Protección de red adaptable en Azure Security CenterAdaptive Network Hardening in Azure Security Center

Obtenga información sobre cómo configurar la protección de red adaptable en Azure Security Center.Learn how to configure Adaptive Network Hardening in Azure Security Center.

¿Qué es la protección de red adaptable?What is Adaptive Network Hardening?

La aplicación de grupos de seguridad de red (NSG) para filtrar el tráfico hacia y desde los recursos mejora la postura de seguridad de red.Applying network security groups (NSG) to filter traffic to and from resources, improves your network security posture. Sin embargo, aún puede haber algunos casos en los que el tráfico real que fluye a través del NSG es un subconjunto de las reglas de NSG definidas.However, there can still be some cases in which the actual traffic flowing through the NSG is a subset of the NSG rules defined. En estos casos, puede mejorar la postura de seguridad al proteger aún más las reglas de NSG, según los patrones de tráfico real.In these cases, further improving the security posture can be achieved by hardening the NSG rules, based on the actual traffic patterns.

La protección de red adaptable proporciona recomendaciones para proteger mejor las reglas de NSG.Adaptive Network Hardening provides recommendations to further harden the NSG rules. Usa un algoritmo de aprendizaje automático que tiene en cuenta el tráfico real, la configuración de confianza conocida, la inteligencia de amenazas y otros indicadores de riesgo, y luego proporciona recomendaciones para permitir el tráfico solo desde tuplas IP y puerto específicas.It uses a machine learning algorithm that factors in actual traffic, known trusted configuration, threat intelligence, and other indicators of compromise, and then provides recommendations to allow traffic only from specific IP/port tuples.

Por ejemplo, supongamos que la regla de NSG existente es permitir el tráfico desde 140.20.30.10/24 en el puerto 22.For example, let’s say the existing NSG rule is to allow traffic from 140.20.30.10/24 on port 22. La recomendación de la protección de red adaptable, según el análisis, sería restringir el rango y permitir el tráfico desde 140.23.30.10/29, que es un intervalo de IP más restringido, y denegar todo el tráfico restante a ese puerto.The Adaptive Network Hardening’s recommendation, based on the analysis, would be to narrow the range and allow traffic from 140.23.30.10/29 – which is a narrower IP range, and deny all other traffic to that port.

Vista de la protección de red

Nota

Las recomendaciones de protección de red adaptables se admiten en los siguientes puertos: 22, 3389, 21, 23, 445, 4333, 3306, 1433, 1434, 53, 20, 5985, 5986, 5432, 139, 66, 1128Adaptive Network Hardening recommendations are supported on the following ports: 22, 3389, 21, 23, 445, 4333, 3306, 1433, 1434, 53, 20, 5985, 5986, 5432, 139, 66, 1128

Visualización de las alertas y reglas de protección de red adaptableView Adaptive Network Hardening alerts and rules

  1. En Security Center, seleccione Redes -> Protección de red adaptable.In Security Center, select Networking -> Adaptive Network Hardening. Las VM de red aparecen en tres pestañas independientes:The network VMs are listed under three separate tabs:

    • Recursos con estado incorrecto : VM que tienen actualmente recomendaciones y alertas que se desencadenaron mediante la ejecución del algoritmo de protección de red adaptable.Unhealthy resources: VMs that currently have recommendations and alerts that were triggered by running the Adaptive Network Hardening algorithm.

    • Recursos con estado correcto: VM sin alertas ni recomendaciones.Healthy resources: VMs without alerts and recommendations.

    • Recursos sin analizar : VM en las que no se puede ejecutar el algoritmo de protección de red adaptable debido a uno de los motivos siguientes:Unscanned resources: VMs that the Adaptive Network Hardening algorithm cannot be run on because of one of the following reasons:

      • Las VM son VM clásicas: solo se admiten VM de Azure Resource Manager.VMs are Classic VMs: Only Azure Resource Manager VMs are supported.
      • No hay suficientes datos disponibles: para generar recomendaciones de protección de tráfico precisas, Security Center requiere al menos 30 días de datos de tráfico.Not enough data is available: In order to generate accurate traffic hardening recommendations, Security Center requires at least 30 days of traffic data.
      • La VM no está protegida por el estándar de ASC: solo las VM virtuales que se establecen en el plan de tarifa estándar de Security Center son aptas para esta característica.VM is not protected by ASC standard: Only VMs that are set to Security Center’s Standard pricing tier are eligible for this feature.

      Recursos con estado incorrecto

  2. En la pestaña Recursos con estado incorrecto, seleccione una VM para ver sus alertas y las reglas de protección recomendadas que se deben aplicar.From the Unhealthy resources tab, select a VM to view its alerts and the recommended hardening rules to apply.

    Alertas de protección

  1. En la pestaña Recursos con estado incorrecto, seleccione una VM.From the Unhealthy resources tab, select a VM. Se muestran las alertas y reglas de protección recomendadas.The alerts and recommended hardening rules are listed.

    Reglas de protección

    Nota

    En la pestaña Reglas se enumeran las reglas que recomiendan la protección de red adaptable que agregue.The Rules tab lists the rules that Adaptive Network Hardening recommends you add. En la pestaña Alertas se enumeran las alertas que se generaron debido al tráfico, que fluye al recurso y que no está dentro del intervalo de IP permitidas en las reglas recomendadas.The Alerts tab lists the alerts that were generated due to traffic, flowing to the resource, which is not within the IP range allowed in the recommended rules.

  2. Si desea cambiar algunos de los parámetros de una regla, puede modificar esta última, tal como se explica en Modificación de una regla.If you want to change some of the parameters of a rule, you can modify it, as explained in Modify a rule.

    Nota

    También puede eliminar o agregar una regla.You can also delete or add a rule.

  3. Seleccione las reglas que desea aplicar en el NSG y haga clic en Aplicar.Select the rules that you want to apply on the NSG, and click Enforce.

    Nota

    Las reglas aplicadas se agregan a los NSG que protegen la VM.The enforced rules are added to the NSG(s) protecting the VM. (Una VM podría estar protegida por un NSG asociado a su NIC, la subred en la que reside la VM o ambos).(A VM could be protected by an NSG that is associated to its NIC, or the subnet in which the VM resides, or both)

    Aplicar reglas

Modificación de una regla Modify a rule

Es posible modificar los parámetros de una regla que se haya recomendado.You may want to modify the parameters of a rule that has been recommended. Por ejemplo, quizás querrá cambiar los intervalos de IP recomendados.For example, you may want to change the recommended IP ranges.

Instrucciones importantes a la hora de modificar una regla de protección de red adaptable:Some important guidelines for modifying an Adaptive Network Hardening rule:

  • Puede modificar los parámetros solo de reglas tipo "permitir".You can modify the parameters of “allow” rules only.

  • No puede cambiar reglas tipo "permitir" para convertirlas en reglas tipo "denegar".You cannot change “allow” rules to become “deny” rules.

    Nota

    La creación y modificación de reglas de "denegación" se realiza directamente en el NSG.Creating and modifying “deny” rules is done directly on the NSG. Para más información, consulte Creación, modificación o eliminación de un grupo de seguridad de red .For more information, see Create, change, or delete a network security group.

  • Una regla tipo Denegar todo el tráfico es el único tipo de regla "denegar" que figuraría aquí, y no se puede modificar.A Deny all traffic rule is the only type of “deny” rule that would be listed here, and it cannot be modified. Sin embargo, puede eliminar la regla (consulte Eliminación de una regla).You can, however, delete it (see Delete a rule).

