Directivas de seguridad de Azure supervisadas por Security CenterAzure security policies monitored by Security Center

En este artículo se proporciona una lista de definiciones e iniciativas de Azure Policy que puede supervisar en Azure Security Center.This article provides a list of Azure Policy definitions and initiatives that you can monitor in Azure Security Center. Para más información acerca de las directivas de seguridad, consulte Uso de directivas de seguridad.For more information about security policies, see Working with security policies.

Definiciones de directiva integradasBuilt-in policy definitions

Para comprender las directivas integradas que Security Center supervisa, consulte la tabla siguiente:To learn about the built-in policies that are monitored by Security Center, see the following table:

NombreName DescripciónDescription EfectosEffect(s) VersiónVersion GitHubGitHub
[Versión preliminar] La evaluación de vulnerabilidad debe estar habilitada en Virtual Machines.[Preview] Vulnerability Assessment should be enabled on Virtual Machines Supervisa las vulnerabilidades que detecta la evaluación de vulnerabilidad de Azure Security Center en Virtual Machines.Monitors vulnerabilities detected by Azure Security Center Vulnerability Assessment on Virtual Machines AuditIfNotExists, DisabledAuditIfNotExists, Disabled 1.0.0-preview1.0.0-preview VínculoLink
[Versión preliminar]: Los intervalos IP autorizados deben definirse en los servicios de Kubernetes.[Preview]: Authorized IP ranges should be defined on Kubernetes Services Restrinja el acceso a la API de administración de servicios de Kubernetes mediante la concesión de acceso de API solo a direcciones IP en intervalos específicos.Restrict access to the Kubernetes Service Management API by granting API access only to IP addresses in specific ranges. Se recomienda limitar el acceso a los intervalos IP autorizados para garantizar que solo las aplicaciones de las redes permitidas puedan acceder al clúster.It is recommended to limit access to authorized IP ranges to ensure that only applications from allowed networks can access the cluster. Audit, DisabledAudit, Disabled 1.0.0-preview1.0.0-preview VínculoLink
[Versión preliminar]: El reenvío IP en la máquina virtual debe estar deshabilitado.[Preview]: IP Forwarding on your virtual machine should be disabled Habilitar el reenvío de IP en la NIC de la máquina virtual permite que la máquina reciba tráfico dirigido a otros destinos.Enabling IP forwarding on a virtual machine's NIC allows the machine to receive traffic addressed to other destinations. El reenvío de IP rara vez es necesario (por ejemplo, cuando se usa la máquina virtual como una aplicación virtual de red) y, por lo tanto, el equipo de seguridad de red debe revisarlo.IP forwarding is rarely required (e.g., when using the VM as a network virtual appliance), and therefore, this should be reviewed by the network security team. AuditIfNotExists, DisabledAuditIfNotExists, Disabled 1.0.0-preview1.0.0-preview VínculoLink
[Versión preliminar]: Los servicios de Kubernetes deben actualizarse a una versión de Kubernetes no vulnerable.[Preview]: Kubernetes Services should be upgraded to a non-vulnerable Kubernetes version Actualice el clúster de servicio de Kubernetes a una versión de Kubernetes posterior para protegerse frente a vulnerabilidades conocidas en la versión actual de Kubernetes.Upgrade your Kubernetes service cluster to a later Kubernetes version to protect against known vulnerabilities in your current Kubernetes version. La vulnerabilidad CVE-2019-9946 se ha revisado en las versiones de Kubernetes 1.11.9+, 1.12.7+, 1.13.5+ y 1.14.0+Vulnerability CVE-2019-9946 has been patched in Kubernetes versions 1.11.9+, 1.12.7+, 1.13.5+, and 1.14.0+ Audit, DisabledAudit, Disabled 1.0.0-preview1.0.0-preview VínculoLink
[Versión preliminar]: Las directivas de seguridad de pod deben definirse en los servicios de Kubernetes.[Preview]: Pod Security Policies should be defined on Kubernetes Services Defina las directivas de seguridad de pod para reducir el vector de ataque mediante la eliminación de privilegios de aplicación innecesarios.Define Pod Security Policies to reduce the attack vector by removing unnecessary application privileges. Se recomienda configurar las directivas de seguridad de pod para permitir que los pods accedan únicamente a aquellos recursos para los que tengan permiso de acceso.It is recommended to configure Pod Security Policies to only allow pods to access the resources which they have permissions to access. Audit, DisabledAudit, Disabled 1.0.0-preview1.0.0-preview VínculoLink
[Versión preliminar]: Se debe usar el control de acceso basado en rol (RBAC) en los servicios de Kubernetes.[Preview]: Role-Based Access Control (RBAC) should be used on Kubernetes Services Para proporcionar un filtrado detallado de las acciones que los usuarios pueden realizar, use el control de acceso basado en rol (RBAC) para administrar los permisos en los clústeres de Kubernetes Service y configurar las directivas de autorización correspondientes.To provide granular filtering on the actions that users can perform, use Role-Based Access Control (RBAC) to manage permissions in Kubernetes Service Clusters and configure relevant authorization policies. Audit, DisabledAudit, Disabled 1.0.0-preview1.0.0-preview VínculoLink
Debe designar un máximo de tres propietarios para la suscripciónA maximum of 3 owners should be designated for your subscription Se recomienda que designe a un máximo de tres propietarios de suscripción para reducir el riesgo de una brecha de seguridad por parte de un propietario en peligro.It is recommended to designate up to 3 subscription owners in order to reduce the potential for breach by a compromised owner. AuditIfNotExists, DisabledAuditIfNotExists, Disabled 1.0.01.0.0 VínculoLink
Es necesario proporcionar una dirección de correo electrónico de contacto de seguridad para la suscripción.A security contact email address should be provided for your subscription Permite escribir una dirección de correo electrónico para recibir notificaciones cuando Azure Security Center detecta recursos comprometidos.Enter an email address to receive notifications when Azure Security Center detects compromised resources AuditIfNotExists, DisabledAuditIfNotExists, Disabled 1.0.01.0.0 VínculoLink
Es necesario proporcionar un número de teléfono de contacto de seguridad para la suscripción.A security contact phone number should be provided for your subscription Permite escribir un número de teléfono para recibir notificaciones cuando Azure Security Center detecta recursos comprometidos.Enter a phone number to receive notifications when Azure Security Center detects compromised resources AuditIfNotExists, DisabledAuditIfNotExists, Disabled 1.0.01.0.0 VínculoLink
El acceso a través del punto de conexión orientado a Internet debe estar restringido.Access through Internet facing endpoint should be restricted Azure Security Center identificó que algunas de las reglas de entrada de sus grupos de seguridad de red son demasiado permisivas.Azure Security center has identified some of your Network Security Groups' inbound rules to be too permissive. Las reglas de entrada no deben permitir el acceso desde los intervalos "Cualquiera" o "Internet".Inbound rules should not allow access from 'Any' or 'Internet' ranges. Esto podría permitir que los atacantes pudieran acceder fácilmente a sus recursos.This can potentially enable attackers to easily target your resources. AuditIfNotExists, DisabledAuditIfNotExists, Disabled 1.0.01.0.0 VínculoLink
Deben habilitarse los controles de aplicaciones adaptables en las máquinas virtualesAdaptive Application Controls should be enabled on virtual machines Azure Security Center supervisará la posible inclusión de aplicaciones en la lista de permitidos.Possible Application Whitelist configuration will be monitored by Azure Security Center AuditIfNotExists, DisabledAuditIfNotExists, Disabled 1.0.01.0.0 VínculoLink
Las recomendaciones de protección de red adaptable se deben aplicar en máquinas virtuales accesibles desde InternetAdaptive Network Hardening recommendations should be applied on internet facing virtual machines Azure Security Center analiza los patrones de tráfico de máquinas virtuales orientadas a Internet y proporciona recomendaciones de reglas de grupo de seguridad de red que reducen la superficie de ataque potencial.Azure Security Center analyzes the traffic patterns of Internet facing virtual machines and provides Network Security Group rule recommendations that reduce the potential attack surface AuditIfNotExists, DisabledAuditIfNotExists, Disabled 1.0.01.0.0 VínculoLink
El aprovisionamiento automático del agente de supervisión de log Analytics debe estar habilitado en su suscripción.Automatic provisioning of the Log Analytics monitoring agent should be enabled on your subscription Permite habilitar el aprovisionamiento automático del agente de supervisión de Log Analytics para recopilar datos de seguridad.Enable automatic provisioning of the Log Analytics monitoring agent in order to collect security data AuditIfNotExists, DisabledAuditIfNotExists, Disabled 1.0.01.0.0 VínculoLink
Se debe habilitar DDoS Protection estándarDDoS Protection Standard should be enabled El estándar de protección DDoS debe estar habilitado en todas las redes virtuales que tengan una subred que forme parte de una instancia de Application Gateway con una dirección IP pública.DDoS protection standard should be enabled for all virtual networks with a subnet that is part of an application gateway with a public IP. AuditIfNotExists, DisabledAuditIfNotExists, Disabled 1.0.01.0.0 VínculoLink
Las cuentas en desuso deben quitarse de la suscripciónDeprecated accounts should be removed from your subscription Convendría eliminar las cuentas en desuso de las suscripciones.Deprecated accounts should be removed from your subscriptions. Las cuentas en desuso son cuentas en las que se ha bloqueado el inicio de sesión.Deprecated accounts are accounts that have been blocked from signing in. AuditIfNotExists, DisabledAuditIfNotExists, Disabled 1.0.01.0.0 VínculoLink
Las cuentas en desuso con permisos de propietario deben quitarse de la suscripciónDeprecated accounts with owner permissions should be removed from your subscription Quitar de la suscripción las cuentas en desuso con permisos de propietarioDeprecated accounts with owner permissions should be removed from your subscription. Las cuentas en desuso son cuentas en las que se ha bloqueado el inicio de sesión.Deprecated accounts are accounts that have been blocked from signing in. AuditIfNotExists, DisabledAuditIfNotExists, Disabled 1.0.01.0.0 VínculoLink
El cifrado de discos debe aplicarse en máquinas virtualesDisk encryption should be applied on virtual machines Azure Security Center supervisará las VM sin el cifrado de disco habilitado como recomendaciones.VMs without an enabled disk encryption will be monitored by Azure Security Center as recommendations AuditIfNotExists, DisabledAuditIfNotExists, Disabled 1.0.01.0.0 VínculoLink
La opción para enviar notificaciones por correo electrónico para alertas de gravedad alta debe estar habilitada.Email notification for high severity alerts should be enabled Habilite la opción para enviar alertas de seguridad por correo electrónico al contacto de seguridad para que reciba mensajes de alerta de seguridad de Microsoft.Enable emailing security alerts to the security contact, in order to have them receive security alert emails from Microsoft. Esto garantiza que las personas adecuadas tengan conocimiento de los posibles problemas de seguridad y puedan mitigar los riesgos.This ensures that the right people are aware of any potential security issues and are able to mitigate the risks AuditIfNotExists, DisabledAuditIfNotExists, Disabled 1.0.01.0.0 VínculoLink
La opción para enviar notificaciones por correo electrónico al propietario de la suscripción en relación a alertas de gravedad alta debe estar habilitada.Email notification to subscription owner for high severity alerts should be enabled Habilite la opción para enviar alertas de seguridad por correo electrónico al propietario de la suscripción para que reciba mensajes de alerta de seguridad de Microsoft.Enable emailing security alerts to the subscription owner, in order to have them receive security alert emails from Microsoft. Esto garantiza que el propietario tenga conocimiento de los posibles problemas de seguridad y pueda mitigar los riesgos.This ensures that they are aware of any potential security issues and can mitigate the risk in a timely fashion AuditIfNotExists, DisabledAuditIfNotExists, Disabled 1.0.01.0.0 VínculoLink
Habilitar Azure Security Center en la suscripciónEnable Azure Security Center on your subscription Identifica las suscripciones existentes que no supervisa Azure Security Center (ASC).Identifies existing subscriptions that are not monitored by Azure Security Center (ASC). Las suscripciones que no supervisa ASC se registrarán en el plan de tarifa gratuito.Subscriptions not monitored by ASC will be registered to the free pricing tier. Las suscripciones que ya supervisa ASC (gratuito o estándar) se considerarán conformes.Subscriptions already monitored by ASC (free or standard), will be considered compliant. Para registrar las suscripciones recién creadas, abra la pestaña Conformidad, seleccione la asignación no conforme pertinente y cree una tarea de corrección.To register newly created subscriptions, open the compliance tab, select the relevant non-compliant assignment and create a remediation task. Repita este paso cuando tenga una o varias suscripciones nuevas que quiera supervisar con Security Center.Repeat this step when you have one or more new subscriptions you want to monitor with Security Center. deployIfNotExistsdeployIfNotExists 1.0.01.0.0 VínculoLink
