Detalles de la iniciativa integrada de cumplimiento normativo de CIS Microsoft Azure Foundations Benchmark 2.0.0

En el siguiente artículo se detalla la correspondencia entre los dominios de cumplimiento y los controles de la definición de la iniciativa integrada de cumplimiento normativo de Azure Policy en CIS Microsoft Azure Foundations Benchmark 2.0.0. Para más información sobre este estándar de cumplimiento, consulte CIS Microsoft Azure Foundations Benchmark 2.0.0. Para entender el concepto de propiedad, consulte Definición de directivas de Azure Policy y Responsabilidad compartida en la nube.

Las siguientes asignaciones son para los controles de CIS Microsoft Azure Foundations Benchmark 2.0.0. Muchos de los controles se implementan con una definición de iniciativa de Azure Policy. Para revisar la definición de iniciativa completa, abra Policy en Azure Portal y seleccione la página Definiciones. Busque y seleccione la definición de la iniciativa integrada de cumplimiento normativo de CIS Microsoft Azure Foundations Benchmark v2.0.0.

Importante

Cada control que se muestra a continuación está asociado a una o varias definiciones de Azure Policy. Estas directivas pueden ayudarle a evaluar el cumplimiento mediante el control. Sin embargo, con frecuencia no hay una correspondencia completa o exacta entre un control y una o varias directivas. Como tal, el cumplimiento en Azure Policy solo se refiere a las propias definiciones de directiva; esto no garantiza que se cumpla totalmente con todos los requisitos de un control. Además, el estándar de cumplimiento incluye controles que no se abordan con las definiciones de Azure Policy en este momento. Por lo tanto, el cumplimiento en Azure Policy es solo una vista parcial del estado general de cumplimiento. Las asociaciones entre los dominios de cumplimiento, los controles y las definiciones de Azure Policy para este estándar de cumplimiento pueden cambiar con el tiempo. Para ver el historial de cambios, consulte el historial de confirmación de GitHub.

1.1

Asegurarse de que los valores predeterminados de seguridad están habilitados en Azure Active Directory

ID: Recomendación de CIS Microsoft Azure Foundations Benchmark 1.1.1 Propiedad: Compartida

Nombre (Azure Portal)	Descripción	Efectos	Versión (GitHub)
Adopción de mecanismos de autenticación biométrica	CMA_0005: adopción de mecanismos de autenticación biométrica	Manual, Deshabilitado	1.1.0
Autenticación para el módulo criptográfico	CMA_0021: Autenticar para el módulo criptográfico	Manual, Deshabilitado	1.1.0
Autorizar acceso remoto	CMA_0024: Autorizar acceso remoto	Manual, Deshabilitado	1.1.0
Entrenamiento de movilidad de documentos	CMA_0191: Entrenamiento de movilidad de documentos	Manual, Deshabilitado	1.1.0
Documentar las directrices de acceso remoto	CMA_0196: Documentar las directrices de acceso remoto	Manual, Deshabilitado	1.1.0
Identificación y autenticación de dispositivos de red	CMA_0296: Identificar y autenticar los dispositivos de red	Manual, Deshabilitado	1.1.0
Implementar controles para proteger sitios de trabajo alternativos	CMA_0315: Implementar controles para proteger sitios de trabajo alternativos	Manual, Deshabilitado	1.1.0
Proporcionar entrenamiento sobre la privacidad	CMA_0415: Proporcionar entrenamiento sobre la privacidad	Manual, Deshabilitado	1.1.0
Satisfacer los requisitos de calidad del token	CMA_0487: Satisfacer los requisitos de calidad del token	Manual, Deshabilitado	1.1.0

Asegurarse de que "Estado de Autenticación multifactor" esté "Habilitado" para todos los usuarios con privilegios

ID: Recomendación de CIS Microsoft Azure Foundations Benchmark 1.1.2 Propiedad: Compartida

Nombre (Azure Portal)	Descripción	Efectos	Versión (GitHub)
Deben estar habilitadas para MFA las cuentas con permisos de propietario de los recursos de Azure.	Multi-Factor Authentication (MFA) debe estar habilitada para todas las cuentas de la suscripción que tengan permisos de propietario, a fin de evitar una brecha de seguridad en las cuentas o los recursos.	AuditIfNotExists, Disabled	1.0.0
Deben estar habilitadas para MFA las cuentas con permisos de escritura de los recursos de Azure.	Multi-Factor Authentication (MFA) debe estar habilitada para todas las cuentas de la suscripción que tengan permisos de escritura, a fin de evitar una brecha de seguridad en las cuentas o los recursos.	AuditIfNotExists, Disabled	1.0.0
Adopción de mecanismos de autenticación biométrica	CMA_0005: adopción de mecanismos de autenticación biométrica	Manual, Deshabilitado	1.1.0

Asegurarse de que "Estado de Autenticación multifactor" esté "Habilitado" para todos los usuarios sin privilegios

ID: Recomendación de CIS Microsoft Azure Foundations Benchmark 1.1.3 Propiedad: Compartida

Nombre (Azure Portal)	Descripción	Efectos	Versión (GitHub)
Deben estar habilitadas para MFA las cuentas con permisos de lectura de los recursos de Azure.	Multi-Factor Authentication (MFA) debe estar habilitada para todas las cuentas de la suscripción que tengan permisos de lectura, a fin de evitar una brecha de seguridad en las cuentas o los recursos.	AuditIfNotExists, Disabled	1.0.0
Adopción de mecanismos de autenticación biométrica	CMA_0005: adopción de mecanismos de autenticación biométrica	Manual, Deshabilitado	1.1.0

Asegúrese de que la opción "Permitir a los usuarios que se recuerde la autenticación multifactor en los dispositivos en los que confían" esté "Deshabilitado"

ID: Recomendación de CIS Microsoft Azure Foundations Benchmark 1.1.4 Propiedad: Compartida

Nombre (Azure Portal)	Descripción	Efectos	Versión (GitHub)
Adopción de mecanismos de autenticación biométrica	CMA_0005: adopción de mecanismos de autenticación biométrica	Manual, Deshabilitado	1.1.0
Identificación y autenticación de dispositivos de red	CMA_0296: Identificar y autenticar los dispositivos de red	Manual, Deshabilitado	1.1.0
Satisfacer los requisitos de calidad del token	CMA_0487: Satisfacer los requisitos de calidad del token	Manual, Deshabilitado	1.1.0

1

Asegurarse de que "¿Enviar una notificación a todos los administradores cuando otros administradores restablezcan su contraseña?" esté establecido en "Sí" esté establecido en "Sí".

Id.: recomendación de CIS Microsoft Azure Foundations Benchmark 1.10 Propiedad: compartido

Nombre (Azure Portal)	Descripción	Efectos	Versión (GitHub)
Auditar funciones con privilegios	CMA_0019: Auditar funciones con privilegios	Manual, Deshabilitado	1.1.0
Automatizar la administración de cuentas	CMA_0026: Automatizar la administración de cuentas	Manual, Deshabilitado	1.1.0
Implementación del entrenamiento para proteger los autenticadores	CMA_0329: Implementar el entrenamiento para proteger los autenticadores	Manual, Deshabilitado	1.1.0
Administrar cuentas de administrador y del sistema	CMA_0368: Administrar cuentas de administrador y del sistema	Manual, Deshabilitado	1.1.0
Supervisar el acceso en toda la organización	CMA_0376: Supervisar el acceso en toda la organización	Manual, Deshabilitado	1.1.0
Supervisión de la asignación de roles con privilegios	CMA_0378: Supervisar la asignación de roles con privilegios	Manual, Deshabilitado	1.1.0
Notificar cuando no se necesite la cuenta	CMA_0383: Notificar cuando no se necesite la cuenta	Manual, Deshabilitado	1.1.0
Restringir el acceso a las cuentas con privilegios	CMA_0446: Restringir el acceso a las cuentas con privilegios	Manual, Deshabilitado	1.1.0
Revocar roles con privilegios según corresponda	CMA_0483: Revocar roles con privilegios según corresponda	Manual, Deshabilitado	1.1.0
Usar Privileged Identity Management	CMA_0533: Usar Privileged Identity Management	Manual, Deshabilitado	1.1.0

Asegúrese de que User consent for applications esté establecido en Do not allow user consent

Id.: recomendación de CIS Microsoft Azure Foundations Benchmark 1.11 Propiedad: compartido

Nombre (Azure Portal)	Descripción	Efectos	Versión (GitHub)
Autorizar el acceso a las funciones e información de seguridad	CMA_0022: Autorizar el acceso a las funciones e información de seguridad	Manual, Deshabilitado	1.1.0
Autorización y administración del acceso	CMA_0023: Autorizar y administrar el acceso	Manual, Deshabilitado	1.1.0
Aplicar directivas de control de acceso obligatorias y discrecionales	CMA_0246: Aplicar directivas de control de acceso obligatorias y discrecionales	Manual, Deshabilitado	1.1.0

Asegurarse de que "Los usuarios pueden agregar aplicaciones de la galería a Aplicaciones" se ha establecido en "No"

Id.: recomendación de CIS Microsoft Azure Foundations Benchmark 1.13 Propiedad: compartido

Nombre (Azure Portal)	Descripción	Efectos	Versión (GitHub)
Autorizar el acceso a las funciones e información de seguridad	CMA_0022: Autorizar el acceso a las funciones e información de seguridad	Manual, Deshabilitado	1.1.0
Autorización y administración del acceso	CMA_0023: Autorizar y administrar el acceso	Manual, Deshabilitado	1.1.0
Aplicar directivas de control de acceso obligatorias y discrecionales	CMA_0246: Aplicar directivas de control de acceso obligatorias y discrecionales	Manual, Deshabilitado	1.1.0

Asegúrese de que la opción "Los usuarios pueden registrar aplicaciones" esté establecida en "No"

Id.: recomendación de CIS Microsoft Azure Foundations Benchmark 1.14 Propiedad: compartido

Nombre (Azure Portal)	Descripción	Efectos	Versión (GitHub)
Autorizar el acceso a las funciones e información de seguridad	CMA_0022: Autorizar el acceso a las funciones e información de seguridad	Manual, Deshabilitado	1.1.0
Autorización y administración del acceso	CMA_0023: Autorizar y administrar el acceso	Manual, Deshabilitado	1.1.0
Aplicar directivas de control de acceso obligatorias y discrecionales	CMA_0246: Aplicar directivas de control de acceso obligatorias y discrecionales	Manual, Deshabilitado	1.1.0

Asegúrese de que las "Restricciones de acceso de los usuarios invitados" estén establecidas en "El acceso de los usuarios invitados está restringido a las propiedades y pertenencias de sus propios objetos de directorio"

Id.: recomendación de CIS Microsoft Azure Foundations Benchmark 1.15 Propiedad: compartido

Nombre (Azure Portal)	Descripción	Efectos	Versión (GitHub)
Autorizar el acceso a las funciones e información de seguridad	CMA_0022: Autorizar el acceso a las funciones e información de seguridad	Manual, Deshabilitado	1.1.0
Autorización y administración del acceso	CMA_0023: Autorizar y administrar el acceso	Manual, Deshabilitado	1.1.0
Diseñar un modelo de control de acceso	CMA_0129: Diseñar un modelo de control de acceso	Manual, Deshabilitado	1.1.0
Emplear el acceso con privilegios mínimos	CMA_0212: Emplear el acceso con privilegios mínimos	Manual, Deshabilitado	1.1.0
Aplicar el acceso lógico	CMA_0245: Aplicar el acceso lógico	Manual, Deshabilitado	1.1.0
Aplicar directivas de control de acceso obligatorias y discrecionales	CMA_0246: Aplicar directivas de control de acceso obligatorias y discrecionales	Manual, Deshabilitado	1.1.0
Requerir aprobación para la creación de cuentas	CMA_0431: Requerir aprobación para la creación de cuentas	Manual, Deshabilitado	1.1.0
Revisar grupos de usuarios y aplicaciones con acceso a datos confidenciales	CMA_0481: Revisar grupos de usuarios y aplicaciones con acceso a datos confidenciales	Manual, Deshabilitado	1.1.0

Asegurarse de que "Restricciones de invitación de invitado" está establecido en "Solo los usuarios asignados a roles de administrador específicos pueden invitar a usuarios invitados"

Id.: recomendación de CIS Microsoft Azure Foundations Benchmark 1.16 Propiedad: compartido

Nombre (Azure Portal)	Descripción	Efectos	Versión (GitHub)
Autorizar el acceso a las funciones e información de seguridad	CMA_0022: Autorizar el acceso a las funciones e información de seguridad	Manual, Deshabilitado	1.1.0
Autorización y administración del acceso	CMA_0023: Autorizar y administrar el acceso	Manual, Deshabilitado	1.1.0
Diseñar un modelo de control de acceso	CMA_0129: Diseñar un modelo de control de acceso	Manual, Deshabilitado	1.1.0
Emplear el acceso con privilegios mínimos	CMA_0212: Emplear el acceso con privilegios mínimos	Manual, Deshabilitado	1.1.0
Aplicar el acceso lógico	CMA_0245: Aplicar el acceso lógico	Manual, Deshabilitado	1.1.0
Aplicar directivas de control de acceso obligatorias y discrecionales	CMA_0246: Aplicar directivas de control de acceso obligatorias y discrecionales	Manual, Deshabilitado	1.1.0
Requerir aprobación para la creación de cuentas	CMA_0431: Requerir aprobación para la creación de cuentas	Manual, Deshabilitado	1.1.0
Revisar grupos de usuarios y aplicaciones con acceso a datos confidenciales	CMA_0481: Revisar grupos de usuarios y aplicaciones con acceso a datos confidenciales	Manual, Deshabilitado	1.1.0

Asegúrese de que "Restringir el acceso al portal de administración de Azure AD" esté establecido en "Sí"

Id.: recomendación de CIS Microsoft Azure Foundations Benchmark 1.17 Propiedad: compartido

Nombre (Azure Portal)	Descripción	Efectos	Versión (GitHub)
Autorizar el acceso a las funciones e información de seguridad	CMA_0022: Autorizar el acceso a las funciones e información de seguridad	Manual, Deshabilitado	1.1.0
Autorización y administración del acceso	CMA_0023: Autorizar y administrar el acceso	Manual, Deshabilitado	1.1.0
Aplicar el acceso lógico	CMA_0245: Aplicar el acceso lógico	Manual, Deshabilitado	1.1.0
Aplicar directivas de control de acceso obligatorias y discrecionales	CMA_0246: Aplicar directivas de control de acceso obligatorias y discrecionales	Manual, Deshabilitado	1.1.0
Requerir aprobación para la creación de cuentas	CMA_0431: Requerir aprobación para la creación de cuentas	Manual, Deshabilitado	1.1.0
Revisar grupos de usuarios y aplicaciones con acceso a datos confidenciales	CMA_0481: Revisar grupos de usuarios y aplicaciones con acceso a datos confidenciales	Manual, Deshabilitado	1.1.0

Asegurarse de que la opción "Restringir la capacidad del usuario para acceder a las características de grupos del panel de acceso" esté establecida en "Sí"

Id.: recomendación de CIS Microsoft Azure Foundations Benchmark 1.18 Propiedad: compartido

Nombre (Azure Portal)	Descripción	Efectos	Versión (GitHub)
Autorizar el acceso a las funciones e información de seguridad	CMA_0022: Autorizar el acceso a las funciones e información de seguridad	Manual, Deshabilitado	1.1.0
Autorización y administración del acceso	CMA_0023: Autorizar y administrar el acceso	Manual, Deshabilitado	1.1.0
Aplicar directivas de control de acceso obligatorias y discrecionales	CMA_0246: Aplicar directivas de control de acceso obligatorias y discrecionales	Manual, Deshabilitado	1.1.0
Establecer y documentar los procesos de control de cambios	CMA_0265: Establecer y documentar los procesos de control de cambios	Manual, Deshabilitado	1.1.0

Asegurarse de que "Los usuarios pueden crear grupos de seguridad en portales de Azure, API o PowerShell" esté establecido en "No"

Id.: recomendación de CIS Microsoft Azure Foundations Benchmark 1.19 Propiedad: compartido

Nombre (Azure Portal)	Descripción	Efectos	Versión (GitHub)
Autorizar el acceso a las funciones e información de seguridad	CMA_0022: Autorizar el acceso a las funciones e información de seguridad	Manual, Deshabilitado	1.1.0
Autorización y administración del acceso	CMA_0023: Autorizar y administrar el acceso	Manual, Deshabilitado	1.1.0
Aplicar directivas de control de acceso obligatorias y discrecionales	CMA_0246: Aplicar directivas de control de acceso obligatorias y discrecionales	Manual, Deshabilitado	1.1.0
Establecer y documentar los procesos de control de cambios	CMA_0265: Establecer y documentar los procesos de control de cambios	Manual, Deshabilitado	1.1.0

Asegurarse de que la opción "Los propietarios pueden administrar solicitudes de pertenencia a grupos en el Panel de acceso" esté establecida en "No"

Id.: recomendación de CIS Microsoft Azure Foundations Benchmark 1.20 Propiedad: compartido

Nombre (Azure Portal)	Descripción	Efectos	Versión (GitHub)
Autorizar el acceso a las funciones e información de seguridad	CMA_0022: Autorizar el acceso a las funciones e información de seguridad	Manual, Deshabilitado	1.1.0
Autorización y administración del acceso	CMA_0023: Autorizar y administrar el acceso	Manual, Deshabilitado	1.1.0
Aplicar directivas de control de acceso obligatorias y discrecionales	CMA_0246: Aplicar directivas de control de acceso obligatorias y discrecionales	Manual, Deshabilitado	1.1.0
Establecer y documentar los procesos de control de cambios	CMA_0265: Establecer y documentar los procesos de control de cambios	Manual, Deshabilitado	1.1.0

Asegurarse de que "Los usuarios pueden crear grupos de Microsoft 365 en portales de Azure, API o PowerShell" esté establecido en "No"

Id.: recomendación de CIS Microsoft Azure Foundations Benchmark 1.21 Propiedad: compartido

Nombre (Azure Portal)	Descripción	Efectos	Versión (GitHub)
Autorizar el acceso a las funciones e información de seguridad	CMA_0022: Autorizar el acceso a las funciones e información de seguridad	Manual, Deshabilitado	1.1.0
Autorización y administración del acceso	CMA_0023: Autorizar y administrar el acceso	Manual, Deshabilitado	1.1.0
Aplicar directivas de control de acceso obligatorias y discrecionales	CMA_0246: Aplicar directivas de control de acceso obligatorias y discrecionales	Manual, Deshabilitado	1.1.0
Establecer y documentar los procesos de control de cambios	CMA_0265: Establecer y documentar los procesos de control de cambios	Manual, Deshabilitado	1.1.0

Asegurarse de que "Requerir autenticación multifactor para registrar o unir dispositivos con Azure AD" esté establecido en "Sí"

Id.: recomendación de CIS Microsoft Azure Foundations Benchmark 1.22 Propiedad: compartido

Nombre (Azure Portal)	Descripción	Efectos	Versión (GitHub)
Adopción de mecanismos de autenticación biométrica	CMA_0005: adopción de mecanismos de autenticación biométrica	Manual, Deshabilitado	1.1.0
Autorizar acceso remoto	CMA_0024: Autorizar acceso remoto	Manual, Deshabilitado	1.1.0
Entrenamiento de movilidad de documentos	CMA_0191: Entrenamiento de movilidad de documentos	Manual, Deshabilitado	1.1.0
Documentar las directrices de acceso remoto	CMA_0196: Documentar las directrices de acceso remoto	Manual, Deshabilitado	1.1.0
Identificación y autenticación de dispositivos de red	CMA_0296: Identificar y autenticar los dispositivos de red	Manual, Deshabilitado	1.1.0
Implementar controles para proteger sitios de trabajo alternativos	CMA_0315: Implementar controles para proteger sitios de trabajo alternativos	Manual, Deshabilitado	1.1.0
Proporcionar entrenamiento sobre la privacidad	CMA_0415: Proporcionar entrenamiento sobre la privacidad	Manual, Deshabilitado	1.1.0
Satisfacer los requisitos de calidad del token	CMA_0487: Satisfacer los requisitos de calidad del token	Manual, Deshabilitado	1.1.0

Asegúrese de que no existen roles de administrador de suscripciones personalizados

Id.: recomendación de CIS Microsoft Azure Foundations Benchmark 1.23 Propiedad: compartido

Nombre (Azure Portal)	Descripción	Efectos	Versión (GitHub)
Auditar el uso de roles RBAC personalizados	Permite auditar roles integrados, como "propietario, colaborador, lector" en lugar de roles RBAC personalizados, que son propensos a errores de auditoría. El uso de roles personalizados se trata como una excepción y requiere una revisión rigurosa y el modelado de amenazas.	Audit, Disabled	1.0.1
Autorizar el acceso a las funciones e información de seguridad	CMA_0022: Autorizar el acceso a las funciones e información de seguridad	Manual, Deshabilitado	1.1.0
Autorización y administración del acceso	CMA_0023: Autorizar y administrar el acceso	Manual, Deshabilitado	1.1.0
Diseñar un modelo de control de acceso	CMA_0129: Diseñar un modelo de control de acceso	Manual, Deshabilitado	1.1.0
Emplear el acceso con privilegios mínimos	CMA_0212: Emplear el acceso con privilegios mínimos	Manual, Deshabilitado	1.1.0
Aplicar directivas de control de acceso obligatorias y discrecionales	CMA_0246: Aplicar directivas de control de acceso obligatorias y discrecionales	Manual, Deshabilitado	1.1.0
Establecer y documentar los procesos de control de cambios	CMA_0265: Establecer y documentar los procesos de control de cambios	Manual, Deshabilitado	1.1.0

Asegurarse de que a un rol personalizado se le asignan permisos para administrar los bloqueos de recursos

ID: Recomendación de CIS Microsoft Azure Foundations Benchmark 1.24 Propiedad: Compartida

Nombre (Azure Portal)	Descripción	Efectos	Versión (GitHub)
Autorizar el acceso a las funciones e información de seguridad	CMA_0022: Autorizar el acceso a las funciones e información de seguridad	Manual, Deshabilitado	1.1.0
Autorización y administración del acceso	CMA_0023: Autorizar y administrar el acceso	Manual, Deshabilitado	1.1.0
Aplicar directivas de control de acceso obligatorias y discrecionales	CMA_0246: Aplicar directivas de control de acceso obligatorias y discrecionales	Manual, Deshabilitado	1.1.0
Establecer y documentar los procesos de control de cambios	CMA_0265: Establecer y documentar los procesos de control de cambios	Manual, Deshabilitado	1.1.0

Asegúrese de que los usuarios invitados se revisen regularmente

ID: Recomendación de CIS Microsoft Azure Foundations Benchmark 1.5 Propiedad: Compartida

Nombre (Azure Portal)	Descripción	Efectos	Versión (GitHub)
Auditar el estado de la cuenta de usuario	CMA_0020: Auditar el estado de la cuenta de usuario	Manual, Deshabilitado	1.1.0
Deben quitarse las cuentas de invitado con permisos de propietario de los recursos de Azure.	Las cuentas externas con permisos de propietario deben quitarse de la suscripción a fin de evitar el acceso no supervisado.	AuditIfNotExists, Disabled	1.0.0
Deben quitarse las cuentas de invitado con permisos de lectura de los recursos de Azure.	Las cuentas externas con privilegios de lectura deben quitarse de la suscripción a fin de evitar el acceso no supervisado.	AuditIfNotExists, Disabled	1.0.0
Deben quitarse las cuentas de invitado con permisos de escritura de los recursos de Azure.	Las cuentas externas con privilegios de escritura deben quitarse de la suscripción a fin de evitar el acceso no supervisado.	AuditIfNotExists, Disabled	1.0.0
Reasignar o quitar privilegios de usuario según sea necesario	CMA_C1040: Reasignar o quitar privilegios de usuario según sea necesario	Manual, Deshabilitado	1.1.0
Revisar los registros de aprovisionamiento de cuentas	CMA_0460: Revisar los registros de aprovisionamiento de cuentas	Manual, Deshabilitado	1.1.0
Revisar las cuentas de usuario	CMA_0480: Revisar cuentas de usuario	Manual, Deshabilitado	1.1.0
Revisar privilegios de usuario	CMA_C1039: Revisar privilegios de usuario	Manual, Deshabilitado	1.1.0

Asegurarse de que "Número de días antes de que se solicite a los usuarios que vuelvan a confirmar su información de autenticación" esté establecido en "0"

Id.: recomendación de CIS Microsoft Azure Foundations Benchmark 1.8 Propiedad: compartido

Nombre (Azure Portal)	Descripción	Efectos	Versión (GitHub)
Automatizar la administración de cuentas	CMA_0026: Automatizar la administración de cuentas	Manual, Deshabilitado	1.1.0
Administrar cuentas de administrador y del sistema	CMA_0368: Administrar cuentas de administrador y del sistema	Manual, Deshabilitado	1.1.0
Supervisar el acceso en toda la organización	CMA_0376: Supervisar el acceso en toda la organización	Manual, Deshabilitado	1.1.0
Notificar cuando no se necesite la cuenta	CMA_0383: Notificar cuando no se necesite la cuenta	Manual, Deshabilitado	1.1.0

Asegúrese de que "Notificar a los usuarios en los restablecimientos de contraseña" esté establecido en "Sí".

Id.: recomendación de CIS Microsoft Azure Foundations Benchmark 1.9 Propiedad: compartido

Nombre (Azure Portal)	Descripción	Efectos	Versión (GitHub)
Automatizar la administración de cuentas	CMA_0026: Automatizar la administración de cuentas	Manual, Deshabilitado	1.1.0
Implementación del entrenamiento para proteger los autenticadores	CMA_0329: Implementar el entrenamiento para proteger los autenticadores	Manual, Deshabilitado	1.1.0
Administrar cuentas de administrador y del sistema	CMA_0368: Administrar cuentas de administrador y del sistema	Manual, Deshabilitado	1.1.0
Supervisar el acceso en toda la organización	CMA_0376: Supervisar el acceso en toda la organización	Manual, Deshabilitado	1.1.0
Notificar cuando no se necesite la cuenta	CMA_0383: Notificar cuando no se necesite la cuenta	Manual, Deshabilitado	1.1.0

10

Asegúrese de que estén establecidos los bloqueos de recursos para los recursos de Azure críticos

ID: Recomendación de CIS Microsoft Azure Foundations Benchmark 10.1 Propiedad: Compartida

Nombre (Azure Portal)	Descripción	Efectos	Versión (GitHub)
Establecer y documentar los procesos de control de cambios	CMA_0265: Establecer y documentar los procesos de control de cambios	Manual, Deshabilitado	1.1.0

2.1

Asegúrese de que Microsoft Defender para servidores esté establecido en "Activado"

ID: Recomendación de CIS Microsoft Azure Foundations Benchmark 2.1.1 Propiedad: Compartida

Nombre (Azure Portal)	Descripción	Efectos	Versión (GitHub)
Se debe habilitar Azure Defender para servidores	Azure Defender para servidores proporciona protección en tiempo real contra amenazas para las cargas de trabajo del servidor y genera recomendaciones de protección, así como alertas sobre la actividad sospechosa.	AuditIfNotExists, Disabled	1.0.3
Bloquear la ejecución desde USB de procesos que no sean de confianza y estén sin firmar	CMA_0050: Bloquear los procesos sin firma y que no son de confianza ejecutados desde USB	Manual, Deshabilitado	1.1.0
Detectar servicios de red que no se han autorizado o aprobado	CMA_C1700: Detectar servicios de red que no se han autorizado o aprobado	Manual, Deshabilitado	1.1.0
Administración de puertas de enlace	CMA_0363: Administrar puertas de enlace	Manual, Deshabilitado	1.1.0
Realizar un análisis de tendencias sobre amenazas	CMA_0389: Realizar un análisis de tendencias sobre amenazas	Manual, Deshabilitado	1.1.0
Realizar exámenes de vulnerabilidades	CMA_0393: Realizar exámenes de vulnerabilidades	Manual, Deshabilitado	1.1.0
Revisar semanalmente el informe de detecciones de malware	CMA_0475: Revisar semanalmente el informe de detecciones de malware	Manual, Deshabilitado	1.1.0
Revisar semanalmente el estado de protección contra amenazas	CMA_0479: Revisar semanalmente el estado de protección contra amenazas	Manual, Deshabilitado	1.1.0
Actualizar las definiciones de antivirus	CMA_0517: Actualizar las definiciones de antivirus	Manual, Deshabilitado	1.1.0

Asegúrese de que Microsoft Defender para Key Vault esté establecido en "Activado"

ID: Recomendación de CIS Microsoft Azure Foundations Benchmark 2.1.10 Propiedad: Compartida

Nombre (Azure Portal)	Descripción	Efectos	Versión (GitHub)
Se debe habilitar Azure Defender para Key Vault	Azure Defender para Key Vault proporciona un nivel de protección adicional de inteligencia de seguridad, ya que detecta intentos inusuales y potencialmente dañinos de obtener acceso a las cuentas de Key Vault o aprovechar sus vulnerabilidades de seguridad.	AuditIfNotExists, Disabled	1.0.3
Bloquear la ejecución desde USB de procesos que no sean de confianza y estén sin firmar	CMA_0050: Bloquear los procesos sin firma y que no son de confianza ejecutados desde USB	Manual, Deshabilitado	1.1.0
Detectar servicios de red que no se han autorizado o aprobado	CMA_C1700: Detectar servicios de red que no se han autorizado o aprobado	Manual, Deshabilitado	1.1.0
Administración de puertas de enlace	CMA_0363: Administrar puertas de enlace	Manual, Deshabilitado	1.1.0
Realizar un análisis de tendencias sobre amenazas	CMA_0389: Realizar un análisis de tendencias sobre amenazas	Manual, Deshabilitado	1.1.0
Realizar exámenes de vulnerabilidades	CMA_0393: Realizar exámenes de vulnerabilidades	Manual, Deshabilitado	1.1.0
Revisar semanalmente el informe de detecciones de malware	CMA_0475: Revisar semanalmente el informe de detecciones de malware	Manual, Deshabilitado	1.1.0
Revisar semanalmente el estado de protección contra amenazas	CMA_0479: Revisar semanalmente el estado de protección contra amenazas	Manual, Deshabilitado	1.1.0
Actualizar las definiciones de antivirus	CMA_0517: Actualizar las definiciones de antivirus	Manual, Deshabilitado	1.1.0

Asegúrese de que Microsoft Defender para DNS esté establecido en "Activado"

ID: Recomendación de CIS Microsoft Azure Foundations Benchmark 2.1.11 Propiedad: Compartida

Nombre (Azure Portal)	Descripción	Efectos	Versión (GitHub)
[En desuso]: se debe habilitar Azure Defender para DNS	Esta definición de directiva ya no es la forma recomendada de lograr su propósito, porque el paquete DNS está en desuso. En lugar de seguir usando esta directiva, se recomienda asignar esta directiva de reemplazo con el identificador de directiva 4da35fc9-c9e7-4960-aec9-797fe7d9051d. Más información sobre la eliminación de definiciones de directivas en aka.ms/policydefdeprecation	AuditIfNotExists, Disabled	1.1.0-deprecated

Asegúrese de que Microsoft Defender para Resource Manager esté establecido en "Activado"

ID: Recomendación de CIS Microsoft Azure Foundations Benchmark 2.1.12 Propiedad: Compartida

Nombre (Azure Portal)	Descripción	Efectos	Versión (GitHub)
Se debe habilitar Azure Defender para Resource Manager	Azure Defender para Resource Manager supervisa automáticamente las operaciones de administración de recursos de la organización. Azure Defender detecta amenazas y alerta sobre actividades sospechosas. Obtenga más información sobre las funcionalidades de Azure Defender para Resource Manager en https://aka.ms/defender-for-resource-manager. La habilitación de este plan de Azure Defender conlleva cargos. Obtenga información sobre los detalles de los precios por región en la página de precios de Security Center: https://aka.ms/pricing-security-center.	AuditIfNotExists, Disabled	1.0.0

Asegúrese de que el estado de la recomendación de Microsoft Defender "Aplicar actualizaciones del sistema" sea "Completado"

ID: Recomendación de CIS Microsoft Azure Foundations Benchmark 2.1.13 Propiedad: Compartida

Nombre (Azure Portal)	Descripción	Efectos	Versión (GitHub)
Las máquinas deben configurarse para que se compruebe periódicamente si faltan actualizaciones del sistema	Para asegurarse de que las evaluaciones periódicas de las actualizaciones del sistema que faltan se desencadenan automáticamente cada 24 horas, la propiedad AssessmentMode debe establecerse en "AutomaticByPlatform". Más información sobre la propiedad AssessmentMode para Windows: https://aka.ms/computevm-windowspatchassessmentmode, para Linux: https://aka.ms/computevm-linuxpatchassessmentmode.	Audit, Deny, Disabled	3.7.0

Asegúrese de que ninguna de las configuraciones de la directiva predeterminada de ASC esté establecida en "Deshabilitada"

ID: Recomendación de CIS Microsoft Azure Foundations Benchmark 2.1.14 Propiedad: Compartida

Nombre (Azure Portal)	Descripción	Efectos	Versión (GitHub)
Configurar las acciones para los dispositivos no conformes	CMA_0062: Configurar las acciones para los dispositivos no conformes	Manual, Deshabilitado	1.1.0
Desarrollar y mantener las configuraciones de línea base	CMA_0153: Desarrollar y mantener las configuraciones de línea base	Manual, Deshabilitado	1.1.0
Aplicar opciones de configuración de seguridad	CMA_0249: Aplicar opciones de configuración de seguridad	Manual, Deshabilitado	1.1.0
Establecer un panel de control de configuración	CMA_0254: Establecer un panel de control de configuración	Manual, Deshabilitado	1.1.0
Establecer y documentar un plan de administración de configuración	CMA_0264: Establecer y documentar un plan de administración de configuración	Manual, Deshabilitado	1.1.0
Implementación de una herramienta de administración de configuración automatizada	CMA_0311: Implementar una herramienta de administración de configuración automatizada	Manual, Deshabilitado	1.1.0

Asegúrese de que el aprovisionamiento automático del "Agente de Log Analytics para máquinas virtuales de Azure" esté establecido en "Activado"

ID: Recomendación de CIS Microsoft Azure Foundations Benchmark 2.1.15 Propiedad: Compartida

Nombre (Azure Portal)	Descripción	Efectos	Versión (GitHub)
El aprovisionamiento automático del agente de Log Analytics debe estar habilitado en la suscripción	A fin de supervisar las amenazas y vulnerabilidades de seguridad, Azure Security Center recopila datos de las máquinas virtuales de Azure. El agente de Log Analytics, anteriormente conocido como Microsoft Monitoring Agent (MMA), recopila los datos al leer distintas configuraciones relacionadas con la seguridad y distintos registros de eventos de la máquina y copiar los datos en el área de trabajo de Log Analytics para analizarlos. Se recomienda habilitar el aprovisionamiento automático para implementar automáticamente el agente en todas las máquinas virtuales de Azure admitidas y en las nuevas que se creen.	AuditIfNotExists, Disabled	1.0.1
Documentar operaciones de seguridad	CMA_0202: Documentar operaciones de seguridad	Manual, Deshabilitado	1.1.0
Habilitar sensores para la solución de seguridad de punto de conexión	CMA_0514: Habilitar sensores para la solución de seguridad de punto de conexión	Manual, Deshabilitado	1.1.0

Asegúrese de que el aprovisionamiento automático de los "Componentes de Microsoft Defender para contenedores" esté establecido en "Activado"

ID: Recomendación de CIS Microsoft Azure Foundations Benchmark 2.1.17 Propiedad: Compartida

Nombre (Azure Portal)	Descripción	Efectos	Versión (GitHub)
Bloquear la ejecución desde USB de procesos que no sean de confianza y estén sin firmar	CMA_0050: Bloquear los procesos sin firma y que no son de confianza ejecutados desde USB	Manual, Deshabilitado	1.1.0
Detectar servicios de red que no se han autorizado o aprobado	CMA_C1700: Detectar servicios de red que no se han autorizado o aprobado	Manual, Deshabilitado	1.1.0
Administración de puertas de enlace	CMA_0363: Administrar puertas de enlace	Manual, Deshabilitado	1.1.0
Microsoft Defender para contenedores debería estar habilitado	Microsoft Defender para contenedores proporciona protección, evaluación de vulnerabilidades y protecciones en tiempo de ejecución para los entornos de Kubernetes de Azure, híbridos y multinube.	AuditIfNotExists, Disabled	1.0.0
Realizar un análisis de tendencias sobre amenazas	CMA_0389: Realizar un análisis de tendencias sobre amenazas	Manual, Deshabilitado	1.1.0
Realizar exámenes de vulnerabilidades	CMA_0393: Realizar exámenes de vulnerabilidades	Manual, Deshabilitado	1.1.0
Revisar semanalmente el informe de detecciones de malware	CMA_0475: Revisar semanalmente el informe de detecciones de malware	Manual, Deshabilitado	1.1.0
Revisar semanalmente el estado de protección contra amenazas	CMA_0479: Revisar semanalmente el estado de protección contra amenazas	Manual, Deshabilitado	1.1.0
Actualizar las definiciones de antivirus	CMA_0517: Actualizar las definiciones de antivirus	Manual, Deshabilitado	1.1.0

Asegurarse de que la opción "Direcciones de correo electrónico adicionales" esté configurada con un correo electrónico de contacto de seguridad

ID: Recomendación de CIS Microsoft Azure Foundations Benchmark 2.1.19 Propiedad: Compartida

Nombre (Azure Portal)	Descripción	Efectos	Versión (GitHub)
Las suscripciones deben tener una dirección de correo electrónico de contacto para los problemas de seguridad	Para asegurarse de que las personas pertinentes de la organización reciban una notificación cuando se produzca una vulneración de seguridad potencial en una de las suscripciones, establezca un contacto de seguridad para la recepción de notificaciones por correo electrónico de Security Center.	AuditIfNotExists, Disabled	1.0.1

Asegúrese de que Microsoft Defender para App Services esté establecido en "Activado"

ID: Recomendación de CIS Microsoft Azure Foundations Benchmark 2.1.2 Propiedad: Compartida

Nombre (Azure Portal)	Descripción	Efectos	Versión (GitHub)
Se debe habilitar Azure Defender para App Service	Azure Defender para App Service aprovecha la escalabilidad de la nube, y la visibilidad que ofrece Azure como proveedor de servicios en la nube, para supervisar si se producen ataques comunes a aplicaciones web.	AuditIfNotExists, Disabled	1.0.3
Bloquear la ejecución desde USB de procesos que no sean de confianza y estén sin firmar	CMA_0050: Bloquear los procesos sin firma y que no son de confianza ejecutados desde USB	Manual, Deshabilitado	1.1.0
Detectar servicios de red que no se han autorizado o aprobado	CMA_C1700: Detectar servicios de red que no se han autorizado o aprobado	Manual, Deshabilitado	1.1.0
Administración de puertas de enlace	CMA_0363: Administrar puertas de enlace	Manual, Deshabilitado	1.1.0
Realizar un análisis de tendencias sobre amenazas	CMA_0389: Realizar un análisis de tendencias sobre amenazas	Manual, Deshabilitado	1.1.0
Realizar exámenes de vulnerabilidades	CMA_0393: Realizar exámenes de vulnerabilidades	Manual, Deshabilitado	1.1.0
Revisar semanalmente el informe de detecciones de malware	CMA_0475: Revisar semanalmente el informe de detecciones de malware	Manual, Deshabilitado	1.1.0
Revisar semanalmente el estado de protección contra amenazas	CMA_0479: Revisar semanalmente el estado de protección contra amenazas	Manual, Deshabilitado	1.1.0
Actualizar las definiciones de antivirus	CMA_0517: Actualizar las definiciones de antivirus	Manual, Deshabilitado	1.1.0

Asegurarse de que la opción "Notificar sobre alertas con la siguiente gravedad" esté establecida en "Alto"

ID: Recomendación de CIS Microsoft Azure Foundations Benchmark 2.1.20 Propiedad: Compartida

Nombre (Azure Portal)	Descripción	Efectos	Versión (GitHub)
La opción para enviar notificaciones por correo electrónico para alertas de gravedad alta debe estar habilitada.	Para asegurarse de que las personas pertinentes de la organización reciban una notificación cuando se produzca una vulneración de seguridad potencial en una de las suscripciones, habilite las notificaciones por correo electrónico de alertas de gravedad alta en Security Center.	AuditIfNotExists, Disabled	1.0.1

Asegúrese de que la integración de Microsoft Defender for Cloud Apps con Microsoft Defender for Cloud esté seleccionada

ID: Recomendación de CIS Microsoft Azure Foundations Benchmark 2.1.21 Propiedad: Compartida

Nombre (Azure Portal)	Descripción	Efectos	Versión (GitHub)
Bloquear la ejecución desde USB de procesos que no sean de confianza y estén sin firmar	CMA_0050: Bloquear los procesos sin firma y que no son de confianza ejecutados desde USB	Manual, Deshabilitado	1.1.0
Detectar servicios de red que no se han autorizado o aprobado	CMA_C1700: Detectar servicios de red que no se han autorizado o aprobado	Manual, Deshabilitado	1.1.0
Administración de puertas de enlace	CMA_0363: Administrar puertas de enlace	Manual, Deshabilitado	1.1.0
Realizar un análisis de tendencias sobre amenazas	CMA_0389: Realizar un análisis de tendencias sobre amenazas	Manual, Deshabilitado	1.1.0
Realizar exámenes de vulnerabilidades	CMA_0393: Realizar exámenes de vulnerabilidades	Manual, Deshabilitado	1.1.0
Revisar semanalmente el informe de detecciones de malware	CMA_0475: Revisar semanalmente el informe de detecciones de malware	Manual, Deshabilitado	1.1.0
Revisar semanalmente el estado de protección contra amenazas	CMA_0479: Revisar semanalmente el estado de protección contra amenazas	Manual, Deshabilitado	1.1.0
Actualizar las definiciones de antivirus	CMA_0517: Actualizar las definiciones de antivirus	Manual, Deshabilitado	1.1.0

Asegúrese de que la integración de Microsoft Defender para punto de conexión con Microsoft Defender for Cloud esté seleccionada

ID: Recomendación de CIS Microsoft Azure Foundations Benchmark 2.1.22 Propiedad: Compartida

Nombre (Azure Portal)	Descripción	Efectos	Versión (GitHub)
Bloquear la ejecución desde USB de procesos que no sean de confianza y estén sin firmar	CMA_0050: Bloquear los procesos sin firma y que no son de confianza ejecutados desde USB	Manual, Deshabilitado	1.1.0
Detectar servicios de red que no se han autorizado o aprobado	CMA_C1700: Detectar servicios de red que no se han autorizado o aprobado	Manual, Deshabilitado	1.1.0
Administración de puertas de enlace	CMA_0363: Administrar puertas de enlace	Manual, Deshabilitado	1.1.0
Realizar un análisis de tendencias sobre amenazas	CMA_0389: Realizar un análisis de tendencias sobre amenazas	Manual, Deshabilitado	1.1.0
Realizar exámenes de vulnerabilidades	CMA_0393: Realizar exámenes de vulnerabilidades	Manual, Deshabilitado	1.1.0
Revisar semanalmente el informe de detecciones de malware	CMA_0475: Revisar semanalmente el informe de detecciones de malware	Manual, Deshabilitado	1.1.0
Revisar semanalmente el estado de protección contra amenazas	CMA_0479: Revisar semanalmente el estado de protección contra amenazas	Manual, Deshabilitado	1.1.0
Actualizar las definiciones de antivirus	CMA_0517: Actualizar las definiciones de antivirus	Manual, Deshabilitado	1.1.0

Asegúrese de que Microsoft Defender for Databases esté establecido en "Activado"

ID: Recomendación de CIS Microsoft Azure Foundations Benchmark 2.1.3 Propiedad: Compartida

Nombre (Azure Portal)	Descripción	Efectos	Versión (GitHub)
Se debe habilitar Azure Defender para servidores de Azure SQL Database	Azure Defender para SQL proporciona funcionalidad para mostrar y mitigar posibles vulnerabilidades de base de datos, detectar actividades anómalas que podrían indicar amenazas para bases de datos SQL, y detectar y clasificar datos confidenciales.	AuditIfNotExists, Disabled	1.0.2
Se debe habilitar Azure Defender para bases de datos relacionales de código abierto.	Azure Defender para bases de datos relacionales de código abierto detecta actividades anómalas que indican intentos poco habituales y posiblemente dañinos de acceder a sus bases de datos o de aprovechar sus vulnerabilidades. Obtenga más información sobre las funcionalidades de Azure Defender para bases de datos relacionales de código abierto en https://aka.ms/AzDforOpenSourceDBsDocu. Importante: La habilitación de este plan dará lugar a cargos por la protección de las bases de datos relacionales de código abierto. Obtenga información sobre los precios en la página de precios de Security Center: https://aka.ms/pricing-security-center.	AuditIfNotExists, Disabled	1.0.0
Se debe habilitar Azure Defender para servidores SQL Server en las máquinas	Azure Defender para SQL proporciona funcionalidad para mostrar y mitigar posibles vulnerabilidades de base de datos, detectar actividades anómalas que podrían indicar amenazas para bases de datos SQL, y detectar y clasificar datos confidenciales.	AuditIfNotExists, Disabled	1.0.2
Microsoft Defender para Azure Cosmos DB debe estar habilitado	Microsoft Defender para Azure Cosmos DB es una capa de seguridad nativa de Azure que detecta intentos de aprovechar una vulnerabilidad de seguridad de las bases de datos de las cuentas de Azure Cosmos DB. Defender para Azure Cosmos DB detecta posibles ataques por inyección de código SQL, actores malintencionados conocidos basados en Inteligencia sobre amenazas de Microsoft, patrones de acceso sospechosos y posibles vulnerabilidades de seguridad de la base de datos mediante identidades en peligro o usuarios malintencionados.	AuditIfNotExists, Disabled	1.0.0

Asegúrese de que Microsoft Defender para Azure SQL Databases esté establecido en "Activado"

ID: Recomendación de CIS Microsoft Azure Foundations Benchmark 2.1.4 Propiedad: Compartida

Nombre (Azure Portal)	Descripción	Efectos	Versión (GitHub)
Se debe habilitar Azure Defender para servidores de Azure SQL Database	Azure Defender para SQL proporciona funcionalidad para mostrar y mitigar posibles vulnerabilidades de base de datos, detectar actividades anómalas que podrían indicar amenazas para bases de datos SQL, y detectar y clasificar datos confidenciales.	AuditIfNotExists, Disabled	1.0.2
Bloquear la ejecución desde USB de procesos que no sean de confianza y estén sin firmar	CMA_0050: Bloquear los procesos sin firma y que no son de confianza ejecutados desde USB	Manual, Deshabilitado	1.1.0
Detectar servicios de red que no se han autorizado o aprobado	CMA_C1700: Detectar servicios de red que no se han autorizado o aprobado	Manual, Deshabilitado	1.1.0
Administración de puertas de enlace	CMA_0363: Administrar puertas de enlace	Manual, Deshabilitado	1.1.0
Realizar un análisis de tendencias sobre amenazas	CMA_0389: Realizar un análisis de tendencias sobre amenazas	Manual, Deshabilitado	1.1.0
Realizar exámenes de vulnerabilidades	CMA_0393: Realizar exámenes de vulnerabilidades	Manual, Deshabilitado	1.1.0
Revisar semanalmente el informe de detecciones de malware	CMA_0475: Revisar semanalmente el informe de detecciones de malware	Manual, Deshabilitado	1.1.0
Revisar semanalmente el estado de protección contra amenazas	CMA_0479: Revisar semanalmente el estado de protección contra amenazas	Manual, Deshabilitado	1.1.0
Actualizar las definiciones de antivirus	CMA_0517: Actualizar las definiciones de antivirus	Manual, Deshabilitado	1.1.0

Asegúrese de que Microsoft Defender para SQL Servers en máquinas esté establecido en "Activado"

ID: Recomendación de CIS Microsoft Azure Foundations Benchmark 2.1.5 Propiedad: Compartida

Nombre (Azure Portal)	Descripción	Efectos	Versión (GitHub)
Se debe habilitar Azure Defender para servidores SQL Server en las máquinas	Azure Defender para SQL proporciona funcionalidad para mostrar y mitigar posibles vulnerabilidades de base de datos, detectar actividades anómalas que podrían indicar amenazas para bases de datos SQL, y detectar y clasificar datos confidenciales.	AuditIfNotExists, Disabled	1.0.2
Bloquear la ejecución desde USB de procesos que no sean de confianza y estén sin firmar	CMA_0050: Bloquear los procesos sin firma y que no son de confianza ejecutados desde USB	Manual, Deshabilitado	1.1.0
Detectar servicios de red que no se han autorizado o aprobado	CMA_C1700: Detectar servicios de red que no se han autorizado o aprobado	Manual, Deshabilitado	1.1.0
Administración de puertas de enlace	CMA_0363: Administrar puertas de enlace	Manual, Deshabilitado	1.1.0
Realizar un análisis de tendencias sobre amenazas	CMA_0389: Realizar un análisis de tendencias sobre amenazas	Manual, Deshabilitado	1.1.0
Realizar exámenes de vulnerabilidades	CMA_0393: Realizar exámenes de vulnerabilidades	Manual, Deshabilitado	1.1.0
Revisar semanalmente el informe de detecciones de malware	CMA_0475: Revisar semanalmente el informe de detecciones de malware	Manual, Deshabilitado	1.1.0
Revisar semanalmente el estado de protección contra amenazas	CMA_0479: Revisar semanalmente el estado de protección contra amenazas	Manual, Deshabilitado	1.1.0
Actualizar las definiciones de antivirus	CMA_0517: Actualizar las definiciones de antivirus	Manual, Deshabilitado	1.1.0

Asegúrese de que Microsoft Defender para las bases de datos relacionales de código abierto esté establecido en "Activado"

ID: Recomendación de CIS Microsoft Azure Foundations Benchmark 2.1.6 Propiedad: Compartida

Nombre (Azure Portal)	Descripción	Efectos	Versión (GitHub)
Se debe habilitar Azure Defender para bases de datos relacionales de código abierto.	Azure Defender para bases de datos relacionales de código abierto detecta actividades anómalas que indican intentos poco habituales y posiblemente dañinos de acceder a sus bases de datos o de aprovechar sus vulnerabilidades. Obtenga más información sobre las funcionalidades de Azure Defender para bases de datos relacionales de código abierto en https://aka.ms/AzDforOpenSourceDBsDocu. Importante: La habilitación de este plan dará lugar a cargos por la protección de las bases de datos relacionales de código abierto. Obtenga información sobre los precios en la página de precios de Security Center: https://aka.ms/pricing-security-center.	AuditIfNotExists, Disabled	1.0.0

Asegúrese de que Microsoft Defender para Storage esté establecido en "Activado"

ID: Recomendación de CIS Microsoft Azure Foundations Benchmark 2.1.7 Propiedad: Compartida

Nombre (Azure Portal)	Descripción	Efectos	Versión (GitHub)
Bloquear la ejecución desde USB de procesos que no sean de confianza y estén sin firmar	CMA_0050: Bloquear los procesos sin firma y que no son de confianza ejecutados desde USB	Manual, Deshabilitado	1.1.0
Detectar servicios de red que no se han autorizado o aprobado	CMA_C1700: Detectar servicios de red que no se han autorizado o aprobado	Manual, Deshabilitado	1.1.0
Administración de puertas de enlace	CMA_0363: Administrar puertas de enlace	Manual, Deshabilitado	1.1.0
Se debe habilitar Microsoft Defender para Storage	Microsoft Defender para Storage detecta amenazas potenciales para sus cuentas de almacenamiento. Ayuda a evitar los tres impactos principales en los datos y la carga de trabajo: cargas de archivos malintencionadas, filtración de datos confidenciales y datos dañados. El nuevo plan de Defender para Storage incluye Examen de malware y Detección de amenazas de datos confidenciales. Este plan también ofrece una estructura de precios predecible (por cuenta de almacenamiento) para controlar la cobertura y los costes.	AuditIfNotExists, Disabled	1.0.0
Realizar un análisis de tendencias sobre amenazas	CMA_0389: Realizar un análisis de tendencias sobre amenazas	Manual, Deshabilitado	1.1.0
Realizar exámenes de vulnerabilidades	CMA_0393: Realizar exámenes de vulnerabilidades	Manual, Deshabilitado	1.1.0
Revisar semanalmente el informe de detecciones de malware	CMA_0475: Revisar semanalmente el informe de detecciones de malware	Manual, Deshabilitado	1.1.0
Revisar semanalmente el estado de protección contra amenazas	CMA_0479: Revisar semanalmente el estado de protección contra amenazas	Manual, Deshabilitado	1.1.0
Actualizar las definiciones de antivirus	CMA_0517: Actualizar las definiciones de antivirus	Manual, Deshabilitado	1.1.0

Asegúrese de que Microsoft Defender para contenedores esté establecido en "Activado"

ID: Recomendación de CIS Microsoft Azure Foundations Benchmark 2.1.8 Propiedad: Compartida

Nombre (Azure Portal)	Descripción	Efectos	Versión (GitHub)
Bloquear la ejecución desde USB de procesos que no sean de confianza y estén sin firmar	CMA_0050: Bloquear los procesos sin firma y que no son de confianza ejecutados desde USB	Manual, Deshabilitado	1.1.0
Detectar servicios de red que no se han autorizado o aprobado	CMA_C1700: Detectar servicios de red que no se han autorizado o aprobado	Manual, Deshabilitado	1.1.0
Administración de puertas de enlace	CMA_0363: Administrar puertas de enlace	Manual, Deshabilitado	1.1.0
Microsoft Defender para contenedores debería estar habilitado	Microsoft Defender para contenedores proporciona protección, evaluación de vulnerabilidades y protecciones en tiempo de ejecución para los entornos de Kubernetes de Azure, híbridos y multinube.	AuditIfNotExists, Disabled	1.0.0
Realizar un análisis de tendencias sobre amenazas	CMA_0389: Realizar un análisis de tendencias sobre amenazas	Manual, Deshabilitado	1.1.0
Realizar exámenes de vulnerabilidades	CMA_0393: Realizar exámenes de vulnerabilidades	Manual, Deshabilitado	1.1.0
Revisar semanalmente el informe de detecciones de malware	CMA_0475: Revisar semanalmente el informe de detecciones de malware	Manual, Deshabilitado	1.1.0
Revisar semanalmente el estado de protección contra amenazas	CMA_0479: Revisar semanalmente el estado de protección contra amenazas	Manual, Deshabilitado	1.1.0
Actualizar las definiciones de antivirus	CMA_0517: Actualizar las definiciones de antivirus	Manual, Deshabilitado	1.1.0

Asegúrese de que Microsoft Defender para Azure Cosmos DB esté establecido en "Activado"

ID: Recomendación de CIS Microsoft Azure Foundations Benchmark 2.1.9 Propiedad: Compartida

Nombre (Azure Portal)	Descripción	Efectos	Versión (GitHub)
Microsoft Defender para Azure Cosmos DB debe estar habilitado	Microsoft Defender para Azure Cosmos DB es una capa de seguridad nativa de Azure que detecta intentos de aprovechar una vulnerabilidad de seguridad de las bases de datos de las cuentas de Azure Cosmos DB. Defender para Azure Cosmos DB detecta posibles ataques por inyección de código SQL, actores malintencionados conocidos basados en Inteligencia sobre amenazas de Microsoft, patrones de acceso sospechosos y posibles vulnerabilidades de seguridad de la base de datos mediante identidades en peligro o usuarios malintencionados.	AuditIfNotExists, Disabled	1.0.0

3

Asegúrese de la opción "Se requiere transferencia segura" esté establecida en "Habilitada".

Id.: recomendación de CIS Microsoft Azure Foundations Benchmark 3.1 Propiedad: compartido

Nombre (Azure Portal)	Descripción	Efectos	Versión (GitHub)
Configurar estaciones de trabajo para comprobar si hay certificados digitales	CMA_0073: Configurar estaciones de trabajo para comprobar si hay certificados digitales	Manual, Deshabilitado	1.1.0
Proteger de datos en tránsito mediante cifrado	CMA_0403: Proteger los datos en tránsito mediante el cifrado	Manual, Deshabilitado	1.1.0
Proteger contraseñas con cifrado	CMA_0408: Proteger contraseñas con cifrado	Manual, Deshabilitado	1.1.0
Se debe habilitar la transferencia segura a las cuentas de almacenamiento	Permite auditar el requisito de transferencia segura en la cuenta de almacenamiento. La transferencia segura es una opción que obliga a la cuenta de almacenamiento a aceptar solamente solicitudes de conexiones seguras (HTTPS). El uso de HTTPS garantiza la autenticación entre el servidor y el servicio, y protege los datos en tránsito de ataques de nivel de red, como los de tipo "Man in the middle", interceptación y secuestro de sesión	Audit, Deny, Disabled	2.0.0

Asegúrese de que se usen los puntos de conexión privados para acceder a las cuentas de almacenamiento.

Id.: recomendación de CIS Microsoft Azure Foundations Benchmark 3.10 Propiedad: compartido

Nombre (Azure Portal)	Descripción	Efectos	Versión (GitHub)
Las cuentas de almacenamiento deben usar un vínculo privado.	Azure Private Link permite conectar la red virtual a servicios de Azure sin una dirección IP pública en el origen o el destino. La plataforma Private Link administra la conectividad entre el consumidor y los servicios a través de la red troncal de Azure. Al asignar puntos de conexión privados a su cuenta de almacenamiento, se reduce el riesgo de pérdida de datos. Más información sobre los vínculos privados en https://aka.ms/azureprivatelinkoverview.	AuditIfNotExists, Disabled	2.0.0

Asegurarse de que el almacenamiento de datos críticos está cifrado con claves administradas por el cliente

Id.: recomendación de CIS Microsoft Azure Foundations Benchmark 3.12 Propiedad: compartida

Nombre (Azure Portal)	Descripción	Efectos	Versión (GitHub)
Establecer un procedimiento de administración de pérdida de datos	CMA_0255: Establecer un procedimiento de administración de pérdida de datos	Manual, Deshabilitado	1.1.0
Implementar controles para proteger todos los medios	CMA_0314: Implementar los controles para proteger todos los medios	Manual, Deshabilitado	1.1.0
Proteger de datos en tránsito mediante cifrado	CMA_0403: Proteger los datos en tránsito mediante el cifrado	Manual, Deshabilitado	1.1.0
Proteger información especial	CMA_0409: Proteger información especial	Manual, Deshabilitado	1.1.0
Las cuentas de almacenamiento deben utilizar una clave administrada por el cliente para el cifrado	Proteja su cuenta de almacenamiento de blobs y archivos con mayor flexibilidad mediante claves administradas por el cliente. Cuando se especifica una clave administrada por el cliente, esa clave se usa para proteger y controlar el acceso a la clave que cifra los datos. El uso de claves administradas por el cliente proporciona funcionalidades adicionales para controlar la rotación de la clave de cifrado de claves o para borrar datos mediante criptografía.	Audit, Disabled	1.0.3

Asegurarse de que el registro de almacenamiento esté habilitado para Blob Service para las solicitudes "Read", "Write" y "Delete"

ID: Recomendación de CIS Microsoft Azure Foundations Benchmark 3.13 Propiedad: Compartida

Nombre (Azure Portal)	Descripción	Efectos	Versión (GitHub)
Auditar funciones con privilegios	CMA_0019: Auditar funciones con privilegios	Manual, Deshabilitado	1.1.0
Auditar el estado de la cuenta de usuario	CMA_0020: Auditar el estado de la cuenta de usuario	Manual, Deshabilitado	1.1.0
Configuración de las funcionalidades de auditoría de Azure	CMA_C1108: Configurar la funcionalidad de auditoría de Azure	Manual, Deshabilitado	1.1.1
Determinar eventos auditables	CMA_0137: Determinar eventos auditables	Manual, Deshabilitado	1.1.0
Revisar los datos de auditoría	CMA_0466: Revisar los datos de auditoría	Manual, Deshabilitado	1.1.0

Asegurarse de que el registro de almacenamiento esté habilitado para Table Service para las solicitudes "Read", "Write" y "Delete"

ID: Recomendación de CIS Microsoft Azure Foundations Benchmark 3.14 Propiedad: Compartida

Nombre (Azure Portal)	Descripción	Efectos	Versión (GitHub)
Auditar funciones con privilegios	CMA_0019: Auditar funciones con privilegios	Manual, Deshabilitado	1.1.0
Auditar el estado de la cuenta de usuario	CMA_0020: Auditar el estado de la cuenta de usuario	Manual, Deshabilitado	1.1.0
Configuración de las funcionalidades de auditoría de Azure	CMA_C1108: Configurar la funcionalidad de auditoría de Azure	Manual, Deshabilitado	1.1.1
Determinar eventos auditables	CMA_0137: Determinar eventos auditables	Manual, Deshabilitado	1.1.0
Revisar los datos de auditoría	CMA_0466: Revisar los datos de auditoría	Manual, Deshabilitado	1.1.0

Asegúrese de que la "Versión mínima de TLS" para las cuentas de almacenamiento esté establecida en la "Versión 1.2"

ID: Recomendación de CIS Microsoft Azure Foundations Benchmark 3.15 Propiedad: Compartida

Nombre (Azure Portal)	Descripción	Efectos	Versión (GitHub)
Configurar estaciones de trabajo para comprobar si hay certificados digitales	CMA_0073: Configurar estaciones de trabajo para comprobar si hay certificados digitales	Manual, Deshabilitado	1.1.0
Proteger de datos en tránsito mediante cifrado	CMA_0403: Proteger los datos en tránsito mediante el cifrado	Manual, Deshabilitado	1.1.0
Proteger contraseñas con cifrado	CMA_0408: Proteger contraseñas con cifrado	Manual, Deshabilitado	1.1.0
Las cuentas de almacenamiento deben tener la versión mínima de TLS especificada	Configure una versión mínima de TLS para la comunicación segura entre la aplicación cliente y la cuenta de almacenamiento. Para minimizar el riesgo de seguridad, la versión mínima recomendada de TLS es la versión más reciente publicada, que actualmente es TLS 1.2.	Audit, Deny, Disabled	1.0.0

Asegúrese de que "Habilitar el cifrado de infraestructura" para cada cuenta de almacenamiento de Azure Storage esté establecido en "habilitado".

Id.: recomendación de CIS Microsoft Azure Foundations Benchmark 3.2 Propiedad: compartido

Nombre (Azure Portal)	Descripción	Efectos	Versión (GitHub)
Las cuentas de almacenamiento deben tener un cifrado de infraestructura	Habilite el cifrado de la infraestructura para aumentar la garantía de que los datos son seguros. Cuando el cifrado de infraestructura está habilitado, los datos de las cuentas de almacenamiento se cifran dos veces.	Audit, Deny, Disabled	1.0.0

Asegúrese de que las claves de acceso de la cuenta de almacenamiento se regeneren periódicamente

Id.: recomendación de CIS Microsoft Azure Foundations Benchmark 3.4 Propiedad: compartido

Nombre (Azure Portal)	Descripción	Efectos	Versión (GitHub)
Definir un proceso de administración de claves físicas	CMA_0115: Definir un proceso de administración de claves físicas	Manual, Deshabilitado	1.1.0
Definir el uso criptográfico	CMA_0120: Definir el uso criptográfico	Manual, Deshabilitado	1.1.0
Definir los requisitos de la organización para la administración de claves criptográficas	CMA_0123: Definir los requisitos de la organización para la administración de claves criptográficas	Manual, Deshabilitado	1.1.0
Determinar los requisitos de aserción	CMA_0136: Determinar los requisitos de aserción	Manual, Deshabilitado	1.1.0
Emisión de certificados de clave pública	CMA_0347: Emitir certificados de clave pública	Manual, Deshabilitado	1.1.0
Administración de claves criptográficas simétricas	CMA_0367: Administrar las claves criptográficas simétricas	Manual, Deshabilitado	1.1.0
Restringir el acceso a las claves privadas	CMA_0445: Restringir el acceso a las claves privadas	Manual, Deshabilitado	1.1.0

Asegurarse de que el registro de almacenamiento esté habilitado para Queue Service para las solicitudes de lectura, escritura y eliminación

Id.: recomendación de CIS Microsoft Azure Foundations Benchmark 3.5 Propiedad: compartido

Nombre (Azure Portal)	Descripción	Efectos	Versión (GitHub)
Auditar funciones con privilegios	CMA_0019: Auditar funciones con privilegios	Manual, Deshabilitado	1.1.0
Auditar el estado de la cuenta de usuario	CMA_0020: Auditar el estado de la cuenta de usuario	Manual, Deshabilitado	1.1.0
Configuración de las funcionalidades de auditoría de Azure	CMA_C1108: Configurar la funcionalidad de auditoría de Azure	Manual, Deshabilitado	1.1.1
Determinar eventos auditables	CMA_0137: Determinar eventos auditables	Manual, Deshabilitado	1.1.0
Revisar los datos de auditoría	CMA_0466: Revisar los datos de auditoría	Manual, Deshabilitado	1.1.0

Asegurarse de que los tokens de Firma de acceso compartido expiren en una hora

Id.: recomendación de CIS Microsoft Azure Foundations Benchmark 3.6 Propiedad: compartido

Nombre (Azure Portal)	Descripción	Efectos	Versión (GitHub)
Deshabilitar autenticadores tras la finalización	CMA_0169: Deshabilitar los autenticadores tras la finalización	Manual, Deshabilitado	1.1.0
Revocar roles con privilegios según corresponda	CMA_0483: Revocar roles con privilegios según corresponda	Manual, Deshabilitado	1.1.0
Finalizar sesión de usuario automáticamente	CMA_C1054: Finalizar la sesión de usuario automáticamente	Manual, Deshabilitado	1.1.0

Asegúrese de que "Nivel de acceso público" está deshabilitado para las cuentas de almacenamiento con contenedores de blobs.

Id.: recomendación de CIS Microsoft Azure Foundations Benchmark 3.7 Propiedad: compartido

Nombre (Azure Portal)	Descripción	Efectos	Versión (GitHub)
[Versión preliminar]: No se debe permitir el acceso público a la cuenta de almacenamiento	El acceso de lectura público anónimo a contenedores y blobs de Azure Storage es una manera cómoda de compartir datos, pero también puede plantear riesgos para la seguridad. Para evitar las infracciones de datos producidas por el acceso anónimo no deseado, Microsoft recomienda impedir el acceso público a una cuenta de almacenamiento a menos que su escenario lo requiera.	audit, Audit, deny, Deny, disabled, Disabled	3.1.0: versión preliminar
Autorizar el acceso a las funciones e información de seguridad	CMA_0022: Autorizar el acceso a las funciones e información de seguridad	Manual, Deshabilitado	1.1.0
Autorización y administración del acceso	CMA_0023: Autorizar y administrar el acceso	Manual, Deshabilitado	1.1.0
Aplicar el acceso lógico	CMA_0245: Aplicar el acceso lógico	Manual, Deshabilitado	1.1.0
Aplicar directivas de control de acceso obligatorias y discrecionales	CMA_0246: Aplicar directivas de control de acceso obligatorias y discrecionales	Manual, Deshabilitado	1.1.0
Requerir aprobación para la creación de cuentas	CMA_0431: Requerir aprobación para la creación de cuentas	Manual, Deshabilitado	1.1.0
Revisar grupos de usuarios y aplicaciones con acceso a datos confidenciales	CMA_0481: Revisar grupos de usuarios y aplicaciones con acceso a datos confidenciales	Manual, Deshabilitado	1.1.0

Asegurarse de que la regla de acceso a la red predeterminada para las cuentas de almacenamiento esté establecida en denegar

Id.: recomendación de CIS Microsoft Azure Foundations Benchmark 3.8 Propiedad: compartido

Nombre (Azure Portal)	Descripción	Efectos	Versión (GitHub)
Se debe restringir el acceso de red a las cuentas de almacenamiento	El acceso de red a las cuentas de almacenamiento debe estar restringido. Configure reglas de red, solo las aplicaciones de redes permitidas pueden acceder a la cuenta de almacenamiento. Para permitir conexiones desde clientes específicos locales o de Internet, se puede conceder acceso al tráfico procedente de redes virtuales de Azure específicas o a intervalos de direcciones IP de Internet públicas.	Audit, Deny, Disabled	1.1.1
Las cuentas de almacenamiento deben restringir el acceso a la red mediante el uso de reglas de red virtual	Proteja las cuentas de almacenamiento frente a amenazas potenciales mediante reglas de red virtual como método preferente en lugar de filtrado basado en IP. La deshabilitación del filtrado basado en IP evita que las direcciones IP públicas accedan a las cuentas de almacenamiento.	Audit, Deny, Disabled	1.0.1

Asegúrese de que "Permitir que los servicios de Azure de la lista de servicios de confianza accedan a esta cuenta de almacenamiento" esté habilitado para el acceso a la cuenta de almacenamiento.

Id.: recomendación de CIS Microsoft Azure Foundations Benchmark 3.9 Propiedad: compartido

Nombre (Azure Portal)	Descripción	Efectos	Versión (GitHub)
Flujo de la información de control	CMA_0079: Flujo de la información de control	Manual, Deshabilitado	1.1.0
Usar mecanismos de control de flujo de información cifrada	CMA_0211: Usar mecanismos de control de flujo de información cifrada	Manual, Deshabilitado	1.1.0
Establecer estándares de configuración de firewall y enrutador	CMA_0272: Establecer estándares de configuración de firewall y enrutador	Manual, Deshabilitado	1.1.0
Establecimiento de la segmentación de red para el entorno de datos del titular de la tarjeta	CMA_0273: Establecer la segmentación de red para el entorno de datos del titular de la tarjeta	Manual, Deshabilitado	1.1.0
Identificar y administrar intercambios de información de nivel inferior	CMA_0298: Identificar y administrar los intercambios de información de nivel inferior	Manual, Deshabilitado	1.1.0
Las cuentas de almacenamiento deben permitir el acceso desde los servicios de Microsoft de confianza	Algunos servicios de Microsoft que interactúan con las cuentas de almacenamiento funcionan desde redes a las que no se puede conceder acceso a través de reglas de red. Para ayudar a que este tipo de servicio funcione según lo previsto, permita que el conjunto de servicios de Microsoft de confianza omita las reglas de red. Estos servicios usarán luego una autenticación sólida para acceder a la cuenta de almacenamiento.	Audit, Deny, Disabled	1.0.0

4,1

Asegúrese de que la opción "Auditando" esté establecida en "Activada".

Id.: recomendación de CIS Microsoft Azure Foundations Benchmark 4.1.1 Propiedad: Compartido

Nombre (Azure Portal)	Descripción	Efectos	Versión (GitHub)
Auditar funciones con privilegios	CMA_0019: Auditar funciones con privilegios	Manual, Deshabilitado	1.1.0
Auditar el estado de la cuenta de usuario	CMA_0020: Auditar el estado de la cuenta de usuario	Manual, Deshabilitado	1.1.0
La auditoría de SQL Server debe estar habilitada	La auditoría debe estar habilitada en SQL Server para realizar un seguimiento de las actividades de todas las bases de datos del servidor y guardarlas en un registro de auditoría.	AuditIfNotExists, Disabled	2.0.0
Determinar eventos auditables	CMA_0137: Determinar eventos auditables	Manual, Deshabilitado	1.1.0
Revisar los datos de auditoría	CMA_0466: Revisar los datos de auditoría	Manual, Deshabilitado	1.1.0

Asegúrese de que ninguna instancia de Azure SQL Databases permita la entrada 0.0.0.0/0 (cualquier IP)

Id.: recomendación de CIS Microsoft Azure Foundations Benchmark 4.1.2 Propiedad: Compartido

Nombre (Azure Portal)	Descripción	Efectos	Versión (GitHub)
Flujo de la información de control	CMA_0079: Flujo de la información de control	Manual, Deshabilitado	1.1.0
Usar mecanismos de control de flujo de información cifrada	CMA_0211: Usar mecanismos de control de flujo de información cifrada	Manual, Deshabilitado	1.1.0
Debe deshabilitarse el acceso a redes públicas en Azure SQL Database	Al deshabilitar la propiedad de acceso a la red pública, se mejora la seguridad al garantizar que solo se pueda acceder a la instancia de Azure SQL Database desde un punto de conexión privado. Esta configuración deniega todos los inicios de sesión que coincidan con las reglas de firewall basadas en IP o redes virtuales.	Audit, Deny, Disabled	1.1.0

Asegúrese de que el protector de Cifrado de datos transparente (TDE) de SQL Server esté cifrado con la clave administrada por el cliente

Id.: recomendación de CIS Microsoft Azure Foundations Benchmark 4.1.3 Propiedad: Compartido

Nombre (Azure Portal)	Descripción	Efectos	Versión (GitHub)
Establecer un procedimiento de administración de pérdida de datos	CMA_0255: Establecer un procedimiento de administración de pérdida de datos	Manual, Deshabilitado	1.1.0
Implementar controles para proteger todos los medios	CMA_0314: Implementar los controles para proteger todos los medios	Manual, Deshabilitado	1.1.0
Proteger de datos en tránsito mediante cifrado	CMA_0403: Proteger los datos en tránsito mediante el cifrado	Manual, Deshabilitado	1.1.0
Proteger información especial	CMA_0409: Proteger información especial	Manual, Deshabilitado	1.1.0
Las instancias administradas de SQL deben usar claves administradas por el cliente para cifrar los datos en reposo	La implementación de Cifrado de datos transparente (TDE) con una clave propia proporciona una mayor transparencia y control sobre el protector de TDE, ofrece mayor seguridad con un servicio externo respaldado con HSM y permite la separación de tareas. Esta recomendación se aplica a las organizaciones con un requisito de cumplimiento relacionado.	Audit, Deny, Disabled	2.0.0
Los servidores SQL deben usar claves administradas por el cliente para cifrar los datos en reposo	La implementación de Cifrado de datos transparente (TDE) con una clave propia proporciona una mayor transparencia y control sobre el protector de TDE, ofrece mayor seguridad con un servicio externo respaldado con HSM y permite la separación de tareas. Esta recomendación se aplica a las organizaciones con un requisito de cumplimiento relacionado.	Audit, Deny, Disabled	2.0.1

Asegúrese de que el administrador de Azure Active Directory esté configurado para SQL Servers

ID: Recomendación de CIS Microsoft Azure Foundations Benchmark 4.1.4 Propiedad: Compartida

Nombre (Azure Portal)	Descripción	Efectos	Versión (GitHub)
El administrador de Azure Active Directory debe aprovisionarse para servidores SQL Server	Permite aprovisionar un administrador de Azure Active Directory para SQL Server a fin de habilitar la autenticación de Azure AD. La autenticación de Azure AD permite la administración simplificada de permisos y la administración centralizada de identidades de usuarios de base de datos y otros servicios de Microsoft	AuditIfNotExists, Disabled	1.0.0
Automatizar la administración de cuentas	CMA_0026: Automatizar la administración de cuentas	Manual, Deshabilitado	1.1.0
Administrar cuentas de administrador y del sistema	CMA_0368: Administrar cuentas de administrador y del sistema	Manual, Deshabilitado	1.1.0
Supervisar el acceso en toda la organización	CMA_0376: Supervisar el acceso en toda la organización	Manual, Deshabilitado	1.1.0
Notificar cuando no se necesite la cuenta	CMA_0383: Notificar cuando no se necesite la cuenta	Manual, Deshabilitado	1.1.0

Asegúrese de que la opción "Cifrado de datos" esté establecida en "Activado" en una base de datos SQL Database.

ID: Recomendación de CIS Microsoft Azure Foundations Benchmark 4.1.5 Propiedad: Compartida

Nombre (Azure Portal)	Descripción	Efectos	Versión (GitHub)
Establecer un procedimiento de administración de pérdida de datos	CMA_0255: Establecer un procedimiento de administración de pérdida de datos	Manual, Deshabilitado	1.1.0
Implementar controles para proteger todos los medios	CMA_0314: Implementar los controles para proteger todos los medios	Manual, Deshabilitado	1.1.0
Proteger de datos en tránsito mediante cifrado	CMA_0403: Proteger los datos en tránsito mediante el cifrado	Manual, Deshabilitado	1.1.0
Proteger información especial	CMA_0409: Proteger información especial	Manual, Deshabilitado	1.1.0
El cifrado de datos transparente en bases de datos SQL debe estar habilitado	El cifrado de datos transparente debe estar habilitado para proteger los datos en reposo y satisfacer los requisitos de cumplimiento.	AuditIfNotExists, Disabled	2.0.0

Asegúrese de que la retención de "Auditoría" sea "más de 90 días".

ID: Recomendación de CIS Microsoft Azure Foundations Benchmark 4.1.6 Propiedad: Compartida

Nombre (Azure Portal)	Descripción	Efectos	Versión (GitHub)
Cumplir con los períodos de retención definidos	CMA_0004: cumplir con los períodos de retención definidos	Manual, Deshabilitado	1.1.0
Control y supervisión de las actividades de procesamiento de auditoría	CMA_0289: Controlar y supervisar las actividades de procesamiento de auditoría	Manual, Deshabilitado	1.1.0
Conservar directivas y procedimientos de seguridad	CMA_0454: Conservar directivas y procedimientos de seguridad	Manual, Deshabilitado	1.1.0
Conservar los datos de usuarios finalizados	CMA_0455: Conservar los datos de usuario finalizados	Manual, Deshabilitado	1.1.0
Los servidores SQL Server con auditoría en el destino de la cuenta de almacenamiento se deben configurar con una retención de 90 días o superior.	Con fines de investigación de incidentes, se recomienda establecer la retención de datos de auditoría de las instancias de SQL Server en el destino de la cuenta de almacenamiento en al menos 90 días. Confirme que cumple las reglas de retención necesarias para las regiones en las que trabaja. A veces, es necesario para cumplir con los estándares normativos.	AuditIfNotExists, Disabled	3.0.0

4,2

Asegúrese de que Microsoft Defender para SQL esté establecido en "Activado" para SQL Servers críticos

Id.: recomendación de CIS Microsoft Azure Foundations Benchmark 4.2.1 Propiedad: Compartido

Nombre (Azure Portal)	Descripción	Efectos	Versión (GitHub)
Se debe habilitar Azure Defender para SQL en las instancias de Azure SQL Server desprotegidas	Auditoría de los servidores de SQL sin Advanced Data Security	AuditIfNotExists, Disabled	2.0.1
Azure Defender para SQL debe habilitarse en las instancias de SQL Managed Instances desprotegidas.	Permite auditr cada servicio SQL Managed Instance sin Advanced Data Security.	AuditIfNotExists, Disabled	1.0.2
Realizar un análisis de tendencias sobre amenazas	CMA_0389: Realizar un análisis de tendencias sobre amenazas	Manual, Deshabilitado	1.1.0

Asegúrese de que la evaluación de vulnerabilidades (VA) esté habilitada en un servidor SQL Server mediante la configuración de una cuenta de almacenamiento

Id.: recomendación de CIS Microsoft Azure Foundations Benchmark 4.2.2 Propiedad: compartido

Nombre (Azure Portal)	Descripción	Efectos	Versión (GitHub)
Realizar exámenes de vulnerabilidades	CMA_0393: Realizar exámenes de vulnerabilidades	Manual, Deshabilitado	1.1.0
Corregir errores del sistema de información	CMA_0427: Corregir los errores del sistema de información	Manual, Deshabilitado	1.1.0
La evaluación de vulnerabilidades debe estar habilitada en Instancia administrada de SQL	Audita cada servicio SQL Managed Instance que no tiene habilitado los exámenes de evaluación de vulnerabilidades periódicos. La evaluación de vulnerabilidades permite detectar las vulnerabilidades potenciales de la base de datos, así como hacer un seguimiento y ayudar a corregirlas.	AuditIfNotExists, Disabled	1.0.1
La evaluación de vulnerabilidades debe estar activada en sus servidores de SQL Server	Auditoría de los servidores Azure SQL que no tienen configurada correctamente la evaluación de vulnerabilidades. La evaluación de vulnerabilidades permite detectar las vulnerabilidades potenciales de la base de datos, así como hacer un seguimiento y ayudar a corregirlas.	AuditIfNotExists, Disabled	3.0.0

Asegúrese de que la configuración de la valoración de vulnerabilidad (VA) "Exámenes periódicos" esté establecida en "activado" para cada servidor SQL

Id.: recomendación de CIS Microsoft Azure Foundations Benchmark 4.2.3 Propiedad: compartido

Nombre (Azure Portal)	Descripción	Efectos	Versión (GitHub)
Realizar exámenes de vulnerabilidades	CMA_0393: Realizar exámenes de vulnerabilidades	Manual, Deshabilitado	1.1.0
Corregir errores del sistema de información	CMA_0427: Corregir los errores del sistema de información	Manual, Deshabilitado	1.1.0
La evaluación de vulnerabilidades debe estar habilitada en Instancia administrada de SQL	Audita cada servicio SQL Managed Instance que no tiene habilitado los exámenes de evaluación de vulnerabilidades periódicos. La evaluación de vulnerabilidades permite detectar las vulnerabilidades potenciales de la base de datos, así como hacer un seguimiento y ayudar a corregirlas.	AuditIfNotExists, Disabled	1.0.1

Asegúrese de que la configuración de la valoración de vulnerabilidades (VA) "Enviar informes de examen a" esté establecida para un servidor SQL

Id.: recomendación de CIS Microsoft Azure Foundations Benchmark 4.2.4 Propiedad: compartido

Nombre (Azure Portal)	Descripción	Efectos	Versión (GitHub)
Correlación de la información del examen de vulnerabilidades	CMA_C1558: Poner en correlación la información del examen de vulnerabilidades	Manual, Deshabilitado	1.1.1
Realizar exámenes de vulnerabilidades	CMA_0393: Realizar exámenes de vulnerabilidades	Manual, Deshabilitado	1.1.0
Corregir errores del sistema de información	CMA_0427: Corregir los errores del sistema de información	Manual, Deshabilitado	1.1.0
La evaluación de vulnerabilidades debe estar activada en sus servidores de SQL Server	Auditoría de los servidores Azure SQL que no tienen configurada correctamente la evaluación de vulnerabilidades. La evaluación de vulnerabilidades permite detectar las vulnerabilidades potenciales de la base de datos, así como hacer un seguimiento y ayudar a corregirlas.	AuditIfNotExists, Disabled	3.0.0

Asegúrese de que la configuración de la valoración de vulnerabilidades (VA) "Enviar también notificaciones por correo electrónico a los administradores y propietarios de la suscripción" esté establecida para cada SQL Server

Id.: recomendación de CIS Microsoft Azure Foundations Benchmark 4.2.5 Propiedad: compartido

Nombre (Azure Portal)	Descripción	Efectos	Versión (GitHub)
Correlación de la información del examen de vulnerabilidades	CMA_C1558: Poner en correlación la información del examen de vulnerabilidades	Manual, Deshabilitado	1.1.1
Realizar exámenes de vulnerabilidades	CMA_0393: Realizar exámenes de vulnerabilidades	Manual, Deshabilitado	1.1.0
Corregir errores del sistema de información	CMA_0427: Corregir los errores del sistema de información	Manual, Deshabilitado	1.1.0
Las bases de datos SQL deben tener resueltos los hallazgos de vulnerabilidades.	Permite supervisar los resultados del examen de evaluación de puntos vulnerables y las recomendaciones para solucionar los de las bases de datos.	AuditIfNotExists, Disabled	4.1.0
La evaluación de vulnerabilidades debe estar activada en sus servidores de SQL Server	Auditoría de los servidores Azure SQL que no tienen configurada correctamente la evaluación de vulnerabilidades. La evaluación de vulnerabilidades permite detectar las vulnerabilidades potenciales de la base de datos, así como hacer un seguimiento y ayudar a corregirlas.	AuditIfNotExists, Disabled	3.0.0

4.3

Asegúrese de que "Aplicar conexión SSL" esté establecido en "HABILITADO" para el servidor de bases de datos PostgreSQL.

Id.: recomendación de CIS Microsoft Azure Foundations Benchmark 4.3.1 Propiedad: compartido

Nombre (Azure Portal)	Descripción	Efectos	Versión (GitHub)
Configurar estaciones de trabajo para comprobar si hay certificados digitales	CMA_0073: Configurar estaciones de trabajo para comprobar si hay certificados digitales	Manual, Deshabilitado	1.1.0
La aplicación de la conexión SSL debe estar habilitada para los servidores de base de datos PostgreSQL	Azure Database for PostgreSQL permite conectar el servidor de Azure Database for PostgreSQL a las aplicaciones cliente mediante la Capa de sockets seguros (SSL). La aplicación de conexiones SSL entre el servidor de bases de datos y las aplicaciones cliente facilita la protección frente a ataques de tipo "Man in the middle" al cifrar el flujo de datos entre el servidor y la aplicación. Esta configuración exige que SSL esté siempre habilitado para el acceso al servidor de bases de datos.	Audit, Disabled	1.0.1
Proteger de datos en tránsito mediante cifrado	CMA_0403: Proteger los datos en tránsito mediante el cifrado	Manual, Deshabilitado	1.1.0
Proteger contraseñas con cifrado	CMA_0408: Proteger contraseñas con cifrado	Manual, Deshabilitado	1.1.0

Asegurarse de que el parámetro de servidor "log_checkpoints" está establecido en "Activado" para el servidor de bases de datos PostgreSQL

Id.: recomendación de CIS Microsoft Azure Foundations Benchmark 4.3.2 Propiedad: Compartido

Nombre (Azure Portal)	Descripción	Efectos	Versión (GitHub)
Auditar funciones con privilegios	CMA_0019: Auditar funciones con privilegios	Manual, Deshabilitado	1.1.0
Auditar el estado de la cuenta de usuario	CMA_0020: Auditar el estado de la cuenta de usuario	Manual, Deshabilitado	1.1.0
Determinar eventos auditables	CMA_0137: Determinar eventos auditables	Manual, Deshabilitado	1.1.0
Los puntos de control del registro se deben habilitar para los servidores de base de datos de PostgreSQL	Esta directiva ayuda a realizar una auditoría de las bases de datos de PostgreSQL del entorno sin habilitar la opción log_checkpoints.	AuditIfNotExists, Disabled	1.0.0
Revisar los datos de auditoría	CMA_0466: Revisar los datos de auditoría	Manual, Deshabilitado	1.1.0

Asegúrese de que "log_connections" del parámetro del servidor está establecido en "ACTIVADO" para el servidor de bases de datos PostgreSQL.

Id.: recomendación de CIS Microsoft Azure Foundations Benchmark 4.3.3 Propiedad: Compartido

Nombre (Azure Portal)	Descripción	Efectos	Versión (GitHub)
Auditar funciones con privilegios	CMA_0019: Auditar funciones con privilegios	Manual, Deshabilitado	1.1.0
Auditar el estado de la cuenta de usuario	CMA_0020: Auditar el estado de la cuenta de usuario	Manual, Deshabilitado	1.1.0
Determinar eventos auditables	CMA_0137: Determinar eventos auditables	Manual, Deshabilitado	1.1.0
Las conexiones del registro deben estar habilitadas para los servidores de bases de datos de PostgreSQL	Esta directiva ayuda a realizar una auditoría de las bases de datos de PostgreSQL del entorno sin habilitar la opción log_connections.	AuditIfNotExists, Disabled	1.0.0
Revisar los datos de auditoría	CMA_0466: Revisar los datos de auditoría	Manual, Deshabilitado	1.1.0

Asegúrese de que "log_disconnections" del parámetro del servidor está establecido en "ACTIVADO" para el servidor de bases de datos PostgreSQL.

Id.: recomendación de CIS Microsoft Azure Foundations Benchmark 4.3.4 Propiedad: Compartido

Nombre (Azure Portal)	Descripción	Efectos	Versión (GitHub)
Auditar funciones con privilegios	CMA_0019: Auditar funciones con privilegios	Manual, Deshabilitado	1.1.0
Auditar el estado de la cuenta de usuario	CMA_0020: Auditar el estado de la cuenta de usuario	Manual, Deshabilitado	1.1.0
Determinar eventos auditables	CMA_0137: Determinar eventos auditables	Manual, Deshabilitado	1.1.0
Las desconexiones se deben registrar para los servidores de base de datos de PostgreSQL.	Esta directiva ayuda a realizar una auditoría de las bases de datos de PostgreSQL del entorno sin habilitar la opción log_disconnections.	AuditIfNotExists, Disabled	1.0.0
Revisar los datos de auditoría	CMA_0466: Revisar los datos de auditoría	Manual, Deshabilitado	1.1.0

Asegúrese de que "connection_throttling" del parámetro del servidor está establecido en "ACTIVADO" para el servidor de bases de datos PostgreSQL.

Id.: recomendación de CIS Microsoft Azure Foundations Benchmark 4.3.5 Propiedad: Compartido

Nombre (Azure Portal)	Descripción	Efectos	Versión (GitHub)
Auditar funciones con privilegios	CMA_0019: Auditar funciones con privilegios	Manual, Deshabilitado	1.1.0
Auditar el estado de la cuenta de usuario	CMA_0020: Auditar el estado de la cuenta de usuario	Manual, Deshabilitado	1.1.0
La limitación de conexiones debe estar habilitada para los servidores de bases de datos PostgreSQL	Esta directiva permite realizar una auditoría de las bases de datos de PostgreSQL del entorno sin la limitación de conexiones habilitada. Esta configuración habilita la limitación de conexiones temporales por IP si hay demasiados errores de inicio de sesión con una contraseña no válida.	AuditIfNotExists, Disabled	1.0.0
Determinar eventos auditables	CMA_0137: Determinar eventos auditables	Manual, Deshabilitado	1.1.0
Revisar los datos de auditoría	CMA_0466: Revisar los datos de auditoría	Manual, Deshabilitado	1.1.0

Asegúrese de que el parámetro de servidor "log_retention_days" sea superior a 3 días para el servidor de la base de datos PostgreSQL

Id.: recomendación de CIS Microsoft Azure Foundations Benchmark 4.3.6 Propiedad: compartido

Nombre (Azure Portal)	Descripción	Efectos	Versión (GitHub)
Cumplir con los períodos de retención definidos	CMA_0004: cumplir con los períodos de retención definidos	Manual, Deshabilitado	1.1.0
Control y supervisión de las actividades de procesamiento de auditoría	CMA_0289: Controlar y supervisar las actividades de procesamiento de auditoría	Manual, Deshabilitado	1.1.0
Conservar directivas y procedimientos de seguridad	CMA_0454: Conservar directivas y procedimientos de seguridad	Manual, Deshabilitado	1.1.0
Conservar los datos de usuarios finalizados	CMA_0455: Conservar los datos de usuario finalizados	Manual, Deshabilitado	1.1.0

Asegurarse de que se ha deshabilitado la opción "Permitir el acceso a servicios de Azure" para el servidor de bases de datos PostgreSQL

Id.: recomendación de CIS Microsoft Azure Foundations Benchmark 4.3.7 Propiedad: compartido

Nombre (Azure Portal)	Descripción	Efectos	Versión (GitHub)
Flujo de la información de control	CMA_0079: Flujo de la información de control	Manual, Deshabilitado	1.1.0
Usar mecanismos de control de flujo de información cifrada	CMA_0211: Usar mecanismos de control de flujo de información cifrada	Manual, Deshabilitado	1.1.0
Establecer estándares de configuración de firewall y enrutador	CMA_0272: Establecer estándares de configuración de firewall y enrutador	Manual, Deshabilitado	1.1.0
Establecimiento de la segmentación de red para el entorno de datos del titular de la tarjeta	CMA_0273: Establecer la segmentación de red para el entorno de datos del titular de la tarjeta	Manual, Deshabilitado	1.1.0
Identificar y administrar intercambios de información de nivel inferior	CMA_0298: Identificar y administrar los intercambios de información de nivel inferior	Manual, Deshabilitado	1.1.0
El acceso a redes públicas debe estar deshabilitado para los servidores flexibles de PostgreSQL	Al deshabilitar la propiedad de acceso a la red pública, se mejora la seguridad al garantizar que solo se pueda acceder a los servidores flexibles de Azure Database for PostgreSQL desde un punto de conexión privado. Esta configuración deshabilita estrictamente el acceso desde cualquier espacio de direcciones público que esté fuera del intervalo de direcciones IP de Azure y deniega todos los inicios de sesión que coincidan con las reglas de firewall basadas en la IP o en la red virtual.	Audit, Deny, Disabled	3.0.1
El acceso a redes públicas debe estar deshabilitado para los servidores PostgreSQL	Deshabilite la propiedad de acceso a la red pública para mejorar la seguridad y garantizar que solo se pueda acceder a la instancia de Azure Database for PostgreSQL desde un punto de conexión privado. Esta configuración deshabilita el acceso desde cualquier espacio de direcciones público que esté fuera del intervalo de direcciones IP de Azure y deniega todos los inicios de sesión que coinciden con las reglas de firewall basadas en la IP o en la red virtual.	Audit, Deny, Disabled	2.0.1

Asegurarse de que el "Cifrado doble de infraestructura" para el servidor de base de datos PostgreSQL esté "Habilitado"

Id.: recomendación de CIS Microsoft Azure Foundations Benchmark 4.3.8 Propiedad: compartido

Nombre (Azure Portal)	Descripción	Efectos	Versión (GitHub)
Establecer un procedimiento de administración de pérdida de datos	CMA_0255: Establecer un procedimiento de administración de pérdida de datos	Manual, Deshabilitado	1.1.0
Implementar controles para proteger todos los medios	CMA_0314: Implementar los controles para proteger todos los medios	Manual, Deshabilitado	1.1.0
El cifrado de infraestructura debe estar habilitado para los servidores de Azure Database for PostgreSQL	Habilite el cifrado de infraestructura para que los servidores de Azure Database for PostgreSQL tengan mayor garantía de que los datos están seguros. Cuando se habilita el cifrado de infraestructura, los datos en reposo se cifran dos veces con las claves administradas por Microsoft compatibles con FIPS 140-2.	Audit, Deny, Disabled	1.0.0
Proteger de datos en tránsito mediante cifrado	CMA_0403: Proteger los datos en tránsito mediante el cifrado	Manual, Deshabilitado	1.1.0
Proteger información especial	CMA_0409: Proteger información especial	Manual, Deshabilitado	1.1.0

4.4.

Asegurarse de que "Exigir conexión SSL" está establecido en "Habilitado" para el servidor de base de datos MySQL estándar

Id.: recomendación de CIS Microsoft Azure Foundations Benchmark 4.4.1 Propiedad: compartida

Nombre (Azure Portal)	Descripción	Efectos	Versión (GitHub)
Configurar estaciones de trabajo para comprobar si hay certificados digitales	CMA_0073: Configurar estaciones de trabajo para comprobar si hay certificados digitales	Manual, Deshabilitado	1.1.0
Exigir una conexión SSL debe estar habilitado en los servidores de bases de datos MySQL	Azure Database for MySQL permite conectar el servidor de Azure Database for MySQL con aplicaciones cliente mediante Capa de sockets seguros (SSL). La aplicación de conexiones SSL entre el servidor de bases de datos y las aplicaciones cliente facilita la protección frente a ataques de tipo "Man in the middle" al cifrar el flujo de datos entre el servidor y la aplicación. Esta configuración exige que SSL esté siempre habilitado para el acceso al servidor de bases de datos.	Audit, Disabled	1.0.1
Proteger de datos en tránsito mediante cifrado	CMA_0403: Proteger los datos en tránsito mediante el cifrado	Manual, Deshabilitado	1.1.0
Proteger contraseñas con cifrado	CMA_0408: Proteger contraseñas con cifrado	Manual, Deshabilitado	1.1.0

Asegurarse de que la "Versión de TLS" esté establecida en "TLSV1.2" para el servidor de bases de datos flexible de MySQL

Id.: recomendación de CIS Microsoft Azure Foundations Benchmark 4.4.2 Propiedad: compartida

Nombre (Azure Portal)	Descripción	Efectos	Versión (GitHub)
Configurar estaciones de trabajo para comprobar si hay certificados digitales	CMA_0073: Configurar estaciones de trabajo para comprobar si hay certificados digitales	Manual, Deshabilitado	1.1.0
Proteger de datos en tránsito mediante cifrado	CMA_0403: Proteger los datos en tránsito mediante el cifrado	Manual, Deshabilitado	1.1.0
Proteger contraseñas con cifrado	CMA_0408: Proteger contraseñas con cifrado	Manual, Deshabilitado	1.1.0

4.5

Asegúrese de que "Firewalls y redes" esté limitado a usar las redes seleccionadas en lugar de todas las redes

ID: Recomendación de CIS Microsoft Azure Foundations Benchmark 4.5.1 Propiedad: Compartida

Nombre (Azure Portal)	Descripción	Efectos	Versión (GitHub)
Las cuentas de Azure Cosmos DB deben tener reglas de firewall.	Se deben definir reglas de firewall en las cuentas de Azure Cosmos DB para evitar el tráfico desde orígenes no autorizados. Las cuentas que tienen al menos una regla de IP definida con el filtro de red virtual habilitado se consideran compatibles. Las cuentas que deshabilitan el acceso público también se consideran compatibles.	Audit, Deny, Disabled	2.0.0

Asegúrese de que los puntos de conexión privados se usen siempre que sea posible

ID: Recomendación de CIS Microsoft Azure Foundations Benchmark 4.5.2 Propiedad: Compartida

Nombre (Azure Portal)	Descripción	Efectos	Versión (GitHub)
Las cuentas de CosmosDB deben usar Private Link	Azure Private Link permite conectar la red virtual a servicios de Azure sin una dirección IP pública en el origen o el destino. La plataforma Private Link administra la conectividad entre el consumidor y los servicios a través de la red troncal de Azure. Al asignar puntos de conexión privados a su cuenta de CosmosDB, se reduce el riesgo de pérdida de datos. Más información sobre los vínculos privados en https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints.	Audit, Disabled	1.0.0

Use la autenticación de cliente de Azure Active Directory (AAD) y el RBAC de Azure siempre que sea posible.

