Mejora del cumplimiento normativo

  • Artículo

Microsoft Defender for Cloud le ayuda a cumplir los requisitos de cumplimiento normativo mediante la evaluación continua de los recursos frente a los controles de cumplimiento y la identificación de problemas que le impiden lograr una certificación de cumplimiento determinada.

En el panel Cumplimiento normativo, administrará e interactuará con los estándares de cumplimiento. Puede ver qué estándares de cumplimiento se asignan, activan y desactivan los estándares para Azure, AWS y GCP, revisan el estado de las evaluaciones con respecto a los estándares, etc.

Integración con Purview

Los datos de cumplimiento de Defender for Cloud ahora se integran perfectamente con el Administrador de cumplimiento de Microsoft Purview, lo que le permite evaluar y administrar de manera centralizada el cumplimiento en todo el patrimonio digital de la organización.

Al agregar cualquier estándar al panel de cumplimiento (incluidos los estándares de cumplimiento que supervisan otras nubes como AWS y GCP), los datos de cumplimiento de nivel de recurso se exponen automáticamente en el Administrador de cumplimiento para el mismo estándar.

Por lo tanto, el Administrador de cumplimiento proporciona acciones y estado de mejora en la infraestructura en la nube y en todos los demás recursos digitales de esta herramienta central. Para más información, consulte soporte de nube múltiple en el administrador de cumplimiento de Microsoft Purview.

Antes de comenzar

  • De manera predeterminada, al habilitar Defender for Cloud en una suscripción de Azure, una cuenta de AWS o un plan de GCP, se habilita el plan MCSB.
  • Puede agregar más estándares de cumplimiento no predeterminados cuando se habilita al menos un plan de pago en Defender for Cloud.
  • Debe haber iniciado sesión con una cuenta que tenga acceso de lectura a los datos de cumplimiento de directivas. El rol de Lector de la suscripción tiene acceso a los datos de cumplimiento de directivas, pero el rol de lector de seguridad no lo tiene. Como mínimo, necesitará tener asignados los roles Colaborador de directivas de recursos y Administrador de seguridad.

Evaluación del cumplimiento normativo

El panel Cumplimiento normativo muestra qué estándares de cumplimiento están habilitados. Muestra los controles dentro de cada estándar y las evaluaciones de seguridad de esos controles. El estado de estas evaluaciones refleja el estado de cumplimiento con respecto a los estándares.

El panel le ayuda a centrarse en las brechas en los estándares y supervisar el cumplimiento a lo largo del tiempo.

  1. En el portal de Defender for Cloud, abra la página cumplimiento normativo.

    Screenshot that shows the exploration of the details of compliance with a specific standard.

  2. Use el panel de acuerdo con los elementos numerados de la imagen.

    • (1). Seleccione un estándar de cumplimiento para ver una lista de todos los controles de ese estándar.
    • (2). Vea las suscripciones en las que se aplica el estándar de cumplimiento.
    • (3). Seleccione y expanda un control para ver las evaluaciones asociadas. Seleccione una evaluación para ver los recursos asociados y las posibles acciones de corrección.
    • (4). Seleccione Detalles del control para ver las pestañas Información general, Sus acciones y Acciones de Microsoft.
    • (5). En Sus acciones, puede ver las evaluaciones automatizadas y manuales asociadas al control.
    • (6). Las evaluaciones automatizadas muestran el número de recursos con errores y tipos de recursos, y le vinculan directamente a la información de corrección.
    • (7). Las evaluaciones manuales se pueden atestiguar manualmente y las pruebas se pueden vincular para demostrar el cumplimiento.

Investigación de problemas

Puede usar información en el panel para investigar los problemas que podrían afectar al cumplimiento del estándar.

  1. En el portal de Defender for Cloud, abra Cumplimiento normativo.

  2. Seleccione un estándar de cumplimiento normativo y seleccione un control de cumplimiento para expandirlo.

  3. Seleccione Detalles del control.

    Screenshot that shows you where to navigate to select control details on the screen.

    • Seleccione Información general para ver la información específica sobre el control seleccionado.
    • Seleccione Sus acciones para ver una vista detallada de las acciones automatizadas y manuales que debe realizar para mejorar su posición de cumplimiento.
    • Seleccione Acciones de Microsoft para ver todas las acciones que Microsoft ha realizado para garantizar el cumplimiento del estándar seleccionado.

  4. En Sus acciones, puede seleccionar una flecha abajo para ver más detalles y resolver la recomendación de ese recurso.

    Screenshot that shows you where the down arrow is on the screen.

    Para más información sobre cómo aplicar las recomendaciones, consulte Implementación de recomendaciones de seguridad en Microsoft Defender for Cloud.

    Nota

    Las valoraciones se ejecutan aproximadamente cada 12 horas, por lo que el efecto sobre los datos de cumplimiento solo se constatará tras la ejecución siguiente de la valoración en cuestión.

Corrección de una evaluación automatizada

El cumplimiento normativo tiene evaluaciones automatizadas y manuales que quizá se tengan que corregir. El panel contiene información que le ayudará a mejorar el cumplimiento normativo y le permitirá resolver las recomendaciones directamente en él.

  1. En el portal de Defender for Cloud, abra Cumplimiento normativo.

  2. Seleccione un estándar de cumplimiento normativo y seleccione un control de cumplimiento para expandirlo.

  3. Seleccione cualquiera de las evaluaciones no superadas que aparecen en el panel para ver los detalles de dicha recomendación. Cada recomendación incluye un conjunto de pasos de corrección para resolver el problema.

