Administración de la seguridad de la infraestructura mediante Defender for Cloud
Dado que la empresa es una organización financiera, tiene que cumplir los estándares más altos de seguridad. Cada transacción de cliente o asociado debe estar completamente protegida frente a amenazas y también debe responder eficazmente a posibles amenazas. Por ejemplo, si una máquina virtual (VM) está en peligro, debe ser capaz de actuar rápidamente para solucionar el problema.
En esta unidad se describe cómo proteger los recursos y responder a las amenazas mediante Microsoft Defender for Cloud. Defender for Cloud le ayuda a garantizar que la configuración de seguridad de la infraestructura sea lo más segura posible.
Puede usar Defender for Cloud para lo siguiente:
- Comprender la posición de seguridad de la arquitectura.
- Identificar y abordar los riesgos y las amenazas de la infraestructura.
- Proteja una infraestructura compleja usando conocimientos y capital tradicionales.
- Proteger una infraestructura que consta de recursos locales y en la nube.
Reconocimiento del nivel de seguridad
Debe comprender la posición de seguridad de la arquitectura para ayudarle a crear y mantener mejores infraestructuras. Defender for Cloud le ayuda a comprender la seguridad de la arquitectura al proporcionarle análisis detallados de distintos componentes de su entorno, entre los que se incluyen:
- Seguridad de los datos
- Seguridad de red
- Identidad y acceso
- Seguridad de las aplicaciones
Defender for Cloud usa registros de Azure Monitor para recopilar datos de las máquinas virtuales para supervisar las vulnerabilidades de seguridad y las amenazas. Un agente lee varias configuraciones relacionadas con la seguridad y los registros de eventos de la máquina virtual y copia los datos en el área de trabajo de Log Analytics para su análisis.
Defender for Cloud recomienda formas de resolver los problemas y los riesgos que detecta. Puede usar recomendaciones para mejorar la seguridad y el cumplimiento de la arquitectura.
Protección contra amenazas
Puede usar el acceso a máquinas virtuales Just-In-Time (JIT) de Defender for Cloud y los controles de aplicaciones adaptables para ayudar a bloquear la actividad sospechosa y proteger los recursos. Para acceder a estos controles, seleccione Protecciones de carga de trabajo en la sección Cloud Security del panel de navegación izquierdo de Defender for Cloud.
Acceso a VM JIT
Puede proteger las máquinas virtuales mediante la característica de acceso a máquinas virtuales Just-In-Time (JIT) para bloquear el acceso persistente a las máquinas virtuales. Solo se puede acceder a las máquinas virtuales en función del acceso auditado que configure.
Para habilitar JIT, seleccione Acceso a máquinas virtuales Just-In-Time en la pantalla Protecciones de carga de trabajo en Protección avanzada. En la página Acceso a máquinas virtuales Just-In-Time, active las casillas situadas junto a una o varias máquinas virtuales en la lista No configurado y, a continuación, seleccione Habilitar JIT en las máquinas virtuales (número) para configurar JIT para las máquinas virtuales.
Defender for Cloud muestra una lista de puertos predeterminados a los que se dirige JIT o puede configurar sus propios puertos.
Controles de aplicación adaptables
Puede usar controles de aplicación adaptables para controlar qué aplicaciones se pueden ejecutar en las máquinas virtuales. Defender for Cloud usa el aprendizaje automático para examinar los procesos que se ejecutan en las máquinas virtuales, crear reglas de excepción para cada grupo de recursos que contenga las máquinas virtuales y proporcionar recomendaciones.
Para configurar controles adaptables, seleccione Control de aplicaciones adaptables en la pantalla Protecciones de carga de trabajo en Protección avanzada. La pantalla Controles de aplicación adaptable muestra una lista de los grupos de recursos que contienen las máquinas virtuales. En la pestaña Recomendado se enumeran los grupos de recursos que Defender for Cloud recomienda para los controles de aplicaciones adaptables.
Seleccione un grupo de recursos y use la pantalla Configurar reglas de control de aplicaciones para dirigir las máquinas virtuales y las aplicaciones que deben tener aplicadas las reglas de control.
Respuesta a amenazas
Defender for Cloud ofrece una vista centralizada de todas las alertas de seguridad, clasificadas por su gravedad. Para ver las alertas de seguridad, seleccione Alertas de seguridad en el panel de navegación izquierdo de Defender for Cloud.
Defender for Cloud combina alertas relacionadas en un solo incidente de seguridad tanto como sea posible. Seleccione un incidente para ver las alertas de seguridad específicas que contiene el incidente.
Explore en profundidad una alerta seleccionándola y, a continuación, seleccionando Ver información completa.
Defender for Cloud puede ayudar a tomar medidas para responder ante las amenazas más rápido y de forma automatizada. Seleccione Siguiente: Tomar medidas para tomar medidas en la alerta.
Expanda cualquiera de las secciones siguientes para tomar medidas en la alerta:
- Inspeccione el contexto del recurso para examinar los registros de recursos en torno al momento de la alerta.
- Mitigue la amenaza para ver sugerencias para minimizar o corregir la amenaza.
- Evite ataques futuros para implementar recomendaciones de seguridad.
- Desencadene la respuesta automatizada para desencadenar una aplicación lógica como respuesta automatizada a esta alerta de seguridad.
- Suprima alertas similares mediante la creación de una regla de supresión con condiciones predefinidas.
- Configure las opciones de notificación por correo electrónico para seleccionar quién debe notificar la alerta y en qué condiciones.
En la información de la alerta, debe descartar las alertas si no se requiere ninguna acción, por ejemplo, si hay falsos positivos. Debe actuar para abordar ataques conocidos, por ejemplo, bloqueando direcciones IP malintencionadas conocidas, y debe decidir qué alertas requieren más investigación.