La solución de protección del punto de conexión debe instalarse en las máquinas virtualesEndpoint protection solution should be installed on virtual machine scale sets Audite la existencia y el estado de una solución de protección de puntos de conexión en los conjuntos de escalado de máquinas virtuales para protegerlos frente a amenazas y vulnerabilidades.Audit the existence and health of an endpoint protection solution on your virtual machines scale sets, to protect them from threats and vulnerabilities. AuditIfNotExists, DisabledAuditIfNotExists, Disabled 1.0.01.0.0 VínculoLink
Las cuentas externas con permisos de propietario deben quitarse de la suscripciónExternal accounts with owner permissions should be removed from your subscription Las cuentas externas con permisos de propietario deben quitarse de la suscripción a fin de evitar el acceso no supervisado.External accounts with owner permissions should be removed from your subscription in order to prevent unmonitored access. AuditIfNotExists, DisabledAuditIfNotExists, Disabled 1.0.01.0.0 VínculoLink
Las cuentas externas con permisos de lectura deben quitarse de la suscripciónExternal accounts with read permissions should be removed from your subscription Las cuentas externas con privilegios de lectura deben quitarse de la suscripción a fin de evitar el acceso no supervisado.External accounts with read privileges should be removed from your subscription in order to prevent unmonitored access. AuditIfNotExists, DisabledAuditIfNotExists, Disabled 1.0.01.0.0 VínculoLink
Las cuentas externas con permisos de escritura deben quitarse de la suscripciónExternal accounts with write permissions should be removed from your subscription Las cuentas externas con privilegios de escritura deben quitarse de la suscripción a fin de evitar el acceso no supervisado.External accounts with write privileges should be removed from your subscription in order to prevent unmonitored access. AuditIfNotExists, DisabledAuditIfNotExists, Disabled 1.0.01.0.0 VínculoLink
Las máquinas virtuales accesibles desde Internet deben estar protegidas con grupos de seguridad de redInternet-facing virtual machines should be protected with Network Security Groups Proteja su VM de amenazas potenciales limitando el acceso a la misma con un grupo de seguridad de red (NSG).Protect your VM from potential threats by restricting access to it with a Network Security Group (NSG). Para obtener más información acerca de cómo controlar el tráfico con los NSG, visite https://aka.ms/nsg-doc.To learn more about controlling traffic with NSGs, visit https://aka.ms/nsg-doc AuditIfNotExists, DisabledAuditIfNotExists, Disabled 1.0.01.0.0 VínculoLink
El control de acceso a red Just-in-Time se debe aplicar a las máquinas virtuales.Just-In-Time network access control should be applied on virtual machines Azure Security Center supervisará el posible acceso de red Just-In-Time (JIT) como recomendaciones.Possible network Just In Time (JIT) access will be monitored by Azure Security Center as recommendations AuditIfNotExists, DisabledAuditIfNotExists, Disabled 1.0.01.0.0 VínculoLink
Se deben cerrar los puertos de administración en las máquinas virtualesManagement ports should be closed on your virtual machines Los puertos de administración remota abiertos exponen la máquina virtual a un alto nivel de riesgo de recibir ataques basados en Internet.Open remote management ports are exposing your VM to a high level of risk from Internet-based attacks. Estos ataques intentan averiguar las credenciales por medio de fuerza bruta a fin de obtener acceso de administrador a la máquinaThese attacks attempt to brute force credentials to gain admin access to the machine. AuditIfNotExists, DisabledAuditIfNotExists, Disabled 1.0.01.0.0 VínculoLink
MFA debe estar habilitado en las cuentas con permisos de escritura de la suscripción.MFA should be enabled accounts with write permissions on your subscription Multi-Factor Authentication (MFA) debe estar habilitada para todas las cuentas de la suscripción que tengan permisos de escritura, a fin de evitar una brecha de seguridad en las cuentas o los recursos.Multi-Factor Authentication (MFA) should be enabled for all subscription accounts with write privileges to prevent a breach of accounts or resources. AuditIfNotExists, DisabledAuditIfNotExists, Disabled 1.0.01.0.0 VínculoLink
