Detección de amenazas avanzada de AzureAzure advanced threat detection

Azure ofrece funcionalidades de detección de amenazas avanzada integradas en servicios como Azure Active Directory (Azure AD), Azure Operations Management Suite (OMS) y Azure Security Center.Azure offers built in advanced threat detection functionality through services such as Azure Active Directory (Azure AD), Azure Operations Management Suite (OMS), and Azure Security Center. Esta colección de servicios de seguridad y funcionalidades ofrece una manera sencilla y rápida de comprender lo que ocurre en las implementaciones de Azure.This collection of security services and capabilities provides a simple and fast way to understand what is happening within your Azure deployments.

Azure proporciona una amplia gama de opciones para configurar y personalizar la seguridad para que cumpla los requisitos de las implementaciones de la aplicación.Azure provides a wide array of options to configure and customize security to meet the requirements of your app deployments. En este artículo se explica cómo cumplir estos requisitos.This article discusses how to meet these requirements.

Azure Active Directory Identity ProtectionAzure Active Directory Identity Protection

Azure AD Identity Protection es una característica de la edición Azure Active Directory Premium P2 que proporciona información general de los eventos de riesgo y las posibles vulnerabilidades que pueden afectar a las identidades de la organización.Azure AD Identity Protection is an Azure Active Directory Premium P2 edition feature that provides an overview of the risk events and potential vulnerabilities that can affect your organization’s identities. Identity Protection usa las funcionalidades de detección de anomalías existentes de Azure AD que están disponibles mediante informes de actividad anómala de Azure AD e introduce nuevos tipos de eventos de riesgo que pueden detectar anomalías en tiempo real.Identity Protection uses existing Azure AD anomaly-detection capabilities that are available through Azure AD Anomalous Activity Reports, and introduces new risk event types that can detect real time anomalies.

Diagrama de Azure AD Identity Protection

En Identity Protection se usan algoritmos de aprendizaje automático adaptables y heurísticos para detectar anomalías y eventos de riesgo que es posible que indiquen que una identidad se ha puesto en peligro.Identity Protection uses adaptive machine learning algorithms and heuristics to detect anomalies and risk events that might indicate that an identity has been compromised. Con estos datos, Identity Protection genera informes y alertas que permiten investigar estos eventos de riesgo y tomar las acciones de corrección o mitigación adecuadas.Using this data, Identity Protection generates reports and alerts so that you can investigate these risk events and take appropriate remediation or mitigation action.

Azure Active Directory Identity Protection es más que una herramienta de supervisión e informes.Azure Active Directory Identity Protection is more than a monitoring and reporting tool. En función de los eventos de riesgo, Identity Protection calcula un nivel de riesgo del usuario para cada usuario, para que pueda configurar las directivas basadas en riesgos con el fin de proteger de forma automática las identidades de la organización.Based on risk events, Identity Protection calculates a user risk level for each user, so that you can configure risk-based policies to automatically protect the identities of your organization.

Estas directivas basadas en riesgos, además de otros controles de acceso condicional proporcionados por Azure Active Directory y EMS, pueden bloquear automáticamente u ofrecer acciones de corrección adaptables que incluyen el restablecimiento de contraseñas y el cumplimiento de la autenticación multifactor.These risk-based policies, in addition to other conditional access controls that are provided by Azure Active Directory and EMS, can automatically block or offer adaptive remediation actions that include password resets and multi-factor authentication enforcement.

Funcionalidades de Identity ProtectionIdentity Protection capabilities

Azure Active Directory Identity Protection es más que una herramienta de supervisión e informes.Azure Active Directory Identity Protection is more than a monitoring and reporting tool. Para proteger las identidades de la organización, puede configurar directivas basadas en riesgos que respondan automáticamente a problemas detectados si se alcanza un nivel de riesgo específico.To protect your organization's identities, you can configure risk-based policies that automatically respond to detected issues when a specified risk level has been reached. Estas directivas, además de otros controles de acceso condicional proporcionados por Azure Active Directory y EMS, pueden bloquear automáticamente o iniciar acciones de corrección adaptables que incluyen el restablecimiento de contraseñas y el cumplimiento de la autenticación multifactor.These policies, in addition to other conditional access controls provided by Azure Active Directory and EMS, can either automatically block or initiate adaptive remediation actions including password resets and multi-factor authentication enforcement.

Ejemplos de algunas de las maneras en que Azure Identity Protection puede ayudar a proteger las cuentas e identidades:Examples of some of the ways that Azure Identity Protection can help secure your accounts and identities include:

Detección de eventos de riesgo y cuentas peligrosasDetecting risk events and risky accounts

  • Detectar seis tipos de eventos de riesgo mediante el aprendizaje automático y las reglas heurísticas.Detect six risk event types using machine learning and heuristic rules.
  • Calcular los niveles de riesgo del usuario.Calculate user risk levels.
  • Proporcionar recomendaciones personalizadas para mejorar la posición de seguridad general al resaltar los puntos vulnerables.Provide custom recommendations to improve overall security posture by highlighting vulnerabilities.

Investigación de los eventos de riesgoInvestigating risk events

  • Enviar notificaciones de los eventos de riesgo.Send notifications for risk events.
  • Investigar los eventos de riesgo con información pertinente y contextual.Investigate risk events using relevant and contextual information.
  • Proporcionar los flujos de trabajo básicos para realizar un seguimiento de las investigaciones.Provide basic workflows to track investigations.
  • Proporcionar un acceso fácil a las acciones de corrección, como el restablecimiento de contraseñas.Provide easy access to remediation actions such as password reset.

Directivas de acceso condicional basadas en riesgosRisk-based, conditional-access policies

  • Mitigar los inicios de sesión peligrosos mediante el bloqueo de los inicios de sesión o requerir desafíos de la autenticación multifactor.Mitigate risky sign-ins by blocking sign-ins or requiring multi-factor authentication challenges.
  • Proteger o bloquear cuentas de usuario peligrosas.Block or secure risky user accounts.
  • Exigir a los usuarios que se registren en la autenticación multifactor.Require users to register for multi-factor authentication.

Administración de identidades con privilegios de Azure ADAzure AD Privileged Identity Management

Con Azure Active Directory Privileged Identity Management (PIM), puede administrar, controlar y supervisar el acceso dentro de la organización.With Azure Active Directory Privileged Identity Management (PIM), you can manage, control, and monitor access within your organization. Esta característica incluye el acceso a los recursos de Azure AD y otros servicios en línea de Microsoft, como Office 365 o Microsoft Intune.This feature includes access to resources in Azure AD and other Microsoft online services, such as Office 365 or Microsoft Intune.

Diagrama de Azure AD Privileged Identity Management

PIM ayuda a:PIM helps you:

  • Obtener alertas e informes sobre los administradores de Azure AD y el acceso administrativo Just-In-Time (JIT) a los servicios en línea de Microsoft, como Office 365 e Intune.Get alerts and reports about Azure AD administrators and just-in-time (JIT) administrative access to Microsoft online services, such as Office 365 and Intune.

  • Obtener informes sobre el historial de acceso de administrador y los cambios en las asignaciones de administrador.Get reports about administrator access history and changes in administrator assignments.

  • Obtener alertas sobre el acceso a un rol con privilegios.Get alerts about access to a privileged role.

Operations Management SuiteOperations Management Suite

Operations Management Suite (OMS) es una solución de administración de TI basada en la nube de Microsoft que ayuda a administrar y proteger infraestructuras locales y en la nube.Operations Management Suite (OMS) is a Microsoft cloud-based IT management solution that helps you manage and protect your on-premises and cloud infrastructure. Puesto que OMS se implementa como un servicio basado en la nube, puede hacer que funcione rápidamente con una inversión mínima en servicios de infraestructura.Because OMS is implemented as a cloud-based service, you can have it up and running quickly with minimal investment in infrastructure services. Las características nuevas de seguridad se entregan de forma automática, lo que supone un ahorro en costos permanentes de mantenimiento y actualización.New security features are delivered automatically, saving ongoing maintenance and upgrade costs.

Además de proporcionar servicios valiosos por sí mismo, OMS se puede integrar con componentes de System Center, como System Center Operations Manager para ampliar las inversiones existentes en la administración de la seguridad en la nube.In addition to providing valuable services on its own, OMS can integrate with System Center components, such as System Center Operations Manager, to extend your existing security management investments into the cloud. System Center y OMS pueden trabajar juntos para proporcionar una experiencia de administración totalmente híbrida.System Center and OMS can work together to provide a full hybrid management experience.

Seguridad integral y postura de cumplimientoHolistic security and compliance posture

En el panel Seguridad y auditoría de OMS se proporciona una vista completa de la postura de seguridad de TI de la organización, con consultas de búsqueda integradas para problemas importantes que requieren su atención.The OMS Security and Audit dashboard provides a comprehensive view into your organization’s IT security posture, with built-in search queries for notable issues that require your attention. El panel Seguridad y auditoría es la pantalla principal para todo lo relacionado con la seguridad en OMS.The Security and Audit dashboard is the home screen for everything related to security in OMS. Proporciona información detallada sobre el estado de seguridad de los equipos.It provides high-level insight into the security state of your computers. También se pueden ver todos los eventos de las últimas 24 horas, siete días o cualquier otro intervalo personalizado.You can also view all events from the past 24 hours, 7 days, or any other custom timeframe.

Los paneles de OMS ayudan a comprender de forma rápida y sencilla la postura de seguridad global de cualquier entorno, todo ello en el contexto de las operaciones de TI, por ejemplo: la evaluación de actualizaciones de software, la evaluación de antimalware y las líneas básicas de configuración.OMS dashboards help you quickly and easily understand the overall security posture of any environment, all within the context of IT Operations, including software update assessment, antimalware assessment, and configuration baselines. Los datos del registro de seguridad son accesibles en todo momento para simplificar los procesos de auditoría de seguridad y cumplimiento.Security log data is readily accessible to streamline the security and compliance audit processes.

El panel Seguridad y auditoría de OMS

El panel Seguridad y auditoría de OMS se organiza en cuatro categorías principales:The OMS Security and Audit dashboard is organized into four major categories:

  • Dominios de seguridad: permite explorar más los registros de seguridad a lo largo del tiempo, acceder a evaluaciones de malware, actualizar las evaluaciones, ver información de seguridad de la red, identidad y acceso, ver equipos con eventos de seguridad y acceder rápidamente al panel Azure Security Center.Security Domains: Lets you further explore security records over time; access malware assessments; update assessments; view network security, identity, and access information; view computers with security events; and quickly access the Azure Security Center dashboard.

  • Problemas importantes: permite identificar de forma rápida la cantidad de problemas activos y su gravedad.Notable Issues: Lets you quickly identify the number of active issues and the severity of the issues.

  • Detecciones (versión preliminar): permite identificar los patrones de ataque mediante la visualización de alertas de seguridad a medida que se producen contra sus recursos.Detections (Preview): Lets you identify attack patterns by displaying security alerts as they occur against your resources.

  • Inteligencia frente a amenazas: permite identificar los patrones de ataque mediante la visualización del número total de servidores con tráfico IP malintencionado de salida, el tipo de amenaza malintencionada y un mapa de las ubicaciones IP.Threat Intelligence: Lets you identify attack patterns by displaying the total number of servers with outbound malicious IP traffic, the malicious threat type, and a map of the IPs locations.

  • Consultas comunes de seguridad: enumera las consultas de seguridad más comunes que se pueden usar para supervisar el entorno.Common security queries: Lists the most common security queries that you can use to monitor your environment. Al seleccionar cualquier consulta, se abre el panel de búsqueda y se muestran los resultados para esa consulta.When you select any query, the Search pane opens and displays the results for that query.

Insight y AnalyticsInsight and analytics

En el centro de Log Analytics se encuentra el repositorio de OMS, que está hospedado en Azure.At the center of Log Analytics is the OMS repository, which is hosted by Azure.

Diagrama de Insight y Analytics

Los datos se recopilan en el repositorio desde los orígenes conectados mediante la configuración de orígenes de datos y la incorporación de soluciones a la suscripción.You collect data into the repository from connected sources by configuring data sources and adding solutions to your subscription.

<span data-ttu-id="a8ff7-168">El panel de OMS</span><span class="sxs-lookup"><span data-stu-id="a8ff7-168">The OMS dashboard</span></span>

Cada uno de los orígenes de datos y soluciones crea tipos de registros distintos con su propio conjunto de propiedades, pero se pueden seguir analizando de forma conjunta en consultas al repositorio.Data sources and solutions each create separate record types with their own set of properties, but you can still analyze them together in queries to the repository. Se pueden usar las mismas herramientas y métodos para trabajar con una variedad de datos que se recopilan mediante diversos orígenes.You can use the same tools and methods to work with a variety of data that's collected by various sources.

La mayor parte de la interacción con Log Analytics se realiza a través del portal de OMS que se ejecuta en cualquier explorador y proporciona acceso a las opciones de configuración y a varias herramientas para analizar y realizar acciones sobre los datos recopilados.Most of your interaction with Log Analytics is through the OMS portal, which runs in any browser and provides you with access to configuration settings and multiple tools to analyze and act on collected data. Desde el portal, puede usar:From the portal, you can use:

  • Búsquedas de registros donde se crean consultas para analizar los datos recopilados.Log searches where you construct queries to analyze collected data.
  • Paneles, que se pueden personalizar con vistas gráficas de las búsquedas más valiosas.Dashboards, which you can customize with graphical views of your most valuable searches.
  • Soluciones, que proporcionan herramientas de análisis y funcionalidad adicionales.Solutions, which provide additional functionality and analysis tools.

Herramientas de análisis

Las soluciones agregan funcionalidad a Log Analytics.Solutions add functionality to Log Analytics. Se ejecutan principalmente en la nube y proporcionan el análisis de los datos recopilados en el repositorio de OMS.They primarily run in the cloud and provide analysis of data that's collected in the OMS repository. Es posible que las soluciones también definan tipos de registros nuevos para recopilar y que se pueden analizar con las búsquedas de registros o mediante una interfaz de usuario adicional que la solución proporciona en el panel de OMS.Solutions might also define new record types to be collected that can be analyzed with log searches or by using an additional user interface that the solution provides in the OMS dashboard.

El panel Seguridad y auditoría es un ejemplo de estos tipos de solución.The Security and Audit dashboard is an example of these types of solutions.

Automatización y control: alerta sobre la desviación de la configuración de seguridadAutomation and control: Alert on security configuration drifts

Azure Automation automatiza los procesos administrativos con runbooks que se basan en PowerShell y se ejecutan en la nube.Azure Automation automates administrative processes with runbooks that are based on PowerShell and run in the cloud. Los runbooks pueden ejecutarse en un servidor en el centro de datos local para administrar recursos locales.Runbooks can also be executed on a server in your local data center to manage local resources. Azure Automation proporciona administración de configuración con Desired State Configuration (DSC) de PowerShell.Azure Automation provides configuration management with PowerShell Desired State Configuration (DSC).

Diagrama de Azure Automation

Puede crear y administrar recursos de DSC hospedados en Azure y aplicarlos a los sistemas de nube y locales.You can create and manage DSC resources that are hosted in Azure and apply them to cloud and on-premises systems. Al hacerlo, puede definir y aplicar de forma automática su configuración, o bien obtener informes de la desviación para ayudar a garantizar que las configuraciones de seguridad se ajusten siempre a las directivas.By doing so, you can define and automatically enforce their configuration or get reports on drift to help ensure that security configurations remain within policy.

Azure Security CenterAzure Security Center

Azure Security Center ayuda a proteger los recursos de Azure.Azure Security Center helps protect your Azure resources. Proporciona una supervisión de la seguridad y una administración de directivas integradas en suscripciones de Azure.It provides integrated security monitoring and policy management across your Azure subscriptions. En el servicio, puede definir directivas para las suscripciones de Azure y los grupos de recursos para obtener una mayor granularidad.Within the service, you can define polices against both your Azure subscriptions and resource groups for greater granularity.

Diagrama de Azure Security Center

Los investigadores de seguridad de Microsoft trabajan sin descanso para localizar amenazas.Microsoft security researchers are constantly on the lookout for threats. Tienen acceso al amplio conjunto de recursos de telemetría que les proporciona la presencia global de Microsoft en la nube y en sistemas locales.They have access to an expansive set of telemetry gained from Microsoft’s global presence in the cloud and on-premises. La amplitud y diversidad de estos conjuntos de datos permite a Microsoft detectar nuevos patrones y tendencias de ataque tanto en sus productos locales, destinados a particulares y empresas, como en sus servicios en línea.This wide-reaching and diverse collection of datasets enables Microsoft to discover new attack patterns and trends across its on-premises consumer and enterprise products, as well as its online services.

Por lo tanto, Security Center es capaz de actualizar rápidamente los algoritmos de detección a medida que los atacantes idean nuevos y más sofisticados ataques de seguridad.Thus, Security Center can rapidly update its detection algorithms as attackers release new and increasingly sophisticated exploits. Este enfoque le ayuda a mantenerse al día en entornos con amenazas que cambian continuamente.This approach helps you keep pace with a fast-moving threat environment.

Detección de amenazas de Security Center

La detección de amenazas de Security Center recopila automáticamente información de seguridad de sus recursos de Azure, de la red y de soluciones de asociados relacionadas.Security Center threat detection works by automatically collecting security information from your Azure resources, the network, and connected partner solutions. Analiza estos datos (a menudo, al relacionar la información de diferentes orígenes) para identificar las amenazas.It analyzes this information, correlating information from multiple sources, to identify threats.

En Security Center, las alertas de seguridad están clasificadas por prioridad y se incluyen recomendaciones para solucionar la amenaza.Security alerts are prioritized in Security Center along with recommendations on how to remediate the threat.

Security Center utiliza análisis avanzados que superan con creces los enfoques basados en firmas.Security Center employs advanced security analytics, which go far beyond signature-based approaches. Se usan innovaciones en tecnologías de macrodatos y aprendizaje automático para evaluar eventos en todo el tejido en la nube.Breakthroughs in big data and machine learning technologies are used to evaluate events across the entire cloud fabric. El análisis avanzado puede detectar amenazas que sería imposible identificar mediante enfoques manuales y predice la evolución de los ataques.Advanced analytics can detect threats that would be impossible to identify through manual approaches and predicting the evolution of attacks. Estos tipos de análisis de seguridad se tratan en las secciones siguientes.These security analytics types are covered in the next sections.

Información sobre amenazasThreat intelligence

Microsoft tiene acceso a una cantidad ingente de información sobre amenazas globales.Microsoft has access to an immense amount of global threat intelligence.

Los recursos telemétricos proceden de diferentes fuentes, como Azure, Office 365, Microsoft CRM Online, Microsoft Dynamics AX, outlook.com, MSN.com, la Unidad de crímenes digitales de Microsoft (DCU) y Microsoft Security Response Center (MSRC).Telemetry flows in from multiple sources, such as Azure, Office 365, Microsoft CRM online, Microsoft Dynamics AX, outlook.com, MSN.com, the Microsoft Digital Crimes Unit (DCU), and Microsoft Security Response Center (MSRC).

Conclusiones de inteligencia sobre amenazas

Los investigadores también cuentan con la información de inteligencia sobre amenazas que comparten los principales proveedores de servicios en la nube y que procede de fuentes de terceros.Researchers also receive threat intelligence information that is shared among major cloud service providers, and they subscribe to threat intelligence feeds from third parties. Azure Security Center puede usar todos estos datos para avisarle de las amenazas procedentes de actores malintencionados conocidos.Azure Security Center can use this information to alert you to threats from known bad actors. Estos son algunos ejemplos:Some examples include:

  • Aprovechamiento de la energía de Machine Learning: Azure Security Center tiene acceso a una gran cantidad de datos sobre la actividad de red en la nube, que se puede usar para detectar amenazas dirigidas a las implementaciones de Azure.Harnessing the power of machine learning: Azure Security Center has access to a vast amount of data about cloud network activity, which can be used to detect threats targeting your Azure deployments.

  • Detección de fuerza bruta: Machine Learning se usa para crear un patrón histórico de los intentos de acceso remoto, lo que permite detectar los ataques de fuerza bruta contra los puertos Secure Shell (SSH), Protocolo de escritorio remoto (RDP) y SQL.Brute force detection: Machine learning is used to create a historical pattern of remote access attempts, which allows it to detect brute force attacks against Secure Shell (SSH), Remote Desktop Protocol (RDP), and SQL ports.

  • Salida DDoS y detección de botnet: un objetivo común de los ataques dirigidos a los recursos de nube consiste en usar la capacidad de proceso de estos recursos para ejecutar otros ataques.Outbound DDoS and botnet detection: A common objective of attacks that target cloud resources is to use the compute power of these resources to execute other attacks.

  • Nuevos servidores de análisis de comportamiento y máquinas virtuales: después de que un servidor o una máquina virtual están en peligro, los atacantes emplean una gran variedad de técnicas para ejecutar código malintencionado en el sistema sin que les detecten, lo que garantiza la persistencia y consigue evitar los controles de seguridad.New behavioral analytics servers and VMs: After a server or virtual machine is compromised, attackers employ a wide variety of techniques to execute malicious code on that system while avoiding detection, ensuring persistence, and obviating security controls.

  • Detección de amenazas de Azure SQL Database: identifica actividades anómalas de la base de datos que indican intentos inusuales o posiblemente dañinos de acceso o ataque a las bases de datos.Azure SQL Database Threat Detection: Threat detection for Azure SQL Database, which identifies anomalous database activities that indicate unusual and potentially harmful attempts to access or exploit databases.

Análisis del comportamientoBehavioral analytics

El análisis del comportamiento es una técnica que analiza datos y los compara con una serie de patrones conocidos.Behavioral analytics is a technique that analyzes and compares data to a collection of known patterns. No obstante, estos patrones no son simples firmas,However, these patterns are not simple signatures. sino que están determinados por unos complejos algoritmos de aprendizaje automático que se aplican a conjuntos de datos masivos.They are determined through complex machine learning algorithms that are applied to massive datasets.

Conclusiones del análisis de comportamiento

Los patrones también se determinan por medio de un análisis cuidadoso, llevado a cabo por analistas expertos, de los comportamientos malintencionados.The patterns are also determined through careful analysis of malicious behaviors by expert analysts. Azure Security Center puede utilizar el análisis del comportamiento para identificar recursos en peligro a partir del análisis de registros de las máquinas virtuales, registros de los dispositivos de redes virtuales, registros de los tejidos, volcados de memoria y otros orígenes.Azure Security Center can use behavioral analytics to identify compromised resources based on analysis of virtual machine logs, virtual network device logs, fabric logs, crash dumps, and other sources.

Además, los patrones se ponen en correlación con otras señales que se comprueban para fundamentar las pruebas de que se trata una campaña de gran difusión.In addition, patterns are correlated with other signals to check for supporting evidence of a widespread campaign. Dicha correlación permite identificar eventos que se ajustan a unos indicadores de peligro establecidos.This correlation helps to identify events that are consistent with established indicators of compromise.

Estos son algunos ejemplos:Some examples include:

  • Ejecución de procesos sospechosos: los atacantes utilizan varias técnicas para ejecutar software malintencionado sin que se detecte.Suspicious process execution: Attackers employ several techniques to execute malicious software without detection. Por ejemplo, un atacante podría asignar a un malware los mismos nombres que se usan en los archivos legítimos del sistema, pero colocarlos en otras ubicaciones, usar un nombre muy parecido al de un archivo legítimo o enmascarar la verdadera extensión del archivo.For example, an attacker might give malware the same names as legitimate system files but place these files in an alternate location, use a name that is similar to that of a benign file, or mask the file’s true extension. Security Center adapta los comportamientos de los procesos y supervisa su ejecución para detectar valores atípicos como estos.Security Center models process behaviors and monitor process executions to detect outliers such as these.

  • Malware oculto e intentos de aprovechamiento: el malware sofisticado es capaz de eludir los productos antimalware tradicionales, porque evita escribir en los discos o cifra los componentes de software almacenados en disco.Hidden malware and exploitation attempts: Sophisticated malware can evade traditional antimalware products by either never writing to disk or encrypting software components stored on disk. Pero este malware se puede detectar mediante un análisis de memoria, ya que, para funcionar, deja rastros en la memoria.However, such malware can be detected by using memory analysis, because the malware must leave traces in memory to function. En el momento en que el software se bloquea, un volcado de memoria captura una porción de la memoria.When software crashes, a crash dump captures a portion of memory at the time of the crash. Con un análisis de la memoria durante el volcado, Azure Security Center puede detectar las técnicas usadas para aprovechar las vulnerabilidades del software, acceder a información confidencial y permanecer en secreto en un equipo afectado sin que esto afecte a su rendimiento.By analyzing the memory in the crash dump, Azure Security Center can detect techniques used to exploit vulnerabilities in software, access confidential data, and surreptitiously persist within a compromised machine without affecting the performance of your machine.

  • Desplazamiento lateral y reconocimiento interno: para poder permanecer en una red afectada y localizar y recopilar información valiosa, los atacantes suelen tratar de desplazar lateralmente el contenido de la máquina afectada a otras de la misma red.Lateral movement and internal reconnaissance: To persist in a compromised network and locate and harvest valuable data, attackers often attempt to move laterally from the compromised machine to others within the same network. Security Center supervisa las actividades de los procesos e inicios de sesión para detectar cualquier intento de expandir el punto de apoyo del atacante en la red, como sondeos de redes de ejecución remota de comandos y enumeración de cuentas.Security Center monitors process and login activities to discover attempts to expand an attacker’s foothold within the network, such as remote command execution, network probing, and account enumeration.

  • Scripts de PowerShell malintencionados: los atacantes usan PowerShell para ejecutar código malintencionado en las máquinas virtuales objetivo con diferentes propósitos.Malicious PowerShell scripts: PowerShell can be used by attackers to execute malicious code on target virtual machines for various purposes. Security Center analiza la actividad de PowerShell en busca de evidencias de actividad sospechosa.Security Center inspects PowerShell activity for evidence of suspicious activity.

  • Ataques de salida: a menudo, el objetivo de los atacantes son recursos en la nube, que utilizan con el propósito de perpetrar otros ataques.Outgoing attacks: Attackers often target cloud resources with the goal of using those resources to mount additional attacks. Por ejemplo, es posible que las máquinas virtuales afectadas se usen para iniciar ataques por fuerza bruta contra otras máquinas virtuales, enviar correo no deseado o buscar puertos abiertos y otros dispositivos en Internet.Compromised virtual machines, for example, might be used to launch brute force attacks against other virtual machines, send spam, or scan open ports and other devices on the internet. Gracias a la aplicación del aprendizaje automático en el tráfico de red, Security Center puede detectar cuándo las comunicaciones de red salientes superan la norma establecida.By applying machine learning to network traffic, Security Center can detect when outbound network communications exceed the norm. Cuando se detecta correo no deseado, Security Center relaciona el tráfico inusual de correo electrónico con la información de Office 365 para determinar si es probable que el mensaje sea fraudulento o si es el resultado de una campaña de correo electrónico legítima.When spam is detected, Security Center also correlates unusual email traffic with intelligence from Office 365 to determine whether the mail is likely nefarious or the result of a legitimate email campaign.