  4. Seleccione un recurso concreto para ver más detalles y resolver la recomendación relacionada.
    Por ejemplo, en el estándar Azure CIS 1.1.0, seleccione la recomendación El cifrado de disco se debe aplicar en las máquinas virtuales.

    Screenshot that shows that selecting a recommendation from a standard leads directly to the recommendation details page.

  5. En este ejemplo, si selecciona Realizar acción en la página de detalles de la recomendación, accederá Azure Portal, a las páginas de la máquina virtual de Azure, donde podrá abrir la pestaña Seguridad y habilitar el cifrado:

    Screenshot that shows the take action button on the recommendation details page leads to the remediation options.

    Para más información sobre cómo aplicar las recomendaciones, consulte Implementación de recomendaciones de seguridad en Microsoft Defender for Cloud.

  6. Una vez realizadas las acciones necesarias para resolver las recomendaciones, podrá ver el resultado en el informe del panel de cumplimiento, ya que la puntuación de cumplimiento mejora.

Las evaluaciones se ejecutan aproximadamente cada 12 horas, por lo que verá el impacto en los datos de cumplimiento solo después de la siguiente ejecución de la evaluación pertinente.

Corregir una evaluación manual

El cumplimiento normativo tiene evaluaciones automatizadas y manuales que quizá se tengan que corregir. Las evaluaciones manuales son evaluaciones que requieren la intervención del cliente para corregirlas.

  1. En el portal de Defender for Cloud, abra Cumplimiento normativo.

  2. Seleccione un estándar de cumplimiento normativo y seleccione un control de cumplimiento para expandirlo.

  3. En la sección Atestación y evidencia manual, seleccione una evaluación.

  4. Seleccione la suscripción correspondiente.

  5. Seleccione Atestar.

  6. Escriba la información pertinente y adjunte pruebas para el cumplimiento.

  7. Seleccione Guardar.

Generación de informes y certificados de estado de cumplimiento.

  1. Para generar un informe PDF con un resumen de su estado de cumplimiento actual en relación con un estándar concreto, seleccione Descargar informe.

    El informe proporciona un resumen general sobre el estado de cumplimiento del estándar seleccionado en función de los datos de las evaluaciones de Defender for Cloud. El informe se organiza según los controles de ese estándar determinado. El informe se puede compartir con las partes interesadas competentes y puede proporcionar evidencia a los auditores internos y externos.

    Screenshot that shows using the toolbar in Defender for Cloud's regulatory compliance dashboard to download compliance reports.

  2. Para descargar informes de certificación de Azure y Dynamics para los estándares aplicados a las suscripciones, use la opción Informes de auditoría.

    Screenshot that shows using the toolbar in Defender for Cloud's regulatory compliance dashboard to download Azure and Dynamics certification reports.

  3. Seleccione la pestaña correspondiente a cada tipo de informe pertinente (PCI, SOC, ISO y otros) y usar filtros para buscar los informes específicos que necesita.

    Screenshot that shows filtering the list of available Azure Audit reports using tabs and filters.

    Por ejemplo, desde la pestaña PCI puede descargar un archivo ZIP que contenga un certificado firmado digitalmente que demuestra el cumplimiento normativo de Microsoft Azure, Dynamics 365 y otros servicios en línea conforme al marco ISO22301, además de la información necesaria para interpretar y presentar el certificado.

Al descargar uno de estos informes de certificación, se le muestra el siguiente aviso de privacidad:

Al descargar este archivo, da su consentimiento a Microsoft para almacenar el usuario actual y las suscripciones seleccionadas en el momento de la descarga. Estos datos se usan para notificarle si hay cambios o actualizaciones en el informe de auditoría descargado. Microsoft y las empresas de auditoría que generan la certificación o los informes usan estos datos solo cuando se requiere una notificación.

Exportación continua del estado de cumplimiento

Si desea hacer un seguimiento del estado de cumplimiento con otras herramientas de supervisión de su entorno, Defender for Cloud dispone de un mecanismo de exportación que facilita esta tarea. Configure la exportación continua para enviar una selección de los datos a una instancia de Azure Event Hubs o un área de trabajo de Log Analytics. Obtenga más información en Exportación continua de datos de Defender for Cloud.

Utilice los datos de exportación continua con una instancia de Azure Event Hubs o un área de trabajo de Log Analytics:

  1. Exporte todos los datos de cumplimiento normativo en un flujo continuo:

    Screenshot that shows how to continuously export a stream of regulatory compliance data.

  2. Exporte instantáneas semanales de los datos de cumplimiento normativo:

    Screenshot that shows how to continuously export a weekly snapshot of regulatory compliance data.

Sugerencia

También puede exportar manualmente informes relativos a un único momento en el tiempo directamente desde el panel de cumplimiento normativo. Genere estos informes PDF/CSV o los informes de certificación de Azure y Dynamics con las opciones de la barra de herramientas Descargar informe o Informes de auditoría.

Desencadenamiento de un flujo de trabajo cuando cambian las evaluaciones

La característica de automatización de flujos de trabajo de Defender for Cloud puede desencadenar Logic Apps cada vez que una de las evaluaciones de cumplimiento normativo cambie el estado.

Por ejemplo, si quiere que Defender for Cloud envíe un correo electrónico a un usuario específico cuando no se supere una valoración de cumplimiento, Primero, debe crear la aplicación lógica (mediante Azure Logic Apps) y, después, configurar el desencadenador en una nueva automatización de flujos de trabajo, tal y como se explica en Automatización de respuestas a desencadenadores de Defender for Cloud.

Screenshot that shows how to use changes to regulatory compliance assessments to trigger a workflow automation.

Pasos siguientes

Para más información, consulte los artículos relacionados: