Protección adicional contra amenazas de Microsoft Defender for Cloud

  • Artículo

Además de los planes de protección avanzada integrados, Microsoft Defender para la nube también ofrece las siguientes funcionalidades de protección contra amenazas.

Sugerencia

Para habilitar las funcionalidades de protección contra amenazas de Defender para nube, debe habilitar características de seguridad mejoradas en la suscripción que contenga las cargas de trabajo aplicables.

Protección contra amenazas para la capa de red de Azure

El análisis de la capa de red de Defender for Cloud se basa en datos IPFIX de ejemplo, que son encabezados de paquete recopilados por los enrutadores principales de Azure. En función de esta fuente de distribución de datos, Defender para nube utiliza modelos de Machine Learning para identificar y marcar actividades de tráfico malintencionado. Defender para nube también utiliza la base de datos de Microsoft Threat Intelligence para enriquecer las direcciones IP.

Algunas configuraciones de red pueden impedir a Defender para nube generar alertas sobre una actividad de red sospechosa. Para que Defender para nube genere alertas de red, asegúrese de que:

  • La máquina virtual tenga una dirección IP pública (o se encuentre en un equilibrador de carga con una dirección IP pública).
  • El tráfico de salida de red de la máquina virtual no esté bloqueado por una solución de IDS externa.

Para obtener una lista de las alertas de nivel de red de Azure, consulte la tabla de referencia de alertas.

Transmisión de alertas de seguridad de otros servicios de Microsoft

Visualización de alertas de WAF de Azure en Defender para la nube

Firewall de aplicaciones web (WAF) es una característica de Azure Application Gateway que proporciona a las aplicaciones web una protección centralizada contra vulnerabilidades de seguridad comunes.

Las aplicaciones web son cada vez más el objetivo de ataques malintencionados que aprovechan vulnerabilidades habitualmente conocidas. El firewall de aplicaciones web de Application Gateway se basa en el conjunto de reglas básicas 3.2 o posterior de Open Web Application Security Project. El firewall de aplicaciones web se actualiza automáticamente para incluir protección frente a nuevas vulnerabilidades.

Si creó una solución de seguridad de WAF, las alertas de WAF se transmitirán a Defender for Cloud sin necesidad de ninguna configuración adicional. Para más información sobre las alertas generadas por WAF, consulte Reglas y grupos de reglas de CRS del firewall de aplicaciones web.

Nota

Solo se admite WAF v1 y funcionará con Microsoft Defender for Cloud.

Para implementar WAF de Application Gateway de Azure, siga estos pasos:

  1. En Azure Portal, abra Defender for Cloud.

  2. En el menú de Defender for Cloud, seleccione Soluciones de seguridad.

  3. En la sección Agregar orígenes de datos, seleccione Agregar para WAF de Application Gateway de Azure.

    Screenshot showing where to select add to deploy WAF.

Visualización de alertas de Azure DDoS Protection en Defender para nube

Los ataques de denegación de servicio distribuido (DDoS) son conocidos por lo fáciles que son de ejecutar. Se han convertido en un problema de seguridad muy importante, especialmente si va a trasladar sus aplicaciones a la nube. Un ataque DDoS intenta agotar los recursos de una aplicación haciendo que esta no esté disponible para los usuarios legítimos. Los ataques DDoS pueden dirigirse a cualquier punto de conexión accesible a través de Internet.

Para defenderse contra ataques DDoS, adquiera una licencia de Azure DDoS Protection y asegúrese de que está siguiendo los procedimientos recomendados de diseño de aplicaciones. DDoS Protection proporciona distintos niveles de servicio. Para más información, consulte Introducción a Azure DDoS Protection.

Si tiene Azure DDoS Protection habilitado, las alertas de DDoS se transmiten a Defender para nube sin necesidad de ninguna configuración adicional. Para más información sobre las alertas generadas por DDoS Protection, consulte Tabla de referencia de alertas.

Administración de permisos de Microsoft Entra (anteriormente Cloudknox)

La Administración de permisos de Microsoft Entra es una solución de administración de derechos de infraestructura en la nube (CIEM). Administración de permisos de Microsoft Entra proporciona visibilidad y control completos sobre los permisos de cualquier identidad y recurso de Azure, AWS y GCP.

Como parte de la integración, cada suscripción de Azure incorporada, cuenta de AWS y proyecto de GCP le ofrece una vista del índice de acumulación de permisos (PCI). El PCI es una métrica agregada que evalúa periódicamente el nivel de riesgo asociado al número de permisos no utilizados o excesivos en las identidades y los recursos. PCI mide el posible nivel de riesgo de las identidades, en función de los permisos que tienen a su disposición.

Screenshot of the three associated permission creed index recommendations for Azure, AWS, and GCP.

Pasos siguientes

Para más información acerca de las alertas de seguridad de estas características de protección contra amenazas, consulte los siguientes artículos: