Información general sobre la supervisión de seguridad
¿Cuál es la estrategia de Microsoft para supervisar la seguridad?
Microsoft se dedica a la supervisión de seguridad continua de sus sistemas para detectar y responder a las amenazas a los servicios en línea de Microsoft. Nuestros principios clave para la supervisión y alertas de seguridad son:
- Robustez: señales y lógica para detectar diversos comportamientos de ataque
- Precisión: alertas significativas para evitar distracciones por ruido
- Velocidad: capacidad para capturar atacantes lo suficientemente rápido como para detenerlos
La automatización, la escala y las soluciones basadas en la nube son pilares clave de nuestra estrategia de supervisión y respuesta. Para evitar de forma eficaz ataques a la escala de algunos de los servicios en línea de Microsoft, nuestros sistemas de supervisión necesitan generar automáticamente alertas de alta precisión en tiempo casi real. Asimismo, cuando se detecta un problema, necesitamos la capacidad de mitigar el riesgo a escala, no podemos confiar en nuestro equipo para solucionar manualmente problemas máquina por máquina. Para mitigar los riesgos a escala, usamos herramientas basadas en la nube para aplicar automáticamente las contramedidas y proporcionar a los ingenieros herramientas para aplicar acciones de mitigación aprobadas rápidamente en todo el entorno.
¿Cómo realizan los servicios en línea de Microsoft la supervisión de seguridad?
Los servicios en línea de Microsoft usan el registro centralizado para recopilar y analizar eventos de registro para actividades que puedan indicar un incidente de seguridad. Las herramientas de registro centralizadas agregan registros de todos los componentes del sistema, incluidos los registros de eventos, los registros de aplicaciones, los registros de control de acceso y los sistemas de detección de intrusiones basados en red. Además del registro de servidores y los datos de nivel de aplicación, la infraestructura principal está equipada con agentes de seguridad personalizados que generan telemetría detallada y proporcionan detección de intrusiones basadas en host. Usamos esta telemetría para la supervisión y el análisis forense.
Los datos de registro y telemetría que recopilamos permiten alertas de seguridad 24/7. Nuestro sistema de alertas analiza los datos de registro a medida que se cargan, lo que genera alertas casi en tiempo real. Incluye alertas basadas en reglas y alertas más sofisticadas basadas en modelos de aprendizaje automático. Nuestra lógica de supervisión va más allá de los escenarios de ataque genéricos e incorpora un conocimiento profundo de la arquitectura y las operaciones del servicio. Analizamos los datos de supervisión de seguridad para mejorar continuamente nuestros modelos para detectar nuevos tipos de ataques y mejorar la precisión de nuestra supervisión de seguridad.
¿Cómo responden los servicios en línea de Microsoft a las alertas de supervisión de seguridad?
Cuando los eventos de seguridad que desencadenan alertas requieren una acción de respuesta o una investigación adicional de pruebas forenses en todo el servicio, nuestras herramientas basadas en la nube permiten una respuesta rápida en todo el entorno. Estas herramientas incluyen agentes inteligentes totalmente automatizados que responden a las amenazas detectadas con contramedidas de seguridad. En muchos casos, estos agentes implementan contramedidas automáticas para mitigar las detecciones de seguridad a escala sin intervención humana. Cuando esta respuesta no es posible, el sistema de supervisión de seguridad alerta automáticamente a los ingenieros de llamada adecuados, que están equipados con un conjunto de herramientas que les permiten actuar en tiempo real para mitigar las amenazas detectadas a escala. Las posibles incidencias se escalan al equipo de respuesta de seguridad de Microsoft adecuado y se resuelven mediante el proceso de respuesta a incidentes de seguridad.
¿Cómo supervisan los servicios en línea de Microsoft la disponibilidad del sistema?
Microsoft supervisa activamente sus sistemas en busca de indicadores de sobre utilización de recursos y uso anormal. La supervisión de recursos se complementa con redundancias de servicio para ayudar a evitar un tiempo de inactividad inesperado y proporcionar a los clientes acceso confiable a productos y servicios. Los problemas de estado del servicio en línea de Microsoft se comunican rápidamente a los clientes a través del Panel de mantenimiento del servicio (SHD).
Los servicios en línea de Azure y Dynamics 365 usan varios servicios de infraestructura para supervisar su seguridad y disponibilidad de estado. La implementación de pruebas de transacción sintética (STX) permite a los servicios de Azure y Dynamics comprobar la disponibilidad de sus servicios. El marco STX está diseñado para admitir las pruebas automatizadas de componentes en los servicios en ejecución y se prueba en alertas de error de sitios activos. Además, el servicio Azure Security Monitoring (ASM) ha implementado procedimientos de prueba sintética centralizados para comprobar que las alertas de seguridad funcionan según lo esperado en los servicios nuevos y en ejecución.
Normativas externas relacionadas & certificaciones
Los servicios en línea de Microsoft se auditan periódicamente para cumplir con las normativas y certificaciones externas. Consulte la siguiente tabla para la validación de controles relacionados con la supervisión de seguridad.
Azure y Dynamics 365
| Auditorías externas | Section | Fecha de informe más reciente |
|---|---|---|
| ISO 27001/27002 Declaración de aplicabilidad Certificación |
A.12.1.3: Supervisión de disponibilidad y planeación de capacidad | 2 de diciembre de 2020 |
| ISO 27017 Declaración de aplicabilidad Certificación |
A.12.1.3: Supervisión de disponibilidad y planeación de capacidad A.16.1: Administración de incidentes y mejoras de seguridad de la información |
2 de diciembre de 2020 |
| SOC 1 | IM-1: marco de administración de incidentes IM-2: configuración de detección de incidentes IM-3: Procedimientos de administración de incidentes IM-4: Incident post-mortem VM-1: Registro y colección de eventos de seguridad VM-12: supervisión de disponibilidad de servicios de Azure VM-4: investigación de eventos malintencionados VM-6: Supervisión de vulnerabilidades de seguridad |
31 de marzo de 2021 |
| SOC 2 SOC 3 |
IM-1: marco de administración de incidentes IM-2: configuración de detección de incidentes IM-3: Procedimientos de administración de incidentes IM-4: Incident post-mortem PI-2: Revisión del rendimiento del SLA de Azure Portal VM-1: Registro y colección de eventos de seguridad VM-12: supervisión de disponibilidad de servicios de Azure VM-4: investigación de eventos malintencionados VM-6: Supervisión de vulnerabilidades de seguridad |
31 de marzo de 2021 |
Office 365
| Auditorías externas | Section | Fecha de informe más reciente |
|---|---|---|
| FedRAMP | AC-2: Administración de cuentas AC-17: Acceso remoto AU-7: Reducción de auditoría y generación de informes SI-4: Supervisión del sistema de información SI-7: Integridad de software, firmware e información |
24 de septiembre de 2020 |
| ISO 27001/27002/27017 Declaración de aplicabilidad Certificación |
A.12.1.3: Supervisión de disponibilidad y planeación de capacidad | 20 de abril de 2021 |
| SOC 1 | CA-19: Supervisión de cambios CA-26: Informes de incidentes de seguridad CA-29: Ingenieros de llamadas CA-48: Registro de centros de datos |
24 de diciembre de 2020 |
| SOC 2 | CA-19: Supervisión de cambios CA-26: Informes de incidentes de seguridad CA-29: Ingenieros de llamadas CA-30: Supervisión de disponibilidad CA-48: Registro de centros de datos |
24 de diciembre de 2020 |
| SOC 3 | CUEC-08: Informar de incidentes CUEC-10: Contratos de servicio |
24 de diciembre de 2020 |