Línea de base de seguridad de Azure para Azure Data Explorer

Esta línea base de seguridad aplica instrucciones de la versión 2.0 de Azure Security Benchmark a Azure Data Explorer. Azure Security Benchmark proporciona recomendaciones sobre cómo puede proteger sus soluciones de nube en Azure. El contenido se agrupa por medio de los controles de seguridad que define Azure Security Benchmark y las directrices relacionadas aplicables en Azure Data Explorer.

Seguridad de redes

Para más información, consulte Azure Security Benchmark: seguridad de red.

NS-1: implementación de la seguridad para el tráfico interno

Guía:al implementar recursos Azure Data Explorer, cree o use una red virtual existente. Asegúrese de que todas las redes virtuales de Azure siguen un principio de segmentación empresarial que se alinea con los riesgos empresariales. Si un sistema incurre en un mayor riesgo para la organización, aísle dentro de su propia red virtual. Proteja la red virtual lo suficiente con un grupo de seguridad de red (NSG) o Azure Firewall.

Con la protección de red adaptable de Microsoft Defender para la nube, se recomiendan configuraciones de NSG que limiten los puertos y las IP de origen en función de las reglas de tráfico de red externas.

En función de las aplicaciones y la estrategia de segmentación empresarial, restrinja o permita el tráfico entre los recursos internos según las reglas de NSG. Para aplicaciones específicas y bien definidas (como una aplicación de tres niveles), esta táctica puede ser una denegación altamente segura de forma predeterminada.

Con los NSG, puede controlar el acceso a la red dentro de una red virtual. Azure Data Explorer requiere un determinado conjunto de reglas de seguridad de red entrantes y salientes para funcionar. Para implementar y usar correctamente Azure Data Explorer, delegue la subred que se usa para la inserción en "Microsoft.Kusto/clusters" antes de crear el clúster.

Para deshabilitar completamente el acceso Azure Data Explorer a través de la dirección IP pública, cree otra regla de entrada en el NSG. La regla debe denegar todos los intervalos de puertos de la etiqueta de origen "Internet" y el destino "VirtualNetwork". Esta regla tiene que tener una prioridad menor (un número mayor).

• Creación de un grupo de seguridad de red con reglas de seguridad

• Implementación y configuración de Azure Firewall

• Protección de red adaptable en Microsoft Defender para la nube

• Creación de un clúster en la red virtual

• Implementación del clúster Azure Data Explorer en la red virtual

• Solución de problemas de creación, conectividad y operación del clúster de red virtual

• Deshabilitación del acceso a Azure Data Explorer desde la dirección IP pública

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

NS-2: Conexión conjunta de redes privadas

Guía: Use Azure ExpressRoute o la red privada virtual (VPN) de Azure para crear conexiones privadas entre centros de datos de Azure y una infraestructura local en un entorno de coubicación. Conexiones de ExpressRoute que no fluyen a través de la red pública de Internet. Las conexiones ExpressRoute ofrecen más confiabilidad, velocidades más rápidas y latencias más bajas que las conexiones a Internet típicas. En el caso de vpn de punto a sitio y VPN de sitio a sitio, puede conectar dispositivos o redes locales a una red virtual mediante cualquier combinación de estas opciones de VPN y Azure ExpressRoute.

Para conectar entre sí dos o más redes virtuales en Azure, use el emparejamiento de redes virtuales. El tráfico entre redes virtuales emparejadas es privado y se mantiene en la red troncal de Azure.

• Qué son los modelos de conectividad de ExpressRoute

• Información general sobre la red privada virtual de Azure

• Interconexión de red virtual

• Configuración de ExpressRoute

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

NS-3: establecimiento del acceso de red privada a los servicios de Azure

Guía: Azure Data Explorer admite la implementación de un clúster en una subred de la red virtual. Con esta funcionalidad, puede:

• Aplique reglas de grupo de seguridad de red (NSG) en el tráfico Azure Data Explorer clúster.
• Conectar la red local a la subred del clúster de Azure Data Explorer.
• Proteja los orígenes de conexión de datos.

Actualmente Azure Data Explorer está en versión preliminar para la compatibilidad con puntos de conexión privados. El punto de conexión privado será el método preferido para establecer el acceso a la red privada cuando esté disponible con carácter general.

• Creación de un clúster en la red virtual

• Implementación del clúster Azure Data Explorer en la red virtual

• Azure Data Explorer versión preliminar del punto de conexión privado

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

NS-4: protección de las aplicaciones y servicios de ataques de redes externas

Guía:Proteja sus recursos Azure Data Explorer frente a ataques de redes externas, como:

• Ataques de denegación de servicio distribuido (DDoS).
• Ataques específicos de la aplicación.
• Tráfico de Internet no solicitado y potencialmente malintencionado.

Use Azure Firewall para proteger las aplicaciones y los servicios contra el tráfico potencialmente malintencionado de Internet y otras ubicaciones externas. Para proteger los recursos frente a ataques DDoS, habilite la protección estándar de DDoS en las redes virtuales de Azure. Use Microsoft Defender para la nube para detectar riesgos de configuración incorrecta en los recursos relacionados con la red.

