Detalles de la iniciativa integrada del cumplimiento normativo de NIST SP 800-53 Rev. 4 (Azure Government)
En el siguiente artículo se detalla la correspondencia entre los dominios de cumplimiento y los controles de la definición de la iniciativa integrada del cumplimiento normativo de Azure Policy y la norma NIST SP 800-53 Rev. 4 (Azure Government). Para más información sobre este estándar de cumplimiento, consulte NIST SP 800-53 Rev. 4. Para entender el concepto de propiedad, consulte Definición de directivas de Azure Policy y Responsabilidad compartida en la nube.
Las siguientes asignaciones son para los controles de NIST SP 800-53 Rev. 4. Muchos de los controles se implementan con una definición de iniciativa de Azure Policy. Para revisar la definición de iniciativa completa, abra Policy en Azure Portal y seleccione la página Definiciones. Después, busque y seleccione la definición de la iniciativa integrada del cumplimiento normativo de NIST SP 800-53 Rev. 4.
Importante
Cada control que se muestra a continuación está asociado a una o varias definiciones de Azure Policy. Estas directivas pueden ayudarle a evaluar el cumplimiento mediante el control. Sin embargo, con frecuencia no hay una correspondencia completa o exacta entre un control y una o varias directivas. Como tal, el cumplimiento en Azure Policy solo se refiere a las propias definiciones de directiva; esto no garantiza que se cumpla totalmente con todos los requisitos de un control. Además, el estándar de cumplimiento incluye controles que no se abordan con las definiciones de Azure Policy en este momento. Por lo tanto, el cumplimiento en Azure Policy es solo una vista parcial del estado general de cumplimiento. Las asociaciones entre los dominios de cumplimiento, los controles y las definiciones de Azure Policy para este estándar de cumplimiento pueden cambiar con el tiempo. Para ver el historial de cambios, consulte el historial de confirmación de GitHub.
Control de acceso
Procedimientos y directiva de control de acceso
Id.: NIST SP 800-53 Rev. 4 AC-1 Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Control administrado por Microsoft 1000: Directiva y procedimientos de control de acceso | Microsoft implementa este control de Access Control | auditoría | 1.0.0 |
| Control administrado por Microsoft 1001: Directiva y procedimientos de control de acceso | Microsoft implementa este control de Access Control | auditoría | 1.0.0 |
Administración de cuentas
Id.: NIST SP 800-53 Rev. 4 AC-2 Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Debe designar un máximo de tres propietarios para la suscripción | Se recomienda que designe a un máximo de tres propietarios de suscripción para reducir el riesgo de una brecha de seguridad por parte de un propietario en peligro. | AuditIfNotExists, Disabled | 3.0.0 |
| El administrador de Azure Active Directory debe aprovisionarse para servidores SQL Server | Permite aprovisionar un administrador de Azure Active Directory para SQL Server a fin de habilitar la autenticación de Azure AD. La autenticación de Azure AD permite la administración simplificada de permisos y la administración centralizada de identidades de usuarios de base de datos y otros servicios de Microsoft | AuditIfNotExists, Disabled | 1.0.0 |
| Las aplicaciones de App Service deben usar la identidad administrada | Usa una identidad administrada para la seguridad de autenticación mejorada. | AuditIfNotExists, Disabled | 3.0.0 |
| Auditar el uso de roles RBAC personalizados | Permite auditar roles integrados, como "propietario, colaborador, lector" en lugar de roles RBAC personalizados, que son propensos a errores de auditoría. El uso de roles personalizados se trata como una excepción y requiere una revisión rigurosa y el modelado de amenazas. | Audit, Disabled | 1.0.1 |
| Los recursos del Servicios de Azure AI deben tener deshabilitado el acceso a claves (deshabilitar la autenticación local) | Se recomienda deshabilitar el acceso a las claves (autenticación local) por temas de seguridad. Azure OpenAI Studio, que normalmente se usa en los entornos de desarrollo y pruebas, requiere acceso a las claves y no funcionará si dicho acceso está deshabilitado. Después de deshabilitarlo, Microsoft Entra ID se convierte en el único método de acceso, lo que permite mantener el principio de privilegios mínimos y el control pormenorizado. Más información en: https://aka.ms/AI/auth | Audit, Deny, Disabled | 1.1.0 |
| Deben quitarse las cuentas bloqueadas con permisos de propietario de los recursos de Azure. | Quitar de la suscripción las cuentas en desuso con permisos de propietario Las cuentas en desuso son cuentas en las que se ha bloqueado el inicio de sesión. | AuditIfNotExists, Disabled | 1.0.0 |
| Deben quitarse las cuentas bloqueadas con permisos de lectura y escritura de los recursos de Azure. | Convendría eliminar las cuentas en desuso de las suscripciones. Las cuentas en desuso son cuentas en las que se ha bloqueado el inicio de sesión. | AuditIfNotExists, Disabled | 1.0.0 |
| Las aplicaciones de funciones deben usar la identidad administrada | Usa una identidad administrada para la seguridad de autenticación mejorada. | AuditIfNotExists, Disabled | 3.0.0 |
| Deben quitarse las cuentas de invitado con permisos de propietario de los recursos de Azure. | Las cuentas externas con permisos de propietario deben quitarse de la suscripción a fin de evitar el acceso no supervisado. | AuditIfNotExists, Disabled | 1.0.0 |
| Deben quitarse las cuentas de invitado con permisos de lectura de los recursos de Azure. | Las cuentas externas con privilegios de lectura deben quitarse de la suscripción a fin de evitar el acceso no supervisado. | AuditIfNotExists, Disabled | 1.0.0 |
| Deben quitarse las cuentas de invitado con permisos de escritura de los recursos de Azure. | Las cuentas externas con privilegios de escritura deben quitarse de la suscripción a fin de evitar el acceso no supervisado. | AuditIfNotExists, Disabled | 1.0.0 |
| Control administrado por Microsoft 1002: administración de cuentas | Microsoft implementa este control de Access Control | auditoría | 1.0.0 |
| Control administrado por Microsoft 1003: administración de cuentas | Microsoft implementa este control de Access Control | auditoría | 1.0.0 |
| Control administrado por Microsoft 1004: administración de cuentas | Microsoft implementa este control de Access Control | auditoría | 1.0.0 |
| Control administrado por Microsoft 1005: administración de cuentas | Microsoft implementa este control de Access Control | auditoría | 1.0.0 |
| Control administrado por Microsoft 1006: administración de cuentas | Microsoft implementa este control de Access Control | auditoría | 1.0.0 |
| Control administrado por Microsoft 1007: administración de cuentas | Microsoft implementa este control de Access Control | auditoría | 1.0.0 |
| Control administrado por Microsoft 1008: administración de cuentas | Microsoft implementa este control de Access Control | auditoría | 1.0.0 |
| Control administrado por Microsoft 1009: administración de cuentas | Microsoft implementa este control de Access Control | auditoría | 1.0.0 |
| Control administrado por Microsoft 1010: administración de cuentas | Microsoft implementa este control de Access Control | auditoría | 1.0.0 |
| Control administrado por Microsoft 1011: administración de cuentas | Microsoft implementa este control de Access Control | auditoría | 1.0.0 |
| Control administrado por Microsoft 1012: administración de cuentas | Microsoft implementa este control de Access Control | auditoría | 1.0.0 |
| Los clústeres de Service Fabric solo deben usar Azure Active Directory para la autenticación de cliente | Permite auditar el uso de la autenticación de clientes solo mediante Azure Active Directory en Service Fabric | Audit, Deny, Disabled | 1.1.0 |
Administración de cuentas de sistema automatizadas
Id.: NIST SP 800-53 Rev. 4 AC-2 (1) Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| El administrador de Azure Active Directory debe aprovisionarse para servidores SQL Server | Permite aprovisionar un administrador de Azure Active Directory para SQL Server a fin de habilitar la autenticación de Azure AD. La autenticación de Azure AD permite la administración simplificada de permisos y la administración centralizada de identidades de usuarios de base de datos y otros servicios de Microsoft | AuditIfNotExists, Disabled | 1.0.0 |
| Los recursos del Servicios de Azure AI deben tener deshabilitado el acceso a claves (deshabilitar la autenticación local) | Se recomienda deshabilitar el acceso a las claves (autenticación local) por temas de seguridad. Azure OpenAI Studio, que normalmente se usa en los entornos de desarrollo y pruebas, requiere acceso a las claves y no funcionará si dicho acceso está deshabilitado. Después de deshabilitarlo, Microsoft Entra ID se convierte en el único método de acceso, lo que permite mantener el principio de privilegios mínimos y el control pormenorizado. Más información en: https://aka.ms/AI/auth | Audit, Deny, Disabled | 1.1.0 |
| Control administrado por Microsoft 1013: administración de cuentas | Administración automatizada de cuentas del sistema | Microsoft implementa este control de Access Control | auditoría | 1.0.0 |
| Los clústeres de Service Fabric solo deben usar Azure Active Directory para la autenticación de cliente | Permite auditar el uso de la autenticación de clientes solo mediante Azure Active Directory en Service Fabric | Audit, Deny, Disabled | 1.1.0 |
Eliminación de cuentas temporales o de emergencia
Id.: NIST SP 800-53 Rev. 4 AC-2 (2) Propiedad: Microsoft
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Control administrado por Microsoft 1014: administración de cuentas | Eliminación de cuentas de emergencia y temporales | Microsoft implementa este control de Access Control | auditoría | 1.0.0 |
Deshabilitación de cuentas inactivas
Id.: NIST SP 800-53 Rev. 4 AC-2 (3) Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Control administrado por Microsoft 1015: administración de cuentas | Deshabilitación de cuentas inactivas | Microsoft implementa este control de Access Control | auditoría | 1.0.0 |
Acciones de auditoría automatizadas
Id.: NIST SP 800-53 Rev. 4 AC-2 (4) Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Control administrado por Microsoft 1016: administración de cuentas | Acciones de auditoría automatizadas | Microsoft implementa este control de Access Control | auditoría | 1.0.0 |
Cierre de sesión por inactividad
Id.: NIST SP 800-53 Rev. 4 AC-2 (5) Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Control administrado por Microsoft 1017: administración de cuentas | Cierre de sesión por inactividad | Microsoft implementa este control de Access Control | auditoría | 1.0.0 |
Esquemas basados en roles
Id.: NIST SP 800-53 Rev. 4 AC-2 (7) Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| El administrador de Azure Active Directory debe aprovisionarse para servidores SQL Server | Permite aprovisionar un administrador de Azure Active Directory para SQL Server a fin de habilitar la autenticación de Azure AD. La autenticación de Azure AD permite la administración simplificada de permisos y la administración centralizada de identidades de usuarios de base de datos y otros servicios de Microsoft | AuditIfNotExists, Disabled | 1.0.0 |
| Auditar el uso de roles RBAC personalizados | Permite auditar roles integrados, como "propietario, colaborador, lector" en lugar de roles RBAC personalizados, que son propensos a errores de auditoría. El uso de roles personalizados se trata como una excepción y requiere una revisión rigurosa y el modelado de amenazas. | Audit, Disabled | 1.0.1 |
| Los recursos del Servicios de Azure AI deben tener deshabilitado el acceso a claves (deshabilitar la autenticación local) | Se recomienda deshabilitar el acceso a las claves (autenticación local) por temas de seguridad. Azure OpenAI Studio, que normalmente se usa en los entornos de desarrollo y pruebas, requiere acceso a las claves y no funcionará si dicho acceso está deshabilitado. Después de deshabilitarlo, Microsoft Entra ID se convierte en el único método de acceso, lo que permite mantener el principio de privilegios mínimos y el control pormenorizado. Más información en: https://aka.ms/AI/auth | Audit, Deny, Disabled | 1.1.0 |
| Control administrado por Microsoft 1018: administración de cuentas | Esquemas basados en roles | Microsoft implementa este control de Access Control | auditoría | 1.0.0 |
| Control administrado por Microsoft 1019: administración de cuentas | Esquemas basados en roles | Microsoft implementa este control de Access Control | auditoría | 1.0.0 |
| Control administrado por Microsoft 1020: administración de cuentas | Esquemas basados en roles | Microsoft implementa este control de Access Control | auditoría | 1.0.0 |
| Los clústeres de Service Fabric solo deben usar Azure Active Directory para la autenticación de cliente | Permite auditar el uso de la autenticación de clientes solo mediante Azure Active Directory en Service Fabric | Audit, Deny, Disabled | 1.1.0 |
Restricciones de uso de cuentas o grupos compartidos
Id.: NIST SP 800-53 Rev. 4 AC-2 (9) Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Control administrado por Microsoft 1021: administración de cuentas | Restricciones de uso de cuentas de grupo o compartidas | Microsoft implementa este control de Access Control | auditoría | 1.0.0 |
Terminación de credenciales de cuentas de grupo o compartidas
Id.: NIST SP 800-53 Rev. 4 AC-2 (10) Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Control administrado por Microsoft 1022: administración de cuentas | Terminación de credenciales de cuentas de grupo o compartidas | Microsoft implementa este control de Access Control | auditoría | 1.0.0 |
Condiciones de uso
Id.: NIST SP 800-53 Rev. 4 AC-2 (11) Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Control administrado por Microsoft 1023: administración de cuentas | Condiciones de uso | Microsoft implementa este control de Access Control | auditoría | 1.0.0 |
Supervisión de cuentas o uso atípico
Id.: NIST SP 800-53 Rev. 4 AC-2 (12) Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| [Versión preliminar]: Los clústeres de Kubernetes con Azure Arc habilitado deben tener instalada la extensión de Microsoft Defender for Cloud | La extensión Microsoft Defender for Cloud para Azure Arc proporciona protección contra amenazas para los clústeres de Kubernetes habilitados para Arc. La extensión recopila datos de todos los nodos del clúster y los envía al back-end de Azure Defender para Kubernetes en la nube para su posterior análisis. Puede encontrar más información en https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc. | AuditIfNotExists, Disabled | 4.0.1-preview |
| Se debe habilitar Azure Defender para servidores de Azure SQL Database | Azure Defender para SQL proporciona funcionalidad para mostrar y mitigar posibles vulnerabilidades de base de datos, detectar actividades anómalas que podrían indicar amenazas para bases de datos SQL, y detectar y clasificar datos confidenciales. | AuditIfNotExists, Disabled | 1.0.2 |
| Se debe habilitar Azure Defender para Resource Manager | Azure Defender para Resource Manager supervisa automáticamente las operaciones de administración de recursos de la organización. Azure Defender detecta amenazas y alerta sobre actividades sospechosas. Obtenga más información sobre las funcionalidades de Azure Defender para Resource Manager en https://aka.ms/defender-for-resource-manager. La habilitación de este plan de Azure Defender conlleva cargos. Obtenga información sobre los detalles de los precios por región en la página de precios de Security Center: https://aka.ms/pricing-security-center. | AuditIfNotExists, Disabled | 1.0.0 |
| Se debe habilitar Azure Defender para servidores | Azure Defender para servidores proporciona protección en tiempo real contra amenazas para las cargas de trabajo del servidor y genera recomendaciones de protección, así como alertas sobre la actividad sospechosa. | AuditIfNotExists, Disabled | 1.0.3 |
| Azure Defender para SQL debe habilitarse en las instancias de SQL Managed Instances desprotegidas | Permite auditr cada servicio SQL Managed Instance sin Advanced Data Security. | AuditIfNotExists, Disabled | 1.0.2 |
| Los puertos de administración de las máquinas virtuales deben protegerse con el control de acceso de red Just-In-Time. | Azure Security Center supervisará el posible acceso de red Just-In-Time (JIT) como recomendaciones. | AuditIfNotExists, Disabled | 3.0.0 |
| Microsoft Defender para contenedores debería estar habilitado | Microsoft Defender para contenedores proporciona protección, evaluación de vulnerabilidades y protecciones en tiempo de ejecución para los entornos de Kubernetes de Azure, híbridos y multinube. | AuditIfNotExists, Disabled | 1.0.0 |
| Microsoft Defender para Storage (Clásico) debe estar habilitado | Microsoft Defender para Storage (Clásico) proporciona detecciones de intentos inusuales y potencialmente dañinos para acceder a las cuentas de almacenamiento o aprovechar alguna vulnerabilidad de seguridad. | AuditIfNotExists, Disabled | 1.0.4 |
| Control administrado por Microsoft 1024: administración de cuentas | Supervisión de cuentas o uso atípico | Microsoft implementa este control de Access Control | auditoría | 1.0.0 |
| Control administrado por Microsoft 1025: administración de cuentas | Supervisión de cuentas o uso atípico | Microsoft implementa este control de Access Control | auditoría | 1.0.0 |
Deshabilitación de cuentas para individuos de alto riesgo
Id.: NIST SP 800-53 Rev. 4 AC-2 (13) Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Control administrado por Microsoft 1026: administración de cuentas | Deshabilitación de cuentas para individuos de alto riesgo | Microsoft implementa este control de Access Control | auditoría | 1.0.0 |
Aplicación de acceso
Id.: NIST SP 800-53 Rev. 4 AC-3 Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Deben estar habilitadas para MFA las cuentas con permisos de propietario de los recursos de Azure. | Multi-Factor Authentication (MFA) debe estar habilitada para todas las cuentas de la suscripción que tengan permisos de propietario, a fin de evitar una brecha de seguridad en las cuentas o los recursos. | AuditIfNotExists, Disabled | 1.0.0 |
| Deben estar habilitadas para MFA las cuentas con permisos de lectura de los recursos de Azure. | Multi-Factor Authentication (MFA) debe estar habilitada para todas las cuentas de la suscripción que tengan permisos de lectura, a fin de evitar una brecha de seguridad en las cuentas o los recursos. | AuditIfNotExists, Disabled | 1.0.0 |
| Deben estar habilitadas para MFA las cuentas con permisos de escritura de los recursos de Azure. | Multi-Factor Authentication (MFA) debe estar habilitada para todas las cuentas de la suscripción que tengan permisos de escritura, a fin de evitar una brecha de seguridad en las cuentas o los recursos. | AuditIfNotExists, Disabled | 1.0.0 |
| Agregar una identidad administrada asignada por el sistema para habilitar las asignaciones de configuración de invitado en máquinas virtuales sin identidades | Esta directiva agrega una identidad administrada asignada por el sistema a las máquinas virtuales hospedadas en Azure que son compatibles con la configuración de invitado pero no tienen identidades administradas. Una identidad administrada asignada por el sistema es un requisito previo para todas las asignaciones de configuración de invitado y debe agregarse a los equipos antes de usar las definiciones de directiva de la configuración de invitado. Para más información sobre la configuración de invitado, visite https://aka.ms/gcpol. | modify | 1.3.0 |
| Agregar una identidad administrada asignada por el sistema para habilitar las asignaciones de configuración de invitado en máquinas virtuales con una identidad asignada por el usuario | Esta directiva agrega una identidad administrada asignada por el sistema a las máquinas virtuales hospedadas en Azure que son compatibles con la configuración de invitado y que tienen al menos una identidad asignada por el usuario, pero no tienen ninguna identidad administrada asignada por el sistema. Una identidad administrada asignada por el sistema es un requisito previo para todas las asignaciones de configuración de invitado y debe agregarse a los equipos antes de usar las definiciones de directiva de la configuración de invitado. Para más información sobre la configuración de invitado, visite https://aka.ms/gcpol. | modify | 1.3.0 |
| El administrador de Azure Active Directory debe aprovisionarse para servidores SQL Server | Permite aprovisionar un administrador de Azure Active Directory para SQL Server a fin de habilitar la autenticación de Azure AD. La autenticación de Azure AD permite la administración simplificada de permisos y la administración centralizada de identidades de usuarios de base de datos y otros servicios de Microsoft | AuditIfNotExists, Disabled | 1.0.0 |
| Las aplicaciones de App Service deben usar la identidad administrada | Usa una identidad administrada para la seguridad de autenticación mejorada. | AuditIfNotExists, Disabled | 3.0.0 |
| Auditar las máquinas Linux que tengan cuentas sin contraseña | Requiere que los requisitos previos se implementen en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. Las máquinas no son compatibles si las máquinas Linux tienen cuentas sin contraseña. | AuditIfNotExists, Disabled | 1.4.0 |
| Los recursos del Servicios de Azure AI deben tener deshabilitado el acceso a claves (deshabilitar la autenticación local) | Se recomienda deshabilitar el acceso a las claves (autenticación local) por temas de seguridad. Azure OpenAI Studio, que normalmente se usa en los entornos de desarrollo y pruebas, requiere acceso a las claves y no funcionará si dicho acceso está deshabilitado. Después de deshabilitarlo, Microsoft Entra ID se convierte en el único método de acceso, lo que permite mantener el principio de privilegios mínimos y el control pormenorizado. Más información en: https://aka.ms/AI/auth | Audit, Deny, Disabled | 1.1.0 |
| Implementar la extensión de configuración de invitado de Linux para permitir las asignaciones de configuración de invitado en máquinas virtuales Linux | Esta directiva implementa la extensión de configuración de invitado de Linux en las máquinas virtuales Linux hospedadas en Azure que son compatibles con la configuración de invitado. La extensión de configuración de invitado de Linux es un requisito previo para todas las asignaciones de configuración de invitado de Linux y debe implementarse en las máquinas antes de usar cualquier definición de directiva de configuración de invitado de Linux. Para más información sobre la configuración de invitado, visite https://aka.ms/gcpol. | deployIfNotExists | 1.4.0 |
| Las aplicaciones de funciones deben usar la identidad administrada | Usa una identidad administrada para la seguridad de autenticación mejorada. | AuditIfNotExists, Disabled | 3.0.0 |
| Control administrado por Microsoft 1027: aplicación de acceso | Microsoft implementa este control de Access Control | auditoría | 1.0.0 |
| Los clústeres de Service Fabric solo deben usar Azure Active Directory para la autenticación de cliente | Permite auditar el uso de la autenticación de clientes solo mediante Azure Active Directory en Service Fabric | Audit, Deny, Disabled | 1.1.0 |
| Se deben migrar las cuentas de almacenamiento a los nuevos recursos de Azure Resource Manager | Use el nuevo Azure Resource Manager para las cuentas de almacenamiento a fin de proporcionar mejoras de seguridad como las siguientes: mayor control de acceso (RBAC), mejor auditoría, gobernanza e implementación basados en Azure Resource Manager, acceso a las identidades administradas, acceso a los secretos de Key Vault, autenticación basada en Azure AD y compatibilidad con las etiquetas y los grupos de recursos para facilitar la administración de seguridad. | Audit, Deny, Disabled | 1.0.0 |
| Se deben migrar las máquinas virtuales a nuevos recursos de Azure Resource Manager | Use el nuevo Azure Resource Manager para las máquinas virtuales a fin de proporcionar mejoras de seguridad como las siguientes: mayor control de acceso (RBAC), mejor auditoría, gobernanza e implementación basados en Azure Resource Manager, acceso a identidades administradas, acceso a secretos de Key Vault, autenticación basada en Azure AD y compatibilidad con etiquetas y grupos de recursos para facilitar la administración de seguridad. | Audit, Deny, Disabled | 1.0.0 |
Control de acceso basado en rol
Id.: NIST SP 800-53 Rev. 4 AC-3 (7) Propiedad: Cliente
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| El control de acceso basado en roles (RBAC) de Azure debe usarse en los servicios de Kubernetes | Para proporcionar un filtrado detallado de las acciones que los usuarios pueden realizar, use el control de acceso basado en rol (RBAC) de Azure para administrar los permisos en los clústeres de Kubernetes Service y configurar las directivas de autorización correspondientes. | Audit, Disabled | 1.0.3 |
Aplicación del flujo de información
Id.: NIST SP 800-53 Rev. 4 AC-4 Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Todos los puertos de red deben estar restringidos en los grupos de seguridad de red asociados a la máquina virtual | Azure Security Center identificó que algunas de las reglas de entrada de sus grupos de seguridad de red son demasiado permisivas. Las reglas de entrada no deben permitir el acceso desde los intervalos "Cualquiera" o "Internet". Esto podría permitir que los atacantes pudieran acceder a sus recursos. | AuditIfNotExists, Disabled | 3.0.0 |
| Los servicios de API Management deben usar una red virtual | La implementación de Azure Virtual Network ofrece una seguridad y aislamiento mejorados, y permite colocar el servicio de API Management en una red enrutable sin conexión a Internet cuyo acceso puede controlar. Estas redes se pueden conectar a las redes locales mediante diversas tecnologías de VPN, lo que permite el acceso a los servicios de back-end dentro de la red o de forma local. El portal para desarrolladores y la puerta de enlace de API pueden configurarse para que sea accesible desde Internet o solo dentro de la red virtual. | Audit, Deny, Disabled | 1.0.2 |
| App Configuration debe usar Private Link | Azure Private Link permite conectar la red virtual a servicios de Azure sin una dirección IP pública en el origen o el destino. La plataforma Private Link administra la conectividad entre el consumidor y los servicios a través de la red troncal de Azure. Mediante la asignación de puntos de conexión privados a las instancias de App Configuration en lugar de a todo el servicio, además se protege frente a riesgos de pérdida de datos. Más información en: https://aka.ms/appconfig/private-endpoint. | AuditIfNotExists, Disabled | 1.0.2 |
| Las aplicaciones de App Service no deberían tener CORS configurado para permitir que todos los recursos accedan a sus aplicaciones | El uso compartido de recursos entre orígenes (CORS) no debe permitir que todos los dominios accedan a la aplicación. Permita la interacción con la aplicación solo de los dominios requeridos. | AuditIfNotExists, Disabled | 2.0.0 |
| Los intervalos IP autorizados deben definirse en los servicios de Kubernetes | Restrinja el acceso a la API de administración de servicios de Kubernetes mediante la concesión de acceso de API solo a direcciones IP en intervalos específicos. Se recomienda limitar el acceso a los intervalos IP autorizados para garantizar que solo las aplicaciones de las redes permitidas puedan acceder al clúster. | Audit, Disabled | 2.0.0 |
| Los recursos de Servicios de Azure AI deben restringir el acceso a la red | Al restringir el acceso a la red, puede asegurarse de que solo las redes permitidas puedan acceder al servicio. Para lograr esto, se pueden configurar reglas de red de modo que solo las aplicaciones de las redes permitidas puedan acceder al servicio Azure AI. | Audit, Deny, Disabled | 3.2.0 |
| Azure Cache for Redis debe usar Private Link | Los puntos de conexión privados le permiten conectar la red virtual a los servicios de Azure sin una dirección IP pública en el origen o el destino. Al asignar puntos de conexión privados a las instancias de Azure Cache for Redis, se reduce el riesgo de pérdida de datos. Más información en: https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link. | AuditIfNotExists, Disabled | 1.0.0 |
| El servicio Azure Cognitive Search debe usar una SKU que admita Private Link | Con las SKU admitidas de Azure Cognitive Search, Azure Private Link permite conectar la red virtual a los servicios de Azure sin una dirección IP pública en el origen o el destino. La plataforma Private Link administra la conectividad entre el consumidor y los servicios a través de la red troncal de Azure. Al asignar puntos de conexión privados a su servicio Search, se reduce el riesgo de pérdida de datos. Más información en: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Audit, Deny, Disabled | 1.0.0 |
| Los servicios de Azure Cognitive Search deben deshabilitar el acceso a la red pública | Al deshabilitar el acceso a la red pública, se mejora la seguridad, ya que se garantiza que el servicio de Azure Cognitive Search no se expone en la red pública de Internet. La creación de puntos de conexión privados puede limitar la exposición del servicio Search. Más información en: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Audit, Deny, Disabled | 1.0.0 |
| Los servicios de Azure Cognitive Search deben usar un vínculo privado. | Azure Private Link permite conectar la red virtual a servicios de Azure sin una dirección IP pública en el origen o el destino. La plataforma Private Link administra la conectividad entre el consumidor y los servicios a través de la red troncal de Azure. Mediante la asignación de puntos de conexión privados a Azure Cognitive Search, se reducen los riesgos de pérdida de datos. Más información sobre los vínculos privados en https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Audit, Disabled | 1.0.0 |
| Las cuentas de Azure Cosmos DB deben tener reglas de firewall. | Se deben definir reglas de firewall en las cuentas de Azure Cosmos DB para evitar el tráfico desde orígenes no autorizados. Las cuentas que tienen al menos una regla de IP definida con el filtro de red virtual habilitado se consideran compatibles. Las cuentas que deshabilitan el acceso público también se consideran compatibles. | Audit, Deny, Disabled | 2.0.0 |
| Azure Data Factory debe usar Private Link | Azure Private Link permite conectar la red virtual a servicios de Azure sin una dirección IP pública en el origen o el destino. La plataforma Private Link administra la conectividad entre el consumidor y los servicios a través de la red troncal de Azure. Mediante la asignación de puntos de conexión privados a Azure Data Factory, se reducen los riesgos de pérdida de datos. Más información sobre los vínculos privados en https://docs.microsoft.com/azure/data-factory/data-factory-private-link. | AuditIfNotExists, Disabled | 1.0.0 |
| Los dominios de Azure Event Grid deben usar Private Link | Azure Private Link permite conectar la red virtual a servicios de Azure sin una dirección IP pública en el origen o el destino. La plataforma Private Link administra la conectividad entre el consumidor y los servicios a través de la red troncal de Azure. Mediante la asignación de puntos de conexión privados al dominio de Event Grid en lugar de a todo el servicio, también estará protegido frente a riesgos de pérdida de datos. Más información en: https://aka.ms/privateendpoints. | Audit, Disabled | 1.0.2 |
| Los temas de Azure Event Grid deben usar Private Link | Azure Private Link permite conectar la red virtual a servicios de Azure sin una dirección IP pública en el origen o el destino. La plataforma Private Link administra la conectividad entre el consumidor y los servicios a través de la red troncal de Azure. Mediante la asignación de puntos de conexión privados al tema de Event Grid en lugar de a todo el servicio, estará además protegido frente a riesgos de pérdida de datos. Más información en: https://aka.ms/privateendpoints. | Audit, Disabled | 1.0.2 |
| Azure File Sync debe usar Private Link | Si crea un punto de conexión privado para el recurso del servicio de sincronización de almacenamiento indicado, podrá dirigirse al recurso del servicio de sincronización de almacenamiento desde el espacio de direcciones IP privadas de la red de la organización, en lugar de hacerlo a través del punto de conexión público accesible desde Internet. La creación de un punto de conexión privado por sí mismo no deshabilita el punto de conexión público. | AuditIfNotExists, Disabled | 1.0.0 |
| Azure Key Vault debe tener el firewall habilitado | Habilite el firewall del almacén de claves para que el almacén de claves no sea accesible de forma predeterminada a ninguna dirección IP pública. De manera opcional, puede configurar intervalos IP específicos para limitar el acceso a esas redes. Más información en: https://docs.microsoft.com/azure/key-vault/general/network-security | Audit, Deny, Disabled | 1.4.1 |
| Las áreas de trabajo de Azure Machine Learning deben usar un vínculo privado. | Azure Private Link permite conectar la red virtual a servicios de Azure sin una dirección IP pública en el origen o el destino. La plataforma Private Link administra la conectividad entre el consumidor y los servicios a través de la red troncal de Azure. Mediante la asignación de puntos de conexión privados a áreas de trabajo de Azure Machine Learning, se reducen los riesgos de pérdida de datos. Más información sobre los vínculos privados en https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link. | Audit, Disabled | 1.0.0 |
| Los espacios de nombres de Azure Service Bus deben usar Private Link | Azure Private Link permite conectar la red virtual a servicios de Azure sin una dirección IP pública en el origen o el destino. La plataforma Private Link administra la conectividad entre el consumidor y los servicios a través de la red troncal de Azure. Mediante la asignación de puntos de conexión privados a los espacios de nombres de Service Bus, se reducen los riesgos de pérdida de datos. Más información en: https://docs.microsoft.com/azure/service-bus-messaging/private-link-service. | AuditIfNotExists, Disabled | 1.0.0 |
| Azure SignalR Service debe usar Private Link | Azure Private Link permite conectar la red virtual a servicios de Azure sin una dirección IP pública en el origen o el destino. La plataforma Private Link administra la conectividad entre el consumidor y los servicios a través de la red troncal de Azure. Mediante la asignación de puntos de conexión privados a su recurso de Azure SignalR Service en lugar todo el servicio, reducirá los riesgos de pérdida de datos. Más información sobre los vínculos privados en https://aka.ms/asrs/privatelink. | Audit, Disabled | 1.0.0 |
| Las áreas de trabajo de Azure Synapse deben usar Private Link | Azure Private Link permite conectar la red virtual a servicios de Azure sin una dirección IP pública en el origen o el destino. La plataforma Private Link administra la conectividad entre el consumidor y los servicios a través de la red troncal de Azure. Mediante la asignación de puntos de conexión privados al área de trabajo de Azure Synapse, se reducen los riesgos de pérdida de datos. Más información sobre los vínculos privados en https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-with-private-links. | Audit, Disabled | 1.0.1 |
| Las cuentas de Cognitive Services deben deshabilitar el acceso a la red pública. | Para reforzar la seguridad de las cuentas de Cognitive Services, asegúrese de que el servicio no está expuesto a la red pública de Internet y que únicamente se puede acceder a él desde un punto de conexión privado. Deshabilite la propiedad acceso a la red pública, tal y como se describe en https://go.microsoft.com/fwlink/?linkid=2129800. Esta opción deshabilita el acceso desde cualquier espacio de direcciones públicas que esté fuera del intervalo IP de Azure y deniega todos los inicios de sesión que coincidan con las reglas de firewall basadas en la IP o la red virtual. De este modo, se reducen los riesgos de pérdida de datos. | Audit, Deny, Disabled | 3.0.1 |
| Cognitive Services debe usar un vínculo privado | Azure Private Link permite conectar las redes virtuales a los servicios de Azure sin una dirección IP pública en el origen o el destino. La plataforma Private Link administra la conectividad entre el consumidor y los servicios a través de la red troncal de Azure. Al asignar puntos de conexión privados a Cognitive Services, reducirá la posibilidad de pérdida de datos. Más información sobre los vínculos privados en https://go.microsoft.com/fwlink/?linkid=2129800. | Audit, Disabled | 3.0.0 |
| Las instancias de Container Registry no deben permitir el acceso de red sin restricciones | De manera predeterminada, las instancias de Azure Container Registry aceptan conexiones a través de Internet de hosts de cualquier red. Para proteger sus registros de posibles amenazas, permita el acceso solo desde determinados puntos de conexión privados, direcciones IP públicas o intervalos de direcciones. Si su registro no tiene reglas de red configuradas, aparecerá en los recursos no incorrectos. Obtenga más información sobre las reglas de red de Container Registry aquí: https://aka.ms/acr/privatelink,https://aka.ms/acr/portal/public-network y https://aka.ms/acr/vnet. | Audit, Deny, Disabled | 2.0.0 |
| Las instancias de Container Registry deben usar Private Link | Azure Private Link permite conectar la red virtual a servicios de Azure sin una dirección IP pública en el origen o el destino. La plataforma Private Link controla la conectividad entre el consumidor y los servicios a través de la red troncal de Azure. Al asignar puntos de conexión privados a las instancias de Container Registry en lugar de a todo el servicio, además se protege frente a riesgos de pérdida de datos. Más información en: https://aka.ms/acr/private-link. | Audit, Disabled | 1.0.1 |
| Las cuentas de CosmosDB deben usar Private Link | Azure Private Link permite conectar la red virtual a servicios de Azure sin una dirección IP pública en el origen o el destino. La plataforma Private Link administra la conectividad entre el consumidor y los servicios a través de la red troncal de Azure. Al asignar puntos de conexión privados a su cuenta de CosmosDB, se reduce el riesgo de pérdida de datos. Más información sobre los vínculos privados en https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints. | Audit, Disabled | 1.0.0 |
| Los recursos de acceso al disco deben usar un vínculo privado | Azure Private Link permite conectar la red virtual a servicios de Azure sin una dirección IP pública en el origen o el destino. La plataforma Private Link administra la conectividad entre el consumidor y los servicios a través de la red troncal de Azure. Al asignar puntos de conexión privados a diskAccesses, se reduce el riesgo de pérdida de datos. Más información sobre los vínculos privados en https://aka.ms/disksprivatelinksdoc. | AuditIfNotExists, Disabled | 1.0.0 |
| Los espacios de nombres del centro de eventos deben usar Private Link | Azure Private Link permite conectar la red virtual a servicios de Azure sin una dirección IP pública en el origen o el destino. La plataforma Private Link administra la conectividad entre el consumidor y los servicios a través de la red troncal de Azure. Mediante la asignación de puntos de conexión privados a los espacios de nombres del centro de eventos, se reducen los riesgos de pérdida de datos. Más información en: https://docs.microsoft.com/azure/event-hubs/private-link-service. | AuditIfNotExists, Disabled | 1.0.0 |
| Las máquinas virtuales accesibles desde Internet deben estar protegidas con grupos de seguridad de red | Proteja sus máquinas virtuales de posibles amenazas limitando el acceso a ellas con grupos de seguridad de red (NSG). Más información sobre cómo controlar el tráfico con los grupos de seguridad de red en https://aka.ms/nsg-doc. | AuditIfNotExists, Disabled | 3.0.0 |
| Las instancias del servicio de aprovisionamiento de dispositivos de IoT Hub deben usar Private Link | Azure Private Link permite conectar la red virtual a servicios de Azure sin una dirección IP pública en el origen o el destino. La plataforma Private Link administra la conectividad entre el consumidor y los servicios a través de la red troncal de Azure. Mediante la asignación de puntos de conexión privados al servicio de aprovisionamiento de dispositivos de IoT Hub, se reducen los riesgos de pérdida de datos. Más información sobre los vínculos privados en https://aka.ms/iotdpsvnet. | Audit, Disabled | 1.0.0 |
| El reenvío de IP en la máquina virtual debe estar deshabilitado | Habilitar el reenvío de IP en la NIC de la máquina virtual permite que la máquina reciba tráfico dirigido a otros destinos. El reenvío de IP rara vez es necesario (por ejemplo, cuando se usa la máquina virtual como una aplicación virtual de red) y, por lo tanto, el equipo de seguridad de red debe revisarlo. | AuditIfNotExists, Disabled | 3.0.0 |
| Los puertos de administración de las máquinas virtuales deben protegerse con el control de acceso de red Just-In-Time. | Azure Security Center supervisará el posible acceso de red Just-In-Time (JIT) como recomendaciones. | AuditIfNotExists, Disabled | 3.0.0 |
| Se deben cerrar los puertos de administración en las máquinas virtuales | Los puertos de administración remota abiertos exponen la máquina virtual a un alto nivel de riesgo de recibir ataques basados en Internet. Estos ataques intentan averiguar las credenciales por medio de fuerza bruta a fin de obtener acceso de administrador a la máquina | AuditIfNotExists, Disabled | 3.0.0 |
| Control administrado por Microsoft 1028: aplicación del flujo de información | Microsoft implementa este control de Access Control | auditoría | 1.0.0 |
| Las máquinas virtuales sin conexión a Internet deben protegerse con grupos de seguridad de red | Proteja las máquinas virtuales no accesibles desde Internet de posibles amenazas limitando el acceso con grupos de seguridad de red (NSG). Más información sobre cómo controlar el tráfico con los grupos de seguridad de red en https://aka.ms/nsg-doc. | AuditIfNotExists, Disabled | 3.0.0 |
| Las conexiones de punto de conexión privado en Azure SQL Database deben estar habilitadas | Las conexiones de punto de conexión privado garantizan una comunicación segura al habilitar la conectividad privada con Azure SQL Database. | Audit, Disabled | 1.1.0 |
| Debe deshabilitarse el acceso a redes públicas en Azure SQL Database | Al deshabilitar la propiedad de acceso a la red pública, se mejora la seguridad al garantizar que solo se pueda acceder a la instancia de Azure SQL Database desde un punto de conexión privado. Esta configuración deniega todos los inicios de sesión que coincidan con las reglas de firewall basadas en IP o redes virtuales. | Audit, Deny, Disabled | 1.1.0 |
| Se debe restringir el acceso de red a las cuentas de almacenamiento | El acceso de red a las cuentas de almacenamiento debe estar restringido. Configure reglas de red, solo las aplicaciones de redes permitidas pueden acceder a la cuenta de almacenamiento. Para permitir conexiones desde clientes específicos locales o de Internet, se puede conceder acceso al tráfico procedente de redes virtuales de Azure específicas o a intervalos de direcciones IP de Internet públicas. | Audit, Deny, Disabled | 1.1.1 |
| Las cuentas de almacenamiento deben restringir el acceso a la red mediante el uso de reglas de red virtual | Proteja las cuentas de almacenamiento frente a amenazas potenciales mediante reglas de red virtual como método preferente en lugar de filtrado basado en IP. La deshabilitación del filtrado basado en IP evita que las direcciones IP públicas accedan a las cuentas de almacenamiento. | Audit, Deny, Disabled | 1.0.1 |
| Las cuentas de almacenamiento deben usar un vínculo privado. | Azure Private Link permite conectar la red virtual a servicios de Azure sin una dirección IP pública en el origen o el destino. La plataforma Private Link administra la conectividad entre el consumidor y los servicios a través de la red troncal de Azure. Al asignar puntos de conexión privados a su cuenta de almacenamiento, se reduce el riesgo de pérdida de datos. Más información sobre los vínculos privados en https://aka.ms/azureprivatelinkoverview. | AuditIfNotExists, Disabled | 2.0.0 |
| Las subredes deben estar asociadas con un grupo de seguridad de red. | Proteja la subred de posibles amenazas mediante la restricción del acceso con un grupo de seguridad de red (NSG). Estos grupos contienen las reglas de la lista de control de acceso (ACL) que permiten o deniegan el tráfico de red a la subred. | AuditIfNotExists, Disabled | 3.0.0 |
Control de flujo de información dinámico
Id.: NIST SP 800-53 Rev. 4 AC-4 (3) Propiedad: Cliente
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Los puertos de administración de las máquinas virtuales deben protegerse con el control de acceso de red Just-In-Time. | Azure Security Center supervisará el posible acceso de red Just-In-Time (JIT) como recomendaciones. | AuditIfNotExists, Disabled | 3.0.0 |
Filtros de directiva de seguridad
Id.: NIST SP 800-53 Rev. 4 AC-4 (8) Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Control administrado por Microsoft 1029: aplicación del flujo de información | Filtros de directiva de seguridad | Microsoft implementa este control de Access Control | auditoría | 1.0.0 |
Separación física o lógica de los flujos de información
Id.: NIST SP 800-53 Rev. 4 AC-4 (21) Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Control administrado por Microsoft 1030: aplicación del flujo de información | Separación física o lógica de los flujos de información | Microsoft implementa este control de Access Control | auditoría | 1.0.0 |
Separación de obligaciones
Id.: NIST SP 800-53 Rev. 4 AC-5 Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Control administrado por Microsoft 1031: separación de obligaciones | Microsoft implementa este control de Access Control | auditoría | 1.0.0 |
| Control administrado por Microsoft 1032: separación de obligaciones | Microsoft implementa este control de Access Control | auditoría | 1.0.0 |
| Control administrado por Microsoft 1033: separación de obligaciones | Microsoft implementa este control de Access Control | auditoría | 1.0.0 |
| Debe haber más de un propietario asignado a la suscripción | Se recomienda que designe a más de un propietario de la suscripción para tener redundancia de acceso de administrador. | AuditIfNotExists, Disabled | 3.0.0 |
Privilegios mínimos
Id.: NIST SP 800-53 Rev. 4 AC-6 Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Debe designar un máximo de tres propietarios para la suscripción | Se recomienda que designe a un máximo de tres propietarios de suscripción para reducir el riesgo de una brecha de seguridad por parte de un propietario en peligro. | AuditIfNotExists, Disabled | 3.0.0 |
| Auditar el uso de roles RBAC personalizados | Permite auditar roles integrados, como "propietario, colaborador, lector" en lugar de roles RBAC personalizados, que son propensos a errores de auditoría. El uso de roles personalizados se trata como una excepción y requiere una revisión rigurosa y el modelado de amenazas. | Audit, Disabled | 1.0.1 |
| Control administrado por Microsoft 1034: privilegios mínimos | Microsoft implementa este control de Access Control | auditoría | 1.0.0 |
Autorización del acceso a las funciones de seguridad
Id.: NIST SP 800-53 Rev. 4 AC-6 (1) Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Control administrado por Microsoft 1035: privilegios mínimos | Autorización del acceso a las funciones de seguridad | Microsoft implementa este control de Access Control | auditoría | 1.0.0 |
Acceso sin privilegios para las funciones que no son de seguridad
Id.: NIST SP 800-53 Rev. 4 AC-6 (2) Propiedad: Microsoft
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Control administrado por Microsoft 1036: privilegios mínimos | Acceso sin privilegios para las funciones que no son de seguridad | Microsoft implementa este control de Access Control | auditoría | 1.0.0 |
Acceso de red a comandos con privilegios
Id.: NIST SP 800-53 Rev. 4 AC-6 (3) Propiedad: Microsoft
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Control administrado por Microsoft 1037: privilegios mínimos | Acceso de red a comandos con privilegios | Microsoft implementa este control de Access Control | auditoría | 1.0.0 |
Cuentas con privilegios
Id.: NIST SP 800-53 Rev. 4 AC-6 (5) Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Control administrado por Microsoft 1038: privilegios mínimos | Cuentas con privilegios | Microsoft implementa este control de Access Control | auditoría | 1.0.0 |
Revisión de privilegios de usuario
Id.: NIST SP 800-53 Rev. 4 AC-6 (7) Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Debe designar un máximo de tres propietarios para la suscripción | Se recomienda que designe a un máximo de tres propietarios de suscripción para reducir el riesgo de una brecha de seguridad por parte de un propietario en peligro. | AuditIfNotExists, Disabled | 3.0.0 |
| Auditar el uso de roles RBAC personalizados | Permite auditar roles integrados, como "propietario, colaborador, lector" en lugar de roles RBAC personalizados, que son propensos a errores de auditoría. El uso de roles personalizados se trata como una excepción y requiere una revisión rigurosa y el modelado de amenazas. | Audit, Disabled | 1.0.1 |
| Control administrado por Microsoft 1039: privilegios mínimos | Revisión de privilegios de usuario | Microsoft implementa este control de Access Control | auditoría | 1.0.0 |
| Control administrado por Microsoft 1040: privilegios mínimos | Revisión de privilegios de usuario | Microsoft implementa este control de Access Control | auditoría | 1.0.0 |
Niveles de privilegios para la ejecución de código
Id.: NIST SP 800-53 Rev. 4 AC-6 (8) Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Control administrado por Microsoft 1041: privilegios mínimos | Niveles de privilegios para la ejecución de código | Microsoft implementa este control de Access Control | auditoría | 1.0.0 |
Auditoría del uso de funciones con privilegios
Id.: NIST SP 800-53 Rev. 4 AC-6 (9) Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Control administrado por Microsoft 1042: privilegios mínimos | Auditoría del uso de funciones con privilegios | Microsoft implementa este control de Access Control | auditoría | 1.0.0 |
Prohibición de ejecutar funciones privilegiadas para usuarios sin privilegios
Id.: NIST SP 800-53 Rev. 4 AC-6 (10) Propiedad: Microsoft
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Control administrado por Microsoft 1043: privilegios mínimos | Prohibición de ejecutar funciones privilegiadas para usuarios sin privilegios | Microsoft implementa este control de Access Control | auditoría | 1.0.0 |
Intentos de inicio de sesión incorrectos
Id.: NIST SP 800-53 Rev. 4 AC-7 Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Control administrado por Microsoft 1044: intentos de inicio de sesión incorrectos | Microsoft implementa este control de Access Control | auditoría | 1.0.0 |
| Control administrado por Microsoft 1045: intentos de inicio de sesión incorrectos | Microsoft implementa este control de Access Control | auditoría | 1.0.0 |
Purga o borrado del dispositivo móvil
Id.: NIST SP 800-53 Rev. 4 AC-7 (2) Propiedad: Microsoft
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Control administrado por Microsoft 1046: intentos de inicio de sesión incorrectos | Purga o borrado del dispositivo móvil | Microsoft implementa este control de Access Control | auditoría | 1.0.0 |
Notificación de uso del sistema
Id.: NIST SP 800-53 Rev. 4 AC-8 Propiedad: Microsoft
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Control administrado por Microsoft 1047: notificación de uso del sistema | Microsoft implementa este control de Access Control | auditoría | 1.0.0 |
| Control administrado por Microsoft 1048: notificación de uso del sistema | Microsoft implementa este control de Access Control | auditoría | 1.0.0 |
| Control administrado por Microsoft 1049: notificación de uso del sistema | Microsoft implementa este control de Access Control | auditoría | 1.0.0 |
Control de sesiones simultáneas
Id.: NIST SP 800-53 Rev. 4 AC-10 Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Control administrado por Microsoft 1050: control de sesiones simultáneas | Microsoft implementa este control de Access Control | auditoría | 1.0.0 |
Bloqueo de sesión
Id.: NIST SP 800-53 Rev. 4 AC-11 Propiedad: Microsoft
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Control administrado por Microsoft 1051: bloqueo de sesión | Microsoft implementa este control de Access Control | auditoría | 1.0.0 |
| Control administrado por Microsoft 1052: bloqueo de sesión | Microsoft implementa este control de Access Control | auditoría | 1.0.0 |
Pantallas de patrones ocultos
Id.: NIST SP 800-53 Rev. 4 AC-11 (1) Propiedad: Microsoft
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Control administrado por Microsoft 1053: bloqueo de sesión | Pantallas de patrones ocultos | Microsoft implementa este control de Access Control | auditoría | 1.0.0 |
Finalización de la sesión
Id.: NIST SP 800-53 Rev. 4 AC-12 Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Control administrado por Microsoft 1054: finalización de la sesión | Microsoft implementa este control de Access Control | auditoría | 1.0.0 |
Cierres de sesión iniciados por el usuario/Pantallas de mensajes
Id.: NIST SP 800-53 Rev. 4 AC-12 (1) Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Control administrado por Microsoft 1055: finalización de la sesión | Cierres de sesión iniciados por el usuario / Pantallas de mensajes | Microsoft implementa este control de Access Control | auditoría | 1.0.0 |
| Control administrado por Microsoft 1056: finalización de la sesión | Cierres de sesión iniciados por el usuario / Pantallas de mensajes | Microsoft implementa este control de Access Control | auditoría | 1.0.0 |
Acciones permitidas sin identificación o autenticación
Id.: NIST SP 800-53 Rev. 4 AC-14 Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Control administrado por Microsoft 1057: acciones permitidas sin identificación o autenticación | Microsoft implementa este control de Access Control | auditoría | 1.0.0 |
| Control administrado por Microsoft 1058: acciones permitidas sin identificación o autenticación | Microsoft implementa este control de Access Control | auditoría | 1.0.0 |
Atributos de seguridad
Id.: NIST SP 800-53 Rev. 4 AC-16 Propiedad: Cliente
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Se debe habilitar Azure Defender para SQL en las instancias de Azure SQL Server desprotegidas | Auditoría de los servidores de SQL sin Advanced Data Security | AuditIfNotExists, Disabled | 2.0.1 |
| Azure Defender para SQL debe habilitarse en las instancias de SQL Managed Instances desprotegidas. | Permite auditr cada servicio SQL Managed Instance sin Advanced Data Security. | AuditIfNotExists, Disabled | 1.0.2 |
Acceso remoto
Id.: NIST SP 800-53 Rev. 4 AC-17 Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Agregar una identidad administrada asignada por el sistema para habilitar las asignaciones de configuración de invitado en máquinas virtuales sin identidades | Esta directiva agrega una identidad administrada asignada por el sistema a las máquinas virtuales hospedadas en Azure que son compatibles con la configuración de invitado pero no tienen identidades administradas. Una identidad administrada asignada por el sistema es un requisito previo para todas las asignaciones de configuración de invitado y debe agregarse a los equipos antes de usar las definiciones de directiva de la configuración de invitado. Para más información sobre la configuración de invitado, visite https://aka.ms/gcpol. | modify | 1.3.0 |
| Agregar una identidad administrada asignada por el sistema para habilitar las asignaciones de configuración de invitado en máquinas virtuales con una identidad asignada por el usuario | Esta directiva agrega una identidad administrada asignada por el sistema a las máquinas virtuales hospedadas en Azure que son compatibles con la configuración de invitado y que tienen al menos una identidad asignada por el usuario, pero no tienen ninguna identidad administrada asignada por el sistema. Una identidad administrada asignada por el sistema es un requisito previo para todas las asignaciones de configuración de invitado y debe agregarse a los equipos antes de usar las definiciones de directiva de la configuración de invitado. Para más información sobre la configuración de invitado, visite https://aka.ms/gcpol. | modify | 1.3.0 |
| App Configuration debe usar Private Link | Azure Private Link permite conectar la red virtual a servicios de Azure sin una dirección IP pública en el origen o el destino. La plataforma Private Link administra la conectividad entre el consumidor y los servicios a través de la red troncal de Azure. Mediante la asignación de puntos de conexión privados a las instancias de App Configuration en lugar de a todo el servicio, además se protege frente a riesgos de pérdida de datos. Más información en: https://aka.ms/appconfig/private-endpoint. | AuditIfNotExists, Disabled | 1.0.2 |
| Las aplicaciones de App Service deben tener la depuración remota desactivada | La depuración remota requiere que se abran puertos de entrada en una aplicación de App Service. Se debe desactivar la depuración remota. | AuditIfNotExists, Disabled | 2.0.0 |
| Auditar las máquinas Linux que permitan conexiones remotas desde cuentas sin contraseña | Requiere que los requisitos previos se implementen en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. Las máquinas no son compatibles si las máquinas Linux permiten la conexión remota de cuentas sin contraseña. | AuditIfNotExists, Disabled | 1.4.0 |
