JIT.
Dos recomendaciones de seguridad para las aplicaciones web en desuso
Dos recomendaciones de seguridad relacionadas con las aplicaciones web están en desuso:
Se deben proteger las reglas de las aplicaciones web en los grupos de seguridad de red de IaaS. (Directiva relacionada: Se deben proteger las reglas de NSG para las aplicaciones web en IaaS).
El acceso a App Services debe estar restringido. (Directiva relacionada: El acceso a App Services debe estar restringido [versión preliminar])
Estas recomendaciones ya no aparecerán en la lista de Security Center de recomendaciones. Las directivas relacionadas ya no se incluirán en la iniciativa denominada "valor predeterminado de Security Center".
Más información sobre las recomendaciones de seguridad.
Febrero de 2020
Detección de ataques sin archivos para Linux (versión preliminar)
A medida que los atacantes aumentan el empleo de métodos stealthier para evitar la detección, Azure Security Center está ampliando la detección de ataques no archivados para Linux, además de Windows. Los ataques sin archivos no aprovechan las vulnerabilidades del software, insertan cargas malintencionadas en procesos benignos del sistema y se ocultan en la memoria. Estas técnicas:
- minimiza o eliminan seguimientos de malware en disco
- reducen considerablemente las posibilidades de detección mediante soluciones de análisis de malware basadas en disco
Para contrarrestar esta amenaza, Azure Security Center publicó la detección de ataques sin archivos para Windows en octubre de 2018 y ahora ha extendido la detección de ataques sin archivos en Linux.
Enero de 2020
Puntuación de seguridad mejorada (versión preliminar)
Ahora hay disponible una versión mejorada de la característica de puntuación segura de Azure Security Center en versión preliminar. En esta versión, se agrupan varias recomendaciones en controles de seguridad que reflejan mejor las superficies de ataque vulnerables (por ejemplo, restringir el acceso a los puertos de administración).
Familiarícese con los cambios de puntuación segura durante la fase de versión preliminar y determine otras correcciones que le ayudarán a proteger más su entorno.
Obtenga más información sobe la puntuación de seguridad mejorada (versión preliminar).
Noviembre de 2019
Las actualizaciones de noviembre incluyen:
- Protección contra amenazas para Azure Key Vault en regiones de Norteamérica (versión preliminar)
- La protección contra amenazas para Azure Storage incluye el filtrado de reputación de malware
- Automatización del flujo de trabajo con Logic Apps (versión preliminar)
- Corrección rápida de los recursos en masa disponibles con carácter general
- Examen de imágenes de contenedor para detectar vulnerabilidades (versión preliminar)
- Estándares de cumplimiento normativo adicionales (versión preliminar)
- Protección contra amenazas para Azure Kubernetes Service (versión preliminar)
- Evaluación de vulnerabilidades de máquinas virtuales (versión preliminar)
- Advanced Data Security para servidores SQL Server en Azure Virtual Machines (versión preliminar)
- Compatibilidad con directivas personalizadas (versión preliminar)
- Ampliación de la cobertura de Azure Security Center con la plataforma para la comunidad y los asociados
- Integraciones avanzadas con la exportación de recomendaciones y alertas (versión preliminar)
- Incorporación de servidores locales a Security Center desde Windows Admin Center (versión preliminar)
Protección contra amenazas para Azure Key Vault en regiones de Norteamérica (versión preliminar)
Azure Key Vault es un servicio esencial para proteger los datos y mejorar el rendimiento de las aplicaciones en la nube, ya que ofrece la posibilidad de administrar de forma centralizada claves, secretos, claves criptográficas y directivas en la nube. Como Azure Key Vault almacena datos confidenciales y críticos para la empresa, requiere la máxima seguridad para los almacenes de claves y los datos almacenados en ellos.
El soporte de Azure Security Center para Threat Protection para Azure Key Vault proporciona un nivel adicional de inteligencia de seguridad que detecta intentos poco habituales y potencialmente peligrosos de acceder a los almacén de claves o vulnerarlos. Esta nueva capa de protección permite a los clientes afrontar las amenazas contra sus almacenes sin necesidad de ser un experto en seguridad ni administrar sistemas de supervisión de la seguridad. La característica está en versión preliminar pública en regiones Norteamérica.
La protección contra amenazas para Azure Storage incluye el filtrado de reputación de malware
La protección contra amenazas para Azure Storage ofrece nuevas detecciones basadas en la inteligencia sobre amenazas de Microsoft para detectar cargas de malware en Azure Storage mediante el análisis de reputación de hash y accesos sospechosos desde un nodo de salida de Tor activo (un proxy de anonimización). Ahora puede ver el malware detectado en todas las cuentas de almacenamiento mediante Azure Security Center.
Automatización del flujo de trabajo con Logic Apps (versión preliminar)
Organizaciones con seguridad administrada centralmente y de TI/operaciones que implementan procesos de flujo de trabajo internos para impulsar la acción necesaria dentro de la organización cuando se detectan discrepancias en sus entornos. En muchos casos, estos flujos de trabajo son procesos repetibles y la automatización puede optimizar considerablemente los procesos dentro de la organización.
Hoy estamos presentando una nueva funcionalidad en Security Center que permite a los clientes crear configuraciones de automatización que aprovechan Azure Logic Apps y crear directivas que las desencadenarán automáticamente en función de determinados resultados de ASC, como recomendaciones o alertas. La aplicación lógica de Azure se puede configurar para realizar cualquier acción personalizada compatible con la amplia comunidad de conectores de aplicaciones lógicas, o bien usar una de las plantillas proporcionadas por Security Center como enviar un correo electrónico o abrir un vale de ServiceNow™.
Para más información acerca de las capacidades de Security Center automática y manual para ejecutar los flujos de trabajo, consulte automatización de flujos de trabajo.
Para información acerca de la creación de Logic Apps, consulte Azure Logic Apps.
Corrección rápida de los recursos en masa disponibles con carácter general
Con las muchas tareas que se proporcionan a un usuario como parte de la puntuación segura, la capacidad de corregir los problemas de forma eficaz en una flota de gran tamaño puede resultar complicada.
Use Corrección rápida para corregir errores de configuración de seguridad, corregir recomendaciones sobre varios recursos y mejorar la puntuación de seguridad.
Esta operación le permitirá seleccionar los recursos a los que desea aplicar la corrección e iniciar una acción correctiva que configurará la configuración en su nombre.
La corrección rápida está disponible con carácter general para los clientes de hoy en día como parte de la página de recomendaciones de Security Center.
Vea qué recomendaciones tiene habilitada la corrección rápida en la guía de referencia para recomendaciones de seguridad.
Examinar imágenes de contenedor para detectar vulnerabilidades (versión preliminar)
Ahora Azure Security Center puede examinar imágenes de contenedor en Azure Container Registry para detectar vulnerabilidades.
El análisis de imágenes funciona mediante el análisis del archivo de imagen del contenedor y la comprobación de la existencia de alguna vulnerabilidad conocida (con la tecnología Qualys).
El propio análisis se desencadena automáticamente al insertar nuevas imágenes de contenedor en Azure Container Registry. Las vulnerabilidades detectadas se verán como recomendaciones de Security Center y se incluirán en la puntuación segura junto con información sobre cómo aplicarles revisiones para reducir la superficie expuesta a los ataques que permitían.
Estándares de cumplimiento normativo adicionales (versión preliminar)
En el panel de cumplimiento normativo se ofrece información sobre la postura de cumplimiento basado en las evaluaciones de Security Center. En el panel se muestra cómo el entorno cumple los controles y requisitos designados por estándares normativos específicos y pruebas comparativas del sector, y proporciona recomendaciones prescriptivas para abordar estos requisitos.
Por lo tanto, el panel de cumplimiento normativo ha admitido cuatro estándares integrados: Azure CIS 1.1.0, PCI-DSS, ISO 27001, y SOC-TSP. Ahora anunciamos la versión preliminar pública de estándares admitidos adicionales: NIST SP 800-53 R4, SWIFT CSP CSCF v2020, Canada Federal PBMM y UK Official junto con UK NHS. También lanzamos una versión actualizada de Azure CIS 1.1.0, que cubre más controles del estándar y la mejora de la extensibilidad.
Protección contra amenazas para Azure Kubernetes Service (versión preliminar)
Kubernetes se convierte rápidamente en el nuevo estándar para implementar y administrar software en la nube. Pocas personas tienen una amplia experiencia con Kubernetes y muchos solo se centran en la ingeniería y administración generales y pasan por alto el aspecto de seguridad. El entorno de Kubernetes debe configurarse cuidadosamente para que sea seguro, asegurándose de que no se deja abierta ninguna puerta expuesta a ataques de contenedor para los atacantes. Security Center está expandiendo su compatibilidad en el espacio del contenedor a uno de los servicios en crecimiento más rápido de Azure: Azure Kubernetes Service (AKS).
Las nuevas capacidades de esta versión preliminar pública incluyen:
- Detección y visibilidad: detección continua de instancias de AKS administradas dentro de las suscripciones registradas de Security Center.
- Recomendaciones de puntuación de seguridad: Elementos procesables para ayudar a los clientes a cumplir con los procedimientos recomendados de seguridad para AKS y aumentar su puntuación de seguridad. Las recomendaciones incluyen elementos como "El control de acceso basado en rol debe usarse para restringir el acceso a un clúster de servicio de Kubernetes".
- Detección de amenazas: análisis basados en host y en clúster, como "Se ha detectado un contenedor con privilegios".
Evaluación de vulnerabilidades de máquinas virtuales (versión preliminar)
Las aplicaciones que se instalan en máquinas virtuales a menudo pueden tener vulnerabilidades que podrían provocar una infracción de la máquina virtual. Estamos anunciando que el nivel estándar de Security Center incluye una evaluación de vulnerabilidades integrada para máquinas virtuales sin costo adicional. La evaluación de vulnerabilidades, con la tecnología de Qualys en la versión preliminar pública, le permitirá examinar continuamente todas las aplicaciones instaladas en una máquina virtual para encontrar aplicaciones vulnerables y presentar las conclusiones en la experiencia del portal de Security Center. Security Center se encarga de todas las operaciones de implementación para que no sea necesario ningún trabajo adicional por parte del usuario. En adelante, tenemos previsto proporcionar opciones de evaluación de vulnerabilidades para satisfacer las necesidades empresariales únicas de nuestros clientes.
Más información acerca de evaluaciones de vulnerabilidades para Azure Virtual Machines.
Advanced Data Security para servidores SQL Server en Azure Virtual Machines (versión preliminar)
La compatibilidad de Azure Security Center para la protección contra amenazas y la evaluación de vulnerabilidades en las bases de SQL que se ejecutan en máquinas virtuales IaaS está ahora en versión preliminar.
Evaluación de vulnerabilidades es un servicio fácil de configurar que puede detectar, realizar un seguimiento y ayudarle a corregir posibles puntos vulnerables de una base de datos. Permite ver la postura de seguridad como parte de la puntuación segura e incluye los pasos para resolver problemas de seguridad y mejorar las defensas de su base de datos.
Advanced Threat Protection detecta actividades anómalas que indican intentos inusuales y potencialmente perjudiciales de acceder a su servidor SQL Server o de aprovechar sus vulnerabilidades. Supervisa de forma constante la base de datos en busca de actividad sospechosa y proporciona alertas de seguridad sobre patrones de acceso a la base de datos anómalos para que pueda tomar medidas. Las alertas proporcionan detalles de la actividad sospechosa y recomiendan acciones para investigar y mitigar la amenaza.
Compatibilidad con directivas personalizadas (versión preliminar)
Azure Security Center admite ahora directivas personalizadas (en versión preliminar).
Nuestros clientes han estado intentando ampliar su cobertura de evaluaciones de seguridad actual en Security Center con sus propias evaluaciones de seguridad basadas en las directivas que crean en Azure Policy. Gracias a la compatibilidad con las directivas personalizadas, ahora es posible.
Estas nuevas directivas formarán parte de la experiencia de recomendaciones de Security Center, la puntuación segura y el panel de normas de cumplimiento normativo. Con la compatibilidad con las directivas personalizadas, ahora puede crear una iniciativa personalizada en Azure Policy y, a continuación, agregarla como una directiva en Security Center y visualizarla como una recomendación.
Ampliación de la cobertura de Azure Security Center con la plataforma para la comunidad y los asociados
Use Security Center para recibir recomendaciones no solo de Microsoft, sino también de soluciones existentes de asociados como Check Point, Tenable y CyberArk con muchas más integraciones. El flujo de incorporación simple de Security Center puede conectar las soluciones existentes a Security Center, lo que permite ver las recomendaciones de seguridad en un único lugar, ejecutar informes unificados y aprovechar todas las funcionalidades de Security Center con las recomendaciones integradas y de asociados. También puede exportar las recomendaciones de Security Center a productos de asociados.
Más información sobre Intelligent Security Association.
Integraciones avanzadas con la exportación de recomendaciones y alertas (versión preliminar)
Con el fin de habilitar escenarios de nivel empresarial sobre Security Center, ahora es posible consumir alertas y recomendaciones de Security Center en otros lugares, excepto Azure Portal o la API. Estos se pueden exportar directamente a un centro de eventos y a áreas de trabajo de Log Analytics. Estos son algunos de los flujos de trabajo que puede crear en torno a estas nuevas capacidades:
- Con la exportación al área de trabajo de Log Analytics, puede crear paneles personalizados con Power BI.
- Con la exportación a Event Hubs, podrá exportar las alertas y recomendaciones de Security Center a los SIEM de terceros, a una solución de terceros o a Azure Data Explorer.
Incorporación de servidores locales a Security Center desde Windows Admin Center (versión preliminar)
Windows Admin Center es un portal de administración para los servidores de Windows que no están implementados en Azure y que ofrecen varias funcionalidades de administración de Azure, como copias de seguridad y actualizaciones del sistema. Recientemente hemos agregado una capacidad para incorporar estos servidores que no son de Azure para que ASC los proteja directamente de la experiencia de Windows Admin Center.
Los usuarios ahora pueden incorporar un servidor WAC a Azure Security Center y habilitar la visualización de sus alertas y recomendaciones de seguridad directamente en la experiencia de Windows Administración Center.
Septiembre de 2019
Las actualizaciones de septiembre incluyen:
- Administración de reglas con mejoras de controles de aplicación adaptables
- Control de la recomendación de seguridad del contenedor mediante Azure Policy
Administrar reglas con mejoras de controles de aplicación adaptables
Se ha mejorado la experiencia de administración de reglas para máquinas virtuales mediante controles de aplicación adaptables. Los controles de aplicación adaptables de Azure Security Center ayudan a controlar qué aplicaciones se pueden ejecutar en las máquinas virtuales. Además de una mejora general en la administración de reglas, una nueva ventaja le permite controlar qué tipos de archivo se protegerán cuando agregue una nueva regla.
Más información acerca de los controles de aplicación adaptables.
Controlar la recomendación de seguridad del contenedor mediante Azure Policy
La recomendación de Azure Security Center para corregir vulnerabilidades en la seguridad de los contenedores ahora puede habilitarse o deshabilitarse mediante Azure Policy.