MFA debe estar habilitada en las cuentas con permisos de propietario en la suscripciónMFA should be enabled on accounts with owner permissions on your subscription Multi-Factor Authentication (MFA) debe estar habilitada para todas las cuentas de la suscripción que tengan permisos de propietario, a fin de evitar una brecha de seguridad en las cuentas o los recursos.Multi-Factor Authentication (MFA) should be enabled for all subscription accounts with owner permissions to prevent a breach of accounts or resources. AuditIfNotExists, DisabledAuditIfNotExists, Disabled 1.0.01.0.0 VínculoLink
MFA debe estar habilitada en las cuentas con permisos de lectura en la suscripciónMFA should be enabled on accounts with read permissions on your subscription Multi-Factor Authentication (MFA) debe estar habilitada para todas las cuentas de la suscripción que tengan permisos de lectura, a fin de evitar una brecha de seguridad en las cuentas o los recursos.Multi-Factor Authentication (MFA) should be enabled for all subscription accounts with read privileges to prevent a breach of accounts or resources. AuditIfNotExists, DisabledAuditIfNotExists, Disabled 1.0.01.0.0 VínculoLink
Supervisar la falta de Endpoint Protection en Azure Security CenterMonitor missing Endpoint Protection in Azure Security Center Azure Security Center supervisará los servidores sin un agente de Endpoint Protection instalado como recomendaciones.Servers without an installed Endpoint Protection agent will be monitored by Azure Security Center as recommendations AuditIfNotExists, DisabledAuditIfNotExists, Disabled 1.0.01.0.0 VínculoLink
Es necesario seleccionar el plan de tarifa estándar de Security Center.Security Center standard pricing tier should be selected El plan de tarifa estándar le permite detectar amenazas en redes y máquinas virtuales, lo que proporciona inteligencia sobre amenazas, detección de anomalías y análisis de comportamiento en Azure Security Center.The standard pricing tier enables threat detection for networks and virtual machines, providing threat intelligence, anomaly detection, and behavior analytics in Azure Security Center Audit, DisabledAudit, Disabled 1.0.01.0.0 VínculoLink
Los datos confidenciales de las bases de datos SQL deben clasificarse.Sensitive data in your SQL databases should be classified Azure Security Center supervisa los resultados del examen de clasificación y detección de los datos de las bases de datos SQL y proporciona recomendaciones para clasificar los datos confidenciales en las bases de datos y así poder mejorar los procesos de supervisión y la seguridad.Azure Security Center monitors the data discovery and classification scan results for your SQL databases and provides recommendations to classify the sensitive data in your databases for better monitoring and security AuditIfNotExists, DisabledAuditIfNotExists, Disabled 1.0.0-preview1.0.0-preview VínculoLink
Las subredes deben estar asociadas con un grupo de seguridad de red.Subnets should be associated with a Network Security Group Proteja la subred de posibles amenazas mediante la restricción del acceso con un grupo de seguridad de red (NSG).Protect your subnet from potential threats by restricting access to it with a Network Security Group (NSG). Estos grupos contienen las reglas de la lista de control de acceso (ACL) que permiten o deniegan el tráfico de red a la subred.NSGs contain a list of Access Control List (ACL) rules that allow or deny network traffic to your subnet. AuditIfNotExists, DisabledAuditIfNotExists, Disabled 1.0.01.0.0 VínculoLink
Se deben instalar las actualizaciones del sistema en los conjuntos de escalado de máquinas virtualesSystem updates on virtual machine scale sets should be installed Audite si falta alguna actualización de seguridad del sistema o actualización crítica que deba instalarse para garantizar que los conjuntos de escalado de máquinas virtuales Windows y Linux sean seguros.Audit whether there are any missing system security updates and critical updates that should be installed to ensure that your Windows and Linux virtual machine scale sets are secure. AuditIfNotExists, DisabledAuditIfNotExists, Disabled 1.0.01.0.0 VínculoLink
Se deben instalar actualizaciones del sistema en las máquinasSystem updates should be installed on your machines Azure Security Center supervisará las actualizaciones del sistema de seguridad que faltan en los servidores como recomendaciones.Missing security system updates on your servers will be monitored by Azure Security Center as recommendations AuditIfNotExists, DisabledAuditIfNotExists, Disabled 1.0.01.0.0 VínculoLink
Debe haber más de un propietario asignado a la suscripciónThere should be more than one owner assigned to your subscription Se recomienda que designe a más de un propietario de la suscripción para tener redundancia de acceso de administrador.It is recommended to designate more than one subscription owner in order to have administrator access redundancy. AuditIfNotExists, DisabledAuditIfNotExists, Disabled 1.0.01.0.0 VínculoLink
Las vulnerabilidades en las configuraciones de seguridad de contenedor deben corregirseVulnerabilities in container security configurations should be remediated Audite las vulnerabilidades en la configuración de seguridad de las máquinas con Docker instalado y muéstrelas como recomendaciones en Azure Security Center.Audit vulnerabilities in security configuration on machines with Docker installed and display as recommendations in Azure Security Center. AuditIfNotExists, DisabledAuditIfNotExists, Disabled 1.0.01.0.0 VínculoLink
Se deben corregir las vulnerabilidades en la configuración de seguridad en las máquinasVulnerabilities in security configuration on your machines should be remediated Azure Security Center supervisará los servidores que no cumplan la línea de base configurada como recomendaciones.Servers which do not satisfy the configured baseline will be monitored by Azure Security Center as recommendations AuditIfNotExists, DisabledAuditIfNotExists, Disabled 1.0.01.0.0 VínculoLink
Se deben corregir las vulnerabilidades en la configuración de seguridad de los conjuntos de escalado de máquinas virtualesVulnerabilities in security configuration on your virtual machine scale sets should be remediated Audite las vulnerabilidades del sistema operativo en los conjuntos de escalado de máquinas virtuales para protegerlos frente a ataques.Audit the OS vulnerabilities on your virtual machine scale sets to protect them from attacks. AuditIfNotExists, DisabledAuditIfNotExists, Disabled 1.0.01.0.0 VínculoLink
Se deben corregir las vulnerabilidades de las bases de datos SQLVulnerabilities on your SQL databases should be remediated Supervise los resultados del análisis de evaluación de puntos vulnerables y las recomendaciones para solucionar los de las bases de datos.Monitor Vulnerability Assessment scan results and recommendations for how to remediate database vulnerabilities. AuditIfNotExists, DisabledAuditIfNotExists, Disabled 1.0.01.0.0 VínculoLink
Se deben corregir las vulnerabilidades mediante una solución de evaluación de vulnerabilidadesVulnerabilities should be remediated by a Vulnerability Assessment solution Supervisa los puntos vulnerables detectados por la solución de evaluación de puntos vulnerables y las máquinas virtuales sin esta solución en Azure Security Center como recomendaciones.Monitors vulnerabilities detected by Vulnerability Assessment solution and VMs without a Vulnerability Assessment solution in Azure Security Center as recommendations. AuditIfNotExists, DisabledAuditIfNotExists, Disabled 1.0.01.0.0 VínculoLink

Iniciativas de directiva integradasBuilt-in policy initiatives

Para comprender las directivas integradas que Security Center supervisa, consulte la tabla siguiente:To learn about the built-in initiatives that are monitored by Security Center, see the following table:

NombreName DescripciónDescription DirectivasPolicies VersiónVersion
[Versión preliminar]: Habilitar el conjunto de aplicaciones de protección de datos[Preview]: Enable Data Protection Suite Habilita la protección de datos de los servidores SQL Server.Enable data protection for SQL servers. El Nivel Estándar de Azure Security Center asigna automáticamente esta iniciativa.This initiative is assigned automatically by Azure Security Center Standard Tier. 11 1.0.0-preview1.0.0-preview
Habilitar la supervisión en Azure Security CenterEnable Monitoring in Azure Security Center Supervisa todas las recomendaciones de seguridad disponibles en Azure Security Center.Monitor all the available security recommendations in Azure Security Center. Se trata de la directiva predeterminada de Azure Security Center.This is the default policy for Azure Security Center. 9696 2.0.12.0.1

Pasos siguientesNext steps

En este artículo, ha aprendido sobre las definiciones de directiva de seguridad de Azure Policy en Security Center.In this article, you learned about Azure Policy security policy definitions in Security Center. Para más información, consulte los siguientes artículos:To learn more, see the following articles.