Exportación continua de alertas y recomendaciones de seguridad

Azure Security Center genera alertas y recomendaciones de seguridad detalladas. Puede verlas en el portal o mediante herramientas de programación. También puede que deba exportar parte o la totalidad de esta información para realizar el seguimiento con otras herramientas de supervisión de su entorno.

La exportación continua le permite personalizar completamente qué se exportará y a dónde irá. Por ejemplo, puede configurarla para que:

  • Todas las alertas de gravedad alta se envíen a una instancia de Azure Event Hubs.
  • Todos los hallazgos de gravedad media o superior de los exámenes de evaluación de vulnerabilidades de los servidores SQL Server se envíen a un área de trabajo de Log Analytics específica.
  • Se entreguen recomendaciones específicas a un centro de eventos o área de trabajo de Log Analytics cada vez que se generen.
  • La puntuación segura para una suscripción se envía a un área de trabajo de Log Analytics cada vez que la puntuación de un control cambia en 0,01 o más.

Aunque la característica se denomina continua, también hay una opción para exportar instantáneas semanales de datos de cumplimiento normativo o de puntuación segura.

En este artículo se describe cómo configurar la exportación continua a áreas de trabajo de Log Analytics o a Azure Event Hubs.

Nota

Si necesita integrar Security Center con un SIEM, consulte Transmisión de alertas a una solución de administración de servicios de TI, SIEM o SOAR.

Sugerencia

Security Center también ofrece la opción de realizar una exportación manual única a CSV. Obtenga más información en Exportación manual de un solo uso de alertas y recomendaciones.

Disponibilidad

Aspecto Detalles
Estado de la versión: Disponibilidad general (GA)
Precios: Gratuito
Roles y permisos necesarios:
  • Administrador de seguridad o Propietario en el grupo de recursos.
  • Permisos de escritura para el recurso de destino.
  • Si utiliza las directivas "DeployIfNotExist" de Azure Policy que se describen a continuación, también necesitará permisos para asignar directivas.
Nubes: Sí Nubes comerciales
Sí US Gov, otros gobiernos
Sí China Gov

¿Qué tipos de datos se pueden exportar?

La exportación continua puede exportar los siguientes tipos de datos siempre que cambien:

  • Alertas de seguridad
  • Recomendaciones de seguridad
  • Búsquedas de seguridad que se pueden considerar recomendaciones "secundarias", como las de los escáneres de evaluación de vulnerabilidades o actualizaciones específicas del sistema. Puede seleccionar incluirlas con sus recomendaciones "principales", como por ejemplo "Se deben instalar actualizaciones del sistema en los equipos".
  • Puntuación segura (por suscripción o por control)
  • Datos de cumplimiento normativo

Nota

La exportación de datos de cumplimiento normativo y puntuación segura es una característica en versión preliminar y no está disponible en las nubes gubernamentales.

Configuración de una exportación continua

Puede configurar la exportación continua desde las páginas de Security Center en Azure Portal, a través de la API REST de Security Center o a gran escala con las plantillas de Azure Policy proporcionadas. Seleccione la pestaña correspondiente a continuación para obtener detalles de cada una de las opciones.

Configuración de la exportación continua desde las páginas de Security Center en Azure Portal

Los pasos siguientes son necesarios si va a configurar una exportación continua a las área de trabajo de Log Analytics o a Azure Event Hubs.

  1. En la barra lateral de Security Center, seleccione Precios y configuración.

  2. Seleccione la suscripción específica para la que quiere configurar la exportación de datos.

  3. En la barra lateral de la página de configuración de esa suscripción, seleccione Exportación continua.

    Opciones de exportación en Azure Security Center

    Aquí verá las opciones de exportación. Hay una pestaña para cada destino de exportación disponible.

  4. Seleccione el tipo de datos que quiere exportar y elija los filtros que quiera de cada tipo (por ejemplo, exportar solo alertas de gravedad alta).

  5. Seleccione la frecuencia de exportación adecuada:

    • Streaming: las evaluaciones se enviarán en tiempo real cuando se actualice el estado de mantenimiento de un recurso (si no se produce ninguna actualización, no se enviarán datos).
    • Instantáneas: se enviará una instantánea del estado actual de todas las evaluaciones de cumplimiento normativo cada semana (se trata de una característica en versión preliminar para las instantáneas semanales de datos de cumplimiento normativo y puntuaciones seguras).
  6. Opcionalmente, si la selección incluye una de estas recomendaciones, puede incluir los resultados de la evaluación de vulnerabilidades junto con ellas:

    • Se deben corregir las conclusiones de la evaluación de vulnerabilidades de las bases de datos SQL
    • Es necesario corregir las conclusiones de la evaluación de vulnerabilidades de los servidores SQL Server en las máquinas (versión preliminar)
    • Es necesario corregir las vulnerabilidades de las imágenes de Azure Container Registry (con tecnología de Qualys)
    • Es necesario corregir las vulnerabilidades de las máquinas virtuales
    • Se deben instalar actualizaciones del sistema en las máquinas

    Para incluir los resultados con estas recomendaciones, habilite la opción de incluir resultados de seguridad.

    Incluir la alternancia de los resultados de seguridad en la configuración de la exportación continua

  7. En el área "Destino de exportación", elija dónde quiere guardar los datos. Los datos se pueden guardar en el destino de una suscripción diferente (por ejemplo, en una instancia central del Centro de eventos o en un área de trabajo central de Log Analytics).

  8. Seleccione Guardar.

Información sobre la exportación a un área de trabajo de Log Analytics

Si quiere analizar datos de Azure Security Center dentro de un área de trabajo de Log Analytics o usar alertas de Azure junto con alertas de Security Center, configure la exportación continua a su área de trabajo de Log Analytics.

Tablas y esquemas de Log Analytics

Las alertas y recomendaciones de seguridad se almacenan en las tablas SecurityAlert y SecurityRecommendation respectivamente.

El nombre de la solución Log Analytics que contiene estas tablas depende de si tiene habilitado Azure Defender: Security ("Security and Audit") o SecurityCenterFree.

Sugerencia

Para ver los datos en el área de trabajo de destino, debe habilitar una de estas soluciones: Security and Audit o SecurityCenterFree.

Tabla SecurityAlert en Log Analytics

Para ver los esquemas de eventos de los tipos de datos exportados, visite el artículo sobre los esquemas de tabla de Log Analytics.

Visualización de las recomendaciones y alertas exportadas en Azure Monitor

También puede elegir ver las alertas o las recomendaciones de seguridad exportadas en Azure Monitor.

Azure Monitor proporciona un conjunto de alertas unificadas que consta de varias alertas de Azure, como el registro de diagnóstico, las alertas de métricas y las alertas personalizadas basadas en las consultas del área de trabajo de Log Analytics.

Para ver las alertas y recomendaciones de Security Center en Azure Monitor, configure una regla de alerta basada en consultas de Log Analytics (alerta de registro):

  1. En la página Alertas de Azure Monitor, seleccione Nueva regla de alerta.

    Página de alertas de Azure Monitor

  2. En la página de creación de reglas, configure la nueva regla (de la misma manera que configuraría una regla de alertas de registro en Azure Monitor):

    • En Recurso, seleccione el área de trabajo de Log Analytics a la que exportó las recomendaciones y las alertas de seguridad.

    • En Condición, seleccione Custom log search (Búsqueda de registros personalizada). En la página que aparece, configure la consulta, el período de retrospectiva y el período de frecuencia. En la consulta de búsqueda, puede escribir SecurityAlert o SecurityRecommendation para consultar los tipos de datos que Security Center exporta continuamente al habilitar la característica de exportación continua a Log Analytics.

    • Opcionalmente, en Grupo de acciones, configure el grupo de acciones que desea desencadenar. Los grupos de acciones pueden desencadenar el envío de correo electrónico, los vales de ITSM, los webhooks, etc. Regla de alerta de Azure Monitor

Ahora verá las nuevas alertas o recomendaciones de Azure Security Center (según las reglas de exportación continua configuradas y la condición definida en la regla de alerta de Azure Monitor) en las alertas de Azure Monitor, con el desencadenamiento automático de un grupo de acciones (si se proporciona).

Exportación manual de un solo uso de alertas y recomendaciones

Para descargar un informe en formato CSV con alertas o recomendaciones, abra las páginas Alertas de seguridad o Recomendaciones y seleccione el botón para Download CSV report (Descargar informe en CSV).

Descargar datos de alertas como un archivo CSV

Nota

Estos informes contienen alertas y recomendaciones para los recursos de las suscripciones seleccionadas actualmente.

Preguntas frecuentes: exportación continua

¿Cuáles son los costos de la exportación de datos?

La habilitación de una exportación continua no tiene costo alguno. Sin embargo, la ingesta y retención de datos del área de trabajo de Log Analytics, pueden tener costo, en función de la configuración.

Obtenga más información sobre los precios del área de trabajo de Log Analytics.

Obtenga más información sobre los precios de Azure Event Hubs.

¿La exportación incluye datos sobre el estado actual de todos los recursos?

No. La exportación continua se creó para la transmisión de eventos:

  • Las alertas recibidas antes de habilitar la exportación no se exportarán.
  • Se envían recomendaciones cuando cambia el estado de cumplimiento de un recurso. Por ejemplo, cuando un recurso pasa de un estado correcto a otro incorrecto. Por lo tanto, como sucede con las alertas, no se exportarán las recomendaciones para los recursos que no hayan cambiado de estado desde que se habilitó la exportación.
  • La puntuación segura (versión preliminar) por control de seguridad o suscripción se envía cuando cambia la puntuación de un control de seguridad en 0,01 o más.
  • El estado de cumplimiento normativo (versión preliminar) se envía cuando cambia el estado del cumplimiento del recurso.

¿Por qué se envían recomendaciones en distintos intervalos?

Las distintas recomendaciones tienen intervalos de valoración de cumplimiento diferentes, que pueden variar de unos minutos a cada pocos días. Por lo tanto, la cantidad de tiempo que las recomendaciones tardan en aparecer en las exportaciones es distinta.

¿La exportación continua es compatible con los escenarios de continuidad del negocio o recuperación ante desastres (BCDR)?

Al preparar el entorno para escenarios de BCDR, en los que el recurso de destino está experimentando una interrupción u otro desastre, la organización tiene la responsabilidad de evitar la pérdida de datos mediante la preparación de copias de seguridad de acuerdo con las instrucciones de Azure Event Hubs, el área de trabajo de Log Analytics y la aplicación lógica.

Obtenga más información en Recuperación ante desastres geográfica de Azure Event Hubs.

¿La exportación continua está incluida con Azure Security Center de manera gratuita?

Sí. Tenga en cuenta que muchas alertas de Security Center solo se envían cuando Azure Defender está habilitado. Un buen método para obtener una vista previa de las alertas que obtendrá en los datos exportados consiste en ver las alertas que se muestran en las páginas de Security Center en Azure Portal.

Pasos siguientes

En este artículo, ha aprendido a configurar exportaciones continuas de sus recomendaciones y alertas. También aprendió a descargar los datos de alertas como un archivo CSV.

Para obtener material relacionado, consulte la documentación siguiente: