Detección de amenazas avanzada de AzureAzure Advanced Threat Detection

IntroducciónIntroduction

Información generalOverview

Microsoft ha desarrollado una serie de notas del producto, información general de seguridad, procedimientos recomendados y las listas de comprobación para ayudar a los clientes de Azure con las diferentes funcionalidades de seguridad disponibles en plataforma Azure y relacionadas con ella.Microsoft has developed a series of White Papers, Security Overviews, Best Practices, and Checklists to assist Azure customers about the various security-related capabilities available in and surrounding the Azure Platform. Los temas varían en extensión y detalle, y se actualizan periódicamente.The topics range in terms of breadth and depth and are updated periodically. Este documento forma parte de esa serie, como se resume en la breve descripción de la siguiente sección.This document is part of that series as summarized in the following abstract section.

Plataforma AzureAzure Platform

Azure es una plataforma de servicios en la nube pública que admite la selección más amplia de sistemas operativos, lenguajes de programación, plataformas, herramientas, bases de datos y dispositivos.Azure is a public cloud service platform that supports the broadest selection of operating systems, programming languages, frameworks, tools, databases, and devices. Admite los lenguajes de programación siguientes:It supports the following programming languages:

  • Ejecute contenedores de Linux con integración de Docker.Run Linux containers with Docker integration.
  • Compile aplicaciones con JavaScript, Python,. NET, PHP, Java y Node.js.Build apps with JavaScript, Python, .NET, PHP, Java, and Node.js
  • Cree back-end para dispositivos iOS, Android y Windows.Build back-ends for iOS, Android, and Windows devices.

Los servicios en la nube pública de Azure admiten las mismas tecnologías en las que ya confían millones de desarrolladores y profesionales de TI.Azure public cloud services support the same technologies millions of developers and IT professionals already rely on and trust.

Si va a migrar a una nube pública con una organización, esta es responsable de proteger los datos y de proporcionar seguridad y gobernanza en todo el sistema.When you are migrating to a public cloud with an organization, that organization is responsible to protect your data and provide security and governance around the system.

La infraestructura de Azure está diseñada desde la instalación hasta las aplicaciones para hospedar millones de clientes simultáneamente, y proporciona una base de confianza en la que las empresas pueden satisfacer sus necesidades de seguridad.Azure’s infrastructure is designed from the facility to applications for hosting millions of customers simultaneously, and it provides a trustworthy foundation upon which businesses can meet their security needs. Azure proporciona una amplia gama de opciones para configurar y personalizar la seguridad para que cumpla los requisitos de las implementaciones de la aplicación.Azure provides a wide array of options to configure and customize security to meet the requirements of your app deployments. Este documento le ayuda a cumplir estos requisitos.This document helps you meet these requirements.

Descripción breveAbstract

Microsoft Azure ofrece funcionalidades de detección de amenazas avanzada integradas en servicios como Azure Active Directory, Azure Operations Management Suite (OMS) y Azure Security Center.Microsoft Azure offers built in advanced threat detection functionality through services like Azure Active Directory, Azure Operations Management Suite (OMS), and Azure Security Center. Esta colección de servicios de seguridad y funcionalidades ofrece una manera sencilla y rápida de comprender lo que ocurre en las implementaciones de Azure.This collection of security services and capabilities provides a simple and fast way to understand what is happening within your Azure deployments.

Estas notas del producto le guiarán con los "enfoques de Microsoft Azure" hacia el diagnóstico de la vulnerabilidad de amenaza y el análisis del riesgo asociado a las actividades malintencionadas destinadas a los servidores y otros recursos de Azure.This white paper will guide you the “Microsoft Azure approaches” towards threat vulnerability diagnostic and analysing the risk associated with the malicious activities targeted against servers and other Azure resources. Esto le ayudará a conocer los métodos de identificación y la administración de la vulnerabilidad con soluciones optimizadas por los servicios de seguridad y las tecnologías de la plataforma Azure orientados al cliente.This helps you to identify the methods of identification and vulnerability management with optimized solutions by the Azure platform and customer-facing security services and technologies.

Estas notas del producto se centran en la tecnología de la plataforma Azure y los controles orientados al cliente y no intenta abordar los SLA, los modelos de precios ni las consideraciones sobre los procedimientos de DevOps.This white paper focuses on the technology of Azure platform and customer-facing controls, and does not attempt to address SLAs, pricing models, and DevOps practice considerations.

Azure Active Directory Identity ProtectionAzure Active Directory Identity Protection

Azure Active Directory Identity Protection

Azure Active Directory Identity Protection es una característica de la edición Premium P2 de Azure AD que proporciona información general de los eventos de riesgo y las posibles vulnerabilidades que afectan a las identidades de la organización.Azure Active Directory Identity Protection is a feature of the Azure AD Premium P2 edition that provides you an overview of the risk events and potential vulnerabilities affecting your organization’s identities. Microsoft ha estado protegiendo identidades basadas en la nube durante más de una década, y con Azure AD Identity Protection, Microsoft proporciona estos mismos sistemas de protección a los clientes de empresa.Microsoft has been securing cloud-based identities for over a decade, and with Azure AD Identity Protection, Microsoft is making these same protection systems available to enterprise customers. Identity Protection usa las funcionalidades de detección de anomalías existentes de Azure AD (disponibles mediante informes de actividad anómala de Azure AD) e introduce nuevos tipos de eventos de riesgo que pueden detectar anomalías en tiempo real.Identity Protection uses existing Azure AD’s anomaly detection capabilities available through Azure AD’s Anomalous Activity Reports, and introduces new risk event types that can detect real time anomalies.

Identity Protection utiliza algoritmos de aprendizaje automático adaptables y heurísticos para detectar anomalías y eventos de riesgo que pueden indicar que se ha puesto en peligro una identidad.Identity Protection uses adaptive machine learning algorithms and heuristics to detect anomalies and risk events that may indicate that an identity has been compromised. Con estos datos, Identity Protection genera informes y alertas que permiten investigar estos eventos de riesgo y tomar las acciones de corrección o mitigación adecuadas.Using this data, Identity Protection generates reports and alerts that enable you to investigate these risk events and take appropriate remediation or mitigation action.

Pero Azure Active Directory Identity Protection es más de una herramienta de supervisión e informes.But Azure Active Directory Identity Protection is more than a monitoring and reporting tool. En función de los eventos de riesgo, Identity Protection calcula un nivel de riesgo del usuario para cada usuario, lo que le permite configurar las directivas basadas en riesgos para proteger automáticamente las identidades de su organización.Based on risk events, Identity Protection calculates a user risk level for each user, enabling you to configure risk-based policies to automatically protect the identities of your organization.

Estas directivas basadas en riesgos, además de otros controles de acceso condicional proporcionados por Azure Active Directory y EMS, pueden bloquear automáticamente u ofrecer acciones de corrección adaptables que incluyen el restablecimiento de contraseñas y el cumplimiento de la autenticación multifactor.These risk-based policies, in addition to other conditional access controls provided by Azure Active Directory and EMS, can automatically block or offer adaptive remediation actions that include password resets and multi-factor authentication enforcement.

Funcionalidades de Identity ProtectionIdentity Protection's capabilities

Azure Active Directory Identity Protection es más que una herramienta de supervisión e informes.Azure Active Directory Identity Protection is more than a monitoring and reporting tool. Para proteger las identidades de la organización, puede configurar directivas basadas en riesgos que respondan automáticamente a problemas detectados si se alcanza un nivel de riesgo específico.To protect your organization's identities, you can configure risk-based policies that automatically respond to detected issues when a specified risk level has been reached. Estas directivas, además de otros controles de acceso condicional proporcionados por Azure Active Directory y EMS, pueden bloquear automáticamente o iniciar acciones de corrección adaptables que incluyen el restablecimiento de contraseñas y el cumplimiento de la autenticación multifactor.These policies, in addition to other conditional access controls provided by Azure Active Directory and EMS, can either automatically block or initiate adaptive remediation actions including password resets and multi-factor authentication enforcement.

Ejemplos de algunas de las maneras en que Azure Identity Protection puede ayudar a proteger las cuentas e identidades:Examples of some of the ways that Azure Identity Protection can help secure your accounts and identities include:

Detección de eventos de riesgo y cuentas peligrosas:Detecting risk events and risky accounts:

  • Detectar seis tipos de eventos de riesgo mediante el aprendizaje automático y las reglas heurísticasDetecting six risk event types using machine learning and heuristic rules
  • Calcular los niveles de riesgo del usuarioCalculating user risk levels
  • Proporcionar recomendaciones personalizadas para mejorar la posición de seguridad general al resaltar los puntos vulnerablesProviding custom recommendations to improve overall security posture by highlighting vulnerabilities

Investigación de los eventos de riesgo:Investigating risk events:

  • Enviar notificaciones de los eventos de riesgoSending notifications for risk events
  • Investigar los eventos de riesgo con información pertinente y contextualInvestigating risk events using relevant and contextual information
  • Proporcionar los flujos de trabajo básicos para realizar un seguimiento de las investigacionesProviding basic workflows to track investigations
  • Proporcionar un fácil acceso a las acciones de corrección, como el restablecimiento de contraseñasProviding easy access to remediation actions such as password reset

Directivas de acceso condicional basadas en riesgos:Risk-based conditional access policies:

  • Directiva para mitigar inicios de sesión peligrosos al bloquear inicios de sesión o solicitar desafíos de la autenticación multifactor.Policy to mitigate risky sign-ins by blocking sign-ins or requiring multi-factor authentication challenges.
  • Directiva para proteger o bloquear cuentas de usuario peligrosasPolicy to block or secure risky user accounts
  • Directiva para exigir que los usuarios se registren en la autenticación multifactorPolicy to require users to register for multi-factor authentication

Azure AD Privileged Identity Management (PIM)Azure AD Privileged Identity Management (PIM)

Con Azure Active Directory (AD) Privileged Identity Management,With Azure Active Directory (AD) Privileged Identity Management,

Administración de identidades con privilegios de Azure AD

puede administrar, controlar y supervisar el acceso dentro de la organización.you can manage, control, and monitor access within your organization. Esto incluye el acceso a los recursos de Azure AD y de otros servicios en línea de Microsoft, como Office 365 o Microsoft Intune.This includes access to resources in Azure AD and other Microsoft online services like Office 365 or Microsoft Intune.

Privileged Identity Management de Azure AD le ayuda a:Azure AD Privileged Identity Management helps you:

  • Obtener alertas e informes de los administradores de Azure AD y el acceso administrativo "justo a tiempo" en servicios de Microsoft Online Services, como Office 365 e IntuneGet an alert and report on Azure AD administrators and "just in time" administrative access to Microsoft Online Services like Office 365 and Intune

  • Obtener informes sobre el historial de acceso de administrador y sobre los cambios en las asignaciones de administradorGet reports about administrator access history and changes in administrator assignments

  • Obtener alertas sobre el acceso a un rol con privilegiosGet alerts about access to a privileged role

Microsoft Operations Management Suite (OMS)Microsoft Operations Management Suite (OMS)

Microsoft Operations Management Suite es la solución de administración de TI basada en la nube de Microsoft que le ayuda a administrar y proteger su infraestructura local y en la nube.Microsoft Operations Management Suite is Microsoft's cloud-based IT management solution that helps you manage and protect your on-premises and cloud infrastructure. Puesto que OMS se implementa como un servicio basado en la nube, puede hacer que funcione rápidamente con una inversión mínima en servicios de infraestructura.Since OMS is implemented as a cloud-based service, you can have it up and running quickly with minimal investment in infrastructure services. Las características nuevas de seguridad se entregan automáticamente, lo que supone un ahorro en costos permanentes de mantenimiento y actualización.New security features are delivered automatically, saving your ongoing maintenance and upgrade costs.

Además de proporcionar servicios valiosos en sí, OMS puede integrarse con componentes de System Center, como System Center Operations Manager para ampliar sus inversiones existentes en la administración de la seguridad en la nube.In addition to providing valuable services on its own, OMS can integrate with System Center components such as System Center Operations Manager to extend your existing security management investments into the cloud. System Center y OMS pueden trabajar juntos para proporcionar una experiencia de administración totalmente híbrida.System Center and OMS can work together to provide a full hybrid management experience.

Seguridad integral y postura de cumplimientoHolistic Security and Compliance Posture

El panel Seguridad y auditoría de OMS proporciona una vista completa de la postura de seguridad de TI de la organización, con consultas de búsqueda integradas para problemas importantes que requieren su atención.The OMS Security and Audit dashboard provides a comprehensive view into your organization’s IT security posture with built-in search queries for notable issues that require your attention. El panel Seguridad y auditoría es la pantalla principal para todo lo relacionado con la seguridad en OMS.The Security and Audit dashboard is the home screen for everything related to security in OMS. Proporciona información detallada sobre el estado de seguridad de los equipos.It provides high-level insight into the security state of your computers. También incluye la capacidad de ver todos los eventos de las últimas 24 horas, 7 días o cualquier otro intervalo personalizado.It also includes the ability to view all events from the past 24 hours, 7 days, or any other custom time frame.

Los paneles de OMS le ayudarán a comprender rápida y fácilmente la postura de seguridad global de cualquier entorno, todo ello en el contexto de las operaciones de TI, por ejemplo: la evaluación de actualizaciones de software, la evaluación de antimalware y líneas básicas de configuración.OMS dashboards help you quickly and easily understand the overall security posture of any environment, all within the context of IT Operations, including: software update assessment, antimalware assessment, and configuration baselines. Además, los datos del registro de seguridad están accesibles en todo momento para simplificar los procesos de auditoría de seguridad y cumplimiento.Furthermore, security log data is readily accessible to streamline the security and compliance audit processes.

El panel de Seguridad y auditoría de OMS se organiza en cuatro categorías principales:The OMS Security and Audit dashboard is organized in four major categories:

Panel de Seguridad y auditoría de OMS

  • Dominios de seguridad: en esta área podrá explorar más los registros de seguridad a lo largo del tiempo; acceder a la evaluación del malware; actualizar la evaluación; acceder a la seguridad de la red, la información de identidad y acceso, las máquinas con eventos de seguridad y, rápidamente, al panel Azure Security Center.Security Domains: in this area, you will be able to further explore security records over time, access malware assessment, update assessment, network security, identity and access information, computers with security events and quickly have access to Azure Security Center dashboard.

  • Problemas importantes: esta opción le permite identificar rápidamente la cantidad de problemas activos y su gravedad.Notable Issues: this option allows you to quickly identify the number of active issues and the severity of these issues.

  • Detecciones (versión preliminar): permite identificar patrones de ataque mediante la visualización de las alertas de seguridad en los recursos a medida que se producen.Detections (Preview): enables you to identify attack patterns by visualizing security alerts as they take place against your resources.

  • Información sobre amenazas: le permite identificar patrones de ataque mediante la visualización del número total de servidores con tráfico de IP malintencionado saliente, el tipo de amenaza malintencionada y un mapa que muestra de dónde proceden estas direcciones IP.Threat Intelligence: enables you to identify attack patterns by visualizing the total number of servers with outbound malicious IP traffic, the malicious threat type, and a map that shows where these IPs are coming from.

  • Consultas comunes de seguridad: esta opción le proporciona una lista de las consultas de seguridad más comunes que puede utilizar para supervisar el entorno.Common security queries: this option provides you a list of the most common security queries that you can use to monitor your environment. Al hacer clic en una de las consultas, se abrirá la hoja Buscar con los resultados de la consulta.When you click in one of those queries, it opens the Search blade with the results for that query.

Insight and AnalyticsInsight and Analytics

En el centro de Log Analytics se encuentra el repositorio de OMS, hospedado en la nube de Azure.At the center of Log Analytics is the OMS repository, which is hosted in the Azure cloud.

Insight and Analytics

Los datos se recopilan en el repositorio desde los orígenes conectados mediante la configuración de orígenes de datos y la incorporación de soluciones a la suscripción.Data is collected into the repository from connected sources by configuring data sources and adding solutions to your subscription.

suscripción

Cada uno de los orígenes de datos y soluciones creará tipos de registros distintos que tendrán su propio conjunto de propiedades pero, de todos modos, podrían seguirse analizando en conjunto en consultas al repositorio.Data sources and solutions will each create different record types that have their own set of properties but may still be analyzed together in queries to the repository. Esto le permite usar las mismas herramientas y los mismos métodos para trabajar con distintas variantes de datos recopilados por distintos orígenes.This allows you to use the same tools and methods to work with different kinds of data collected by different sources.

La mayor parte de la interacción con Log Analytics se realiza a través del portal de OMS que se ejecuta en cualquier explorador y proporciona acceso a las opciones de configuración y a varias herramientas para analizar y realizar acciones sobre los datos recopilados.Most of your interaction with Log Analytics is through the OMS portal, which runs in any browser and provides you with access to configuration settings and multiple tools to analyze and act on collected data. En el portal, puede usar las búsquedas de registros, en las que se construyen consultas para analizar los datos recopilados, los paneles, que se pueden personalizar con vistas gráficas de las búsquedas más valiosas, y las soluciones, que proporcionan herramientas de análisis y funcionalidades adicionales.From the portal, you can use log searches where you construct queries to analyze collected data, dashboards, which you can customize with graphical views of your most valuable searches, and solutions, which provide additional functionality and analysis tools.

herramientas de análisis

Las soluciones agregan funcionalidad a Log Analytics.Solutions add functionality to Log Analytics. Se ejecutan principalmente en la nube y brindan un análisis de los datos recopilados en el repositorio de OMS.They primarily run in the cloud and provide analysis of data collected in the OMS repository. También pueden definir tipos de registros nuevos para recopilar y que se pueden analizar con las búsquedas de registros o mediante una interfaz de usuario adicional que brinda la solución en el panel de OMS.They may also define new record types to be collected that can be analyzed with Log Searches or by additional user interface provided by the solution in the OMS dashboard. Seguridad y auditoría es un ejemplo de solución de este tipo.The Security and Audit is an example of these types of solutions.

Automation & Control: desviación de la alerta de configuración de seguridadAutomation & Control: Alert on security configuration drifts

Azure Automation automatiza los procesos administrativos con runbooks basados en PowerShell que se ejecutan en la nube de Azure.Azure Automation automates administrative processes with runbooks that are based on PowerShell and run in the Azure cloud. Los runbooks pueden ejecutarse en un servidor en el centro de datos local para administrar recursos locales.Runbooks can also be executed on a server in your local data center to manage local resources. Azure Automation proporciona administración de configuración con DSC de PowerShell (Configuración de estado deseada).Azure Automation provides configuration management with PowerShell DSC (Desired State Configuration).

Azure Automation

Puede crear y administrar recursos de DSC hospedados en Azure y aplicarlos a los sistemas de nube y locales para definir y aplicar automáticamente su configuración u obtener informes de la desviación para ayudar a garantizar que las configuraciones de seguridad cumplen siempre las directivas.You can create and manage DSC resources hosted in Azure and apply them to cloud and on-premises systems to define and automatically enforce their configuration or get reports on drift to help insure that security configurations remain within policy.

Azure Security CenterAzure Security Center

Azure Security Center ayuda a proteger los recursos de Azure.Azure Security Center helps protect your Azure resources. Proporciona una supervisión de la seguridad y una administración de directivas integradas en suscripciones de Azure.It provides integrated security monitoring and policy management across your Azure subscriptions. Dentro del servicio, es posible definir directivas no solo para las suscripciones de Azure, sino también para grupos de recursos, por lo que puede ser más específico.Within the service, you are able to define polices not only against your Azure subscriptions, but also against Resource Groups, so you can be more granular.

Azure Security Center

Los investigadores de seguridad de Microsoft trabajan sin descanso para localizar amenazas.Microsoft security researchers are constantly on the lookout for threats. Tienen acceso al amplio conjunto de recursos de telemetría que les proporciona la presencia global de Microsoft en la nube y en sistemas locales.They have access to an expansive set of telemetry gained from Microsoft’s global presence in the cloud and on-premises. La amplitud y diversidad de estos conjuntos de datos permite a Microsoft detectar nuevos patrones y tendencias de ataque tanto en sus productos locales, destinados a particulares y empresas, como en sus servicios en línea.This wide-reaching and diverse collection of datasets enables Microsoft to discover new attack patterns and trends across its on-premises consumer and enterprise products, as well as its online services.

Por lo tanto, Security Center es capaz de actualizar rápidamente los algoritmos de detección a medida que los atacantes idean nuevos y más sofisticados ataques de seguridad.Thus, Security Center can rapidly update its detection algorithms as attackers release new and increasingly sophisticated exploits. Este enfoque le ayuda a mantenerse al día en entornos con amenazas que cambian continuamente.This approach helps you keep pace with a fast-moving threat environment.

Security Center

La detección de amenazas de Security Center recopila automáticamente información de seguridad de sus recursos de Azure, de la red y de soluciones de asociados relacionadas.Security Center threat detection works by automatically collecting security information from your Azure resources, the network, and connected partner solutions. Analiza estos datos (a menudo, al relacionar la información de diferentes orígenes) para identificar las amenazas.It analyzes this information, correlating information from multiple sources, to identify threats. En Security Center, las alertas de seguridad están clasificadas por prioridad y se incluyen recomendaciones para solucionar la amenaza.Security alerts are prioritized in Security Center along with recommendations on how to remediate the threat.

Security Center utiliza análisis avanzados que superan con creces los enfoques basados en firmas.Security Center employs advanced security analytics, which go far beyond signature-based approaches. Los grandes avances registrados en las tecnologías de macrodatos y aprendizaje automático se usan para evaluar eventos en todo el tejido de la nube, lo que permite identificar amenazas que no se podrían identificar con métodos manuales, así como predecir la evolución de los ataques.Breakthroughs in big data and machine learning technologies are used to evaluate events across the entire cloud fabric – detecting threats that would be impossible to identify using manual approaches and predicting the evolution of attacks. Estas técnicas de análisis de la seguridad incluyen lo siguiente.These security analytics includes the following.