ID: Recomendación de CIS Microsoft Azure Foundations Benchmark 4.5.3 Propiedad: Compartida

Nombre (Azure Portal)	Descripción	Efectos	Versión (GitHub)
Las cuentas de la base de datos Cosmos DB deben tener deshabilitados los métodos de autenticación local	La deshabilitación de los métodos de autenticación local mejora la seguridad, ya que garantiza que las cuentas de base de datos de Cosmos DB exijan exclusivamente identidades de Azure Active Directory para la autenticación. Más información en: https://docs.microsoft.com/azure/cosmos-db/how-to-setup-rbac#disable-local-auth.	Audit, Deny, Disabled	1.1.0

5,1

Asegúrese de que exista un "Valor de diagnóstico"

Id.: recomendación de CIS Microsoft Azure Foundations Benchmark 5.1.1 Propiedad: compartido

Nombre (Azure Portal)	Descripción	Efectos	Versión (GitHub)
Determinar eventos auditables	CMA_0137: Determinar eventos auditables	Manual, Deshabilitado	1.1.0

Asegurarse de que la configuración de diagnóstico capture las categorías adecuadas

Id.: recomendación de CIS Microsoft Azure Foundations Benchmark 5.1.2 Propiedad: compartido

Nombre (Azure Portal)	Descripción	Efectos	Versión (GitHub)
Debe existir una alerta de registro de actividad para operaciones administrativas específicas	Esta directiva audita operaciones administrativas específicas sin alertas de registro de actividad configuradas.	AuditIfNotExists, Disabled	1.0.0
Debe existir una alerta de registro de actividad para las operaciones específicas de la directiva	Esta directiva audita las operaciones específicas de la directiva sin alertas de registro de actividad configuradas.	AuditIfNotExists, Disabled	3.0.0
Debe existir una alerta de registro de actividad para las operaciones específicas de seguridad	Esta directiva audita las operaciones específicas de seguridad sin alertas de registro de actividad configuradas.	AuditIfNotExists, Disabled	1.0.0
Auditar funciones con privilegios	CMA_0019: Auditar funciones con privilegios	Manual, Deshabilitado	1.1.0
Auditar el estado de la cuenta de usuario	CMA_0020: Auditar el estado de la cuenta de usuario	Manual, Deshabilitado	1.1.0
Configuración de las funcionalidades de auditoría de Azure	CMA_C1108: Configurar la funcionalidad de auditoría de Azure	Manual, Deshabilitado	1.1.1
Determinar eventos auditables	CMA_0137: Determinar eventos auditables	Manual, Deshabilitado	1.1.0
Revisar los datos de auditoría	CMA_0466: Revisar los datos de auditoría	Manual, Deshabilitado	1.1.0

Asegúrese de que el contenedor de almacenamiento donde se almacenan los registros de actividad no sea accesible públicamente.

Id.: recomendación de CIS Microsoft Azure Foundations Benchmark 5.1.3 Propiedad: compartido

Nombre (Azure Portal)	Descripción	Efectos	Versión (GitHub)
[Versión preliminar]: No se debe permitir el acceso público a la cuenta de almacenamiento	El acceso de lectura público anónimo a contenedores y blobs de Azure Storage es una manera cómoda de compartir datos, pero también puede plantear riesgos para la seguridad. Para evitar las infracciones de datos producidas por el acceso anónimo no deseado, Microsoft recomienda impedir el acceso público a una cuenta de almacenamiento a menos que su escenario lo requiera.	audit, Audit, deny, Deny, disabled, Disabled	3.1.0: versión preliminar
Habilitar la autorización doble o conjunta	CMA_0226: Habilitar la autorización doble o conjunta	Manual, Deshabilitado	1.1.0
Proteger la información de auditoría	CMA_0401: Proteger la información de auditoría	Manual, Deshabilitado	1.1.0

Asegúrese de que la cuenta de almacenamiento que contiene el contenedor con los registros de actividad esté cifrada con una clave administrada por el cliente.

Id.: recomendación de CIS Microsoft Azure Foundations Benchmark 5.1.4 Propiedad: compartido

Nombre (Azure Portal)	Descripción	Efectos	Versión (GitHub)
Habilitar la autorización doble o conjunta	CMA_0226: Habilitar la autorización doble o conjunta	Manual, Deshabilitado	1.1.0
Mantener la integridad del sistema de auditoría	CMA_C1133: Mantener la integridad del sistema de auditoría	Manual, Deshabilitado	1.1.0
Proteger la información de auditoría	CMA_0401: Proteger la información de auditoría	Manual, Deshabilitado	1.1.0
La cuenta de almacenamiento que contiene el contenedor con los registros de actividad debe estar cifrada con BYOK	Esta directiva audita si la cuenta de almacenamiento que contiene el contenedor con los registros de actividad está cifrada con BYOK. Esta directiva solo funciona si la cuenta de almacenamiento se encuentra en la misma suscripción que los registros de actividad por diseño. Se puede encontrar más información sobre el cifrado de Azure Storage en reposo en https://aka.ms/azurestoragebyok.	AuditIfNotExists, Disabled	1.0.0

Asegúrese de que el registro de Azure Key Vault esté "Habilitado"

Id.: recomendación de CIS Microsoft Azure Foundations Benchmark 5.1.5 Propiedad: compartido

Nombre (Azure Portal)	Descripción	Efectos	Versión (GitHub)
Auditar funciones con privilegios	CMA_0019: Auditar funciones con privilegios	Manual, Deshabilitado	1.1.0
Auditar el estado de la cuenta de usuario	CMA_0020: Auditar el estado de la cuenta de usuario	Manual, Deshabilitado	1.1.0
Determinar eventos auditables	CMA_0137: Determinar eventos auditables	Manual, Deshabilitado	1.1.0
Los registros de recursos de Key Vault deben estar habilitados	Habilitación de la auditoría de los registros de recursos. De esta forma, puede volver a crear seguimientos de actividad con fines de investigación en caso de incidentes de seguridad o riesgos para la red.	AuditIfNotExists, Disabled	5.0.0
Revisar los datos de auditoría	CMA_0466: Revisar los datos de auditoría	Manual, Deshabilitado	1.1.0

Asegúrese de que los registros de flujo del grupo de seguridad de red se capturan y envían a Log Analytics

Id.: recomendación de CIS Microsoft Azure Foundations Benchmark 5.1.6 Propiedad: compartido

Nombre (Azure Portal)	Descripción	Efectos	Versión (GitHub)
Todos los recursos del registro de flujo deben estar en estado habilitado	Audite los recursos del registro de flujo para comprobar si está habilitado el estado del registro de flujo. Habilitar los registros de flujo permite registrar información sobre el tráfico IP que fluye. Se puede utilizar para optimizar flujos de red, supervisar el rendimiento, comprobar el cumplimiento, detectar intrusiones y mucho más.	Audit, Disabled	1.0.1
Configuración de registros de flujo de auditoría para cada red virtual	Audite la red virtual para comprobar si se han configurado los registros de flujo. Habilitar los registros de flujo permite registrar información sobre el tráfico IP que fluye a través de red virtual. Se puede utilizar para optimizar flujos de red, supervisar el rendimiento, comprobar el cumplimiento, detectar intrusiones y mucho más.	Audit, Disabled	1.0.1
Los registros de flujo se deben configurar para cada grupo de seguridad de red.	Audite los grupos de seguridad de red para comprobar si se han configurado los registros de flujo. Habilitar los registros de flujo permite registrar información sobre el tráfico IP que fluye a través de un grupo de seguridad de red. Se puede utilizar para optimizar flujos de red, supervisar el rendimiento, comprobar el cumplimiento, detectar intrusiones y mucho más.	Audit, Disabled	1.1.0

5.2

Asegúrese de que existe una alerta de registro de actividad para la creación de una asignación de directiva.

Id.: recomendación de CIS Microsoft Azure Foundations Benchmark 5.2.1 Propiedad: compartido

Nombre (Azure Portal)	Descripción	Efectos	Versión (GitHub)
Alertar al personal del volcado de información	CMA_0007: alertar al personal del volcado de información	Manual, Deshabilitado	1.1.0
Debe existir una alerta de registro de actividad para las operaciones específicas de la directiva	Esta directiva audita las operaciones específicas de la directiva sin alertas de registro de actividad configuradas.	AuditIfNotExists, Disabled	3.0.0
Desarrollar un plan de respuesta a incidentes	CMA_0145: Desarrollar un plan de respuesta a incidentes	Manual, Deshabilitado	1.1.0
Establecer notificaciones automáticas para las aplicaciones en la nube nuevas y las que están en tendencia en su organización	CMA_0495: Establecer notificaciones automáticas para las aplicaciones en la nube nuevas y las que están en tendencia en su organización	Manual, Deshabilitado	1.1.0

Asegúrese de que existe una alerta de registro de actividad para la eliminación de una asignación de directiva

Id.: recomendación de CIS Microsoft Azure Foundations Benchmark 5.2.2 Propiedad: compartido

Nombre (Azure Portal)	Descripción	Efectos	Versión (GitHub)
Alertar al personal del volcado de información	CMA_0007: alertar al personal del volcado de información	Manual, Deshabilitado	1.1.0
Debe existir una alerta de registro de actividad para las operaciones específicas de la directiva	Esta directiva audita las operaciones específicas de la directiva sin alertas de registro de actividad configuradas.	AuditIfNotExists, Disabled	3.0.0
Desarrollar un plan de respuesta a incidentes	CMA_0145: Desarrollar un plan de respuesta a incidentes	Manual, Deshabilitado	1.1.0
Establecer notificaciones automáticas para las aplicaciones en la nube nuevas y las que están en tendencia en su organización	CMA_0495: Establecer notificaciones automáticas para las aplicaciones en la nube nuevas y las que están en tendencia en su organización	Manual, Deshabilitado	1.1.0

Asegúrese de que existe una alerta de registro de actividad para crear o actualizar el grupo de seguridad de red.

Id.: recomendación de CIS Microsoft Azure Foundations Benchmark 5.2.3 Propiedad: compartido

Nombre (Azure Portal)	Descripción	Efectos	Versión (GitHub)
Alertar al personal del volcado de información	CMA_0007: alertar al personal del volcado de información	Manual, Deshabilitado	1.1.0
Debe existir una alerta de registro de actividad para operaciones administrativas específicas	Esta directiva audita operaciones administrativas específicas sin alertas de registro de actividad configuradas.	AuditIfNotExists, Disabled	1.0.0
Desarrollar un plan de respuesta a incidentes	CMA_0145: Desarrollar un plan de respuesta a incidentes	Manual, Deshabilitado	1.1.0
Establecer notificaciones automáticas para las aplicaciones en la nube nuevas y las que están en tendencia en su organización	CMA_0495: Establecer notificaciones automáticas para las aplicaciones en la nube nuevas y las que están en tendencia en su organización	Manual, Deshabilitado	1.1.0

Asegúrese de que existe una alerta de registro de actividad para eliminar el grupo de seguridad de red.

Id.: recomendación de CIS Microsoft Azure Foundations Benchmark 5.2.4 Propiedad: compartido

Nombre (Azure Portal)	Descripción	Efectos	Versión (GitHub)
Alertar al personal del volcado de información	CMA_0007: alertar al personal del volcado de información	Manual, Deshabilitado	1.1.0
Debe existir una alerta de registro de actividad para operaciones administrativas específicas	Esta directiva audita operaciones administrativas específicas sin alertas de registro de actividad configuradas.	AuditIfNotExists, Disabled	1.0.0
Desarrollar un plan de respuesta a incidentes	CMA_0145: Desarrollar un plan de respuesta a incidentes	Manual, Deshabilitado	1.1.0
Establecer notificaciones automáticas para las aplicaciones en la nube nuevas y las que están en tendencia en su organización	CMA_0495: Establecer notificaciones automáticas para las aplicaciones en la nube nuevas y las que están en tendencia en su organización	Manual, Deshabilitado	1.1.0

Asegúrese de que existe una alerta de registro de actividad para la solución de seguridad de creación o actualización.

Id.: recomendación de CIS Microsoft Azure Foundations Benchmark 5.2.5 Propiedad: compartido

Nombre (Azure Portal)	Descripción	Efectos	Versión (GitHub)
Alertar al personal del volcado de información	CMA_0007: alertar al personal del volcado de información	Manual, Deshabilitado	1.1.0
Debe existir una alerta de registro de actividad para operaciones administrativas específicas	Esta directiva audita operaciones administrativas específicas sin alertas de registro de actividad configuradas.	AuditIfNotExists, Disabled	1.0.0
Desarrollar un plan de respuesta a incidentes	CMA_0145: Desarrollar un plan de respuesta a incidentes	Manual, Deshabilitado	1.1.0
Establecer notificaciones automáticas para las aplicaciones en la nube nuevas y las que están en tendencia en su organización	CMA_0495: Establecer notificaciones automáticas para las aplicaciones en la nube nuevas y las que están en tendencia en su organización	Manual, Deshabilitado	1.1.0

Asegúrese de que existe una alerta de registro de actividad para la solución de seguridad de eliminación.

Id.: recomendación de CIS Microsoft Azure Foundations Benchmark 5.2.6 Propiedad: compartido

Nombre (Azure Portal)	Descripción	Efectos	Versión (GitHub)
Alertar al personal del volcado de información	CMA_0007: alertar al personal del volcado de información	Manual, Deshabilitado	1.1.0
Debe existir una alerta de registro de actividad para operaciones administrativas específicas	Esta directiva audita operaciones administrativas específicas sin alertas de registro de actividad configuradas.	AuditIfNotExists, Disabled	1.0.0
Desarrollar un plan de respuesta a incidentes	CMA_0145: Desarrollar un plan de respuesta a incidentes	Manual, Deshabilitado	1.1.0
Establecer notificaciones automáticas para las aplicaciones en la nube nuevas y las que están en tendencia en su organización	CMA_0495: Establecer notificaciones automáticas para las aplicaciones en la nube nuevas y las que están en tendencia en su organización	Manual, Deshabilitado	1.1.0

Asegúrese de que exista una alerta de registro de actividad para la regla de firewall Crear o actualizar SQL Server

Id.: recomendación de CIS Microsoft Azure Foundations Benchmark 5.2.7 Propiedad: compartido

Nombre (Azure Portal)	Descripción	Efectos	Versión (GitHub)
Alertar al personal del volcado de información	CMA_0007: alertar al personal del volcado de información	Manual, Deshabilitado	1.1.0
Debe existir una alerta de registro de actividad para operaciones administrativas específicas	Esta directiva audita operaciones administrativas específicas sin alertas de registro de actividad configuradas.	AuditIfNotExists, Disabled	1.0.0
Desarrollar un plan de respuesta a incidentes	CMA_0145: Desarrollar un plan de respuesta a incidentes	Manual, Deshabilitado	1.1.0
Establecer notificaciones automáticas para las aplicaciones en la nube nuevas y las que están en tendencia en su organización	CMA_0495: Establecer notificaciones automáticas para las aplicaciones en la nube nuevas y las que están en tendencia en su organización	Manual, Deshabilitado	1.1.0

Asegúrese de que exista una alerta de registro de actividad para la regla de firewall Eliminar SQL Server

Id.: recomendación de CIS Microsoft Azure Foundations Benchmark 5.2.8 Propiedad: compartido

Nombre (Azure Portal)	Descripción	Efectos	Versión (GitHub)
Alertar al personal del volcado de información	CMA_0007: alertar al personal del volcado de información	Manual, Deshabilitado	1.1.0
Debe existir una alerta de registro de actividad para operaciones administrativas específicas	Esta directiva audita operaciones administrativas específicas sin alertas de registro de actividad configuradas.	AuditIfNotExists, Disabled	1.0.0
Desarrollar un plan de respuesta a incidentes	CMA_0145: Desarrollar un plan de respuesta a incidentes	Manual, Deshabilitado	1.1.0
Establecer notificaciones automáticas para las aplicaciones en la nube nuevas y las que están en tendencia en su organización	CMA_0495: Establecer notificaciones automáticas para las aplicaciones en la nube nuevas y las que están en tendencia en su organización	Manual, Deshabilitado	1.1.0

5

Asegúrese de que el registro de recursos de Azure Monitor esté habilitado para todos los servicios que lo admitan

ID: Recomendación de CIS Microsoft Azure Foundations Benchmark 5.4 Propiedad: Compartida

Nombre (Azure Portal)	Descripción	Efectos	Versión (GitHub)
Cumplir con los períodos de retención definidos	CMA_0004: cumplir con los períodos de retención definidos	Manual, Deshabilitado	1.1.0
Las aplicaciones de App Service deben tener activados los registros de recursos	Audite la habilitación de los registros de recursos en la aplicación. Esto le permite volver a crear seguimientos de actividad con fines de investigación si se produce un incidente de seguridad o se pone en peligro la red.	AuditIfNotExists, Disabled	2.0.1
Auditar funciones con privilegios	CMA_0019: Auditar funciones con privilegios	Manual, Deshabilitado	1.1.0
Auditar el estado de la cuenta de usuario	CMA_0020: Auditar el estado de la cuenta de usuario	Manual, Deshabilitado	1.1.0
Configuración de las funcionalidades de auditoría de Azure	CMA_C1108: Configurar la funcionalidad de auditoría de Azure	Manual, Deshabilitado	1.1.1
Determinar eventos auditables	CMA_0137: Determinar eventos auditables	Manual, Deshabilitado	1.1.0
Control y supervisión de las actividades de procesamiento de auditoría	CMA_0289: Controlar y supervisar las actividades de procesamiento de auditoría	Manual, Deshabilitado	1.1.0
Los registros de recursos de Azure Data Lake Store deben estar habilitados.	Habilitación de la auditoría de los registros de recursos. Esto le permite volver a crear seguimientos de actividad con fines de investigación en caso de incidente de seguridad o riesgo para la red.	AuditIfNotExists, Disabled	5.0.0
Los registros de recursos de Azure Stream Analytics deben estar habilitados.	Habilitación de la auditoría de los registros de recursos. Esto le permite volver a crear seguimientos de actividad con fines de investigación en caso de incidente de seguridad o riesgo para la red.	AuditIfNotExists, Disabled	5.0.0
Los registros de recursos de las cuentas de Batch deben estar habilitados.	Habilitación de la auditoría de los registros de recursos. Esto le permite volver a crear seguimientos de actividad con fines de investigación en caso de incidente de seguridad o riesgo para la red.	AuditIfNotExists, Disabled	5.0.0
Los registros de recursos de Data Lake Analytics deben estar habilitados	Habilitación de la auditoría de los registros de recursos. Esto le permite volver a crear seguimientos de actividad con fines de investigación en caso de incidente de seguridad o riesgo para la red.	AuditIfNotExists, Disabled	5.0.0
Los registros de recursos de la instancia de Event Hubs deben estar habilitados.	Habilitación de la auditoría de los registros de recursos. Esto le permite volver a crear seguimientos de actividad con fines de investigación en caso de incidente de seguridad o riesgo para la red.	AuditIfNotExists, Disabled	5.0.0
Los registros de recursos de IoT Hub deben estar habilitados.	Habilitación de la auditoría de los registros de recursos. Esto le permite volver a crear seguimientos de actividad con fines de investigación en caso de incidente de seguridad o riesgo para la red.	AuditIfNotExists, Disabled	3.1.0
Los registros de recursos de Key Vault deben estar habilitados	Habilitación de la auditoría de los registros de recursos. De esta forma, puede volver a crear seguimientos de actividad con fines de investigación en caso de incidentes de seguridad o riesgos para la red.	AuditIfNotExists, Disabled	5.0.0
Los registros de recursos de Logic Apps deben estar habilitados	Habilitación de la auditoría de los registros de recursos. Esto le permite volver a crear seguimientos de actividad con fines de investigación en caso de incidente de seguridad o riesgo para la red.	AuditIfNotExists, Disabled	5.1.0
Los registros de recursos de los servicios Search deben estar habilitados.	Habilitación de la auditoría de los registros de recursos. Esto le permite volver a crear seguimientos de actividad con fines de investigación en caso de incidente de seguridad o riesgo para la red.	AuditIfNotExists, Disabled	5.0.0
Los registros de recursos de Service Bus deben estar habilitados	Habilitación de la auditoría de los registros de recursos. Esto le permite volver a crear seguimientos de actividad con fines de investigación en caso de incidente de seguridad o riesgo para la red.	AuditIfNotExists, Disabled	5.0.0
Conservar directivas y procedimientos de seguridad	CMA_0454: Conservar directivas y procedimientos de seguridad	Manual, Deshabilitado	1.1.0
Conservar los datos de usuarios finalizados	CMA_0455: Conservar los datos de usuario finalizados	Manual, Deshabilitado	1.1.0
Revisar los datos de auditoría	CMA_0466: Revisar los datos de auditoría	Manual, Deshabilitado	1.1.0

6

Asegúrese de que se evalúe y restrinja el acceso RDP desde Internet

ID: Recomendación de CIS Microsoft Azure Foundations Benchmark 6.1 Propiedad: Compartida

Nombre (Azure Portal)	Descripción	Efectos	Versión (GitHub)
Se deben cerrar los puertos de administración en las máquinas virtuales	Los puertos de administración remota abiertos exponen la máquina virtual a un alto nivel de riesgo de recibir ataques basados en Internet. Estos ataques intentan averiguar las credenciales por medio de fuerza bruta a fin de obtener acceso de administrador a la máquina	AuditIfNotExists, Disabled	3.0.0

Asegúrese de que se haya evaluado y restringido el acceso SSH desde Internet

ID: Recomendación de CIS Microsoft Azure Foundations Benchmark 6.2 Propiedad: Compartida

Nombre (Azure Portal)	Descripción	Efectos	Versión (GitHub)
Se deben cerrar los puertos de administración en las máquinas virtuales	Los puertos de administración remota abiertos exponen la máquina virtual a un alto nivel de riesgo de recibir ataques basados en Internet. Estos ataques intentan averiguar las credenciales por medio de fuerza bruta a fin de obtener acceso de administrador a la máquina	AuditIfNotExists, Disabled	3.0.0

Asegurarse de que el período de retención del registro de flujo de grupo de seguridad de red es de "más de 90 días"

Id.: recomendación de CIS Microsoft Azure Foundations Benchmark 6.5 Propiedad: compartido

Nombre (Azure Portal)	Descripción	Efectos	Versión (GitHub)
Cumplir con los períodos de retención definidos	CMA_0004: cumplir con los períodos de retención definidos	Manual, Deshabilitado	1.1.0
Conservar directivas y procedimientos de seguridad	CMA_0454: Conservar directivas y procedimientos de seguridad	Manual, Deshabilitado	1.1.0
Conservar los datos de usuarios finalizados	CMA_0455: Conservar los datos de usuario finalizados	Manual, Deshabilitado	1.1.0

Asegúrese de que Network Watcher está "Habilitado".

ID: Recomendación de CIS Microsoft Azure Foundations Benchmark 6.6 Propiedad: Compartida

Nombre (Azure Portal)	Descripción	Efectos	Versión (GitHub)
Network Watcher debe estar habilitado	Network Watcher es un servicio regional que permite supervisar y diagnosticar problemas en un nivel de escenario de red mediante Azure. La supervisión del nivel de escenario permite diagnosticar problemas en una vista de nivel de red de un extremo a otro. Es preciso que se haya creado un grupo de recursos de Network Watcher en todas las regiones en las que haya una red virtual. Si algún grupo de recursos de Network Watcher no está disponible en una región determinada, se habilita una alerta.	AuditIfNotExists, Disabled	3.0.0
Comprobar las funciones de seguridad	CMA_C1708: Comprobar las funciones de seguridad	Manual, Deshabilitado	1.1.0

7

Asegúrese de que las máquinas virtuales utilicen discos administrados

Id.: recomendación de CIS Microsoft Azure Foundations Benchmark 7.2 Propiedad: compartido

Nombre (Azure Portal)	Descripción	Efectos	Versión (GitHub)
Auditar las máquinas virtuales que no utilizan discos administrados	Esta directiva audita las máquinas virtuales que no utilizan discos administrados.	auditoría	1.0.0
Controlar el acceso físico	CMA_0081: Controlar el acceso físico	Manual, Deshabilitado	1.1.0
Administrar la entrada, la salida, el procesamiento y el almacenamiento de los datos	CMA_0369: Administrar la entrada, la salida, el procesamiento y el almacenamiento de los datos	Manual, Deshabilitado	1.1.0
Revisar la actividad y el análisis de etiquetas	CMA_0474: Revisar la actividad y el análisis de etiquetas	Manual, Deshabilitado	1.1.0

Asegurarse de que los discos "sistema operativo y datos" están cifrados con la clave administrada por el cliente (CMK)

Id.: recomendación de CIS Microsoft Azure Foundations Benchmark 7.3 Propiedad: compartido

Nombre (Azure Portal)	Descripción	Efectos	Versión (GitHub)
Establecer un procedimiento de administración de pérdida de datos	CMA_0255: Establecer un procedimiento de administración de pérdida de datos	Manual, Deshabilitado	1.1.0
Implementar controles para proteger todos los medios	CMA_0314: Implementar los controles para proteger todos los medios	Manual, Deshabilitado	1.1.0
Proteger de datos en tránsito mediante cifrado	CMA_0403: Proteger los datos en tránsito mediante el cifrado	Manual, Deshabilitado	1.1.0
Proteger información especial	CMA_0409: Proteger información especial	Manual, Deshabilitado	1.1.0
Las máquinas virtuales deben cifrar los discos temporales, las cachés y los flujos de datos entre los recursos de Proceso y Almacenamiento	De manera predeterminada, los discos del sistema operativo y de datos de una máquina virtual se cifran en reposo mediante claves administradas por la plataforma. Los discos temporales, las memorias caché de datos y los datos que fluyen entre el proceso y el almacenamiento no se cifran. Ignore esta recomendación si: 1. Se utiliza el cifrado en el host, o 2. El cifrado del lado servidor en Managed Disks cumple sus requisitos de seguridad. Obtenga más información en: Cifrado del lado servidor de Azure Disk Storage: https://aka.ms/disksse, Diferentes ofertas de cifrado de disco: https://aka.ms/diskencryptioncomparison	AuditIfNotExists, Disabled	2.0.3

Asegúrese de que los "discos no conectados" están cifrados con la "clave administrada por el cliente" (CMK)

Id.: recomendación de CIS Microsoft Azure Foundations Benchmark 7.4 Propiedad: compartido

Nombre (Azure Portal)	Descripción	Efectos	Versión (GitHub)
Establecer un procedimiento de administración de pérdida de datos	CMA_0255: Establecer un procedimiento de administración de pérdida de datos	Manual, Deshabilitado	1.1.0
Implementar controles para proteger todos los medios	CMA_0314: Implementar los controles para proteger todos los medios	Manual, Deshabilitado	1.1.0
Los discos administrados deben tener un cifrado doble con las claves administradas por el cliente y la plataforma	Los clientes con datos confidenciales de alto nivel de seguridad que están preocupados por el riesgo asociado a cualquier algoritmo de cifrado, implementación o clave en peligro concretos pueden optar por una capa adicional de cifrado con un algoritmo o modo de cifrado diferente en el nivel de infraestructura mediante claves de cifrado administradas por la plataforma. Los conjuntos de cifrado de disco son necesarios para usar el cifrado doble. Obtenga más información en https://aka.ms/disks-doubleEncryption.	Audit, Deny, Disabled	1.0.0
Proteger de datos en tránsito mediante cifrado	CMA_0403: Proteger los datos en tránsito mediante el cifrado	Manual, Deshabilitado	1.1.0
Proteger información especial	CMA_0409: Proteger información especial	Manual, Deshabilitado	1.1.0

Asegurarse de que solo estén instaladas las extensiones aprobadas

Id.: recomendación de CIS Microsoft Azure Foundations Benchmark 7.5 Propiedad: compartido

Nombre (Azure Portal)	Descripción	Efectos	Versión (GitHub)
Solo deben instalarse las extensiones de máquina virtual aprobadas	Esta directiva rige las extensiones de máquina virtual que no están aprobadas.	Audit, Deny, Disabled	1.0.0

Asegúrese de que Endpoint Protection esté instalado para todas las máquinas virtuales

Id.: recomendación de CIS Microsoft Azure Foundations Benchmark 7.6 Propiedad: compartido

Nombre (Azure Portal)	Descripción	Efectos	Versión (GitHub)
Bloquear la ejecución desde USB de procesos que no sean de confianza y estén sin firmar	CMA_0050: Bloquear los procesos sin firma y que no son de confianza ejecutados desde USB	Manual, Deshabilitado	1.1.0
Documentar operaciones de seguridad	CMA_0202: Documentar operaciones de seguridad	Manual, Deshabilitado	1.1.0
La protección de los puntos de conexión debe instalarse en las máquinas	Para proteger las máquinas frente a amenazas y vulnerabilidades, instale una solución Endpoint Protection compatible.	AuditIfNotExists, Disabled	1.0.0
Administración de puertas de enlace	CMA_0363: Administrar puertas de enlace	Manual, Deshabilitado	1.1.0
Realizar un análisis de tendencias sobre amenazas	CMA_0389: Realizar un análisis de tendencias sobre amenazas	Manual, Deshabilitado	1.1.0
Realizar exámenes de vulnerabilidades	CMA_0393: Realizar exámenes de vulnerabilidades	Manual, Deshabilitado	1.1.0
Revisar semanalmente el informe de detecciones de malware	CMA_0475: Revisar semanalmente el informe de detecciones de malware	Manual, Deshabilitado	1.1.0
Revisar semanalmente el estado de protección contra amenazas	CMA_0479: Revisar semanalmente el estado de protección contra amenazas	Manual, Deshabilitado	1.1.0
Habilitar sensores para la solución de seguridad de punto de conexión	CMA_0514: Habilitar sensores para la solución de seguridad de punto de conexión	Manual, Deshabilitado	1.1.0
Actualizar las definiciones de antivirus	CMA_0517: Actualizar las definiciones de antivirus	Manual, Deshabilitado	1.1.0
Comprobar el software, el firmware y la integridad de la información	CMA_0542: Comprobar el software, el firmware y la integridad de la información	Manual, Deshabilitado	1.1.0

[Heredado] Asegúrese de que los discos duros virtuales estén cifrados

Id.: recomendación de CIS Microsoft Azure Foundations Benchmark 7.7 Propiedad: compartido

Nombre (Azure Portal)	Descripción	Efectos	Versión (GitHub)
Establecer un procedimiento de administración de pérdida de datos	CMA_0255: Establecer un procedimiento de administración de pérdida de datos	Manual, Deshabilitado	1.1.0
Implementar controles para proteger todos los medios	CMA_0314: Implementar los controles para proteger todos los medios	Manual, Deshabilitado	1.1.0
Proteger de datos en tránsito mediante cifrado	CMA_0403: Proteger los datos en tránsito mediante el cifrado	Manual, Deshabilitado	1.1.0
Proteger información especial	CMA_0409: Proteger información especial	Manual, Deshabilitado	1.1.0

8

Asegurarse de que la fecha de expiración está establecida para todas las claves de almacenes de claves de RBAC

Id.: recomendación de CIS Microsoft Azure Foundations Benchmark 8.1 Propiedad: compartido

Nombre (Azure Portal)	Descripción	Efectos	Versión (GitHub)
Definir un proceso de administración de claves físicas	CMA_0115: Definir un proceso de administración de claves físicas	Manual, Deshabilitado	1.1.0
Definir el uso criptográfico	CMA_0120: Definir el uso criptográfico	Manual, Deshabilitado	1.1.0
Definir los requisitos de la organización para la administración de claves criptográficas	CMA_0123: Definir los requisitos de la organización para la administración de claves criptográficas	Manual, Deshabilitado	1.1.0
Determinar los requisitos de aserción	CMA_0136: Determinar los requisitos de aserción	Manual, Deshabilitado	1.1.0
Emisión de certificados de clave pública	CMA_0347: Emitir certificados de clave pública	Manual, Deshabilitado	1.1.0
Las claves de Key Vault deben tener una fecha de expiración	Las claves criptográficas deben tener una fecha de expiración definida y no ser permanentes. Las claves que no expiran proporcionan a los posibles atacantes más tiempo para hacerse con ellas. Por ello, se recomienda como práctica de seguridad establecer fechas de expiración en las claves criptográficas.	Audit, Deny, Disabled	1.0.2
Administración de claves criptográficas simétricas	CMA_0367: Administrar las claves criptográficas simétricas	Manual, Deshabilitado	1.1.0
Restringir el acceso a las claves privadas	CMA_0445: Restringir el acceso a las claves privadas	Manual, Deshabilitado	1.1.0

Asegurarse de que la fecha de expiración está establecida para todas las claves de almacenes de claves que no son RBAC

Id.: recomendación de CIS Microsoft Azure Foundations Benchmark 8.2 Propiedad: compartido

Nombre (Azure Portal)	Descripción	Efectos	Versión (GitHub)
Definir un proceso de administración de claves físicas	CMA_0115: Definir un proceso de administración de claves físicas	Manual, Deshabilitado	1.1.0
Definir el uso criptográfico	CMA_0120: Definir el uso criptográfico	Manual, Deshabilitado	1.1.0
Definir los requisitos de la organización para la administración de claves criptográficas	CMA_0123: Definir los requisitos de la organización para la administración de claves criptográficas	Manual, Deshabilitado	1.1.0
Determinar los requisitos de aserción	CMA_0136: Determinar los requisitos de aserción	Manual, Deshabilitado	1.1.0
Emisión de certificados de clave pública	CMA_0347: Emitir certificados de clave pública	Manual, Deshabilitado	1.1.0
Las claves de Key Vault deben tener una fecha de expiración	Las claves criptográficas deben tener una fecha de expiración definida y no ser permanentes. Las claves que no expiran proporcionan a los posibles atacantes más tiempo para hacerse con ellas. Por ello, se recomienda como práctica de seguridad establecer fechas de expiración en las claves criptográficas.	Audit, Deny, Disabled	1.0.2
Administración de claves criptográficas simétricas	CMA_0367: Administrar las claves criptográficas simétricas	Manual, Deshabilitado	1.1.0
Restringir el acceso a las claves privadas	CMA_0445: Restringir el acceso a las claves privadas	Manual, Deshabilitado	1.1.0

Asegurarse de que la fecha de expiración está establecida para todos los secretos de almacenes de claves de RBAC

Id.: recomendación de CIS Microsoft Azure Foundations Benchmark 8.3 Propiedad: compartido

Nombre (Azure Portal)	Descripción	Efectos	Versión (GitHub)
Definir un proceso de administración de claves físicas	CMA_0115: Definir un proceso de administración de claves físicas	Manual, Deshabilitado	1.1.0
Definir el uso criptográfico	CMA_0120: Definir el uso criptográfico	Manual, Deshabilitado	1.1.0
Definir los requisitos de la organización para la administración de claves criptográficas	CMA_0123: Definir los requisitos de la organización para la administración de claves criptográficas	Manual, Deshabilitado	1.1.0
Determinar los requisitos de aserción	CMA_0136: Determinar los requisitos de aserción	Manual, Deshabilitado	1.1.0
Emisión de certificados de clave pública	CMA_0347: Emitir certificados de clave pública	Manual, Deshabilitado	1.1.0
Los secretos de Key Vault deben tener una fecha de expiración	Los secretos deben tener una fecha de expiración definida y no ser permanentes. Los secretos que no expiran proporcionan a un posible atacante más tiempo para ponerlos en peligro. Por ello, se recomienda como práctica de seguridad establecer fechas de expiración en los secretos.	Audit, Deny, Disabled	1.0.2
Administración de claves criptográficas simétricas	CMA_0367: Administrar las claves criptográficas simétricas	Manual, Deshabilitado	1.1.0
Restringir el acceso a las claves privadas	CMA_0445: Restringir el acceso a las claves privadas	Manual, Deshabilitado	1.1.0

Asegurarse de que la fecha de expiración está establecida para todos los secretos de almacenes de claves que no son RBAC

Id.: recomendación de CIS Microsoft Azure Foundations Benchmark 8.4 Propiedad: compartido

Nombre (Azure Portal)	Descripción	Efectos	Versión (GitHub)
Definir un proceso de administración de claves físicas	CMA_0115: Definir un proceso de administración de claves físicas	Manual, Deshabilitado	1.1.0
Definir el uso criptográfico	CMA_0120: Definir el uso criptográfico	Manual, Deshabilitado	1.1.0
Definir los requisitos de la organización para la administración de claves criptográficas	CMA_0123: Definir los requisitos de la organización para la administración de claves criptográficas	Manual, Deshabilitado	1.1.0
Determinar los requisitos de aserción	CMA_0136: Determinar los requisitos de aserción	Manual, Deshabilitado	1.1.0
Emisión de certificados de clave pública	CMA_0347: Emitir certificados de clave pública	Manual, Deshabilitado	1.1.0
Los secretos de Key Vault deben tener una fecha de expiración	Los secretos deben tener una fecha de expiración definida y no ser permanentes. Los secretos que no expiran proporcionan a un posible atacante más tiempo para ponerlos en peligro. Por ello, se recomienda como práctica de seguridad establecer fechas de expiración en los secretos.	Audit, Deny, Disabled	1.0.2
Administración de claves criptográficas simétricas	CMA_0367: Administrar las claves criptográficas simétricas	Manual, Deshabilitado	1.1.0
Restringir el acceso a las claves privadas	CMA_0445: Restringir el acceso a las claves privadas	Manual, Deshabilitado	1.1.0

Asegúrese de que el almacén de claves se pueda recuperar

Id.: recomendación de CIS Microsoft Azure Foundations Benchmark 8.5 Propiedad: compartido

Nombre (Azure Portal)	Descripción	Efectos	Versión (GitHub)
Los almacenes de claves deben tener habilitada la protección contra eliminación	La eliminación malintencionada de un almacén de claves puede provocar una pérdida de datos permanente. Puede evitar la pérdida permanente de datos habilitando la protección de purga y la eliminación temporal. La protección contra purgas le protege frente a ataques internos mediante la aplicación de un período de retención obligatorio para almacenes de claves eliminados temporalmente. Ningún usuario de su organización o Microsoft podrá purgar los almacenes de claves durante el período de retención de eliminación temporal. Tenga en cuenta que los almacenes de claves creados después del 1 de septiembre de 2019 tienen habilitada la eliminación temporal de manera predeterminada.	Audit, Deny, Disabled	2.1.0
Los almacenes de claves deben tener habilitada la eliminación temporal	Si se elimina un almacén de claves que no tenga habilitada la eliminación temporal, se eliminarán permanentemente todos los secretos, claves y certificados almacenados en ese almacén de claves. La eliminación accidental de un almacén de claves puede provocar una pérdida de datos permanente. La eliminación temporal permite recuperar un almacén de claves eliminado accidentalmente durante un período de retención configurable.	Audit, Deny, Disabled	3.0.0

Habilite Control de acceso basado en roles para Azure Key Vault

Id.: recomendación de CIS Microsoft Azure Foundations Benchmark 8.6 Propiedad: compartida

Nombre (Azure Portal)	Descripción	Efectos	Versión (GitHub)
Azure Key Vault debe usar el modelo de permisos RBAC	Habilite el modelo de permisos de RBAC en Key Vaults. Más información en: https://learn.microsoft.com/en-us/azure/key-vault/general/rbac-migration	Audit, Deny, Disabled	1.0.1

Asegúrese de que se usen puntos de conexión privados para Azure Key Vault

Id.: recomendación de CIS Microsoft Azure Foundations Benchmark 8.7 Propiedad: compartida

Nombre (Azure Portal)	Descripción	Efectos	Versión (GitHub)
Las instancias de Azure Key Vault deben usar un vínculo privado	Azure Private Link permite conectar las redes virtuales a los servicios de Azure sin una IP pública en el origen o el destino. La plataforma Private Link administra la conectividad entre el consumidor y los servicios a través de la red troncal de Azure. Al asignar puntos de conexión privados al almacén de claves, se puede reducir el riesgo de pérdida de datos. Más información sobre los vínculos privados en https://aka.ms/akvprivatelink.	[parameters('audit_effect')]	1.2.1

Asegúrese de que la rotación automática de claves esté habilitada en Azure Key Vault para los servicios admitidos

ID: Recomendación de CIS Microsoft Azure Foundations Benchmark 8.8 Propiedad: Compartida

Nombre (Azure Portal)	Descripción	Efectos	Versión (GitHub)
Las claves deben tener una directiva de rotación que garantice que su rotación esté programada en el número de días especificado después de la creación.	Especifique el número máximo de días después de la creación de claves hasta que se deba rotar para administrar los requisitos de cumplimiento de la organización.	Audit, Disabled	1.0.0

9

Asegurarse de que la autenticación de App Service está configurada para las aplicaciones en Azure App Service

Id.: recomendación de CIS Microsoft Azure Foundations Benchmark 9.1 Propiedad: compartido

Nombre (Azure Portal)	Descripción	Efectos	Versión (GitHub)
Las aplicaciones de App Service deben tener activada la autenticación	La autenticación de Azure App Service es una característica que puede impedir que solicitudes HTTP anónimas lleguen a la aplicación web o autenticar aquellas que tienen tokens antes de que lleguen a la aplicación web.	AuditIfNotExists, Disabled	2.0.1
Autenticación para el módulo criptográfico	CMA_0021: Autenticar para el módulo criptográfico	Manual, Deshabilitado	1.1.0
Exigir la existencia de usuario único	CMA_0250: Exigir la existencia de usuario único	Manual, Deshabilitado	1.1.0
Las aplicaciones de funciones deben tener habilitada la autenticación	La autenticación de Azure App Service es una característica que puede impedir que solicitudes HTTP anónimas lleguen a la aplicación de funciones o autenticar aquellas que tienen tokens antes de que lleguen a la aplicación de funciones.	AuditIfNotExists, Disabled	3.0.0
Admitir credenciales de comprobación personal emitidas por autoridades legales	CMA_0507: Admitir credenciales de comprobación personal emitidas por autoridades legales	Manual, Deshabilitado	1.1.0

Asegurarse de que las implementaciones de FTP están deshabilitadas

Id.: recomendación de CIS Microsoft Azure Foundations Benchmark 9.10 Propiedad: compartido

Nombre (Azure Portal)	Descripción	Efectos	Versión (GitHub)
Las aplicaciones de App Service deben requerir solo FTPS	Habilite el cumplimiento con FTPS para mejorar la seguridad.	AuditIfNotExists, Disabled	3.0.0
Configurar estaciones de trabajo para comprobar si hay certificados digitales	CMA_0073: Configurar estaciones de trabajo para comprobar si hay certificados digitales	Manual, Deshabilitado	1.1.0
Las aplicaciones de funciones solo deben requerir FTPS	Habilite el cumplimiento con FTPS para mejorar la seguridad.	AuditIfNotExists, Disabled	3.0.0
Proteger de datos en tránsito mediante cifrado	CMA_0403: Proteger los datos en tránsito mediante el cifrado	Manual, Deshabilitado	1.1.0
Proteger contraseñas con cifrado	CMA_0408: Proteger contraseñas con cifrado	Manual, Deshabilitado	1.1.0

Asegúrese de que se use Azure Key Vaults para almacenar los secretos

Id.: recomendación de CIS Microsoft Azure Foundations Benchmark 9.11 Propiedad: compartido

Nombre (Azure Portal)	Descripción	Efectos	Versión (GitHub)
Definir un proceso de administración de claves físicas	CMA_0115: Definir un proceso de administración de claves físicas	Manual, Deshabilitado	1.1.0
Definir el uso criptográfico	CMA_0120: Definir el uso criptográfico	Manual, Deshabilitado	1.1.0
Definir los requisitos de la organización para la administración de claves criptográficas	CMA_0123: Definir los requisitos de la organización para la administración de claves criptográficas	Manual, Deshabilitado	1.1.0
Determinar los requisitos de aserción	CMA_0136: Determinar los requisitos de aserción	Manual, Deshabilitado	1.1.0
Asegurarse de que los mecanismos criptográficos están bajo administración de configuración	CMA_C1199: Asegurarse de que los mecanismos criptográficos están bajo administración de configuración	Manual, Deshabilitado	1.1.0
Emisión de certificados de clave pública	CMA_0347: Emitir certificados de clave pública	Manual, Deshabilitado	1.1.0
Mantener la disponibilidad de la información	CMA_C1644: Mantener la disponibilidad de la información	Manual, Deshabilitado	1.1.0
Administración de claves criptográficas simétricas	CMA_0367: Administrar las claves criptográficas simétricas	Manual, Deshabilitado	1.1.0
Restringir el acceso a las claves privadas	CMA_0445: Restringir el acceso a las claves privadas	Manual, Deshabilitado	1.1.0

Asegurarse de que la aplicación web redirige todo el tráfico HTTP a HTTPS en Azure App Service

Id.: recomendación de CIS Microsoft Azure Foundations Benchmark 9.2 Propiedad: compartido

Nombre (Azure Portal)	Descripción	Efectos	Versión (GitHub)
Las aplicaciones de App Service solo deben ser accesibles a través de HTTPS	El uso de HTTPS garantiza la autenticación del servicio y el servidor, y protege los datos en tránsito frente a ataques de intercepción de nivel de red.	Audit, Disabled, Deny	4.0.0
Configurar estaciones de trabajo para comprobar si hay certificados digitales	CMA_0073: Configurar estaciones de trabajo para comprobar si hay certificados digitales	Manual, Deshabilitado	1.1.0
Proteger de datos en tránsito mediante cifrado	CMA_0403: Proteger los datos en tránsito mediante el cifrado	Manual, Deshabilitado	1.1.0
Proteger contraseñas con cifrado	CMA_0408: Proteger contraseñas con cifrado	Manual, Deshabilitado	1.1.0

Asegurarse de que la aplicación web usa la versión más reciente del cifrado TLS

Id.: recomendación de CIS Microsoft Azure Foundations Benchmark 9.3 Propiedad: compartido

Nombre (Azure Portal)	Descripción	Efectos	Versión (GitHub)
Las aplicaciones de App Service deben usar la última versión de TLS	Se publican versiones más recientes de TLS de forma periódica debido a brechas de seguridad, para incluir más funcionalidad e incrementar la velocidad. Actualice a la última versión de TLS para las aplicaciones de App Service con el fin de aprovechar las correcciones de seguridad, en caso de haberlas, o las nuevas funcionalidades de la última versión.	AuditIfNotExists, Disabled	2.0.1
Configurar estaciones de trabajo para comprobar si hay certificados digitales	CMA_0073: Configurar estaciones de trabajo para comprobar si hay certificados digitales	Manual, Deshabilitado	1.1.0
Las aplicaciones de funciones deben usar la última versión de TLS	Se publican versiones más recientes de TLS de forma periódica debido a brechas de seguridad, para incluir más funcionalidad e incrementar la velocidad. Actualice a la última versión de TLS para las aplicaciones de funciones con el fin de aprovechar las correcciones de seguridad, en caso de haberlas, o las nuevas funcionalidades de la última versión.	AuditIfNotExists, Disabled	2.0.1
Proteger de datos en tránsito mediante cifrado	CMA_0403: Proteger los datos en tránsito mediante el cifrado	Manual, Deshabilitado	1.1.0
Proteger contraseñas con cifrado	CMA_0408: Proteger contraseñas con cifrado	Manual, Deshabilitado	1.1.0

Asegúrese de que la aplicación web tenga la opción "Client Certificates (Incoming client certificates)" activada.

Id.: recomendación de CIS Microsoft Azure Foundations Benchmark 9.4 Propiedad: compartido

Nombre (Azure Portal)	Descripción	Efectos	Versión (GitHub)
[en desuso]: Las aplicaciones de App Service deben tener habilitados los "Certificados de cliente (certificados de cliente entrantes)"	Los certificados de cliente permiten que la aplicación solicite un certificado para las solicitudes entrantes. Solo los clientes que tienen un certificado válido podrán acceder a la aplicación. Esta directiva se ha reemplazado por una nueva directiva con el mismo nombre porque Http 2.0 no admite certificados de cliente.	Audit, Disabled	3.1.0 en desuso
[en desuso]: Las aplicaciones de funciones deben tener habilitados los "Certificados de cliente (certificados de cliente entrantes)"	Los certificados de cliente permiten que la aplicación solicite un certificado para las solicitudes entrantes. Solo los clientes con certificados válidos pueden acceder a la aplicación. Esta directiva se ha reemplazado por una nueva directiva con el mismo nombre porque HTTP 2.0 no admite certificados de cliente.	Audit, Disabled	3.1.0 en desuso
Autenticación para el módulo criptográfico	CMA_0021: Autenticar para el módulo criptográfico	Manual, Deshabilitado	1.1.0

Asegúrese de que el registro con Azure Active Directory esté habilitado en App Service.

Id.: recomendación de CIS Microsoft Azure Foundations Benchmark 9.5 Propiedad: compartido

Nombre (Azure Portal)	Descripción	Efectos	Versión (GitHub)
Las aplicaciones de App Service deben usar la identidad administrada	Usa una identidad administrada para la seguridad de autenticación mejorada.	AuditIfNotExists, Disabled	3.0.0
Automatizar la administración de cuentas	CMA_0026: Automatizar la administración de cuentas	Manual, Deshabilitado	1.1.0
Las aplicaciones de funciones deben usar la identidad administrada	Usa una identidad administrada para la seguridad de autenticación mejorada.	AuditIfNotExists, Disabled	3.0.0
Administrar cuentas de administrador y del sistema	CMA_0368: Administrar cuentas de administrador y del sistema	Manual, Deshabilitado	1.1.0
Supervisar el acceso en toda la organización	CMA_0376: Supervisar el acceso en toda la organización	Manual, Deshabilitado	1.1.0
Notificar cuando no se necesite la cuenta	CMA_0383: Notificar cuando no se necesite la cuenta	Manual, Deshabilitado	1.1.0

Asegurarse de que la "Versión de PHP" es la más reciente, si se usa para ejecutar la aplicación web

Id.: recomendación de CIS Microsoft Azure Foundations Benchmark 9.6 Propiedad: compartido

Nombre (Azure Portal)	Descripción	Efectos	Versión (GitHub)
Las ranuras de las aplicaciones de App Service que usan PHP deben usar una 'versión de PHP' especificada.	A causa de errores de seguridad o para incluir funcionalidades, se publican de forma periódica versiones más recientes del software de PHP. Para las aplicaciones de App Service, se recomienda usar la versión más reciente de PHP con el fin de aprovechar las correcciones de seguridad, de haberlas, o las nuevas funcionalidades de la versión más reciente. Actualmente, esta directiva solo es válida para las aplicaciones Linux. Esta directiva requiere que especifique una versión de PHP que cumpla sus requisitos.	AuditIfNotExists, Disabled	1.0.0
Las aplicaciones de App Service que usan PHP deben usar una “versión de PHP” especificada	A causa de errores de seguridad o para incluir funcionalidades, se publican de forma periódica versiones más recientes del software de PHP. Para las aplicaciones de App Service, se recomienda usar la versión más reciente de PHP con el fin de aprovechar las correcciones de seguridad, de haberlas, o las nuevas funcionalidades de la versión más reciente. Actualmente, esta directiva solo es válida para las aplicaciones Linux. Esta directiva requiere que especifique una versión de PHP que cumpla sus requisitos.	AuditIfNotExists, Disabled	3.2.0
Corregir errores del sistema de información	CMA_0427: Corregir los errores del sistema de información	Manual, Deshabilitado	1.1.0

Asegurarse de que la "versión de Python" es la versión estable más reciente, si se usa para ejecutar la aplicación web

Id.: recomendación de CIS Microsoft Azure Foundations Benchmark 9.7 Propiedad: compartido

Nombre (Azure Portal)	Descripción	Efectos	Versión (GitHub)
Las ranuras de las aplicaciones de App Service que usan Python deben usar una 'versión de Python' especificada.	A causa de errores de seguridad o para incluir funcionalidades, se publican de forma periódica versiones más recientes del software de Python. Para las aplicaciones de App Service, se recomienda usar la versión más reciente de Python con el fin de aprovechar las correcciones de seguridad, de haberlas, o las nuevas funcionalidades de la versión más reciente. Actualmente, esta directiva solo es válida para las aplicaciones Linux. Esta directiva requiere que especifique una versión de Python que cumpla sus requisitos.	AuditIfNotExists, Disabled	1.0.0
Las aplicaciones de App Service que usan Python deben usar una “versión de Python” especificada	A causa de errores de seguridad o para incluir funcionalidades, se publican de forma periódica versiones más recientes del software de Python. Para las aplicaciones de App Service, se recomienda usar la versión más reciente de Python con el fin de aprovechar las correcciones de seguridad, de haberlas, o las nuevas funcionalidades de la versión más reciente. Actualmente, esta directiva solo es válida para las aplicaciones Linux. Esta directiva requiere que especifique una versión de Python que cumpla sus requisitos.	AuditIfNotExists, Disabled	4.1.0
Corregir errores del sistema de información	CMA_0427: Corregir los errores del sistema de información	Manual, Deshabilitado	1.1.0

Asegurarse de que la "Versión de Java" es la más reciente, si se usa para ejecutar la aplicación web

Id.: recomendación de CIS Microsoft Azure Foundations Benchmark 9.8 Propiedad: compartido

Nombre (Azure Portal)	Descripción	Efectos	Versión (GitHub)
Las ranuras de las aplicaciones de funciones que usan Java deben usar una 'versión de Java' especificada.	A causa de errores de seguridad o para incluir funcionalidades, se publican de forma periódica versiones más recientes del software de Java. Para las aplicaciones de funciones, se recomienda usar la versión más reciente de Java con el fin de aprovechar las correcciones de seguridad, de haberlas, o las nuevas funcionalidades de la versión más reciente. Actualmente, esta directiva solo es válida para las aplicaciones Linux. Esta directiva requiere que especifique una versión de Java que cumpla sus requisitos.	AuditIfNotExists, Disabled	1.0.0
Las aplicaciones de funciones que usan Java deben usar una “versión de Java” especificada	A causa de errores de seguridad o para incluir funcionalidades, se publican de forma periódica versiones más recientes del software de Java. Para las aplicaciones de funciones, se recomienda usar la versión más reciente de Java con el fin de aprovechar las correcciones de seguridad, de haberlas, o las nuevas funcionalidades de la versión más reciente. Actualmente, esta directiva solo es válida para las aplicaciones Linux. Esta directiva requiere que especifique una versión de Java que cumpla sus requisitos.	AuditIfNotExists, Disabled	3.1.0
Corregir errores del sistema de información	CMA_0427: Corregir los errores del sistema de información	Manual, Deshabilitado	1.1.0

Asegurarse de que la "Versión de HTTP" es la más reciente, si se usa para ejecutar la aplicación web

Id.: recomendación de CIS Microsoft Azure Foundations Benchmark 9.9 Propiedad: compartido

Nombre (Azure Portal)	Descripción	Efectos	Versión (GitHub)
Las aplicaciones de App Service deben utilizar la última "versión HTTP"	A causa de errores de seguridad o para incluir funcionalidades, se publican de forma periódica versiones más recientes de HTTP. Para las aplicaciones web, use la versión más reciente de HTTP con el fin de aprovechar las correcciones de seguridad, de haberlas, o las nuevas funcionalidades de la versión más reciente.	AuditIfNotExists, Disabled	4.0.0
Las aplicaciones de funciones deben usar la última "versión de HTTP"	A causa de errores de seguridad o para incluir funcionalidades, se publican de forma periódica versiones más recientes de HTTP. Para las aplicaciones web, use la versión más reciente de HTTP con el fin de aprovechar las correcciones de seguridad, de haberlas, o las nuevas funcionalidades de la versión más reciente.	AuditIfNotExists, Disabled	4.0.0
Corregir errores del sistema de información	CMA_0427: Corregir los errores del sistema de información	Manual, Deshabilitado	1.1.0

Pasos siguientes

Artículos adicionales sobre Azure Policy:

• Introducción al Cumplimiento normativo.
• Consulte la estructura de definición de la iniciativa.
• Consulte más ejemplos en Ejemplos de Azure Policy.
• Vea la Descripción de los efectos de directivas.
• Obtenga información sobre cómo corregir recursos no compatibles.