Para ver las directivas de seguridad habilitadas, en Security Center abra la página Directiva de seguridad.
Agosto de 2019
Las actualizaciones de agosto incluyen:
- Acceso a máquina virtual Just-in-Time (JIT) para Azure Firewall
- Corrección de un solo clic para impulsar la postura de seguridad (versión preliminar)
- Administración entre inquilinos
Acceso a máquina virtual Just-in-Time (JIT) para Azure Firewall
El acceso a máquina virtual Just-in-Time (JIT) para Azure Firewall ya está disponible con carácter general. Úselo para proteger sus entornos protegidos con Azure Firewall además de los entornos protegidos con NSG.
El acceso de máquina virtual JIT reduce la exposición a los ataques volumétricos de red al proporcionar acceso controlado a las máquinas virtuales solo cuando sea necesario, mediante el uso de las reglas de NSG y Azure Firewall.
Al habilitar JIT para las máquinas virtuales, se crea una directiva que determina los puertos que se van a proteger, cuánto tiempo deben permanecer abiertos los puertos y las direcciones IP aprobadas desde donde se puede tener acceso a estos puertos. Esta directiva le ayuda a mantener el control de lo que los usuarios pueden hacer cuando solicitan acceso.
Las solicitudes se registran en el registro de actividad de Azure para que pueda supervisar y auditar fácilmente el acceso. La página Just-in-Time también le ayuda a identificar rápidamente las máquinas virtuales existentes que tienen habilitado JIT y las máquinas virtuales en las que se recomienda JIT.
Más información acerca de Azure Firewall.
Corrección de un solo clic para impulsar la postura de seguridad (versión preliminar)
La puntuación segura es una herramienta que le ayuda a evaluar la postura de seguridad de las cargas de trabajo. Revisa las recomendaciones de seguridad y les asigna una prioridad, para que usted sepa qué recomendaciones realizar primero. De esta manera, puede encontrar las vulnerabilidades de seguridad más graves para dar prioridad a la investigación.
Con el fin de simplificar la corrección de configuraciones incompletas de seguridad y ayudarle a mejorar rápidamente su puntuación segura, hemos agregado una nueva funcionalidad que le permite corregir una recomendación en una gran parte de los recursos con un solo clic.
Esta operación le permitirá seleccionar los recursos a los que desea aplicar la corrección e iniciar una acción correctiva que configurará la configuración en su nombre.
Vea qué recomendaciones tiene habilitada la corrección rápida en la guía de referencia para recomendaciones de seguridad.
Administración entre inquilinos
Security Center admite ahora escenarios de administración entre inquilinos como parte de Azure Lighthouse. Esto le permite obtener visibilidad y administrar la postura de seguridad de varios inquilinos en Security Center.
Más información sobre las experiencias de administración entre inquilinos.
Julio de 2019
Actualizaciones de recomendaciones sobre redes
Azure Security Center (ASC) ha lanzado nuevas recomendaciones de redes y ha mejorado algunas existentes. Ahora, el uso de Security Center garantiza una mayor protección de la red para los recursos.
Más información sobre las recomendaciones de redes.
Junio de 2019
Protección de redes adaptable: disponible con carácter general
Una de las superficies de ataque más importantes para las cargas de trabajo que se ejecutan en la nube pública son las conexiones hacia y desde la red pública de Internet. Nuestros clientes saben que es difícil saber qué reglas del grupo de seguridad de red (NSG) deben estar en vigor para asegurarse de que las cargas de trabajo de Azure solo están disponibles para los intervalos de origen necesarios. Con esta característica, Security Center aprende los patrones de conectividad y el tráfico de red de las cargas de trabajo de Azure y proporciona recomendaciones de reglas de NSG, para las máquinas virtuales orientadas a Internet. Esto ayuda a nuestro cliente a configurar mejor las directivas de acceso a la red y limitar su exposición a los ataques.