Detección de anomalíasAnomaly detection

Azure Security Center también utiliza la detección de anomalías para identificar amenazas.Azure Security Center also uses anomaly detection to identify threats. A diferencia del análisis del comportamiento, que depende de patrones conocidos obtenidos a partir de grandes conjuntos de datos, la detección de anomalías es una técnica más “personalizada” y se basa en referencias que son específicas de las implementaciones.In contrast to behavioral analytics (which depends on known patterns derived from large data sets), anomaly detection is more “personalized” and focuses on baselines that are specific to your deployments. El aprendizaje automático se aplica para determinar la actividad normal de las implementaciones y, después, se generan reglas para definir condiciones de valores atípicos que podrían constituir un evento de seguridad.Machine learning is applied to determine normal activity for your deployments, and then rules are generated to define outlier conditions that could represent a security event. Veamos un ejemplo:Here’s an example:

  • Ataques por fuerza bruta de RDP/SSH entrantes: es posible que las implementaciones integren máquinas virtuales con mucha actividad que tengan multitud de inicios de sesión al día y otras máquinas virtuales que tengan pocos inicios de sesión o ninguno.Inbound RDP/SSH brute force attacks: Your deployments might have busy virtual machines with many logins each day and other virtual machines that have few, if any, logins. Azure Security Center puede determinar la actividad de referencia de los inicios de sesión de estas máquinas virtuales y utilizar el aprendizaje automático para definir las actividades relacionadas con el inicio de sesión normal.Azure Security Center can determine baseline login activity for these virtual machines and use machine learning to define around the normal login activities. Si hay alguna discrepancia con la línea de base definida para las características relacionadas con el inicio de sesión, es posible que se genere una alerta.If there is any discrepancy with the baseline defined for login related characteristics, an alert might be generated. Una vez más, es el aprendizaje automático el que se encarga de determinar qué es significativo.Again, machine learning determines what is significant.

Supervisión continuada de la información sobre amenazasContinuous threat intelligence monitoring

Azure Security Center cuenta con equipos de científicos de datos e investigadores de seguridad de todo el mundo que supervisan sin descanso los cambios que se registran en el terreno de las amenazas.Azure Security Center operates with security research and data science teams throughout the world that continuously monitor for changes in the threat landscape. Estos son algunas de las iniciativas que llevan a cabo:This includes the following initiatives:

  • Supervisión de la inteligencia sobre amenazas: la inteligencia sobre amenazas incluye mecanismos, indicadores, implicaciones y notificaciones que tienen relación con amenazas nuevas o existentes.Threat intelligence monitoring: Threat intelligence includes mechanisms, indicators, implications, and actionable advice about existing or emerging threats. Esta información se comparte con la comunidad de seguridad, y Microsoft supervisa sin descanso las fuentes de inteligencia sobre amenazas de orígenes internos y externos.This information is shared in the security community, and Microsoft continuously monitors threat intelligence feeds from internal and external sources.

  • Uso compartido de señales: se comparte y analiza la información que recopilan los equipos de seguridad a partir de la amplia cartera de servicios de Microsoft en la nube y locales, de servidores y de dispositivos cliente de punto de conexión.Signal sharing: Insights from security teams across the broad Microsoft portfolio of cloud and on-premises services, servers, and client endpoint devices are shared and analyzed.

  • Especialistas en seguridad de Microsoft: colaboración continua con los equipos de Microsoft que trabajan en ámbitos de seguridad especializados, como análisis forense y detección de ataques web.Microsoft security specialists: Ongoing engagement with teams across Microsoft that work in specialized security fields, such as forensics and web attack detection.

  • Ajuste preciso de la detección: los algoritmos se ejecutan en conjuntos de datos de clientes reales y los investigadores de seguridad trabajan con los clientes para validar los resultados.Detection tuning: Algorithms are run against real customer data sets, and security researchers work with customers to validate the results. Los falsos positivos y los positivos verdaderos se utilizan para perfeccionar los algoritmos de aprendizaje automático.True and false positives are used to refine machine learning algorithms.

Toda esta combinación de esfuerzos culmina en técnicas de detección nuevas y mejoradas, de las que puede beneficiarse al instante.These combined efforts culminate in new and improved detections, which you can benefit from instantly. No es necesaria ninguna acción por su parte.There’s no action for you to take.

Características de la detección de amenazas avanzada: otros servicios de AzureAdvanced threat detection features: Other Azure services

Máquinas virtuales: Microsoft AntimalwareVirtual machines: Microsoft antimalware

Microsoft Antimalware para Azure es una solución de un único agente dirigida a entornos de aplicaciones e inquilinos, diseñada para la ejecución en segundo plano sin intervención humana.Microsoft antimalware for Azure is a single-agent solution for applications and tenant environments, designed to run in the background without human intervention. Puede implementar la protección en función de las necesidades de sus cargas de trabajo de aplicaciones, con configuración de protección básica o personalizada avanzada que incluye supervisión antimalware.You can deploy protection based on the needs of your application workloads, with either basic secure-by-default or advanced custom configuration, including antimalware monitoring. Azure Antimalware es una opción de seguridad para máquinas virtuales de Azure que se instala automáticamente en todas las máquinas virtuales de PaaS de Azure.Azure antimalware is a security option for Azure virtual machines that's automatically installed on all Azure PaaS virtual machines.

Características principales de Microsoft AntimalwareMicrosoft antimalware core features

Estas son las características de Azure que implementan y habilitan Microsoft Antimalware para las aplicaciones:Here are the features of Azure that deploy and enable Microsoft antimalware for your applications:

  • Protección en tiempo real: supervisa la actividad en los servicios en la nube y las máquinas virtuales para detectar y bloquear la ejecución de malware.Real-time protection: Monitors activity in cloud services and on virtual machines to detect and block malware execution.

  • Análisis programado: realiza periódicamente exámenes dedicados a detectar malware, lo que incluye programas que se ejecutan activamente.Scheduled scanning: Periodically performs targeted scanning to detect malware, including actively running programs.

  • Corrección de malware: actúa de forma automática sobre el malware detectado y elimina o pone en cuarentena los archivos malintencionados y limpia las entradas del Registro malintencionadas.Malware remediation: Automatically acts on detected malware, such as deleting or quarantining malicious files and cleaning up malicious registry entries.

  • Actualizaciones de firmas: instala de forma automática las firmas de protección (definiciones de virus) más recientes para garantizar que la protección está actualizada con una frecuencia determinada previamente.Signature updates: Automatically installs the latest protection signatures (virus definitions) to ensure that protection is up to date on a pre-determined frequency.

  • Actualizaciones de Antimalware Engine: actualiza automáticamente el motor de Microsoft Antimalware.Antimalware Engine updates: Automatically updates the Microsoft Antimalware Engine.

  • Actualizaciones de la plataforma Antimalware: actualiza automáticamente la plataforma de Microsoft Antimalware.Antimalware platform updates: Automatically updates the Microsoft antimalware platform.

  • Protección activa: envía a Microsoft Azure informes de metadatos de telemetría sobre las amenazas detectadas y los recursos sospechosos para garantizar una respuesta rápida a las amenazas en constante evolución, lo que permite la entrega sincrónica de firmas en tiempo real a través del sistema de protección activa de Microsoft.Active protection: Reports telemetry metadata about detected threats and suspicious resources to Microsoft Azure to ensure rapid response to the evolving threat landscape, enabling real-time synchronous signature delivery through the Microsoft active protection system.

  • Informes de ejemplos: proporciona informes de ejemplos al servicio Microsoft Antimalware que ayudan a mejorarlo y permiten la solución de problemas.Samples reporting: Provides and reports samples to the Microsoft antimalware service to help refine the service and enable troubleshooting.

  • Exclusiones: permite a los administradores de aplicaciones y servicios configurar determinados archivos, procesos y unidades para que se excluyan de la protección y el examen por motivos de rendimiento o de otro tipo.Exclusions: Allows application and service administrators to configure certain files, processes, and drives for exclusion from protection and scanning for performance and other reasons.

  • Recopilación de eventos antimalware: registra el estado del servicio de antimalware, las actividades sospechosas y las acciones de corrección adoptadas en el registro de eventos del sistema operativo y los recopila en la cuenta de Azure Storage del cliente.Antimalware event collection: Records the antimalware service health, suspicious activities, and remediation actions taken in the operating system event log and collects them into the customer’s Azure storage account.

Detección de amenazas de Azure SQL DatabaseAzure SQL Database Threat Detection

Detección de amenazas de Azure SQL Database es una nueva característica de inteligencia de seguridad integrada en el servicio de Azure SQL Database.Azure SQL Database Threat Detection is a new security intelligence feature built into the Azure SQL Database service. Estamos trabajando permanentemente para conocer y detectar actividades anómalas de la base de datos y generar perfiles; Detección de amenazas de Azure SQL Database identifica las posibles amenazas a la base de datos.Working around the clock to learn, profile, and detect anomalous database activities, Azure SQL Database Threat Detection identifies potential threats to the database.

Los responsables de seguridad u otros administradores designados pueden recibir una notificación inmediata sobre las actividades sospechosas en las bases de datos cuando se producen.Security officers or other designated administrators can get an immediate notification about suspicious database activities as they occur. Cada notificación proporciona detalles de la actividad sospechosa y recomienda cómo investigar más y mitigar la amenaza.Each notification provides details of the suspicious activity and recommends how to further investigate and mitigate the threat.

Actualmente, Detección de amenazas de Azure SQL Database detecta posibles vulnerabilidades y ataques de inyección de SQL, así como patrones de acceso anómalos a las bases de datos.Currently, Azure SQL Database Threat Detection detects potential vulnerabilities and SQL injection attacks, and anomalous database access patterns.

Al recibir una notificación por correo electrónico de detección de amenazas, los usuarios pueden navegar y ver los registros de auditoría pertinentes a través de un vínculo profundo en el correo electrónico.Upon receiving a threat-detection email notification, users are able to navigate and view the relevant audit records through a deep link in the mail. El vínculo abre un visor de auditoría o una plantilla de Excel de auditoría preconfigurada en la que se muestran los registros de auditoría pertinentes en torno a la hora del evento sospechoso, según lo siguiente:The link opens an audit viewer or a preconfigured auditing Excel template that shows the relevant audit records around the time of the suspicious event, according to the following:

  • El almacenamiento de información de auditoría para el servidor o la base de datos con las actividades anómalas de la base de datos.Audit storage for the database/server with the anomalous database activities.

  • La tabla de almacenamiento de información de auditoría correspondiente que se usó en el momento del evento para escribir el registro de auditoría.Relevant audit storage table that was used at the time of the event to write the audit log.

  • Los registros de auditoría de la hora inmediatamente posterior a la aparición del evento.Audit records of the hour immediately following the event occurrence.

  • Los registros de auditoría con identificadores de evento similares en el momento del evento (opcional para algunos detectores).Audit records with a similar event ID at the time of the event (optional for some detectors).

Los detectores de amenazas de SQL Database usan una de las metodologías de detección siguientes:SQL Database threat detectors use one of the following detection methodologies:

  • Detección determinista: detecta patrones sospechosos (en función de reglas) en las consultas de cliente SQL que coinciden con ataques conocidos.Deterministic detection: Detects suspicious patterns (rules based) in the SQL client queries that match known attacks. Esta metodología tiene un grado alto de detección y bajo de falsos positivos; pero la cobertura es limitada, ya que se encuentra dentro de la categoría de "detecciones atómicas".This methodology has high detection and low false positive, but limited coverage because it falls within the category of “atomic detections.”

  • Detección de comportamiento: detecta la actividad anómala, que es el comportamiento anómalo de la base de datos que no se haya observado durante los últimos 30 días.Behavioral detection: Detects anomalous activity, which is abnormal behavior in the database that was not seen during the most recent 30 days. Ejemplos de actividad anómala del cliente SQL pueden ser un pico de consultas o inicios de sesión fallidos, un gran volumen de datos extraídos, consultas canónicas inusuales, o bien direcciones IP no familiares que se hayan usado para acceder a la base de datos.Examples of SQL client anomalous activity can be a spike of failed logins or queries, a high volume of data being extracted, unusual canonical queries, or unfamiliar IP addresses used to access the database.

Firewall de aplicaciones web de Application GatewayApplication Gateway Web Application Firewall

El firewall de aplicaciones web (WAF) es una característica de Azure Application Gateway que protege las aplicaciones web en las que se usa una puerta de enlace de aplicaciones para las funciones estándar de control de entrega de aplicaciones.Web Application Firewall (WAF) is a feature of Azure Application Gateway that provides protection to web applications that use an application gateway for standard application delivery control functions. Para hacerlo, el firewall de aplicaciones web ofrece protección contra las 10 vulnerabilidades web más comunes identificadas por Proyecto de seguridad de aplicación web abierta (OWASP).Web Application Firewall does this by protecting them against most of the Open Web Application Security Project (OWASP) top 10 common web vulnerabilities.

Diagrama del firewall de aplicaciones web de Application Gateway

Las protecciones incluyen lo siguiente:Protections include:

  • Protección contra la inyección de código SQL.SQL injection protection.

  • Protección contra scripts entre sitios.Cross site scripting protection.

  • Protección contra ataques web comunes, como inyección de comandos, contrabando de solicitudes HTTP, división de respuestas HTTP y ataque remoto de inclusión de archivos.Common Web Attacks Protection, such as command injection, HTTP request smuggling, HTTP response splitting, and remote file inclusion attack.

  • Protección contra infracciones del protocolo HTTP.Protection against HTTP protocol violations.

  • Protección contra anomalías del protocolo HTTP, como la falta de agentes de usuario de host y encabezados de aceptación.Protection against HTTP protocol anomalies, such as missing host user-agent and accept headers.

  • Prevención contra bots, rastreadores y escáneres.Prevention against bots, crawlers, and scanners.

  • Detección de errores de configuración comunes en aplicaciones (es decir, Apache, IIS, etc.).Detection of common application misconfigurations (that is, Apache, IIS, and so on).

La configuración de WAF en Application Gateway proporciona las siguientes ventajas:Configuring WAF at your application gateway provides the following benefits:

  • Protección de la aplicación web contra las vulnerabilidades y los ataques web sin modificación del código de back-end.Protects your web application from web vulnerabilities and attacks without modification of the back-end code.

  • Protección de varias aplicaciones web al mismo tiempo detrás de una instancia de Application Gateway.Protects multiple web applications at the same time behind an application gateway. Una instancia de Application Gateway admite el hospedaje de hasta 20 sitios web.An application gateway supports hosting up to 20 websites.

  • Supervisión de las aplicaciones web de cara a los ataques mediante informes en tiempo real generados por los registros WAF de la puerta de enlace de aplicaciones.Monitors web applications against attacks by using real-time reports that are generated by application gateway WAF logs.

  • Ayuda a cumplir los requisitos de cumplimiento.Helps meet compliance requirements. Algunos controles de cumplimiento requieren que todos los puntos de conexión accesibles desde Internet estén protegidos por una solución WAF.Certain compliance controls require all internet-facing endpoints to be protected by a WAF solution.

API de detección de anomalías: creada con Azure Machine LearningAnomaly Detection API: Built with Azure Machine Learning

La API de detección de anomalías es una API útil para detectar una variedad de patrones anómalos en datos de series temporales.The Anomaly Detection API is an API that's useful for detecting a variety of anomalous patterns in your time series data. La API asigna una puntuación de anomalía a cada punto de datos de la serie temporal, que se puede usar para generar alertas, supervisar a través de paneles o conectar con los sistemas de vales.The API assigns an anomaly score to each data point in the time series, which can be used for generating alerts, monitoring through dashboards, or connecting with your ticketing systems.

La API de detección de anomalías detecta los siguientes tipos de anomalías en datos de series temporales:The Anomaly Detection API can detect the following types of anomalies on time series data:

  • Cambios abruptos e interrupciones: al supervisar el número de errores de inicio de sesión en un servicio o el número de finalizaciones de compras en un sitio de comercio electrónico, los cambios abruptos y las interrupciones inusuales podrían indicar ataques a la seguridad o interrupciones en el servicio.Spikes and dips: When you're monitoring the number of login failures to a service or number of checkouts in an e-commerce site, unusual spikes or dips could indicate security attacks or service disruptions.

  • Tendencias positivas y negativas: cuando se está supervisando el uso de memoria en informática, la reducción del tamaño de memoria libre indica una posible pérdida de memoria.Positive and negative trends: When you're monitoring memory usage in computing, shrinking free memory size indicates a potential memory leak. Para supervisar la longitud de la cola del servicio, una tendencia al alza persistente puede indicar un problema de software subyacente.For service queue length monitoring, a persistent upward trend might indicate an underlying software issue.

  • Cambios de nivel y cambios en el intervalo dinámico de valores: puede ser interesante supervisar los cambios de nivel en las latencias de un servicio después de una actualización o los niveles menores de excepciones después de una actualización.Level changes and changes in dynamic range of values: Level changes in latencies of a service after a service upgrade or lower levels of exceptions after upgrade can be interesting to monitor.

La API basada en aprendizaje automático permite lo siguiente:The machine learning-based API enables:

  • Detección fiable y flexible: los modelos de detección de anomalías permiten a los usuarios configurar las opciones de confidencialidad y detectar anomalías en conjuntos de datos de temporada y no estacionales.Flexible and robust detection: The anomaly detection models allow users to configure sensitivity settings and detect anomalies among seasonal and non-seasonal data sets. Los usuarios pueden ajustar el modelo de detección de anomalías para que la API de detección tenga más o menos sensibilidad en función de sus necesidades.Users can adjust the anomaly detection model to make the detection API less or more sensitive according to their needs. Esto significaría detectar las anomalías más o menos visibles en los datos con y sin patrones estacionales.This would mean detecting the less or more visible anomalies in data with and without seasonal patterns.

  • Detección escalable y a tiempo: la forma tradicional de supervisión con umbrales presentes definidos por el conocimiento de dominios de los expertos es costosa y no escalable a millones de conjuntos de datos que cambian de forma dinámica.Scalable and timely detection: The traditional way of monitoring with present thresholds set by experts' domain knowledge are costly and not scalable to millions of dynamically changing data sets. Los modelos de detección de anomalías de esta API se aprenden y los modelos se optimizan automáticamente a partir de datos tanto históricos como en tiempo real.The anomaly detection models in this API are learned, and models are tuned automatically from both historical and real-time data.

  • Detección proactiva y factible: la detección de cambios lentos en las tendencias y los niveles se puede aplicar a la detección de anomalías tempranas.Proactive and actionable detection: Slow trend and level change detection can be applied for early anomaly detection. Las señales anómalas tempranas que se detectan sirven para dirigir a las personas para que investiguen y tomen medidas en las zonas problemáticas.The early abnormal signals that are detected can be used to direct humans to investigate and act on the problem areas. Por otra parte, además de este servicio de API de detección de anomalías se pueden desarrollar modelos de análisis de causa principal y herramientas de alerta.In addition, root cause analysis models and alerting tools can be developed on top of this anomaly-detection API service.

La API de detección de anomalías es una solución eficaz y eficiente para una amplia gama de escenarios, como el estado del servicio y la supervisión de KPI, IoT, la supervisión del rendimiento y la del tráfico de red.The anomaly-detection API is an effective and efficient solution for a wide range of scenarios, such as service health and KPI monitoring, IoT, performance monitoring, and network traffic monitoring. Estos son algunos escenarios populares donde esta API puede resultar útil:Here are some popular scenarios where this API can be useful:

  • Los departamentos de TI necesitan herramientas de seguimiento de eventos, códigos de error, registros de uso y rendimiento (CPU, memoria, etc.) de manera puntual.IT departments need tools to track events, error code, usage log, and performance (CPU, memory, and so on) in a timely manner.

  • Los sitios de comercio en línea desean realizar el seguimiento de las actividades de los clientes, las vistas a la página, los clics y mucho más.Online commerce sites want to track customer activities, page views, clicks, and so on.

  • Las empresas de servicios públicos desean realizar el seguimiento del consumo de agua, gas, electricidad y otros recursos.Utility companies want to track consumption of water, gas, electricity, and other resources.

  • A los servicios de administración de instalaciones o edificios les interesa supervisar la temperatura, la humedad, el tráfico y mucho más.Facility or building management services want to monitor temperature, moisture, traffic, and so on.

  • Los fabricantes e IoT desean utilizar datos de detección de series temporales para supervisar el flujo de trabajo, la calidad y mucho más.IoT/manufacturers want to use sensor data in time series to monitor work flow, quality, and so on.

  • Los proveedores de servicios, como los centros de llamadas, necesitan supervisar las tendencias de demanda del servicio, el volumen de incidentes, la longitud de la cola de espera y mucho más.Service providers, such as call centers, need to monitor service demand trend, incident volume, wait queue length, and so on.

  • A los grupos de análisis de negocios les interesa supervisar los movimientos anómalos en los KPI (como el volumen de ventas, las opiniones de los clientes o los precios) en tiempo real.Business analytics groups want to monitor business KPIs' (such as sales volume, customer sentiments, or pricing) abnormal movement in real time.

Cloud App SecurityCloud App Security

Cloud App Security es un componente esencial de la pila de seguridad de Microsoft Cloud.Cloud App Security is a critical component of the Microsoft Cloud Security stack. Es una solución integral que ayuda a la organización a medida que avanza para aprovechar al máximo la promesa de las aplicaciones en la nube.It's a comprehensive solution that can help your organization as you move to take full advantage of the promise of cloud applications. Permite mantener el control gracias a la mejor visibilidad de la actividad.It keeps you in control, through improved visibility into activity. También ayuda a aumentar la protección de los datos críticos en todas las aplicaciones de la nube.It also helps increase the protection of critical data across cloud applications.

Con las herramientas que ayudan a descubrir zonas oscuras de TI, evaluar los riesgos, aplicar directivas, investigar actividades y detener amenazas, la organización puede mover datos a la nube con mayor seguridad y sin perder el control sobre los datos críticos.With tools that help uncover shadow IT, assess risk, enforce policies, investigate activities, and stop threats, your organization can more safely move to the cloud while maintaining control of critical data.

DescubraDiscover Descubra las zonas oscuras de TI con Cloud App Security.Uncover shadow IT with Cloud App Security. Gane visibilidad al descubrir aplicaciones, actividades, usuarios, datos y archivos del entorno de la nube.Gain visibility by discovering apps, activities, users, data, and files in your cloud environment. Descubra las aplicaciones de terceros conectadas a su nube.Discover third-party apps that are connected to your cloud.
InvestigaciónInvestigate Investigue las aplicaciones de nube mediante herramientas forenses de nube en profundidad en las aplicaciones de riesgo o archivos y usuarios específicos de la red.Investigate your cloud apps by using cloud forensics tools to deep-dive into risky apps, specific users, and files in your network. Identifique patrones en los datos recopilados de la nube.Find patterns in the data collected from your cloud. Genere informes para supervisar su nube.Generate reports to monitor your cloud.
ControlControl Mitigue el riesgo al establecer directivas y alertas para lograr el máximo control sobre el tráfico de red en la nube.Mitigate risk by setting policies and alerts to achieve maximum control over network cloud traffic. Use Cloud App Security para migrar los usuarios a alternativas de aplicaciones de nube seguras y autorizadas.Use Cloud App Security to migrate your users to safe, sanctioned cloud app alternatives.
ProtecciónProtect Use Cloud App Security para autorizar o prohibir aplicaciones, prevenir la pérdida de datos, otorgar permisos de control, compartir y generar alertas e informes personalizados.Use Cloud App Security to sanction or prohibit applications, enforce data loss prevention, control permissions and sharing, and generate custom reports and alerts.
ControlControl Mitigue el riesgo al establecer directivas y alertas para lograr el máximo control sobre el tráfico de red en la nube.Mitigate risk by setting policies and alerts to achieve maximum control over network cloud traffic. Use Cloud App Security para migrar los usuarios a alternativas de aplicaciones de nube seguras y autorizadas.Use Cloud App Security to migrate your users to safe, sanctioned cloud app alternatives.

Diagrama de Cloud App Security

Cloud App Security integra visibilidad con la nube mediante lo siguiente:Cloud App Security integrates visibility with your cloud by:

  • El uso de Cloud Discovery para asignar e identificar el entorno de la nube y las aplicaciones de nube que usa la organización.Using Cloud Discovery to map and identify your cloud environment and the cloud apps your organization is using.

  • La prohibición y autorización de aplicaciones en la nube.Sanctioning and prohibiting apps in your cloud.

  • El uso de conectores de aplicaciones fáciles de implementar que aprovechan las ventajas de las API de proveedor, para ganar visibilidad y gobierno de las aplicaciones a las que se conecte.Using easy-to-deploy app connectors that take advantage of provider APIs, for visibility and governance of apps that you connect to.

  • La ayuda para mantener el control constante mediante la configuración y posterior ajuste permanente de las directivas.Helping you have continuous control by setting, and then continually fine-tuning, policies.

En la recopilación de datos de estos orígenes, Cloud App Security ejecuta un sofisticado análisis sobre los datos.On collecting data from these sources, Cloud App Security runs sophisticated analysis on it. Le avisa inmediatamente en caso de actividades anómalas y proporciona visibilidad profunda en el entorno de nube.It immediately alerts you to anomalous activities, and gives you deep visibility into your cloud environment. Puede configurar una directiva en Cloud App Security y usarla para proteger todo el contenido del entorno de nube.You can configure a policy in Cloud App Security and use it to protect everything in your cloud environment.

Funciones de detección de amenazas avanzada de terceros a través de Azure MarketplaceThird-party Advanced Threat Detection capabilities through the Azure Marketplace

Firewall de aplicaciones webWeb Application Firewall

El firewall de aplicaciones web inspecciona el tráfico web entrante y bloquea las inyecciones de SQL, el scripting entre sitios, las cargas de malware, los ataques DDoS de aplicación, así como otros ataques dirigidos a las aplicaciones web.Web Application Firewall inspects inbound web traffic and blocks SQL injections, cross-site scripting, malware uploads, application DDoS attacks, and other attacks targeted at your web applications. También inspecciona las respuestas de los servidores web back-end para la prevención de pérdida de datos (DLP).It also inspects the responses from the back-end web servers for data loss prevention (DLP). El motor de control de acceso integrado permite a los administradores crear directivas de control de acceso pormenorizadas para la autenticación, la autorización y la contabilidad (AAA), lo que proporciona autenticación fiable a las organizaciones así como control sobre los usuarios.The integrated access control engine enables administrators to create granular access control policies for authentication, authorization, and accounting (AAA), which gives organizations strong authentication and user control.

Firewall de aplicaciones web proporciona las ventajas siguientes:Web Application Firewall provides the following benefits:

  • Detecta y bloquea las inyecciones de SQL, el scripting entre sitios, las cargas de malware, el DDoS de aplicación y cualquier otro ataque contra la aplicación.Detects and blocks SQL injections, Cross-Site Scripting, malware uploads, application DDoS, or any other attacks against your application.

  • Autenticación y control de acceso.Authentication and access control.

  • Analiza el tráfico saliente para detectar los datos confidenciales y oculta o bloquea la información para que no se filtre.Scans outbound traffic to detect sensitive data and can mask or block the information from being leaked out.

  • Acelera la entrega de contenido de aplicación web, con funcionalidades como el almacenamiento en caché, la compresión y otras optimizaciones del tráfico.Accelerates the delivery of web application contents, using capabilities such as caching, compression, and other traffic optimizations.

Para obtener ejemplos de los firewalls de aplicaciones web que están disponibles en Azure Marketplace, vea Barracuda WAF, firewall de aplicaciones web virtual Brocade (vWAF), Imperva SecureSphere y el firewall ThreatSTOP IP.For examples of web application firewalls that are available in the Azure Marketplace, see Barracuda WAF, Brocade virtual web application firewall (vWAF), Imperva SecureSphere, and the ThreatSTOP IP firewall.

Pasos siguientesNext steps