Base de referencia de Azure Cognitive Search

Esta línea base de seguridad aplica instrucciones de la versión 2.0 de Azure Security Benchmark a Azure Cognitive Search. Azure Security Benchmark proporciona recomendaciones sobre cómo puede proteger sus soluciones de nube en Azure. El contenido se agrupa por los controles de seguridad definidos por Azure Security Benchmark y las instrucciones relacionadas aplicables a Azure Cognitive Search.

Seguridad de redes

Para más información, consulte Azure Security Benchmark: seguridad de red.

NS-1: implementación de la seguridad para el tráfico interno

Guía: asegúrese de que a todas las implementaciones de subred de Microsoft Azure Virtual Network se les haya aplicado un grupo de seguridad de red con reglas para implementar un esquema de acceso "con privilegios mínimos". Solo permita el acceso a los puertos de confianza de la aplicación y a los intervalos de direcciones IP. Siempre que sea factible, implemente Azure Cognitive Search con un punto de conexión privado de Azure para permitir el acceso privado a sus servicios desde su red virtual.

Cognitive Search también admite la funcionalidad de seguridad de red adicional para administrar las listas de control de acceso de la red. Configure el servicio de búsqueda para que solo permita la comunicación con orígenes de confianza, restringiendo el acceso de intervalos específicos de direcciones IP públicas mediante su funcionalidad de firewall.

En función de las aplicaciones y la estrategia de segmentación empresarial, restrinja o permita el tráfico entre los recursos internos en función de las reglas del grupo de seguridad de red. Para aplicaciones específicas y bien definidas (por ejemplo, una aplicación de tres niveles), puede ser una denegación altamente segura de forma predeterminada.

• Procedimiento para configurar puntos de conexión privados para Azure Cognitive Search

• Procedimiento para configurar el firewall de Azure Cognitive Search

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

NS-3: establecimiento del acceso de red privada a los servicios de Azure

Guía:use Azure Private Link para habilitar el acceso privado a Azure Cognitive Search desde las redes virtuales sin atravesar Internet.

El acceso privado es una defensa adicional en profundidad de la autenticación y la seguridad del tráfico que ofrecen los servicios de Azure.

Azure Cognitive Search no proporciona la capacidad de configurar puntos de conexión Virtual Network servicio.

• ¿Qué es Azure Private Link?

• Procedimiento para configurar puntos de conexión privados para Azure Cognitive Search

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

NS-4: protección de las aplicaciones y servicios de ataques de redes externas

Guía:proteja los recursos de Azure Cognitive Search frente a ataques de redes externas, incluidos ataques de denegación de servicio distribuido (DDoS), ataques específicos de la aplicación y tráfico de Internet no solicitado y potencialmente malintencionado. Use Azure Firewall para proteger las aplicaciones y los servicios contra el tráfico potencialmente malintencionado de Internet y otras ubicaciones externas. Proteja sus recursos de ataques DDoS al habilitar la protección contra DDoS estándar en las redes virtuales de Azure. Use Microsoft Defender para la nube para detectar riesgos de configuración incorrecta en los recursos relacionados con la red.

Azure Cognitive Search está pensado para ejecutar aplicaciones web y no requiere que configure ninguna configuración adicional ni implemente ningún servicio de red adicional para protegerlo frente a ataques de red externos dirigidos a aplicaciones web.

• Configuración de la protección contra DDoS

• Documentación sobre Azure Firewall

• Administración Azure DDoS Protection Standard mediante Azure Portal

• Recomendaciones de Microsoft Defender para la nube

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

NS-6: simplificación de las reglas de seguridad de red

Guía:Use etiquetas de servicio de Azure Virtual Network para definir controles de acceso de red en grupos de seguridad de red o Azure Firewall configurados para los Azure Cognitive Search recursos. Puede utilizar etiquetas de servicio en lugar de direcciones IP específicas al crear reglas de seguridad. Al especificar el nombre de la etiqueta de servicio en el campo de origen o destino apropiado de una regla, puede permitir o denegar el tráfico para el servicio correspondiente. Microsoft administra los prefijos de direcciones que la etiqueta de servicio incluye y actualiza automáticamente dicha etiqueta a medida que las direcciones cambian.

Permita o deniegue el tráfico a los recursos especificando el nombre de la etiqueta de servicio (por ejemplo, AzureCognitiveSearch) en el campo adecuado de origen o destino de una regla.

• Descripción y uso de etiquetas de servicio

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

NS-7: servicio de nombres de dominio (DNS) seguro

Guía:siga los procedimientos recomendados para la seguridad de DNS con el fin de mitigar ataques comunes, como DNS desenlazándose, ataques de amplificaciones de DNS, ataques de dns, ataques de suplantación y suplantación de DNS, etc.

Cuando se usa Azure DNS como servicio DNS autoritativo, asegúrese de que los registros y las zonas DNS están protegidos contra modificaciones accidentales o malintencionadas mediante Azure RBAC y bloqueos de recursos.

• Introducción a Azure DNS

• Guía de implementación del sistema de nombres de dominio (DNS) seguro

• Evitar las entradas DNS pendientes y la adquisición de subdominios

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

Administración de identidades

Para más información, consulte Azure Security Benchmark: Administración de identidades.

IM-1: Unificación en Azure Active Directory como sistema central de identidad y autenticación

Guía:Azure Cognitive Search usa Azure Active Directory (Azure AD) como servicio de administración de identidades y acceso predeterminado. Debe estandarizar Azure AD para regular la administración de identidades y acceso de su organización en:

• Los recursos de Microsoft Cloud, como Azure Portal, Azure Storage, Azure Virtual Machines (Linux y Windows), Azure Key Vault, PaaS y aplicaciones SaaS.

• Los recursos de su organización, como aplicaciones en Azure o los recursos de la red corporativa.

La protección de Azure AD debe tener máxima prioridad en la práctica de seguridad en la nube de su organización. Azure AD proporciona una puntuación de seguridad de identidad para ayudarle a evaluar la posición de seguridad de la identidad en relación con las recomendaciones de procedimientos recomendados de Microsoft. Use la puntuación para medir el grado de coincidencia de la configuración con los procedimientos recomendados y para hacer mejoras en la posición de seguridad.

Nota: Azure AD admite identidades externas que permiten a los usuarios sin una cuenta Microsoft iniciar sesión en sus aplicaciones y recursos con su identidad externa.

Use Azure Active Directory (Azure AD) como sistema central de autenticación y autorización para las tareas de administración de nivel de servicio en Azure Cognitive Search. El acceso a operaciones tales como la administración de índices, el rellenado de índices y las consultas en los datos de búsqueda están disponibles a través de claves de API.

Azure Cognitive Search proporciona un par de roles integrados, incluido un rol colaborador del servicio de búsqueda que le permite administrar los servicios de búsqueda, pero no acceder a ellos.

El acceso a operaciones como la administración de índices, la población de índices y las consultas en los datos de búsqueda también están disponibles a través de claves de API.

• Procedimiento para crear y configurar una instancia de Azure AD

• Azure Cognitive Search roles integrados

• Creación y administración de claves de API para la autenticación

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

IM-2: Administración de identidades de aplicaciones de forma segura y automática

Guía:Azure Cognitive Search admite identidades administradas para sus recursos de Azure. Use identidades administradas con Azure Cognitive Search en lugar de crear entidades de servicio para acceder a otros recursos. Azure Cognitive Search autenticarse de forma nativa en los servicios o recursos de Azure que admiten la autenticación de Azure AD a través de una regla de concesión de acceso predefinida sin usar credenciales codificadas de forma segura en archivos de configuración o código fuente.

• Configuración de una conexión de indexador a un origen de datos mediante una identidad administrada

• Configuración de claves administradas por el cliente para el cifrado de datos mediante una identidad administrada

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

IM-3: Uso del inicio de sesión único de Azure AD para acceder a las aplicaciones

Guía:Azure Cognitive Search usa Azure Active Directory para proporcionar administración de identidades y acceso a recursos de Azure, aplicaciones en la nube y aplicaciones locales. Esto incluye identidades empresariales, como empleados, así como identidades externas como asociados, proveedores y proveedores. Esto permite que el inicio de sesión único (SSO) administre y proteja el acceso a los datos y recursos de su organización de forma local y en la nube. Conecte todos los usuarios, las aplicaciones y los dispositivos a Azure AD para obtener un acceso seguro y sin problemas, y para lograr mayor visibilidad y control.

• Descripción del inicio de sesión único de aplicaciones con Azure AD

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

IM-7: Elimine la exposición de credenciales no intencionada

Guía:Azure Cognitive Search no está pensado para almacenar código; sin embargo, para las plantillas de ARM relacionadas con las implementaciones de Azure Cognitive Search, se recomienda implementar Credential Scanner en los repositorios que almacenan esas plantillas para identificar las credenciales dentro de las configuraciones. El escáner de credenciales también fomenta el traslado de credenciales detectadas a ubicaciones más seguras, como Azure Key Vault.

• Configuración del escáner de credenciales

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

Acceso con privilegios

Para más información, consulte Azure Security Benchmark: Acceso con privilegios.

PA-1: Protección y limitación de usuarios con privilegios elevados

Guía:Los roles integrados más críticos para Azure AD son el administrador global y el administrador de roles con privilegios, ya que los usuarios asignados a estos dos roles pueden delegar roles de administrador:

• Administrador global/administrador de empresa: los usuarios con este rol tienen acceso a todas las características administrativas de Azure AD, así como a los servicios que utilizan identidades de Azure AD.

• Administrador de roles con privilegios: los usuarios con este rol pueden administrar asignaciones de roles en Azure AD, y dentro de Azure AD Privileged Identity Management (PIM). Además, este rol permite administrar todos los aspectos de PIM y de las unidades administrativas.

Nota: Es posible que tenga otros roles críticos que deban regularse si usa roles personalizados con determinados permisos con privilegios asignados. También puede aplicar controles similares a la cuenta de administrador de recursos empresariales críticos.

Debe limitar el número de cuentas o roles con privilegios elevados y proteger estas cuentas en un nivel elevado. Los usuarios con este privilegio pueden leer y modificar directa o indirectamente todos los recursos del entorno de Azure.

Puede habilitar el acceso con privilegios Just-In-Time (JIT) a los recursos de Azure Azure AD mediante Azure AD PIM. JIT concede permisos temporales para realizar tareas con privilegios solo cuando los usuarios lo necesitan. PIM también puede generar alertas de seguridad cuando hay actividades sospechosas o no seguras en la organización de Azure AD.

• Configuración de roles para el acceso administrativo a Azure Cognitive Search

• Permisos de rol administrativo en Azure AD

• Uso de alertas de seguridad de Azure Privileged Identity Management

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

PA-3: Revisión y conciliación de manera periódica del acceso de los usuarios

Guía:Azure Cognitive Search usa Azure Active Directory (Azure AD) para administrar sus recursos, revisar las cuentas de usuario y las asignaciones de acceso periódicamente para asegurarse de que las cuentas y su acceso son válidos. Puede usar las revisiones Azure AD acceso para revisar las pertenencias a grupos, el acceso a aplicaciones empresariales y las asignaciones de roles. Los informes de Azure AD pueden proporcionar registros para ayudar a detectar cuentas obsoletas. También puede usar Azure AD Privileged Identity Management (PIM) para crear flujos de trabajo de informes de revisión de acceso para facilitar el proceso de revisión.

Además, Azure AD PIM también se puede configurar para alertar cuando se crea un número excesivo de cuentas de administrador e identificar cuentas de administrador obsoletas o configuradas incorrectamente.

Nota: Algunos servicios de Azure admiten usuarios y roles locales que no se administran mediante Azure AD. Estos usuarios deberán administrarse por separado.

Revise los registros de diagnóstico Azure Cognitive Search la actividad en el punto de conexión del servicio de búsqueda, como la administración de índices, el población de índices y las consultas.

Azure Cognitive Search admite los siguientes roles integrados: Colaborador de datos de índice de búsqueda, Lector de datos de índice de búsqueda y Colaborador del servicio de búsqueda.

• Autorización del acceso a través de roles de Azure en Azure Cognitive Search

• Creación de una revisión de acceso de los roles de recursos de Azure en Privileged Identity Management (PIM)

• Procedimiento para usar las revisiones de acceso e identidades de Azure AD

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

PA-6: Uso de estaciones de trabajo con privilegios de acceso

Guía:Las estaciones de trabajo aisladas y protegidas son fundamentalmente importantes para la seguridad de roles confidenciales, como el administrador, el desarrollador y el operador de servicios críticos. Use estaciones de trabajo de usuario de alta seguridad o Azure Bastion para las tareas administrativas. Use Azure Active Directory (Azure AD), Protección contra amenazas avanzada (ATP) de Microsoft Defender o Microsoft Intune para implementar una estación de trabajo de usuario segura y administrada para las tareas administrativas. Las estaciones de trabajo protegidas se pueden administrar de forma centralizada para aplicar la configuración segura, incluida la autenticación segura, las líneas base de software y hardware, y el acceso lógico y de red restringido.

• Implementación de estaciones de trabajo de acceso con privilegios

• Implementación de una estación de trabajo con privilegios de acceso

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

PA-7: Seguimiento de solo una administración suficiente (principio de privilegios mínimos)

Guía:Azure Cognitive Search integra con el control de acceso basado en rol de Azure (RBAC de Azure) para administrar sus recursos. Azure RBAC le permite administrar el acceso a los recursos de Azure mediante las asignaciones de roles. Puede asignar estos roles a usuarios, grupos de entidades de servicio e identidades administradas. Hay roles integrados predefinidos para determinados recursos, y estos roles se pueden inventariar o consultar mediante herramientas, como la CLI de Azure, Azure PowerShell o el Azure Portal. Los privilegios que asigne a los recursos a través de Azure RBAC siempre se deben limitar a los requisitos de los roles. Este modelo complementa al enfoque Just-in-Time (JIT) de Azure AD Privileged Identity Management (PIM) y se debe revisar periódicamente.

Use los roles integrados para asignar los permisos, y cree solo los roles personalizados cuando sea necesario.

Azure Cognitive Search usa los roles Propietario, Colaborador y Lector, que determinan el nivel de administración del servicio para los usuarios, grupos y entidades de seguridad de Active Directory asignados a cada rol. Azure Cognitive Search estos tres roles para autorizar el acceso a la administración del servicio de búsqueda.

• Autorización del acceso a través de roles de Azure en Azure Cognitive Search

• ¿Qué es el control de acceso basado en rol de Azure (RBAC)?

• Configuración de RBAC en Azure

• Procedimiento para usar las revisiones de acceso e identidades de Azure AD

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

PA-8: Selección del proceso de aprobación para el soporte técnico de Microsoft

Guía:en escenarios de soporte técnico en los que Microsoft necesita acceder a los datos de los clientes, Azure Cognitive Search admite Caja de seguridad del cliente para proporcionar una interfaz para que revise y apruebe o rechace las solicitudes de acceso a los datos de los clientes.

• Caja de seguridad del cliente de Microsoft Azure

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

Administración de recursos

Para más información, consulte Azure Security Benchmark: Administración de recursos.

AM-1: Asegurarse de que el equipo de seguridad tiene visibilidad sobre los riesgos para los recursos

Guía:Asegúrese de que a los equipos de seguridad se les conceden permisos de lector de seguridad en el inquilino de Azure y las suscripciones para que puedan supervisar los riesgos de seguridad mediante Microsoft Defender para la nube.

En función de la estructura de las responsabilidades del equipo de seguridad, la supervisión de los riesgos de seguridad puede ser responsabilidad de un equipo de seguridad central o de un equipo local. Dicho esto, la información y los riesgos de seguridad siempre se deben agregar de forma centralizada dentro de una organización.

Los permisos de lector de seguridad se pueden aplicar en general a un inquilino completo (grupo de administración raíz) o a grupos de administración o a suscripciones específicas.

Nota: Es posible que se requieran permisos adicionales para obtener visibilidad de las cargas de trabajo y los servicios.

• Introducción al rol de lector de seguridad

• Información general sobre los grupos de administración de Azure

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

AM-2: Asegurarse de que el equipo de seguridad tiene acceso a los metadatos y al inventario de recursos

Guía:Asegúrese de que los equipos de seguridad tengan acceso a un inventario de recursos actualizado continuamente en Azure, como Azure Cognitive Search. A menudo, los equipos de seguridad necesitan este inventario para evaluar la posible exposición de su organización a los riesgos emergentes y como entrada para las mejoras de seguridad continuas. Cree un grupo Azure Active Directory (Azure AD) que contenga el equipo de seguridad autorizado de su organización y asígneles acceso de lectura a todos los recursos de Azure Cognitive Search, que se pueden simplificar mediante una única asignación de roles de alto nivel dentro de la suscripción.

Aplique etiquetas a los recursos, grupos de recursos y suscripciones de Azure con el fin de organizarlos de manera lógica en una taxonomía. Cada etiqueta consta de un nombre y un par de valores. Por ejemplo, puede aplicar el nombre "Environment" y el valor "Production" a todos los recursos en producción.

Azure Cognitive Search no permite ejecutar una aplicación ni la instalación de software en sus recursos.

• Visualización de las suscripciones de Azure

• Descripción de Azure RBAC

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

AM-3: Uso exclusivo de servicios de Azure aprobados

Guía: Use Azure Policy para auditar y restringir qué servicios pueden aprovisionar los usuarios en su entorno. Use Azure Resource Graph para consultar y detectar recursos dentro de sus suscripciones. También puede usar Azure Monitor para crear reglas para desencadenar alertas cuando se detecta un servicio no aprobado.

• Configuración y administración de Azure Policy

• Denegación de un tipo de recurso específico con Azure Policy

• Creación de consultas con Azure Resource Graph Explorer

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

registro y detección de amenazas

Para más información, consulte Azure Security Benchmark: registro y detección de amenazas.

LT-1: Habilitación de la detección de amenazas para recursos de Azure

Guía:Analice y supervise los registros de Azure Cognitive Search servicio en busca de comportamientos anómalos. Use Log Analytics de Azure Monitor para revisar los registros y realizar consultas en los datos de registro.

Reenvía los registros Azure Cognitive Search al SIEM, que se puede usar para configurar detecciones de amenazas personalizadas. Asegúrese de que está supervisando distintos tipos de recursos de Azure en busca de posibles amenazas y anomalías. Céntrese en obtener alertas de alta calidad para reducir los falsos positivos que deben revisar los analistas. Las alertas se pueden crear a partir de datos de registro, agentes u otros datos.

• Guía de referencia de alertas de seguridad de Microsoft Defender para la nube

• Creación de reglas de análisis personalizadas para detectar amenazas

• Inteligencia sobre amenazas cibernéticas con Microsoft Sentinel

• Procedimiento para recopilar y analizar datos de registro en Cognitive Search

• Procedimiento para visualizar datos del registro de búsqueda en Power BI

• Información acerca de Log Analytics

• Procedimiento para realizar consultas personalizadas en Azure Monitor

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

LT-2: Habilitación de la detección de amenazas para la administración de identidades y acceso de Azure

Guía:Azure Active Directory (Azure AD) proporciona los siguientes registros de usuario, que se pueden ver en informes de Azure AD o integrarse con Azure Monitor, Microsoft Sentinel u otras herramientas siem/monitoring para casos de uso de supervisión y análisis más sofisticados:

• Inicios de sesión: el informe de los inicios de sesión proporciona información sobre el uso de aplicaciones administradas y las actividades de inicio de sesión del usuario.
• Los registros de auditoría proporcionan rastreabilidad mediante los registros de todos los cambios realizados por diversas características de Azure AD. Algunos ejemplos de registros de auditoría incluyen los cambios realizados en cualquier recurso de Azure AD, como agregar o quitar usuarios, aplicaciones, grupos, roles y directivas.
• Inicios de sesión de riesgo: un inicio de sesión de riesgo es un indicador de un intento de inicio de sesión que puede haber realizado alguien que no es el propietario legítimo de una cuenta de usuario.
• Usuarios marcados en riesgo: un usuario en riesgo es un indicador de una cuenta de usuario que puede haber estado en peligro.

Microsoft Defender para la nube también puede desencadenar alertas sobre determinadas actividades sospechosas, como un número excesivo de intentos de autenticación con errores o cuentas en desuso en la suscripción. Además de la supervisión básica de la protección de seguridad, el módulo Protección contra amenazas de Microsoft Defender para la nube también puede recopilar alertas de seguridad más detalladas de recursos de proceso individuales de Azure (máquinas virtuales, contenedores, app service), recursos de datos (SQL DB y almacenamiento) y capas de servicio de Azure. Esta funcionalidad permite tener visibilidad sobre las anomalías de la cuenta dentro de recursos individuales.

• Informes de actividad de auditoría en Azure Active Directory

• Habilitación de Azure Identity Protection

• Protección contra amenazas en Microsoft Defender para la nube

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

LT-3: Habilitación del registro para las actividades de red de Azure

Guía:Azure Cognitive Search se puede implementar directamente en una red virtual. Sin embargo, si la aplicación cliente o los orígenes de datos están en una red virtual, puede supervisar y registrar el tráfico de esos componentes integrados en la red, lo que incluye las solicitudes enviadas a un servicio de búsqueda en la nube.

Habilite los registros de flujo de grupo de seguridad de red para los grupos de seguridad de red que protegen Azure Virtual Machines (VM) que se conectará al servicio Cognitive Search red. Envíe registros a una cuenta de Azure Storage para la auditoría de tráfico.

Azure Cognitive Search genera ni procesa registros de consulta DNS.

• Habilitación de los registros de flujo de grupos de seguridad de red

• Métricas y registros de Azure Firewall

• Habilitación y uso del Análisis de tráfico

• Supervisión con Network Watcher

• Soluciones de supervisión de redes de Azure en Azure Monitor

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

LT-4: Habilitación del registro para recursos de Azure

Guía:los registros de actividad, que están disponibles automáticamente, contienen todas las operaciones de escritura (PUT, POST, DELETE) para los recursos de Azure Cognitive Search excepto las operaciones de lectura (GET). Los registros de actividad se pueden usar para encontrar errores al solucionar problemas o para supervisar cómo un usuario de su organización modificó un recurso.

Habilite los registros de recursos de Azure Azure Cognitive Search. Puede usar Microsoft Defender para la nube y Azure Policy para habilitar los registros de recursos y la recopilación de datos de registro. Estos registros pueden ser críticos para investigar incidentes de seguridad y realizar ejercicios forenses.

• Procedimiento para recopilar y analizar datos de registro en Azure Cognitive Search

• Recopilación de registros y métricas de plataforma con Azure Monitor

Responsabilidad: Customer

Supervisión de Microsoft Defenderpara la nube: Azure Security Benchmark es la iniciativa de directiva predeterminada para Microsoft Defender para la nube y es la base de las recomendaciones de Microsoft Defender para la nube. Microsoft Defender para la nube habilita automáticamente las definiciones de Azure Policy relacionadas con este control. Las alertas relacionadas con este control pueden requerir un plan de Microsoft Defender para los servicios relacionados.

Definiciones integradas de Azure Policy: Microsoft.Search:

LT-5: Centralizar la administración y el análisis de los registros de seguridad

Guía: Centralice el almacenamiento y el análisis de los registros para permitir su correlación. Asegúrese de que asigna en cada origen de registro un propietario de datos, una guía de acceso, una ubicación de almacenamiento, qué herramientas se van a usar para procesar y acceder a los datos y los requisitos de retención de datos.

Asegúrese de integrar los registros de actividad de Azure en el registro central. Recopile registros mediante Azure Monitor para agregar datos de seguridad generados por dispositivos de punto de conexión, recursos de red y otros sistemas de seguridad. En Azure Monitor, use áreas de trabajo de Log Analytics para realizar consultas y análisis, y use cuentas de Azure Storage para el almacenamiento de archivos a largo plazo.

Además, habilite e incorpore datos a Microsoft Sentinel o a un SIEM de terceros.

Muchas organizaciones deciden usar Microsoft Sentinel para los datos "frecuentes" que se usan con frecuencia y Azure Storage para los datos "fríos" que se usan con menos frecuencia.

Para las aplicaciones que se pueden ejecutar Azure Cognitive Search, reenvía todos los registros relacionados con la seguridad a SIEM para la administración centralizada.

• Introducción a Azure Monitor e integración con herramienta SIEM de terceros

• Recopilación de registros y métricas de plataforma con Azure Monitor

• Incorporación de Microsoft Sentinel

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

LT-6: Configuración de la retención del almacenamiento de registros

Guía:los datos históricos que se alimentan en las métricas de diagnóstico se conservan Azure Cognitive Search durante 30 días de forma predeterminada. Para una retención más larga, asegúrese de habilitar la configuración que especifica una opción de almacenamiento con el fin de conservar las métricas y los eventos registrados.

En Azure Monitor, establezca el período de retención del área de trabajo de Log Analytics de acuerdo con la normativa de cumplimiento de su organización. Use cuentas de Azure Storage para el almacenamiento de archivos y a largo plazo.

• Cambio del período de retención de datos en Log Analytics

• Configuración de la directiva de retención para los registros de la cuenta de Azure Storage

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

administración de posturas y vulnerabilidades

Para más información, consulte Azure Security Benchmark: administración de posturas y vulnerabilidades.

PV-1: establecimiento de configuraciones seguras para servicios de Azure

Guía:use Azure Policy alias en el espacio de nombres "Microsoft.Search" para crear directivas personalizadas para auditar o aplicar la configuración de los Azure Cognitive Search recursos. También puede usar definiciones de Azure Policy integradas para servicios de Cognitive Search, como:

• Habilitación del registro de auditoría para los recursos de Azure
• Habilite el registro de auditoría para el acceso a la red pública.
• Habilite el registro de auditoría para el uso de private link.