Información sobre amenazasThreat Intelligence

Microsoft dispone de una ingente cantidad de información sobre amenazas globales.Microsoft has an immense amount of global threat intelligence. Los recursos telemétricos proceden de diferentes fuentes, como Azure, Office 365, Microsoft CRM Online, Microsoft Dynamics AX, outlook.com, MSN.com, la Unidad de crímenes digitales de Microsoft (DCU) y Microsoft Security Response Center (MSRC).Telemetry flows in from multiple sources, such as Azure, Office 365, Microsoft CRM online, Microsoft Dynamics AX, outlook.com, MSN.com, the Microsoft Digital Crimes Unit (DCU), and Microsoft Security Response Center (MSRC).

Información sobre amenazas

Los investigadores también cuentan con la información sobre amenazas que comparten los principales proveedores de servicios en la nube y que procede de fuentes de terceros.Researchers also receive threat intelligence information that is shared among major cloud service providers and subscribes to threat intelligence feeds from third parties. Azure Security Center puede usar todos estos datos para avisarle de las amenazas procedentes de actores malintencionados conocidos.Azure Security Center can use this information to alert you to threats from known bad actors. Estos son algunos ejemplos:Some examples include:

  • Aprovechamiento de la energía de Machine Learning: Azure Security Center tiene acceso a una gran cantidad de datos sobre la actividad de red en la nube, que puede utilizarse para detectar amenazas dirigidas a sus implementaciones de Azure.Harnessing the Power of Machine Learning - Azure Security Center has access to a vast amount of data about cloud network activity, which can be used to detect threats targeting your Azure deployments. Por ejemplo: For example:

  • Detecciones de fuerza bruta: Machine Learning se usa para crear un patrón histórico de intentos de acceso remoto, lo que le permite detectar los ataques de fuerza bruta contra los puertos SQL, RDP y SSH.Brute Force Detections - Machine learning is used to create a historical pattern of remote access attempts, which allows it to detect brute force attacks against SSH, RDP, and SQL ports.

  • Salida DDoS y detección de Botnet: Un objetivo común de los ataques dirigidos a los recursos de nube consiste en utilizar la capacidad de proceso de estos recursos para ejecutar otros ataques.Outbound DDoS and Botnet Detection - A common objective of attacks targeting cloud resources is to use the compute power of these resources to execute other attacks.

  • Nuevos servidores de análisis de comportamiento y máquinas virtuales: una vez que un servidor o una máquina virtual están en peligro, los atacantes emplean una gran variedad de técnicas para ejecutar código malintencionado en el sistema sin que les detecten, lo que garantiza persistencia y consigue evitar los controles de seguridad.New Behavioral Analytics Servers and VMs - Once a server or virtual machine is compromised, attackers employ a wide variety of techniques to execute malicious code on that system while avoiding detection, ensuring persistence, and obviating security controls.

  • Detección de amenazas de Azure SQL Database: identifica actividades anómalas de la base de datos e indica los intentos inusuales o posiblemente dañinos de acceso o ataque a las bases de datos.Azure SQL Database Threat Detection - Threat Detection for Azure SQL Database, which identifies anomalous database activities indicating unusual and potentially harmful attempts to access or exploit databases.

Análisis del comportamientoBehavioral analytics

El análisis del comportamiento es una técnica que analiza datos y los compara con una serie de patrones conocidos.Behavioral analytics is a technique that analyzes and compares data to a collection of known patterns. No obstante, estos patrones no son simples firmas,However, these patterns are not simple signatures. sino que están determinados por unos complejos algoritmos de aprendizaje automático que se aplican a conjuntos de datos masivos.They are determined through complex machine learning algorithms that are applied to massive datasets.

Análisis del comportamiento

También se determinan por medio de un análisis cuidadoso, llevado a cabo por analistas expertos, de los comportamientos malintencionados.They are also determined through careful analysis of malicious behaviors by expert analysts. Azure Security Center puede utilizar el análisis del comportamiento para identificar recursos en peligro a partir del análisis de registros de las máquinas virtuales, registros de los dispositivos de redes virtuales, registros de los tejidos, volcados de memoria y otros orígenes.Azure Security Center can use behavioral analytics to identify compromised resources based on analysis of virtual machine logs, virtual network device logs, fabric logs, crash dumps, and other sources.

Además, existe una correlación con otras señales que se comprueban para fundamentar las pruebas de que se trata una campaña de gran difusión.In addition, there is correlation with other signals to check for supporting evidence of a widespread campaign. Dicha correlación permite identificar eventos que se ajustan a unos indicadores de peligro establecidos.This correlation helps to identify events that are consistent with established indicators of compromise.

Estos son algunos ejemplos:Some examples include:

  • Ejecución de procesos sospechosos: los atacantes utilizan varias técnicas para ejecutar software malintencionado sin que se detecte.Suspicious process execution: Attackers employ several techniques to execute malicious software without detection. Por ejemplo, un atacante podría asignar a un malware los mismos nombres que se utilizan en los archivos legítimos del sistema, pero situar estos archivos en otras ubicaciones, utilizar un nombre muy parecido al de un archivo legítimo o enmascarar la verdadera extensión del archivo.For example, an attacker might give malware the same names as legitimate system files but place these files in an alternate location, use a name that is very like a benign file, or mask the file’s true extension. Security Center adapta el comportamiento de los procesos y supervisa su ejecución para detectar valores atípicos como estos.Security Center models processes behaviors and monitors process executions to detect outliers such as these.

  • Malware oculto e intentos de aprovechamiento: el malware sofisticado es capaz de eludir los productos antimalware tradicionales, porque evita escribir en los discos o cifra los componentes del software almacenados en disco.Hidden malware and exploitation attempts: Sophisticated malware can evade traditional antimalware products by either never writing to disk or encrypting software components stored on disk. Sin embargo, este malware se puede detectar mediante un análisis de memoria, ya que, para funcionar, deja rastros en la memoria.However, such malware can be detected using memory analysis, as the malware must leave traces in memory to function. En el momento en que el software se bloquea, un volcado de memoria captura una porción de la memoria.When software crashes, a crash dump captures a portion of memory at the time of the crash. Con un análisis de la memoria durante el volcado, Azure Security Center puede detectar las técnicas utilizadas para aprovechar las vulnerabilidades del software, acceder a información confidencial y permanecer en secreto en una máquina afectada sin que esto afecte al rendimiento de la máquina.By analyzing the memory in the crash dump, Azure Security Center can detect techniques used to exploit vulnerabilities in software, access confidential data, and surreptitiously persist within a compromised machine without impacting the performance of your machine.

  • Desplazamiento lateral y reconocimiento interno: para poder permanecer en una red afectada y localizar o recopilar información valiosa, los atacantes suelen tratar de desplazar lateralmente el contenido de la máquina afectada a otras de la misma red.Lateral movement and internal reconnaissance: To persist in a compromised network and locate/harvest valuable data, attackers often attempt to move laterally from the compromised machine to others within the same network. Security Center supervisa las actividades de los procesos e inicios de sesión para detectar cualquier intento de expandir el punto de apoyo del atacante en la red, como sondeos de redes de ejecución remota de comandos y enumeración de cuentas.Security Center monitors process and login activities to discover attempts to expand an attacker’s foothold within the network, such as remote command execution, network probing, and account enumeration.

  • Scripts de PowerShell malintencionados: los atacantes utilizan PowerShell para ejecutar código malintencionado en las máquinas virtuales objetivo con diferentes propósitos.Malicious PowerShell Scripts: PowerShell can be used by attackers to execute malicious code on target virtual machines for a various purposes. Security Center analiza la actividad de PowerShell en busca de evidencias de actividad sospechosa.Security Center inspects PowerShell activity for evidence of suspicious activity.

  • Ataques de salida: a menudo, el objetivo de los atacantes son recursos en la nube, que utilizan con el propósito de perpetrar otros ataques.Outgoing attacks: Attackers often target cloud resources with the goal of using those resources to mount additional attacks. Por ejemplo, las máquinas virtuales afectadas pueden usarse para iniciar ataques por fuerza bruta contra otras máquinas virtuales, enviar correo no deseado o buscar puertos abiertos y otros dispositivos en Internet.Compromised virtual machines, for example, might be used to launch brute force attacks against other virtual machines, send SPAM, or scan open ports and other devices on the Internet. Gracias a la aplicación del aprendizaje automático en el tráfico de red, Security Center puede detectar cuándo las comunicaciones de red salientes superan la norma establecida.By applying machine learning to network traffic, Security Center can detect when outbound network communications exceed the norm. En el caso del correo no deseado, Security Center relaciona el tráfico inusual de correo con la información de Office 365 para determinar si es probable que el mensaje sea fraudulento o si es el resultado de una campaña de correo electrónico legítima.When SPAM, Security Center also correlates unusual email traffic with intelligence from Office 365 to determine whether the mail is likely nefarious or the result of a legitimate email campaign.

Detección de anomalíasAnomaly Detection

Azure Security Center también utiliza la detección de anomalías para identificar amenazas.Azure Security Center also uses anomaly detection to identify threats. A diferencia del análisis del comportamiento, que depende de patrones conocidos obtenidos a partir de grandes conjuntos de datos, la detección de anomalías es una técnica más “personalizada” y se basa en referencias que son específicas de las implementaciones.In contrast to behavioral analytics (which depends on known patterns derived from large data sets), anomaly detection is more “personalized” and focuses on baselines that are specific to your deployments. El aprendizaje automático se aplica para determinar la actividad normal de las implementaciones. A partir de ahí, se generan reglas para definir condiciones de valores atípicos que podrían constituir un evento de seguridad.Machine learning is applied to determine normal activity for your deployments and then rules are generated to define outlier conditions that could represent a security event. Veamos un ejemplo:Here’s an example:

  • Ataques por fuerza bruta de RDP/SSH entrantes: es posible que las implementaciones integren máquinas virtuales con mucha actividad que tengan multitud de inicios de sesión al día y otras máquinas virtuales que tengan pocos o ningún inicio de sesión.Inbound RDP/SSH brute force attacks: Your deployments may have busy virtual machines with many logins each day and other virtual machines that have few or any logins. Azure Security Center puede determinar la actividad de referencia de los inicios de sesión de estas máquinas virtuales y utilizar el aprendizaje automático para definir las actividades relacionadas con el inicio de sesión normal.Azure Security Center can determine baseline login activity for these virtual machines and use machine learning to define around the normal login activities. Si no hay discrepancias con la línea básica definida para las características relacionadas con el inicio de sesión, puede generarse una alerta.If there is any discrepancy with the baseline defined for login related characteristics, then an alert may be generated. Una vez más, es el aprendizaje automático el que se encarga de determinar qué es significativo.Again, machine learning determines what is significant.

Supervisión continuada de la información sobre amenazasContinuous Threat Intelligence Monitoring

Azure Security Center cuenta con equipos de científicos de datos e investigadores de seguridad de todo el mundo que supervisan sin descanso los cambios que se registran en el terreno de las amenazas.Azure Security Center operates with security research and data science teams throughout the world that continuously monitor for changes in the threat landscape. Estos son algunas de las iniciativas que llevan a cabo:This includes the following initiatives:

  • Supervisión de la información sobre amenazas: la información sobre amenazas incluye mecanismos, indicadores, implicaciones y notificaciones que tienen relación con amenazas nuevas o existentes.Threat intelligence monitoring: Threat intelligence includes mechanisms, indicators, implications, and actionable advice about existing or emerging threats. Esta información se comparte con la comunidad de seguridad, y Microsoft supervisa sin descanso las fuentes de orígenes internos y externos.This information is shared in the security community and Microsoft continuously monitors threat intelligence feeds from internal and external sources.

  • Uso compartido de señales: se comparte y se analiza la información que recopilan los equipos de Microsoft a partir de la amplia cartera de servicios en la nube y locales, de servidores y de dispositivos cliente de punto de conexión de Microsoft.Signal sharing: Insights from security teams across Microsoft’s broad portfolio of cloud and on-premises services, servers, and client endpoint devices are shared and analyzed.

  • Especialistas en seguridad de Microsoft: colaboración continua con equipos de Microsoft que trabajan en ámbitos de seguridad especializados, como análisis forense y detección de ataques web.Microsoft security specialists: Ongoing engagement with teams across Microsoft that work in specialized security fields, like forensics and web attack detection.

  • Ajuste preciso de la detección: los algoritmos se ejecutan en conjuntos de datos de clientes reales y los investigadores de seguridad trabajan con los clientes para validar los resultados.Detection tuning: Algorithms are run against real customer data sets and security researchers work with customers to validate the results. Los falsos positivos y los positivos verdaderos se utilizan para perfeccionar los algoritmos de aprendizaje automático.True and false positives are used to refine machine learning algorithms.

Toda esta combinación de esfuerzos culmina en nuevas y mejoradas técnicas de detección, de las que puede beneficiarse al instante sin ninguna acción por su parte.These combined efforts culminate in new and improved detections, which you can benefit from instantly – there’s no action for you to take.

Características de la detección de amenazas avanzada: otros servicios de AzureAdvanced Threat Detection Features - Other Azure Services

Microsoft Antimalware de máquina virtualVirtual Machine: Microsoft Antimalware

Microsoft Antimalware para Azure es una solución de un único agente dirigida a entornos de aplicaciones e inquilinos, concebida para la ejecución en segundo plano sin intervención humana.Microsoft Antimalware for Azure is a single-agent solution for applications and tenant environments, designed to run in the background without human intervention. Puede implementar la protección en función de las necesidades de sus cargas de trabajo de aplicaciones, con configuración de protección básica o personalizada avanzada que incluye supervisión antimalware.You can deploy protection based on the needs of your application workloads, with either basic secure-by-default or advanced custom configuration, including antimalware monitoring. Azure Antimalware es una opción de seguridad para Azure Virtual Machines que se instala automáticamente en todas las máquinas virtuales de PaaS de Azure.Azure antimalware is a security option for Azure Virtual Machines and is automatically installed on all Azure PaaS virtual machines.

Características de Azure para implementar y habilitar Microsoft Antimalware para las aplicacionesFeatures of Azure to deploy and enable Microsoft Antimalware for your applications

Características principales de Microsoft AntimalwareMicrosoft Antimalware Core Features

  • Protección en tiempo real: supervisa la actividad en Cloud Services y Virtual Machines para detectar y bloquear la ejecución de malware.Real-time protection - monitors activity in Cloud Services and on Virtual Machines to detect and block malware execution.

  • Análisis programado: realiza periódicamente exámenes dirigidos para detectar malware, por ejemplo, programas que se ejecutan mediante programación.Scheduled scanning - periodically performs targeted scanning to detect malware, including actively running programs.

  • Corrección de malware: actúa automáticamente sobre el malware detectado, y elimina o pone en cuarentena los archivos malintencionados y limpia las entradas del registro malintencionadas.Malware remediation - automatically takes action on detected malware, such as deleting or quarantining malicious files and cleaning up malicious registry entries.

  • Actualizaciones de firmas: instala automáticamente las últimas firmas de protección (definiciones de virus) para garantizar que la protección está actualizada con una frecuencia determinada previamente.Signature updates - automatically installs the latest protection signatures (virus definitions) to ensure protection is up-to-date on a pre-determined frequency.

  • Actualizaciones del motor antimalware: actualiza automáticamente el motor de Microsoft Antimalware.Antimalware Engine updates - automatically updates the Microsoft Antimalware engine.

  • Actualizaciones de la plataforma antimalware: actualiza automáticamente la plataforma Microsoft Antimalware.Antimalware Platform updates – automatically updates the Microsoft Antimalware platform.

  • Protección activa: envía a Microsoft Azure informes de metadatos de telemetría sobre las amenazas detectadas y los recursos sospechosos para garantizar una respuesta rápida a las amenazas en constante evolución, y para permitir la entrega sincrónica de firmas en tiempo real a través de Microsoft Active Protection System (MAPS).Active protection - reports telemetry metadata about detected threats and suspicious resources to Microsoft Azure to ensure rapid response to the evolving threat landscape, and enabling real-time synchronous signature delivery through the Microsoft Active Protection System (MAPS).

  • Informes de ejemplos: proporciona informes de ejemplos al servicio Microsoft Antimalware que ayudan a mejorar el servicio y permiten la solución de problemas.Samples reporting - provides and reports samples to the Microsoft Antimalware service to help refine the service and enable troubleshooting.

  • Exclusiones: permite a los administradores de las aplicaciones y los servicios configurar determinados archivos, procesos y unidades para que se excluyan de la protección y el examen por motivos de rendimiento o de otro tipo.Exclusions – allows application and service administrators to configure certain files, processes, and drives to exclude them from protection and scanning for performance and/or other reasons.

  • Recopilación de eventos antimalware: registra el estado del servicio antimalware, las actividades sospechosas y las acciones de corrección adoptadas en el registro de eventos del sistema operativo y los recopila en la cuenta de Azure Storage del cliente.Antimalware event collection - records the antimalware service health, suspicious activities, and remediation actions taken in the operating system event log and collects them into the customer’s Azure Storage account.

Detección de amenazas de Azure SQL DatabaseAzure SQL Database Threat Detection

Detección de amenazas de Azure SQL Database es una nueva característica de inteligencia de seguridad integrada en el servicio de Azure SQL Database.Azure SQL Database Threat Detection is a new security intelligence feature built into the Azure SQL Database service. Estamos trabajando permanentemente para conocer y detectar actividades anómalas de la base de datos y generar perfiles; Detección de amenazas de Azure SQL Database identifica las posibles amenazas a la base de datos.Working around the clock to learn, profile and detect anomalous database activities, Azure SQL Database Threat Detection identifies potential threats to the database.

Los responsables de seguridad u otros administradores designados pueden recibir una notificación inmediata sobre las actividades sospechosas en las bases de datos cuando se producen.Security officers or other designated administrators can get an immediate notification about suspicious database activities as they occur. Cada notificación proporciona detalles de la actividad sospechosa y recomienda cómo investigar más y mitigar la amenaza.Each notification provides details of the suspicious activity and recommends how to further investigate and mitigate the threat.

Actualmente, Detección de amenazas de Azure SQL Database detecta posibles vulnerabilidades y ataques de inyección de SQL, así como patrones de acceso anómalos a las bases de datos.Currently, Azure SQL Database Threat Detection detects potential vulnerabilities and SQL injection attacks, and anomalous database access patterns.

Al recibir la notificación de detección de amenazas por correo electrónico, los usuarios pueden ir a ver los registros de auditoría pertinentes a través del vínculo profundo del mensaje, que abre un visor de auditoría o una plantilla de Excel de auditoría preconfigurada que muestra los registros de auditoría correspondiente de la hora aproximada del evento sospechoso según lo siguiente:Upon receiving threat detection email notification, users are able to navigate and view the relevant audit records using the deep link in the mail that opens an audit viewer and/or preconfigured auditing Excel template that shows the relevant audit records around the time of the suspicious event according to the following:

  • El almacenamiento de información de auditoría para el servidor o la base de datos con las actividades anómalas de la base de datosAudit storage for the database/server with the anomalous database activities

  • La tabla de almacenamiento de información de auditoría correspondiente que se usó en el momento del evento para escribir el registro de auditoríaRelevant audit storage table that was used at the time of the event to write audit log

  • Los registros de auditoría de la hora siguiente al evento.Audit records of the following hour since the event occurs.

  • Los registros de auditoría con identificadores de evento similares en el momento del evento (opcional para algunos detectores)Audit records with similar event ID at the time of the event (optional for some detectors)

Los detectores de amenazas de SQL Database usan uno de los métodos de detección siguientes:SQL Database Threat Detectors use one of the following detection methodologies:

  • Detección determinista: detecta patrones sospechosos (en función de reglas) en las consultas de cliente SQL que coinciden con ataques conocidos.Deterministic Detection – detects suspicious patterns (rules based) in the SQL client queries that match known attacks. Este método tiene un grado alto de detección y bajo de falsos positivos; sin embargo, la cobertura es limitada, ya que se encuentra dentro de la categoría de "detecciones atómicas".This methodology has high detection and low false positive, however limited coverage because it falls within the category of “atomic detections”.

  • Detección de comportamiento: detecta la actividad anómala, comportamiento anómalo de la base de datos que no se haya observado durante los últimos 30 días.Behavioural Detection – defects anomalous activity, which is abnormal behavior for the database that was not seen during the last 30 days. Un ejemplo de actividad anómala del cliente SQL puede ser un pico de consultas o inicios de sesión fallidos, un gran volumen de datos extraídos, consultas canónicas inusuales y direcciones IP no familiares que se hayan usado para acceder a la base de datosAn example for SQL client anomalous activity can be a spike of failed logins/queries, high volume of data being extracted, unusual canonical queries, and unfamiliar IP addresses used to access the database

Firewall de aplicaciones web de Application GatewayApplication Gateway Web Application Firewall

El firewall de aplicaciones web (WAF) es una característica de Azure Application Gateway que protege las aplicaciones web que utilizan una puerta de enlace de aplicaciones para las funciones estándar de Application Delivery Control.Web Application Firewall is a feature of Azure Application Gateway that provides protection to web applications that use application gateway for standard Application Delivery Control functions. El firewall de aplicaciones web ofrece protección contra las 10 vulnerabilidades web identificadas por OWASP más comunesWeb application firewall does this by protecting them against most of the OWASP top 10 common web vulnerabilities

Firewall de aplicaciones web de Application Gateway

  • Protección contra la inyección de código SQLSQL injection protection

  • Protección contra scripts entre sitiosCross site scripting protection

  • Protección contra ataques web comunes, como inyección de comandos, contrabando de solicitudes HTTP, división de respuestas HTTP y ataque remoto de inclusión de archivosCommon Web Attacks Protection such as command injection, HTTP request smuggling, HTTP response splitting, and remote file inclusion attack

  • Protección contra infracciones del protocolo HTTPProtection against HTTP protocol violations

  • Protección contra anomalías del protocolo HTTP, como la falta de agentes de usuario de host y encabezados de aceptaciónProtection against HTTP protocol anomalies such as missing host user-agent and accept headers

  • Prevención contra bots, rastreadores y escáneresPrevention against bots, crawlers, and scanners

  • Detección de errores de configuración comunes en aplicaciones (es decir, Apache, IIS, etc.)Detection of common application misconfigurations (that is, Apache, IIS, etc.)

La configuración de WAF en Application Gateway proporciona las siguientes ventajas:Configuring WAF at Application Gateway provides the following benefit to you:

  • Protección de la aplicación web contra las vulnerabilidades y los ataques web sin modificación del código de back-end.Protect your web application from web vulnerabilities and attacks without modification to backend code.

  • Protección de varias aplicaciones web al mismo tiempo detrás de una puerta de enlace de aplicaciones.Protect multiple web applications at the same time behind an application gateway. Application Gateway admite el hospedaje de hasta 20 sitios web detrás de una única puerta de enlace, todos los cuales se podrían proteger contra los ataques web.Application gateway supports hosting up to 20 websites behind a single gateway that could all be protected against web attacks.

  • Supervisión de las aplicaciones web de cara a los ataques mediante un informe en tiempo real generado por los registros WAF de Application Gateway.Monitor your web application against attacks using real-time report generated by application gateway WAF logs.

  • Algunos controles de cumplimiento requieren que todos los puntos de conexión accesibles desde Internet estén protegidos por una solución WAF.Certain compliance controls require all internet facing end points to be protected by a WAF solution. Mediante el uso de Application Gateway con WAF habilitado, puede satisfacer estos requisitos de cumplimiento.By using application gateway with WAF enabled, you can meet these compliance requirements.

Detección de anomalías: API creada con Azure Machine LearningAnomaly Detection – an API built with Azure Machine Learning

La Detección de anomalías es una API creada con Azure Machine Learning que resulta útil para detectar distintos tipos de patrones anómalos en los datos de series temporales.Anomaly Detection is an API built with Azure Machine Learning that is useful for detecting different types of anomalous patterns in your time series data. La API asigna una puntuación de anomalía a cada punto de datos de la serie temporal, que se puede usar para generar alertas, supervisar a través de paneles o conectar con los sistemas de vales.The API assigns an anomaly score to each data point in the time series, which can be used for generating alerts, monitoring through dashboards or connecting with your ticketing systems.

La API de detección de anomalías detecta los siguientes tipos de anomalías en datos de series temporales:The Anomaly Detection API can detect the following types of anomalies on time series data:

  • Cambios abruptos e interrupciones: por ejemplo, al supervisar el número de errores de inicio de sesión en un servicio o el número de finalizaciones de compras en un sitio de comercio electrónico, los cambios abruptos y las interrupciones inusuales podrían indicar ataques a la seguridad o interrupciones en el servicio.Spikes and Dips: For example, when monitoring the number of login failures to a service or number of checkouts in an e-commerce site, unusual spikes or dips could indicate security attacks or service disruptions.

  • Tendencias positivas y negativas: al supervisar el uso de la memoria en computación, por ejemplo, reducir el tamaño de memoria libre, es indicativo de una posible pérdida de memoria; al supervisar la longitud de la cola del servicio, una tendencia al alza persistente puede indicar un problema de software subyacente.Positive and negative trends: When monitoring memory usage in computing, for instance, shrinking free memory size is indicative of a potential memory leak; when monitoring service queue length, a persistent upward trend may indicate an underlying software issue.

  • Cambios de nivel y cambios en el intervalo dinámico de valores: por ejemplo, puede ser interesante supervisar los cambios de nivel en las latencias de un servicio después de una actualización o los niveles menores de excepciones después de una actualización.Level changes and changes in dynamic range of values: For example, level changes in latencies of a service after a service upgrade or lower levels of exceptions after upgrade can be interesting to monitor.

La API basada en aprendizaje automático permite lo siguiente:The machine learning based API enables:

  • Detección fiable y flexible: los modelos de detección de anomalías permiten a los usuarios configurar las opciones de sensibilidad y detectar anomalías en conjuntos de datos de temporada y no estacionales.Flexible and robust detection: The anomaly detection models allow users to configure sensitivity settings and detect anomalies among seasonal and non-seasonal data sets. Los usuarios pueden ajustar el modelo de detección de anomalías para que la API de detección tenga más o menos sensibilidad en función de sus necesidades.Users can adjust the anomaly detection model to make the detection API less or more sensitive according to their needs. Esto significaría detectar las anomalías más o menos visibles en los datos con y sin patrones estacionales.This would mean detecting the less or more visible anomalies in data with and without seasonal patterns.

  • Detección escalable y a tiempo: la forma tradicional de supervisión con umbrales presentes definidos por el conocimiento de dominios de los expertos es costosa y no escalable a millones de conjuntos de datos que cambian dinámicamente.Scalable and timely detection: The traditional way of monitoring with present thresholds set by experts' domain knowledge are costly and not scalable to millions of dynamically changing data sets. Los modelos de detección de anomalías de esta API se aprenden y los modelos se optimizan automáticamente a partir de datos tanto históricos como en tiempo real.The anomaly detection models in this API are learned and models are tuned automatically from both historical and real-time data.

  • Detección proactiva y factible: la detección de cambios lentos en las tendencias y los niveles se puede aplicar a la detección de anomalías tempranas.Proactive and actionable detection: Slow trend and level change detection can be applied for early anomaly detection. Las señales anómalas tempranas detectadas sirven para dirigir a las personas para que investiguen y tomen medidas en las zonas problemáticas.The early abnormal signals detected can be used to direct humans to investigate and act on the problem areas. Por otra parte, además de este servicio de API de detección de anomalías se pueden desarrollar modelos de análisis de causa raíz y herramientas de alerta.In addition, root cause analysis models and alerting tools can be developed on top of this anomaly detection API service.

La API de detección de anomalías es una solución eficaz y eficiente para una amplia gama de escenarios, como el estado del servicio y la supervisión de KPI, IoT, la supervisión del rendimiento y la supervisión del tráfico de red.The anomaly detection API is an effective and efficient solution for a wide range of scenarios like service health & KPI monitoring, IoT, performance monitoring, and network traffic monitoring. Estos son algunos escenarios populares donde esta API puede resultar útil:Here are some popular scenarios where this API can be useful:

  • Los departamentos de TI necesitan herramientas de seguimiento de eventos, códigos de error, registros de uso y rendimiento (CPU, memoria, etc.) de manera puntual.IT departments need tools to track events, error code, usage log, and performance (CPU, Memory and so on) in a timely manner.

  • Los sitios de comercio en línea desean realizar el seguimiento de las actividades de los clientes, las vistas a la página, los clics y mucho más.Online commerce sites want to track customer activities, page views, clicks, and so on.

  • Las empresas de servicios públicos desean realizar el seguimiento del consumo de agua, gas, electricidad y otros recursos.Utility companies want to track consumption of water, gas, electricity, and other resources.

  • Los servicios de administración de instalaciones/edificios desean supervisar la temperatura, la humedad, el tráfico y mucho más.Facility/Building management services want to monitor temperature, moisture, traffic, and so on.

  • Los fabricantes e IoT desean utilizar datos de detección de series temporales para supervisar el flujo de trabajo, la calidad y mucho más.IoT/manufacturers want to use sensor data in time series to monitor work flow, quality, and so on.

  • Los proveedores de servicios, como los centros de llamadas, necesitan supervisar las tendencias de demanda de los servicios, el volumen de incidentes, la longitud de la cola de espera y mucho más.Service providers, such as call centers need to monitor service demand trend, incident volume, wait queue length and so on.

  • Los grupos de análisis de negocios desean supervisar los movimientos anómalos en los KPI (como el volumen de las ventas, las opiniones de los clientes o los precios) en tiempo real.Business analytics groups want to monitor business KPIs' (such as sales volume, customer sentiments, pricing) abnormal movement in real time.