    Nota

    Una regla tipo Denegar todo el tráfico se recomienda cuando, como resultado de la ejecución del algoritmo, Security Center no identifica el tráfico que se debe permitir, según la configuración de NSG existente.A Deny all traffic rule is recommended when, as a result of running the algorithm, Security Center does not identify traffic that should be allowed, based on the existing NSG configuration. Por lo tanto, la regla recomendada es denegar todo el tráfico al puerto especificado.Therefore, the recommended rule is to deny all traffic to the specified port. El nombre de este tipo de regla se muestra como "Generada por el sistema".The name of this type of rule is displayed as “System Generated”. Después de aplicar esta regla, su nombre real en el NSG será una cadena compuesta por el protocolo, la dirección del tráfico, "DENY" y un número aleatorio.After enforcing this rule, its actual name in the NSG will be a string comprised of the protocol, traffic direction, “DENY”, and a random number.

Para modificar una regla de protección de red adaptable:To modify an Adaptive Network Hardening rule:

  1. Para modificar algunos de los parámetros de una regla, en la pestaña Reglas, haga clic en los puntos suspensivos (...) al final de la fila de la regla y seleccione Editar.To modify some of the parameters of a rule, in the Rules tab, click on the three dots (...) at the end of the rule’s row, and click Edit.

    Editar regla

  2. En la ventana Editar regla, actualice los detalles que desea cambiar y haga clic en Guardar.In the Edit rule window, update the details that you want to change, and click Save.

    Nota

    Después de hacer clic Guardar, habrá cambiado la regla correctamente.After clicking Save, you have successfully changed the rule. Sin embargo, no la ha aplicado al NSG.However, you have not applied it to the NSG. Para ello, debe seleccionar la regla de la lista y hacer clic en Aplicar (tal como se explica en el paso siguiente).To apply it, you must select the rule in the list, and click Enforce (as explained in the next step).

    Editar regla

  3. Para aplicar la regla actualizada, en la lista, seleccione la regla actualizada y haga clic en Aplicar.To apply the updated rule, from the list, select the updated rule and click Enforce.

    Aplicar regla

Adición de una nueva regla Add a new rule

Puede agregar una regla tipo "permitir" que no sea recomienda por Security Center.You can add an “allow” rule that was not recommended by Security Center.

Nota

Aquí solo se pueden agregar reglas de tipo "permitir".Only “allow” rules can be added here. Si quiere agregar reglas tipo "denegar", puede hacerlo directamente en el NSG.If you want to add “deny” rules, you can do so directly on the NSG. Para más información, consulte Creación, modificación o eliminación de un grupo de seguridad de red .For more information, see Create, change, or delete a network security group.

Para agregar una regla de protección de red adaptable:To add an Adaptive Network Hardening rule:

  1. Haga clic en Agregar regla (situado en la esquina superior izquierda).Click Add rule (located in the top-left corner).

    Agregar regla

  2. En la ventana Nueva regla, especifique los detalles y haga clic en Agregar.In the New rule window, enter the details and click Add.

    Nota

    Después de hacer clic en Agregar, habrá agregado correctamente la regla y esta se muestra con las demás reglas recomendadas.After clicking Add, you have successfully added the rule, and it is listed with the other recommended rules. Sin embargo, no la ha aplicado al NSG.However, you have not applied it on the NSG. Para ello, debe seleccionar la regla de la lista y hacer clic en Aplicar (tal como se explica en el paso siguiente).To activate it, you must select the rule in the list, and click Enforce (as explained in the next step).

  3. Para aplicar la nueva regla, en la lista, seleccione la nueva regla y haga clic en aplicar.To apply the new rule, from the list, select the new rule and click Enforce.

    Aplicar regla

Eliminación de una regla Delete a rule

Cuando sea necesario, puede eliminar una regla recomendada de la sesión actual.When necessary, you can delete a recommended rule for the current session. Por ejemplo, puede determinar que aplicar una regla sugerida podría bloquear tráfico legítimo.For example, you may determine that applying a suggested rule could block legitimate traffic.

Para eliminar una regla de protección de red adaptable de la sesión actual:To delete an Adaptive Network Hardening rule for your current session:

  1. En la pestaña Reglas, haga clic en los puntos suspensivos (...) al final de la fila de la regla y seleccione Eliminar.In the Rules tab, click on the three dots (...) at the end of the rule’s row, and click Delete.

    Reglas de protección