| Azure Cache for Redis debe usar Private Link | Los puntos de conexión privados le permiten conectar la red virtual a los servicios de Azure sin una dirección IP pública en el origen o el destino. Al asignar puntos de conexión privados a las instancias de Azure Cache for Redis, se reduce el riesgo de pérdida de datos. Más información en: https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link. | AuditIfNotExists, Disabled | 1.0.0 |
| El servicio Azure Cognitive Search debe usar una SKU que admita Private Link | Con las SKU admitidas de Azure Cognitive Search, Azure Private Link permite conectar la red virtual a los servicios de Azure sin una dirección IP pública en el origen o el destino. La plataforma Private Link administra la conectividad entre el consumidor y los servicios a través de la red troncal de Azure. Al asignar puntos de conexión privados a su servicio Search, se reduce el riesgo de pérdida de datos. Más información en: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Audit, Deny, Disabled | 1.0.0 |
| Los servicios de Azure Cognitive Search deben usar un vínculo privado. | Azure Private Link permite conectar la red virtual a servicios de Azure sin una dirección IP pública en el origen o el destino. La plataforma Private Link administra la conectividad entre el consumidor y los servicios a través de la red troncal de Azure. Mediante la asignación de puntos de conexión privados a Azure Cognitive Search, se reducen los riesgos de pérdida de datos. Más información sobre los vínculos privados en https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Audit, Disabled | 1.0.0 |
| Azure Data Factory debe usar Private Link | Azure Private Link permite conectar la red virtual a servicios de Azure sin una dirección IP pública en el origen o el destino. La plataforma Private Link administra la conectividad entre el consumidor y los servicios a través de la red troncal de Azure. Mediante la asignación de puntos de conexión privados a Azure Data Factory, se reducen los riesgos de pérdida de datos. Más información sobre los vínculos privados en https://docs.microsoft.com/azure/data-factory/data-factory-private-link. | AuditIfNotExists, Disabled | 1.0.0 |
| Los dominios de Azure Event Grid deben usar Private Link | Azure Private Link permite conectar la red virtual a servicios de Azure sin una dirección IP pública en el origen o el destino. La plataforma Private Link administra la conectividad entre el consumidor y los servicios a través de la red troncal de Azure. Mediante la asignación de puntos de conexión privados al dominio de Event Grid en lugar de a todo el servicio, también estará protegido frente a riesgos de pérdida de datos. Más información en: https://aka.ms/privateendpoints. | Audit, Disabled | 1.0.2 |
| Los temas de Azure Event Grid deben usar Private Link | Azure Private Link permite conectar la red virtual a servicios de Azure sin una dirección IP pública en el origen o el destino. La plataforma Private Link administra la conectividad entre el consumidor y los servicios a través de la red troncal de Azure. Mediante la asignación de puntos de conexión privados al tema de Event Grid en lugar de a todo el servicio, estará además protegido frente a riesgos de pérdida de datos. Más información en: https://aka.ms/privateendpoints. | Audit, Disabled | 1.0.2 |
| Azure File Sync debe usar Private Link | Si crea un punto de conexión privado para el recurso del servicio de sincronización de almacenamiento indicado, podrá dirigirse al recurso del servicio de sincronización de almacenamiento desde el espacio de direcciones IP privadas de la red de la organización, en lugar de hacerlo a través del punto de conexión público accesible desde Internet. La creación de un punto de conexión privado por sí mismo no deshabilita el punto de conexión público. | AuditIfNotExists, Disabled | 1.0.0 |
| Las áreas de trabajo de Azure Machine Learning deben usar un vínculo privado. | Azure Private Link permite conectar la red virtual a servicios de Azure sin una dirección IP pública en el origen o el destino. La plataforma Private Link administra la conectividad entre el consumidor y los servicios a través de la red troncal de Azure. Mediante la asignación de puntos de conexión privados a áreas de trabajo de Azure Machine Learning, se reducen los riesgos de pérdida de datos. Más información sobre los vínculos privados en https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link. | Audit, Disabled | 1.0.0 |
| Los espacios de nombres de Azure Service Bus deben usar Private Link | Azure Private Link permite conectar la red virtual a servicios de Azure sin una dirección IP pública en el origen o el destino. La plataforma Private Link administra la conectividad entre el consumidor y los servicios a través de la red troncal de Azure. Mediante la asignación de puntos de conexión privados a los espacios de nombres de Service Bus, se reducen los riesgos de pérdida de datos. Más información en: https://docs.microsoft.com/azure/service-bus-messaging/private-link-service. | AuditIfNotExists, Disabled | 1.0.0 |
| Azure SignalR Service debe usar Private Link | Azure Private Link permite conectar la red virtual a servicios de Azure sin una dirección IP pública en el origen o el destino. La plataforma Private Link administra la conectividad entre el consumidor y los servicios a través de la red troncal de Azure. Mediante la asignación de puntos de conexión privados a su recurso de Azure SignalR Service en lugar todo el servicio, reducirá los riesgos de pérdida de datos. Más información sobre los vínculos privados en https://aka.ms/asrs/privatelink. | Audit, Disabled | 1.0.0 |
| Las áreas de trabajo de Azure Synapse deben usar Private Link | Azure Private Link permite conectar la red virtual a servicios de Azure sin una dirección IP pública en el origen o el destino. La plataforma Private Link administra la conectividad entre el consumidor y los servicios a través de la red troncal de Azure. Mediante la asignación de puntos de conexión privados al área de trabajo de Azure Synapse, se reducen los riesgos de pérdida de datos. Más información sobre los vínculos privados en https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-with-private-links. | Audit, Disabled | 1.0.1 |
| Cognitive Services debe usar un vínculo privado | Azure Private Link permite conectar las redes virtuales a los servicios de Azure sin una dirección IP pública en el origen o el destino. La plataforma Private Link administra la conectividad entre el consumidor y los servicios a través de la red troncal de Azure. Al asignar puntos de conexión privados a Cognitive Services, reducirá la posibilidad de pérdida de datos. Más información sobre los vínculos privados en https://go.microsoft.com/fwlink/?linkid=2129800. | Audit, Disabled | 3.0.0 |
| Las instancias de Container Registry deben usar Private Link | Azure Private Link permite conectar la red virtual a servicios de Azure sin una dirección IP pública en el origen o el destino. La plataforma Private Link controla la conectividad entre el consumidor y los servicios a través de la red troncal de Azure. Al asignar puntos de conexión privados a las instancias de Container Registry en lugar de a todo el servicio, además se protege frente a riesgos de pérdida de datos. Más información en: https://aka.ms/acr/private-link. | Audit, Disabled | 1.0.1 |
| Las cuentas de CosmosDB deben usar Private Link | Azure Private Link permite conectar la red virtual a servicios de Azure sin una dirección IP pública en el origen o el destino. La plataforma Private Link administra la conectividad entre el consumidor y los servicios a través de la red troncal de Azure. Al asignar puntos de conexión privados a su cuenta de CosmosDB, se reduce el riesgo de pérdida de datos. Más información sobre los vínculos privados en https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints. | Audit, Disabled | 1.0.0 |
| Implementar la extensión de configuración de invitado de Linux para permitir las asignaciones de configuración de invitado en máquinas virtuales Linux | Esta directiva implementa la extensión de configuración de invitado de Linux en las máquinas virtuales Linux hospedadas en Azure que son compatibles con la configuración de invitado. La extensión de configuración de invitado de Linux es un requisito previo para todas las asignaciones de configuración de invitado de Linux y debe implementarse en las máquinas antes de usar cualquier definición de directiva de configuración de invitado de Linux. Para más información sobre la configuración de invitado, visite https://aka.ms/gcpol. | deployIfNotExists | 1.4.0 |
| Implementar la extensión de configuración de invitado de Windows para permitir las asignaciones de configuración de invitado en máquinas virtuales Windows | Esta directiva implementa la extensión de configuración de invitado de Windows en las máquinas virtuales Windows hospedadas en Azure que son compatibles con la configuración de invitado. La extensión de configuración de invitado de Windows es un requisito previo para todas las asignaciones de configuración de invitado de Windows y debe implementarse en las máquinas antes de usar cualquier definición de directiva de configuración de invitado de Windows. Para más información sobre la configuración de invitado, visite https://aka.ms/gcpol. | deployIfNotExists | 1.2.0 |
| Los recursos de acceso al disco deben usar un vínculo privado | Azure Private Link permite conectar la red virtual a servicios de Azure sin una dirección IP pública en el origen o el destino. La plataforma Private Link administra la conectividad entre el consumidor y los servicios a través de la red troncal de Azure. Al asignar puntos de conexión privados a diskAccesses, se reduce el riesgo de pérdida de datos. Más información sobre los vínculos privados en https://aka.ms/disksprivatelinksdoc. | AuditIfNotExists, Disabled | 1.0.0 |
| Los espacios de nombres del centro de eventos deben usar Private Link | Azure Private Link permite conectar la red virtual a servicios de Azure sin una dirección IP pública en el origen o el destino. La plataforma Private Link administra la conectividad entre el consumidor y los servicios a través de la red troncal de Azure. Mediante la asignación de puntos de conexión privados a los espacios de nombres del centro de eventos, se reducen los riesgos de pérdida de datos. Más información en: https://docs.microsoft.com/azure/event-hubs/private-link-service. | AuditIfNotExists, Disabled | 1.0.0 |
| Las aplicaciones de funciones deben tener la depuración remota desactivada | La depuración remota requiere que se abran puertos de entrada en las aplicaciones de funciones. Se debe desactivar la depuración remota. | AuditIfNotExists, Disabled | 2.0.0 |
| Las instancias del servicio de aprovisionamiento de dispositivos de IoT Hub deben usar Private Link | Azure Private Link permite conectar la red virtual a servicios de Azure sin una dirección IP pública en el origen o el destino. La plataforma Private Link administra la conectividad entre el consumidor y los servicios a través de la red troncal de Azure. Mediante la asignación de puntos de conexión privados al servicio de aprovisionamiento de dispositivos de IoT Hub, se reducen los riesgos de pérdida de datos. Más información sobre los vínculos privados en https://aka.ms/iotdpsvnet. | Audit, Disabled | 1.0.0 |
| Control administrado por Microsoft 1059: acceso remoto | Microsoft implementa este control de Access Control | auditoría | 1.0.0 |
| Control administrado por Microsoft 1060: acceso remoto | Microsoft implementa este control de Access Control | auditoría | 1.0.0 |
| Las conexiones de punto de conexión privado en Azure SQL Database deben estar habilitadas | Las conexiones de punto de conexión privado garantizan una comunicación segura al habilitar la conectividad privada con Azure SQL Database. | Audit, Disabled | 1.1.0 |
| Se debe restringir el acceso de red a las cuentas de almacenamiento | El acceso de red a las cuentas de almacenamiento debe estar restringido. Configure reglas de red, solo las aplicaciones de redes permitidas pueden acceder a la cuenta de almacenamiento. Para permitir conexiones desde clientes específicos locales o de Internet, se puede conceder acceso al tráfico procedente de redes virtuales de Azure específicas o a intervalos de direcciones IP de Internet públicas. | Audit, Deny, Disabled | 1.1.1 |
| Las cuentas de almacenamiento deben usar un vínculo privado. | Azure Private Link permite conectar la red virtual a servicios de Azure sin una dirección IP pública en el origen o el destino. La plataforma Private Link administra la conectividad entre el consumidor y los servicios a través de la red troncal de Azure. Al asignar puntos de conexión privados a su cuenta de almacenamiento, se reduce el riesgo de pérdida de datos. Más información sobre los vínculos privados en https://aka.ms/azureprivatelinkoverview. | AuditIfNotExists, Disabled | 2.0.0 |
Supervisión y control automatizados
Id.: NIST SP 800-53 Rev. 4 AC-17 (1) Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Agregar una identidad administrada asignada por el sistema para habilitar las asignaciones de configuración de invitado en máquinas virtuales sin identidades | Esta directiva agrega una identidad administrada asignada por el sistema a las máquinas virtuales hospedadas en Azure que son compatibles con la configuración de invitado pero no tienen identidades administradas. Una identidad administrada asignada por el sistema es un requisito previo para todas las asignaciones de configuración de invitado y debe agregarse a los equipos antes de usar las definiciones de directiva de la configuración de invitado. Para más información sobre la configuración de invitado, visite https://aka.ms/gcpol. | modify | 1.3.0 |
| Agregar una identidad administrada asignada por el sistema para habilitar las asignaciones de configuración de invitado en máquinas virtuales con una identidad asignada por el usuario | Esta directiva agrega una identidad administrada asignada por el sistema a las máquinas virtuales hospedadas en Azure que son compatibles con la configuración de invitado y que tienen al menos una identidad asignada por el usuario, pero no tienen ninguna identidad administrada asignada por el sistema. Una identidad administrada asignada por el sistema es un requisito previo para todas las asignaciones de configuración de invitado y debe agregarse a los equipos antes de usar las definiciones de directiva de la configuración de invitado. Para más información sobre la configuración de invitado, visite https://aka.ms/gcpol. | modify | 1.3.0 |
| App Configuration debe usar Private Link | Azure Private Link permite conectar la red virtual a servicios de Azure sin una dirección IP pública en el origen o el destino. La plataforma Private Link administra la conectividad entre el consumidor y los servicios a través de la red troncal de Azure. Mediante la asignación de puntos de conexión privados a las instancias de App Configuration en lugar de a todo el servicio, además se protege frente a riesgos de pérdida de datos. Más información en: https://aka.ms/appconfig/private-endpoint. | AuditIfNotExists, Disabled | 1.0.2 |
| Las aplicaciones de App Service deben tener la depuración remota desactivada | La depuración remota requiere que se abran puertos de entrada en una aplicación de App Service. Se debe desactivar la depuración remota. | AuditIfNotExists, Disabled | 2.0.0 |
| Auditar las máquinas Linux que permitan conexiones remotas desde cuentas sin contraseña | Requiere que los requisitos previos se implementen en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. Las máquinas no son compatibles si las máquinas Linux permiten la conexión remota de cuentas sin contraseña. | AuditIfNotExists, Disabled | 1.4.0 |
| Azure Cache for Redis debe usar Private Link | Los puntos de conexión privados le permiten conectar la red virtual a los servicios de Azure sin una dirección IP pública en el origen o el destino. Al asignar puntos de conexión privados a las instancias de Azure Cache for Redis, se reduce el riesgo de pérdida de datos. Más información en: https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link. | AuditIfNotExists, Disabled | 1.0.0 |
| El servicio Azure Cognitive Search debe usar una SKU que admita Private Link | Con las SKU admitidas de Azure Cognitive Search, Azure Private Link permite conectar la red virtual a los servicios de Azure sin una dirección IP pública en el origen o el destino. La plataforma Private Link administra la conectividad entre el consumidor y los servicios a través de la red troncal de Azure. Al asignar puntos de conexión privados a su servicio Search, se reduce el riesgo de pérdida de datos. Más información en: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Audit, Deny, Disabled | 1.0.0 |
| Los servicios de Azure Cognitive Search deben usar un vínculo privado. | Azure Private Link permite conectar la red virtual a servicios de Azure sin una dirección IP pública en el origen o el destino. La plataforma Private Link administra la conectividad entre el consumidor y los servicios a través de la red troncal de Azure. Mediante la asignación de puntos de conexión privados a Azure Cognitive Search, se reducen los riesgos de pérdida de datos. Más información sobre los vínculos privados en https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Audit, Disabled | 1.0.0 |
| Azure Data Factory debe usar Private Link | Azure Private Link permite conectar la red virtual a servicios de Azure sin una dirección IP pública en el origen o el destino. La plataforma Private Link administra la conectividad entre el consumidor y los servicios a través de la red troncal de Azure. Mediante la asignación de puntos de conexión privados a Azure Data Factory, se reducen los riesgos de pérdida de datos. Más información sobre los vínculos privados en https://docs.microsoft.com/azure/data-factory/data-factory-private-link. | AuditIfNotExists, Disabled | 1.0.0 |
| Los dominios de Azure Event Grid deben usar Private Link | Azure Private Link permite conectar la red virtual a servicios de Azure sin una dirección IP pública en el origen o el destino. La plataforma Private Link administra la conectividad entre el consumidor y los servicios a través de la red troncal de Azure. Mediante la asignación de puntos de conexión privados al dominio de Event Grid en lugar de a todo el servicio, también estará protegido frente a riesgos de pérdida de datos. Más información en: https://aka.ms/privateendpoints. | Audit, Disabled | 1.0.2 |
| Los temas de Azure Event Grid deben usar Private Link | Azure Private Link permite conectar la red virtual a servicios de Azure sin una dirección IP pública en el origen o el destino. La plataforma Private Link administra la conectividad entre el consumidor y los servicios a través de la red troncal de Azure. Mediante la asignación de puntos de conexión privados al tema de Event Grid en lugar de a todo el servicio, estará además protegido frente a riesgos de pérdida de datos. Más información en: https://aka.ms/privateendpoints. | Audit, Disabled | 1.0.2 |
| Azure File Sync debe usar Private Link | Si crea un punto de conexión privado para el recurso del servicio de sincronización de almacenamiento indicado, podrá dirigirse al recurso del servicio de sincronización de almacenamiento desde el espacio de direcciones IP privadas de la red de la organización, en lugar de hacerlo a través del punto de conexión público accesible desde Internet. La creación de un punto de conexión privado por sí mismo no deshabilita el punto de conexión público. | AuditIfNotExists, Disabled | 1.0.0 |
| Las áreas de trabajo de Azure Machine Learning deben usar un vínculo privado. | Azure Private Link permite conectar la red virtual a servicios de Azure sin una dirección IP pública en el origen o el destino. La plataforma Private Link administra la conectividad entre el consumidor y los servicios a través de la red troncal de Azure. Mediante la asignación de puntos de conexión privados a áreas de trabajo de Azure Machine Learning, se reducen los riesgos de pérdida de datos. Más información sobre los vínculos privados en https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link. | Audit, Disabled | 1.0.0 |
| Los espacios de nombres de Azure Service Bus deben usar Private Link | Azure Private Link permite conectar la red virtual a servicios de Azure sin una dirección IP pública en el origen o el destino. La plataforma Private Link administra la conectividad entre el consumidor y los servicios a través de la red troncal de Azure. Mediante la asignación de puntos de conexión privados a los espacios de nombres de Service Bus, se reducen los riesgos de pérdida de datos. Más información en: https://docs.microsoft.com/azure/service-bus-messaging/private-link-service. | AuditIfNotExists, Disabled | 1.0.0 |
| Azure SignalR Service debe usar Private Link | Azure Private Link permite conectar la red virtual a servicios de Azure sin una dirección IP pública en el origen o el destino. La plataforma Private Link administra la conectividad entre el consumidor y los servicios a través de la red troncal de Azure. Mediante la asignación de puntos de conexión privados a su recurso de Azure SignalR Service en lugar todo el servicio, reducirá los riesgos de pérdida de datos. Más información sobre los vínculos privados en https://aka.ms/asrs/privatelink. | Audit, Disabled | 1.0.0 |
| Las áreas de trabajo de Azure Synapse deben usar Private Link | Azure Private Link permite conectar la red virtual a servicios de Azure sin una dirección IP pública en el origen o el destino. La plataforma Private Link administra la conectividad entre el consumidor y los servicios a través de la red troncal de Azure. Mediante la asignación de puntos de conexión privados al área de trabajo de Azure Synapse, se reducen los riesgos de pérdida de datos. Más información sobre los vínculos privados en https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-with-private-links. | Audit, Disabled | 1.0.1 |
| Cognitive Services debe usar un vínculo privado | Azure Private Link permite conectar las redes virtuales a los servicios de Azure sin una dirección IP pública en el origen o el destino. La plataforma Private Link administra la conectividad entre el consumidor y los servicios a través de la red troncal de Azure. Al asignar puntos de conexión privados a Cognitive Services, reducirá la posibilidad de pérdida de datos. Más información sobre los vínculos privados en https://go.microsoft.com/fwlink/?linkid=2129800. | Audit, Disabled | 3.0.0 |
| Las instancias de Container Registry deben usar Private Link | Azure Private Link permite conectar la red virtual a servicios de Azure sin una dirección IP pública en el origen o el destino. La plataforma Private Link controla la conectividad entre el consumidor y los servicios a través de la red troncal de Azure. Al asignar puntos de conexión privados a las instancias de Container Registry en lugar de a todo el servicio, además se protege frente a riesgos de pérdida de datos. Más información en: https://aka.ms/acr/private-link. | Audit, Disabled | 1.0.1 |
| Las cuentas de CosmosDB deben usar Private Link | Azure Private Link permite conectar la red virtual a servicios de Azure sin una dirección IP pública en el origen o el destino. La plataforma Private Link administra la conectividad entre el consumidor y los servicios a través de la red troncal de Azure. Al asignar puntos de conexión privados a su cuenta de CosmosDB, se reduce el riesgo de pérdida de datos. Más información sobre los vínculos privados en https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints. | Audit, Disabled | 1.0.0 |
| Implementar la extensión de configuración de invitado de Linux para permitir las asignaciones de configuración de invitado en máquinas virtuales Linux | Esta directiva implementa la extensión de configuración de invitado de Linux en las máquinas virtuales Linux hospedadas en Azure que son compatibles con la configuración de invitado. La extensión de configuración de invitado de Linux es un requisito previo para todas las asignaciones de configuración de invitado de Linux y debe implementarse en las máquinas antes de usar cualquier definición de directiva de configuración de invitado de Linux. Para más información sobre la configuración de invitado, visite https://aka.ms/gcpol. | deployIfNotExists | 1.4.0 |
| Implementar la extensión de configuración de invitado de Windows para permitir las asignaciones de configuración de invitado en máquinas virtuales Windows | Esta directiva implementa la extensión de configuración de invitado de Windows en las máquinas virtuales Windows hospedadas en Azure que son compatibles con la configuración de invitado. La extensión de configuración de invitado de Windows es un requisito previo para todas las asignaciones de configuración de invitado de Windows y debe implementarse en las máquinas antes de usar cualquier definición de directiva de configuración de invitado de Windows. Para más información sobre la configuración de invitado, visite https://aka.ms/gcpol. | deployIfNotExists | 1.2.0 |
| Los recursos de acceso al disco deben usar un vínculo privado | Azure Private Link permite conectar la red virtual a servicios de Azure sin una dirección IP pública en el origen o el destino. La plataforma Private Link administra la conectividad entre el consumidor y los servicios a través de la red troncal de Azure. Al asignar puntos de conexión privados a diskAccesses, se reduce el riesgo de pérdida de datos. Más información sobre los vínculos privados en https://aka.ms/disksprivatelinksdoc. | AuditIfNotExists, Disabled | 1.0.0 |
| Los espacios de nombres del centro de eventos deben usar Private Link | Azure Private Link permite conectar la red virtual a servicios de Azure sin una dirección IP pública en el origen o el destino. La plataforma Private Link administra la conectividad entre el consumidor y los servicios a través de la red troncal de Azure. Mediante la asignación de puntos de conexión privados a los espacios de nombres del centro de eventos, se reducen los riesgos de pérdida de datos. Más información en: https://docs.microsoft.com/azure/event-hubs/private-link-service. | AuditIfNotExists, Disabled | 1.0.0 |
| Las aplicaciones de funciones deben tener la depuración remota desactivada | La depuración remota requiere que se abran puertos de entrada en las aplicaciones de funciones. Se debe desactivar la depuración remota. | AuditIfNotExists, Disabled | 2.0.0 |
| Las instancias del servicio de aprovisionamiento de dispositivos de IoT Hub deben usar Private Link | Azure Private Link permite conectar la red virtual a servicios de Azure sin una dirección IP pública en el origen o el destino. La plataforma Private Link administra la conectividad entre el consumidor y los servicios a través de la red troncal de Azure. Mediante la asignación de puntos de conexión privados al servicio de aprovisionamiento de dispositivos de IoT Hub, se reducen los riesgos de pérdida de datos. Más información sobre los vínculos privados en https://aka.ms/iotdpsvnet. | Audit, Disabled | 1.0.0 |
| Control administrado por Microsoft 1061: acceso remoto |Supervisión o control automatizados | Microsoft implementa este control de Access Control | auditoría | 1.0.0 |
| Las conexiones de punto de conexión privado en Azure SQL Database deben estar habilitadas | Las conexiones de punto de conexión privado garantizan una comunicación segura al habilitar la conectividad privada con Azure SQL Database. | Audit, Disabled | 1.1.0 |
| Se debe restringir el acceso de red a las cuentas de almacenamiento | El acceso de red a las cuentas de almacenamiento debe estar restringido. Configure reglas de red, solo las aplicaciones de redes permitidas pueden acceder a la cuenta de almacenamiento. Para permitir conexiones desde clientes específicos locales o de Internet, se puede conceder acceso al tráfico procedente de redes virtuales de Azure específicas o a intervalos de direcciones IP de Internet públicas. | Audit, Deny, Disabled | 1.1.1 |
| Las cuentas de almacenamiento deben usar un vínculo privado. | Azure Private Link permite conectar la red virtual a servicios de Azure sin una dirección IP pública en el origen o el destino. La plataforma Private Link administra la conectividad entre el consumidor y los servicios a través de la red troncal de Azure. Al asignar puntos de conexión privados a su cuenta de almacenamiento, se reduce el riesgo de pérdida de datos. Más información sobre los vínculos privados en https://aka.ms/azureprivatelinkoverview. | AuditIfNotExists, Disabled | 2.0.0 |
Protección de confidencialidad e integridad mediante cifrado
Id.: NIST SP 800-53 Rev. 4 AC-17 (2) Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Control administrado por Microsoft 1062: acceso remoto | Protección de confidencialidad e integridad mediante cifrado | Microsoft implementa este control de Access Control | auditoría | 1.0.0 |
Puntos de control de acceso administrados
Id.: NIST SP 800-53 Rev. 4 AC-17 (3) Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Control administrado por Microsoft 1063: acceso remoto | Puntos de control de acceso administrados | Microsoft implementa este control de Access Control | auditoría | 1.0.0 |
Comandos o acceso con privilegios
Id.: NIST SP 800-53 Rev. 4 AC-17 (4) Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Control administrado por Microsoft 1064: acceso remoto | Comandos o acceso con privilegios | Microsoft implementa este control de Access Control | auditoría | 1.0.0 |
| Control administrado por Microsoft 1065: acceso remoto | Comandos o acceso con privilegios | Microsoft implementa este control de Access Control | auditoría | 1.0.0 |
Desconexión o deshabilitación del acceso
Id.: NIST SP 800-53 Rev. 4 AC-17 (9) Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Control administrado por Microsoft 1066: acceso remoto | Desconexión o deshabilitación del acceso | Microsoft implementa este control de Access Control | auditoría | 1.0.0 |
Acceso inalámbrico
Id.: NIST SP 800-53 Rev. 4 AC-18 Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Control administrado por Microsoft 1067: Restricciones de acceso inalámbrico | Microsoft implementa este control de Access Control | auditoría | 1.0.0 |
| Control administrado por Microsoft 1068: Restricciones de acceso inalámbrico | Microsoft implementa este control de Access Control | auditoría | 1.0.0 |
Autenticación y cifrado
Id.: NIST SP 800-53 Rev. 4 AC-18 (1) Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Control administrado por Microsoft 1069: Restricciones de acceso inalámbrico | Autenticación y cifrado | Microsoft implementa este control de Access Control | auditoría | 1.0.0 |
Deshabilitación de redes inalámbricas
Id.: NIST SP 800-53 Rev. 4 AC-18 (3) Propiedad: Microsoft
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Control administrado por Microsoft 1070: Restricciones de acceso inalámbrico | Deshabilitar las redes inalámbricas | Microsoft implementa este control de Access Control | auditoría | 1.0.0 |
Restricción de configuraciones por parte de los usuarios
Id.: NIST SP 800-53 Rev. 4 AC-18 (4) Propiedad: Microsoft
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Control administrado por Microsoft 1071: Restricciones de acceso inalámbrico | Restringir las configuraciones de los usuarios | Microsoft implementa este control de Access Control | auditoría | 1.0.0 |
Niveles de potencia de las antenas y la transmisión
Id.: NIST SP 800-53 Rev. 4 AC-18 (5) Propiedad: Microsoft
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Control administrado por Microsoft 1072: Restricciones de acceso inalámbrico | Niveles de potencia de transmisión y antenas | Microsoft implementa este control de Access Control | auditoría | 1.0.0 |
Control de acceso para los dispositivos móviles
Id.: NIST SP 800-53 Rev. 4 AC-19 Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Control administrado por Microsoft 1073: Access Control para sistemas portátiles y móviles | Microsoft implementa este control de Access Control | auditoría | 1.0.0 |
| Control administrado por Microsoft 1074: Access Control para sistemas portátiles y móviles | Microsoft implementa este control de Access Control | auditoría | 1.0.0 |
Cifrado completo basado en contenedores o dispositivos
Id.: NIST SP 800-53 Rev. 4 AC-19 (5) Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Control administrado por Microsoft 1075: Access Control para sistemas portátiles y móviles | Cifrado de dispositivos completo o basado en contenedores | Microsoft implementa este control de Access Control | auditoría | 1.0.0 |
Uso de sistemas de información externos
Id.: NIST SP 800-53 Rev. 4 AC-20 Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Control administrado por Microsoft 1076: uso de sistemas de información externos | Microsoft implementa este control de Access Control | auditoría | 1.0.0 |
| Control administrado por Microsoft 1077: uso de sistemas de información externos | Microsoft implementa este control de Access Control | auditoría | 1.0.0 |
Límites de uso autorizado
Id.: NIST SP 800-53 Rev. 4 AC-20 (1) Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Control administrado por Microsoft 1078: uso de sistemas de información externos | Límites de uso autorizado | Microsoft implementa este control de Access Control | auditoría | 1.0.0 |
| Control administrado por Microsoft 1079: uso de sistemas de información externos | Límites de uso autorizado | Microsoft implementa este control de Access Control | auditoría | 1.0.0 |
Dispositivos de almacenamiento portátiles
Id.: NIST SP 800-53 Rev. 4 AC-20 (2) Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Control administrado por Microsoft 1080: uso de sistemas de información externos | Dispositivos de almacenamiento portátiles | Microsoft implementa este control de Access Control | auditoría | 1.0.0 |
Uso compartido de la información
Id.: NIST SP 800-53 Rev. 4 AC-21 Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Control administrado por Microsoft 1081: uso compartido de la información | Microsoft implementa este control de Access Control | auditoría | 1.0.0 |
| Control administrado por Microsoft 1082: uso compartido de la información | Microsoft implementa este control de Access Control | auditoría | 1.0.0 |
Contenido de acceso público
Id.: NIST SP 800-53 Rev. 4 AC-22 Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Control administrado por Microsoft 1083: contenido de acceso público | Microsoft implementa este control de Access Control | auditoría | 1.0.0 |
| Control administrado por Microsoft 1084: contenido de acceso público | Microsoft implementa este control de Access Control | auditoría | 1.0.0 |
| Control administrado por Microsoft 1085: contenido de acceso público | Microsoft implementa este control de Access Control | auditoría | 1.0.0 |
| Control administrado por Microsoft 1086: contenido de acceso público | Microsoft implementa este control de Access Control | auditoría | 1.0.0 |
Conocimiento y aprendizaje
Directivas y procedimientos de aprendizaje y concienciación de la seguridad
Id.: NIST SP 800-53 Rev. 4 AT-1 Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Control administrado por Microsoft 1087: procedimientos y directiva de aprendizaje y reconocimiento de seguridad | Microsoft implementa este control de conocimiento y aprendizaje | auditoría | 1.0.0 |
| Control administrado por Microsoft 1088: procedimientos y directiva de aprendizaje y reconocimiento de seguridad | Microsoft implementa este control de conocimiento y aprendizaje | auditoría | 1.0.0 |
Aprendizaje del reconocimiento de la seguridad
Id.: NIST SP 800-53 Rev. 4 AT-2 Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Control administrado por Microsoft 1089: Reconocimiento de la seguridad | Microsoft implementa este control de conocimiento y aprendizaje | auditoría | 1.0.0 |
| Control administrado por Microsoft 1090: Reconocimiento de la seguridad | Microsoft implementa este control de conocimiento y aprendizaje | auditoría | 1.0.0 |
| Control administrado por Microsoft 1091: Reconocimiento de la seguridad | Microsoft implementa este control de conocimiento y aprendizaje | auditoría | 1.0.0 |
Amenaza interna
Id.: NIST SP 800-53 Rev. 4 AT-2 (2) Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Control administrado por Microsoft 1092: Reconocimiento de la seguridad | Amenaza interna | Microsoft implementa este control de conocimiento y aprendizaje | auditoría | 1.0.0 |
Aprendizaje de seguridad basado en roles
Id.: NIST SP 800-53 Rev. 4 AT-3 Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Control administrado por Microsoft 1093: aprendizaje de seguridad basada en roles | Microsoft implementa este control de conocimiento y aprendizaje | auditoría | 1.0.0 |
| Control administrado por Microsoft 1094: aprendizaje de seguridad basada en roles | Microsoft implementa este control de conocimiento y aprendizaje | auditoría | 1.0.0 |
| Control administrado por Microsoft 1095: aprendizaje de seguridad basada en roles | Microsoft implementa este control de conocimiento y aprendizaje | auditoría | 1.0.0 |
Ejercicios prácticos
Id.: NIST SP 800-53 Rev. 4 AT-3 (3) Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Control administrado por Microsoft 1096: aprendizaje de seguridad basada en roles | Ejercicios prácticos | Microsoft implementa este control de conocimiento y aprendizaje | auditoría | 1.0.0 |
Comunicaciones sospechosas y comportamiento anómalo del sistema
Id.: NIST SP 800-53 Rev. 4 AT-3 (4) Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Control administrado por Microsoft 1097: aprendizaje de seguridad basada en roles | Comunicaciones sospechosas y comportamiento anómalo del sistema | Microsoft implementa este control de conocimiento y aprendizaje | auditoría | 1.0.0 |
Registros de aprendizaje de seguridad
Id.: NIST SP 800-53 Rev. 4 AT-4 Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Control administrado por Microsoft 1098: registros de aprendizaje de seguridad | Microsoft implementa este control de conocimiento y aprendizaje | auditoría | 1.0.0 |
| Control administrado por Microsoft 1099: registros de aprendizaje de seguridad | Microsoft implementa este control de conocimiento y aprendizaje | auditoría | 1.0.0 |
Auditoría y responsabilidad
Procedimientos y directivas de auditoría y rendición de cuentas
Id.: NIST SP 800-53 Rev. 4 AU-1 Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Control administrado por Microsoft 1100: procedimientos y directivas de auditoría y rendición de cuentas | Microsoft implementa este control de auditoría y rendición de cuentas | auditoría | 1.0.0 |
| Control administrado por Microsoft 1101: procedimientos y directivas de auditoría y rendición de cuentas | Microsoft implementa este control de auditoría y rendición de cuentas | auditoría | 1.0.0 |
Auditoría de eventos
Id.: NIST SP 800-53 Rev. 4 AU-2 Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Control administrado por Microsoft 1102: eventos de auditoría | Microsoft implementa este control de auditoría y rendición de cuentas | auditoría | 1.0.0 |
| Control administrado por Microsoft 1103: eventos de auditoría | Microsoft implementa este control de auditoría y rendición de cuentas | auditoría | 1.0.0 |
| Control administrado por Microsoft 1104: eventos de auditoría | Microsoft implementa este control de auditoría y rendición de cuentas | auditoría | 1.0.0 |
| Control administrado por Microsoft 1105: eventos de auditoría | Microsoft implementa este control de auditoría y rendición de cuentas | auditoría | 1.0.0 |
Revisiones y actualizaciones
Id.: NIST SP 800-53 Rev. 4 AU-2 (3) Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Control administrado por Microsoft 1106: eventos de auditoría | Revisiones y actualizaciones | Microsoft implementa este control de auditoría y rendición de cuentas | auditoría | 1.0.0 |
Contenido de los registros de auditoría
Id.: NIST SP 800-53 Rev. 4 AU-3 Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Control administrado por Microsoft 1107: contenido de los registros de auditoría | Microsoft implementa este control de auditoría y rendición de cuentas | auditoría | 1.0.0 |
Información de auditoría adicional
Id.: NIST SP 800-53 Rev. 4 AU-3 (1) Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Control administrado por Microsoft 1108: contenido de los registros de auditoría | Información de auditoría adicional | Microsoft implementa este control de auditoría y rendición de cuentas | auditoría | 1.0.0 |
Administración centralizada del contenido de registros de auditoría planificados
Id.: NIST SP 800-53 Rev. 4 AU-3 (2) Propiedad: Microsoft
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Control administrado por Microsoft 1109: contenido de los registros de auditoría | Administración centralizada del contenido de registros de auditoría planificados | Microsoft implementa este control de auditoría y rendición de cuentas | auditoría | 1.0.0 |
Capacidad de almacenamiento de auditoría
Id.: NIST SP 800-53 Rev. 4 AU-4 Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Control administrado por Microsoft 1110: auditoría de la capacidad de almacenamiento | Microsoft implementa este control de auditoría y rendición de cuentas | auditoría | 1.0.0 |
Respuesta a errores de procesamiento de auditoría
Id.: NIST SP 800-53 Rev. 4 AU-5 Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Control administrado por Microsoft 1111: respuesta a errores de procesamiento de auditoría | Microsoft implementa este control de auditoría y rendición de cuentas | auditoría | 1.0.0 |
| Control administrado por Microsoft 1112: respuesta a errores de procesamiento de auditoría | Microsoft implementa este control de auditoría y rendición de cuentas | auditoría | 1.0.0 |
Capacidad de almacenamiento de auditoría
Id.: NIST SP 800-53 Rev. 4 AU-5 (1) Propiedad: Microsoft
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Control administrado por Microsoft 1113: respuesta a errores de procesamiento de auditoría | Capacidad de almacenamiento de auditoría | Microsoft implementa este control de auditoría y rendición de cuentas | auditoría | 1.0.0 |
Alertas en tiempo real
Id.: NIST SP 800-53 Rev. 4 AU-5 (2) Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Control administrado por Microsoft 1114: respuesta de errores de procesamiento de auditoría | Alertas en tiempo real | Microsoft implementa este control de auditoría y rendición de cuentas | auditoría | 1.0.0 |
Revisión, análisis e informes de auditoría
Id.: NIST SP 800-53 Rev. 4 AU-6 Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| [Versión preliminar]: Los clústeres de Kubernetes con Azure Arc habilitado deben tener instalada la extensión de Microsoft Defender for Cloud | La extensión Microsoft Defender for Cloud para Azure Arc proporciona protección contra amenazas para los clústeres de Kubernetes habilitados para Arc. La extensión recopila datos de todos los nodos del clúster y los envía al back-end de Azure Defender para Kubernetes en la nube para su posterior análisis. Puede encontrar más información en https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc. | AuditIfNotExists, Disabled | 4.0.1-preview |
| [Versión preliminar]: el agente de recopilación de datos de tráfico de red debe instalarse en máquinas virtuales Linux | Security Center usa Microsoft Dependency Agent para recopilar datos del tráfico de red de sus máquinas virtuales de Azure y así poder habilitar características avanzadas de protección de red, como la visualización del tráfico en el mapa de red, las recomendaciones de refuerzo de la red y las amenazas de red específicas. | AuditIfNotExists, Disabled | 1.0.2-preview |
| [Versión preliminar]: el agente de recopilación de datos de tráfico de red debe instalarse en las máquinas virtuales Windows | Security Center usa Microsoft Dependency Agent para recopilar datos del tráfico de red de sus máquinas virtuales de Azure y así poder habilitar características avanzadas de protección de red, como la visualización del tráfico en el mapa de red, las recomendaciones de refuerzo de la red y las amenazas de red específicas. | AuditIfNotExists, Disabled | 1.0.2-preview |
| Se debe habilitar Azure Defender para servidores de Azure SQL Database | Azure Defender para SQL proporciona funcionalidad para mostrar y mitigar posibles vulnerabilidades de base de datos, detectar actividades anómalas que podrían indicar amenazas para bases de datos SQL, y detectar y clasificar datos confidenciales. | AuditIfNotExists, Disabled | 1.0.2 |
| Se debe habilitar Azure Defender para Resource Manager | Azure Defender para Resource Manager supervisa automáticamente las operaciones de administración de recursos de la organización. Azure Defender detecta amenazas y alerta sobre actividades sospechosas. Obtenga más información sobre las funcionalidades de Azure Defender para Resource Manager en https://aka.ms/defender-for-resource-manager. La habilitación de este plan de Azure Defender conlleva cargos. Obtenga información sobre los detalles de los precios por región en la página de precios de Security Center: https://aka.ms/pricing-security-center. | AuditIfNotExists, Disabled | 1.0.0 |
| Se debe habilitar Azure Defender para servidores | Azure Defender para servidores proporciona protección en tiempo real contra amenazas para las cargas de trabajo del servidor y genera recomendaciones de protección, así como alertas sobre la actividad sospechosa. | AuditIfNotExists, Disabled | 1.0.3 |
| Se debe habilitar Azure Defender para SQL en las instancias de Azure SQL Server desprotegidas | Auditoría de los servidores de SQL sin Advanced Data Security | AuditIfNotExists, Disabled | 2.0.1 |
| Azure Defender para SQL debe habilitarse en las instancias de SQL Managed Instances desprotegidas. | Permite auditr cada servicio SQL Managed Instance sin Advanced Data Security. | AuditIfNotExists, Disabled | 1.0.2 |
| Microsoft Defender para contenedores debería estar habilitado | Microsoft Defender para contenedores proporciona protección, evaluación de vulnerabilidades y protecciones en tiempo de ejecución para los entornos de Kubernetes de Azure, híbridos y multinube. | AuditIfNotExists, Disabled | 1.0.0 |
| Microsoft Defender para Storage (Clásico) debe estar habilitado | Microsoft Defender para Storage (Clásico) proporciona detecciones de intentos inusuales y potencialmente dañinos para acceder a las cuentas de almacenamiento o aprovechar alguna vulnerabilidad de seguridad. | AuditIfNotExists, Disabled | 1.0.4 |
| Control administrado por Microsoft 1115: revisión, análisis e informes de auditoría | Microsoft implementa este control de auditoría y rendición de cuentas | auditoría | 1.0.0 |
| Control administrado por Microsoft 1116: revisión, análisis e informes de auditoría | Microsoft implementa este control de auditoría y rendición de cuentas | auditoría | 1.0.0 |
| Network Watcher debe estar habilitado | Network Watcher es un servicio regional que permite supervisar y diagnosticar problemas en un nivel de escenario de red mediante Azure. La supervisión del nivel de escenario permite diagnosticar problemas en una vista de nivel de red de un extremo a otro. Es preciso que se haya creado un grupo de recursos de Network Watcher en todas las regiones en las que haya una red virtual. Si algún grupo de recursos de Network Watcher no está disponible en una región determinada, se habilita una alerta. | AuditIfNotExists, Disabled | 3.0.0 |
Integración de procesos
Id.: NIST SP 800-53 Rev. 4 AU-6 (1) Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Control administrado por Microsoft 1117: revisión, análisis e informes de auditoría | Integración de procesos | Microsoft implementa este control de auditoría y rendición de cuentas | auditoría | 1.0.0 |
Correlación de repositorios de auditoría
Id.: NIST SP 800-53 Rev. 4 AU-6 (3) Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Control administrado por Microsoft 1118: revisión, análisis e informes de auditoría | Correlación de repositorios de auditoría | Microsoft implementa este control de auditoría y rendición de cuentas | auditoría | 1.0.0 |
Revisión y análisis centralizados
Id.: NIST SP 800-53 Rev. 4 AU-6 (4) Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| [Versión preliminar]: Los clústeres de Kubernetes con Azure Arc habilitado deben tener instalada la extensión de Microsoft Defender for Cloud | La extensión Microsoft Defender for Cloud para Azure Arc proporciona protección contra amenazas para los clústeres de Kubernetes habilitados para Arc. La extensión recopila datos de todos los nodos del clúster y los envía al back-end de Azure Defender para Kubernetes en la nube para su posterior análisis. Puede encontrar más información en https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc. | AuditIfNotExists, Disabled | 4.0.1-preview |
| [Versión preliminar]: el agente de recopilación de datos de tráfico de red debe instalarse en máquinas virtuales Linux | Security Center usa Microsoft Dependency Agent para recopilar datos del tráfico de red de sus máquinas virtuales de Azure y así poder habilitar características avanzadas de protección de red, como la visualización del tráfico en el mapa de red, las recomendaciones de refuerzo de la red y las amenazas de red específicas. | AuditIfNotExists, Disabled | 1.0.2-preview |
| [Versión preliminar]: el agente de recopilación de datos de tráfico de red debe instalarse en las máquinas virtuales Windows | Security Center usa Microsoft Dependency Agent para recopilar datos del tráfico de red de sus máquinas virtuales de Azure y así poder habilitar características avanzadas de protección de red, como la visualización del tráfico en el mapa de red, las recomendaciones de refuerzo de la red y las amenazas de red específicas. | AuditIfNotExists, Disabled | 1.0.2-preview |
| Las aplicaciones de App Service deben tener activados los registros de recursos | Audite la habilitación de los registros de recursos en la aplicación. Esto le permite volver a crear seguimientos de actividad con fines de investigación si se produce un incidente de seguridad o se pone en peligro la red. | AuditIfNotExists, Disabled | 2.0.1 |
| La auditoría de SQL Server debe estar habilitada | La auditoría debe estar habilitada en SQL Server para realizar un seguimiento de las actividades de todas las bases de datos del servidor y guardarlas en un registro de auditoría. | AuditIfNotExists, Disabled | 2.0.0 |
| El aprovisionamiento automático del agente de Log Analytics debe estar habilitado en la suscripción | A fin de supervisar las amenazas y vulnerabilidades de seguridad, Azure Security Center recopila datos de las máquinas virtuales de Azure. El agente de Log Analytics, anteriormente conocido como Microsoft Monitoring Agent (MMA), recopila los datos al leer distintas configuraciones relacionadas con la seguridad y distintos registros de eventos de la máquina y copiar los datos en el área de trabajo de Log Analytics para analizarlos. Se recomienda habilitar el aprovisionamiento automático para implementar automáticamente el agente en todas las máquinas virtuales de Azure admitidas y en las nuevas que se creen. | AuditIfNotExists, Disabled | 1.0.1 |
| Se debe habilitar Azure Defender para servidores de Azure SQL Database | Azure Defender para SQL proporciona funcionalidad para mostrar y mitigar posibles vulnerabilidades de base de datos, detectar actividades anómalas que podrían indicar amenazas para bases de datos SQL, y detectar y clasificar datos confidenciales. | AuditIfNotExists, Disabled | 1.0.2 |
| Se debe habilitar Azure Defender para Resource Manager | Azure Defender para Resource Manager supervisa automáticamente las operaciones de administración de recursos de la organización. Azure Defender detecta amenazas y alerta sobre actividades sospechosas. Obtenga más información sobre las funcionalidades de Azure Defender para Resource Manager en https://aka.ms/defender-for-resource-manager. La habilitación de este plan de Azure Defender conlleva cargos. Obtenga información sobre los detalles de los precios por región en la página de precios de Security Center: https://aka.ms/pricing-security-center. | AuditIfNotExists, Disabled | 1.0.0 |
| Se debe habilitar Azure Defender para servidores | Azure Defender para servidores proporciona protección en tiempo real contra amenazas para las cargas de trabajo del servidor y genera recomendaciones de protección, así como alertas sobre la actividad sospechosa. | AuditIfNotExists, Disabled | 1.0.3 |
| Se debe habilitar Azure Defender para SQL en las instancias de Azure SQL Server desprotegidas | Auditoría de los servidores de SQL sin Advanced Data Security | AuditIfNotExists, Disabled | 2.0.1 |
| Azure Defender para SQL debe habilitarse en las instancias de SQL Managed Instances desprotegidas. | Permite auditr cada servicio SQL Managed Instance sin Advanced Data Security. | AuditIfNotExists, Disabled | 1.0.2 |
| La extensión "Configuración de invitado" debe estar instalada en las máquinas. | Para garantizar la seguridad de la configuración de invitado, instale la extensión "Configuración de invitado". La configuración de invitado supervisada en la extensión engloba la configuración del sistema operativo, la configuración o presencia de las aplicaciones y la configuración del entorno. Una vez instaladas, las directivas de invitado estarán disponibles como "La protección contra vulnerabilidades de Windows debe estar habilitada.". Obtenga más información en https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 1.0.2 |
| El agente de Log Analytics debe instalarse en la máquina virtual para la supervisión de Azure Security Center. | Esta directiva audita cualquier máquina virtual Windows o Linux si el agente de Log Analytics no está instalado y Security Center la utiliza para supervisar las amenazas y vulnerabilidades de seguridad | AuditIfNotExists, Disabled | 1.0.0 |
| El agente de Log Analytics debe instalarse en sus conjuntos de escalado de máquinas virtuales para supervisar Azure Security Center. | Security Center recopila datos de las máquinas virtuales de Azure para supervisar las amenazas y vulnerabilidades de la seguridad. | AuditIfNotExists, Disabled | 1.0.0 |
| Microsoft Defender para contenedores debería estar habilitado | Microsoft Defender para contenedores proporciona protección, evaluación de vulnerabilidades y protecciones en tiempo de ejecución para los entornos de Kubernetes de Azure, híbridos y multinube. | AuditIfNotExists, Disabled | 1.0.0 |
| Microsoft Defender para Storage (Clásico) debe estar habilitado | Microsoft Defender para Storage (Clásico) proporciona detecciones de intentos inusuales y potencialmente dañinos para acceder a las cuentas de almacenamiento o aprovechar alguna vulnerabilidad de seguridad. | AuditIfNotExists, Disabled | 1.0.4 |
| Control administrado por Microsoft 1119: revisión, análisis e informes de auditoría | Revisión y análisis centralizados | Microsoft implementa este control de auditoría y rendición de cuentas | auditoría | 1.0.0 |
| Network Watcher debe estar habilitado | Network Watcher es un servicio regional que permite supervisar y diagnosticar problemas en un nivel de escenario de red mediante Azure. La supervisión del nivel de escenario permite diagnosticar problemas en una vista de nivel de red de un extremo a otro. Es preciso que se haya creado un grupo de recursos de Network Watcher en todas las regiones en las que haya una red virtual. Si algún grupo de recursos de Network Watcher no está disponible en una región determinada, se habilita una alerta. | AuditIfNotExists, Disabled | 3.0.0 |
| Los registros de recursos de Azure Data Lake Store deben estar habilitados. | Habilitación de la auditoría de los registros de recursos. Esto le permite volver a crear seguimientos de actividad con fines de investigación en caso de incidente de seguridad o riesgo para la red. | AuditIfNotExists, Disabled | 5.0.0 |
| Los registros de recursos de Azure Stream Analytics deben estar habilitados. | Habilitación de la auditoría de los registros de recursos. Esto le permite volver a crear seguimientos de actividad con fines de investigación en caso de incidente de seguridad o riesgo para la red. | AuditIfNotExists, Disabled | 5.0.0 |
| Los registros de recursos de las cuentas de Batch deben estar habilitados. | Habilitación de la auditoría de los registros de recursos. Esto le permite volver a crear seguimientos de actividad con fines de investigación en caso de incidente de seguridad o riesgo para la red. | AuditIfNotExists, Disabled | 5.0.0 |
| Los registros de recursos de Data Lake Analytics deben estar habilitados | Habilitación de la auditoría de los registros de recursos. Esto le permite volver a crear seguimientos de actividad con fines de investigación en caso de incidente de seguridad o riesgo para la red. | AuditIfNotExists, Disabled | 5.0.0 |
| Los registros de recursos de la instancia de Event Hubs deben estar habilitados. | Habilitación de la auditoría de los registros de recursos. Esto le permite volver a crear seguimientos de actividad con fines de investigación en caso de incidente de seguridad o riesgo para la red. | AuditIfNotExists, Disabled | 5.0.0 |
| Los registros de recursos de Key Vault deben estar habilitados | Habilitación de la auditoría de los registros de recursos. De esta forma, puede volver a crear seguimientos de actividad con fines de investigación en caso de incidentes de seguridad o riesgos para la red. | AuditIfNotExists, Disabled | 5.0.0 |
| Los registros de recursos de Logic Apps deben estar habilitados | Habilitación de la auditoría de los registros de recursos. Esto le permite volver a crear seguimientos de actividad con fines de investigación en caso de incidente de seguridad o riesgo para la red. | AuditIfNotExists, Disabled | 5.1.0 |
| Los registros de recursos de los servicios Search deben estar habilitados. | Habilitación de la auditoría de los registros de recursos. Esto le permite volver a crear seguimientos de actividad con fines de investigación en caso de incidente de seguridad o riesgo para la red. | AuditIfNotExists, Disabled | 5.0.0 |
| Los registros de recursos de Service Bus deben estar habilitados | Habilitación de la auditoría de los registros de recursos. Esto le permite volver a crear seguimientos de actividad con fines de investigación en caso de incidente de seguridad o riesgo para la red. | AuditIfNotExists, Disabled | 5.0.0 |
| La extensión "Configuración de invitado" de las máquinas virtuales debe implementarse con una identidad administrada asignada por el sistema. | La extensión Configuración de invitado requiere una identidad administrada asignada por el sistema. Si las máquinas virtuales de Azure incluidas en el ámbito de esta directiva tienen instalada la extensión "Configuración de invitado" pero no tienen una identidad administrada asignada por el sistema, no cumplirán los requisitos establecidos. Más información en https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 1.0.1 |
Capacidades de integración o exploración y supervisión
Id.: NIST SP 800-53 Rev. 4 AU-6 (5) Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| [Versión preliminar]: Los clústeres de Kubernetes con Azure Arc habilitado deben tener instalada la extensión de Microsoft Defender for Cloud | La extensión Microsoft Defender for Cloud para Azure Arc proporciona protección contra amenazas para los clústeres de Kubernetes habilitados para Arc. La extensión recopila datos de todos los nodos del clúster y los envía al back-end de Azure Defender para Kubernetes en la nube para su posterior análisis. Puede encontrar más información en https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc. | AuditIfNotExists, Disabled | 4.0.1-preview |
| [Versión preliminar]: el agente de recopilación de datos de tráfico de red debe instalarse en máquinas virtuales Linux | Security Center usa Microsoft Dependency Agent para recopilar datos del tráfico de red de sus máquinas virtuales de Azure y así poder habilitar características avanzadas de protección de red, como la visualización del tráfico en el mapa de red, las recomendaciones de refuerzo de la red y las amenazas de red específicas. | AuditIfNotExists, Disabled | 1.0.2-preview |
| [Versión preliminar]: el agente de recopilación de datos de tráfico de red debe instalarse en las máquinas virtuales Windows | Security Center usa Microsoft Dependency Agent para recopilar datos del tráfico de red de sus máquinas virtuales de Azure y así poder habilitar características avanzadas de protección de red, como la visualización del tráfico en el mapa de red, las recomendaciones de refuerzo de la red y las amenazas de red específicas. | AuditIfNotExists, Disabled | 1.0.2-preview |
| Las aplicaciones de App Service deben tener activados los registros de recursos | Audite la habilitación de los registros de recursos en la aplicación. Esto le permite volver a crear seguimientos de actividad con fines de investigación si se produce un incidente de seguridad o se pone en peligro la red. | AuditIfNotExists, Disabled | 2.0.1 |
| La auditoría de SQL Server debe estar habilitada | La auditoría debe estar habilitada en SQL Server para realizar un seguimiento de las actividades de todas las bases de datos del servidor y guardarlas en un registro de auditoría. | AuditIfNotExists, Disabled | 2.0.0 |
| El aprovisionamiento automático del agente de Log Analytics debe estar habilitado en la suscripción | A fin de supervisar las amenazas y vulnerabilidades de seguridad, Azure Security Center recopila datos de las máquinas virtuales de Azure. El agente de Log Analytics, anteriormente conocido como Microsoft Monitoring Agent (MMA), recopila los datos al leer distintas configuraciones relacionadas con la seguridad y distintos registros de eventos de la máquina y copiar los datos en el área de trabajo de Log Analytics para analizarlos. Se recomienda habilitar el aprovisionamiento automático para implementar automáticamente el agente en todas las máquinas virtuales de Azure admitidas y en las nuevas que se creen. | AuditIfNotExists, Disabled | 1.0.1 |
| Se debe habilitar Azure Defender para servidores de Azure SQL Database | Azure Defender para SQL proporciona funcionalidad para mostrar y mitigar posibles vulnerabilidades de base de datos, detectar actividades anómalas que podrían indicar amenazas para bases de datos SQL, y detectar y clasificar datos confidenciales. | AuditIfNotExists, Disabled | 1.0.2 |
| Se debe habilitar Azure Defender para Resource Manager | Azure Defender para Resource Manager supervisa automáticamente las operaciones de administración de recursos de la organización. Azure Defender detecta amenazas y alerta sobre actividades sospechosas. Obtenga más información sobre las funcionalidades de Azure Defender para Resource Manager en https://aka.ms/defender-for-resource-manager. La habilitación de este plan de Azure Defender conlleva cargos. Obtenga información sobre los detalles de los precios por región en la página de precios de Security Center: https://aka.ms/pricing-security-center. | AuditIfNotExists, Disabled | 1.0.0 |
| Se debe habilitar Azure Defender para servidores | Azure Defender para servidores proporciona protección en tiempo real contra amenazas para las cargas de trabajo del servidor y genera recomendaciones de protección, así como alertas sobre la actividad sospechosa. | AuditIfNotExists, Disabled | 1.0.3 |
| Se debe habilitar Azure Defender para SQL en las instancias de Azure SQL Server desprotegidas | Auditoría de los servidores de SQL sin Advanced Data Security | AuditIfNotExists, Disabled | 2.0.1 |
| Azure Defender para SQL debe habilitarse en las instancias de SQL Managed Instances desprotegidas. | Permite auditr cada servicio SQL Managed Instance sin Advanced Data Security. | AuditIfNotExists, Disabled | 1.0.2 |
| La extensión "Configuración de invitado" debe estar instalada en las máquinas. | Para garantizar la seguridad de la configuración de invitado, instale la extensión "Configuración de invitado". La configuración de invitado supervisada en la extensión engloba la configuración del sistema operativo, la configuración o presencia de las aplicaciones y la configuración del entorno. Una vez instaladas, las directivas de invitado estarán disponibles como "La protección contra vulnerabilidades de Windows debe estar habilitada.". Obtenga más información en https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 1.0.2 |
| El agente de Log Analytics debe instalarse en la máquina virtual para la supervisión de Azure Security Center. | Esta directiva audita cualquier máquina virtual Windows o Linux si el agente de Log Analytics no está instalado y Security Center la utiliza para supervisar las amenazas y vulnerabilidades de seguridad | AuditIfNotExists, Disabled | 1.0.0 |
| El agente de Log Analytics debe instalarse en sus conjuntos de escalado de máquinas virtuales para supervisar Azure Security Center. | Security Center recopila datos de las máquinas virtuales de Azure para supervisar las amenazas y vulnerabilidades de la seguridad. | AuditIfNotExists, Disabled | 1.0.0 |
| Microsoft Defender para contenedores debería estar habilitado | Microsoft Defender para contenedores proporciona protección, evaluación de vulnerabilidades y protecciones en tiempo de ejecución para los entornos de Kubernetes de Azure, híbridos y multinube. | AuditIfNotExists, Disabled | 1.0.0 |
| Microsoft Defender para Storage (Clásico) debe estar habilitado | Microsoft Defender para Storage (Clásico) proporciona detecciones de intentos inusuales y potencialmente dañinos para acceder a las cuentas de almacenamiento o aprovechar alguna vulnerabilidad de seguridad. | AuditIfNotExists, Disabled | 1.0.4 |
| Control administrado por Microsoft 1120: revisión, análisis e informes de auditoría | Funcionalidades de integración o examen y supervisión | Microsoft implementa este control de auditoría y rendición de cuentas | auditoría | 1.0.0 |
| Network Watcher debe estar habilitado | Network Watcher es un servicio regional que permite supervisar y diagnosticar problemas en un nivel de escenario de red mediante Azure. La supervisión del nivel de escenario permite diagnosticar problemas en una vista de nivel de red de un extremo a otro. Es preciso que se haya creado un grupo de recursos de Network Watcher en todas las regiones en las que haya una red virtual. Si algún grupo de recursos de Network Watcher no está disponible en una región determinada, se habilita una alerta. | AuditIfNotExists, Disabled | 3.0.0 |
| Los registros de recursos de Azure Data Lake Store deben estar habilitados. | Habilitación de la auditoría de los registros de recursos. Esto le permite volver a crear seguimientos de actividad con fines de investigación en caso de incidente de seguridad o riesgo para la red. | AuditIfNotExists, Disabled | 5.0.0 |
| Los registros de recursos de Azure Stream Analytics deben estar habilitados. | Habilitación de la auditoría de los registros de recursos. Esto le permite volver a crear seguimientos de actividad con fines de investigación en caso de incidente de seguridad o riesgo para la red. | AuditIfNotExists, Disabled | 5.0.0 |
| Los registros de recursos de las cuentas de Batch deben estar habilitados. | Habilitación de la auditoría de los registros de recursos. Esto le permite volver a crear seguimientos de actividad con fines de investigación en caso de incidente de seguridad o riesgo para la red. | AuditIfNotExists, Disabled | 5.0.0 |
| Los registros de recursos de Data Lake Analytics deben estar habilitados | Habilitación de la auditoría de los registros de recursos. Esto le permite volver a crear seguimientos de actividad con fines de investigación en caso de incidente de seguridad o riesgo para la red. | AuditIfNotExists, Disabled | 5.0.0 |
| Los registros de recursos de la instancia de Event Hubs deben estar habilitados. | Habilitación de la auditoría de los registros de recursos. Esto le permite volver a crear seguimientos de actividad con fines de investigación en caso de incidente de seguridad o riesgo para la red. | AuditIfNotExists, Disabled | 5.0.0 |
| Los registros de recursos de Key Vault deben estar habilitados | Habilitación de la auditoría de los registros de recursos. De esta forma, puede volver a crear seguimientos de actividad con fines de investigación en caso de incidentes de seguridad o riesgos para la red. | AuditIfNotExists, Disabled | 5.0.0 |
| Los registros de recursos de Logic Apps deben estar habilitados | Habilitación de la auditoría de los registros de recursos. Esto le permite volver a crear seguimientos de actividad con fines de investigación en caso de incidente de seguridad o riesgo para la red. | AuditIfNotExists, Disabled | 5.1.0 |
| Los registros de recursos de los servicios Search deben estar habilitados. | Habilitación de la auditoría de los registros de recursos. Esto le permite volver a crear seguimientos de actividad con fines de investigación en caso de incidente de seguridad o riesgo para la red. | AuditIfNotExists, Disabled | 5.0.0 |
| Los registros de recursos de Service Bus deben estar habilitados | Habilitación de la auditoría de los registros de recursos. Esto le permite volver a crear seguimientos de actividad con fines de investigación en caso de incidente de seguridad o riesgo para la red. | AuditIfNotExists, Disabled | 5.0.0 |
| La extensión "Configuración de invitado" de las máquinas virtuales debe implementarse con una identidad administrada asignada por el sistema. | La extensión Configuración de invitado requiere una identidad administrada asignada por el sistema. Si las máquinas virtuales de Azure incluidas en el ámbito de esta directiva tienen instalada la extensión "Configuración de invitado" pero no tienen una identidad administrada asignada por el sistema, no cumplirán los requisitos establecidos. Más información en https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 1.0.1 |
Correlación con supervisión física
Id.: NIST SP 800-53 Rev. 4 AU-6 (6) Propiedad: Microsoft
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Control administrado por Microsoft 1121: revisión, análisis e informes de auditoría | Correlación con supervisión física | Microsoft implementa este control de auditoría y rendición de cuentas | auditoría | 1.0.0 |
Acciones permitidas
Id.: NIST SP 800-53 Rev. 4 AU-6 (7) Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Control administrado por Microsoft 1122: revisión, análisis e informes de auditoría | Acciones permitidas | Microsoft implementa este control de auditoría y rendición de cuentas | auditoría | 1.0.0 |
Ajuste de nivel de auditoría
Id.: NIST SP 800-53 Rev. 4 AU-6 (10) Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Control administrado por Microsoft 1123: revisión, análisis e informes de auditoría | Ajuste de nivel de auditoría | Microsoft implementa este control de auditoría y rendición de cuentas | auditoría | 1.0.0 |
Reducción de auditoría y generación de informes
Id.: NIST SP 800-53 Rev. 4 AU-7 Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Control administrado por Microsoft 1124: reducción de auditoría y generación de informes | Microsoft implementa este control de auditoría y rendición de cuentas | auditoría | 1.0.0 |
| Control administrado por Microsoft 1125: reducción de auditoría y generación de informes | Microsoft implementa este control de auditoría y rendición de cuentas | auditoría | 1.0.0 |
Procesamiento automático
Id.: NIST SP 800-53 Rev. 4 AU-7 (1) Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Control administrado por Microsoft 1126: reducción de auditoría y generación de informes | Procesamiento automático | Microsoft implementa este control de auditoría y rendición de cuentas | auditoría | 1.0.0 |
Marcas de tiempo
Id.: NIST SP 800-53 Rev. 4 AU-8 Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Control administrado por Microsoft 1127: marcas de tiempo | Microsoft implementa este control de auditoría y rendición de cuentas | auditoría | 1.0.0 |
| Control administrado por Microsoft 1128: marcas de tiempo | Microsoft implementa este control de auditoría y rendición de cuentas | auditoría | 1.0.0 |
Sincronización con un recurso de hora autorizado
Id.: NIST SP 800-53 Rev. 4 AU-8 (1) Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Control administrado por Microsoft 1129: marcas de tiempo | Sincronización con un recurso de hora autorizado | Microsoft implementa este control de auditoría y rendición de cuentas | auditoría | 1.0.0 |
| Control administrado por Microsoft 1130: marcas de tiempo | Sincronización con un recurso de hora autorizado | Microsoft implementa este control de auditoría y rendición de cuentas | auditoría | 1.0.0 |
Protección de la información de auditoría
Id.: NIST SP 800-53 Rev. 4 AU-9 Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Control administrado por Microsoft 1131: protección de la información de auditoría | Microsoft implementa este control de auditoría y rendición de cuentas | auditoría | 1.0.0 |
Auditoría de copias de seguridad en sistemas o componentes físicos separados
Id.: NIST SP 800-53 Rev. 4 AU-9 (2) Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Control administrado por Microsoft 1132: protección de la información de auditoría | Auditoría de copias de seguridad en sistemas o componentes físicos separados | Microsoft implementa este control de auditoría y rendición de cuentas | auditoría | 1.0.0 |
Protección criptográfica
Id.: NIST SP 800-53 Rev. 4 AU-9 (3) Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Control administrado por Microsoft 1133: protección de la información de auditoría | Protección criptográfica | Microsoft implementa este control de auditoría y rendición de cuentas | auditoría | 1.0.0 |
Acceso por subconjunto de usuarios con privilegios
Id.: NIST SP 800-53 Rev. 4 AU-9 (4) Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Control administrado por Microsoft 1134: protección de la información de auditoría | Acceso de un subconjunto de usuarios con privilegios | Microsoft implementa este control de auditoría y rendición de cuentas | auditoría | 1.0.0 |
No rechazo
Id.: NIST SP 800-53 Rev. 4 AU-10 Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Control administrado por Microsoft 1135: sin rechazo | Microsoft implementa este control de auditoría y rendición de cuentas | auditoría | 1.0.0 |
Retención de los registros de auditoría
Id.: NIST SP 800-53 Rev. 4 AU-11 Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Control administrado por Microsoft 1136: retención de los registros de auditoría | Microsoft implementa este control de auditoría y rendición de cuentas | auditoría | 1.0.0 |
| Los servidores SQL Server con auditoría en el destino de la cuenta de almacenamiento se deben configurar con una retención de 90 días o superior. | Con fines de investigación de incidentes, se recomienda establecer la retención de datos de auditoría de las instancias de SQL Server en el destino de la cuenta de almacenamiento en al menos 90 días. Confirme que cumple las reglas de retención necesarias para las regiones en las que trabaja. A veces, es necesario para cumplir con los estándares normativos. | AuditIfNotExists, Disabled | 3.0.0 |
Generación de auditoría
Id.: NIST SP 800-53 Rev. 4 AU-12 Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| [Versión preliminar]: Los clústeres de Kubernetes con Azure Arc habilitado deben tener instalada la extensión de Microsoft Defender for Cloud | La extensión Microsoft Defender for Cloud para Azure Arc proporciona protección contra amenazas para los clústeres de Kubernetes habilitados para Arc. La extensión recopila datos de todos los nodos del clúster y los envía al back-end de Azure Defender para Kubernetes en la nube para su posterior análisis. Puede encontrar más información en https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc. | AuditIfNotExists, Disabled | 4.0.1-preview |
| [Versión preliminar]: el agente de recopilación de datos de tráfico de red debe instalarse en máquinas virtuales Linux | Security Center usa Microsoft Dependency Agent para recopilar datos del tráfico de red de sus máquinas virtuales de Azure y así poder habilitar características avanzadas de protección de red, como la visualización del tráfico en el mapa de red, las recomendaciones de refuerzo de la red y las amenazas de red específicas. | AuditIfNotExists, Disabled | 1.0.2-preview |
| [Versión preliminar]: el agente de recopilación de datos de tráfico de red debe instalarse en las máquinas virtuales Windows | Security Center usa Microsoft Dependency Agent para recopilar datos del tráfico de red de sus máquinas virtuales de Azure y así poder habilitar características avanzadas de protección de red, como la visualización del tráfico en el mapa de red, las recomendaciones de refuerzo de la red y las amenazas de red específicas. | AuditIfNotExists, Disabled | 1.0.2-preview |
| Las aplicaciones de App Service deben tener activados los registros de recursos | Audite la habilitación de los registros de recursos en la aplicación. Esto le permite volver a crear seguimientos de actividad con fines de investigación si se produce un incidente de seguridad o se pone en peligro la red. | AuditIfNotExists, Disabled | 2.0.1 |
| La auditoría de SQL Server debe estar habilitada | La auditoría debe estar habilitada en SQL Server para realizar un seguimiento de las actividades de todas las bases de datos del servidor y guardarlas en un registro de auditoría. | AuditIfNotExists, Disabled | 2.0.0 |
| El aprovisionamiento automático del agente de Log Analytics debe estar habilitado en la suscripción | A fin de supervisar las amenazas y vulnerabilidades de seguridad, Azure Security Center recopila datos de las máquinas virtuales de Azure. El agente de Log Analytics, anteriormente conocido como Microsoft Monitoring Agent (MMA), recopila los datos al leer distintas configuraciones relacionadas con la seguridad y distintos registros de eventos de la máquina y copiar los datos en el área de trabajo de Log Analytics para analizarlos. Se recomienda habilitar el aprovisionamiento automático para implementar automáticamente el agente en todas las máquinas virtuales de Azure admitidas y en las nuevas que se creen. | AuditIfNotExists, Disabled | 1.0.1 |
| Se debe habilitar Azure Defender para servidores de Azure SQL Database | Azure Defender para SQL proporciona funcionalidad para mostrar y mitigar posibles vulnerabilidades de base de datos, detectar actividades anómalas que podrían indicar amenazas para bases de datos SQL, y detectar y clasificar datos confidenciales. | AuditIfNotExists, Disabled | 1.0.2 |
| Se debe habilitar Azure Defender para Resource Manager | Azure Defender para Resource Manager supervisa automáticamente las operaciones de administración de recursos de la organización. Azure Defender detecta amenazas y alerta sobre actividades sospechosas. Obtenga más información sobre las funcionalidades de Azure Defender para Resource Manager en https://aka.ms/defender-for-resource-manager. La habilitación de este plan de Azure Defender conlleva cargos. Obtenga información sobre los detalles de los precios por región en la página de precios de Security Center: https://aka.ms/pricing-security-center. | AuditIfNotExists, Disabled | 1.0.0 |
| Se debe habilitar Azure Defender para servidores | Azure Defender para servidores proporciona protección en tiempo real contra amenazas para las cargas de trabajo del servidor y genera recomendaciones de protección, así como alertas sobre la actividad sospechosa. | AuditIfNotExists, Disabled | 1.0.3 |
| Se debe habilitar Azure Defender para SQL en las instancias de Azure SQL Server desprotegidas | Auditoría de los servidores de SQL sin Advanced Data Security | AuditIfNotExists, Disabled | 2.0.1 |
| Azure Defender para SQL debe habilitarse en las instancias de SQL Managed Instances desprotegidas. | Permite auditr cada servicio SQL Managed Instance sin Advanced Data Security. | AuditIfNotExists, Disabled | 1.0.2 |
| La extensión "Configuración de invitado" debe estar instalada en las máquinas. | Para garantizar la seguridad de la configuración de invitado, instale la extensión "Configuración de invitado". La configuración de invitado supervisada en la extensión engloba la configuración del sistema operativo, la configuración o presencia de las aplicaciones y la configuración del entorno. Una vez instaladas, las directivas de invitado estarán disponibles como "La protección contra vulnerabilidades de Windows debe estar habilitada.". Obtenga más información en https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 1.0.2 |
| El agente de Log Analytics debe instalarse en la máquina virtual para la supervisión de Azure Security Center. | Esta directiva audita cualquier máquina virtual Windows o Linux si el agente de Log Analytics no está instalado y Security Center la utiliza para supervisar las amenazas y vulnerabilidades de seguridad | AuditIfNotExists, Disabled | 1.0.0 |
| El agente de Log Analytics debe instalarse en sus conjuntos de escalado de máquinas virtuales para supervisar Azure Security Center. | Security Center recopila datos de las máquinas virtuales de Azure para supervisar las amenazas y vulnerabilidades de la seguridad. | AuditIfNotExists, Disabled | 1.0.0 |
| Microsoft Defender para contenedores debería estar habilitado | Microsoft Defender para contenedores proporciona protección, evaluación de vulnerabilidades y protecciones en tiempo de ejecución para los entornos de Kubernetes de Azure, híbridos y multinube. | AuditIfNotExists, Disabled | 1.0.0 |
| Microsoft Defender para Storage (Clásico) debe estar habilitado | Microsoft Defender para Storage (Clásico) proporciona detecciones de intentos inusuales y potencialmente dañinos para acceder a las cuentas de almacenamiento o aprovechar alguna vulnerabilidad de seguridad. | AuditIfNotExists, Disabled | 1.0.4 |
| Control administrado por Microsoft 1137: generación de auditoría | Microsoft implementa este control de auditoría y rendición de cuentas | auditoría | 1.0.0 |
| Control administrado por Microsoft 1138: generación de auditoría | Microsoft implementa este control de auditoría y rendición de cuentas | auditoría | 1.0.0 |
| Control administrado por Microsoft 1139: generación de auditoría | Microsoft implementa este control de auditoría y rendición de cuentas | auditoría | 1.0.0 |
| Network Watcher debe estar habilitado | Network Watcher es un servicio regional que permite supervisar y diagnosticar problemas en un nivel de escenario de red mediante Azure. La supervisión del nivel de escenario permite diagnosticar problemas en una vista de nivel de red de un extremo a otro. Es preciso que se haya creado un grupo de recursos de Network Watcher en todas las regiones en las que haya una red virtual. Si algún grupo de recursos de Network Watcher no está disponible en una región determinada, se habilita una alerta. | AuditIfNotExists, Disabled | 3.0.0 |
| Los registros de recursos de Azure Data Lake Store deben estar habilitados. | Habilitación de la auditoría de los registros de recursos. Esto le permite volver a crear seguimientos de actividad con fines de investigación en caso de incidente de seguridad o riesgo para la red. | AuditIfNotExists, Disabled | 5.0.0 |
| Los registros de recursos de Azure Stream Analytics deben estar habilitados. | Habilitación de la auditoría de los registros de recursos. Esto le permite volver a crear seguimientos de actividad con fines de investigación en caso de incidente de seguridad o riesgo para la red. | AuditIfNotExists, Disabled | 5.0.0 |
| Los registros de recursos de las cuentas de Batch deben estar habilitados. | Habilitación de la auditoría de los registros de recursos. Esto le permite volver a crear seguimientos de actividad con fines de investigación en caso de incidente de seguridad o riesgo para la red. | AuditIfNotExists, Disabled | 5.0.0 |
| Los registros de recursos de Data Lake Analytics deben estar habilitados | Habilitación de la auditoría de los registros de recursos. Esto le permite volver a crear seguimientos de actividad con fines de investigación en caso de incidente de seguridad o riesgo para la red. | AuditIfNotExists, Disabled | 5.0.0 |
| Los registros de recursos de la instancia de Event Hubs deben estar habilitados. | Habilitación de la auditoría de los registros de recursos. Esto le permite volver a crear seguimientos de actividad con fines de investigación en caso de incidente de seguridad o riesgo para la red. | AuditIfNotExists, Disabled | 5.0.0 |
| Los registros de recursos de Key Vault deben estar habilitados | Habilitación de la auditoría de los registros de recursos. De esta forma, puede volver a crear seguimientos de actividad con fines de investigación en caso de incidentes de seguridad o riesgos para la red. | AuditIfNotExists, Disabled | 5.0.0 |
| Los registros de recursos de Logic Apps deben estar habilitados | Habilitación de la auditoría de los registros de recursos. Esto le permite volver a crear seguimientos de actividad con fines de investigación en caso de incidente de seguridad o riesgo para la red. | AuditIfNotExists, Disabled | 5.1.0 |
| Los registros de recursos de los servicios Search deben estar habilitados. | Habilitación de la auditoría de los registros de recursos. Esto le permite volver a crear seguimientos de actividad con fines de investigación en caso de incidente de seguridad o riesgo para la red. | AuditIfNotExists, Disabled | 5.0.0 |
| Los registros de recursos de Service Bus deben estar habilitados | Habilitación de la auditoría de los registros de recursos. Esto le permite volver a crear seguimientos de actividad con fines de investigación en caso de incidente de seguridad o riesgo para la red. | AuditIfNotExists, Disabled | 5.0.0 |
| La extensión "Configuración de invitado" de las máquinas virtuales debe implementarse con una identidad administrada asignada por el sistema. | La extensión Configuración de invitado requiere una identidad administrada asignada por el sistema. Si las máquinas virtuales de Azure incluidas en el ámbito de esta directiva tienen instalada la extensión "Configuración de invitado" pero no tienen una identidad administrada asignada por el sistema, no cumplirán los requisitos establecidos. Más información en https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 1.0.1 |
Registro de auditoría de todo el sistema o en correlación con el tiempo
Id.: NIST SP 800-53 Rev. 4 AU-12 (1) Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| [Versión preliminar]: Los clústeres de Kubernetes con Azure Arc habilitado deben tener instalada la extensión de Microsoft Defender for Cloud | La extensión Microsoft Defender for Cloud para Azure Arc proporciona protección contra amenazas para los clústeres de Kubernetes habilitados para Arc. La extensión recopila datos de todos los nodos del clúster y los envía al back-end de Azure Defender para Kubernetes en la nube para su posterior análisis. Puede encontrar más información en https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc. | AuditIfNotExists, Disabled | 4.0.1-preview |
| [Versión preliminar]: el agente de recopilación de datos de tráfico de red debe instalarse en máquinas virtuales Linux | Security Center usa Microsoft Dependency Agent para recopilar datos del tráfico de red de sus máquinas virtuales de Azure y así poder habilitar características avanzadas de protección de red, como la visualización del tráfico en el mapa de red, las recomendaciones de refuerzo de la red y las amenazas de red específicas. | AuditIfNotExists, Disabled | 1.0.2-preview |
| [Versión preliminar]: el agente de recopilación de datos de tráfico de red debe instalarse en las máquinas virtuales Windows | Security Center usa Microsoft Dependency Agent para recopilar datos del tráfico de red de sus máquinas virtuales de Azure y así poder habilitar características avanzadas de protección de red, como la visualización del tráfico en el mapa de red, las recomendaciones de refuerzo de la red y las amenazas de red específicas. | AuditIfNotExists, Disabled | 1.0.2-preview |
| Las aplicaciones de App Service deben tener activados los registros de recursos | Audite la habilitación de los registros de recursos en la aplicación. Esto le permite volver a crear seguimientos de actividad con fines de investigación si se produce un incidente de seguridad o se pone en peligro la red. | AuditIfNotExists, Disabled | 2.0.1 |
| La auditoría de SQL Server debe estar habilitada | La auditoría debe estar habilitada en SQL Server para realizar un seguimiento de las actividades de todas las bases de datos del servidor y guardarlas en un registro de auditoría. | AuditIfNotExists, Disabled | 2.0.0 |
| El aprovisionamiento automático del agente de Log Analytics debe estar habilitado en la suscripción | A fin de supervisar las amenazas y vulnerabilidades de seguridad, Azure Security Center recopila datos de las máquinas virtuales de Azure. El agente de Log Analytics, anteriormente conocido como Microsoft Monitoring Agent (MMA), recopila los datos al leer distintas configuraciones relacionadas con la seguridad y distintos registros de eventos de la máquina y copiar los datos en el área de trabajo de Log Analytics para analizarlos. Se recomienda habilitar el aprovisionamiento automático para implementar automáticamente el agente en todas las máquinas virtuales de Azure admitidas y en las nuevas que se creen. | AuditIfNotExists, Disabled | 1.0.1 |
| Se debe habilitar Azure Defender para servidores de Azure SQL Database | Azure Defender para SQL proporciona funcionalidad para mostrar y mitigar posibles vulnerabilidades de base de datos, detectar actividades anómalas que podrían indicar amenazas para bases de datos SQL, y detectar y clasificar datos confidenciales. | AuditIfNotExists, Disabled | 1.0.2 |
| Se debe habilitar Azure Defender para Resource Manager | Azure Defender para Resource Manager supervisa automáticamente las operaciones de administración de recursos de la organización. Azure Defender detecta amenazas y alerta sobre actividades sospechosas. Obtenga más información sobre las funcionalidades de Azure Defender para Resource Manager en https://aka.ms/defender-for-resource-manager. La habilitación de este plan de Azure Defender conlleva cargos. Obtenga información sobre los detalles de los precios por región en la página de precios de Security Center: https://aka.ms/pricing-security-center. | AuditIfNotExists, Disabled | 1.0.0 |
| Se debe habilitar Azure Defender para servidores | Azure Defender para servidores proporciona protección en tiempo real contra amenazas para las cargas de trabajo del servidor y genera recomendaciones de protección, así como alertas sobre la actividad sospechosa. | AuditIfNotExists, Disabled | 1.0.3 |
| Se debe habilitar Azure Defender para SQL en las instancias de Azure SQL Server desprotegidas | Auditoría de los servidores de SQL sin Advanced Data Security | AuditIfNotExists, Disabled | 2.0.1 |
| Azure Defender para SQL debe habilitarse en las instancias de SQL Managed Instances desprotegidas. | Permite auditr cada servicio SQL Managed Instance sin Advanced Data Security. | AuditIfNotExists, Disabled | 1.0.2 |
| La extensión "Configuración de invitado" debe estar instalada en las máquinas. | Para garantizar la seguridad de la configuración de invitado, instale la extensión "Configuración de invitado". La configuración de invitado supervisada en la extensión engloba la configuración del sistema operativo, la configuración o presencia de las aplicaciones y la configuración del entorno. Una vez instaladas, las directivas de invitado estarán disponibles como "La protección contra vulnerabilidades de Windows debe estar habilitada.". Obtenga más información en https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 1.0.2 |
| El agente de Log Analytics debe instalarse en la máquina virtual para la supervisión de Azure Security Center. | Esta directiva audita cualquier máquina virtual Windows o Linux si el agente de Log Analytics no está instalado y Security Center la utiliza para supervisar las amenazas y vulnerabilidades de seguridad | AuditIfNotExists, Disabled | 1.0.0 |
| El agente de Log Analytics debe instalarse en sus conjuntos de escalado de máquinas virtuales para supervisar Azure Security Center. | Security Center recopila datos de las máquinas virtuales de Azure para supervisar las amenazas y vulnerabilidades de la seguridad. | AuditIfNotExists, Disabled | 1.0.0 |
| Microsoft Defender para contenedores debería estar habilitado | Microsoft Defender para contenedores proporciona protección, evaluación de vulnerabilidades y protecciones en tiempo de ejecución para los entornos de Kubernetes de Azure, híbridos y multinube. | AuditIfNotExists, Disabled | 1.0.0 |
| Microsoft Defender para Storage (Clásico) debe estar habilitado | Microsoft Defender para Storage (Clásico) proporciona detecciones de intentos inusuales y potencialmente dañinos para acceder a las cuentas de almacenamiento o aprovechar alguna vulnerabilidad de seguridad. | AuditIfNotExists, Disabled | 1.0.4 |
| Control administrado por Microsoft 1140: generación de auditoría | Registro de auditoría de todo el sistema o en correlación con el tiempo | Microsoft implementa este control de auditoría y rendición de cuentas | auditoría | 1.0.0 |
| Network Watcher debe estar habilitado | Network Watcher es un servicio regional que permite supervisar y diagnosticar problemas en un nivel de escenario de red mediante Azure. La supervisión del nivel de escenario permite diagnosticar problemas en una vista de nivel de red de un extremo a otro. Es preciso que se haya creado un grupo de recursos de Network Watcher en todas las regiones en las que haya una red virtual. Si algún grupo de recursos de Network Watcher no está disponible en una región determinada, se habilita una alerta. | AuditIfNotExists, Disabled | 3.0.0 |
| Los registros de recursos de Azure Data Lake Store deben estar habilitados. | Habilitación de la auditoría de los registros de recursos. Esto le permite volver a crear seguimientos de actividad con fines de investigación en caso de incidente de seguridad o riesgo para la red. | AuditIfNotExists, Disabled | 5.0.0 |
| Los registros de recursos de Azure Stream Analytics deben estar habilitados. | Habilitación de la auditoría de los registros de recursos. Esto le permite volver a crear seguimientos de actividad con fines de investigación en caso de incidente de seguridad o riesgo para la red. | AuditIfNotExists, Disabled | 5.0.0 |
| Los registros de recursos de las cuentas de Batch deben estar habilitados. | Habilitación de la auditoría de los registros de recursos. Esto le permite volver a crear seguimientos de actividad con fines de investigación en caso de incidente de seguridad o riesgo para la red. | AuditIfNotExists, Disabled | 5.0.0 |
| Los registros de recursos de Data Lake Analytics deben estar habilitados | Habilitación de la auditoría de los registros de recursos. Esto le permite volver a crear seguimientos de actividad con fines de investigación en caso de incidente de seguridad o riesgo para la red. | AuditIfNotExists, Disabled | 5.0.0 |
| Los registros de recursos de la instancia de Event Hubs deben estar habilitados. | Habilitación de la auditoría de los registros de recursos. Esto le permite volver a crear seguimientos de actividad con fines de investigación en caso de incidente de seguridad o riesgo para la red. | AuditIfNotExists, Disabled | 5.0.0 |
| Los registros de recursos de Key Vault deben estar habilitados | Habilitación de la auditoría de los registros de recursos. De esta forma, puede volver a crear seguimientos de actividad con fines de investigación en caso de incidentes de seguridad o riesgos para la red. | AuditIfNotExists, Disabled | 5.0.0 |
| Los registros de recursos de Logic Apps deben estar habilitados | Habilitación de la auditoría de los registros de recursos. Esto le permite volver a crear seguimientos de actividad con fines de investigación en caso de incidente de seguridad o riesgo para la red. | AuditIfNotExists, Disabled | 5.1.0 |
| Los registros de recursos de los servicios Search deben estar habilitados. | Habilitación de la auditoría de los registros de recursos. Esto le permite volver a crear seguimientos de actividad con fines de investigación en caso de incidente de seguridad o riesgo para la red. | AuditIfNotExists, Disabled | 5.0.0 |
| Los registros de recursos de Service Bus deben estar habilitados | Habilitación de la auditoría de los registros de recursos. Esto le permite volver a crear seguimientos de actividad con fines de investigación en caso de incidente de seguridad o riesgo para la red. | AuditIfNotExists, Disabled | 5.0.0 |
| La extensión "Configuración de invitado" de las máquinas virtuales debe implementarse con una identidad administrada asignada por el sistema. | La extensión Configuración de invitado requiere una identidad administrada asignada por el sistema. Si las máquinas virtuales de Azure incluidas en el ámbito de esta directiva tienen instalada la extensión "Configuración de invitado" pero no tienen una identidad administrada asignada por el sistema, no cumplirán los requisitos establecidos. Más información en https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 1.0.1 |
Cambios realizados por personas autorizadas
Id.: NIST SP 800-53 Rev. 4 AU-12 (3) Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Control administrado por Microsoft 1141: generación de auditoría | Cambios por individuos autorizados | Microsoft implementa este control de auditoría y rendición de cuentas | auditoría | 1.0.0 |
Evaluación de seguridad y autorización
Directiva y procedimientos de autorización y valoración de seguridad
Id.: NIST SP 800-53 Rev. 4 CA-1 Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Control administrado por Microsoft 1142: Directiva y procedimientos de certificación, autorización y evaluación de la seguridad | Microsoft implementa este control de evaluación de seguridad y autorización | auditoría | 1.0.0 |
| Control administrado por Microsoft 1143: Directiva y procedimientos de certificación, autorización y evaluación de la seguridad | Microsoft implementa este control de evaluación de seguridad y autorización | auditoría | 1.0.0 |
Valoraciones de seguridad
Id.: NIST SP 800-53 Rev. 4 CA-2 Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Control administrado por Microsoft 1144: evaluaciones de seguridad | Microsoft implementa este control de evaluación de seguridad y autorización | auditoría | 1.0.0 |
| Control administrado por Microsoft 1145: evaluaciones de seguridad | Microsoft implementa este control de evaluación de seguridad y autorización | auditoría | 1.0.0 |
| Control administrado por Microsoft 1146: evaluaciones de seguridad | Microsoft implementa este control de evaluación de seguridad y autorización | auditoría | 1.0.0 |
| Control administrado por Microsoft 1147: evaluaciones de seguridad | Microsoft implementa este control de evaluación de seguridad y autorización | auditoría | 1.0.0 |
Asesores independientes
Id.: NIST SP 800-53 Rev. 4 CA-2 (1) Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Control administrado por Microsoft 1148: evaluaciones de seguridad | Asesores independientes | Microsoft implementa este control de evaluación de seguridad y autorización | auditoría | 1.0.0 |
Valoraciones especializadas
Id.: NIST SP 800-53 Rev. 4 CA-2 (2) Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Control administrado por Microsoft 1149: evaluaciones de seguridad | Valoraciones especializadas | Microsoft implementa este control de evaluación de seguridad y autorización | auditoría | 1.0.0 |
Organizaciones externas
Id.: NIST SP 800-53 Rev. 4 CA-2 (3) Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Control administrado por Microsoft 1150: evaluaciones de seguridad | Organizaciones externas | Microsoft implementa este control de evaluación de seguridad y autorización | auditoría | 1.0.0 |
Interconexiones del sistema
Id.: NIST SP 800-53 Rev. 4 CA-3 Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Control administrado por Microsoft 1151: interconexiones del sistema | Microsoft implementa este control de evaluación de seguridad y autorización | auditoría | 1.0.0 |
| Control administrado por Microsoft 1152: interconexiones del sistema | Microsoft implementa este control de evaluación de seguridad y autorización | auditoría | 1.0.0 |
| Control administrado por Microsoft 1153: interconexiones del sistema | Microsoft implementa este control de evaluación de seguridad y autorización | auditoría | 1.0.0 |
Conexiones no clasificadas del sistema de seguridad no nacional
Id.: NIST SP 800-53 Rev. 4 CA-3 (3) Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Control administrado por Microsoft 1154: interconexiones del sistema | Conexiones no clasificadas del sistema de seguridad no nacional | Microsoft implementa este control de evaluación de seguridad y autorización | auditoría | 1.0.0 |
Restricciones de las conexiones de sistema externo
Id.: NIST SP 800-53 Rev. 4 CA-3 (5) Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Control administrado por Microsoft 1155: interconexiones del sistema | Restricciones de las conexiones de sistema externo | Microsoft implementa este control de evaluación de seguridad y autorización | auditoría | 1.0.0 |
Plan de acción e hitos
Id.: NIST SP 800-53 Rev. 4 CA-5 Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Control administrado por Microsoft 1156: plan de acción e hitos | Microsoft implementa este control de evaluación de seguridad y autorización | auditoría | 1.0.0 |
| Control administrado por Microsoft 1157: plan de acción e hitos | Microsoft implementa este control de evaluación de seguridad y autorización | auditoría | 1.0.0 |
Autorización de seguridad
Id.: NIST SP 800-53 Rev. 4 CA-6 Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Control administrado por Microsoft 1158: autorización de seguridad | Microsoft implementa este control de evaluación de seguridad y autorización | auditoría | 1.0.0 |
| Control administrado por Microsoft 1159: autorización de seguridad | Microsoft implementa este control de evaluación de seguridad y autorización | auditoría | 1.0.0 |
| Control administrado por Microsoft 1160: autorización de seguridad | Microsoft implementa este control de evaluación de seguridad y autorización | auditoría | 1.0.0 |
Supervisión continua
Id.: NIST SP 800-53 Rev. 4 CA-7 Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Control administrado por Microsoft 1161: supervisión continua | Microsoft implementa este control de evaluación de seguridad y autorización | auditoría | 1.0.0 |
| Control administrado por Microsoft 1162: supervisión continua | Microsoft implementa este control de evaluación de seguridad y autorización | auditoría | 1.0.0 |
| Control administrado por Microsoft 1163: supervisión continua | Microsoft implementa este control de evaluación de seguridad y autorización | auditoría | 1.0.0 |
| Control administrado por Microsoft 1164: supervisión continua | Microsoft implementa este control de evaluación de seguridad y autorización | auditoría | 1.0.0 |
| Control administrado por Microsoft 1165: supervisión continua | Microsoft implementa este control de evaluación de seguridad y autorización | auditoría | 1.0.0 |
| Control administrado por Microsoft 1166: supervisión continua | Microsoft implementa este control de evaluación de seguridad y autorización | auditoría | 1.0.0 |
| Control administrado por Microsoft 1167: supervisión continua | Microsoft implementa este control de evaluación de seguridad y autorización | auditoría | 1.0.0 |
Valoración independiente
Id.: NIST SP 800-53 Rev. 4 CA-7 (1) Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Control administrado por Microsoft 1168: supervisión continua | Valoración independiente | Microsoft implementa este control de evaluación de seguridad y autorización | auditoría | 1.0.0 |
Análisis de tendencias
Id.: NIST SP 800-53 Rev. 4 CA-7 (3) Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Control administrado por Microsoft 1169: supervisión continua | Análisis de tendencias | Microsoft implementa este control de evaluación de seguridad y autorización | auditoría | 1.0.0 |
Pruebas de penetración
Id.: NIST SP 800-53 Rev. 4 CA-8 Propiedad: Microsoft
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Control administrado por Microsoft 1170: pruebas de penetración | Microsoft implementa este control de evaluación de seguridad y autorización | auditoría | 1.0.0 |
Agente o equipo de penetración independiente
Id.: NIST SP 800-53 Rev. 4 CA-8 (1) Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Control administrado por Microsoft 1171: pruebas de penetración | Agente o equipo de penetración independiente | Microsoft implementa este control de evaluación de seguridad y autorización | auditoría | 1.0.0 |
Conexiones internas del sistema
Id.: NIST SP 800-53 Rev. 4 CA-9 Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Control administrado por Microsoft 1172: conexiones internas del sistema | Microsoft implementa este control de evaluación de seguridad y autorización | auditoría | 1.0.0 |
| Control administrado por Microsoft 1173: conexiones internas del sistema | Microsoft implementa este control de evaluación de seguridad y autorización | auditoría | 1.0.0 |
Administración de la configuración
Procedimientos y directivas de administración de configuración
Id.: NIST SP 800-53 Rev. 4 CM-1 Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Control administrado por Microsoft 1174: procedimientos y directivas de administración de configuración | Microsoft implementa este control de administración de configuración | auditoría | 1.0.0 |
| Control administrado por Microsoft 1175: procedimientos y directivas de administración de configuración | Microsoft implementa este control de administración de configuración | auditoría | 1.0.0 |
Configuración de línea de base
Id.: NIST SP 800-53 Rev. 4 CM-2 Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Control administrado por Microsoft 1176: configuración de línea de base | Microsoft implementa este control de administración de configuración | auditoría | 1.0.0 |
Revisiones y actualizaciones
Id.: NIST SP 800-53 Rev. 4 CM-2 (1) Propiedad: Microsoft
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Control administrado por Microsoft 1177: configuración de línea de base | Revisiones y actualizaciones | Microsoft implementa este control de administración de configuración | auditoría | 1.0.0 |
| Control administrado por Microsoft 1178: configuración de línea de base | Revisiones y actualizaciones | Microsoft implementa este control de administración de configuración | auditoría | 1.0.0 |
| Control administrado por Microsoft 1179: configuración de línea de base | Revisiones y actualizaciones | Microsoft implementa este control de administración de configuración | auditoría | 1.0.0 |
Compatibilidad de automatización para precisión o moneda
Id.: NIST SP 800-53 Rev. 4 CM-2 (2) Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Control administrado por Microsoft 1180: configuración de línea de base | Compatibilidad de automatización para precisión o moneda | Microsoft implementa este control de administración de configuración | auditoría | 1.0.0 |
Retención de configuraciones anteriores
Id.: NIST SP 800-53 Rev. 4 CM-2 (3) Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Control administrado por Microsoft 1181: configuración de línea de base | Retención de configuraciones anteriores | Microsoft implementa este control de administración de configuración | auditoría | 1.0.0 |
Configuración de sistemas, componentes o dispositivos para áreas de alto riesgo
Id.: NIST SP 800-53 Rev. 4 CM-2 (7) Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Control administrado por Microsoft 1182: configuración de línea de base | Configuración de sistemas, componentes o dispositivos para áreas de alto riesgo | Microsoft implementa este control de administración de configuración | auditoría | 1.0.0 |
| Control administrado por Microsoft 1183: configuración de línea de base | Configuración de sistemas, componentes o dispositivos para áreas de alto riesgo | Microsoft implementa este control de administración de configuración | auditoría | 1.0.0 |
Control de cambios de configuración
Id.: NIST SP 800-53 Rev. 4 CM-3 Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Control administrado por Microsoft 1184: control de cambios de configuración | Microsoft implementa este control de administración de configuración | auditoría | 1.0.0 |
| Control administrado por Microsoft 1185: control de cambios de configuración | Microsoft implementa este control de administración de configuración | auditoría | 1.0.0 |
| Control administrado por Microsoft 1186: control de cambios de configuración | Microsoft implementa este control de administración de configuración | auditoría | 1.0.0 |
| Control administrado por Microsoft 1187: control de cambios de configuración | Microsoft implementa este control de administración de configuración | auditoría | 1.0.0 |
| Control administrado por Microsoft 1188: control de cambios de configuración | Microsoft implementa este control de administración de configuración | auditoría | 1.0.0 |
| Control administrado por Microsoft 1189: control de cambios de configuración | Microsoft implementa este control de administración de configuración | auditoría | 1.0.0 |
| Control administrado por Microsoft 1190: control de cambios de configuración | Microsoft implementa este control de administración de configuración | auditoría | 1.0.0 |
Documento, notificación o prohibición automáticos de cambios
Id.: NIST SP 800-53 Rev. 4 CM-3 (1) Propiedad: Compartido
Prueba, validación o documentación de cambios
Id.: NIST SP 800-53 Rev. 4 CM-3 (2) Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Control administrado por Microsoft 1197: control de cambios de configuración | Prueba, validación o documentación de cambios | Microsoft implementa este control de administración de configuración | auditoría | 1.0.0 |
Representante de seguridad
Id.: NIST SP 800-53 Rev. 4 CM-3 (4) Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Control administrado por Microsoft 1198: control de cambios de configuración | Representante de seguridad | Microsoft implementa este control de administración de configuración | auditoría | 1.0.0 |
Administración de criptografía
Id.: NIST SP 800-53 Rev. 4 CM-3 (6) Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Control administrado por Microsoft 1199: control de cambios de configuración | Administración de criptografía | Microsoft implementa este control de administración de configuración | auditoría | 1.0.0 |
Análisis del impacto de seguridad
Id.: NIST SP 800-53 Rev. 4 CM-4 Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Control administrado por Microsoft 1200: análisis del impacto en la seguridad | Microsoft implementa este control de administración de configuración | auditoría | 1.0.0 |
Separación de entornos de prueba
Id.: NIST SP 800-53 Rev. 4 CM-4 (1) Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Control administrado por Microsoft 1201: análisis del impacto en la seguridad | Separación de entornos de prueba | Microsoft implementa este control de administración de configuración | auditoría | 1.0.0 |
Restricciones de acceso para cambios
Id.: NIST SP 800-53 Rev. 4 CM-5 Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Control administrado por Microsoft 1202: restricciones de acceso para cambios | Microsoft implementa este control de administración de configuración | auditoría | 1.0.0 |
Cumplimiento de acceso o auditoría automatizados
Id.: NIST SP 800-53 Rev. 4 CM-5 (1) Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Control administrado por Microsoft 1203: restricciones de acceso para cambios | Cumplimiento de acceso o auditoría automatizados | Microsoft implementa este control de administración de configuración | auditoría | 1.0.0 |
Revisión de los cambios del sistema
Id.: NIST SP 800-53 Rev. 4 CM-5 (2) Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Control administrado por Microsoft 1204: restricciones de acceso para cambios | Revisión de los cambios del sistema | Microsoft implementa este control de administración de configuración | auditoría | 1.0.0 |
Componentes firmados
Id.: NIST SP 800-53 Rev. 4 CM-5 (3) Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Control administrado por Microsoft 1205: restricciones de acceso para cambios | Componentes firmados | Microsoft implementa este control de administración de configuración | auditoría | 1.0.0 |
Limitación de privilegios de producción u operativos
Id.: NIST SP 800-53 Rev. 4 CM-5 (5) Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Control administrado por Microsoft 1206: restricciones de acceso para cambios | Limitación de privilegios de producción u operativos | Microsoft implementa este control de administración de configuración | auditoría | 1.0.0 |
| Control administrado por Microsoft 1207: restricciones de acceso para cambios | Limitación de privilegios de producción u operativos | Microsoft implementa este control de administración de configuración | auditoría | 1.0.0 |
Valores de configuración
Id.: NIST SP 800-53 Rev. 4 CM-6 Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| [en desuso]: Las aplicaciones de funciones deben tener habilitados los "Certificados de cliente (certificados de cliente entrantes)" | Los certificados de cliente permiten que la aplicación solicite un certificado para las solicitudes entrantes. Solo los clientes con certificados válidos pueden acceder a la aplicación. Esta directiva se ha reemplazado por una nueva directiva con el mismo nombre porque HTTP 2.0 no admite certificados de cliente. | Audit, Disabled | 3.1.0 en desuso |
| Aplicaciones de App Service deben tener habilitados certificados de cliente (certificados de cliente entrantes) | Los certificados de cliente permiten que la aplicación solicite un certificado para las solicitudes entrantes. Solo los clientes que tienen un certificado válido podrán acceder a la aplicación. Esta directiva se aplica a las aplicaciones con la versión Http establecida en 1.1. | AuditIfNotExists, Disabled | 1.0.0 |
| Las aplicaciones de App Service deben tener la depuración remota desactivada | La depuración remota requiere que se abran puertos de entrada en una aplicación de App Service. Se debe desactivar la depuración remota. | AuditIfNotExists, Disabled | 2.0.0 |
| Las aplicaciones de App Service no deberían tener CORS configurado para permitir que todos los recursos accedan a sus aplicaciones | El uso compartido de recursos entre orígenes (CORS) no debe permitir que todos los dominios accedan a la aplicación. Permita la interacción con la aplicación solo de los dominios requeridos. | AuditIfNotExists, Disabled | 2.0.0 |
| El complemento Azure Policy para Kubernetes Service (AKS) debería estar instalado y habilitado en sus clústeres | El complemento Azure Policy para Kubernetes Service (AKS) amplía Gatekeeper v3, un webhook del controlador de admisión de Open Policy Agent (OPA), para aplicar imposiciones y medidas de seguridad a escala en los clústeres de forma centralizada y coherente. | Audit, Disabled | 1.0.2 |
| Las aplicaciones de funciones deben tener la depuración remota desactivada | La depuración remota requiere que se abran puertos de entrada en las aplicaciones de funciones. Se debe desactivar la depuración remota. | AuditIfNotExists, Disabled | 2.0.0 |
| Las aplicaciones de funciones no deben tener CORS configurado para permitir que todos los recursos accedan a las aplicaciones | El uso compartido de recursos entre orígenes (CORS) no debe permitir que todos los dominios accedan a la aplicación de funciones. Permita la interacción con la aplicación de funciones solo de los dominios requeridos. | AuditIfNotExists, Disabled | 2.0.0 |
| Asegurarse de que los límites de los recursos de memoria y CPU del contenedor no superan los límites especificados en el clúster de Kubernetes | Aplique límites de recursos de CPU y memoria de contenedor en un clúster de Kubernetes para evitar los ataques de agotamiento de recursos. Esta directiva está disponible con carácter general para Kubernetes Service (AKS) y en versión preliminar para Kubernetes habilitado para Azure Arc. Para obtener más información, vea https://aka.ms/kubepolicydoc. | audit, Audit, deny, Deny, disabled, Disabled | 10.1.0 |
| Los contenedores del clúster de Kubernetes no deben compartir el identificador de proceso del host ni el espacio de nombres IPC del host | No permita que los contenedores de pods compartan el espacio de nombres de id. de proceso de host ni el espacio de nombres de IPC de host en un clúster de Kubernetes. Esta recomendación forma parte de las versiones 5.2.2 y 5.2.3 de CIS, diseñadas para mejorar la seguridad de los entornos de Kubernetes. Esta directiva está disponible con carácter general para Kubernetes Service (AKS) y en versión preliminar para Kubernetes habilitado para Azure Arc. Para obtener más información, vea https://aka.ms/kubepolicydoc. | audit, Audit, deny, Deny, disabled, Disabled | 6.1.0 |
| Los contenedores de clúster de Kubernetes solo deben usar perfiles de AppArmor permitidos | Los contenedores solo deben usar perfiles de AppArmor permitidos en un clúster de Kubernetes. Esta directiva está disponible con carácter general para Kubernetes Service (AKS) y en versión preliminar para Kubernetes habilitado para Azure Arc. Para obtener más información, vea https://aka.ms/kubepolicydoc. | audit, Audit, deny, Deny, disabled, Disabled | 7.1.1 |
| Los contenedores de clúster de Kubernetes solo deben usar funcionalidades permitidas | Restrinja las funcionalidades para reducir la superficie de contenedores expuesta a ataques en un clúster de Kubernetes. Esta recomendación forma parte de las versiones 5.2.8 y 5.2.9 de CIS, diseñadas para mejorar la seguridad de los entornos de Kubernetes. Esta directiva está disponible con carácter general para Kubernetes Service (AKS) y en versión preliminar para Kubernetes habilitado para Azure Arc. Para obtener más información, vea https://aka.ms/kubepolicydoc. | audit, Audit, deny, Deny, disabled, Disabled | 7.1.0 |
| Asegurarse de que solo se admiten las imágenes de contenedor permitidas en el clúster de Kubernetes | Use imágenes de registros de confianza para reducir el riesgo de exposición del clúster de Kubernetes a vulnerabilidades desconocidas, problemas de seguridad e imágenes malintencionadas. Para obtener más información, vea https://aka.ms/kubepolicydoc. | audit, Audit, deny, Deny, disabled, Disabled | 10.1.1 |
| Los contenedores del clúster de Kubernetes deben ejecutarse con un sistema de archivos raíz de solo lectura | Ejecute contenedores con un sistema de archivos raíz de solo lectura para protegerlos de los cambios en tiempo de ejecución con la incorporación de archivos binarios malintencionados a la ruta de acceso en un clúster de Kubernetes. Esta directiva está disponible con carácter general para Kubernetes Service (AKS) y en versión preliminar para Kubernetes habilitado para Azure Arc. Para obtener más información, vea https://aka.ms/kubepolicydoc. | audit, Audit, deny, Deny, disabled, Disabled | 7.1.0 |
| Los volúmenes hostPath del pod del clúster de Kubernetes solo deben usar rutas de host permitidas | Limite los montajes de volumen hostPath del pod a las rutas de acceso de host permitidas en un clúster de Kubernetes. Esta directiva está disponible con carácter general para Kubernetes Service (AKS) y Kubernetes habilitado para Azure Arc. Para más información, consulte https://aka.ms/kubepolicydoc. | audit, Audit, deny, Deny, disabled, Disabled | 7.1.1 |
| Los contenedores y pods de clúster de Kubernetes solo deben ejecutarse con identificadores de usuario y grupo aprobados | Controle los id. de usuario, grupo principal, grupo adicional y grupo de sistema de archivos que los pods y los contenedores pueden usar para ejecutarse en un clúster de Kubernetes. Esta directiva está disponible con carácter general para Kubernetes Service (AKS) y en versión preliminar para Kubernetes habilitado para Azure Arc. Para obtener más información, vea https://aka.ms/kubepolicydoc. | audit, Audit, deny, Deny, disabled, Disabled | 7.1.1 |
| Los pods del clúster de Kubernetes solo pueden usar redes de host e intervalos de puerto permitidos | Restringe el acceso de los pods a la red del host y el intervalo de puertos de host permitidos en un clúster de Kubernetes. Esta recomendación forma parte de la versión 5.2.4 de CIS, diseñada para mejorar la seguridad de los entornos de Kubernetes. Esta directiva está disponible con carácter general para Kubernetes Service (AKS) y en versión preliminar para Kubernetes habilitado para Azure Arc. Para obtener más información, vea https://aka.ms/kubepolicydoc. | audit, Audit, deny, Deny, disabled, Disabled | 7.1.0 |
| Los servicios de clúster de Kubernetes solo deben escuchar en los puertos permitidos | Restrinja los servicios para que escuchen solo en puertos permitidos para proteger el acceso al clúster de Kubernetes. Esta directiva está disponible con carácter general para Kubernetes Service (AKS) y en versión preliminar para Kubernetes habilitado para Azure Arc. Para obtener más información, vea https://aka.ms/kubepolicydoc. | audit, Audit, deny, Deny, disabled, Disabled | 9.1.0 |
| No permitir contenedores con privilegios en el clúster de Kubernetes | No permita la creación de contenedores con privilegios en un clúster de Kubernetes. Esta recomendación forma parte de la versión 5.2.1 de CIS, diseñada para mejorar la seguridad de los entornos de Kubernetes. Esta directiva está disponible con carácter general para Kubernetes Service (AKS) y en versión preliminar para Kubernetes habilitado para Azure Arc. Para obtener más información, vea https://aka.ms/kubepolicydoc. | audit, Audit, deny, Deny, disabled, Disabled | 10.1.0 |
| Los clústeres de Kubernetes no deben permitir la elevación de privilegios del contenedor | No permita que los contenedores se ejecuten con elevación de privilegios en la raíz en un clúster de Kubernetes. Esta recomendación forma parte de la versión 5.2.5 de CIS, diseñada para mejorar la seguridad de los entornos de Kubernetes. Esta directiva está disponible con carácter general para Kubernetes Service (AKS) y en versión preliminar para Kubernetes habilitado para Azure Arc. Para obtener más información, vea https://aka.ms/kubepolicydoc. | audit, Audit, deny, Deny, disabled, Disabled | 8.1.0 |
| Las máquinas Linux deben cumplir los requisitos de la base de referencia de seguridad de procesos de Azure | Requiere que los requisitos previos se implementen en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. Las máquinas no son compatibles si la máquina no está configurada correctamente para una de las recomendaciones de la base de referencia de seguridad de procesos de Azure. | AuditIfNotExists, Disabled | 1.5.0 |
| Control administrado por Microsoft 1208: opciones de configuración | Microsoft implementa este control de administración de configuración | auditoría | 1.0.0 |
| Control administrado por Microsoft 1209: opciones de configuración | Microsoft implementa este control de administración de configuración | auditoría | 1.0.0 |
| Control administrado por Microsoft 1210: opciones de configuración | Microsoft implementa este control de administración de configuración | auditoría | 1.0.0 |
| Control administrado por Microsoft 1211: opciones de configuración | Microsoft implementa este control de administración de configuración | auditoría | 1.0.0 |
| Las máquinas Windows deben cumplir los requisitos de la base de referencia de seguridad de procesos de Azure | Requiere que los requisitos previos se implementen en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. Las máquinas no son compatibles si la máquina no está configurada correctamente para una de las recomendaciones de la base de referencia de seguridad de procesos de Azure. | AuditIfNotExists, Disabled | 1.0.0 |
Automatización de la comprobación, la aplicación y la administración de manera centralizada
Id.: NIST SP 800-53 Rev. 4 CM-6 (1) Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Control administrado por Microsoft 1212: opciones de configuración Automatización de la comprobación, la aplicación y la administración de manera centralizada | Microsoft implementa este control de administración de configuración | auditoría | 1.0.0 |
Respuesta a cambios no autorizados
Id.: NIST SP 800-53 Rev. 4 CM-6 (2) Propiedad: Microsoft
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Control administrado por Microsoft 1213: opciones de configuración | Respuesta a cambios no autorizados | Microsoft implementa este control de administración de configuración | auditoría | 1.0.0 |
Funcionalidad mínima
Id.: NIST SP 800-53 Rev. 4 CM-7 Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Los controles de aplicaciones adaptables para definir aplicaciones seguras deben estar habilitados en las máquinas | Habilite controles de aplicaciones para definir la lista de aplicaciones seguras conocidas que se ejecutan en las máquinas, y recibir avisos cuando se ejecuten otras aplicaciones. Esta directiva también ayuda a proteger las máquinas frente al malware. Para simplificar el proceso de configuración y mantenimiento de las reglas, Security Center usa el aprendizaje automático para analizar las aplicaciones que se ejecutan en cada máquina y sugerir la lista de aplicaciones seguras conocidas. | AuditIfNotExists, Disabled | 3.0.0 |
| Se deben actualizar las reglas de la lista de permitidos de la directiva de controles de aplicaciones adaptables | Supervise los cambios en el comportamiento de los grupos de máquinas configurados para la auditoría mediante controles de aplicaciones adaptables de Azure Security Center. Security Center usa el aprendizaje automático para analizar los procesos en ejecución en las máquinas y sugerir una lista de aplicaciones seguras conocidas. Estas se presentan como aplicaciones recomendadas que se deben permitir en directivas de control de aplicaciones adaptables. | AuditIfNotExists, Disabled | 3.0.0 |
| Se debe habilitar Azure Defender para servidores | Azure Defender para servidores proporciona protección en tiempo real contra amenazas para las cargas de trabajo del servidor y genera recomendaciones de protección, así como alertas sobre la actividad sospechosa. | AuditIfNotExists, Disabled | 1.0.3 |
| Control administrado por Microsoft 1214: funcionalidad mínima | Microsoft implementa este control de administración de configuración | auditoría | 1.0.0 |
| Control administrado por Microsoft 1215: funcionalidad mínima | Microsoft implementa este control de administración de configuración | auditoría | 1.0.0 |
Revisión periódica
Id.: NIST SP 800-53 Rev. 4 CM-7 (1) Propiedad: Microsoft
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Control administrado por Microsoft 1216: funcionalidad mínima | Revisión periódica | Microsoft implementa este control de administración de configuración | auditoría | 1.0.0 |
| Control administrado por Microsoft 1217: funcionalidad mínima | Revisión periódica | Microsoft implementa este control de administración de configuración | auditoría | 1.0.0 |
Impedimento de la ejecución del programa
Id.: NIST SP 800-53 Rev. 4 CM-7 (2) Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Los controles de aplicaciones adaptables para definir aplicaciones seguras deben estar habilitados en las máquinas | Habilite controles de aplicaciones para definir la lista de aplicaciones seguras conocidas que se ejecutan en las máquinas, y recibir avisos cuando se ejecuten otras aplicaciones. Esta directiva también ayuda a proteger las máquinas frente al malware. Para simplificar el proceso de configuración y mantenimiento de las reglas, Security Center usa el aprendizaje automático para analizar las aplicaciones que se ejecutan en cada máquina y sugerir la lista de aplicaciones seguras conocidas. | AuditIfNotExists, Disabled | 3.0.0 |
| Se deben actualizar las reglas de la lista de permitidos de la directiva de controles de aplicaciones adaptables | Supervise los cambios en el comportamiento de los grupos de máquinas configurados para la auditoría mediante controles de aplicaciones adaptables de Azure Security Center. Security Center usa el aprendizaje automático para analizar los procesos en ejecución en las máquinas y sugerir una lista de aplicaciones seguras conocidas. Estas se presentan como aplicaciones recomendadas que se deben permitir en directivas de control de aplicaciones adaptables. | AuditIfNotExists, Disabled | 3.0.0 |
| Control administrado por Microsoft 1218: funcionalidad mínima | Impedimento de la ejecución del programa | Microsoft implementa este control de administración de configuración | auditoría | 1.0.0 |
Listas de permitidos y software autorizado
Id.: NIST SP 800-53 Rev. 4 CM-7 (5) Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Los controles de aplicaciones adaptables para definir aplicaciones seguras deben estar habilitados en las máquinas | Habilite controles de aplicaciones para definir la lista de aplicaciones seguras conocidas que se ejecutan en las máquinas, y recibir avisos cuando se ejecuten otras aplicaciones. Esta directiva también ayuda a proteger las máquinas frente al malware. Para simplificar el proceso de configuración y mantenimiento de las reglas, Security Center usa el aprendizaje automático para analizar las aplicaciones que se ejecutan en cada máquina y sugerir la lista de aplicaciones seguras conocidas. | AuditIfNotExists, Disabled | 3.0.0 |
| Se deben actualizar las reglas de la lista de permitidos de la directiva de controles de aplicaciones adaptables | Supervise los cambios en el comportamiento de los grupos de máquinas configurados para la auditoría mediante controles de aplicaciones adaptables de Azure Security Center. Security Center usa el aprendizaje automático para analizar los procesos en ejecución en las máquinas y sugerir una lista de aplicaciones seguras conocidas. Estas se presentan como aplicaciones recomendadas que se deben permitir en directivas de control de aplicaciones adaptables. | AuditIfNotExists, Disabled | 3.0.0 |
| Control administrado por Microsoft 1219: funcionalidad mínima | Listas de permitidos y software autorizado | Microsoft implementa este control de administración de configuración | auditoría | 1.0.0 |
| Control administrado por Microsoft 1220: funcionalidad mínima | Listas de permitidos y software autorizado | Microsoft implementa este control de administración de configuración | auditoría | 1.0.0 |
| Control administrado por Microsoft 1221: funcionalidad mínima | Listas de permitidos y software autorizado | Microsoft implementa este control de administración de configuración | auditoría | 1.0.0 |
Inventario de componentes del sistema de información
Id.: NIST SP 800-53 Rev. 4 CM-8 Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Control administrado por Microsoft 1222: inventario de componentes del sistema de información | Microsoft implementa este control de administración de configuración | auditoría | 1.0.0 |
| Control administrado por Microsoft 1223: inventario de componentes del sistema de información | Microsoft implementa este control de administración de configuración | auditoría | 1.0.0 |
Actualizaciones durante instalaciones o eliminaciones
Id.: NIST SP 800-53 Rev. 4 CM-8 (1) Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Control administrado por Microsoft 1224: inventario de componentes del sistema de información | Actualizaciones durante instalaciones o eliminaciones | Microsoft implementa este control de administración de configuración | auditoría | 1.0.0 |
Mantenimiento automatizado
Id.: NIST SP 800-53 Rev. 4 CM-8 (2) Propiedad: Microsoft
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Control administrado por Microsoft 1225: inventario de componentes del sistema de información | Mantenimiento automatizado | Microsoft implementa este control de administración de configuración | auditoría | 1.0.0 |
Detección automatizada de componentes no autorizados
Id.: NIST SP 800-53 Rev. 4 CM-8 (3) Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Control administrado por Microsoft 1226: inventario de componentes del sistema de información | Detección automatizada de componentes no autorizados | Microsoft implementa este control de administración de configuración | auditoría | 1.0.0 |
| Control administrado por Microsoft 1227: inventario de componentes del sistema de información | Detección automatizada de componentes no autorizados | Microsoft implementa este control de administración de configuración | auditoría | 1.0.0 |
Información de responsabilidad
Id.: NIST SP 800-53 Rev. 4 CM-8 (4) Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Control administrado por Microsoft 1228: inventario de componentes del sistema de información | Información de responsabilidad | Microsoft implementa este control de administración de configuración | auditoría | 1.0.0 |
No se contabilizan los componentes por duplicado
Id.: NIST SP 800-53 Rev. 4 CM-8 (5) Propiedad: Microsoft
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Control administrado por Microsoft 1229: inventario de componentes del sistema de información | No se contabilizan los componentes por duplicado | Microsoft implementa este control de administración de configuración | auditoría | 1.0.0 |
Plan de administración de configuración
Id.: NIST SP 800-53 Rev. 4 CM-9 Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Control administrado por Microsoft 1230: plan de administración de configuración | Microsoft implementa este control de administración de configuración | auditoría | 1.0.0 |
| Control administrado por Microsoft 1231: plan de administración de configuración | Microsoft implementa este control de administración de configuración | auditoría | 1.0.0 |
| Control administrado por Microsoft 1232: plan de administración de configuración | Microsoft implementa este control de administración de configuración | auditoría | 1.0.0 |
| Control administrado por Microsoft 1233: plan de administración de configuración | Microsoft implementa este control de administración de configuración | auditoría | 1.0.0 |
Restricciones de uso de software
Id.: NIST SP 800-53 Rev. 4 CM-10 Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Los controles de aplicaciones adaptables para definir aplicaciones seguras deben estar habilitados en las máquinas | Habilite controles de aplicaciones para definir la lista de aplicaciones seguras conocidas que se ejecutan en las máquinas, y recibir avisos cuando se ejecuten otras aplicaciones. Esta directiva también ayuda a proteger las máquinas frente al malware. Para simplificar el proceso de configuración y mantenimiento de las reglas, Security Center usa el aprendizaje automático para analizar las aplicaciones que se ejecutan en cada máquina y sugerir la lista de aplicaciones seguras conocidas. | AuditIfNotExists, Disabled | 3.0.0 |
| Se deben actualizar las reglas de la lista de permitidos de la directiva de controles de aplicaciones adaptables | Supervise los cambios en el comportamiento de los grupos de máquinas configurados para la auditoría mediante controles de aplicaciones adaptables de Azure Security Center. Security Center usa el aprendizaje automático para analizar los procesos en ejecución en las máquinas y sugerir una lista de aplicaciones seguras conocidas. Estas se presentan como aplicaciones recomendadas que se deben permitir en directivas de control de aplicaciones adaptables. | AuditIfNotExists, Disabled | 3.0.0 |
| Control administrado por Microsoft 1234: restricciones de uso de software | Microsoft implementa este control de administración de configuración | auditoría | 1.0.0 |
| Control administrado por Microsoft 1235: restricciones de uso de software | Microsoft implementa este control de administración de configuración | auditoría | 1.0.0 |
| Control administrado por Microsoft 1236: restricciones de uso de software | Microsoft implementa este control de administración de configuración | auditoría | 1.0.0 |
Software de código abierto
Id.: NIST SP 800-53 Rev. 4 CM-10 (1) Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Control administrado por Microsoft 1237: restricciones de uso de software | Software de código abierto | Microsoft implementa este control de administración de configuración | auditoría | 1.0.0 |
Software instalado por el usuario
Id.: NIST SP 800-53 Rev. 4 CM-11 Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Los controles de aplicaciones adaptables para definir aplicaciones seguras deben estar habilitados en las máquinas | Habilite controles de aplicaciones para definir la lista de aplicaciones seguras conocidas que se ejecutan en las máquinas, y recibir avisos cuando se ejecuten otras aplicaciones. Esta directiva también ayuda a proteger las máquinas frente al malware. Para simplificar el proceso de configuración y mantenimiento de las reglas, Security Center usa el aprendizaje automático para analizar las aplicaciones que se ejecutan en cada máquina y sugerir la lista de aplicaciones seguras conocidas. | AuditIfNotExists, Disabled | 3.0.0 |
| Se deben actualizar las reglas de la lista de permitidos de la directiva de controles de aplicaciones adaptables | Supervise los cambios en el comportamiento de los grupos de máquinas configurados para la auditoría mediante controles de aplicaciones adaptables de Azure Security Center. Security Center usa el aprendizaje automático para analizar los procesos en ejecución en las máquinas y sugerir una lista de aplicaciones seguras conocidas. Estas se presentan como aplicaciones recomendadas que se deben permitir en directivas de control de aplicaciones adaptables. | AuditIfNotExists, Disabled | 3.0.0 |
| Control administrado por Microsoft 1238: software instalado por el usuario | Microsoft implementa este control de administración de configuración | auditoría | 1.0.0 |
| Control administrado por Microsoft 1239: software instalado por el usuario | Microsoft implementa este control de administración de configuración | auditoría | 1.0.0 |
| Control administrado por Microsoft 1240: software instalado por el usuario | Microsoft implementa este control de administración de configuración | auditoría | 1.0.0 |
Alertas para instalaciones no autorizadas
Id.: NIST SP 800-53 Rev. 4 CM-11 (1) Propiedad: Microsoft
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Control administrado por Microsoft 1241: software instalado por el usuario | Alertas para instalaciones no autorizadas | Microsoft implementa este control de administración de configuración | auditoría | 1.0.0 |
Planes de contingencia
Procedimientos y directiva de los planes de contingencia
Id.: NIST SP 800-53 Rev. 4 CP-1 Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Control administrado por Microsoft 1242: procedimientos y directiva del planeamiento de contingencia | Microsoft implementa este control de planes de contingencia | auditoría | 1.0.0 |
| Control administrado por Microsoft 1243: procedimientos y directiva del planeamiento de contingencia | Microsoft implementa este control de planes de contingencia | auditoría | 1.0.0 |
Plan de contingencia
Id.: NIST SP 800-53 Rev. 4 CP-2 Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Control administrado por Microsoft 1244: plan de contingencia | Microsoft implementa este control de planes de contingencia | auditoría | 1.0.0 |
| Control administrado por Microsoft 1245: plan de contingencia | Microsoft implementa este control de planes de contingencia | auditoría | 1.0.0 |
| Control administrado por Microsoft 1246: plan de contingencia | Microsoft implementa este control de planes de contingencia | auditoría | 1.0.0 |
| Control administrado por Microsoft 1247: plan de contingencia | Microsoft implementa este control de planes de contingencia | auditoría | 1.0.0 |
| Control administrado por Microsoft 1248: plan de contingencia | Microsoft implementa este control de planes de contingencia | auditoría | 1.0.0 |
| Control administrado por Microsoft 1249: plan de contingencia | Microsoft implementa este control de planes de contingencia | auditoría | 1.0.0 |
| Control administrado por Microsoft 1250: plan de contingencia | Microsoft implementa este control de planes de contingencia | auditoría | 1.0.0 |
Coordinación con planes relacionados
Id.: NIST SP 800-53 Rev. 4 CP-2 (1) Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Control administrado por Microsoft 1251: plan de contingencia | Coordinación con planes relacionados | Microsoft implementa este control de planes de contingencia | auditoría | 1.0.0 |
Planificación de capacidad
Id.: NIST SP 800-53 Rev. 4 CP-2 (2) Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Control administrado por Microsoft 1252: plan de contingencia | Planificación de capacidad | Microsoft implementa este control de planes de contingencia | auditoría | 1.0.0 |
Reanudación de misiones esenciales o funciones empresariales
Id.: NIST SP 800-53 Rev. 4 CP-2 (3) Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Control administrado por Microsoft 1253: plan de contingencia | Reanudación de misiones esenciales o funciones empresariales | Microsoft implementa este control de planes de contingencia | auditoría | 1.0.0 |
Reanudación de todas las misiones o funciones empresariales
Id.: NIST SP 800-53 Rev. 4 CP-2 (4) Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Control administrado por Microsoft 1254: plan de contingencia | Reanudación de todas las misiones o funciones empresariales | Microsoft implementa este control de planes de contingencia | auditoría | 1.0.0 |
Continuación de funciones empresariales o misiones esenciales
Id.: NIST SP 800-53 Rev. 4 CP-2 (5) Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Control administrado por Microsoft 1255: plan de contingencia | Continuación de funciones empresariales o misiones esenciales | Microsoft implementa este control de planes de contingencia | auditoría | 1.0.0 |
Identificación de recursos críticos
Id.: NIST SP 800-53 Rev. 4 CP-2 (8) Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Control administrado por Microsoft 1256: plan de contingencia | Identificación de recursos críticos | Microsoft implementa este control de planes de contingencia | auditoría | 1.0.0 |
Aprendizaje sobre contingencia
Id.: NIST SP 800-53 Rev. 4 CP-3 Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Control administrado por Microsoft 1257: aprendizaje sobre contingencia | Microsoft implementa este control de planes de contingencia | auditoría | 1.0.0 |
| Control administrado por Microsoft 1258: aprendizaje sobre contingencia | Microsoft implementa este control de planes de contingencia | auditoría | 1.0.0 |
| Control administrado por Microsoft 1259: aprendizaje sobre contingencia | Microsoft implementa este control de planes de contingencia | auditoría | 1.0.0 |
Eventos simulados
Id.: NIST SP 800-53 Rev. 4 CP-3 (1) Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Control administrado por Microsoft 1260: aprendizaje sobre contingencia | Eventos simulados | Microsoft implementa este control de planes de contingencia | auditoría | 1.0.0 |
Pruebas del plan de contingencia
Id.: NIST SP 800-53 Rev. 4 CP-4 Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Control administrado por Microsoft 1261: pruebas del plan de contingencia | Microsoft implementa este control de planes de contingencia | auditoría | 1.0.0 |
| Control administrado por Microsoft 1262: pruebas del plan de contingencia | Microsoft implementa este control de planes de contingencia | auditoría | 1.0.0 |
| Control administrado por Microsoft 1263: pruebas del plan de contingencia | Microsoft implementa este control de planes de contingencia | auditoría | 1.0.0 |
Coordinación con planes relacionados
Id.: NIST SP 800-53 Rev. 4 CP-4 (1) Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Control administrado por Microsoft 1264: pruebas del plan de contingencia | Coordinación con planes relacionados | Microsoft implementa este control de planes de contingencia | auditoría | 1.0.0 |
Sitio de procesamiento alternativo
Id.: NIST SP 800-53 Rev. 4 CP-4 (2) Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Control administrado por Microsoft 1265: pruebas del plan de contingencia | Sitio de procesamiento alternativo | Microsoft implementa este control de planes de contingencia | auditoría | 1.0.0 |
| Control administrado por Microsoft 1266: pruebas del plan de contingencia | Sitio de procesamiento alternativo | Microsoft implementa este control de planes de contingencia | auditoría | 1.0.0 |
Sitio de almacenamiento alternativo
Id.: NIST SP 800-53 Rev. 4 CP-6 Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| La copia de seguridad con redundancia geográfica debe estar habilitada para Azure Database for MariaDB | Azure Database for MariaDB le permite elegir la opción de redundancia para el servidor de bases de datos. Se puede establecer en un almacenamiento de copia de seguridad con redundancia geográfica donde los datos no solo se almacenan dentro de la región en la que se hospeda el servidor, sino que también se replican en una región emparejada para proporcionar la opción de recuperación en caso de que se produzca un error en la región. La configuración de almacenamiento con redundancia geográfica para copia de seguridad solo se permite durante la creación del servidor. | Audit, Disabled | 1.0.1 |
| La copia de seguridad con redundancia geográfica debe estar habilitada para Azure Database for MySQL | Azure Database for MySQL le permite elegir la opción de redundancia para el servidor de bases de datos. Se puede establecer en un almacenamiento de copia de seguridad con redundancia geográfica donde los datos no solo se almacenan dentro de la región en la que se hospeda el servidor, sino que también se replican en una región emparejada para proporcionar la opción de recuperación en caso de que se produzca un error en la región. La configuración de almacenamiento con redundancia geográfica para copia de seguridad solo se permite durante la creación del servidor. | Audit, Disabled | 1.0.1 |
| La copia de seguridad con redundancia geográfica debe estar habilitada para Azure Database for PostgreSQL | Azure Database for PostgreSQL le permite elegir la opción de redundancia para el servidor de bases de datos. Se puede establecer en un almacenamiento de copia de seguridad con redundancia geográfica donde los datos no solo se almacenan dentro de la región en la que se hospeda el servidor, sino que también se replican en una región emparejada para proporcionar la opción de recuperación en caso de que se produzca un error en la región. La configuración de almacenamiento con redundancia geográfica para copia de seguridad solo se permite durante la creación del servidor. | Audit, Disabled | 1.0.1 |
| El almacenamiento con redundancia geográfica debe estar habilitado para las cuentas de almacenamiento | Use la redundancia geográfica para crear aplicaciones de alta disponibilidad. | Audit, Disabled | 1.0.0 |
| La copia de seguridad con redundancia geográfica a largo plazo debe estar habilitada para las instancias de Azure SQL Database | Esta directiva audita cualquier instancia de Azure SQL Database que no tenga la copia de seguridad con redundancia geográfica habilitada. | AuditIfNotExists, Disabled | 2.0.0 |
| Control administrado por Microsoft 1267: sitio de almacenamiento alternativo | Microsoft implementa este control de planes de contingencia | auditoría | 1.0.0 |
| Control administrado por Microsoft 1268: sitio de almacenamiento alternativo | Microsoft implementa este control de planes de contingencia | auditoría | 1.0.0 |
Separación del sitio principal
Id.: NIST SP 800-53 Rev. 4 CP-6 (1) Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| La copia de seguridad con redundancia geográfica debe estar habilitada para Azure Database for MariaDB | Azure Database for MariaDB le permite elegir la opción de redundancia para el servidor de bases de datos. Se puede establecer en un almacenamiento de copia de seguridad con redundancia geográfica donde los datos no solo se almacenan dentro de la región en la que se hospeda el servidor, sino que también se replican en una región emparejada para proporcionar la opción de recuperación en caso de que se produzca un error en la región. La configuración de almacenamiento con redundancia geográfica para copia de seguridad solo se permite durante la creación del servidor. | Audit, Disabled | 1.0.1 |
| La copia de seguridad con redundancia geográfica debe estar habilitada para Azure Database for MySQL | Azure Database for MySQL le permite elegir la opción de redundancia para el servidor de bases de datos. Se puede establecer en un almacenamiento de copia de seguridad con redundancia geográfica donde los datos no solo se almacenan dentro de la región en la que se hospeda el servidor, sino que también se replican en una región emparejada para proporcionar la opción de recuperación en caso de que se produzca un error en la región. La configuración de almacenamiento con redundancia geográfica para copia de seguridad solo se permite durante la creación del servidor. | Audit, Disabled | 1.0.1 |
| La copia de seguridad con redundancia geográfica debe estar habilitada para Azure Database for PostgreSQL | Azure Database for PostgreSQL le permite elegir la opción de redundancia para el servidor de bases de datos. Se puede establecer en un almacenamiento de copia de seguridad con redundancia geográfica donde los datos no solo se almacenan dentro de la región en la que se hospeda el servidor, sino que también se replican en una región emparejada para proporcionar la opción de recuperación en caso de que se produzca un error en la región. La configuración de almacenamiento con redundancia geográfica para copia de seguridad solo se permite durante la creación del servidor. | Audit, Disabled | 1.0.1 |
| El almacenamiento con redundancia geográfica debe estar habilitado para las cuentas de almacenamiento | Use la redundancia geográfica para crear aplicaciones de alta disponibilidad. | Audit, Disabled | 1.0.0 |
| La copia de seguridad con redundancia geográfica a largo plazo debe estar habilitada para las instancias de Azure SQL Database | Esta directiva audita cualquier instancia de Azure SQL Database que no tenga la copia de seguridad con redundancia geográfica habilitada. | AuditIfNotExists, Disabled | 2.0.0 |
| Control administrado por Microsoft 1269: sitio de almacenamiento alternativo | Separación del sitio principal | Microsoft implementa este control de planes de contingencia | auditoría | 1.0.0 |
Objetivos de tiempo o punto de recuperación
Id.: NIST SP 800-53 Rev. 4 CP-6 (2) Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Control administrado por Microsoft 1270: sitio de almacenamiento alternativo | Objetivos de tiempo o punto de recuperación | Microsoft implementa este control de planes de contingencia | auditoría | 1.0.0 |
Accesibilidad
Id.: NIST SP 800-53 Rev. 4 CP-6 (3) Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Control administrado por Microsoft 1271: sitio de almacenamiento alternativo | Accesibilidad | Microsoft implementa este control de planes de contingencia | auditoría | 1.0.0 |
Sitio de procesamiento alternativo
Id.: NIST SP 800-53 Rev. 4 CP-7 Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Auditoría de máquinas virtuales sin la recuperación ante desastres configurada | Audita las máquinas virtuales que no tienen configurada la recuperación ante desastres. Para más información acerca de la recuperación ante desastres, visite https://aka.ms/asr-doc. | auditIfNotExists | 1.0.0 |
| Control administrado por Microsoft 1272: sitio de procesamiento alternativo | Microsoft implementa este control de planes de contingencia | auditoría | 1.0.0 |
| Control administrado por Microsoft 1273: sitio de procesamiento alternativo | Microsoft implementa este control de planes de contingencia | auditoría | 1.0.0 |
| Control administrado por Microsoft 1274: sitio de procesamiento alternativo | Microsoft implementa este control de planes de contingencia | auditoría | 1.0.0 |
Separación del sitio principal
Id.: NIST SP 800-53 Rev. 4 CP-7 (1) Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Control administrado por Microsoft 1275: sitio de procesamiento alternativo | Separación del sitio principal | Microsoft implementa este control de planes de contingencia | auditoría | 1.0.0 |
Accesibilidad
Id.: NIST SP 800-53 Rev. 4 CP-7 (2) Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Control administrado por Microsoft 1276: sitio de procesamiento alternativo | Accesibilidad | Microsoft implementa este control de planes de contingencia | auditoría | 1.0.0 |
Prioridad de servicio
Id.: NIST SP 800-53 Rev. 4 CP-7 (3) Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Control administrado por Microsoft 1277: sitio de procesamiento alternativo | Prioridad de servicio | Microsoft implementa este control de planes de contingencia | auditoría | 1.0.0 |
Preparación para el uso
ID: NIST SP 800-53 Rev. 4 CP-7 (4) Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Control administrado por Microsoft 1278: sitio de procesamiento alternativo | Preparación para el uso | Microsoft implementa este control de planes de contingencia | auditoría | 1.0.0 |
Servicios de telecomunicaciones
Id.: NIST SP 800-53 Rev. 4 CP-8 Propiedad: Microsoft
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Control administrado por Microsoft 1279: servicios de telecomunicaciones | Microsoft implementa este control de planes de contingencia | auditoría | 1.0.0 |
Prioridad de los aprovisionamientos de servicio
Id.: NIST SP 800-53 Rev. 4 CP-8 (1) Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Control administrado por Microsoft 1280: servicios de telecomunicaciones | Prioridad de los aprovisionamientos de servicio | Microsoft implementa este control de planes de contingencia | auditoría | 1.0.0 |
| Control administrado por Microsoft 1281: servicios de telecomunicaciones | Prioridad de los aprovisionamientos de servicio | Microsoft implementa este control de planes de contingencia | auditoría | 1.0.0 |
Únicos puntos de error
Id.: NIST SP 800-53 Rev. 4 CP-8 (2) Propiedad: Microsoft
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Control administrado por Microsoft 1282: servicios de telecomunicaciones | Únicos puntos de error | Microsoft implementa este control de planes de contingencia | auditoría | 1.0.0 |
Separación de proveedores principales o alternativos
Id.: NIST SP 800-53 Rev. 4 CP-8 (3) Propiedad: Microsoft
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Control administrado por Microsoft 1283: servicios de telecomunicaciones | Separación de proveedores principales o alternativos | Microsoft implementa este control de planes de contingencia | auditoría | 1.0.0 |
Plan de contingencia del proveedor
Id.: NIST SP 800-53 Rev. 4 CP-8 (4) Propiedad: Microsoft
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Control administrado por Microsoft 1284: servicios de telecomunicaciones | Plan de contingencia del proveedor | Microsoft implementa este control de planes de contingencia | auditoría | 1.0.0 |
| Control administrado por Microsoft 1285: servicios de telecomunicaciones | Plan de contingencia del proveedor | Microsoft implementa este control de planes de contingencia | auditoría | 1.0.0 |
| Control administrado por Microsoft 1286: servicios de telecomunicaciones | Plan de contingencia del proveedor | Microsoft implementa este control de planes de contingencia | auditoría | 1.0.0 |
Copia de seguridad del sistema de información
Id.: NIST SP 800-53 Rev. 4 CP-9 Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Azure Backup debe estar habilitado para Virtual Machines. | Asegúrese que Azure Virtual Machines está protegido; para ello, habilite Azure Backup. Azure Backup es una solución de protección de datos segura y rentable para Azure. | AuditIfNotExists, Disabled | 3.0.0 |
| La copia de seguridad con redundancia geográfica debe estar habilitada para Azure Database for MariaDB | Azure Database for MariaDB le permite elegir la opción de redundancia para el servidor de bases de datos. Se puede establecer en un almacenamiento de copia de seguridad con redundancia geográfica donde los datos no solo se almacenan dentro de la región en la que se hospeda el servidor, sino que también se replican en una región emparejada para proporcionar la opción de recuperación en caso de que se produzca un error en la región. La configuración de almacenamiento con redundancia geográfica para copia de seguridad solo se permite durante la creación del servidor. | Audit, Disabled | 1.0.1 |
| La copia de seguridad con redundancia geográfica debe estar habilitada para Azure Database for MySQL | Azure Database for MySQL le permite elegir la opción de redundancia para el servidor de bases de datos. Se puede establecer en un almacenamiento de copia de seguridad con redundancia geográfica donde los datos no solo se almacenan dentro de la región en la que se hospeda el servidor, sino que también se replican en una región emparejada para proporcionar la opción de recuperación en caso de que se produzca un error en la región. La configuración de almacenamiento con redundancia geográfica para copia de seguridad solo se permite durante la creación del servidor. | Audit, Disabled | 1.0.1 |
| La copia de seguridad con redundancia geográfica debe estar habilitada para Azure Database for PostgreSQL | Azure Database for PostgreSQL le permite elegir la opción de redundancia para el servidor de bases de datos. Se puede establecer en un almacenamiento de copia de seguridad con redundancia geográfica donde los datos no solo se almacenan dentro de la región en la que se hospeda el servidor, sino que también se replican en una región emparejada para proporcionar la opción de recuperación en caso de que se produzca un error en la región. La configuración de almacenamiento con redundancia geográfica para copia de seguridad solo se permite durante la creación del servidor. | Audit, Disabled | 1.0.1 |
| Los almacenes de claves deben tener habilitada la protección contra eliminación | La eliminación malintencionada de un almacén de claves puede provocar una pérdida de datos permanente. Puede evitar la pérdida permanente de datos habilitando la protección de purga y la eliminación temporal. La protección contra purgas le protege frente a ataques internos mediante la aplicación de un período de retención obligatorio para almacenes de claves eliminados temporalmente. Ningún usuario de su organización o Microsoft podrá purgar los almacenes de claves durante el período de retención de eliminación temporal. Tenga en cuenta que los almacenes de claves creados después del 1 de septiembre de 2019 tienen habilitada la eliminación temporal de manera predeterminada. | Audit, Deny, Disabled | 2.1.0 |
| Los almacenes de claves deben tener habilitada la eliminación temporal | Si se elimina un almacén de claves que no tenga habilitada la eliminación temporal, se eliminarán permanentemente todos los secretos, claves y certificados almacenados en ese almacén de claves. La eliminación accidental de un almacén de claves puede provocar una pérdida de datos permanente. La eliminación temporal permite recuperar un almacén de claves eliminado accidentalmente durante un período de retención configurable. | Audit, Deny, Disabled | 3.0.0 |
| Control administrado por Microsoft 1287: copia de seguridad del sistema de información | Microsoft implementa este control de planes de contingencia | auditoría | 1.0.0 |
| Control administrado por Microsoft 1288: copia de seguridad del sistema de información | Microsoft implementa este control de planes de contingencia | auditoría | 1.0.0 |
| Control administrado por Microsoft 1289: copia de seguridad del sistema de información | Microsoft implementa este control de planes de contingencia | auditoría | 1.0.0 |
| Control administrado por Microsoft 1290: copia de seguridad del sistema de información | Microsoft implementa este control de planes de contingencia | auditoría | 1.0.0 |
Pruebas de confiabilidad o integridad
Id.: NIST SP 800-53 Rev. 4 CP-9 (1) Propiedad: Microsoft
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Control administrado por Microsoft 1291: copia de seguridad del sistema de información | Pruebas de confiabilidad o integridad | Microsoft implementa este control de planes de contingencia | auditoría | 1.0.0 |
Restauración de pruebas mediante muestreo
Id.: NIST SP 800-53 Rev. 4 CP-9 (2) Propiedad: Microsoft
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Control administrado por Microsoft 1292: copia de seguridad del sistema de información | Restauración de pruebas mediante muestreo | Microsoft implementa este control de planes de contingencia | auditoría | 1.0.0 |
Almacenamiento independiente para la información crítica
Id.: NIST SP 800-53 Rev. 4 CP-9 (3) Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Control administrado por Microsoft 1293: copia de seguridad del sistema de información | Almacenamiento independiente para la información crítica | Microsoft implementa este control de planes de contingencia | auditoría | 1.0.0 |
Transferencia al sitio de almacenamiento alternativo
Id.: NIST SP 800-53 Rev. 4 CP-9 (5) Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Control administrado por Microsoft 1294: copia de seguridad del sistema de información | Transferencia al sitio de almacenamiento alternativo | Microsoft implementa este control de planes de contingencia | auditoría | 1.0.0 |
Reconstitución y recuperación del sistema de información
Id.: NIST SP 800-53 Rev. 4 CP-10 Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Control administrado por Microsoft 1295: recuperación y reconstitución del sistema de información | Microsoft implementa este control de planes de contingencia | auditoría | 1.0.0 |
Recuperación de la transacción
Id.: NIST SP 800-53 Rev. 4 CP-10 (2) Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Control administrado por Microsoft 1296: recuperación y reconstitución del sistema de información | Recuperación de la transacción | Microsoft implementa este control de planes de contingencia | auditoría | 1.0.0 |
Restauración en el período de tiempo
Id.: NIST SP 800-53 Rev. 4 CP-10 (4) Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Control administrado por Microsoft 1297: recuperación y reconstitución del sistema de información | Restauración en el período de tiempo | Microsoft implementa este control de planes de contingencia | auditoría | 1.0.0 |
Identificación y autenticación
Procedimientos y directivas de identificación y autenticación
Id.: NIST SP 800-53 Rev. 4 IA-1 Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Control administrado por Microsoft 1298: procedimientos y directivas de identificación y autenticación | Microsoft implementa este control de identificación y autenticación | auditoría | 1.0.0 |
| Control administrado por Microsoft 1299: procedimientos y directivas de identificación y autenticación | Microsoft implementa este control de identificación y autenticación | auditoría | 1.0.0 |
Identificación y autenticación (usuarios de la organización)
Id.: NIST SP 800-53 Rev. 4 IA-2 Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Deben estar habilitadas para MFA las cuentas con permisos de propietario de los recursos de Azure. | Multi-Factor Authentication (MFA) debe estar habilitada para todas las cuentas de la suscripción que tengan permisos de propietario, a fin de evitar una brecha de seguridad en las cuentas o los recursos. | AuditIfNotExists, Disabled | 1.0.0 |
| Deben estar habilitadas para MFA las cuentas con permisos de lectura de los recursos de Azure. | Multi-Factor Authentication (MFA) debe estar habilitada para todas las cuentas de la suscripción que tengan permisos de lectura, a fin de evitar una brecha de seguridad en las cuentas o los recursos. | AuditIfNotExists, Disabled | 1.0.0 |
| Deben estar habilitadas para MFA las cuentas con permisos de escritura de los recursos de Azure. | Multi-Factor Authentication (MFA) debe estar habilitada para todas las cuentas de la suscripción que tengan permisos de escritura, a fin de evitar una brecha de seguridad en las cuentas o los recursos. | AuditIfNotExists, Disabled | 1.0.0 |
| El administrador de Azure Active Directory debe aprovisionarse para servidores SQL Server | Permite aprovisionar un administrador de Azure Active Directory para SQL Server a fin de habilitar la autenticación de Azure AD. La autenticación de Azure AD permite la administración simplificada de permisos y la administración centralizada de identidades de usuarios de base de datos y otros servicios de Microsoft | AuditIfNotExists, Disabled | 1.0.0 |
| Las aplicaciones de App Service deben usar la identidad administrada | Usa una identidad administrada para la seguridad de autenticación mejorada. | AuditIfNotExists, Disabled | 3.0.0 |
| Los recursos del Servicios de Azure AI deben tener deshabilitado el acceso a claves (deshabilitar la autenticación local) | Se recomienda deshabilitar el acceso a las claves (autenticación local) por temas de seguridad. Azure OpenAI Studio, que normalmente se usa en los entornos de desarrollo y pruebas, requiere acceso a las claves y no funcionará si dicho acceso está deshabilitado. Después de deshabilitarlo, Microsoft Entra ID se convierte en el único método de acceso, lo que permite mantener el principio de privilegios mínimos y el control pormenorizado. Más información en: https://aka.ms/AI/auth | Audit, Deny, Disabled | 1.1.0 |
| Las aplicaciones de funciones deben usar la identidad administrada | Usa una identidad administrada para la seguridad de autenticación mejorada. | AuditIfNotExists, Disabled | 3.0.0 |
| Control administrado por Microsoft 1300: identificación y autenticación de usuarios | Microsoft implementa este control de identificación y autenticación | auditoría | 1.0.0 |
| Los clústeres de Service Fabric solo deben usar Azure Active Directory para la autenticación de cliente | Permite auditar el uso de la autenticación de clientes solo mediante Azure Active Directory en Service Fabric | Audit, Deny, Disabled | 1.1.0 |
Acceso de red a cuentas con privilegios
Id.: NIST SP 800-53 Rev. 4 IA-2 (1) Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Deben estar habilitadas para MFA las cuentas con permisos de propietario de los recursos de Azure. | Multi-Factor Authentication (MFA) debe estar habilitada para todas las cuentas de la suscripción que tengan permisos de propietario, a fin de evitar una brecha de seguridad en las cuentas o los recursos. | AuditIfNotExists, Disabled | 1.0.0 |
| Deben estar habilitadas para MFA las cuentas con permisos de escritura de los recursos de Azure. | Multi-Factor Authentication (MFA) debe estar habilitada para todas las cuentas de la suscripción que tengan permisos de escritura, a fin de evitar una brecha de seguridad en las cuentas o los recursos. | AuditIfNotExists, Disabled | 1.0.0 |
| Control administrado por Microsoft 1301: Identificación y autenticación de usuarios | Acceso de red a cuentas con privilegios | Microsoft implementa este control de identificación y autenticación | auditoría | 1.0.0 |
Acceso de red a cuentas sin privilegios
Id.: NIST SP 800-53 Rev. 4 IA-2 (2) Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Deben estar habilitadas para MFA las cuentas con permisos de lectura de los recursos de Azure. | Multi-Factor Authentication (MFA) debe estar habilitada para todas las cuentas de la suscripción que tengan permisos de lectura, a fin de evitar una brecha de seguridad en las cuentas o los recursos. | AuditIfNotExists, Disabled | 1.0.0 |
| Control administrado por Microsoft 1302: Identificación y autenticación de usuarios | Acceso de red a cuentas sin privilegios | Microsoft implementa este control de identificación y autenticación | auditoría | 1.0.0 |
Acceso local a cuentas con privilegios
Id.: NIST SP 800-53 Rev. 4 IA-2 (3) Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Control administrado por Microsoft 1303: Identificación y autenticación de usuarios | Acceso local a cuentas con privilegios | Microsoft implementa este control de identificación y autenticación | auditoría | 1.0.0 |
Acceso local a cuentas sin privilegios
Id.: NIST SP 800-53 Rev. 4 IA-2 (4) Propiedad: Microsoft
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Control administrado por Microsoft 1304: Identificación y autenticación de usuarios | Acceso local a cuentas sin privilegios | Microsoft implementa este control de identificación y autenticación | auditoría | 1.0.0 |
Autenticación de grupos
Id.: NIST SP 800-53 Rev. 4 IA-2 (5) Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Control administrado por Microsoft 1305: identificación y autenticación de usuarios | Autenticación de grupos | Microsoft implementa este control de identificación y autenticación | auditoría | 1.0.0 |
Acceso de red a cuentas con privilegios: resistente a reproducciones
Id.: NIST SP 800-53 Rev. 4 IA-2 (8) Propiedad: Microsoft
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Control administrado por Microsoft 1306: Identificación y autenticación de usuarios | Acceso de red a cuentas con privilegios - Reproducción... | Microsoft implementa este control de identificación y autenticación | auditoría | 1.0.0 |
Acceso de red a cuentas sin privilegios: resistente a la reproducción
Id.: NIST SP 800-53 Rev. 4 IA-2 (9) Propiedad: Microsoft
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Control administrado por Microsoft 1307: Identificación y autenticación de usuarios | Acceso de red a cuentas sin privilegios - Reproducción... | Microsoft implementa este control de identificación y autenticación | auditoría | 1.0.0 |
Acceso remoto: dispositivo independiente
Id.: NIST SP 800-53 Rev. 4 IA-2 (11) Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Control de usuario administrado por Microsoft 1308: identificación y autenticación | Acceso remoto: dispositivo independiente | Microsoft implementa este control de identificación y autenticación | auditoría | 1.0.0 |
Aceptación de credenciales de PIV
Id.: NIST SP 800-53 Rev. 4 IA-2 (12) Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Control administrado por Microsoft 1309: identificación y autenticación de usuarios | Aceptación de credenciales de PIV | Microsoft implementa este control de identificación y autenticación | auditoría | 1.0.0 |
Identificación y autenticación de dispositivos
Id.: NIST SP 800-53 Rev. 4 IA-3 Propiedad: Microsoft
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Control administrado por Microsoft 1310: identificación y autenticación de dispositivos | Microsoft implementa este control de identificación y autenticación | auditoría | 1.0.0 |
Administración de identificadores
Id.: NIST SP 800-53 Rev. 4 IA-4 Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| El administrador de Azure Active Directory debe aprovisionarse para servidores SQL Server | Permite aprovisionar un administrador de Azure Active Directory para SQL Server a fin de habilitar la autenticación de Azure AD. La autenticación de Azure AD permite la administración simplificada de permisos y la administración centralizada de identidades de usuarios de base de datos y otros servicios de Microsoft | AuditIfNotExists, Disabled | 1.0.0 |
| Las aplicaciones de App Service deben usar la identidad administrada | Usa una identidad administrada para la seguridad de autenticación mejorada. | AuditIfNotExists, Disabled | 3.0.0 |
| Los recursos del Servicios de Azure AI deben tener deshabilitado el acceso a claves (deshabilitar la autenticación local) | Se recomienda deshabilitar el acceso a las claves (autenticación local) por temas de seguridad. Azure OpenAI Studio, que normalmente se usa en los entornos de desarrollo y pruebas, requiere acceso a las claves y no funcionará si dicho acceso está deshabilitado. Después de deshabilitarlo, Microsoft Entra ID se convierte en el único método de acceso, lo que permite mantener el principio de privilegios mínimos y el control pormenorizado. Más información en: https://aka.ms/AI/auth | Audit, Deny, Disabled | 1.1.0 |
| Las aplicaciones de funciones deben usar la identidad administrada | Usa una identidad administrada para la seguridad de autenticación mejorada. | AuditIfNotExists, Disabled | 3.0.0 |
| Control administrado por Microsoft 1311: administración de identificadores | Microsoft implementa este control de identificación y autenticación | auditoría | 1.0.0 |
| Control administrado por Microsoft 1312: administración de identificadores | Microsoft implementa este control de identificación y autenticación | auditoría | 1.0.0 |
| Control administrado por Microsoft 1313: administración de identificadores | Microsoft implementa este control de identificación y autenticación | auditoría | 1.0.0 |
| Control administrado por Microsoft 1314: administración de identificadores | Microsoft implementa este control de identificación y autenticación | auditoría | 1.0.0 |
| Control administrado por Microsoft 1315: administración de identificadores | Microsoft implementa este control de identificación y autenticación | auditoría | 1.0.0 |
| Los clústeres de Service Fabric solo deben usar Azure Active Directory para la autenticación de cliente | Permite auditar el uso de la autenticación de clientes solo mediante Azure Active Directory en Service Fabric | Audit, Deny, Disabled | 1.1.0 |
Identificación del estado del usuario
Id.: NIST SP 800-53 Rev. 4 IA-4 (4) Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Control administrado por Microsoft 1316: administración de identificadores | Identificación del estado del usuario | Microsoft implementa este control de identificación y autenticación | auditoría | 1.0.0 |
Administración de autenticadores
Id.: NIST SP 800-53 Rev. 4 IA-5 Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Agregar una identidad administrada asignada por el sistema para habilitar las asignaciones de configuración de invitado en máquinas virtuales sin identidades | Esta directiva agrega una identidad administrada asignada por el sistema a las máquinas virtuales hospedadas en Azure que son compatibles con la configuración de invitado pero no tienen identidades administradas. Una identidad administrada asignada por el sistema es un requisito previo para todas las asignaciones de configuración de invitado y debe agregarse a los equipos antes de usar las definiciones de directiva de la configuración de invitado. Para más información sobre la configuración de invitado, visite https://aka.ms/gcpol. | modify | 1.3.0 |
| Agregar una identidad administrada asignada por el sistema para habilitar las asignaciones de configuración de invitado en máquinas virtuales con una identidad asignada por el usuario | Esta directiva agrega una identidad administrada asignada por el sistema a las máquinas virtuales hospedadas en Azure que son compatibles con la configuración de invitado y que tienen al menos una identidad asignada por el usuario, pero no tienen ninguna identidad administrada asignada por el sistema. Una identidad administrada asignada por el sistema es un requisito previo para todas las asignaciones de configuración de invitado y debe agregarse a los equipos antes de usar las definiciones de directiva de la configuración de invitado. Para más información sobre la configuración de invitado, visite https://aka.ms/gcpol. | modify | 1.3.0 |
| Auditar las máquinas Linux que no tengan los permisos del archivo de contraseñas establecidos en 0644 | Requiere que los requisitos previos se implementen en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. Las máquinas no son compatibles si las máquinas Linux no tienen los permisos del archivo de contraseñas establecidos en 0644. | AuditIfNotExists, Disabled | 1.4.0 |
| Auditar las máquinas Windows que no almacenen contraseñas mediante cifrado reversible | Requiere que los requisitos previos se implementen en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. Las máquinas no son compatibles si las máquinas Windows no almacenan las contraseñas con cifrado reversible. | AuditIfNotExists, Disabled | 1.0.0 |
| Implementar la extensión de configuración de invitado de Linux para permitir las asignaciones de configuración de invitado en máquinas virtuales Linux | Esta directiva implementa la extensión de configuración de invitado de Linux en las máquinas virtuales Linux hospedadas en Azure que son compatibles con la configuración de invitado. La extensión de configuración de invitado de Linux es un requisito previo para todas las asignaciones de configuración de invitado de Linux y debe implementarse en las máquinas antes de usar cualquier definición de directiva de configuración de invitado de Linux. Para más información sobre la configuración de invitado, visite https://aka.ms/gcpol. | deployIfNotExists | 1.4.0 |
| Implementar la extensión de configuración de invitado de Windows para permitir las asignaciones de configuración de invitado en máquinas virtuales Windows | Esta directiva implementa la extensión de configuración de invitado de Windows en las máquinas virtuales Windows hospedadas en Azure que son compatibles con la configuración de invitado. La extensión de configuración de invitado de Windows es un requisito previo para todas las asignaciones de configuración de invitado de Windows y debe implementarse en las máquinas antes de usar cualquier definición de directiva de configuración de invitado de Windows. Para más información sobre la configuración de invitado, visite https://aka.ms/gcpol. | deployIfNotExists | 1.2.0 |
| Control administrado por Microsoft 1317: administración de autenticadores | Microsoft implementa este control de identificación y autenticación | auditoría | 1.0.0 |
| Control administrado por Microsoft 1318: administración de autenticadores | Microsoft implementa este control de identificación y autenticación | auditoría | 1.0.0 |
| Control administrado por Microsoft 1319: administración de autenticadores | Microsoft implementa este control de identificación y autenticación | auditoría | 1.0.0 |
| Control administrado por Microsoft 1320: administración de autenticadores | Microsoft implementa este control de identificación y autenticación | auditoría | 1.0.0 |
| Control administrado por Microsoft 1321: administración de autenticadores | Microsoft implementa este control de identificación y autenticación | auditoría | 1.0.0 |
| Control administrado por Microsoft 1322: administración de autenticadores | Microsoft implementa este control de identificación y autenticación | auditoría | 1.0.0 |
| Control administrado por Microsoft 1323: administración de autenticadores | Microsoft implementa este control de identificación y autenticación | auditoría | 1.0.0 |
| Control administrado por Microsoft 1324: administración de autenticadores | Microsoft implementa este control de identificación y autenticación | auditoría | 1.0.0 |
| Control administrado por Microsoft 1325: administración de autenticadores | Microsoft implementa este control de identificación y autenticación | auditoría | 1.0.0 |
| Control administrado por Microsoft 1326: administración de autenticadores | Microsoft implementa este control de identificación y autenticación | auditoría | 1.0.0 |
Autenticación basada en contraseñas
Id.: NIST SP 800-53 Rev. 4 IA-5 (1) Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Agregar una identidad administrada asignada por el sistema para habilitar las asignaciones de configuración de invitado en máquinas virtuales sin identidades | Esta directiva agrega una identidad administrada asignada por el sistema a las máquinas virtuales hospedadas en Azure que son compatibles con la configuración de invitado pero no tienen identidades administradas. Una identidad administrada asignada por el sistema es un requisito previo para todas las asignaciones de configuración de invitado y debe agregarse a los equipos antes de usar las definiciones de directiva de la configuración de invitado. Para más información sobre la configuración de invitado, visite https://aka.ms/gcpol. | modify | 1.3.0 |
| Agregar una identidad administrada asignada por el sistema para habilitar las asignaciones de configuración de invitado en máquinas virtuales con una identidad asignada por el usuario | Esta directiva agrega una identidad administrada asignada por el sistema a las máquinas virtuales hospedadas en Azure que son compatibles con la configuración de invitado y que tienen al menos una identidad asignada por el usuario, pero no tienen ninguna identidad administrada asignada por el sistema. Una identidad administrada asignada por el sistema es un requisito previo para todas las asignaciones de configuración de invitado y debe agregarse a los equipos antes de usar las definiciones de directiva de la configuración de invitado. Para más información sobre la configuración de invitado, visite https://aka.ms/gcpol. | modify | 1.3.0 |
| Auditar las máquinas Linux que no tengan los permisos del archivo de contraseñas establecidos en 0644 | Requiere que los requisitos previos se implementen en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. Las máquinas no son compatibles si las máquinas Linux no tienen los permisos del archivo de contraseñas establecidos en 0644. | AuditIfNotExists, Disabled | 1.4.0 |
| Auditar las máquinas de Windows que permiten volver a usar las contraseñas después del número especificado de contraseñas únicas | Requiere que los requisitos previos se implementen en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. Las máquinas no son conformes si las máquinas de Windows permiten volver a usar las contraseñas después del número especificado de contraseñas únicas. El valor predeterminado para contraseñas únicas es 24 | AuditIfNotExists, Disabled | 1.1.0 |
| Auditar las máquinas de Windows que no tengan la antigüedad máxima de la contraseña establecida en el número de días especificado | Requiere que los requisitos previos se implementen en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. Las máquinas no son conformes si las máquinas de Windows no tienen la antigüedad máxima de contraseña establecida con el número de días especificado. El valor predeterminado para la antigüedad máxima de la contraseña es de 70 días | AuditIfNotExists, Disabled | 1.1.0 |
| Auditar las máquinas de Windows que no tengan la antigüedad mínima de la contraseña establecida en el número de días especificado | Requiere que los requisitos previos se implementen en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. Las máquinas no son conformes si las máquinas de Windows no tienen la antigüedad mínima de contraseña establecida con el número de días especificado. El valor predeterminado para la antigüedad mínima de la contraseña es de 1 día | AuditIfNotExists, Disabled | 1.1.0 |
| Auditar las máquinas Windows que no tengan habilitada la configuración de complejidad de la contraseña | Requiere que los requisitos previos se implementen en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. Las máquinas no son compatibles si las máquinas Windows no tienen habilitada la configuración de complejidad de la contraseña. | AuditIfNotExists, Disabled | 1.0.0 |
| Auditar las máquinas Windows que no restrinjan la longitud mínima de las contraseñas a un número específico de caracteres | Requiere que los requisitos previos se implementen en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. Las máquinas no son conformes si las máquinas de Windows no restringen la longitud mínima de caracteres de la contraseña. El valor predeterminado para la longitud mínima de la contraseña es de 14 caracteres | AuditIfNotExists, Disabled | 1.1.0 |
| Auditar las máquinas Windows que no almacenen contraseñas mediante cifrado reversible | Requiere que los requisitos previos se implementen en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. Las máquinas no son compatibles si las máquinas Windows no almacenan las contraseñas con cifrado reversible. | AuditIfNotExists, Disabled | 1.0.0 |
| Implementar la extensión de configuración de invitado de Linux para permitir las asignaciones de configuración de invitado en máquinas virtuales Linux | Esta directiva implementa la extensión de configuración de invitado de Linux en las máquinas virtuales Linux hospedadas en Azure que son compatibles con la configuración de invitado. La extensión de configuración de invitado de Linux es un requisito previo para todas las asignaciones de configuración de invitado de Linux y debe implementarse en las máquinas antes de usar cualquier definición de directiva de configuración de invitado de Linux. Para más información sobre la configuración de invitado, visite https://aka.ms/gcpol. | deployIfNotExists | 1.4.0 |
| Implementar la extensión de configuración de invitado de Windows para permitir las asignaciones de configuración de invitado en máquinas virtuales Windows | Esta directiva implementa la extensión de configuración de invitado de Windows en las máquinas virtuales Windows hospedadas en Azure que son compatibles con la configuración de invitado. La extensión de configuración de invitado de Windows es un requisito previo para todas las asignaciones de configuración de invitado de Windows y debe implementarse en las máquinas antes de usar cualquier definición de directiva de configuración de invitado de Windows. Para más información sobre la configuración de invitado, visite https://aka.ms/gcpol. | deployIfNotExists | 1.2.0 |
| Control administrado por Microsoft 1327: administración de autenticadores | Autenticación basada en contraseñas | Microsoft implementa este control de identificación y autenticación | auditoría | 1.0.0 |
| Control administrado por Microsoft 1328: administración de autenticadores | Autenticación basada en contraseñas | Microsoft implementa este control de identificación y autenticación | auditoría | 1.0.0 |
| Control administrado por Microsoft 1329: administración de autenticadores | Autenticación basada en contraseñas | Microsoft implementa este control de identificación y autenticación | auditoría | 1.0.0 |
| Control administrado por Microsoft 1330: administración de autenticadores | Autenticación basada en contraseñas | Microsoft implementa este control de identificación y autenticación | auditoría | 1.0.0 |
| Control administrado por Microsoft 1331: administración de autenticadores | Autenticación basada en contraseñas | Microsoft implementa este control de identificación y autenticación | auditoría | 1.0.0 |
| Control administrado por Microsoft 1332: administración de autenticadores | Autenticación basada en contraseñas | Microsoft implementa este control de identificación y autenticación | auditoría | 1.0.0 |
Autenticación basada en PKI
Id.: NIST SP 800-53 Rev. 4 IA-5 (2) Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Control administrado por Microsoft 1333: administración de autenticadores | Autenticación basada en PKI | Microsoft implementa este control de identificación y autenticación | auditoría | 1.0.0 |
| Control administrado por Microsoft 1334: administración de autenticadores | Autenticación basada en PKI | Microsoft implementa este control de identificación y autenticación | auditoría | 1.0.0 |
| Control administrado por Microsoft 1335: administración de autenticadores | Autenticación basada en PKI | Microsoft implementa este control de identificación y autenticación | auditoría | 1.0.0 |
| Control administrado por Microsoft 1336: administración de autenticadores | Autenticación basada en PKI | Microsoft implementa este control de identificación y autenticación | auditoría | 1.0.0 |
Registro de terceros en persona o de confianza
Id.: NIST SP 800-53 Rev. 4 IA-5 (3) Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Control administrado por Microsoft 1337: administración de autenticadores | Registro de terceros en persona o de confianza | Microsoft implementa este control de identificación y autenticación | auditoría | 1.0.0 |
Compatibilidad automatizada para la determinación de la seguridad de la contraseña
Id.: NIST SP 800-53 Rev. 4 IA-5 (4) Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Control administrado por Microsoft 1338: administración de autenticadores | Compatibilidad automatizada para la determinación de la seguridad de la contraseña | Microsoft implementa este control de identificación y autenticación | auditoría | 1.0.0 |
Protección de autenticadores
Id.: NIST SP 800-53 Rev. 4 IA-5 (6) Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Control administrado por Microsoft 1339: administración de autenticadores | Protección de autenticadores | Microsoft implementa este control de identificación y autenticación | auditoría | 1.0.0 |
Autenticadores estáticos no integrados sin cifrar
Id.: NIST SP 800-53 Rev. 4 IA-5 (7) Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Control administrado por Microsoft 1340: administración de autenticadores | Autenticadores estáticos no integrados sin cifrar | Microsoft implementa este control de identificación y autenticación | auditoría | 1.0.0 |
Varias cuentas del sistema de información
Id.: NIST SP 800-53 Rev. 4 IA-5 (8) Propiedad: Microsoft
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Control administrado por Microsoft 1341: administración de autenticadores | Varias cuentas del sistema de información | Microsoft implementa este control de identificación y autenticación | auditoría | 1.0.0 |
Autenticación basada en el token de hardware
Id.: NIST SP 800-53 Rev. 4 IA-5 (11) Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Control administrado por Microsoft 1342: administración de autenticadores | Autenticación basada en el token de hardware | Microsoft implementa este control de identificación y autenticación | auditoría | 1.0.0 |
Expiración de los autenticadores en caché
Id.: NIST SP 800-53 Rev. 4 IA-5 (13) Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Control administrado por Microsoft 1343: administración de autenticadores | Expiración de los autenticadores en caché | Microsoft implementa este control de identificación y autenticación | auditoría | 1.0.0 |
Comentarios de autenticador
Id.: NIST SP 800-53 Rev. 4 IA-6 Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Control administrado por Microsoft 1344: comentarios del autenticador | Microsoft implementa este control de identificación y autenticación | auditoría | 1.0.0 |
Autenticación del módulo criptográfico
Id.: NIST SP 800-53 Rev. 4 IA-7 Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Control administrado por Microsoft 1345: autenticación de módulos criptográficos | Microsoft implementa este control de identificación y autenticación | auditoría | 1.0.0 |
Identificación y autenticación (usuarios que no pertenecen a la organización)
Id.: NIST SP 800-53 Rev. 4 IA-8 Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Control administrado por Microsoft 1346: identificación y autenticación (usuarios que no pertenecen a la organización) | Microsoft implementa este control de identificación y autenticación | auditoría | 1.0.0 |
Aceptación de credenciales de PIV de otras agencias
Id.: NIST SP 800-53 Rev. 4 IA-8 (1) Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Control administrado por Microsoft 1347: identificación y autenticación (usuarios que no pertenecen a la organización) | Aceptación de credenciales de PIV... | Microsoft implementa este control de identificación y autenticación | auditoría | 1.0.0 |
Aceptación de credenciales de terceros
Id.: NIST SP 800-53 Rev. 4 IA-8 (2) Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Control administrado por Microsoft 1348: identificación y autenticación (usuarios que no pertenecen a la organización) | Aceptación de credenciales de terceros... | Microsoft implementa este control de identificación y autenticación | auditoría | 1.0.0 |
Uso de productos aprobados por FICAM
Id.: NIST SP 800-53 Rev. 4 IA-8 (3) Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Control administrado por Microsoft 1349: identificación y autenticación (usuarios que no pertenecen a la organización) | Uso de productos aprobados por FICAM | Microsoft implementa este control de identificación y autenticación | auditoría | 1.0.0 |
Uso de perfiles emitidos por FICAM
Id.: NIST SP 800-53 Rev. 4 IA-8 (4) Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Control administrado por Microsoft 1350: identificación y autenticación (usuarios que no pertenecen a la organización) | Uso de perfiles emitidos por FICAM | Microsoft implementa este control de identificación y autenticación | auditoría | 1.0.0 |
Respuesta a los incidentes
Procedimientos y directiva de respuesta a los incidentes
Id.: NIST SP 800-53 Rev. 4 IR-1 Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Control administrado por Microsoft 1351: procedimientos y directiva de respuesta a los incidentes | Microsoft implementa este control de respuesta a los incidentes | auditoría | 1.0.0 |
| Control administrado por Microsoft 1352: procedimientos y directiva de respuesta a los incidentes | Microsoft implementa este control de respuesta a los incidentes | auditoría | 1.0.0 |
Aprendizaje sobre la respuesta a los incidentes
Id.: NIST SP 800-53 Rev. 4 IR-2 Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Control administrado por Microsoft 1353: aprendizaje sobre la respuesta a los incidentes | Microsoft implementa este control de respuesta a los incidentes | auditoría | 1.0.0 |
| Control administrado por Microsoft 1354: aprendizaje sobre la respuesta a los incidentes | Microsoft implementa este control de respuesta a los incidentes | auditoría | 1.0.0 |
| Control administrado por Microsoft 1355: aprendizaje sobre la respuesta a los incidentes | Microsoft implementa este control de respuesta a los incidentes | auditoría | 1.0.0 |
Eventos simulados
Id.: NIST SP 800-53 Rev. 4 IR-2 (1) Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Control administrado por Microsoft 1356: aprendizaje sobre la respuesta a los incidentes | Eventos simulados | Microsoft implementa este control de respuesta a los incidentes | auditoría | 1.0.0 |
Entornos de entrenamiento automatizado
Id.: NIST SP 800-53 Rev. 4 IR-2 (2) Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Control administrado por Microsoft 1357: aprendizaje sobre la respuesta a los incidentes | Entornos de entrenamiento automatizado | Microsoft implementa este control de respuesta a los incidentes | auditoría | 1.0.0 |
Pruebas de la respuesta a los incidentes
Id.: NIST SP 800-53 Rev. 4 IR-3 Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Control administrado por Microsoft 1358: pruebas de la respuesta a los incidentes | Microsoft implementa este control de respuesta a los incidentes | auditoría | 1.0.0 |
Coordinación con planes relacionados
Id.: NIST SP 800-53 Rev. 4 IR-3 (2) Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Control administrado por Microsoft 1359: pruebas de la respuesta a los incidentes | Coordinación con planes relacionados | Microsoft implementa este control de respuesta a los incidentes | auditoría | 1.0.0 |
Tratamiento de incidentes
Id.: NIST SP 800-53 Rev. 4 IR-4 Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Se debe habilitar Azure Defender para servidores de Azure SQL Database | Azure Defender para SQL proporciona funcionalidad para mostrar y mitigar posibles vulnerabilidades de base de datos, detectar actividades anómalas que podrían indicar amenazas para bases de datos SQL, y detectar y clasificar datos confidenciales. | AuditIfNotExists, Disabled | 1.0.2 |
| Se debe habilitar Azure Defender para Resource Manager | Azure Defender para Resource Manager supervisa automáticamente las operaciones de administración de recursos de la organización. Azure Defender detecta amenazas y alerta sobre actividades sospechosas. Obtenga más información sobre las funcionalidades de Azure Defender para Resource Manager en https://aka.ms/defender-for-resource-manager. La habilitación de este plan de Azure Defender conlleva cargos. Obtenga información sobre los detalles de los precios por región en la página de precios de Security Center: https://aka.ms/pricing-security-center. | AuditIfNotExists, Disabled | 1.0.0 |
| Se debe habilitar Azure Defender para servidores | Azure Defender para servidores proporciona protección en tiempo real contra amenazas para las cargas de trabajo del servidor y genera recomendaciones de protección, así como alertas sobre la actividad sospechosa. | AuditIfNotExists, Disabled | 1.0.3 |
| Se debe habilitar Azure Defender para SQL en las instancias de Azure SQL Server desprotegidas | Auditoría de los servidores de SQL sin Advanced Data Security | AuditIfNotExists, Disabled | 2.0.1 |
| Azure Defender para SQL debe habilitarse en las instancias de SQL Managed Instances desprotegidas. | Permite auditr cada servicio SQL Managed Instance sin Advanced Data Security. | AuditIfNotExists, Disabled | 1.0.2 |
| La opción para enviar notificaciones por correo electrónico para alertas de gravedad alta debe estar habilitada. | Para asegurarse de que las personas pertinentes de la organización reciban una notificación cuando se produzca una vulneración de seguridad potencial en una de las suscripciones, habilite las notificaciones por correo electrónico de alertas de gravedad alta en Security Center. | AuditIfNotExists, Disabled | 1.0.1 |
| La opción para enviar notificaciones por correo electrónico al propietario de la suscripción en relación a alertas de gravedad alta debe estar habilitada. | Para asegurarse de que los propietarios de suscripciones reciban una notificación cuando se produzca una vulneración de seguridad potencial en sus suscripciones, establezca notificaciones por correo electrónico a los propietarios de las suscripciones de alertas de gravedad alta en Security Center. | AuditIfNotExists, Disabled | 2.0.0 |
| Microsoft Defender para contenedores debería estar habilitado | Microsoft Defender para contenedores proporciona protección, evaluación de vulnerabilidades y protecciones en tiempo de ejecución para los entornos de Kubernetes de Azure, híbridos y multinube. | AuditIfNotExists, Disabled | 1.0.0 |
| Microsoft Defender para Storage (Clásico) debe estar habilitado | Microsoft Defender para Storage (Clásico) proporciona detecciones de intentos inusuales y potencialmente dañinos para acceder a las cuentas de almacenamiento o aprovechar alguna vulnerabilidad de seguridad. | AuditIfNotExists, Disabled | 1.0.4 |
| Control administrado por Microsoft 1360: control de incidentes | Microsoft implementa este control de respuesta a los incidentes | auditoría | 1.0.0 |
| Control administrado por Microsoft 1361: control de incidentes | Microsoft implementa este control de respuesta a los incidentes | auditoría | 1.0.0 |
| Control administrado por Microsoft 1362: control de incidentes | Microsoft implementa este control de respuesta a los incidentes | auditoría | 1.0.0 |
| Las suscripciones deben tener una dirección de correo electrónico de contacto para los problemas de seguridad | Para asegurarse de que las personas pertinentes de la organización reciban una notificación cuando se produzca una vulneración de seguridad potencial en una de las suscripciones, establezca un contacto de seguridad para la recepción de notificaciones por correo electrónico de Security Center. | AuditIfNotExists, Disabled | 1.0.1 |
Procesos automatizados de control de incidentes
Id.: NIST SP 800-53 Rev. 4 IR-4 (1) Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Control administrado por Microsoft 1363: control de incidentes | Procesos automatizados de control de incidentes | Microsoft implementa este control de respuesta a los incidentes | auditoría | 1.0.0 |
Reconfiguración dinámica
Id.: NIST SP 800-53 Rev. 4 IR-4 (2) Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Control administrado por Microsoft 1364: control de incidentes | Reconfiguración dinámica | Microsoft implementa este control de respuesta a los incidentes | auditoría | 1.0.0 |
Continuidad de las operaciones
Id.: NIST SP 800-53 Rev. 4 IR-4 (3) Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Control administrado por Microsoft 1365: control de incidentes | Continuidad de las operaciones | Microsoft implementa este control de respuesta a los incidentes | auditoría | 1.0.0 |
Correlación de la información
Id.: NIST SP 800-53 Rev. 4 IR-4 (4) Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Control administrado por Microsoft 1366: control de incidentes | Correlación de la información | Microsoft implementa este control de respuesta a los incidentes | auditoría | 1.0.0 |
Amenazas internas: funcionalidades específicas
Id.: NIST SP 800-53 Rev. 4 IR-4 (6) Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Control administrado por Microsoft 1367: control de incidentes | Amenazas internas: funcionalidades específicas | Microsoft implementa este control de respuesta a los incidentes | auditoría | 1.0.0 |
Correlación con organizaciones externas
Id.: NIST SP 800-53 Rev. 4 IR-4 (8) Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Control administrado por Microsoft 1368: control de incidentes | Correlación con organizaciones externas | Microsoft implementa este control de respuesta a los incidentes | auditoría | 1.0.0 |
Supervisión de incidentes
Id.: NIST SP 800-53 Rev. 4 IR-5 Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Se debe habilitar Azure Defender para servidores de Azure SQL Database | Azure Defender para SQL proporciona funcionalidad para mostrar y mitigar posibles vulnerabilidades de base de datos, detectar actividades anómalas que podrían indicar amenazas para bases de datos SQL, y detectar y clasificar datos confidenciales. | AuditIfNotExists, Disabled | 1.0.2 |
| Se debe habilitar Azure Defender para Resource Manager | Azure Defender para Resource Manager supervisa automáticamente las operaciones de administración de recursos de la organización. Azure Defender detecta amenazas y alerta sobre actividades sospechosas. Obtenga más información sobre las funcionalidades de Azure Defender para Resource Manager en https://aka.ms/defender-for-resource-manager. La habilitación de este plan de Azure Defender conlleva cargos. Obtenga información sobre los detalles de los precios por región en la página de precios de Security Center: https://aka.ms/pricing-security-center. | AuditIfNotExists, Disabled | 1.0.0 |
| Se debe habilitar Azure Defender para servidores | Azure Defender para servidores proporciona protección en tiempo real contra amenazas para las cargas de trabajo del servidor y genera recomendaciones de protección, así como alertas sobre la actividad sospechosa. | AuditIfNotExists, Disabled | 1.0.3 |
| Se debe habilitar Azure Defender para SQL en las instancias de Azure SQL Server desprotegidas | Auditoría de los servidores de SQL sin Advanced Data Security | AuditIfNotExists, Disabled | 2.0.1 |
| Azure Defender para SQL debe habilitarse en las instancias de SQL Managed Instances desprotegidas. | Permite auditr cada servicio SQL Managed Instance sin Advanced Data Security. | AuditIfNotExists, Disabled | 1.0.2 |
| La opción para enviar notificaciones por correo electrónico para alertas de gravedad alta debe estar habilitada. | Para asegurarse de que las personas pertinentes de la organización reciban una notificación cuando se produzca una vulneración de seguridad potencial en una de las suscripciones, habilite las notificaciones por correo electrónico de alertas de gravedad alta en Security Center. | AuditIfNotExists, Disabled | 1.0.1 |
| La opción para enviar notificaciones por correo electrónico al propietario de la suscripción en relación a alertas de gravedad alta debe estar habilitada. | Para asegurarse de que los propietarios de suscripciones reciban una notificación cuando se produzca una vulneración de seguridad potencial en sus suscripciones, establezca notificaciones por correo electrónico a los propietarios de las suscripciones de alertas de gravedad alta en Security Center. | AuditIfNotExists, Disabled | 2.0.0 |
| Microsoft Defender para contenedores debería estar habilitado | Microsoft Defender para contenedores proporciona protección, evaluación de vulnerabilidades y protecciones en tiempo de ejecución para los entornos de Kubernetes de Azure, híbridos y multinube. | AuditIfNotExists, Disabled | 1.0.0 |
| Microsoft Defender para Storage (Clásico) debe estar habilitado | Microsoft Defender para Storage (Clásico) proporciona detecciones de intentos inusuales y potencialmente dañinos para acceder a las cuentas de almacenamiento o aprovechar alguna vulnerabilidad de seguridad. | AuditIfNotExists, Disabled | 1.0.4 |
| Control administrado por Microsoft 1369: supervisión de incidentes | Microsoft implementa este control de respuesta a los incidentes | auditoría | 1.0.0 |
| Las suscripciones deben tener una dirección de correo electrónico de contacto para los problemas de seguridad | Para asegurarse de que las personas pertinentes de la organización reciban una notificación cuando se produzca una vulneración de seguridad potencial en una de las suscripciones, establezca un contacto de seguridad para la recepción de notificaciones por correo electrónico de Security Center. | AuditIfNotExists, Disabled | 1.0.1 |
Seguimiento automatizado, recopilación de datos o análisis
Id.: NIST SP 800-53 Rev. 4 IR-5 (1) Propiedad: Microsoft
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Control administrado por Microsoft 1370: supervisión de incidentes | Seguimiento automatizado, recopilación de datos o análisis | Microsoft implementa este control de respuesta a los incidentes | auditoría | 1.0.0 |
Informes de incidentes
Id.: NIST SP 800-53 Rev. 4 IR-6 Propiedad: Microsoft
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Control administrado por Microsoft 1371: informes de incidentes | Microsoft implementa este control de respuesta a los incidentes | auditoría | 1.0.0 |
| Control administrado por Microsoft 1372: informes de incidentes | Microsoft implementa este control de respuesta a los incidentes | auditoría | 1.0.0 |
Informes automatizados
Id.: NIST SP 800-53 Rev. 4 IR-6 (1) Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Control administrado por Microsoft 1373: informes de incidentes | Informes automatizados | Microsoft implementa este control de respuesta a los incidentes | auditoría | 1.0.0 |
Vulnerabilidades relacionadas con incidentes
Id.: NIST SP 800-53 Rev. 4 IR-6 (2) Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| La opción para enviar notificaciones por correo electrónico para alertas de gravedad alta debe estar habilitada. | Para asegurarse de que las personas pertinentes de la organización reciban una notificación cuando se produzca una vulneración de seguridad potencial en una de las suscripciones, habilite las notificaciones por correo electrónico de alertas de gravedad alta en Security Center. | AuditIfNotExists, Disabled | 1.0.1 |
| La opción para enviar notificaciones por correo electrónico al propietario de la suscripción en relación a alertas de gravedad alta debe estar habilitada. | Para asegurarse de que los propietarios de suscripciones reciban una notificación cuando se produzca una vulneración de seguridad potencial en sus suscripciones, establezca notificaciones por correo electrónico a los propietarios de las suscripciones de alertas de gravedad alta en Security Center. | AuditIfNotExists, Disabled | 2.0.0 |
| Las suscripciones deben tener una dirección de correo electrónico de contacto para los problemas de seguridad | Para asegurarse de que las personas pertinentes de la organización reciban una notificación cuando se produzca una vulneración de seguridad potencial en una de las suscripciones, establezca un contacto de seguridad para la recepción de notificaciones por correo electrónico de Security Center. | AuditIfNotExists, Disabled | 1.0.1 |
Ayuda para la respuesta a los incidentes
Id.: NIST SP 800-53 Rev. 4 IR-7 Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Control administrado por Microsoft 1374: ayuda para la respuesta a los incidentes | Microsoft implementa este control de respuesta a los incidentes | auditoría | 1.0.0 |
Compatibilidad automatizada para la disponibilidad de la información o soporte técnico
Id.: NIST SP 800-53 Rev. 4 IR-7 (1) Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Control administrado por Microsoft 1375: ayuda para la respuesta a los incidentes | Compatibilidad automatizada para la disponibilidad de la información o soporte técnico | Microsoft implementa este control de respuesta a los incidentes | auditoría | 1.0.0 |
Coordinación con proveedores externos
Id.: NIST SP 800-53 Rev. 4 IR-7 (2) Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Control administrado por Microsoft 1376: ayuda para la respuesta a los incidentes | Coordinación con proveedores externos | Microsoft implementa este control de respuesta a los incidentes | auditoría | 1.0.0 |
| Control administrado por Microsoft 1377: ayuda para la respuesta a los incidentes | Coordinación con proveedores externos | Microsoft implementa este control de respuesta a los incidentes | auditoría | 1.0.0 |
Plan de respuesta a los incidentes
Id.: NIST SP 800-53 Rev. 4 IR-8 Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Control administrado por Microsoft 1378: plan de respuesta a los incidentes | Microsoft implementa este control de respuesta a los incidentes | auditoría | 1.0.0 |
| Control administrado por Microsoft 1379: plan de respuesta a los incidentes | Microsoft implementa este control de respuesta a los incidentes | auditoría | 1.0.0 |
| Control administrado por Microsoft 1380: plan de respuesta a los incidentes | Microsoft implementa este control de respuesta a los incidentes | auditoría | 1.0.0 |
| Control administrado por Microsoft 1381: plan de respuesta a los incidentes | Microsoft implementa este control de respuesta a los incidentes | auditoría | 1.0.0 |
| Control administrado por Microsoft 1382: plan de respuesta a los incidentes | Microsoft implementa este control de respuesta a los incidentes | auditoría | 1.0.0 |
| Control administrado por Microsoft 1383: plan de respuesta a los incidentes | Microsoft implementa este control de respuesta a los incidentes | auditoría | 1.0.0 |
Respuesta a derrames de información
Id.: NIST SP 800-53 Rev. 4 IR-9 Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Control administrado por Microsoft 1384: respuesta a filtraciones de información | Microsoft implementa este control de respuesta a los incidentes | auditoría | 1.0.0 |
| Control administrado por Microsoft 1385: respuesta a filtraciones de información | Microsoft implementa este control de respuesta a los incidentes | auditoría | 1.0.0 |
| Control administrado por Microsoft 1386: respuesta a filtraciones de información | Microsoft implementa este control de respuesta a los incidentes | auditoría | 1.0.0 |
| Control administrado por Microsoft 1387: respuesta a filtraciones de información | Microsoft implementa este control de respuesta a los incidentes | auditoría | 1.0.0 |
| Control administrado por Microsoft 1388: respuesta a filtraciones de información | Microsoft implementa este control de respuesta a los incidentes | auditoría | 1.0.0 |
| Control administrado por Microsoft 1389: respuesta a filtraciones de información | Microsoft implementa este control de respuesta a los incidentes | auditoría | 1.0.0 |
Personal responsable
Id.: NIST SP 800-53 Rev. 4 IR-9 (1) Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Control administrado por Microsoft 1390: respuesta a filtraciones de información | Personal responsable | Microsoft implementa este control de respuesta a los incidentes | auditoría | 1.0.0 |
Cursos
Id.: NIST SP 800-53 Rev. 4 IR-9 (2) Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Control administrado por Microsoft 1391: respuesta a filtraciones de información | Cursos | Microsoft implementa este control de respuesta a los incidentes | auditoría | 1.0.0 |
Operaciones posteriores al volcado
Id.: NIST SP 800-53 Rev. 4 IR-9 (3) Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Control administrado por Microsoft 1392: respuesta a filtraciones de información | Operaciones posteriores al volcado | Microsoft implementa este control de respuesta a los incidentes | auditoría | 1.0.0 |
Exposición a personal no autorizado
Id.: NIST SP 800-53 Rev. 4 IR-9 (4) Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Control administrado por Microsoft 1393: respuesta a filtraciones de información | Exposición a personal no autorizado | Microsoft implementa este control de respuesta a los incidentes | auditoría | 1.0.0 |
Mantenimiento
Procedimientos y directiva de mantenimiento del sistema
Id.: NIST SP 800-53 Rev. 4 MA-1 Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Control administrado por Microsoft 1394: procedimientos y directiva de mantenimiento del sistema | Microsoft implementa este control de mantenimiento | auditoría | 1.0.0 |
| Control administrado por Microsoft 1395: procedimientos y directiva de mantenimiento del sistema | Microsoft implementa este control de mantenimiento | auditoría | 1.0.0 |
Mantenimiento controlado
Id.: NIST SP 800-53 Rev. 4 MA-2 Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Control administrado por Microsoft 1396: mantenimiento controlado | Microsoft implementa este control de mantenimiento | auditoría | 1.0.0 |
| Control administrado por Microsoft 1397: mantenimiento controlado | Microsoft implementa este control de mantenimiento | auditoría | 1.0.0 |
| Control administrado por Microsoft 1398: mantenimiento controlado | Microsoft implementa este control de mantenimiento | auditoría | 1.0.0 |
| Control administrado por Microsoft 1399: mantenimiento controlado | Microsoft implementa este control de mantenimiento | auditoría | 1.0.0 |
| Control administrado por Microsoft 1400: mantenimiento controlado | Microsoft implementa este control de mantenimiento | auditoría | 1.0.0 |
| Control administrado por Microsoft 1401: mantenimiento controlado | Microsoft implementa este control de mantenimiento | auditoría | 1.0.0 |
Actividades de mantenimiento automatizado
Id.: NIST SP 800-53 Rev. 4 MA-2 (2) Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Control administrado por Microsoft 1402: mantenimiento controlado | Actividades de mantenimiento automatizado | Microsoft implementa este control de mantenimiento | auditoría | 1.0.0 |
| Control administrado por Microsoft 1403: mantenimiento controlado | Actividades de mantenimiento automatizado | Microsoft implementa este control de mantenimiento | auditoría | 1.0.0 |
Herramientas de mantenimiento
Id.: NIST SP 800-53 Rev. 4 MA-3 Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Control administrado por Microsoft 1404: herramientas de mantenimiento | Microsoft implementa este control de mantenimiento | auditoría | 1.0.0 |
Inspección de herramientas
Id.: NIST SP 800-53 Rev. 4 MA-3 (1) Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Control administrado por Microsoft 1405: herramientas de mantenimiento | Inspección de herramientas | Microsoft implementa este control de mantenimiento | auditoría | 1.0.0 |
Inspección del soporte físico
Id.: NIST SP 800-53 Rev. 4 MA-3 (2) Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Control administrado por Microsoft 1406: herramientas de mantenimiento | Inspección del soporte físico | Microsoft implementa este control de mantenimiento | auditoría | 1.0.0 |
Impedir la eliminación no autorizada
Id.: NIST SP 800-53 Rev. 4 MA-3 (3) Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Control administrado por Microsoft 1407: herramientas de mantenimiento | Impedir la eliminación no autorizada | Microsoft implementa este control de mantenimiento | auditoría | 1.0.0 |
| Control administrado por Microsoft 1408: herramientas de mantenimiento | Impedir la eliminación no autorizada | Microsoft implementa este control de mantenimiento | auditoría | 1.0.0 |
| Control administrado por Microsoft 1409: herramientas de mantenimiento | Impedir la eliminación no autorizada | Microsoft implementa este control de mantenimiento | auditoría | 1.0.0 |
| Control administrado por Microsoft 1410: herramientas de mantenimiento | Impedir la eliminación no autorizada | Microsoft implementa este control de mantenimiento | auditoría | 1.0.0 |
Mantenimiento no local
Id.: NIST SP 800-53 Rev. 4 MA-4 Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Control administrado por Microsoft 1411: Mantenimiento remoto | Microsoft implementa este control de mantenimiento | auditoría | 1.0.0 |
| Control administrado por Microsoft 1412: Mantenimiento remoto | Microsoft implementa este control de mantenimiento | auditoría | 1.0.0 |
| Control administrado por Microsoft 1413: Mantenimiento remoto | Microsoft implementa este control de mantenimiento | auditoría | 1.0.0 |
| Control administrado por Microsoft 1414: Mantenimiento remoto | Microsoft implementa este control de mantenimiento | auditoría | 1.0.0 |
| Control administrado por Microsoft 1415: Mantenimiento remoto | Microsoft implementa este control de mantenimiento | auditoría | 1.0.0 |
Mantenimiento no local de documentos
Id.: NIST SP 800-53 Rev. 4 MA-4 (2) Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Control administrado por Microsoft 1416: mantenimiento remoto | Documentar el mantenimiento remoto | Microsoft implementa este control de mantenimiento | auditoría | 1.0.0 |
Seguridad o saneamiento comparable
Id.: NIST SP 800-53 Rev. 4 MA-4 (3) Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Control administrado por Microsoft 1417: Mantenimiento remoto | Seguridad o saneamiento comparables | Microsoft implementa este control de mantenimiento | auditoría | 1.0.0 |
| Control administrado por Microsoft 1418: Mantenimiento remoto | Saneamiento o seguridad comparables | Microsoft implementa este control de mantenimiento | auditoría | 1.0.0 |
Protección criptográfica
Id.: NIST SP 800-53 Rev. 4 MA-4 (6) Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Control administrado por Microsoft 1419: Mantenimiento remoto | Protección criptográfica | Microsoft implementa este control de mantenimiento | auditoría | 1.0.0 |
Personal de mantenimiento
Id.: NIST SP 800-53 Rev. 4 MA-5 Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Control administrado por Microsoft 1420: personal de mantenimiento | Microsoft implementa este control de mantenimiento | auditoría | 1.0.0 |
| Control administrado por Microsoft 1421: personal de mantenimiento | Microsoft implementa este control de mantenimiento | auditoría | 1.0.0 |
| Control administrado por Microsoft 1422: personal de mantenimiento | Microsoft implementa este control de mantenimiento | auditoría | 1.0.0 |
Personas sin acceso adecuado
Id.: NIST SP 800-53 Rev. 4 MA-5 (1) Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Control administrado por Microsoft 1423: personal de mantenimiento | Personas sin acceso adecuado | Microsoft implementa este control de mantenimiento | auditoría | 1.0.0 |
| Control administrado por Microsoft 1424: personal de mantenimiento | Personas sin acceso adecuado | Microsoft implementa este control de mantenimiento | auditoría | 1.0.0 |
Mantenimiento temporal
Id.: NIST SP 800-53 Rev. 4 MA-6 Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Control administrado por Microsoft 1425: mantenimiento puntual | Microsoft implementa este control de mantenimiento | auditoría | 1.0.0 |
Protección de elementos multimedia
Procedimientos y directivas de protección de elementos multimedia
Id.: NIST SP 800-53 Rev. 4 MP-1 Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Control administrado por Microsoft 1426: procedimientos y directiva de protección de elementos multimedia | Microsoft implementa este control de protección de elementos multimedia | auditoría | 1.0.0 |
| Control administrado por Microsoft 1427: procedimientos y directiva de protección de elementos multimedia | Microsoft implementa este control de protección de elementos multimedia | auditoría | 1.0.0 |
Acceso a medios
Id.: NIST SP 800-53 Rev. 4 MP-2 Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Control administrado por Microsoft 1428: acceso a elementos multimedia | Microsoft implementa este control de protección de elementos multimedia | auditoría | 1.0.0 |
Marcado de medios
Id.: NIST SP 800-53 Rev. 4 MP-3 Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Control administrado por Microsoft 1429: Etiquetado multimedia | Microsoft implementa este control de protección de elementos multimedia | auditoría | 1.0.0 |
| Control administrado por Microsoft 1430: Etiquetado multimedia | Microsoft implementa este control de protección de elementos multimedia | auditoría | 1.0.0 |
Almacenamiento de medios
Id.: NIST SP 800-53 Rev. 4 MP-4 Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Control administrado por Microsoft 1431: almacenamiento de elementos multimedia | Microsoft implementa este control de protección de elementos multimedia | auditoría | 1.0.0 |
| Control administrado por Microsoft 1432: almacenamiento de elementos multimedia | Microsoft implementa este control de protección de elementos multimedia | auditoría | 1.0.0 |
Transporte de medios
Id.: NIST SP 800-53 Rev. 4 MP-5 Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Control administrado por Microsoft 1433: transporte de elementos multimedia | Microsoft implementa este control de protección de elementos multimedia | auditoría | 1.0.0 |
| Control administrado por Microsoft 1434: transporte de elementos multimedia | Microsoft implementa este control de protección de elementos multimedia | auditoría | 1.0.0 |
| Control administrado por Microsoft 1435: transporte de elementos multimedia | Microsoft implementa este control de protección de elementos multimedia | auditoría | 1.0.0 |
| Control administrado por Microsoft 1436: transporte de elementos multimedia | Microsoft implementa este control de protección de elementos multimedia | auditoría | 1.0.0 |
Protección criptográfica
Id.: NIST SP 800-53 Rev. 4 MP-5 (4) Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Control administrado por Microsoft 1437: transporte de elementos multimedia | Protección criptográfica | Microsoft implementa este control de protección de elementos multimedia | auditoría | 1.0.0 |
Saneamiento de medios
Id.: NIST SP 800-53 Rev. 4 MP-6 Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Control administrado por Microsoft 1438: saneamiento y eliminación de elementos multimedia | Microsoft implementa este control de protección de elementos multimedia | auditoría | 1.0.0 |
| Control administrado por Microsoft 1439: saneamiento y eliminación de elementos multimedia | Microsoft implementa este control de protección de elementos multimedia | auditoría | 1.0.0 |
Revisión, aprobación, seguimiento, documentación y comprobación
Id.: NIST SP 800-53 Rev. 4 MP-6 (1) Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Control administrado por Microsoft 1440: saneamiento y eliminación de elementos multimedia | Revisión, aprobación, seguimiento, documentación y comprobación | Microsoft implementa este control de protección de elementos multimedia | auditoría | 1.0.0 |
Pruebas de equipos
Id.: NIST SP 800-53 Rev. 4 MP-6 (2) Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Control administrado por Microsoft 1441: saneamiento y eliminación de elementos multimedia | Pruebas de equipos | Microsoft implementa este control de protección de elementos multimedia | auditoría | 1.0.0 |
Técnicas no destructivas
ID: NIST SP 800-53 Rev. 4 MP-6 (3) Propiedad: Microsoft
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Control administrado por Microsoft 1442: saneamiento y eliminación de elementos multimedia | Técnicas no destructivas | Microsoft implementa este control de protección de elementos multimedia | auditoría | 1.0.0 |
Uso de los medios
Id.: NIST SP 800-53 Rev. 4 MP-7 Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Control administrado por Microsoft 1443: uso de elementos multimedia | Microsoft implementa este control de protección de elementos multimedia | auditoría | 1.0.0 |
Prohibir el uso sin propietario
Id.: NIST SP 800-53 Rev. 4 MP-7 (1) Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Control administrado por Microsoft 1444: uso de medios | Prohibir el uso sin propietario | Microsoft implementa este control de protección de elementos multimedia | auditoría | 1.0.0 |
Protección física y del entorno
Procedimientos y directivas de protección física y del entorno
Id.: NIST SP 800-53 Rev. 4 PE-1 Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Control administrado por Microsoft 1445: procedimientos y directivas de protección física y del entorno | Microsoft implementa este control de protección física y del entorno | auditoría | 1.0.0 |
| Control administrado por Microsoft 1446: procedimientos y directivas de protección física y del entorno | Microsoft implementa este control de protección física y del entorno | auditoría | 1.0.0 |
Autorizaciones de acceso físico
Id.: NIST SP 800-53 Rev. 4 PE-2 Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Control administrado por Microsoft 1447: autorizaciones de acceso físico | Microsoft implementa este control de protección física y del entorno | auditoría | 1.0.0 |
| Control administrado por Microsoft 1448: autorizaciones de acceso físico | Microsoft implementa este control de protección física y del entorno | auditoría | 1.0.0 |
| Control administrado por Microsoft 1449: autorizaciones de acceso físico | Microsoft implementa este control de protección física y del entorno | auditoría | 1.0.0 |
| Control administrado por Microsoft 1450: autorizaciones de acceso físico | Microsoft implementa este control de protección física y del entorno | auditoría | 1.0.0 |
Control de acceso físico
Id.: NIST SP 800-53 Rev. 4 PE-3 Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Control administrado por Microsoft 1451: control del acceso físico | Microsoft implementa este control de protección física y del entorno | auditoría | 1.0.0 |
| Control administrado por Microsoft 1452: control del acceso físico | Microsoft implementa este control de protección física y del entorno | auditoría | 1.0.0 |
| Control administrado por Microsoft 1453: control del acceso físico | Microsoft implementa este control de protección física y del entorno | auditoría | 1.0.0 |
| Control administrado por Microsoft 1454: control del acceso físico | Microsoft implementa este control de protección física y del entorno | auditoría | 1.0.0 |
| Control administrado por Microsoft 1455: control del acceso físico | Microsoft implementa este control de protección física y del entorno | auditoría | 1.0.0 |
| Control administrado por Microsoft 1456: control del acceso físico | Microsoft implementa este control de protección física y del entorno | auditoría | 1.0.0 |
| Control administrado por Microsoft 1457: control del acceso físico | Microsoft implementa este control de protección física y del entorno | auditoría | 1.0.0 |
Acceso al sistema de información
ID: NIST SP 800-53 Rev. 4 PE-3 (1) Propiedad: Microsoft
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Control administrado por Microsoft 1458: control del acceso físico | Acceso al sistema de información | Microsoft implementa este control de protección física y del entorno | auditoría | 1.0.0 |
Control de acceso para medios de transmisión
Id.: NIST SP 800-53 Rev. 4 PE-4 Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Control administrado por Microsoft 1459: control de acceso para medios de transmisión | Microsoft implementa este control de protección física y del entorno | auditoría | 1.0.0 |
Control de acceso para los dispositivos de salida
Id.: NIST SP 800-53 Rev. 4 PE-5 Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Control administrado por Microsoft 1460: control de acceso para dispositivos de salida | Microsoft implementa este control de protección física y del entorno | auditoría | 1.0.0 |
Supervisión del acceso físico
ID: NIST SP 800-53 Rev. 4 PE-6 Propiedad: Microsoft
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Control administrado por Microsoft 1461: supervisión del acceso físico | Microsoft implementa este control de protección física y del entorno | auditoría | 1.0.0 |
| Control administrado por Microsoft 1462: supervisión del acceso físico | Microsoft implementa este control de protección física y del entorno | auditoría | 1.0.0 |
| Control administrado por Microsoft 1463: supervisión del acceso físico | Microsoft implementa este control de protección física y del entorno | auditoría | 1.0.0 |
Dispositivos de vigilancia o alarmas de intrusión
Id.: NIST SP 800-53 Rev. 4 PE-6 (1) Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Control administrado por Microsoft 1464: supervisión del acceso físico | Dispositivos de vigilancia o alarmas de intrusión | Microsoft implementa este control de protección física y del entorno | auditoría | 1.0.0 |
Supervisión del acceso físico a los sistemas de información
ID: NIST SP 800-53 Rev. 4 PE-6 (4) Propiedad: Microsoft
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Control administrado por Microsoft 1465: supervisión del acceso físico | Supervisión del acceso físico a los sistemas de información | Microsoft implementa este control de protección física y del entorno | auditoría | 1.0.0 |
Registros de acceso de los visitantes
Id.: NIST SP 800-53 Rev. 4 PE-8 Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Control administrado por Microsoft 1466: registros de acceso de los visitantes | Microsoft implementa este control de protección física y del entorno | auditoría | 1.0.0 |
| Control administrado por Microsoft 1467: registros de acceso de los visitantes | Microsoft implementa este control de protección física y del entorno | auditoría | 1.0.0 |
Mantenimiento o revisión de registros automatizados
ID: NIST SP 800-53 Rev. 4 PE-8 (1) Propiedad: Microsoft
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Control administrado por Microsoft 1468: registros de acceso de los visitantes | Mantenimiento o revisión de registros automatizados | Microsoft implementa este control de protección física y del entorno | auditoría | 1.0.0 |
Equipamiento electrónico y cableado de alimentación
ID: NIST SP 800-53 Rev. 4 PE-9 Propiedad: Microsoft
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Control administrado por Microsoft 1469: equipamiento y cableado de alimentación | Microsoft implementa este control de protección física y del entorno | auditoría | 1.0.0 |
Interrupción de emergencia
ID: NIST SP 800-53 Rev. 4 PE-10 Propiedad: Microsoft
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Control administrado por Microsoft 1470: interrupción de emergencia | Microsoft implementa este control de protección física y del entorno | auditoría | 1.0.0 |
| Control administrado por Microsoft 1471: interrupción de emergencia | Microsoft implementa este control de protección física y del entorno | auditoría | 1.0.0 |
| Control administrado por Microsoft 1472: interrupción de emergencia | Microsoft implementa este control de protección física y del entorno | auditoría | 1.0.0 |
Alimentación de emergencia
ID: NIST SP 800-53 Rev. 4 PE-11 Propiedad: Microsoft
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Control administrado por Microsoft 1473: alimentación de emergencia | Microsoft implementa este control de protección física y del entorno | auditoría | 1.0.0 |
Suministro eléctrico alternativo a largo plazo: capacidad operativa mínima
ID: NIST SP 800-53 Rev. 4 PE-11 (1) Propiedad: Microsoft
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Control administrado por Microsoft 1474: alimentación de emergencia | Suministro eléctrico alternativo a largo plazo: capacidad operativa mínima | Microsoft implementa este control de protección física y del entorno | auditoría | 1.0.0 |
Iluminación de emergencia
Id.: NIST SP 800-53 Rev. 4 PE-12 Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Control administrado por Microsoft 1475: iluminación de emergencia | Microsoft implementa este control de protección física y del entorno | auditoría | 1.0.0 |
Protección contra incendios
Id.: NIST SP 800-53 Rev. 4 PE-13 Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Control administrado por Microsoft 1476: protección contra incendios | Microsoft implementa este control de protección física y del entorno | auditoría | 1.0.0 |
Dispositivos o sistemas de detección
Id.: NIST SP 800-53 Rev. 4 PE-13 (1) Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Control administrado por Microsoft 1477: protección contra incendios | Dispositivos o sistemas de detección | Microsoft implementa este control de protección física y del entorno | auditoría | 1.0.0 |
Dispositivos o sistemas de eliminación
Id.: NIST SP 800-53 Rev. 4 PE-13 (2) Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Control administrado por Microsoft 1478: protección contra incendios | Dispositivos o sistemas de eliminación | Microsoft implementa este control de protección física y del entorno | auditoría | 1.0.0 |
Extinción automática de incendios
Id.: NIST SP 800-53 Rev. 4 PE-13 (3) Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Control administrado por Microsoft 1479: protección contra incendios | Extinción automática de incendios | Microsoft implementa este control de protección física y del entorno | auditoría | 1.0.0 |
Controles de temperatura y humedad
Id.: NIST SP 800-53 Rev. 4 PE-14 Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Control administrado por Microsoft 1480: controles de temperatura y humedad | Microsoft implementa este control de protección física y del entorno | auditoría | 1.0.0 |
| Control administrado por Microsoft 1481: controles de temperatura y humedad | Microsoft implementa este control de protección física y del entorno | auditoría | 1.0.0 |
Supervisión con alarmas o notificaciones
Id.: NIST SP 800-53 Rev. 4 PE-14 (2) Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Control administrado por Microsoft 1482: controles de temperatura y humedad | Supervisión con alarmas o notificaciones | Microsoft implementa este control de protección física y del entorno | auditoría | 1.0.0 |
Protección contra daños por el agua
Id.: NIST SP 800-53 Rev. 4 PE-15 Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Control administrado por Microsoft 1483: protección contra daños por el agua | Microsoft implementa este control de protección física y del entorno | auditoría | 1.0.0 |
compatibilidad con automatización
ID: NIST SP 800-53 Rev. 4 PE-15 (1) Propiedad: Microsoft
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Control administrado por Microsoft 1484: protección contra daños por el agua | Compatibilidad con la automatización | Microsoft implementa este control de protección física y del entorno | auditoría | 1.0.0 |
Entrega y eliminación
Id.: NIST SP 800-53 Rev. 4 PE-16 Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Control administrado por Microsoft 1485: entrega y eliminación | Microsoft implementa este control de protección física y del entorno | auditoría | 1.0.0 |
Lugar de trabajo alternativo
Id.: NIST SP 800-53 Rev. 4 PE-17 Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Control administrado por Microsoft 1486: sitio de trabajo alternativo | Microsoft implementa este control de protección física y del entorno | auditoría | 1.0.0 |
| Control administrado por Microsoft 1487: sitio de trabajo alternativo | Microsoft implementa este control de protección física y del entorno | auditoría | 1.0.0 |
| Control administrado por Microsoft 1488: sitio de trabajo alternativo | Microsoft implementa este control de protección física y del entorno | auditoría | 1.0.0 |
Ubicación de los componentes del sistema de información
Id.: NIST SP 800-53 Rev. 4 PE-18 Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Control administrado por Microsoft 1489: ubicación de los componentes del sistema de información | Microsoft implementa este control de protección física y del entorno | auditoría | 1.0.0 |
Planificación
Procedimientos y directiva del planeamiento de seguridad
Id.: NIST SP 800-53 Rev. 4 PL-1 Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Control administrado por Microsoft 1490: procedimientos y directiva del planeamiento de la seguridad | Microsoft implementa este control de planeamiento | auditoría | 1.0.0 |
| Control administrado por Microsoft 1491: procedimientos y directiva del planeamiento de la seguridad | Microsoft implementa este control de planeamiento | auditoría | 1.0.0 |
Plan de seguridad del sistema
Id.: NIST SP 800-53 Rev. 4 PL-2 Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Control administrado por Microsoft 1492: plan de seguridad del sistema | Microsoft implementa este control de planeamiento | auditoría | 1.0.0 |
| Control administrado por Microsoft 1493: plan de seguridad del sistema | Microsoft implementa este control de planeamiento | auditoría | 1.0.0 |
| Control administrado por Microsoft 1494: plan de seguridad del sistema | Microsoft implementa este control de planeamiento | auditoría | 1.0.0 |
| Control administrado por Microsoft 1495: plan de seguridad del sistema | Microsoft implementa este control de planeamiento | auditoría | 1.0.0 |
| Control administrado por Microsoft 1496: plan de seguridad del sistema | Microsoft implementa este control de planeamiento | auditoría | 1.0.0 |
Planificación o coordinación con otras entidades organizativas
Id.: NIST SP 800-53 Rev. 4 PL-2 (3) Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Control administrado por Microsoft 1497: plan de seguridad del sistema | Plan o coordinación con otras entidades organizativas | Microsoft implementa este control de planeamiento | auditoría | 1.0.0 |
Reglas de comportamiento
Id.: NIST SP 800-53 Rev. 4 PL-4 Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Control administrado por Microsoft 1498: reglas de comportamiento | Microsoft implementa este control de planeamiento | auditoría | 1.0.0 |
| Control administrado por Microsoft 1499: reglas de comportamiento | Microsoft implementa este control de planeamiento | auditoría | 1.0.0 |
| Control administrado por Microsoft 1500: reglas de comportamiento | Microsoft implementa este control de planeamiento | auditoría | 1.0.0 |
| Control administrado por Microsoft 1501: reglas de comportamiento | Microsoft implementa este control de planeamiento | auditoría | 1.0.0 |
Restricciones de elementos multimedia y redes sociales
Id.: NIST SP 800-53 Rev. 4 PL-4 (1) Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Control administrado por Microsoft 1502: reglas de comportamiento | Restricciones de medios y redes sociales | Microsoft implementa este control de planeamiento | auditoría | 1.0.0 |
Arquitectura de seguridad de la información
Id.: NIST SP 800-53 Rev. 4 PL-8 Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Control administrado por Microsoft 1503: arquitectura de seguridad de la información | Microsoft implementa este control de planeamiento | auditoría | 1.0.0 |
| Control administrado por Microsoft 1504: arquitectura de seguridad de la información | Microsoft implementa este control de planeamiento | auditoría | 1.0.0 |
| Control administrado por Microsoft 1505: arquitectura de seguridad de la información | Microsoft implementa este control de planeamiento | auditoría | 1.0.0 |
Seguridad del personal
Procedimientos y directiva de seguridad del personal
Id.: NIST SP 800-53 Rev. 4 PS-1 Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Control administrado por Microsoft 1506: procedimientos y directiva de seguridad del personal | Microsoft implementa este control de seguridad del personal | auditoría | 1.0.0 |
| Control administrado por Microsoft 1507: procedimientos y directiva de seguridad del personal | Microsoft implementa este control de seguridad del personal | auditoría | 1.0.0 |
Designación de riesgos de puestos
Id.: NIST SP 800-53 Rev. 4 PS-2 Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Control administrado por Microsoft 1508: categorización de la posición | Microsoft implementa este control de seguridad del personal | auditoría | 1.0.0 |
| Control administrado por Microsoft 1509: categorización de la posición | Microsoft implementa este control de seguridad del personal | auditoría | 1.0.0 |
| Control administrado por Microsoft 1510: categorización de la posición | Microsoft implementa este control de seguridad del personal | auditoría | 1.0.0 |
Filtrado del personal
Id.: NIST SP 800-53 Rev. 4 PS-3 Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Control administrado por Microsoft 1511: filtrado del personal | Microsoft implementa este control de seguridad del personal | auditoría | 1.0.0 |
| Control administrado por Microsoft 1512: filtrado del personal | Microsoft implementa este control de seguridad del personal | auditoría | 1.0.0 |
Información con medidas de protección especiales
Id.: NIST SP 800-53 Rev. 4 PS-3 (3) Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Control administrado por Microsoft 1513: filtrado del personal | Información con medidas de protección especiales | Microsoft implementa este control de seguridad del personal | auditoría | 1.0.0 |
| Control administrado por Microsoft 1514: filtrado del personal | Información con medidas de protección especiales | Microsoft implementa este control de seguridad del personal | auditoría | 1.0.0 |
Finalización del contrato del personal
Id.: NIST SP 800-53 Rev. 4 PS-4 Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Control administrado por Microsoft 1515: finalización del contrato del personal | Microsoft implementa este control de seguridad del personal | auditoría | 1.0.0 |
| Control administrado por Microsoft 1516: finalización del contrato del personal | Microsoft implementa este control de seguridad del personal | auditoría | 1.0.0 |
| Control administrado por Microsoft 1517: finalización del contrato del personal | Microsoft implementa este control de seguridad del personal | auditoría | 1.0.0 |
| Control administrado por Microsoft 1518: finalización del contrato del personal | Microsoft implementa este control de seguridad del personal | auditoría | 1.0.0 |
| Control administrado por Microsoft 1519: finalización del contrato del personal | Microsoft implementa este control de seguridad del personal | auditoría | 1.0.0 |
| Control administrado por Microsoft 1520: finalización del contrato del personal | Microsoft implementa este control de seguridad del personal | auditoría | 1.0.0 |
Notificación automatizada
Id.: NIST SP 800-53 Rev. 4 PS-4 (2) Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Control administrado por Microsoft 1521: finalización del contrato del personal | Notificación automatizada | Microsoft implementa este control de seguridad del personal | auditoría | 1.0.0 |
Transferencia de personal
Id.: NIST SP 800-53 Rev. 4 PS-5 Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Control administrado por Microsoft 1522: transferencia de personal | Microsoft implementa este control de seguridad del personal | auditoría | 1.0.0 |
| Control administrado por Microsoft 1523: transferencia de personal | Microsoft implementa este control de seguridad del personal | auditoría | 1.0.0 |
| Control administrado por Microsoft 1524: transferencia de personal | Microsoft implementa este control de seguridad del personal | auditoría | 1.0.0 |
| Control administrado por Microsoft 1525: transferencia de personal | Microsoft implementa este control de seguridad del personal | auditoría | 1.0.0 |
Contratos de acceso
Id.: NIST SP 800-53 Rev. 4 PS-6 Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Control administrado por Microsoft 1526: contratos de acceso | Microsoft implementa este control de seguridad del personal | auditoría | 1.0.0 |
| Control administrado por Microsoft 1527: contratos de acceso | Microsoft implementa este control de seguridad del personal | auditoría | 1.0.0 |
| Control administrado por Microsoft 1528: contratos de acceso | Microsoft implementa este control de seguridad del personal | auditoría | 1.0.0 |
Seguridad del personal de terceros
Id.: NIST SP 800-53 Rev. 4 PS-7 Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Control administrado por Microsoft 1529: seguridad del personal de terceros | Microsoft implementa este control de seguridad del personal | auditoría | 1.0.0 |
| Control administrado por Microsoft 1530: seguridad del personal de terceros | Microsoft implementa este control de seguridad del personal | auditoría | 1.0.0 |
| Control administrado por Microsoft 1531: seguridad del personal de terceros | Microsoft implementa este control de seguridad del personal | auditoría | 1.0.0 |
| Control administrado por Microsoft 1532: seguridad del personal de terceros | Microsoft implementa este control de seguridad del personal | auditoría | 1.0.0 |
| Control administrado por Microsoft 1533: seguridad del personal de terceros | Microsoft implementa este control de seguridad del personal | auditoría | 1.0.0 |
Sanciones del personal
Id.: NIST SP 800-53 Rev. 4 PS-8 Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Control administrado por Microsoft 1534: sanciones del personal | Microsoft implementa este control de seguridad del personal | auditoría | 1.0.0 |
| Control administrado por Microsoft 1535: sanciones del personal | Microsoft implementa este control de seguridad del personal | auditoría | 1.0.0 |
Evaluación de riesgos
Directiva de evaluación de riesgos y procedimientos
Id.: NIST SP 800-53 Rev. 4 RA-1 Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Control administrado por Microsoft 1536: directiva y procedimientos de evaluación de riesgos | Microsoft implementa este control de evaluación de riesgos | auditoría | 1.0.0 |
| Control administrado por Microsoft 1537: directiva y procedimientos de evaluación de riesgos | Microsoft implementa este control de evaluación de riesgos | auditoría | 1.0.0 |
Categorización de seguridad
Id.: NIST SP 800-53 Rev. 4 RA-2 Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Control administrado por Microsoft 1538: categorización de la seguridad | Microsoft implementa este control de evaluación de riesgos | auditoría | 1.0.0 |
| Control administrado por Microsoft 1539: categorización de la seguridad | Microsoft implementa este control de evaluación de riesgos | auditoría | 1.0.0 |
| Control administrado por Microsoft 1540: categorización de la seguridad | Microsoft implementa este control de evaluación de riesgos | auditoría | 1.0.0 |
Evaluación de riesgos
Id.: NIST SP 800-53 Rev. 4 RA-3 Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Control administrado por Microsoft 1541: evaluación de riesgos | Microsoft implementa este control de evaluación de riesgos | auditoría | 1.0.0 |
| Control administrado por Microsoft 1542: evaluación de riesgos | Microsoft implementa este control de evaluación de riesgos | auditoría | 1.0.0 |
| Control administrado por Microsoft 1543: evaluación de riesgos | Microsoft implementa este control de evaluación de riesgos | auditoría | 1.0.0 |
| Control administrado por Microsoft 1544: evaluación de riesgos | Microsoft implementa este control de evaluación de riesgos | auditoría | 1.0.0 |
| Control administrado por Microsoft 1545: evaluación de riesgos | Microsoft implementa este control de evaluación de riesgos | auditoría | 1.0.0 |
Examen de vulnerabilidades
Id.: NIST SP 800-53 Rev. 4 RA-5 Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Se debe habilitar Azure Defender para servidores de Azure SQL Database | Azure Defender para SQL proporciona funcionalidad para mostrar y mitigar posibles vulnerabilidades de base de datos, detectar actividades anómalas que podrían indicar amenazas para bases de datos SQL, y detectar y clasificar datos confidenciales. | AuditIfNotExists, Disabled | 1.0.2 |
| Se debe habilitar Azure Defender para Resource Manager | Azure Defender para Resource Manager supervisa automáticamente las operaciones de administración de recursos de la organización. Azure Defender detecta amenazas y alerta sobre actividades sospechosas. Obtenga más información sobre las funcionalidades de Azure Defender para Resource Manager en https://aka.ms/defender-for-resource-manager. La habilitación de este plan de Azure Defender conlleva cargos. Obtenga información sobre los detalles de los precios por región en la página de precios de Security Center: https://aka.ms/pricing-security-center. | AuditIfNotExists, Disabled | 1.0.0 |
| Se debe habilitar Azure Defender para servidores | Azure Defender para servidores proporciona protección en tiempo real contra amenazas para las cargas de trabajo del servidor y genera recomendaciones de protección, así como alertas sobre la actividad sospechosa. | AuditIfNotExists, Disabled | 1.0.3 |
| Se debe habilitar Azure Defender para SQL en las instancias de Azure SQL Server desprotegidas | Auditoría de los servidores de SQL sin Advanced Data Security | AuditIfNotExists, Disabled | 2.0.1 |
| Azure Defender para SQL debe habilitarse en las instancias de SQL Managed Instances desprotegidas. | Permite auditr cada servicio SQL Managed Instance sin Advanced Data Security. | AuditIfNotExists, Disabled | 1.0.2 |
| Microsoft Defender para contenedores debería estar habilitado | Microsoft Defender para contenedores proporciona protección, evaluación de vulnerabilidades y protecciones en tiempo de ejecución para los entornos de Kubernetes de Azure, híbridos y multinube. | AuditIfNotExists, Disabled | 1.0.0 |
| Microsoft Defender para Storage (Clásico) debe estar habilitado | Microsoft Defender para Storage (Clásico) proporciona detecciones de intentos inusuales y potencialmente dañinos para acceder a las cuentas de almacenamiento o aprovechar alguna vulnerabilidad de seguridad. | AuditIfNotExists, Disabled | 1.0.4 |
| Control administrado por Microsoft 1546: examen de vulnerabilidades | Microsoft implementa este control de evaluación de riesgos | auditoría | 1.0.0 |
| Control administrado por Microsoft 1547: examen de vulnerabilidades | Microsoft implementa este control de evaluación de riesgos | auditoría | 1.0.0 |
| Control administrado por Microsoft 1548: examen de vulnerabilidades | Microsoft implementa este control de evaluación de riesgos | auditoría | 1.0.0 |
| Control administrado por Microsoft 1549: examen de vulnerabilidades | Microsoft implementa este control de evaluación de riesgos | auditoría | 1.0.0 |
| Control administrado por Microsoft 1550: examen de vulnerabilidades | Microsoft implementa este control de evaluación de riesgos | auditoría | 1.0.0 |
| Las bases de datos SQL deben tener resueltos los hallazgos de vulnerabilidades. | Permite supervisar los resultados del examen de evaluación de puntos vulnerables y las recomendaciones para solucionar los de las bases de datos. | AuditIfNotExists, Disabled | 4.1.0 |
| Los servidores SQL de las máquinas deben tener resueltos los hallazgos de vulnerabilidades. | La evaluación de vulnerabilidades de SQL examina la base de datos en busca de vulnerabilidades de seguridad y expone las posibles desviaciones de los procedimientos recomendados, como errores de configuración, permisos excesivos y datos confidenciales sin protección. La corrección de las vulnerabilidades detectadas puede mejorar considerablemente la posición de seguridad de la base de datos. | AuditIfNotExists, Disabled | 1.0.0 |
| Las vulnerabilidades en las configuraciones de seguridad de contenedor deben corregirse | Audite las vulnerabilidades en la configuración de seguridad de las máquinas con Docker instalado y muéstrelas como recomendaciones en Azure Security Center. | AuditIfNotExists, Disabled | 3.0.0 |
| Se deben corregir las vulnerabilidades en la configuración de seguridad en las máquinas | Azure Security Center supervisará los servidores que no cumplan la línea de base configurada como recomendaciones. | AuditIfNotExists, Disabled | 3.1.0 |
| Se deben corregir las vulnerabilidades en la configuración de seguridad de los conjuntos de escalado de máquinas virtuales | Audite las vulnerabilidades del sistema operativo en los conjuntos de escalado de máquinas virtuales para protegerlos frente a ataques. | AuditIfNotExists, Disabled | 3.0.0 |
| La evaluación de vulnerabilidades debe estar habilitada en Instancia administrada de SQL | Audita cada servicio SQL Managed Instance que no tiene habilitado los exámenes de evaluación de vulnerabilidades periódicos. La evaluación de vulnerabilidades permite detectar las vulnerabilidades potenciales de la base de datos, así como hacer un seguimiento y ayudar a corregirlas. | AuditIfNotExists, Disabled | 1.0.1 |
| La evaluación de vulnerabilidades debe estar activada en sus servidores de SQL Server | Auditoría de los servidores Azure SQL que no tienen configurada correctamente la evaluación de vulnerabilidades. La evaluación de vulnerabilidades permite detectar las vulnerabilidades potenciales de la base de datos, así como hacer un seguimiento y ayudar a corregirlas. | AuditIfNotExists, Disabled | 3.0.0 |
| La evaluación de vulnerabilidades debe estar habilitada en las áreas de trabajo de Synapse | Para detectar, seguir y corregir posibles vulnerabilidades, configure exámenes periódicos de evaluación de las vulnerabilidades de SQL en las áreas de trabajo de Synapse. | AuditIfNotExists, Disabled | 1.0.0 |
Funcionalidad de la herramienta de actualización
Id.: NIST SP 800-53 Rev. 4 RA-5 (1) Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Control administrado por Microsoft 1551: examen de vulnerabilidades | Funcionalidad de la herramienta de actualización | Microsoft implementa este control de evaluación de riesgos | auditoría | 1.0.0 |
Actualización por frecuencia o antes de nuevo análisis, o cuando se identifique
Id.: NIST SP 800-53 Rev. 4 RA-5 (2) Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Control administrado por Microsoft 1552: examen de vulnerabilidades | Actualización por frecuencia o antes de nuevo análisis, o cuando se identifique | Microsoft implementa este control de evaluación de riesgos | auditoría | 1.0.0 |
Amplitud o profundidad de cobertura
Id.: NIST SP 800-53 Rev. 4 RA-5 (3) Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Control administrado por Microsoft 1553: examen de vulnerabilidades | Amplitud o profundidad de cobertura | Microsoft implementa este control de evaluación de riesgos | auditoría | 1.0.0 |
Información detectable
Id.: NIST SP 800-53 Rev. 4 RA-5 (4) Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Control administrado por Microsoft 1554: examen de vulnerabilidades | Información detectable | Microsoft implementa este control de evaluación de riesgos | auditoría | 1.0.0 |
Acceso con privilegios
Id.: NIST SP 800-53 Rev. 4 RA-5 (5) Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Control administrado por Microsoft 1555: examen de vulnerabilidades | Acceso con privilegios | Microsoft implementa este control de evaluación de riesgos | auditoría | 1.0.0 |
Análisis de tendencias automatizados
Id.: NIST SP 800-53 Rev. 4 RA-5 (6) Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Control administrado por Microsoft 1556: examen de vulnerabilidades | Análisis de tendencias automatizados | Microsoft implementa este control de evaluación de riesgos | auditoría | 1.0.0 |
Revisión de registros de auditoría históricos
Id.: NIST SP 800-53 Rev. 4 RA-5 (8) Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Control administrado por Microsoft 1557: examen de vulnerabilidades | Revisión de registros de auditoría históricos | Microsoft implementa este control de evaluación de riesgos | auditoría | 1.0.0 |
Correlación de información de examen
Id.: NIST SP 800-53 Rev. 4 RA-5 (10) Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Control administrado por Microsoft 1558: examen de vulnerabilidades | Correlación de información de examen | Microsoft implementa este control de evaluación de riesgos | auditoría | 1.0.0 |
Adquisición del sistema y los servicios
Procedimientos y directiva de adquisición del sistema y los servicios
Id.: NIST SP 800-53 Rev. 4 SA-1 Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Control administrado por Microsoft 1559: procedimientos y directiva de adquisición del sistema y los servicios | Microsoft implementa este control de adquisición del sistema y los servicios | auditoría | 1.0.0 |
| Control administrado por Microsoft 1560: procedimientos y directiva de adquisición del sistema y los servicios | Microsoft implementa este control de adquisición del sistema y los servicios | auditoría | 1.0.0 |
Asignación de recursos
Id.: NIST SP 800-53 Rev. 4 SA-2 Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Control administrado por Microsoft 1561: asignación de recursos | Microsoft implementa este control de adquisición del sistema y los servicios | auditoría | 1.0.0 |
| Control administrado por Microsoft 1562: asignación de recursos | Microsoft implementa este control de adquisición del sistema y los servicios | auditoría | 1.0.0 |
| Control administrado por Microsoft 1563: asignación de recursos | Microsoft implementa este control de adquisición del sistema y los servicios | auditoría | 1.0.0 |
Ciclo de vida del desarrollo del sistema
Id.: NIST SP 800-53 Rev. 4 SA-3 Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Control administrado por Microsoft 1564: ciclo de vida del desarrollo del sistema | Microsoft implementa este control de adquisición del sistema y los servicios | auditoría | 1.0.0 |
| Control administrado por Microsoft 1565: ciclo de vida del desarrollo del sistema | Microsoft implementa este control de adquisición del sistema y los servicios | auditoría | 1.0.0 |
| Control administrado por Microsoft 1566: ciclo de vida del desarrollo del sistema | Microsoft implementa este control de adquisición del sistema y los servicios | auditoría | 1.0.0 |
| Control administrado por Microsoft 1567: ciclo de vida del desarrollo del sistema | Microsoft implementa este control de adquisición del sistema y los servicios | auditoría | 1.0.0 |
Proceso de adquisición
Id.: NIST SP 800-53 Rev. 4 SA-4 Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Control administrado por Microsoft 1568: proceso de adquisición | Microsoft implementa este control de adquisición del sistema y los servicios | auditoría | 1.0.0 |
| Control administrado por Microsoft 1569: proceso de adquisición | Microsoft implementa este control de adquisición del sistema y los servicios | auditoría | 1.0.0 |
| Control administrado por Microsoft 1570: proceso de adquisición | Microsoft implementa este control de adquisición del sistema y los servicios | auditoría | 1.0.0 |
| Control administrado por Microsoft 1571: proceso de adquisición | Microsoft implementa este control de adquisición del sistema y los servicios | auditoría | 1.0.0 |
| Control administrado por Microsoft 1572: proceso de adquisición | Microsoft implementa este control de adquisición del sistema y los servicios | auditoría | 1.0.0 |
| Control administrado por Microsoft 1573: proceso de adquisición | Microsoft implementa este control de adquisición del sistema y los servicios | auditoría | 1.0.0 |
| Control administrado por Microsoft 1574: proceso de adquisición | Microsoft implementa este control de adquisición del sistema y los servicios | auditoría | 1.0.0 |
Propiedades funcionales de controles de seguridad
Id.: NIST SP 800-53 Rev. 4 SA-4 (1) Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Control administrado por Microsoft 1575: proceso de adquisición | Propiedades funcionales de los controles de seguridad | Microsoft implementa este control de adquisición del sistema y los servicios | auditoría | 1.0.0 |
Información de diseño e implementación para controles de seguridad
Id.: NIST SP 800-53 Rev. 4 SA-4 (2) Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Control administrado por Microsoft 1576: proceso de adquisición | Información de diseño o implementación para controles de seguridad | Microsoft implementa este control de adquisición del sistema y los servicios | auditoría | 1.0.0 |
Plan de supervisión continua
Id.: NIST SP 800-53 Rev. 4 SA-4 (8) Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Control administrado por Microsoft 1577: proceso de adquisición | Plan de supervisión continua | Microsoft implementa este control de adquisición del sistema y los servicios | auditoría | 1.0.0 |
Funciones, puertos, protocolos, servicios en uso
Id.: NIST SP 800-53 Rev. 4 SA-4 (9) Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Control administrado por Microsoft 1578: proceso de adquisición | Funciones, puertos, protocolos o servicios en uso | Microsoft implementa este control de adquisición del sistema y los servicios | auditoría | 1.0.0 |
Uso de productos PIV aprobados
Id.: NIST SP 800-53 Rev. 4 SA-4 (10) Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Control administrado por Microsoft 1579: proceso de adquisición | Uso de productos de PIV aprobados | Microsoft implementa este control de adquisición del sistema y los servicios | auditoría | 1.0.0 |
Documentación del sistema de información
Id.: NIST SP 800-53 Rev. 4 SA-5 Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Control administrado por Microsoft 1580: documentación del sistema de información | Microsoft implementa este control de adquisición del sistema y los servicios | auditoría | 1.0.0 |
| Control administrado por Microsoft 1581: documentación del sistema de información | Microsoft implementa este control de adquisición del sistema y los servicios | auditoría | 1.0.0 |
| Control administrado por Microsoft 1582: documentación del sistema de información | Microsoft implementa este control de adquisición del sistema y los servicios | auditoría | 1.0.0 |
| Control administrado por Microsoft 1583: documentación del sistema de información | Microsoft implementa este control de adquisición del sistema y los servicios | auditoría | 1.0.0 |
| Control administrado por Microsoft 1584: documentación del sistema de información | Microsoft implementa este control de adquisición del sistema y los servicios | auditoría | 1.0.0 |
Principios de ingeniería de seguridad
Id.: NIST SP 800-53 Rev. 4 SA-8 Propiedad: Microsoft
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Control administrado por Microsoft 1585: principios de ingeniería de seguridad | Microsoft implementa este control de adquisición del sistema y los servicios | auditoría | 1.0.0 |
Servicios del sistema de información externo
Id.: NIST SP 800-53 Rev. 4 SA-9 Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Control administrado por Microsoft 1586: servicios del sistema de información externo | Microsoft implementa este control de adquisición del sistema y los servicios | auditoría | 1.0.0 |
| Control administrado por Microsoft 1587: servicios del sistema de información externo | Microsoft implementa este control de adquisición del sistema y los servicios | auditoría | 1.0.0 |
| Control administrado por Microsoft 1588: servicios del sistema de información externo | Microsoft implementa este control de adquisición del sistema y los servicios | auditoría | 1.0.0 |
Evaluaciones de riesgos o aprobaciones de la organización
Id.: NIST SP 800-53 Rev. 4 SA-9 (1) Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Control administrado por Microsoft 1589: servicios del sistema de información externo | Evaluaciones de riesgos o aprobaciones de la organización | Microsoft implementa este control de adquisición del sistema y los servicios | auditoría | 1.0.0 |
| Control administrado por Microsoft 1590: servicios del sistema de información externo | Evaluaciones de riesgos o aprobaciones de la organización | Microsoft implementa este control de adquisición del sistema y los servicios | auditoría | 1.0.0 |
Identificación de funciones, puertos, protocolos o servicios
Id.: NIST SP 800-53 Rev. 4 SA-9 (2) Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Control administrado por Microsoft 1591: servicios del sistema de información externo | Identificación de funciones, puertos, protocolos... | Microsoft implementa este control de adquisición del sistema y los servicios | auditoría | 1.0.0 |
Intereses coherentes de consumidores y proveedores
Id.: NIST SP 800-53 Rev. 4 SA-9 (4) Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Control administrado por Microsoft 1592: servicios del sistema de información externo | Intereses coherentes de consumidores y proveedores | Microsoft implementa este control de adquisición del sistema y los servicios | auditoría | 1.0.0 |
Procesamiento, almacenamiento y ubicación del servicio
Id.: NIST SP 800-53 Rev. 4 SA-9 (5) Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Control administrado por Microsoft 1593: servicios del sistema de información externo | Procesamiento, almacenamiento y ubicación del servicio | Microsoft implementa este control de adquisición del sistema y los servicios | auditoría | 1.0.0 |
Administración de configuración para desarrolladores
Id.: NIST SP 800-53 Rev. 4 SA-10 Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Control administrado por Microsoft 1594: administración de configuración para desarrolladores | Microsoft implementa este control de adquisición del sistema y los servicios | auditoría | 1.0.0 |
| Control administrado por Microsoft 1595: administración de configuración para desarrolladores | Microsoft implementa este control de adquisición del sistema y los servicios | auditoría | 1.0.0 |
| Control administrado por Microsoft 1596: administración de configuración para desarrolladores | Microsoft implementa este control de adquisición del sistema y los servicios | auditoría | 1.0.0 |
| Control administrado por Microsoft 1597: administración de configuración para desarrolladores | Microsoft implementa este control de adquisición del sistema y los servicios | auditoría | 1.0.0 |
| Control administrado por Microsoft 1598: administración de configuración para desarrolladores | Microsoft implementa este control de adquisición del sistema y los servicios | auditoría | 1.0.0 |
Comprobación de integridad de software o firmware
Id.: NIST SP 800-53 Rev. 4 SA-10 (1) Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Control administrado por Microsoft 1599: administración de configuración para desarrolladores | Comprobación de integridad de software o firmware | Microsoft implementa este control de adquisición del sistema y los servicios | auditoría | 1.0.0 |
Pruebas y evaluación de la seguridad para desarrolladores
Id.: NIST SP 800-53 Rev. 4 SA-11 Propiedad: Compartido
Análisis de código estático
Id.: NIST SP 800-53 Rev. 4 SA-11 (1) Propiedad: Microsoft
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Control administrado por Microsoft 1605: pruebas y evaluación de la seguridad para desarrolladores | Análisis de código estático | Microsoft implementa este control de adquisición del sistema y los servicios | auditoría | 1.0.0 |
Análisis de amenazas y vulnerabilidades
Id.: NIST SP 800-53 Rev. 4 SA-11 (2) Propiedad: Microsoft
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Control administrado por Microsoft 1606: pruebas y evaluación de la seguridad para desarrolladores | Análisis de amenazas y vulnerabilidades | Microsoft implementa este control de adquisición del sistema y los servicios | auditoría | 1.0.0 |
Análisis de código dinámico
Id.: NIST SP 800-53 Rev. 4 SA-11 (8) Propiedad: Microsoft
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Control administrado por Microsoft 1607: pruebas y evaluación de la seguridad para desarrolladores | Análisis de código dinámico | Microsoft implementa este control de adquisición del sistema y los servicios | auditoría | 1.0.0 |
Protección de la cadena de suministro
Id.: NIST SP 800-53 Rev. 4 SA-12 Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Control administrado por Microsoft 1608: protección de la cadena de suministro | Microsoft implementa este control de adquisición del sistema y los servicios | auditoría | 1.0.0 |
Proceso de desarrollo, estándares y herramientas
Id.: NIST SP 800-53 Rev. 4 SA-15 Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Control administrado por Microsoft 1609: proceso de desarrollo, estándares y herramientas | Microsoft implementa este control de adquisición del sistema y los servicios | auditoría | 1.0.0 |
| Control administrado por Microsoft 1610: proceso de desarrollo, estándares y herramientas | Microsoft implementa este control de adquisición del sistema y los servicios | auditoría | 1.0.0 |
Cursos proporcionados por desarrolladores
Id.: NIST SP 800-53 Rev. 4 SA-16 Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Control administrado por Microsoft 1611: aprendizaje proporcionado por el desarrollador | Microsoft implementa este control de adquisición del sistema y los servicios | auditoría | 1.0.0 |
Diseño y arquitectura de la seguridad para desarrolladores
Id.: NIST SP 800-53 Rev. 4 SA-17 Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Control administrado por Microsoft 1612: diseño y arquitectura de la seguridad para desarrolladores | Microsoft implementa este control de adquisición del sistema y los servicios | auditoría | 1.0.0 |
| Control administrado por Microsoft 1613: diseño y arquitectura de la seguridad para desarrolladores | Microsoft implementa este control de adquisición del sistema y los servicios | auditoría | 1.0.0 |
| Control administrado por Microsoft 1614: diseño y arquitectura de la seguridad para desarrolladores | Microsoft implementa este control de adquisición del sistema y los servicios | auditoría | 1.0.0 |
Protección del sistema y de las comunicaciones
Directivas y procedimientos para la protección del sistema y de las comunicaciones
Id.: NIST SP 800-53 Rev. 4 SC-1 Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Control administrado por Microsoft 1615: directiva y procedimientos para la protección del sistema y de las comunicaciones | Microsoft implementa este control de protección del sistema y de las comunicaciones | auditoría | 1.0.0 |
| Control administrado por Microsoft 1616: directiva y procedimientos para la protección del sistema y de las comunicaciones | Microsoft implementa este control de protección del sistema y de las comunicaciones | auditoría | 1.0.0 |
Creación de particiones en la aplicación
Id.: NIST SP 800-53 Rev. 4 SC-2 Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Control administrado por Microsoft 1617: creación de particiones en la aplicación | Microsoft implementa este control de protección del sistema y de las comunicaciones | auditoría | 1.0.0 |
Aislamiento de la función de seguridad
Id.: NIST SP 800-53 Rev. 4 SC-3 Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Se debe habilitar Azure Defender para servidores | Azure Defender para servidores proporciona protección en tiempo real contra amenazas para las cargas de trabajo del servidor y genera recomendaciones de protección, así como alertas sobre la actividad sospechosa. | AuditIfNotExists, Disabled | 1.0.3 |
| La solución de protección del punto de conexión debe instalarse en las máquinas virtuales | Audite la existencia y el estado de una solución de protección de puntos de conexión en los conjuntos de escalado de máquinas virtuales para protegerlos frente a amenazas y vulnerabilidades. | AuditIfNotExists, Disabled | 3.0.0 |
| Control administrado por Microsoft 1618: aislamiento de la función de seguridad | Microsoft implementa este control de protección del sistema y de las comunicaciones | auditoría | 1.0.0 |
| Supervisar la falta de Endpoint Protection en Azure Security Center | Azure Security Center supervisará los servidores sin un agente de Endpoint Protection instalado como recomendaciones. | AuditIfNotExists, Disabled | 3.1.0 |
| La Protección contra vulnerabilidades de seguridad de Windows Defender debe estar habilitada en las máquinas. | La protección contra vulnerabilidades de seguridad de Windows Defender utiliza el agente de configuración de invitado de Azure Policy. La protección contra vulnerabilidades de seguridad tiene cuatro componentes diseñados para bloquear dispositivos en una amplia variedad de vectores de ataque y comportamientos de bloque utilizados habitualmente en ataques de malware, al tiempo que permiten a las empresas equilibrar los requisitos de productividad y riesgo de seguridad (solo Windows). | AuditIfNotExists, Disabled | 1.1.1 |
Información en recursos compartidos
Id.: NIST SP 800-53 Rev. 4 SC-4 Propiedad: Microsoft
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Control administrado por Microsoft 1619: información en recursos compartidos | Microsoft implementa este control de protección del sistema y de las comunicaciones | auditoría | 1.0.0 |
Protección ante la denegación de servicio
Id.: NIST SP 800-53 Rev. 4 SC-5 Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Azure DDoS Protection debe estar habilitado | DDoS Protection debe estar habilitado en todas las redes virtuales que tengan una subred que forme parte de una instancia de Application Gateway con una dirección IP pública. | AuditIfNotExists, Disabled | 3.0.1 |
| Azure Web Application Firewall debe estar habilitado para los puntos de entrada de Azure Front Door | Implemente Azure Web Application Firewall (WAF) delante de las aplicaciones web de acceso público para una inspección adicional del tráfico entrante. Web Application Firewall (WAF) ofrece una protección centralizada de las aplicaciones web frente a vulnerabilidades de seguridad comunes, como la inyección de SQL, el scripting entre sitios y las ejecuciones de archivos locales y remotas. También permite restringir el acceso a las aplicaciones web por países, intervalos de direcciones IP y otros parámetros http(s) por medio de reglas personalizadas. | Audit, Deny, Disabled | 1.0.2 |
| El reenvío de IP en la máquina virtual debe estar deshabilitado | Habilitar el reenvío de IP en la NIC de la máquina virtual permite que la máquina reciba tráfico dirigido a otros destinos. El reenvío de IP rara vez es necesario (por ejemplo, cuando se usa la máquina virtual como una aplicación virtual de red) y, por lo tanto, el equipo de seguridad de red debe revisarlo. | AuditIfNotExists, Disabled | 3.0.0 |
| Control administrado por Microsoft 1620: protección contra la denegación de servicio | Microsoft implementa este control de protección del sistema y de las comunicaciones | auditoría | 1.0.0 |
| El firewall de aplicaciones web (WAF) debe estar habilitado para Application Gateway | Implemente Azure Web Application Firewall (WAF) delante de las aplicaciones web de acceso público para una inspección adicional del tráfico entrante. Web Application Firewall (WAF) ofrece una protección centralizada de las aplicaciones web frente a vulnerabilidades de seguridad comunes, como la inyección de SQL, el scripting entre sitios y las ejecuciones de archivos locales y remotas. También permite restringir el acceso a las aplicaciones web por países, intervalos de direcciones IP y otros parámetros http(s) por medio de reglas personalizadas. | Audit, Deny, Disabled | 2.0.0 |
Disponibilidad de recursos
Id.: NIST SP 800-53 Rev. 4 SC-6 Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Control administrado por Microsoft 1621: disponibilidad de recursos | Microsoft implementa este control de protección del sistema y de las comunicaciones | auditoría | 1.0.0 |
Protección de límites
Id.: NIST SP 800-53 Rev. 4 SC-7 Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Todos los puertos de red deben estar restringidos en los grupos de seguridad de red asociados a la máquina virtual | Azure Security Center identificó que algunas de las reglas de entrada de sus grupos de seguridad de red son demasiado permisivas. Las reglas de entrada no deben permitir el acceso desde los intervalos "Cualquiera" o "Internet". Esto podría permitir que los atacantes pudieran acceder a sus recursos. | AuditIfNotExists, Disabled | 3.0.0 |
| Los servicios de API Management deben usar una red virtual | La implementación de Azure Virtual Network ofrece una seguridad y aislamiento mejorados, y permite colocar el servicio de API Management en una red enrutable sin conexión a Internet cuyo acceso puede controlar. Estas redes se pueden conectar a las redes locales mediante diversas tecnologías de VPN, lo que permite el acceso a los servicios de back-end dentro de la red o de forma local. El portal para desarrolladores y la puerta de enlace de API pueden configurarse para que sea accesible desde Internet o solo dentro de la red virtual. | Audit, Deny, Disabled | 1.0.2 |
| App Configuration debe usar Private Link | Azure Private Link permite conectar la red virtual a servicios de Azure sin una dirección IP pública en el origen o el destino. La plataforma Private Link administra la conectividad entre el consumidor y los servicios a través de la red troncal de Azure. Mediante la asignación de puntos de conexión privados a las instancias de App Configuration en lugar de a todo el servicio, además se protege frente a riesgos de pérdida de datos. Más información en: https://aka.ms/appconfig/private-endpoint. | AuditIfNotExists, Disabled | 1.0.2 |
| Los intervalos IP autorizados deben definirse en los servicios de Kubernetes | Restrinja el acceso a la API de administración de servicios de Kubernetes mediante la concesión de acceso de API solo a direcciones IP en intervalos específicos. Se recomienda limitar el acceso a los intervalos IP autorizados para garantizar que solo las aplicaciones de las redes permitidas puedan acceder al clúster. | Audit, Disabled | 2.0.0 |
| Los recursos de Servicios de Azure AI deben restringir el acceso a la red | Al restringir el acceso a la red, puede asegurarse de que solo las redes permitidas puedan acceder al servicio. Para lograr esto, se pueden configurar reglas de red de modo que solo las aplicaciones de las redes permitidas puedan acceder al servicio Azure AI. | Audit, Deny, Disabled | 3.2.0 |
| Azure Cache for Redis debe usar Private Link | Los puntos de conexión privados le permiten conectar la red virtual a los servicios de Azure sin una dirección IP pública en el origen o el destino. Al asignar puntos de conexión privados a las instancias de Azure Cache for Redis, se reduce el riesgo de pérdida de datos. Más información en: https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link. | AuditIfNotExists, Disabled | 1.0.0 |
| El servicio Azure Cognitive Search debe usar una SKU que admita Private Link | Con las SKU admitidas de Azure Cognitive Search, Azure Private Link permite conectar la red virtual a los servicios de Azure sin una dirección IP pública en el origen o el destino. La plataforma Private Link administra la conectividad entre el consumidor y los servicios a través de la red troncal de Azure. Al asignar puntos de conexión privados a su servicio Search, se reduce el riesgo de pérdida de datos. Más información en: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Audit, Deny, Disabled | 1.0.0 |
| Los servicios de Azure Cognitive Search deben deshabilitar el acceso a la red pública | Al deshabilitar el acceso a la red pública, se mejora la seguridad, ya que se garantiza que el servicio de Azure Cognitive Search no se expone en la red pública de Internet. La creación de puntos de conexión privados puede limitar la exposición del servicio Search. Más información en: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Audit, Deny, Disabled | 1.0.0 |
| Los servicios de Azure Cognitive Search deben usar un vínculo privado. | Azure Private Link permite conectar la red virtual a servicios de Azure sin una dirección IP pública en el origen o el destino. La plataforma Private Link administra la conectividad entre el consumidor y los servicios a través de la red troncal de Azure. Mediante la asignación de puntos de conexión privados a Azure Cognitive Search, se reducen los riesgos de pérdida de datos. Más información sobre los vínculos privados en https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Audit, Disabled | 1.0.0 |
| Las cuentas de Azure Cosmos DB deben tener reglas de firewall. | Se deben definir reglas de firewall en las cuentas de Azure Cosmos DB para evitar el tráfico desde orígenes no autorizados. Las cuentas que tienen al menos una regla de IP definida con el filtro de red virtual habilitado se consideran compatibles. Las cuentas que deshabilitan el acceso público también se consideran compatibles. | Audit, Deny, Disabled | 2.0.0 |
| Azure Data Factory debe usar Private Link | Azure Private Link permite conectar la red virtual a servicios de Azure sin una dirección IP pública en el origen o el destino. La plataforma Private Link administra la conectividad entre el consumidor y los servicios a través de la red troncal de Azure. Mediante la asignación de puntos de conexión privados a Azure Data Factory, se reducen los riesgos de pérdida de datos. Más información sobre los vínculos privados en https://docs.microsoft.com/azure/data-factory/data-factory-private-link. | AuditIfNotExists, Disabled | 1.0.0 |
| Los dominios de Azure Event Grid deben usar Private Link | Azure Private Link permite conectar la red virtual a servicios de Azure sin una dirección IP pública en el origen o el destino. La plataforma Private Link administra la conectividad entre el consumidor y los servicios a través de la red troncal de Azure. Mediante la asignación de puntos de conexión privados al dominio de Event Grid en lugar de a todo el servicio, también estará protegido frente a riesgos de pérdida de datos. Más información en: https://aka.ms/privateendpoints. | Audit, Disabled | 1.0.2 |
| Los temas de Azure Event Grid deben usar Private Link | Azure Private Link permite conectar la red virtual a servicios de Azure sin una dirección IP pública en el origen o el destino. La plataforma Private Link administra la conectividad entre el consumidor y los servicios a través de la red troncal de Azure. Mediante la asignación de puntos de conexión privados al tema de Event Grid en lugar de a todo el servicio, estará además protegido frente a riesgos de pérdida de datos. Más información en: https://aka.ms/privateendpoints. | Audit, Disabled | 1.0.2 |
| Azure File Sync debe usar Private Link | Si crea un punto de conexión privado para el recurso del servicio de sincronización de almacenamiento indicado, podrá dirigirse al recurso del servicio de sincronización de almacenamiento desde el espacio de direcciones IP privadas de la red de la organización, en lugar de hacerlo a través del punto de conexión público accesible desde Internet. La creación de un punto de conexión privado por sí mismo no deshabilita el punto de conexión público. | AuditIfNotExists, Disabled | 1.0.0 |
| Azure Key Vault debe tener el firewall habilitado | Habilite el firewall del almacén de claves para que el almacén de claves no sea accesible de forma predeterminada a ninguna dirección IP pública. De manera opcional, puede configurar intervalos IP específicos para limitar el acceso a esas redes. Más información en: https://docs.microsoft.com/azure/key-vault/general/network-security | Audit, Deny, Disabled | 1.4.1 |
| Las áreas de trabajo de Azure Machine Learning deben usar un vínculo privado. | Azure Private Link permite conectar la red virtual a servicios de Azure sin una dirección IP pública en el origen o el destino. La plataforma Private Link administra la conectividad entre el consumidor y los servicios a través de la red troncal de Azure. Mediante la asignación de puntos de conexión privados a áreas de trabajo de Azure Machine Learning, se reducen los riesgos de pérdida de datos. Más información sobre los vínculos privados en https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link. | Audit, Disabled | 1.0.0 |
| Los espacios de nombres de Azure Service Bus deben usar Private Link | Azure Private Link permite conectar la red virtual a servicios de Azure sin una dirección IP pública en el origen o el destino. La plataforma Private Link administra la conectividad entre el consumidor y los servicios a través de la red troncal de Azure. Mediante la asignación de puntos de conexión privados a los espacios de nombres de Service Bus, se reducen los riesgos de pérdida de datos. Más información en: https://docs.microsoft.com/azure/service-bus-messaging/private-link-service. | AuditIfNotExists, Disabled | 1.0.0 |
| Azure SignalR Service debe usar Private Link | Azure Private Link permite conectar la red virtual a servicios de Azure sin una dirección IP pública en el origen o el destino. La plataforma Private Link administra la conectividad entre el consumidor y los servicios a través de la red troncal de Azure. Mediante la asignación de puntos de conexión privados a su recurso de Azure SignalR Service en lugar todo el servicio, reducirá los riesgos de pérdida de datos. Más información sobre los vínculos privados en https://aka.ms/asrs/privatelink. | Audit, Disabled | 1.0.0 |
| Las áreas de trabajo de Azure Synapse deben usar Private Link | Azure Private Link permite conectar la red virtual a servicios de Azure sin una dirección IP pública en el origen o el destino. La plataforma Private Link administra la conectividad entre el consumidor y los servicios a través de la red troncal de Azure. Mediante la asignación de puntos de conexión privados al área de trabajo de Azure Synapse, se reducen los riesgos de pérdida de datos. Más información sobre los vínculos privados en https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-with-private-links. | Audit, Disabled | 1.0.1 |
| Azure Web Application Firewall debe estar habilitado para los puntos de entrada de Azure Front Door | Implemente Azure Web Application Firewall (WAF) delante de las aplicaciones web de acceso público para una inspección adicional del tráfico entrante. Web Application Firewall (WAF) ofrece una protección centralizada de las aplicaciones web frente a vulnerabilidades de seguridad comunes, como la inyección de SQL, el scripting entre sitios y las ejecuciones de archivos locales y remotas. También permite restringir el acceso a las aplicaciones web por países, intervalos de direcciones IP y otros parámetros http(s) por medio de reglas personalizadas. | Audit, Deny, Disabled | 1.0.2 |
| Las cuentas de Cognitive Services deben deshabilitar el acceso a la red pública. | Para reforzar la seguridad de las cuentas de Cognitive Services, asegúrese de que el servicio no está expuesto a la red pública de Internet y que únicamente se puede acceder a él desde un punto de conexión privado. Deshabilite la propiedad acceso a la red pública, tal y como se describe en https://go.microsoft.com/fwlink/?linkid=2129800. Esta opción deshabilita el acceso desde cualquier espacio de direcciones públicas que esté fuera del intervalo IP de Azure y deniega todos los inicios de sesión que coincidan con las reglas de firewall basadas en la IP o la red virtual. De este modo, se reducen los riesgos de pérdida de datos. | Audit, Deny, Disabled | 3.0.1 |
| Cognitive Services debe usar un vínculo privado | Azure Private Link permite conectar las redes virtuales a los servicios de Azure sin una dirección IP pública en el origen o el destino. La plataforma Private Link administra la conectividad entre el consumidor y los servicios a través de la red troncal de Azure. Al asignar puntos de conexión privados a Cognitive Services, reducirá la posibilidad de pérdida de datos. Más información sobre los vínculos privados en https://go.microsoft.com/fwlink/?linkid=2129800. | Audit, Disabled | 3.0.0 |
| Las instancias de Container Registry no deben permitir el acceso de red sin restricciones | De manera predeterminada, las instancias de Azure Container Registry aceptan conexiones a través de Internet de hosts de cualquier red. Para proteger sus registros de posibles amenazas, permita el acceso solo desde determinados puntos de conexión privados, direcciones IP públicas o intervalos de direcciones. Si su registro no tiene reglas de red configuradas, aparecerá en los recursos no incorrectos. Obtenga más información sobre las reglas de red de Container Registry aquí: https://aka.ms/acr/privatelink,https://aka.ms/acr/portal/public-network y https://aka.ms/acr/vnet. | Audit, Deny, Disabled | 2.0.0 |
| Las instancias de Container Registry deben usar Private Link | Azure Private Link permite conectar la red virtual a servicios de Azure sin una dirección IP pública en el origen o el destino. La plataforma Private Link controla la conectividad entre el consumidor y los servicios a través de la red troncal de Azure. Al asignar puntos de conexión privados a las instancias de Container Registry en lugar de a todo el servicio, además se protege frente a riesgos de pérdida de datos. Más información en: https://aka.ms/acr/private-link. | Audit, Disabled | 1.0.1 |
| Las cuentas de CosmosDB deben usar Private Link | Azure Private Link permite conectar la red virtual a servicios de Azure sin una dirección IP pública en el origen o el destino. La plataforma Private Link administra la conectividad entre el consumidor y los servicios a través de la red troncal de Azure. Al asignar puntos de conexión privados a su cuenta de CosmosDB, se reduce el riesgo de pérdida de datos. Más información sobre los vínculos privados en https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints. | Audit, Disabled | 1.0.0 |
| Los recursos de acceso al disco deben usar un vínculo privado | Azure Private Link permite conectar la red virtual a servicios de Azure sin una dirección IP pública en el origen o el destino. La plataforma Private Link administra la conectividad entre el consumidor y los servicios a través de la red troncal de Azure. Al asignar puntos de conexión privados a diskAccesses, se reduce el riesgo de pérdida de datos. Más información sobre los vínculos privados en https://aka.ms/disksprivatelinksdoc. | AuditIfNotExists, Disabled | 1.0.0 |
| Los espacios de nombres del centro de eventos deben usar Private Link | Azure Private Link permite conectar la red virtual a servicios de Azure sin una dirección IP pública en el origen o el destino. La plataforma Private Link administra la conectividad entre el consumidor y los servicios a través de la red troncal de Azure. Mediante la asignación de puntos de conexión privados a los espacios de nombres del centro de eventos, se reducen los riesgos de pérdida de datos. Más información en: https://docs.microsoft.com/azure/event-hubs/private-link-service. | AuditIfNotExists, Disabled | 1.0.0 |
| Las máquinas virtuales accesibles desde Internet deben estar protegidas con grupos de seguridad de red | Proteja sus máquinas virtuales de posibles amenazas limitando el acceso a ellas con grupos de seguridad de red (NSG). Más información sobre cómo controlar el tráfico con los grupos de seguridad de red en https://aka.ms/nsg-doc. | AuditIfNotExists, Disabled | 3.0.0 |
| Las instancias del servicio de aprovisionamiento de dispositivos de IoT Hub deben usar Private Link | Azure Private Link permite conectar la red virtual a servicios de Azure sin una dirección IP pública en el origen o el destino. La plataforma Private Link administra la conectividad entre el consumidor y los servicios a través de la red troncal de Azure. Mediante la asignación de puntos de conexión privados al servicio de aprovisionamiento de dispositivos de IoT Hub, se reducen los riesgos de pérdida de datos. Más información sobre los vínculos privados en https://aka.ms/iotdpsvnet. | Audit, Disabled | 1.0.0 |
| El reenvío de IP en la máquina virtual debe estar deshabilitado | Habilitar el reenvío de IP en la NIC de la máquina virtual permite que la máquina reciba tráfico dirigido a otros destinos. El reenvío de IP rara vez es necesario (por ejemplo, cuando se usa la máquina virtual como una aplicación virtual de red) y, por lo tanto, el equipo de seguridad de red debe revisarlo. | AuditIfNotExists, Disabled | 3.0.0 |
| Los puertos de administración de las máquinas virtuales deben protegerse con el control de acceso de red Just-In-Time. | Azure Security Center supervisará el posible acceso de red Just-In-Time (JIT) como recomendaciones. | AuditIfNotExists, Disabled | 3.0.0 |
| Se deben cerrar los puertos de administración en las máquinas virtuales | Los puertos de administración remota abiertos exponen la máquina virtual a un alto nivel de riesgo de recibir ataques basados en Internet. Estos ataques intentan averiguar las credenciales por medio de fuerza bruta a fin de obtener acceso de administrador a la máquina | AuditIfNotExists, Disabled | 3.0.0 |
| Control administrado por Microsoft 1622: protección de límites | Microsoft implementa este control de protección del sistema y de las comunicaciones | auditoría | 1.0.0 |
| Control administrado por Microsoft 1623: protección de límites | Microsoft implementa este control de protección del sistema y de las comunicaciones | auditoría | 1.0.0 |
| Control administrado por Microsoft 1624: protección de límites | Microsoft implementa este control de protección del sistema y de las comunicaciones | auditoría | 1.0.0 |
| Las máquinas virtuales sin conexión a Internet deben protegerse con grupos de seguridad de red | Proteja las máquinas virtuales no accesibles desde Internet de posibles amenazas limitando el acceso con grupos de seguridad de red (NSG). Más información sobre cómo controlar el tráfico con los grupos de seguridad de red en https://aka.ms/nsg-doc. | AuditIfNotExists, Disabled | 3.0.0 |
| Las conexiones de punto de conexión privado en Azure SQL Database deben estar habilitadas | Las conexiones de punto de conexión privado garantizan una comunicación segura al habilitar la conectividad privada con Azure SQL Database. | Audit, Disabled | 1.1.0 |
| Debe deshabilitarse el acceso a redes públicas en Azure SQL Database | Al deshabilitar la propiedad de acceso a la red pública, se mejora la seguridad al garantizar que solo se pueda acceder a la instancia de Azure SQL Database desde un punto de conexión privado. Esta configuración deniega todos los inicios de sesión que coincidan con las reglas de firewall basadas en IP o redes virtuales. | Audit, Deny, Disabled | 1.1.0 |
| Se debe restringir el acceso de red a las cuentas de almacenamiento | El acceso de red a las cuentas de almacenamiento debe estar restringido. Configure reglas de red, solo las aplicaciones de redes permitidas pueden acceder a la cuenta de almacenamiento. Para permitir conexiones desde clientes específicos locales o de Internet, se puede conceder acceso al tráfico procedente de redes virtuales de Azure específicas o a intervalos de direcciones IP de Internet públicas. | Audit, Deny, Disabled | 1.1.1 |
| Las cuentas de almacenamiento deben restringir el acceso a la red mediante el uso de reglas de red virtual | Proteja las cuentas de almacenamiento frente a amenazas potenciales mediante reglas de red virtual como método preferente en lugar de filtrado basado en IP. La deshabilitación del filtrado basado en IP evita que las direcciones IP públicas accedan a las cuentas de almacenamiento. | Audit, Deny, Disabled | 1.0.1 |
| Las cuentas de almacenamiento deben usar un vínculo privado. | Azure Private Link permite conectar la red virtual a servicios de Azure sin una dirección IP pública en el origen o el destino. La plataforma Private Link administra la conectividad entre el consumidor y los servicios a través de la red troncal de Azure. Al asignar puntos de conexión privados a su cuenta de almacenamiento, se reduce el riesgo de pérdida de datos. Más información sobre los vínculos privados en https://aka.ms/azureprivatelinkoverview. | AuditIfNotExists, Disabled | 2.0.0 |
| Las subredes deben estar asociadas con un grupo de seguridad de red. | Proteja la subred de posibles amenazas mediante la restricción del acceso con un grupo de seguridad de red (NSG). Estos grupos contienen las reglas de la lista de control de acceso (ACL) que permiten o deniegan el tráfico de red a la subred. | AuditIfNotExists, Disabled | 3.0.0 |
| El firewall de aplicaciones web (WAF) debe estar habilitado para Application Gateway | Implemente Azure Web Application Firewall (WAF) delante de las aplicaciones web de acceso público para una inspección adicional del tráfico entrante. Web Application Firewall (WAF) ofrece una protección centralizada de las aplicaciones web frente a vulnerabilidades de seguridad comunes, como la inyección de SQL, el scripting entre sitios y las ejecuciones de archivos locales y remotas. También permite restringir el acceso a las aplicaciones web por países, intervalos de direcciones IP y otros parámetros http(s) por medio de reglas personalizadas. | Audit, Deny, Disabled | 2.0.0 |
Puntos de acceso
Id.: NIST SP 800-53 Rev. 4 SC-7 (3) Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Todos los puertos de red deben estar restringidos en los grupos de seguridad de red asociados a la máquina virtual | Azure Security Center identificó que algunas de las reglas de entrada de sus grupos de seguridad de red son demasiado permisivas. Las reglas de entrada no deben permitir el acceso desde los intervalos "Cualquiera" o "Internet". Esto podría permitir que los atacantes pudieran acceder a sus recursos. | AuditIfNotExists, Disabled | 3.0.0 |
| Los servicios de API Management deben usar una red virtual | La implementación de Azure Virtual Network ofrece una seguridad y aislamiento mejorados, y permite colocar el servicio de API Management en una red enrutable sin conexión a Internet cuyo acceso puede controlar. Estas redes se pueden conectar a las redes locales mediante diversas tecnologías de VPN, lo que permite el acceso a los servicios de back-end dentro de la red o de forma local. El portal para desarrolladores y la puerta de enlace de API pueden configurarse para que sea accesible desde Internet o solo dentro de la red virtual. | Audit, Deny, Disabled | 1.0.2 |
| App Configuration debe usar Private Link | Azure Private Link permite conectar la red virtual a servicios de Azure sin una dirección IP pública en el origen o el destino. La plataforma Private Link administra la conectividad entre el consumidor y los servicios a través de la red troncal de Azure. Mediante la asignación de puntos de conexión privados a las instancias de App Configuration en lugar de a todo el servicio, además se protege frente a riesgos de pérdida de datos. Más información en: https://aka.ms/appconfig/private-endpoint. | AuditIfNotExists, Disabled | 1.0.2 |
| Los intervalos IP autorizados deben definirse en los servicios de Kubernetes | Restrinja el acceso a la API de administración de servicios de Kubernetes mediante la concesión de acceso de API solo a direcciones IP en intervalos específicos. Se recomienda limitar el acceso a los intervalos IP autorizados para garantizar que solo las aplicaciones de las redes permitidas puedan acceder al clúster. | Audit, Disabled | 2.0.0 |
| Los recursos de Servicios de Azure AI deben restringir el acceso a la red | Al restringir el acceso a la red, puede asegurarse de que solo las redes permitidas puedan acceder al servicio. Para lograr esto, se pueden configurar reglas de red de modo que solo las aplicaciones de las redes permitidas puedan acceder al servicio Azure AI. | Audit, Deny, Disabled | 3.2.0 |
| Azure Cache for Redis debe usar Private Link | Los puntos de conexión privados le permiten conectar la red virtual a los servicios de Azure sin una dirección IP pública en el origen o el destino. Al asignar puntos de conexión privados a las instancias de Azure Cache for Redis, se reduce el riesgo de pérdida de datos. Más información en: https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link. | AuditIfNotExists, Disabled | 1.0.0 |
| El servicio Azure Cognitive Search debe usar una SKU que admita Private Link | Con las SKU admitidas de Azure Cognitive Search, Azure Private Link permite conectar la red virtual a los servicios de Azure sin una dirección IP pública en el origen o el destino. La plataforma Private Link administra la conectividad entre el consumidor y los servicios a través de la red troncal de Azure. Al asignar puntos de conexión privados a su servicio Search, se reduce el riesgo de pérdida de datos. Más información en: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Audit, Deny, Disabled | 1.0.0 |
| Los servicios de Azure Cognitive Search deben deshabilitar el acceso a la red pública | Al deshabilitar el acceso a la red pública, se mejora la seguridad, ya que se garantiza que el servicio de Azure Cognitive Search no se expone en la red pública de Internet. La creación de puntos de conexión privados puede limitar la exposición del servicio Search. Más información en: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Audit, Deny, Disabled | 1.0.0 |
| Los servicios de Azure Cognitive Search deben usar un vínculo privado. | Azure Private Link permite conectar la red virtual a servicios de Azure sin una dirección IP pública en el origen o el destino. La plataforma Private Link administra la conectividad entre el consumidor y los servicios a través de la red troncal de Azure. Mediante la asignación de puntos de conexión privados a Azure Cognitive Search, se reducen los riesgos de pérdida de datos. Más información sobre los vínculos privados en https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Audit, Disabled | 1.0.0 |
| Las cuentas de Azure Cosmos DB deben tener reglas de firewall. | Se deben definir reglas de firewall en las cuentas de Azure Cosmos DB para evitar el tráfico desde orígenes no autorizados. Las cuentas que tienen al menos una regla de IP definida con el filtro de red virtual habilitado se consideran compatibles. Las cuentas que deshabilitan el acceso público también se consideran compatibles. | Audit, Deny, Disabled | 2.0.0 |
| Azure Data Factory debe usar Private Link | Azure Private Link permite conectar la red virtual a servicios de Azure sin una dirección IP pública en el origen o el destino. La plataforma Private Link administra la conectividad entre el consumidor y los servicios a través de la red troncal de Azure. Mediante la asignación de puntos de conexión privados a Azure Data Factory, se reducen los riesgos de pérdida de datos. Más información sobre los vínculos privados en https://docs.microsoft.com/azure/data-factory/data-factory-private-link. | AuditIfNotExists, Disabled | 1.0.0 |
| Los dominios de Azure Event Grid deben usar Private Link | Azure Private Link permite conectar la red virtual a servicios de Azure sin una dirección IP pública en el origen o el destino. La plataforma Private Link administra la conectividad entre el consumidor y los servicios a través de la red troncal de Azure. Mediante la asignación de puntos de conexión privados al dominio de Event Grid en lugar de a todo el servicio, también estará protegido frente a riesgos de pérdida de datos. Más información en: https://aka.ms/privateendpoints. | Audit, Disabled | 1.0.2 |
| Los temas de Azure Event Grid deben usar Private Link | Azure Private Link permite conectar la red virtual a servicios de Azure sin una dirección IP pública en el origen o el destino. La plataforma Private Link administra la conectividad entre el consumidor y los servicios a través de la red troncal de Azure. Mediante la asignación de puntos de conexión privados al tema de Event Grid en lugar de a todo el servicio, estará además protegido frente a riesgos de pérdida de datos. Más información en: https://aka.ms/privateendpoints. | Audit, Disabled | 1.0.2 |
| Azure File Sync debe usar Private Link | Si crea un punto de conexión privado para el recurso del servicio de sincronización de almacenamiento indicado, podrá dirigirse al recurso del servicio de sincronización de almacenamiento desde el espacio de direcciones IP privadas de la red de la organización, en lugar de hacerlo a través del punto de conexión público accesible desde Internet. La creación de un punto de conexión privado por sí mismo no deshabilita el punto de conexión público. | AuditIfNotExists, Disabled | 1.0.0 |
| Azure Key Vault debe tener el firewall habilitado | Habilite el firewall del almacén de claves para que el almacén de claves no sea accesible de forma predeterminada a ninguna dirección IP pública. De manera opcional, puede configurar intervalos IP específicos para limitar el acceso a esas redes. Más información en: https://docs.microsoft.com/azure/key-vault/general/network-security | Audit, Deny, Disabled | 1.4.1 |
| Las áreas de trabajo de Azure Machine Learning deben usar un vínculo privado. | Azure Private Link permite conectar la red virtual a servicios de Azure sin una dirección IP pública en el origen o el destino. La plataforma Private Link administra la conectividad entre el consumidor y los servicios a través de la red troncal de Azure. Mediante la asignación de puntos de conexión privados a áreas de trabajo de Azure Machine Learning, se reducen los riesgos de pérdida de datos. Más información sobre los vínculos privados en https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link. | Audit, Disabled | 1.0.0 |
| Los espacios de nombres de Azure Service Bus deben usar Private Link | Azure Private Link permite conectar la red virtual a servicios de Azure sin una dirección IP pública en el origen o el destino. La plataforma Private Link administra la conectividad entre el consumidor y los servicios a través de la red troncal de Azure. Mediante la asignación de puntos de conexión privados a los espacios de nombres de Service Bus, se reducen los riesgos de pérdida de datos. Más información en: https://docs.microsoft.com/azure/service-bus-messaging/private-link-service. | AuditIfNotExists, Disabled | 1.0.0 |
| Azure SignalR Service debe usar Private Link | Azure Private Link permite conectar la red virtual a servicios de Azure sin una dirección IP pública en el origen o el destino. La plataforma Private Link administra la conectividad entre el consumidor y los servicios a través de la red troncal de Azure. Mediante la asignación de puntos de conexión privados a su recurso de Azure SignalR Service en lugar todo el servicio, reducirá los riesgos de pérdida de datos. Más información sobre los vínculos privados en https://aka.ms/asrs/privatelink. | Audit, Disabled | 1.0.0 |
| Las áreas de trabajo de Azure Synapse deben usar Private Link | Azure Private Link permite conectar la red virtual a servicios de Azure sin una dirección IP pública en el origen o el destino. La plataforma Private Link administra la conectividad entre el consumidor y los servicios a través de la red troncal de Azure. Mediante la asignación de puntos de conexión privados al área de trabajo de Azure Synapse, se reducen los riesgos de pérdida de datos. Más información sobre los vínculos privados en https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-with-private-links. | Audit, Disabled | 1.0.1 |
| Azure Web Application Firewall debe estar habilitado para los puntos de entrada de Azure Front Door | Implemente Azure Web Application Firewall (WAF) delante de las aplicaciones web de acceso público para una inspección adicional del tráfico entrante. Web Application Firewall (WAF) ofrece una protección centralizada de las aplicaciones web frente a vulnerabilidades de seguridad comunes, como la inyección de SQL, el scripting entre sitios y las ejecuciones de archivos locales y remotas. También permite restringir el acceso a las aplicaciones web por países, intervalos de direcciones IP y otros parámetros http(s) por medio de reglas personalizadas. | Audit, Deny, Disabled | 1.0.2 |
| Las cuentas de Cognitive Services deben deshabilitar el acceso a la red pública. | Para reforzar la seguridad de las cuentas de Cognitive Services, asegúrese de que el servicio no está expuesto a la red pública de Internet y que únicamente se puede acceder a él desde un punto de conexión privado. Deshabilite la propiedad acceso a la red pública, tal y como se describe en https://go.microsoft.com/fwlink/?linkid=2129800. Esta opción deshabilita el acceso desde cualquier espacio de direcciones públicas que esté fuera del intervalo IP de Azure y deniega todos los inicios de sesión que coincidan con las reglas de firewall basadas en la IP o la red virtual. De este modo, se reducen los riesgos de pérdida de datos. | Audit, Deny, Disabled | 3.0.1 |
| Cognitive Services debe usar un vínculo privado | Azure Private Link permite conectar las redes virtuales a los servicios de Azure sin una dirección IP pública en el origen o el destino. La plataforma Private Link administra la conectividad entre el consumidor y los servicios a través de la red troncal de Azure. Al asignar puntos de conexión privados a Cognitive Services, reducirá la posibilidad de pérdida de datos. Más información sobre los vínculos privados en https://go.microsoft.com/fwlink/?linkid=2129800. | Audit, Disabled | 3.0.0 |
| Las instancias de Container Registry no deben permitir el acceso de red sin restricciones | De manera predeterminada, las instancias de Azure Container Registry aceptan conexiones a través de Internet de hosts de cualquier red. Para proteger sus registros de posibles amenazas, permita el acceso solo desde determinados puntos de conexión privados, direcciones IP públicas o intervalos de direcciones. Si su registro no tiene reglas de red configuradas, aparecerá en los recursos no incorrectos. Obtenga más información sobre las reglas de red de Container Registry aquí: https://aka.ms/acr/privatelink,https://aka.ms/acr/portal/public-network y https://aka.ms/acr/vnet. | Audit, Deny, Disabled | 2.0.0 |
| Las instancias de Container Registry deben usar Private Link | Azure Private Link permite conectar la red virtual a servicios de Azure sin una dirección IP pública en el origen o el destino. La plataforma Private Link controla la conectividad entre el consumidor y los servicios a través de la red troncal de Azure. Al asignar puntos de conexión privados a las instancias de Container Registry en lugar de a todo el servicio, además se protege frente a riesgos de pérdida de datos. Más información en: https://aka.ms/acr/private-link. | Audit, Disabled | 1.0.1 |
| Las cuentas de CosmosDB deben usar Private Link | Azure Private Link permite conectar la red virtual a servicios de Azure sin una dirección IP pública en el origen o el destino. La plataforma Private Link administra la conectividad entre el consumidor y los servicios a través de la red troncal de Azure. Al asignar puntos de conexión privados a su cuenta de CosmosDB, se reduce el riesgo de pérdida de datos. Más información sobre los vínculos privados en https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints. | Audit, Disabled | 1.0.0 |
| Los recursos de acceso al disco deben usar un vínculo privado | Azure Private Link permite conectar la red virtual a servicios de Azure sin una dirección IP pública en el origen o el destino. La plataforma Private Link administra la conectividad entre el consumidor y los servicios a través de la red troncal de Azure. Al asignar puntos de conexión privados a diskAccesses, se reduce el riesgo de pérdida de datos. Más información sobre los vínculos privados en https://aka.ms/disksprivatelinksdoc. | AuditIfNotExists, Disabled | 1.0.0 |
| Los espacios de nombres del centro de eventos deben usar Private Link | Azure Private Link permite conectar la red virtual a servicios de Azure sin una dirección IP pública en el origen o el destino. La plataforma Private Link administra la conectividad entre el consumidor y los servicios a través de la red troncal de Azure. Mediante la asignación de puntos de conexión privados a los espacios de nombres del centro de eventos, se reducen los riesgos de pérdida de datos. Más información en: https://docs.microsoft.com/azure/event-hubs/private-link-service. | AuditIfNotExists, Disabled | 1.0.0 |
| Las máquinas virtuales accesibles desde Internet deben estar protegidas con grupos de seguridad de red | Proteja sus máquinas virtuales de posibles amenazas limitando el acceso a ellas con grupos de seguridad de red (NSG). Más información sobre cómo controlar el tráfico con los grupos de seguridad de red en https://aka.ms/nsg-doc. | AuditIfNotExists, Disabled | 3.0.0 |
| Las instancias del servicio de aprovisionamiento de dispositivos de IoT Hub deben usar Private Link | Azure Private Link permite conectar la red virtual a servicios de Azure sin una dirección IP pública en el origen o el destino. La plataforma Private Link administra la conectividad entre el consumidor y los servicios a través de la red troncal de Azure. Mediante la asignación de puntos de conexión privados al servicio de aprovisionamiento de dispositivos de IoT Hub, se reducen los riesgos de pérdida de datos. Más información sobre los vínculos privados en https://aka.ms/iotdpsvnet. | Audit, Disabled | 1.0.0 |
| El reenvío de IP en la máquina virtual debe estar deshabilitado | Habilitar el reenvío de IP en la NIC de la máquina virtual permite que la máquina reciba tráfico dirigido a otros destinos. El reenvío de IP rara vez es necesario (por ejemplo, cuando se usa la máquina virtual como una aplicación virtual de red) y, por lo tanto, el equipo de seguridad de red debe revisarlo. | AuditIfNotExists, Disabled | 3.0.0 |
| Los puertos de administración de las máquinas virtuales deben protegerse con el control de acceso de red Just-In-Time. | Azure Security Center supervisará el posible acceso de red Just-In-Time (JIT) como recomendaciones. | AuditIfNotExists, Disabled | 3.0.0 |
| Se deben cerrar los puertos de administración en las máquinas virtuales | Los puertos de administración remota abiertos exponen la máquina virtual a un alto nivel de riesgo de recibir ataques basados en Internet. Estos ataques intentan averiguar las credenciales por medio de fuerza bruta a fin de obtener acceso de administrador a la máquina | AuditIfNotExists, Disabled | 3.0.0 |
| Control administrado por Microsoft 1625: protección de límites | Puntos de acceso | Microsoft implementa este control de protección del sistema y de las comunicaciones | auditoría | 1.0.0 |
| Las máquinas virtuales sin conexión a Internet deben protegerse con grupos de seguridad de red | Proteja las máquinas virtuales no accesibles desde Internet de posibles amenazas limitando el acceso con grupos de seguridad de red (NSG). Más información sobre cómo controlar el tráfico con los grupos de seguridad de red en https://aka.ms/nsg-doc. | AuditIfNotExists, Disabled | 3.0.0 |
| Las conexiones de punto de conexión privado en Azure SQL Database deben estar habilitadas | Las conexiones de punto de conexión privado garantizan una comunicación segura al habilitar la conectividad privada con Azure SQL Database. | Audit, Disabled | 1.1.0 |
| Debe deshabilitarse el acceso a redes públicas en Azure SQL Database | Al deshabilitar la propiedad de acceso a la red pública, se mejora la seguridad al garantizar que solo se pueda acceder a la instancia de Azure SQL Database desde un punto de conexión privado. Esta configuración deniega todos los inicios de sesión que coincidan con las reglas de firewall basadas en IP o redes virtuales. | Audit, Deny, Disabled | 1.1.0 |
| Se debe restringir el acceso de red a las cuentas de almacenamiento | El acceso de red a las cuentas de almacenamiento debe estar restringido. Configure reglas de red, solo las aplicaciones de redes permitidas pueden acceder a la cuenta de almacenamiento. Para permitir conexiones desde clientes específicos locales o de Internet, se puede conceder acceso al tráfico procedente de redes virtuales de Azure específicas o a intervalos de direcciones IP de Internet públicas. | Audit, Deny, Disabled | 1.1.1 |
| Las cuentas de almacenamiento deben restringir el acceso a la red mediante el uso de reglas de red virtual | Proteja las cuentas de almacenamiento frente a amenazas potenciales mediante reglas de red virtual como método preferente en lugar de filtrado basado en IP. La deshabilitación del filtrado basado en IP evita que las direcciones IP públicas accedan a las cuentas de almacenamiento. | Audit, Deny, Disabled | 1.0.1 |
| Las cuentas de almacenamiento deben usar un vínculo privado. | Azure Private Link permite conectar la red virtual a servicios de Azure sin una dirección IP pública en el origen o el destino. La plataforma Private Link administra la conectividad entre el consumidor y los servicios a través de la red troncal de Azure. Al asignar puntos de conexión privados a su cuenta de almacenamiento, se reduce el riesgo de pérdida de datos. Más información sobre los vínculos privados en https://aka.ms/azureprivatelinkoverview. | AuditIfNotExists, Disabled | 2.0.0 |
| Las subredes deben estar asociadas con un grupo de seguridad de red. | Proteja la subred de posibles amenazas mediante la restricción del acceso con un grupo de seguridad de red (NSG). Estos grupos contienen las reglas de la lista de control de acceso (ACL) que permiten o deniegan el tráfico de red a la subred. | AuditIfNotExists, Disabled | 3.0.0 |
| El firewall de aplicaciones web (WAF) debe estar habilitado para Application Gateway | Implemente Azure Web Application Firewall (WAF) delante de las aplicaciones web de acceso público para una inspección adicional del tráfico entrante. Web Application Firewall (WAF) ofrece una protección centralizada de las aplicaciones web frente a vulnerabilidades de seguridad comunes, como la inyección de SQL, el scripting entre sitios y las ejecuciones de archivos locales y remotas. También permite restringir el acceso a las aplicaciones web por países, intervalos de direcciones IP y otros parámetros http(s) por medio de reglas personalizadas. | Audit, Deny, Disabled | 2.0.0 |
Servicios de telecomunicaciones externas
Id.: NIST SP 800-53 Rev. 4 SC-7 (4) Propiedad: Compartido
Denegar de forma predeterminada o permitir mediante una excepción
Id.: NIST SP 800-53 Rev. 4 SC-7 (5) Propiedad: Microsoft
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Control administrado por Microsoft 1631: protección de límites | Denegar de forma predeterminada o permitir mediante una excepción | Microsoft implementa este control de protección del sistema y de las comunicaciones | auditoría | 1.0.0 |
Impedimento de la tunelización dividida para dispositivos remotos
Id.: NIST SP 800-53 Rev. 4 SC-7 (7) Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Control administrado por Microsoft 1632: protección de límites | Impedir tunelización dividida para dispositivos remotos | Microsoft implementa este control de protección del sistema y de las comunicaciones | auditoría | 1.0.0 |
Enrutamiento del tráfico a servidores proxy autenticados
Id.: NIST SP 800-53 Rev. 4 SC-7 (8) Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Control administrado por Microsoft 1633: protección de límites | Enrutamiento del tráfico a servidores proxy autenticados | Microsoft implementa este control de protección del sistema y de las comunicaciones | auditoría | 1.0.0 |
Impedir exfiltración no autorizada
Id.: NIST SP 800-53 Rev. 4 SC-7 (10) Propiedad: Microsoft
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Control administrado por Microsoft 1634: protección de límites | Impedir exfiltración no autorizada | Microsoft implementa este control de protección del sistema y de las comunicaciones | auditoría | 1.0.0 |
Protección basada en host
Id.: NIST SP 800-53 Rev. 4 SC-7 (12) Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Control administrado por Microsoft 1635: protección de límites | Protección basada en host | Microsoft implementa este control de protección del sistema y de las comunicaciones | auditoría | 1.0.0 |
Aislamiento de herramientas de seguridad, mecanismos y componentes de soporte técnico
Id.: NIST SP 800-53 Rev. 4 SC-7 (13) Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Control administrado por Microsoft 1636: protección de límites | Aislamiento de herramientas de seguridad, mecanismos y componentes de soporte técnico | Microsoft implementa este control de protección del sistema y de las comunicaciones | auditoría | 1.0.0 |
Error de seguridad
Id.: NIST SP 800-53 Rev. 4 SC-7 (18) Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Control administrado por Microsoft 1637: protección de límites | Error de seguridad | Microsoft implementa este control de protección del sistema y de las comunicaciones | auditoría | 1.0.0 |
Aislamiento o segregación dinámicos
Id.: NIST SP 800-53 Rev. 4 SC-7 (20) Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Control administrado por Microsoft 1638: protección de límites | Aislamiento o segregación dinámicos | Microsoft implementa este control de protección del sistema y de las comunicaciones | auditoría | 1.0.0 |
Aislamiento de los componentes del sistema de información
Id.: NIST SP 800-53 Rev. 4 SC-7 (21) Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Control administrado por Microsoft 1639: protección de límites | Aislamiento de los componentes del sistema de información | Microsoft implementa este control de protección del sistema y de las comunicaciones | auditoría | 1.0.0 |
Integridad y confidencialidad de transmisiones
Id.: NIST SP 800-53 Rev. 4 SC-8 Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Las aplicaciones de App Service solo deben ser accesibles a través de HTTPS | El uso de HTTPS garantiza la autenticación del servicio y el servidor, y protege los datos en tránsito frente a ataques de intercepción de nivel de red. | Audit, Disabled, Deny | 4.0.0 |
| Las aplicaciones de App Service deben requerir solo FTPS | Habilite el cumplimiento con FTPS para mejorar la seguridad. | AuditIfNotExists, Disabled | 3.0.0 |
| Las aplicaciones de App Service deben usar la última versión de TLS | Se publican versiones más recientes de TLS de forma periódica debido a brechas de seguridad, para incluir más funcionalidad e incrementar la velocidad. Actualice a la última versión de TLS para las aplicaciones de App Service con el fin de aprovechar las correcciones de seguridad, en caso de haberlas, o las nuevas funcionalidades de la última versión. | AuditIfNotExists, Disabled | 2.0.1 |
| Los clústeres de Azure HDInsight deben usar el cifrado en tránsito para cifrar la comunicación entre los nodos del clúster de Azure HDInsight. | Los datos se pueden alterar durante la transmisión entre los nodos de clúster de Azure HDInsight. Al habilitar el cifrado en tránsito se solucionan los problemas de uso indebido y manipulación durante esta transmisión. | Audit, Deny, Disabled | 1.0.0 |
| Exigir una conexión SSL debe estar habilitado en los servidores de bases de datos MySQL | Azure Database for MySQL permite conectar el servidor de Azure Database for MySQL con aplicaciones cliente mediante Capa de sockets seguros (SSL). La aplicación de conexiones SSL entre el servidor de bases de datos y las aplicaciones cliente facilita la protección frente a ataques de tipo "Man in the middle" al cifrar el flujo de datos entre el servidor y la aplicación. Esta configuración exige que SSL esté siempre habilitado para el acceso al servidor de bases de datos. | Audit, Disabled | 1.0.1 |
| La aplicación de la conexión SSL debe estar habilitada para los servidores de base de datos PostgreSQL | Azure Database for PostgreSQL permite conectar el servidor de Azure Database for PostgreSQL a las aplicaciones cliente mediante la Capa de sockets seguros (SSL). La aplicación de conexiones SSL entre el servidor de bases de datos y las aplicaciones cliente facilita la protección frente a ataques de tipo "Man in the middle" al cifrar el flujo de datos entre el servidor y la aplicación. Esta configuración exige que SSL esté siempre habilitado para el acceso al servidor de bases de datos. | Audit, Disabled | 1.0.1 |
| Las aplicaciones de funciones solo deberían ser accesibles a través de HTTPS | El uso de HTTPS garantiza la autenticación del servicio y el servidor, y protege los datos en tránsito frente a ataques de intercepción de nivel de red. | Audit, Disabled, Deny | 5.0.0 |
| Las aplicaciones de funciones solo deben requerir FTPS | Habilite el cumplimiento con FTPS para mejorar la seguridad. | AuditIfNotExists, Disabled | 3.0.0 |
| Las aplicaciones de funciones deben usar la última versión de TLS | Se publican versiones más recientes de TLS de forma periódica debido a brechas de seguridad, para incluir más funcionalidad e incrementar la velocidad. Actualice a la última versión de TLS para las aplicaciones de funciones con el fin de aprovechar las correcciones de seguridad, en caso de haberlas, o las nuevas funcionalidades de la última versión. | AuditIfNotExists, Disabled | 2.0.1 |
| Los clústeres de Kubernetes solo deben ser accesibles a través de HTTPS | El uso de HTTPS garantiza la autenticación y protege los datos en tránsito frente a ataques de intercepción de nivel de red. Esta capacidad está disponible actualmente con carácter general para Kubernetes Service (AKS) y en versión preliminar para Kubernetes habilitado para Azure Arc. Para más información, visite https://aka.ms/kubepolicydoc | audit, Audit, deny, Deny, disabled, Disabled | 9.1.0 |
| Control administrado por Microsoft 1640: integridad y confidencialidad de transmisión | Microsoft implementa este control de protección del sistema y de las comunicaciones | auditoría | 1.0.0 |
| Solo se deben habilitar las conexiones seguras a la instancia de Azure Cache for Redis. | Permite auditar la habilitación solo de conexiones a Azure Cache for Redis a través de SSL. El uso de conexiones seguras garantiza la autenticación entre el servidor y el servicio, y protege los datos en tránsito de ataques de nivel de red, como "man in-the-middle", interceptación y secuestro de sesión | Audit, Deny, Disabled | 1.0.0 |
| Se debe habilitar la transferencia segura a las cuentas de almacenamiento | Permite auditar el requisito de transferencia segura en la cuenta de almacenamiento. La transferencia segura es una opción que obliga a la cuenta de almacenamiento a aceptar solamente solicitudes de conexiones seguras (HTTPS). El uso de HTTPS garantiza la autenticación entre el servidor y el servicio, y protege los datos en tránsito de ataques de nivel de red, como los de tipo "Man in the middle", interceptación y secuestro de sesión | Audit, Deny, Disabled | 2.0.0 |
| Las máquinas Windows deben configurarse para usar protocolos de comunicación seguros | Para proteger la privacidad de la información que se comunica a través de Internet, las máquinas deben usar la versión más reciente del protocolo criptográfico estándar del sector, Seguridad de la capa de transporte (TLS). TLS protege las comunicaciones que se realizan a través de una red para cifrar una conexión entre máquinas. | AuditIfNotExists, Disabled | 3.0.1 |
Protección física criptográfica o alternativa
Id.: NIST SP 800-53 Rev. 4 SC-8 (1) Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Las aplicaciones de App Service solo deben ser accesibles a través de HTTPS | El uso de HTTPS garantiza la autenticación del servicio y el servidor, y protege los datos en tránsito frente a ataques de intercepción de nivel de red. | Audit, Disabled, Deny | 4.0.0 |
| Las aplicaciones de App Service deben requerir solo FTPS | Habilite el cumplimiento con FTPS para mejorar la seguridad. | AuditIfNotExists, Disabled | 3.0.0 |
| Las aplicaciones de App Service deben usar la última versión de TLS | Se publican versiones más recientes de TLS de forma periódica debido a brechas de seguridad, para incluir más funcionalidad e incrementar la velocidad. Actualice a la última versión de TLS para las aplicaciones de App Service con el fin de aprovechar las correcciones de seguridad, en caso de haberlas, o las nuevas funcionalidades de la última versión. | AuditIfNotExists, Disabled | 2.0.1 |
| Los clústeres de Azure HDInsight deben usar el cifrado en tránsito para cifrar la comunicación entre los nodos del clúster de Azure HDInsight. | Los datos se pueden alterar durante la transmisión entre los nodos de clúster de Azure HDInsight. Al habilitar el cifrado en tránsito se solucionan los problemas de uso indebido y manipulación durante esta transmisión. | Audit, Deny, Disabled | 1.0.0 |
| Exigir una conexión SSL debe estar habilitado en los servidores de bases de datos MySQL | Azure Database for MySQL permite conectar el servidor de Azure Database for MySQL con aplicaciones cliente mediante Capa de sockets seguros (SSL). La aplicación de conexiones SSL entre el servidor de bases de datos y las aplicaciones cliente facilita la protección frente a ataques de tipo "Man in the middle" al cifrar el flujo de datos entre el servidor y la aplicación. Esta configuración exige que SSL esté siempre habilitado para el acceso al servidor de bases de datos. | Audit, Disabled | 1.0.1 |
| La aplicación de la conexión SSL debe estar habilitada para los servidores de base de datos PostgreSQL | Azure Database for PostgreSQL permite conectar el servidor de Azure Database for PostgreSQL a las aplicaciones cliente mediante la Capa de sockets seguros (SSL). La aplicación de conexiones SSL entre el servidor de bases de datos y las aplicaciones cliente facilita la protección frente a ataques de tipo "Man in the middle" al cifrar el flujo de datos entre el servidor y la aplicación. Esta configuración exige que SSL esté siempre habilitado para el acceso al servidor de bases de datos. | Audit, Disabled | 1.0.1 |
| Las aplicaciones de funciones solo deberían ser accesibles a través de HTTPS | El uso de HTTPS garantiza la autenticación del servicio y el servidor, y protege los datos en tránsito frente a ataques de intercepción de nivel de red. | Audit, Disabled, Deny | 5.0.0 |
| Las aplicaciones de funciones solo deben requerir FTPS | Habilite el cumplimiento con FTPS para mejorar la seguridad. | AuditIfNotExists, Disabled | 3.0.0 |
| Las aplicaciones de funciones deben usar la última versión de TLS | Se publican versiones más recientes de TLS de forma periódica debido a brechas de seguridad, para incluir más funcionalidad e incrementar la velocidad. Actualice a la última versión de TLS para las aplicaciones de funciones con el fin de aprovechar las correcciones de seguridad, en caso de haberlas, o las nuevas funcionalidades de la última versión. | AuditIfNotExists, Disabled | 2.0.1 |
| Los clústeres de Kubernetes solo deben ser accesibles a través de HTTPS | El uso de HTTPS garantiza la autenticación y protege los datos en tránsito frente a ataques de intercepción de nivel de red. Esta capacidad está disponible actualmente con carácter general para Kubernetes Service (AKS) y en versión preliminar para Kubernetes habilitado para Azure Arc. Para más información, visite https://aka.ms/kubepolicydoc | audit, Audit, deny, Deny, disabled, Disabled | 9.1.0 |
| Control administrado por Microsoft 1641: integridad y confidencialidad de la transmisión | Protección física criptográfica o alternativa | Microsoft implementa este control de protección del sistema y de las comunicaciones | auditoría | 1.0.0 |
| Solo se deben habilitar las conexiones seguras a la instancia de Azure Cache for Redis. | Permite auditar la habilitación solo de conexiones a Azure Cache for Redis a través de SSL. El uso de conexiones seguras garantiza la autenticación entre el servidor y el servicio, y protege los datos en tránsito de ataques de nivel de red, como "man in-the-middle", interceptación y secuestro de sesión | Audit, Deny, Disabled | 1.0.0 |
| Se debe habilitar la transferencia segura a las cuentas de almacenamiento | Permite auditar el requisito de transferencia segura en la cuenta de almacenamiento. La transferencia segura es una opción que obliga a la cuenta de almacenamiento a aceptar solamente solicitudes de conexiones seguras (HTTPS). El uso de HTTPS garantiza la autenticación entre el servidor y el servicio, y protege los datos en tránsito de ataques de nivel de red, como los de tipo "Man in the middle", interceptación y secuestro de sesión | Audit, Deny, Disabled | 2.0.0 |
| Las máquinas Windows deben configurarse para usar protocolos de comunicación seguros | Para proteger la privacidad de la información que se comunica a través de Internet, las máquinas deben usar la versión más reciente del protocolo criptográfico estándar del sector, Seguridad de la capa de transporte (TLS). TLS protege las comunicaciones que se realizan a través de una red para cifrar una conexión entre máquinas. | AuditIfNotExists, Disabled | 3.0.1 |
Desconexión de red
Id.: NIST SP 800-53 Rev. 4 SC-10 Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Control administrado por Microsoft 1642: desconexión de red | Microsoft implementa este control de protección del sistema y de las comunicaciones | auditoría | 1.0.0 |
Establecimiento y administración de una clave criptográfica
Id.: NIST SP 800-53 Rev. 4 SC-12 Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| [Versión preliminar]: los almacenes de Azure Recovery Services deben usar claves administradas por el cliente para cifrar los datos de copia de seguridad | Use claves administradas por el cliente para administrar el cifrado en reposo de los datos de copia de seguridad. De manera predeterminada, los datos del cliente se cifran con claves administradas por el servicio, pero las claves administradas por el cliente suelen ser necesarias para cumplir estándares de cumplimiento normativo. Las claves administradas por el cliente permiten cifrar los datos con una clave de Azure Key Vault creada por el usuario y propiedad de este. Tiene control y responsabilidad totales del ciclo de vida de la clave, incluidos la rotación y administración. Obtenga más información en https://aka.ms/AB-CmkEncryption. | Audit, Deny, Disabled | 1.0.0-preview |
| [Versión preliminar]: los datos del servicio de aprovisionamiento de dispositivos de IoT Hub se deben cifrar con claves administradas por el cliente (CMK) | Use claves administradas por el cliente para administrar el cifrado en reposo del servicio de aprovisionamiento de dispositivos de IoT Hub. Los datos se cifran automáticamente en reposo con claves administradas por el servicio, pero las claves administradas por el cliente (CMK) suelen ser necesarias para cumplir estándares de cumplimiento normativo. Las CMK permiten cifrar los datos con una clave de Azure Key Vault creada por el usuario y propiedad de este. Más información sobre el cifrado de CMK en https://aka.ms/dps/CMK. | Audit, Deny, Disabled | 1.0.0-preview |
| Las cuentas de Azure Automation deben usar claves administradas por el cliente para cifrar los datos en reposo. | Use claves administradas por el cliente para administrar el cifrado en reposo de sus cuentas de Azure Automation. De manera predeterminada, los datos del cliente se cifran con claves administradas por el servicio, pero las claves administradas por el cliente suelen ser necesarias para cumplir estándares de cumplimiento normativo. Las claves administradas por el cliente permiten cifrar los datos con una clave de Azure Key Vault creada por el usuario y propiedad de este. Tiene control y responsabilidad totales del ciclo de vida de la clave, incluidos la rotación y administración. Obtenga más información en https://aka.ms/automation-cmk. | Audit, Deny, Disabled | 1.0.0 |
| La cuenta de Azure Batch debe usar claves administradas por el cliente para cifrar los datos | Use claves administradas por el cliente para administrar el cifrado en reposo de los datos de la cuenta de Batch. De manera predeterminada, los datos del cliente se cifran con claves administradas por el servicio, pero las claves administradas por el cliente suelen ser necesarias para cumplir estándares de cumplimiento normativo. Las claves administradas por el cliente permiten cifrar los datos con una clave de Azure Key Vault creada por el usuario y propiedad de este. Tiene control y responsabilidad totales del ciclo de vida de la clave, incluidos la rotación y administración. Obtenga más información en https://aka.ms/Batch-CMK. | Audit, Deny, Disabled | 1.0.1 |
| El grupo de contenedores de la instancia de Azure Container Instances debe usar una clave administrada por el cliente para el cifrado | Proteja los contenedores con mayor flexibilidad mediante el uso de claves administradas por el cliente. Cuando se especifica una clave administrada por el cliente, esa clave se usa para proteger y controlar el acceso a la clave que cifra los datos. El uso de claves administradas por el cliente proporciona funcionalidades adicionales para controlar la rotación de la clave de cifrado de claves o para borrar datos mediante criptografía. | Audit, Disabled, Deny | 1.0.0 |
| Las cuentas de Azure Cosmos DB deben usar claves administradas por el cliente para cifrar los datos en reposo | Use claves administradas por el cliente para administrar el cifrado en reposo de la instancia de Azure Cosmos DB. De manera predeterminada, los datos se cifran en reposo con claves administradas por el servicio, pero las claves administradas por el cliente suelen ser necesarias para cumplir estándares de cumplimiento normativo. Las claves administradas por el cliente permiten cifrar los datos con una clave de Azure Key Vault creada por el usuario y propiedad de este. Tiene control y responsabilidad totales del ciclo de vida de la clave, incluidos la rotación y administración. Obtenga más información en https://aka.ms/cosmosdb-cmk. | audit, Audit, deny, Deny, disabled, Disabled | 1.1.0 |
| Los trabajos de Azure Data Box deben usar una clave administrada por el cliente para cifrar la contraseña de desbloqueo del dispositivo | Use una clave administrada por el cliente para controlar el cifrado de la contraseña de desbloqueo del dispositivo para Azure Data Box. Las claves administradas por el cliente también ayudan a administrar el acceso a la contraseña de desbloqueo del dispositivo por parte del servicio Data Box para preparar el dispositivo y copiar los datos de forma automatizada. Los datos del propio dispositivo ya están cifrados en reposo con el Estándar de cifrado avanzado cifrado de 256 bits y la contraseña de desbloqueo del dispositivo se cifra de forma predeterminada con una clave administrada por Microsoft. | Audit, Deny, Disabled | 1.0.0 |
| El cifrado en reposo de Azure Data Explorer debe usar una clave administrada por el cliente | Al habilitar el cifrado en reposo con una clave administrada por el cliente en el clúster de Azure Data Explorer, se proporciona un mayor control sobre la clave que usa el cifrado en reposo. Esta característica se suele aplicar a los clientes con requisitos de cumplimiento especiales y requiere un almacén de claves para administrar las claves. | Audit, Deny, Disabled | 1.0.0 |
| Las instancias de Azure Data Factory deben cifrarse con una clave administrada por el cliente. | Utilice claves administradas por el cliente (CMK) para administrar el cifrado en reposo de los datos de Azure Data Factory. De manera predeterminada, los datos del cliente se cifran con claves administradas por el servicio, pero las claves administradas por el cliente suelen ser necesarias para cumplir estándares de cumplimiento normativo. Las claves administradas por el cliente permiten cifrar los datos con una clave de Azure Key Vault creada por el usuario y propiedad de este. Tiene control y responsabilidad totales del ciclo de vida de la clave, incluidos la rotación y administración. Obtenga más información en https://aka.ms/adf-cmk. | Audit, Deny, Disabled | 1.0.1 |
| Los clústeres de Azure HDInsight deben usar claves administradas por el cliente para cifrar los datos en reposo | Utilice claves administradas por el cliente para administrar el cifrado en reposo de los clústeres de Azure HDInsight. De manera predeterminada, los datos del cliente se cifran con claves administradas por el servicio, pero las claves administradas por el cliente suelen ser necesarias para cumplir estándares de cumplimiento normativo. Las claves administradas por el cliente permiten cifrar los datos con una clave de Azure Key Vault creada por el usuario y propiedad de este. Tiene control y responsabilidad totales del ciclo de vida de la clave, incluidos la rotación y administración. Obtenga más información en https://aka.ms/hdi.cmk. | Audit, Deny, Disabled | 1.0.1 |
| Los clústeres de Azure HDInsight deben usar el cifrado en el host para cifrar los datos en reposo. | La habilitación del cifrado en el host ayuda a custodiar y proteger sus datos con el fin de satisfacer los compromisos de cumplimiento y seguridad de la organización. Cuando se habilita el cifrado en el host, los datos almacenados en el host de máquina virtual se cifran en reposo y se transmiten cifrados al servido Storage. | Audit, Deny, Disabled | 1.0.0 |
| Las áreas de trabajo de Azure Machine Learning deben cifrarse con una clave administrada por el cliente. | Administre el cifrado en reposo de los datos del área de trabajo de Azure Machine Learning con claves administradas por el cliente. De manera predeterminada, los datos del cliente se cifran con claves administradas por el servicio, pero las claves administradas por el cliente suelen ser necesarias para cumplir estándares de cumplimiento normativo. Las claves administradas por el cliente permiten cifrar los datos con una clave de Azure Key Vault creada por el usuario y propiedad de este. Tiene control y responsabilidad totales del ciclo de vida de la clave, incluidos la rotación y administración. Obtenga más información en https://aka.ms/azureml-workspaces-cmk. | Audit, Deny, Disabled | 1.0.3 |
| Los clústeres de registros de Azure Monitor se deben cifrar con una clave administrada por el cliente | Cree un clúster de registros de Azure Monitor con cifrado de claves administradas por el cliente. De manera predeterminada, los datos de registro se cifran con claves administradas por el servicio, pero las claves administradas por el cliente suelen ser necesarias para satisfacer el cumplimiento normativo. La clave administrada por el cliente en Azure Monitor proporciona un mayor control sobre el acceso a los datos; consulte https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys. | audit, Audit, deny, Deny, disabled, Disabled | 1.1.0 |
| Los trabajos de Azure Stream Analytics deben usar claves administradas por el cliente para cifrar los datos | Use las claves administradas por el cliente cuando quiera almacenar de forma segura los recursos de datos privados y los metadatos de sus trabajos de Stream Analytics en la cuenta de almacenamiento. De esta forma, dispondrá de un control total sobre la forma en que se cifran los datos de Stream Analytics. | audit, Audit, deny, Deny, disabled, Disabled | 1.1.0 |
| Las áreas de trabajo de Azure Synapse deben usar claves administradas por el cliente para cifrar los datos en reposo | Use claves administradas por el cliente para controlar el cifrado en reposo de los datos almacenados en las áreas de trabajo de Azure Synapse. Las claves administradas por el cliente también proporcionan cifrado doble, ya que agregan una segunda capa de cifrado a partir del cifrado predeterminado que se creó mediante las claves administradas por el servicio. | Audit, Deny, Disabled | 1.0.0 |
| Bot Service se debe cifrar con una clave administrada por el cliente | Azure Bot Service cifra automáticamente el recurso para proteger sus datos y satisfacer los compromisos de cumplimiento y seguridad de la organización. De forma predeterminada, se usan claves de cifrado administradas por Microsoft. Para una mayor flexibilidad en la administración de claves o el control del acceso a su suscripción, seleccione claves administradas por el cliente, también conocidas como Bring your own key (BYOK). Más información acerca del cifrado de Azure Bot Service: https://docs.microsoft.com/azure/bot-service/bot-service-encryption. | audit, Audit, deny, Deny, disabled, Disabled | 1.1.0 |
| Los sistemas operativos y los discos de datos de los clústeres de Azure Kubernetes Service deben cifrarse mediante claves administradas por el cliente | El cifrado de los sistemas operativos y los discos de datos mediante claves administradas por el cliente proporciona más control y mayor flexibilidad para la administración de claves. Este es un requisito común de muchos estándares de cumplimiento normativo y del sector. | Audit, Deny, Disabled | 1.0.1 |
| Las cuentas de Cognitive Services deben habilitar el cifrado de datos con una clave administrada por el cliente. | Las claves administradas por el cliente suelen ser necesarias para cumplir estándares de cumplimiento normativo. Las claves administradas por el cliente permiten cifrar los datos almacenados en Cognitive Services con una clave de Azure Key Vault creada por el usuario y propiedad de este. Tiene control y responsabilidad totales del ciclo de vida de la clave, incluidos la rotación y administración. Para más información sobre las claves administradas por el cliente, consulte https://go.microsoft.com/fwlink/?linkid=2121321. | Audit, Deny, Disabled | 2.1.0 |
| Los registros de contenedor deben cifrarse con una clave administrada por el cliente | Use claves administradas por el cliente para administrar el cifrado en reposo del contenido de los registros. De manera predeterminada, los datos se cifran en reposo con claves administradas por el servicio, pero las claves administradas por el cliente suelen ser necesarias para cumplir estándares de cumplimiento normativo. Las claves administradas por el cliente permiten cifrar los datos con una clave de Azure Key Vault creada por el usuario y propiedad de este. Tiene control y responsabilidad totales del ciclo de vida de la clave, incluidos la rotación y administración. Obtenga más información en https://aka.ms/acr/CMK. | Audit, Deny, Disabled | 1.1.2 |
| Los espacios de nombres deben usar una clave administrada por el cliente para el cifrado | Azure Event Hubs admite la opción de cifrado de datos en reposo con claves administradas por Microsoft (predeterminada) o claves administradas por el cliente. La selección del cifrado de datos mediante claves administradas por el cliente le permite asignar, rotar, deshabilitar y revocar el acceso a las claves que el centro de eventos usará para cifrar los datos en el espacio de nombres. Tenga en cuenta que el centro de eventos solo admite el cifrado con claves administradas por el cliente para los espacios de nombres en clústeres dedicados. | Audit, Disabled | 1.0.0 |
| El Entorno del servicio de integración de Logic Apps se debe cifrar con claves administradas por el cliente. | Realice la implementación en el Entorno del servicio de integración para administrar el cifrado en reposo de los datos de Logic Apps con claves administradas por el cliente. De manera predeterminada, los datos del cliente se cifran con claves administradas por el servicio, pero las claves administradas por el cliente suelen ser necesarias para cumplir estándares de cumplimiento normativo. Las claves administradas por el cliente permiten cifrar los datos con una clave de Azure Key Vault creada por el usuario y propiedad de este. Tiene control y responsabilidad totales del ciclo de vida de la clave, incluidos la rotación y administración. | Audit, Deny, Disabled | 1.0.0 |
| Los discos administrados deben tener un cifrado doble con las claves administradas por el cliente y la plataforma | Los clientes con datos confidenciales de alto nivel de seguridad que están preocupados por el riesgo asociado a cualquier algoritmo de cifrado, implementación o clave en peligro concretos pueden optar por una capa adicional de cifrado con un algoritmo o modo de cifrado diferente en el nivel de infraestructura mediante claves de cifrado administradas por la plataforma. Los conjuntos de cifrado de disco son necesarios para usar el cifrado doble. Obtenga más información en https://aka.ms/disks-doubleEncryption. | Audit, Deny, Disabled | 1.0.0 |
| Control administrado por Microsoft 1643: establecimiento y administración de una clave criptográfica | Microsoft implementa este control de protección del sistema y de las comunicaciones | auditoría | 1.0.0 |
| El SO y los discos de datos deben cifrarse con una clave administrada por el cliente | Use claves administradas por el cliente para administrar el cifrado en reposo del contenido de Managed Disks. De manera predeterminada, los datos se cifran en reposo con claves administradas por la plataforma, pero las claves administradas por el cliente suelen ser necesarias para cumplir los estándares de cumplimiento normativo. Las claves administradas por el cliente permiten cifrar los datos con una clave de Azure Key Vault creada por el usuario y propiedad de este. Tiene control y responsabilidad totales del ciclo de vida de la clave, incluidos la rotación y administración. Obtenga más información en https://aka.ms/disks-cmk. | Audit, Deny, Disabled | 3.0.0 |
| Las consultas guardadas de Azure Monitor deben guardarse en la cuenta de almacenamiento del cliente para el cifrado de registros | Vincule la cuenta de almacenamiento al área de trabajo de Log Analytics para proteger las consultas guardadas con el cifrado de la cuenta de almacenamiento. Las claves administradas por el cliente suelen ser necesarias para satisfacer el cumplimiento normativo y para tener un mayor control sobre el acceso a las consultas guardadas en Azure Monitor. Para más información sobre lo anterior, consulte https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys?tabs=portal#customer-managed-key-for-saved-queries. | audit, Audit, deny, Deny, disabled, Disabled | 1.1.0 |
| Los espacios de nombres prémium de Service Bus deben usar una clave administrada por el cliente para el cifrado | Azure Service Bus permite cifrar los datos en reposo con claves administradas por Microsoft (opción predeterminada) o claves administradas por el cliente. Si decide cifrar los datos con claves administradas por el cliente, podrá asignar, rotar, deshabilitar y revocar el acceso a las claves que Service Bus utiliza para cifrar los datos en el espacio de nombres. Tenga en cuenta que Service Bus solo admite el cifrado con claves administradas por el cliente en los espacios de nombres prémium. | Audit, Disabled | 1.0.0 |
| Las instancias administradas de SQL deben usar claves administradas por el cliente para cifrar los datos en reposo | La implementación de Cifrado de datos transparente (TDE) con una clave propia proporciona una mayor transparencia y control sobre el protector de TDE, ofrece mayor seguridad con un servicio externo respaldado con HSM y permite la separación de tareas. Esta recomendación se aplica a las organizaciones con un requisito de cumplimiento relacionado. | Audit, Deny, Disabled | 2.0.0 |
| Los servidores SQL deben usar claves administradas por el cliente para cifrar los datos en reposo | La implementación de Cifrado de datos transparente (TDE) con una clave propia proporciona una mayor transparencia y control sobre el protector de TDE, ofrece mayor seguridad con un servicio externo respaldado con HSM y permite la separación de tareas. Esta recomendación se aplica a las organizaciones con un requisito de cumplimiento relacionado. | Audit, Deny, Disabled | 2.0.1 |
| Los ámbitos de cifrado de la cuenta de almacenamiento deben usar claves administradas por el cliente para cifrar los datos en reposo. | Use claves administradas por el cliente para administrar el cifrado en reposo de los ámbitos de cifrado de su cuenta de almacenamiento. Las claves administradas por el cliente le permiten cifrar los datos con una clave de Azure Key Vault que haya creado y sea de su propiedad. Tiene control y responsabilidad totales del ciclo de vida de la clave, incluidos la rotación y administración. Obtenga más información sobre los ámbitos de cifrado de la cuenta de almacenamiento en https://aka.ms/encryption-scopes-overview. | Audit, Deny, Disabled | 1.0.0 |
| Las cuentas de almacenamiento deben utilizar una clave administrada por el cliente para el cifrado | Proteja su cuenta de almacenamiento de blobs y archivos con mayor flexibilidad mediante claves administradas por el cliente. Cuando se especifica una clave administrada por el cliente, esa clave se usa para proteger y controlar el acceso a la clave que cifra los datos. El uso de claves administradas por el cliente proporciona funcionalidades adicionales para controlar la rotación de la clave de cifrado de claves o para borrar datos mediante criptografía. | Audit, Disabled | 1.0.3 |
Disponibilidad
Id.: NIST SP 800-53 Rev. 4 SC-12 (1) Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Control administrado por Microsoft 1644: establecimiento y administración de una clave criptográfica | Disponibilidad | Microsoft implementa este control de protección del sistema y de las comunicaciones | auditoría | 1.0.0 |
Claves simétricas
Id.: NIST SP 800-53 Rev. 4 SC-12 (2) Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Control administrado por Microsoft 1645: establecimiento y administración de una clave criptográfica | Claves simétricas | Microsoft implementa este control de protección del sistema y de las comunicaciones | auditoría | 1.0.0 |
Claves asimétricas
Id.: NIST SP 800-53 Rev. 4 SC-12 (3) Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Control administrado por Microsoft 1646: establecimiento y administración de una clave criptográfica | Claves asimétricas | Microsoft implementa este control de protección del sistema y de las comunicaciones | auditoría | 1.0.0 |
Protección criptográfica
Id.: NIST SP 800-53 Rev. 4 SC-13 Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Control administrado por Microsoft 1647: uso de criptografía | Microsoft implementa este control de protección del sistema y de las comunicaciones | auditoría | 1.0.0 |
Dispositivos informáticos de colaboración
Id.: NIST SP 800-53 Rev. 4 SC-15 Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Control administrado por Microsoft 1648: dispositivos informáticos de colaboración | Microsoft implementa este control de protección del sistema y de las comunicaciones | auditoría | 1.0.0 |
| Control administrado por Microsoft 1649: dispositivos informáticos de colaboración | Microsoft implementa este control de protección del sistema y de las comunicaciones | auditoría | 1.0.0 |
Certificados de infraestructura de clave pública
Id.: NIST SP 800-53 Rev. 4 SC-17 Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Control administrado por Microsoft 1650: certificados de infraestructura de clave pública | Microsoft implementa este control de protección del sistema y de las comunicaciones | auditoría | 1.0.0 |
Código móvil
Id.: NIST SP 800-53 Rev. 4 SC-18 Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Control administrado por Microsoft 1651: código móvil | Microsoft implementa este control de protección del sistema y de las comunicaciones | auditoría | 1.0.0 |
| Control administrado por Microsoft 1652: código móvil | Microsoft implementa este control de protección del sistema y de las comunicaciones | auditoría | 1.0.0 |
| Control administrado por Microsoft 1653: código móvil | Microsoft implementa este control de protección del sistema y de las comunicaciones | auditoría | 1.0.0 |
Voz sobre IP (VoIP)
Id.: NIST SP 800-53 Rev. 4 SC-19 Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Control administrado por Microsoft 1654: protocolo de voz sobre IP | Microsoft implementa este control de protección del sistema y de las comunicaciones | auditoría | 1.0.0 |
| Control administrado por Microsoft 1655: protocolo de voz sobre IP | Microsoft implementa este control de protección del sistema y de las comunicaciones | auditoría | 1.0.0 |
Servicio seguro de resolución de direcciones y nombres (origen de autoridad)
Id.: NIST SP 800-53 Rev. 4 SC-20 Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Control administrado por Microsoft 1656: servicio seguro de resolución de direcciones y nombres (origen de autoridad) | Microsoft implementa este control de protección del sistema y de las comunicaciones | auditoría | 1.0.0 |
| Control administrado por Microsoft 1657: servicio seguro de resolución de direcciones y nombres (origen de autoridad) | Microsoft implementa este control de protección del sistema y de las comunicaciones | auditoría | 1.0.0 |
Servicio de resolución de direcciones o nombres seguro (resolución recursiva o en caché)
Id.: NIST SP 800-53 Rev. 4 SC-21 Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Control administrado por Microsoft 1657: servicio seguro de resolución de direcciones y nombres (resolución recursiva o en caché) | Microsoft implementa este control de protección del sistema y de las comunicaciones | auditoría | 1.0.0 |
Arquitectura y aprovisionamiento para el servicio de resolución de direcciones o nombres
Id.: NIST SP 800-53 Rev. 4 SC-22 Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Control administrado por Microsoft 1659: arquitectura y aprovisionamiento para el servicio de resolución de direcciones y nombres | Microsoft implementa este control de protección del sistema y de las comunicaciones | auditoría | 1.0.0 |
Autenticidad de sesión
Id.: NIST SP 800-53 Rev. 4 SC-23 Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Control administrado por Microsoft 1660: autenticidad de la sesión | Microsoft implementa este control de protección del sistema y de las comunicaciones | auditoría | 1.0.0 |
Invalidación de los identificadores de sesión al cerrar sesión
Id.: NIST SP 800-53 Rev. 4 SC-23 (1) Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Control administrado por Microsoft 1661: autenticidad de la sesión | Invalidación de los identificadores de sesión al cerrar sesión | Microsoft implementa este control de protección del sistema y de las comunicaciones | auditoría | 1.0.0 |
Error en estado conocido
Id.: NIST SP 800-53 Rev. 4 SC-24 Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Control administrado por Microsoft 1662: error en estado conocido | Microsoft implementa este control de protección del sistema y de las comunicaciones | auditoría | 1.0.0 |
Protección de la información en reposo
Id.: NIST SP 800-53 Rev. 4 SC-28 Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| App Service Environment debe tener habilitado el cifrado interno | Al establecer InternalEncryption en true, se cifra el archivo de paginación, los discos de trabajo y el tráfico de red interno entre los servidores front-end y los trabajos de una instancia de App Service Environment. Para más información, consulte https://docs.microsoft.com/azure/app-service/environment/app-service-app-service-environment-custom-settings#enable-internal-encryption. | Audit, Disabled | 1.0.1 |
| Las variables de cuenta de Automation deben cifrarse | Es importante habilitar el cifrado de recursos de variables de cuentas de Automation al almacenar datos confidenciales. | Audit, Deny, Disabled | 1.1.0 |
| Los trabajos de Azure Data Box deben habilitar el cifrado doble para los datos en reposo en el dispositivo | Habilite una segunda capa de cifrado basado en software para los datos en reposo en el dispositivo. El dispositivo ya está protegido mediante el Estándar de cifrado avanzado de 256 bits para datos en reposo. Esta opción agrega una segunda capa de cifrado de datos. | Audit, Deny, Disabled | 1.0.0 |
| Los clústeres de registros de Azure Monitor se deben crear con el cifrado de infraestructura habilitado (cifrado doble) | Para asegurarse de que el cifrado de datos seguro está habilitado en el nivel de servicio y en el nivel de infraestructura con dos algoritmos de cifrado diferentes y dos claves diferentes, use un clúster dedicado Azure Monitor. Esta opción está habilitada de forma predeterminada cuando se admite en la región; consulte https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys#customer-managed-key-overview. | audit, Audit, deny, Deny, disabled, Disabled | 1.1.0 |
| Los dispositivos Azure Stack Edge deben usar cifrado doble | Para proteger los datos en reposo del dispositivo, asegúrese de que tienen cifrado doble, se controla el acceso a ellos y, una vez desactivado el dispositivo, se borran de los discos de datos de forma segura. El cifrado doble consiste en dos capas de cifrado: XTS-AES de BitLocker de 256 bits en los volúmenes de datos y cifrado integrado en los discos duros. Más información en la documentación de información general sobre seguridad del dispositivo Stark Edge en cuestión. | audit, Audit, deny, Deny, disabled, Disabled | 1.1.0 |
| El cifrado de disco debe estar habilitado en Azure Data Explorer | La habilitación del cifrado de disco ayuda a custodiar y proteger sus datos con el fin de satisfacer los compromisos de cumplimiento y seguridad de la organización. | Audit, Deny, Disabled | 2.0.0 |
| El cifrado doble debe estar habilitado en Azure Data Explorer | La habilitación del cifrado doble ayuda a custodiar y proteger sus datos con el fin de satisfacer los compromisos de cumplimiento y seguridad de la organización. Cuando está habilitado el cifrado doble, los datos de las cuentas de almacenamiento se cifran dos veces, una vez en el nivel de servicio y otra en el nivel de infraestructura, con dos algoritmos de cifrado y dos claves diferentes. | Audit, Deny, Disabled | 2.0.0 |
| Control administrado por Microsoft 1663: protección de la información en reposo | Microsoft implementa este control de protección del sistema y de las comunicaciones | auditoría | 1.0.0 |
| Se debe establecer la propiedad ClusterProtectionLevel en EncryptAndSign en los clústeres de Service Fabric | Service Fabric proporciona tres niveles de protección (None, Sign y EncryptAndSign) para la comunicación de nodo a nodo mediante un certificado de clúster principal. Establezca el nivel de protección para asegurarse de que todos los mensajes de nodo a nodo se cifran y se firman digitalmente. | Audit, Deny, Disabled | 1.1.0 |
| Las cuentas de almacenamiento deben tener un cifrado de infraestructura | Habilite el cifrado de la infraestructura para aumentar la garantía de que los datos son seguros. Cuando el cifrado de infraestructura está habilitado, los datos de las cuentas de almacenamiento se cifran dos veces. | Audit, Deny, Disabled | 1.0.0 |
| Los discos temporales y la memoria caché de los grupos de nodos agente en los clústeres de Azure Kubernetes Service deben cifrarse en el host | Para mejorar la seguridad de los datos, los datos almacenados en el host de las máquinas virtuales de los nodos de Azure Kubernetes Service deben cifrarse en reposo. Este es un requisito común de muchos estándares de cumplimiento normativo y del sector. | Audit, Deny, Disabled | 1.0.1 |
| El cifrado de datos transparente en bases de datos SQL debe estar habilitado | El cifrado de datos transparente debe estar habilitado para proteger los datos en reposo y satisfacer los requisitos de cumplimiento. | AuditIfNotExists, Disabled | 2.0.0 |
| Las máquinas virtuales y los conjuntos de escalado de máquinas virtuales deben tener habilitado el cifrado en el host | Use el cifrado en el host para obtener el cifrado de un extremo a otro para la máquina virtual y los datos del conjunto de escalado de máquinas virtuales. El cifrado en el host permite el cifrado en reposo para las memorias caché de disco temporal y de sistema operativo y de datos. Los discos temporales y los discos de SO efímeros se cifran con claves administradas por la plataforma cuando se habilita el cifrado en el host. Las memorias caché del disco de datos y de sistema operativo se cifran en reposo con claves administradas por el cliente o por la plataforma, según el tipo de cifrado seleccionado en el disco. Obtenga más información en https://aka.ms/vm-hbe. | Audit, Deny, Disabled | 1.0.0 |
| Las máquinas virtuales deben cifrar los discos temporales, las cachés y los flujos de datos entre los recursos de Proceso y Almacenamiento | De manera predeterminada, los discos del sistema operativo y de datos de una máquina virtual se cifran en reposo mediante claves administradas por la plataforma. Los discos temporales, las memorias caché de datos y los datos que fluyen entre el proceso y el almacenamiento no se cifran. Ignore esta recomendación si: 1. Se utiliza el cifrado en el host, o 2. El cifrado del lado servidor en Managed Disks cumple sus requisitos de seguridad. Obtenga más información en: Cifrado del lado servidor de Azure Disk Storage: https://aka.ms/disksse, Diferentes ofertas de cifrado de disco: https://aka.ms/diskencryptioncomparison | AuditIfNotExists, Disabled | 2.0.3 |
Protección criptográfica
Id.: NIST SP 800-53 Rev. 4 SC-28 (1) Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| App Service Environment debe tener habilitado el cifrado interno | Al establecer InternalEncryption en true, se cifra el archivo de paginación, los discos de trabajo y el tráfico de red interno entre los servidores front-end y los trabajos de una instancia de App Service Environment. Para más información, consulte https://docs.microsoft.com/azure/app-service/environment/app-service-app-service-environment-custom-settings#enable-internal-encryption. | Audit, Disabled | 1.0.1 |
| Las variables de cuenta de Automation deben cifrarse | Es importante habilitar el cifrado de recursos de variables de cuentas de Automation al almacenar datos confidenciales. | Audit, Deny, Disabled | 1.1.0 |
| Los trabajos de Azure Data Box deben habilitar el cifrado doble para los datos en reposo en el dispositivo | Habilite una segunda capa de cifrado basado en software para los datos en reposo en el dispositivo. El dispositivo ya está protegido mediante el Estándar de cifrado avanzado de 256 bits para datos en reposo. Esta opción agrega una segunda capa de cifrado de datos. | Audit, Deny, Disabled | 1.0.0 |
| Los clústeres de registros de Azure Monitor se deben crear con el cifrado de infraestructura habilitado (cifrado doble) | Para asegurarse de que el cifrado de datos seguro está habilitado en el nivel de servicio y en el nivel de infraestructura con dos algoritmos de cifrado diferentes y dos claves diferentes, use un clúster dedicado Azure Monitor. Esta opción está habilitada de forma predeterminada cuando se admite en la región; consulte https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys#customer-managed-key-overview. | audit, Audit, deny, Deny, disabled, Disabled | 1.1.0 |
| Los dispositivos Azure Stack Edge deben usar cifrado doble | Para proteger los datos en reposo del dispositivo, asegúrese de que tienen cifrado doble, se controla el acceso a ellos y, una vez desactivado el dispositivo, se borran de los discos de datos de forma segura. El cifrado doble consiste en dos capas de cifrado: XTS-AES de BitLocker de 256 bits en los volúmenes de datos y cifrado integrado en los discos duros. Más información en la documentación de información general sobre seguridad del dispositivo Stark Edge en cuestión. | audit, Audit, deny, Deny, disabled, Disabled | 1.1.0 |
| El cifrado de disco debe estar habilitado en Azure Data Explorer | La habilitación del cifrado de disco ayuda a custodiar y proteger sus datos con el fin de satisfacer los compromisos de cumplimiento y seguridad de la organización. | Audit, Deny, Disabled | 2.0.0 |
| El cifrado doble debe estar habilitado en Azure Data Explorer | La habilitación del cifrado doble ayuda a custodiar y proteger sus datos con el fin de satisfacer los compromisos de cumplimiento y seguridad de la organización. Cuando está habilitado el cifrado doble, los datos de las cuentas de almacenamiento se cifran dos veces, una vez en el nivel de servicio y otra en el nivel de infraestructura, con dos algoritmos de cifrado y dos claves diferentes. | Audit, Deny, Disabled | 2.0.0 |
| Control administrado por Microsoft 1664: protección de la información en reposo | Protección criptográfica | Microsoft implementa este control de protección del sistema y de las comunicaciones | auditoría | 1.0.0 |
| Se debe establecer la propiedad ClusterProtectionLevel en EncryptAndSign en los clústeres de Service Fabric | Service Fabric proporciona tres niveles de protección (None, Sign y EncryptAndSign) para la comunicación de nodo a nodo mediante un certificado de clúster principal. Establezca el nivel de protección para asegurarse de que todos los mensajes de nodo a nodo se cifran y se firman digitalmente. | Audit, Deny, Disabled | 1.1.0 |
| Las cuentas de almacenamiento deben tener un cifrado de infraestructura | Habilite el cifrado de la infraestructura para aumentar la garantía de que los datos son seguros. Cuando el cifrado de infraestructura está habilitado, los datos de las cuentas de almacenamiento se cifran dos veces. | Audit, Deny, Disabled | 1.0.0 |
| Los discos temporales y la memoria caché de los grupos de nodos agente en los clústeres de Azure Kubernetes Service deben cifrarse en el host | Para mejorar la seguridad de los datos, los datos almacenados en el host de las máquinas virtuales de los nodos de Azure Kubernetes Service deben cifrarse en reposo. Este es un requisito común de muchos estándares de cumplimiento normativo y del sector. | Audit, Deny, Disabled | 1.0.1 |
| El cifrado de datos transparente en bases de datos SQL debe estar habilitado | El cifrado de datos transparente debe estar habilitado para proteger los datos en reposo y satisfacer los requisitos de cumplimiento. | AuditIfNotExists, Disabled | 2.0.0 |
| Las máquinas virtuales y los conjuntos de escalado de máquinas virtuales deben tener habilitado el cifrado en el host | Use el cifrado en el host para obtener el cifrado de un extremo a otro para la máquina virtual y los datos del conjunto de escalado de máquinas virtuales. El cifrado en el host permite el cifrado en reposo para las memorias caché de disco temporal y de sistema operativo y de datos. Los discos temporales y los discos de SO efímeros se cifran con claves administradas por la plataforma cuando se habilita el cifrado en el host. Las memorias caché del disco de datos y de sistema operativo se cifran en reposo con claves administradas por el cliente o por la plataforma, según el tipo de cifrado seleccionado en el disco. Obtenga más información en https://aka.ms/vm-hbe. | Audit, Deny, Disabled | 1.0.0 |
| Las máquinas virtuales deben cifrar los discos temporales, las cachés y los flujos de datos entre los recursos de Proceso y Almacenamiento | De manera predeterminada, los discos del sistema operativo y de datos de una máquina virtual se cifran en reposo mediante claves administradas por la plataforma. Los discos temporales, las memorias caché de datos y los datos que fluyen entre el proceso y el almacenamiento no se cifran. Ignore esta recomendación si: 1. Se utiliza el cifrado en el host, o 2. El cifrado del lado servidor en Managed Disks cumple sus requisitos de seguridad. Obtenga más información en: Cifrado del lado servidor de Azure Disk Storage: https://aka.ms/disksse, Diferentes ofertas de cifrado de disco: https://aka.ms/diskencryptioncomparison | AuditIfNotExists, Disabled | 2.0.3 |
Aislamiento de procesos
Id.: NIST SP 800-53 Rev. 4 SC-39 Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Control administrado por Microsoft 1665: aislamiento de procesos | Microsoft implementa este control de protección del sistema y de las comunicaciones | auditoría | 1.0.0 |
Integridad del sistema y de la información
Procedimientos y directiva de integridad de la información y el sistema
Id.: NIST SP 800-53 Rev. 4 SI-1 Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Control administrado por Microsoft 1666: procedimientos y directiva de integridad de la información y el sistema | Microsoft implementa este control de integridad del sistema y de la información | auditoría | 1.0.0 |
| Control administrado por Microsoft 1667: procedimientos y directiva de integridad de la información y el sistema | Microsoft implementa este control de integridad del sistema y de la información | auditoría | 1.0.0 |
Corrección de errores
Id.: NIST SP 800-53 Rev. 4 SI-2 Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Las aplicaciones de App Service deben utilizar la última "versión HTTP" | A causa de errores de seguridad o para incluir funcionalidades, se publican de forma periódica versiones más recientes de HTTP. Para las aplicaciones web, use la versión más reciente de HTTP con el fin de aprovechar las correcciones de seguridad, de haberlas, o las nuevas funcionalidades de la versión más reciente. | AuditIfNotExists, Disabled | 4.0.0 |
| Se debe habilitar Azure Defender para servidores de Azure SQL Database | Azure Defender para SQL proporciona funcionalidad para mostrar y mitigar posibles vulnerabilidades de base de datos, detectar actividades anómalas que podrían indicar amenazas para bases de datos SQL, y detectar y clasificar datos confidenciales. | AuditIfNotExists, Disabled | 1.0.2 |
| Se debe habilitar Azure Defender para Resource Manager | Azure Defender para Resource Manager supervisa automáticamente las operaciones de administración de recursos de la organización. Azure Defender detecta amenazas y alerta sobre actividades sospechosas. Obtenga más información sobre las funcionalidades de Azure Defender para Resource Manager en https://aka.ms/defender-for-resource-manager. La habilitación de este plan de Azure Defender conlleva cargos. Obtenga información sobre los detalles de los precios por región en la página de precios de Security Center: https://aka.ms/pricing-security-center. | AuditIfNotExists, Disabled | 1.0.0 |
| Se debe habilitar Azure Defender para servidores | Azure Defender para servidores proporciona protección en tiempo real contra amenazas para las cargas de trabajo del servidor y genera recomendaciones de protección, así como alertas sobre la actividad sospechosa. | AuditIfNotExists, Disabled | 1.0.3 |
| Las aplicaciones de funciones deben usar la última "versión de HTTP" | A causa de errores de seguridad o para incluir funcionalidades, se publican de forma periódica versiones más recientes de HTTP. Para las aplicaciones web, use la versión más reciente de HTTP con el fin de aprovechar las correcciones de seguridad, de haberlas, o las nuevas funcionalidades de la versión más reciente. | AuditIfNotExists, Disabled | 4.0.0 |
| Kubernetes Services se debe actualizar a una versión de Kubernetes no vulnerable | Actualice el clúster de servicio de Kubernetes a una versión de Kubernetes posterior para protegerse frente a vulnerabilidades conocidas en la versión actual de Kubernetes. La vulnerabilidad CVE-2019-9946 se ha revisado en las versiones de Kubernetes 1.11.9+, 1.12.7+, 1.13.5+ y 1.14.0+ | Audit, Disabled | 1.0.2 |
| Microsoft Defender para contenedores debería estar habilitado | Microsoft Defender para contenedores proporciona protección, evaluación de vulnerabilidades y protecciones en tiempo de ejecución para los entornos de Kubernetes de Azure, híbridos y multinube. | AuditIfNotExists, Disabled | 1.0.0 |
| Microsoft Defender para Storage (Clásico) debe estar habilitado | Microsoft Defender para Storage (Clásico) proporciona detecciones de intentos inusuales y potencialmente dañinos para acceder a las cuentas de almacenamiento o aprovechar alguna vulnerabilidad de seguridad. | AuditIfNotExists, Disabled | 1.0.4 |
| Control administrado por Microsoft 1668: corrección de errores | Microsoft implementa este control de integridad del sistema y de la información | auditoría | 1.0.0 |
| Control administrado por Microsoft 1669: corrección de errores | Microsoft implementa este control de integridad del sistema y de la información | auditoría | 1.0.0 |
| Control administrado por Microsoft 1670: corrección de errores | Microsoft implementa este control de integridad del sistema y de la información | auditoría | 1.0.0 |
| Control administrado por Microsoft 1671: corrección de errores | Microsoft implementa este control de integridad del sistema y de la información | auditoría | 1.0.0 |
| Las bases de datos SQL deben tener resueltos los hallazgos de vulnerabilidades. | Permite supervisar los resultados del examen de evaluación de puntos vulnerables y las recomendaciones para solucionar los de las bases de datos. | AuditIfNotExists, Disabled | 4.1.0 |
| Se deben instalar las actualizaciones del sistema en los conjuntos de escalado de máquinas virtuales | Audite si falta alguna actualización de seguridad del sistema o actualización crítica que deba instalarse para garantizar que los conjuntos de escalado de máquinas virtuales Windows y Linux sean seguros. | AuditIfNotExists, Disabled | 3.0.0 |
| Se deben instalar actualizaciones del sistema en las máquinas | Azure Security Center supervisará las actualizaciones del sistema de seguridad que faltan en los servidores como recomendaciones. | AuditIfNotExists, Disabled | 3.0.0 |
| Se deben corregir las vulnerabilidades en la configuración de seguridad en las máquinas | Azure Security Center supervisará los servidores que no cumplan la línea de base configurada como recomendaciones. | AuditIfNotExists, Disabled | 3.1.0 |
| Se deben corregir las vulnerabilidades en la configuración de seguridad de los conjuntos de escalado de máquinas virtuales | Audite las vulnerabilidades del sistema operativo en los conjuntos de escalado de máquinas virtuales para protegerlos frente a ataques. | AuditIfNotExists, Disabled | 3.0.0 |
Administración central
Id.: NIST SP 800-53 Rev. 4 SI-2 (1) Propiedad: Microsoft
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Control administrado por Microsoft 1672: corrección de errores | Administración central | Microsoft implementa este control de integridad del sistema y de la información | auditoría | 1.0.0 |
Estado de corrección de errores automatizado
Id.: NIST SP 800-53 Rev. 4 SI-2 (2) Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Control administrado por Microsoft 1673: corrección de errores | Estado de corrección de errores automatizado | Microsoft implementa este control de integridad del sistema y de la información | auditoría | 1.0.0 |
Tiempo a fin de corregir errores o puntos de referencia para acciones correctivas
Id.: NIST SP 800-53 Rev. 4 SI-2 (3) Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Control administrado por Microsoft 1674: corrección de errores | Tiempo para corregir errores o puntos de referencia para acciones correctivas | Microsoft implementa este control de integridad del sistema y de la información | auditoría | 1.0.0 |
| Control administrado por Microsoft 1675: corrección de errores | Tiempo para corregir errores o puntos de referencia para acciones correctivas | Microsoft implementa este control de integridad del sistema y de la información | auditoría | 1.0.0 |
Eliminación de versiones anteriores de software o firmware
Id.: NIST SP 800-53 Rev. 4 SI-2 (6) Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Las aplicaciones de App Service deben utilizar la última "versión HTTP" | A causa de errores de seguridad o para incluir funcionalidades, se publican de forma periódica versiones más recientes de HTTP. Para las aplicaciones web, use la versión más reciente de HTTP con el fin de aprovechar las correcciones de seguridad, de haberlas, o las nuevas funcionalidades de la versión más reciente. | AuditIfNotExists, Disabled | 4.0.0 |
| Las aplicaciones de funciones deben usar la última "versión de HTTP" | A causa de errores de seguridad o para incluir funcionalidades, se publican de forma periódica versiones más recientes de HTTP. Para las aplicaciones web, use la versión más reciente de HTTP con el fin de aprovechar las correcciones de seguridad, de haberlas, o las nuevas funcionalidades de la versión más reciente. | AuditIfNotExists, Disabled | 4.0.0 |
| Kubernetes Services se debe actualizar a una versión de Kubernetes no vulnerable | Actualice el clúster de servicio de Kubernetes a una versión de Kubernetes posterior para protegerse frente a vulnerabilidades conocidas en la versión actual de Kubernetes. La vulnerabilidad CVE-2019-9946 se ha revisado en las versiones de Kubernetes 1.11.9+, 1.12.7+, 1.13.5+ y 1.14.0+ | Audit, Disabled | 1.0.2 |
Protección frente a código malintencionado
Id.: NIST SP 800-53 Rev. 4 SI-3 Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Se debe habilitar Azure Defender para servidores | Azure Defender para servidores proporciona protección en tiempo real contra amenazas para las cargas de trabajo del servidor y genera recomendaciones de protección, así como alertas sobre la actividad sospechosa. | AuditIfNotExists, Disabled | 1.0.3 |
| La solución de protección del punto de conexión debe instalarse en las máquinas virtuales | Audite la existencia y el estado de una solución de protección de puntos de conexión en los conjuntos de escalado de máquinas virtuales para protegerlos frente a amenazas y vulnerabilidades. | AuditIfNotExists, Disabled | 3.0.0 |
| Control administrado por Microsoft 1676: protección frente a código malintencionado | Microsoft implementa este control de integridad del sistema y de la información | auditoría | 1.0.0 |
| Control administrado por Microsoft 1677: protección frente a código malintencionado | Microsoft implementa este control de integridad del sistema y de la información | auditoría | 1.0.0 |
| Control administrado por Microsoft 1678: protección frente a código malintencionado | Microsoft implementa este control de integridad del sistema y de la información | auditoría | 1.0.0 |
| Control administrado por Microsoft 1679: protección frente a código malintencionado | Microsoft implementa este control de integridad del sistema y de la información | auditoría | 1.0.0 |
| Supervisar la falta de Endpoint Protection en Azure Security Center | Azure Security Center supervisará los servidores sin un agente de Endpoint Protection instalado como recomendaciones. | AuditIfNotExists, Disabled | 3.1.0 |
| La Protección contra vulnerabilidades de seguridad de Windows Defender debe estar habilitada en las máquinas. | La protección contra vulnerabilidades de seguridad de Windows Defender utiliza el agente de configuración de invitado de Azure Policy. La protección contra vulnerabilidades de seguridad tiene cuatro componentes diseñados para bloquear dispositivos en una amplia variedad de vectores de ataque y comportamientos de bloque utilizados habitualmente en ataques de malware, al tiempo que permiten a las empresas equilibrar los requisitos de productividad y riesgo de seguridad (solo Windows). | AuditIfNotExists, Disabled | 1.1.1 |
Administración central
Id.: NIST SP 800-53 Rev. 4 SI-3 (1) Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Se debe habilitar Azure Defender para servidores | Azure Defender para servidores proporciona protección en tiempo real contra amenazas para las cargas de trabajo del servidor y genera recomendaciones de protección, así como alertas sobre la actividad sospechosa. | AuditIfNotExists, Disabled | 1.0.3 |
| La solución de protección del punto de conexión debe instalarse en las máquinas virtuales | Audite la existencia y el estado de una solución de protección de puntos de conexión en los conjuntos de escalado de máquinas virtuales para protegerlos frente a amenazas y vulnerabilidades. | AuditIfNotExists, Disabled | 3.0.0 |
| Control administrado por Microsoft 1680: protección frente a código malintencionado | Administración central | Microsoft implementa este control de integridad del sistema y de la información | auditoría | 1.0.0 |
| Supervisar la falta de Endpoint Protection en Azure Security Center | Azure Security Center supervisará los servidores sin un agente de Endpoint Protection instalado como recomendaciones. | AuditIfNotExists, Disabled | 3.1.0 |
| La Protección contra vulnerabilidades de seguridad de Windows Defender debe estar habilitada en las máquinas. | La protección contra vulnerabilidades de seguridad de Windows Defender utiliza el agente de configuración de invitado de Azure Policy. La protección contra vulnerabilidades de seguridad tiene cuatro componentes diseñados para bloquear dispositivos en una amplia variedad de vectores de ataque y comportamientos de bloque utilizados habitualmente en ataques de malware, al tiempo que permiten a las empresas equilibrar los requisitos de productividad y riesgo de seguridad (solo Windows). | AuditIfNotExists, Disabled | 1.1.1 |
Actualizaciones automáticas
Id.: NIST SP 800-53 Rev. 4 SI-3 (2) Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Control administrado por Microsoft 1681: protección frente a código malintencionado | Actualizaciones automáticas | Microsoft implementa este control de integridad del sistema y de la información | auditoría | 1.0.0 |
Detección no basada en firmas
Id.: NIST SP 800-53 Rev. 4 SI-3 (7) Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Control administrado por Microsoft 1682: protección frente a código malintencionado | Detección no basada en firmas | Microsoft implementa este control de integridad del sistema y de la información | auditoría | 1.0.0 |
Supervisión del sistema de información
Id.: NIST SP 800-53 Rev. 4 SI-4 Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| [Versión preliminar]: Los clústeres de Kubernetes con Azure Arc habilitado deben tener instalada la extensión de Microsoft Defender for Cloud | La extensión Microsoft Defender for Cloud para Azure Arc proporciona protección contra amenazas para los clústeres de Kubernetes habilitados para Arc. La extensión recopila datos de todos los nodos del clúster y los envía al back-end de Azure Defender para Kubernetes en la nube para su posterior análisis. Puede encontrar más información en https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc. | AuditIfNotExists, Disabled | 4.0.1-preview |
| [Versión preliminar]: el agente de recopilación de datos de tráfico de red debe instalarse en máquinas virtuales Linux | Security Center usa Microsoft Dependency Agent para recopilar datos del tráfico de red de sus máquinas virtuales de Azure y así poder habilitar características avanzadas de protección de red, como la visualización del tráfico en el mapa de red, las recomendaciones de refuerzo de la red y las amenazas de red específicas. | AuditIfNotExists, Disabled | 1.0.2-preview |
| [Versión preliminar]: el agente de recopilación de datos de tráfico de red debe instalarse en las máquinas virtuales Windows | Security Center usa Microsoft Dependency Agent para recopilar datos del tráfico de red de sus máquinas virtuales de Azure y así poder habilitar características avanzadas de protección de red, como la visualización del tráfico en el mapa de red, las recomendaciones de refuerzo de la red y las amenazas de red específicas. | AuditIfNotExists, Disabled | 1.0.2-preview |
| El aprovisionamiento automático del agente de Log Analytics debe estar habilitado en la suscripción | A fin de supervisar las amenazas y vulnerabilidades de seguridad, Azure Security Center recopila datos de las máquinas virtuales de Azure. El agente de Log Analytics, anteriormente conocido como Microsoft Monitoring Agent (MMA), recopila los datos al leer distintas configuraciones relacionadas con la seguridad y distintos registros de eventos de la máquina y copiar los datos en el área de trabajo de Log Analytics para analizarlos. Se recomienda habilitar el aprovisionamiento automático para implementar automáticamente el agente en todas las máquinas virtuales de Azure admitidas y en las nuevas que se creen. | AuditIfNotExists, Disabled | 1.0.1 |
| Se debe habilitar Azure Defender para servidores de Azure SQL Database | Azure Defender para SQL proporciona funcionalidad para mostrar y mitigar posibles vulnerabilidades de base de datos, detectar actividades anómalas que podrían indicar amenazas para bases de datos SQL, y detectar y clasificar datos confidenciales. | AuditIfNotExists, Disabled | 1.0.2 |
| Se debe habilitar Azure Defender para Resource Manager | Azure Defender para Resource Manager supervisa automáticamente las operaciones de administración de recursos de la organización. Azure Defender detecta amenazas y alerta sobre actividades sospechosas. Obtenga más información sobre las funcionalidades de Azure Defender para Resource Manager en https://aka.ms/defender-for-resource-manager. La habilitación de este plan de Azure Defender conlleva cargos. Obtenga información sobre los detalles de los precios por región en la página de precios de Security Center: https://aka.ms/pricing-security-center. | AuditIfNotExists, Disabled | 1.0.0 |
| Se debe habilitar Azure Defender para servidores | Azure Defender para servidores proporciona protección en tiempo real contra amenazas para las cargas de trabajo del servidor y genera recomendaciones de protección, así como alertas sobre la actividad sospechosa. | AuditIfNotExists, Disabled | 1.0.3 |
| Se debe habilitar Azure Defender para SQL en las instancias de Azure SQL Server desprotegidas | Auditoría de los servidores de SQL sin Advanced Data Security | AuditIfNotExists, Disabled | 2.0.1 |
| Azure Defender para SQL debe habilitarse en las instancias de SQL Managed Instances desprotegidas. | Permite auditr cada servicio SQL Managed Instance sin Advanced Data Security. | AuditIfNotExists, Disabled | 1.0.2 |
| La extensión "Configuración de invitado" debe estar instalada en las máquinas. | Para garantizar la seguridad de la configuración de invitado, instale la extensión "Configuración de invitado". La configuración de invitado supervisada en la extensión engloba la configuración del sistema operativo, la configuración o presencia de las aplicaciones y la configuración del entorno. Una vez instaladas, las directivas de invitado estarán disponibles como "La protección contra vulnerabilidades de Windows debe estar habilitada.". Obtenga más información en https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 1.0.2 |
| El agente de Log Analytics debe instalarse en la máquina virtual para la supervisión de Azure Security Center. | Esta directiva audita cualquier máquina virtual Windows o Linux si el agente de Log Analytics no está instalado y Security Center la utiliza para supervisar las amenazas y vulnerabilidades de seguridad | AuditIfNotExists, Disabled | 1.0.0 |
| El agente de Log Analytics debe instalarse en sus conjuntos de escalado de máquinas virtuales para supervisar Azure Security Center. | Security Center recopila datos de las máquinas virtuales de Azure para supervisar las amenazas y vulnerabilidades de la seguridad. | AuditIfNotExists, Disabled | 1.0.0 |
| Microsoft Defender para contenedores debería estar habilitado | Microsoft Defender para contenedores proporciona protección, evaluación de vulnerabilidades y protecciones en tiempo de ejecución para los entornos de Kubernetes de Azure, híbridos y multinube. | AuditIfNotExists, Disabled | 1.0.0 |
| Microsoft Defender para Storage (Clásico) debe estar habilitado | Microsoft Defender para Storage (Clásico) proporciona detecciones de intentos inusuales y potencialmente dañinos para acceder a las cuentas de almacenamiento o aprovechar alguna vulnerabilidad de seguridad. | AuditIfNotExists, Disabled | 1.0.4 |
| Control administrado por Microsoft 1683: supervisión del sistema de información | Microsoft implementa este control de integridad del sistema y de la información | auditoría | 1.0.0 |
| Control administrado por Microsoft 1684: supervisión del sistema de información | Microsoft implementa este control de integridad del sistema y de la información | auditoría | 1.0.0 |
| Control administrado por Microsoft 1685: supervisión del sistema de información | Microsoft implementa este control de integridad del sistema y de la información | auditoría | 1.0.0 |
| Control administrado por Microsoft 1686: supervisión del sistema de información | Microsoft implementa este control de integridad del sistema y de la información | auditoría | 1.0.0 |
| Control administrado por Microsoft 1687: supervisión del sistema de información | Microsoft implementa este control de integridad del sistema y de la información | auditoría | 1.0.0 |
| Control administrado por Microsoft 1688: supervisión del sistema de información | Microsoft implementa este control de integridad del sistema y de la información | auditoría | 1.0.0 |
| Control administrado por Microsoft 1689: supervisión del sistema de información | Microsoft implementa este control de integridad del sistema y de la información | auditoría | 1.0.0 |
| Network Watcher debe estar habilitado | Network Watcher es un servicio regional que permite supervisar y diagnosticar problemas en un nivel de escenario de red mediante Azure. La supervisión del nivel de escenario permite diagnosticar problemas en una vista de nivel de red de un extremo a otro. Es preciso que se haya creado un grupo de recursos de Network Watcher en todas las regiones en las que haya una red virtual. Si algún grupo de recursos de Network Watcher no está disponible en una región determinada, se habilita una alerta. | AuditIfNotExists, Disabled | 3.0.0 |
| La extensión "Configuración de invitado" de las máquinas virtuales debe implementarse con una identidad administrada asignada por el sistema | La extensión Configuración de invitado requiere una identidad administrada asignada por el sistema. Si las máquinas virtuales de Azure incluidas en el ámbito de esta directiva tienen instalada la extensión "Configuración de invitado" pero no tienen una identidad administrada asignada por el sistema, no cumplirán los requisitos establecidos. Más información en https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 1.0.1 |
Sistema de detección de intrusiones en todo el sistema
Id.: NIST SP 800-53 Rev. 4 SI-4 (1) Propiedad: Microsoft
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Control administrado por Microsoft 1690: supervisión del sistema de información | Sistema de detección de intrusiones en todo el sistema | Microsoft implementa este control de integridad del sistema y de la información | auditoría | 1.0.0 |
Herramientas automatizadas para el análisis en tiempo real
Id.: NIST SP 800-53 Rev. 4 SI-4 (2) Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Control administrado por Microsoft 1691: supervisión del sistema de información | Herramientas automatizadas para el análisis en tiempo real | Microsoft implementa este control de integridad del sistema y de la información | auditoría | 1.0.0 |
Tráfico de comunicaciones de entrada y salida
Id.: NIST SP 800-53 Rev. 4 SI-4 (4) Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Control administrado por Microsoft 1692: supervisión del sistema de información | Tráfico de comunicaciones entrantes y salientes | Microsoft implementa este control de integridad del sistema y de la información | auditoría | 1.0.0 |
Alertas generadas por el sistema
Id.: NIST SP 800-53 Rev. 4 SI-4 (5) Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Control administrado por Microsoft 1693: supervisión del sistema de información | Alertas generadas por el sistema | Microsoft implementa este control de integridad del sistema y de la información | auditoría | 1.0.0 |
Análisis de anomalías de tráfico de comunicaciones
Id.: NIST SP 800-53 Rev. 4 SI-4 (11) Propiedad: Microsoft
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Control administrado por Microsoft 1694: supervisión del sistema de información | Análisis de anomalías de tráfico de comunicaciones | Microsoft implementa este control de integridad del sistema y de la información | auditoría | 1.0.0 |
Alertas automatizadas
Id.: NIST SP 800-53 Rev. 4 SI-4 (12) Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| La opción para enviar notificaciones por correo electrónico para alertas de gravedad alta debe estar habilitada. | Para asegurarse de que las personas pertinentes de la organización reciban una notificación cuando se produzca una vulneración de seguridad potencial en una de las suscripciones, habilite las notificaciones por correo electrónico de alertas de gravedad alta en Security Center. | AuditIfNotExists, Disabled | 1.0.1 |
| La opción para enviar notificaciones por correo electrónico al propietario de la suscripción en relación a alertas de gravedad alta debe estar habilitada. | Para asegurarse de que los propietarios de suscripciones reciban una notificación cuando se produzca una vulneración de seguridad potencial en sus suscripciones, establezca notificaciones por correo electrónico a los propietarios de las suscripciones de alertas de gravedad alta en Security Center. | AuditIfNotExists, Disabled | 2.0.0 |
| Las suscripciones deben tener una dirección de correo electrónico de contacto para los problemas de seguridad | Para asegurarse de que las personas pertinentes de la organización reciban una notificación cuando se produzca una vulneración de seguridad potencial en una de las suscripciones, establezca un contacto de seguridad para la recepción de notificaciones por correo electrónico de Security Center. | AuditIfNotExists, Disabled | 1.0.1 |
Detección de intrusiones inalámbricas
Id.: NIST SP 800-53 Rev. 4 SI-4 (14) Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Control administrado por Microsoft 1695: supervisión del sistema de información | Detección de intrusiones inalámbricas | Microsoft implementa este control de integridad del sistema y de la información | auditoría | 1.0.0 |
Correlación de información de supervisión
Id.: NIST SP 800-53 Rev. 4 SI-4 (16) Propiedad: Microsoft
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Control administrado por Microsoft 1696: supervisión del sistema de información | Correlación de información de supervisión | Microsoft implementa este control de integridad del sistema y de la información | auditoría | 1.0.0 |
Análisis del tráfico o exfiltración de la cobertura
Id.: NIST SP 800-53 Rev. 4 SI-4 (18) Propiedad: Microsoft
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Control administrado por Microsoft 1697: supervisión del sistema de información | Análisis del tráfico o exfiltración de la cobertura | Microsoft implementa este control de integridad del sistema y de la información | auditoría | 1.0.0 |
Individuos que plantean más riesgos
Id.: NIST SP 800-53 Rev. 4 SI-4 (19) Propiedad: Microsoft
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Control administrado por Microsoft 1698: supervisión del sistema de información | Individuos que plantean más riesgos | Microsoft implementa este control de integridad del sistema y de la información | auditoría | 1.0.0 |
Usuario con privilegios
Id.: NIST SP 800-53 Rev. 4 SI-4 (20) Propiedad: Microsoft
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Control administrado por Microsoft 1699: supervisión del sistema de información | Usuarios con privilegios | Microsoft implementa este control de integridad del sistema y de la información | auditoría | 1.0.0 |
Servicios de red no autorizados
Id.: NIST SP 800-53 Rev. 4 SI-4 (22) Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Control administrado por Microsoft 1700: supervisión del sistema de información | Servicios de red no autorizados | Microsoft implementa este control de integridad del sistema y de la información | auditoría | 1.0.0 |
Dispositivos basados en host
Id.: NIST SP 800-53 Rev. 4 SI-4 (23) Propiedad: Microsoft
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Control administrado por Microsoft 1701: supervisión del sistema de información | Dispositivos basados en host | Microsoft implementa este control de integridad del sistema y de la información | auditoría | 1.0.0 |
Indicadores de compromiso
Id.: NIST SP 800-53 Rev. 4 SI-4 (24) Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Control administrado por Microsoft 1702: supervisión del sistema de información | Indicadores de compromiso | Microsoft implementa este control de integridad del sistema y de la información | auditoría | 1.0.0 |
Alertas de seguridad, avisos y directivas
Id.: NIST SP 800-53 Rev. 4 SI-5 Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Control administrado por Microsoft 1703: Alertas de seguridad y avisos | Microsoft implementa este control de integridad del sistema y de la información | auditoría | 1.0.0 |
| Control administrado por Microsoft 1704: Alertas de seguridad y avisos | Microsoft implementa este control de integridad del sistema y de la información | auditoría | 1.0.0 |
| Control administrado por Microsoft 1705: Alertas de seguridad y avisos | Microsoft implementa este control de integridad del sistema y de la información | auditoría | 1.0.0 |
| Control administrado por Microsoft 1706: Alertas de seguridad y avisos | Microsoft implementa este control de integridad del sistema y de la información | auditoría | 1.0.0 |
Alertas y advertencias automatizadas
Id.: NIST SP 800-53 Rev. 4 SI-5 (1) Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Control administrado por Microsoft 1707: Alertas de seguridad y avisos | Alertas y avisos automatizados | Microsoft implementa este control de integridad del sistema y de la información | auditoría | 1.0.0 |
Comprobación de la función de seguridad
Id.: NIST SP 800-53 Rev. 4 SI-6 Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Control administrado por Microsoft 1708: comprobación de la función de seguridad | Microsoft implementa este control de integridad del sistema y de la información | auditoría | 1.0.0 |
| Control administrado por Microsoft 1709: comprobación de la función de seguridad | Microsoft implementa este control de integridad del sistema y de la información | auditoría | 1.0.0 |
| Control administrado por Microsoft 1710: comprobación de la función de seguridad | Microsoft implementa este control de integridad del sistema y de la información | auditoría | 1.0.0 |
| Control administrado por Microsoft 1711: comprobación de la función de seguridad | Microsoft implementa este control de integridad del sistema y de la información | auditoría | 1.0.0 |
Integridad de la información, el firmware y el software
Id.: NIST SP 800-53 Rev. 4 SI-7 Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Control administrado por Microsoft 1712: integridad del software y la información | Microsoft implementa este control de integridad del sistema y de la información | auditoría | 1.0.0 |
Comprobaciones de integridad
Id.: NIST SP 800-53 Rev. 4 SI-7 (1) Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Control administrado por Microsoft 1713: integridad de software e información | Comprobación de integridad | Microsoft implementa este control de integridad del sistema y de la información | auditoría | 1.0.0 |
Notificaciones automatizadas de infracciones de integridad
Id.: NIST SP 800-53 Rev. 4 SI-7 (2) Propiedad: Microsoft
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Control administrado por Microsoft 1714: integridad del software y la información | Notificaciones automatizadas de las infracciones de integridad | Microsoft implementa este control de integridad del sistema y de la información | auditoría | 1.0.0 |
Respuesta automática a infracciones de integridad
Id.: NIST SP 800-53 Rev. 4 SI-7 (5) Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Control administrado por Microsoft 1715: integridad del software y la información | Respuesta automatizada a las infracciones de la integridad | Microsoft implementa este control de integridad del sistema y de la información | auditoría | 1.0.0 |
Integración de detección y respuesta
Id.: NIST SP 800-53 Rev. 4 SI-7 (7) Propiedad: Microsoft
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Control administrado por Microsoft 1716: integridad de software e información | Integración de la detección y la de respuesta | Microsoft implementa este control de integridad del sistema y de la información | auditoría | 1.0.0 |
Código ejecutable de máquina o binario
Id.: NIST SP 800-53 Rev. 4 SI-7 (14) Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Control administrado por Microsoft 1717: integridad de la información y el software | Código máquina o binario ejecutable | Microsoft implementa este control de integridad del sistema y de la información | auditoría | 1.0.0 |
| Control administrado por Microsoft 1718: integridad de la información y el software | Código máquina o binario ejecutable | Microsoft implementa este control de integridad del sistema y de la información | auditoría | 1.0.0 |
Protección de correo no deseado
Id.: NIST SP 800-53 Rev. 4 SI-8 Propiedad: Microsoft
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Control administrado por Microsoft 1719: protección contra correo no deseado | Microsoft implementa este control de integridad del sistema y de la información | auditoría | 1.0.0 |
| Control administrado por Microsoft 1720: protección contra correo no deseado | Microsoft implementa este control de integridad del sistema y de la información | auditoría | 1.0.0 |
Administración central
Id.: NIST SP 800-53 Rev. 4 SI-8 (1) Propiedad: Microsoft
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Control administrado por Microsoft 1721: protección contra correo no deseado | Administración central | Microsoft implementa este control de integridad del sistema y de la información | auditoría | 1.0.0 |
Actualizaciones automáticas
Id.: NIST SP 800-53 Rev. 4 SI-8 (2) Propiedad: Microsoft
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Control administrado por Microsoft 1722: protección contra correo no deseado | Actualizaciones automáticas | Microsoft implementa este control de integridad del sistema y de la información | auditoría | 1.0.0 |
Validación de la entrada de información
Id.: NIST SP 800-53 Rev. 4 SI-10 Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Control administrado por Microsoft 1723: validación de la entrada de información | Microsoft implementa este control de integridad del sistema y de la información | auditoría | 1.0.0 |
Tratamiento de errores
Id.: NIST SP 800-53 Rev. 4 SI-11 Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Control administrado por Microsoft 1724: control de errores | Microsoft implementa este control de integridad del sistema y de la información | auditoría | 1.0.0 |
| Control administrado por Microsoft 1725: control de errores | Microsoft implementa este control de integridad del sistema y de la información | auditoría | 1.0.0 |
Control y retención de la información
Id.: NIST SP 800-53 Rev. 4 SI-12 Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Control administrado por Microsoft 1726: Tratamiento y retención de la información | Microsoft implementa este control de integridad del sistema y de la información | auditoría | 1.0.0 |
Protección de la memoria
Id.: NIST SP 800-53 Rev. 4 SI-16 Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Se debe habilitar Azure Defender para servidores | Azure Defender para servidores proporciona protección en tiempo real contra amenazas para las cargas de trabajo del servidor y genera recomendaciones de protección, así como alertas sobre la actividad sospechosa. | AuditIfNotExists, Disabled | 1.0.3 |
| Control administrado por Microsoft 1727: protección de la memoria | Microsoft implementa este control de integridad del sistema y de la información | auditoría | 1.0.0 |
| La Protección contra vulnerabilidades de seguridad de Windows Defender debe estar habilitada en las máquinas. | La protección contra vulnerabilidades de seguridad de Windows Defender utiliza el agente de configuración de invitado de Azure Policy. La protección contra vulnerabilidades de seguridad tiene cuatro componentes diseñados para bloquear dispositivos en una amplia variedad de vectores de ataque y comportamientos de bloque utilizados habitualmente en ataques de malware, al tiempo que permiten a las empresas equilibrar los requisitos de productividad y riesgo de seguridad (solo Windows). | AuditIfNotExists, Disabled | 1.1.1 |
Pasos siguientes
Artículos adicionales sobre Azure Policy:
- Introducción al Cumplimiento normativo.
- Consulte la estructura de definición de la iniciativa.
- Consulte más ejemplos en Ejemplos de Azure Policy.
- Vea la Descripción de los efectos de directivas.
- Obtenga información sobre cómo corregir recursos no compatibles.