Cloud App SecurityCloud App Security

Cloud App Security es un componente esencial de la pila de seguridad de Microsoft Cloud.Cloud App Security is a critical component of the Microsoft Cloud Security stack. Es una solución integral que ayuda a la organización a medida que avanza para aprovechar al máximo la promesa de las aplicaciones en la nube, pero permite mantener el control gracias a la mejor visibilidad de la actividad.It's a comprehensive solution that can help your organization as you move to take full advantage of the promise of cloud applications, but keep you in control, through improved visibility into activity. También ayuda a aumentar la protección de los datos críticos en todas las aplicaciones de la nube.It also helps increase the protection of critical data across cloud applications.

Con las herramientas que ayudan a descubrir zonas oscuras de TI, evaluar los riesgos, aplicar directivas, investigar actividades y detener amenazas, la organización puede mover datos a la nube con mayor seguridad y sin perder el control sobre los datos críticos.With tools that help uncover shadow IT, assess risk, enforce policies, investigate activities, and stop threats, your organization can more safely move to the cloud while maintaining control of critical data.

DescubraDiscover Descubra las zonas oscuras de TI con Cloud App Security.Uncover shadow IT with Cloud App Security. Gane visibilidad al descubrir aplicaciones, actividades, usuarios, datos y archivos del entorno de la nube.Gain visibility by discovering apps, activities, users, data, and files in your cloud environment. Descubra las aplicaciones de terceros conectadas a su nube.Discover third-party apps that are connected to your cloud.
InvestigaciónInvestigate Investigue las aplicaciones de nube mediante herramientas forenses de nube en profundidad en las aplicaciones de riesgo o archivos y usuarios específicos de la red.Investigate your cloud apps by using cloud forensics tools to deep-dive into risky apps, specific users, and files in your network. Identifique patrones en los datos recopilados de la nube.Find patterns in the data collected from your cloud. Genere informes para supervisar su nube.Generate reports to monitor your cloud.
ControlControl Mitigue el riesgo al establecer directivas y alertas para lograr el máximo control sobre el tráfico de red en la nube.Mitigate risk by setting policies and alerts to achieve maximum control over network cloud traffic. Use Cloud App Security para migrar los usuarios a alternativas de aplicaciones de nube seguras y autorizadas.Use Cloud App Security to migrate your users to safe, sanctioned cloud app alternatives.
ProtecciónProtect Use Cloud App Security para autorizar o prohibir aplicaciones, prevenir la pérdida de datos, otorgar permisos de control, compartir y generar alertas e informes personalizados.Use Cloud App Security to sanction or prohibit applications, enforce data loss prevention, control permissions and sharing, and generate custom reports and alerts.
ControlControl Mitigue el riesgo al establecer directivas y alertas para lograr el máximo control sobre el tráfico de red en la nube.Mitigate risk by setting policies and alerts to achieve maximum control over network cloud traffic. Use Cloud App Security para migrar los usuarios a alternativas de aplicaciones de nube seguras y autorizadas.Use Cloud App Security to migrate your users to safe, sanctioned cloud app alternatives.

Cloud App Security

Cloud App Security integra visibilidad con la nube gracias a lo siguiente:Cloud App Security integrates visibility with your cloud by

  • El uso de Cloud Discovery para asignar e identificar el entorno de la nube y las aplicaciones de nube que usa la organización.Using Cloud Discovery to map and identify your cloud environment and the cloud apps your organization is using.

  • La prohibición y autorización de aplicaciones en la nube.Sanctioning and prohibiting apps in your cloud.

  • El uso de conectores de aplicaciones fáciles de implementar que aprovechan las ventajas de las API de proveedor, para ganar visibilidad y gobierno de las aplicaciones a las que se conecte.Using easy-to-deploy app connectors that take advantage of provider APIs, for visibility and governance of apps that you connect to.

  • La ayuda para mantener el control constante mediante la configuración y posterior ajuste permanente de las directivas.Helping you have continuous control by setting, and then continually fine-tuning, policies.

En la recopilación de datos de estos orígenes, Cloud App Security ejecuta un sofisticado análisis de los datos.On collecting data from these sources, Cloud App Security runs sophisticated analysis on the data. Le avisa inmediatamente en caso de actividades anómalas y proporciona visibilidad profunda en el entorno de nube.It immediately alerts you to anomalous activities, and gives you deep visibility into your cloud environment. Puede configurar una directiva en Cloud App Security y usarla para proteger todo el contenido del entorno de nube.You can configure a policy in Cloud App Security and use it to protect everything in your cloud environment.

Funcionalidades ATD de terceros a través de Azure MarketplaceThird-party ATD capabilities through Azure Marketplace

Firewall de aplicaciones webWeb Application Firewall

El firewall de aplicaciones web inspecciona el tráfico web entrante y bloquea las inyecciones de SQL, el scripting entre sitios, las cargas de malware y DDoS de aplicación, así como otros ataques dirigidos a las aplicaciones web.Web Application Firewall inspects inbound web traffic and blocks SQL injections, Cross-Site Scripting, malware uploads & application DDoS and other attacks targeted at your web applications. También examina las respuestas de los servidores web back-end para prevención de pérdida de datos (DLP).It also inspects the responses from the back-end web servers for Data Loss Prevention (DLP). El motor de control de acceso integrado permite a los administradores crear directivas de control de acceso pormenorizadas para la autenticación, la autorización y la contabilidad (AAA), lo cual proporciona autenticación fiable a las organizaciones así como control sobre los usuarios.The integrated access control engine enables administrators to create granular access control policies for Authentication, Authorization & Accounting (AAA), which gives organizations strong authentication and user control.

Aspectos destacados:Highlights:

  • Detecta y bloquea las inyecciones de SQL, el scripting entre sitios, las cargas de malware, el DDoS de aplicación y cualquier otro ataque contra la aplicación.Detects and blocks SQL injections, Cross-Site Scripting, malware uploads, application DDoS, or any other attacks against your application.

  • Autenticación y control de acceso.Authentication and access control.

  • Analiza el tráfico saliente para detectar los datos confidenciales y oculta o bloquea la información para que no se filtre.Scans outbound traffic to detect sensitive data and can mask or block the information from being leaked out.

  • Acelera la entrega de contenido de aplicación web, con funcionalidades como el almacenamiento en caché, la compresión y otras optimizaciones del tráfico.Accelerates the delivery of web application contents, using capabilities such as caching, compression, and other traffic optimizations.

A continuación se presentan unos ejemplos de firewall de aplicaciones web disponibles en Azure Marketplace:Following are example of Web Application firewalls available in Azure Market Place:

Firewall de aplicaciones web Barracuda, firewall de aplicaciones web virtuales Brocade (Brocade vWAF), Imperva SecureSphere y firewall ThreatSTOP IP.Barracuda Web Application Firewall, Brocade Virtual Web Application Firewall (Brocade vWAF), Imperva SecureSphere & The ThreatSTOP IP Firewall.

Pasos siguientesNext Steps

Las funcionalidades de detección avanzada de Azure Security Center ayudan a identificar las amenazas activas dirigidas a los recursos de Microsoft Azure y proporcionan la información necesaria para que pueda responder a estas amenazas con rapidez.Azure Security Center’s advanced detection capabilities helps to identify active threats targeting your Microsoft Azure resources and provides you with the insights needed to respond quickly.

La Detección de amenazas de Azure SQL Database ayudó a eliminar sus preocupaciones sobre las amenazas para la base de datos.Azure SQL Database Threat Detection helped address their concerns about potential threats to their database.