Azure Resource Manager tiene la capacidad de exportar la plantilla en notación de objetos JavaScript (JSON), que se debe revisar para asegurarse de que las configuraciones cumplan los requisitos de seguridad de la organización.

También puede usar las recomendaciones de Microsoft Defender para la nube como línea base de configuración segura para los recursos de Azure.

• Definiciones de directivas integradas de Azure Policy para Azure Cognitive Search

• Trabajar con directivas de seguridad en Microsoft Defender para la nube

• Tutorial: Creación y administración de directivas para aplicar el cumplimiento

• Azure Blueprints

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

PV-2: sostenimiento de configuraciones seguras para servicios de Azure

Guía:use Microsoft Defender para la nube para supervisar la línea de base de configuración y aplicar estas configuraciones mediante los efectos de Azure Policy [deny] e [deploy if not exist] para mantener una configuración segura en los recursos de Azure Cognitive Search.

Use Azure Policy alias en el espacio de nombres "Microsoft.Search" para crear directivas personalizadas para alertar, auditar y aplicar configuraciones del sistema. Además, desarrolle un proceso y una canalización para administrar las excepciones de las directivas.

• Definiciones de directivas integradas de Azure Policy para Azure Cognitive Search

• Descripción de los efectos de Azure Policy

• Creación y administración de directivas para aplicar el cumplimiento

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

PV-6: Realización de evaluaciones de vulnerabilidad de software

Guía:Microsoft realiza administración de vulnerabilidades en los sistemas subyacentes que admiten Azure Cognitive Search.

Responsabilidad: Microsoft

Microsoft Defender para la supervisión en la nube:Ninguno

PV-8: realización de una simulaciones de ataques periódicas

Guía: Según sea necesario, realice pruebas de penetración o actividades de equipo rojo en los recursos de Azure y asegúrese de corregir todos los resultados de seguridad críticos.

siga las reglas de compromiso de la prueba de penetración de Microsoft Cloud para asegurarse de que las pruebas de penetración no infrinjan las directivas de Microsoft. Use la estrategia de Microsoft y la ejecución de las pruebas de penetración del equipo rojo y sitios activos en la infraestructura de nube, los servicios y las aplicaciones administradas por Microsoft.

• Pruebas de penetración en Azure

• Reglas de interacción de las pruebas de penetración

• Equipo rojo de Microsoft Cloud

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

Copia de seguridad y recuperación

Para más información, consulte Azure Security Benchmark: Copia de seguridad y recuperación.

BR-1: Garantía de copias de seguridad automáticas periódicas

Guía:No se puede realizar una copia de seguridad del contenido almacenado en Azure Cognitive Search mediante Azure Backup o cualquier otro mecanismo integrado, pero puede volver a generar un índice a partir del código fuente de la aplicación y los orígenes de datos principales, o bien crear una herramienta personalizada para recuperar y almacenar contenido indexado.

• Ejemplo de copia de seguridad y restauración de índice de GitHub

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

BR-3: Validación de todas las copias de seguridad, incluidas las claves administradas por el cliente

Guía:Azure Cognitive Search actualmente no admite la copia de seguridad automatizada de datos en un servicio de búsqueda y se debe realizar una copia de seguridad y restaurarla a través de un proceso manual. Realice periódicamente la restauración de datos del contenido del que haya realizado una copia de seguridad manualmente para garantizar la integridad de un extremo a otro del proceso de copia de seguridad.

Asegúrese periódicamente de que puede restaurar claves administradas por el cliente de copia de seguridad.

• Restauración de las claves de Key Vault en Azure

• Copia de seguridad y restauración de un índice de Azure Cognitive Search

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

BR-4: Mitigación del riesgo de pérdida de claves

Guía: Asegúrese de aplicar medidas para evitar la pérdida de claves y para recuperarse de ella. Habilite la eliminación temporal y la protección de purga de Azure Key Vault para proteger las claves frente a una eliminación accidental o malintencionada.

• Procedimiento para habilitar la eliminación temporal y la protección de purga en Key Vault

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

Pasos siguientes

• Consulte la Información general sobre Azure Security Benchmark V2.
• Obtenga más información sobre las líneas de base de seguridad de Azure.