Azure Data Explorer no está diseñado para ejecutar aplicaciones web. No requiere que configure ninguna otra configuración ni implemente ningún servicio de red adicional. Azure Data Explorer protegerá frente a ataques de red externos dirigidos a aplicaciones web.

• Documentación sobre Azure Firewall

• Administración de Azure DDoS Protection estándar mediante Azure Portal

• Recomendaciones de Microsoft Defender para la nube

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

NS-6: simplificación de las reglas de seguridad de red

Guía:con las etiquetas Virtual Network servicio de Azure, puede definir controles de acceso a la red en grupos de seguridad de red o Azure Firewall que están configurados para los Azure Data Explorer recursos. Puede usar etiquetas de servicio en lugar de direcciones IP específicas al crear reglas de seguridad. Si especifica el nombre de la etiqueta de servicio en el campo de origen o destino adecuado de una regla, puede permitir o denegar el tráfico para el servicio correspondiente. Microsoft administra los prefijos de dirección que se incluyen en la etiqueta de servicio. A medida que cambian las direcciones, la etiqueta de servicio se actualiza automáticamente.

Azure Data Explorer proporciona una etiqueta de servicios para el tráfico de administración entrante (AzureDataExplorerManagement). La dirección IP responsable de la supervisión del estado no está disponible a través de una etiqueta de servicio. Se recomienda encarecidamente usar ADX mediante el mecanismo de delegación de subred. Para lograr esta configuración, delegue la subred en Microsoft.Kusto/clusters.

• Descripción y uso de etiquetas de servicio

• Etiquetas de servicio o configuración de NSG entrantes

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

Administración de identidades

Para más información, consulte Azure Security Benchmark: Administración de identidades.

IM-1: Unificación en Azure Active Directory como sistema central de identidad y autenticación

Guía:Azure Active Directory (Azure AD) es el único método para autenticarse en Azure Data Explorer. Azure AD admite muchos escenarios de autenticación:

• Autenticación de usuario (inicio de sesión interactivo): se usa para autenticar entidades de seguridad humanas.

• Autenticación de aplicaciones (inicio de sesión no interactivo): se usa para autenticar servicios y aplicaciones que tienen que ejecutarse o autenticarse sin que haya un usuario humano presente.

Para más información, consulte las siguientes referencias:

• Azure Data Explorer información general sobre el control de acceso

• Autenticación de Azure Active Directory (AAD)

• Autenticación en Azure Data Explorer

• Azure Data Explorer autorización

• Autorización basada en roles en Kusto

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

IM-2: Administración de identidades de aplicaciones de forma segura y automática

Guía:Azure Data Explorer identidades administradas para sus recursos de Azure. Use identidades administradas con Azure Data Explorer en lugar de crear entidades de servicio para acceder a otros recursos. Azure Data Explorer autenticarse de forma nativa en los servicios o recursos de Azure que admiten Azure AD autenticación. La autenticación nativa continúa a través de una regla de concesión de acceso predefinida sin usar credenciales codificadas de forma segura en el código fuente o los archivos de configuración.

Para configurar entidades de servicio con credenciales de certificado y reserva de secretos de cliente, Azure Data Explorer recomienda usar Azure AD para crear una entidad de servicio con permisos restringidos en el nivel de recurso. En ambos casos, puede usar Azure Key Vault con identidades administradas por Azure para que el entorno en tiempo de ejecución (como una función de Azure) pueda recuperar la credencial del almacén de claves.

• Identidades administradas de Azure

• Uso de Azure Key Vault para el registro de entidades de seguridad

• Entidades de seguridad y proveedores de identidades

• Configuración de identidades administradas para el clúster de Azure Data Explorer

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

IM-3: Uso del inicio de sesión único de Azure AD para acceder a las aplicaciones

Guía:Azure Data Explorer usa Azure AD para proporcionar administración de identidades y acceso a:

• Recursos de Azure.
• Aplicaciones en la nube.
• Aplicaciones locales.

Esta administración se aplica a:

• Enterprise identidades, como los empleados.
• Identidades externas, como asociados, proveedores y proveedores.

Con este mecanismo, el inicio de sesión único (SSO) puede administrar y proteger el acceso a los datos y recursos de su organización tanto en el entorno local como en la nube. Conectar todos los usuarios, aplicaciones y dispositivos a la Azure AD. Esta acción proporciona acceso seguro sin problemas, mayor visibilidad y más control.

• Información sobre el inicio de sesión único (SSO) en aplicaciones con Azure AD

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

IM-7: Elimine la exposición de credenciales no intencionada

Guía:Azure Data Explorer permite a los clientes implementar sus recursos a través de plantillas Azure Resource Manager, que pueden contener secretos incrustados. Para protegerse frente a este riesgo potencial, se recomienda implementar Credential Scanner para identificar las credenciales dentro del código. Credential Scanner también fomentará el traslado de las credenciales detectadas a ubicaciones más seguras, como Azure Key Vault.

Por GitHub, puede usar la característica de examen de secretos nativos, que identifica las credenciales u otras formas de secretos dentro del código.

Para más información, consulte las siguientes referencias:

• Cómo configurar Credential Scanner

• Escaneo de secretos de GitHub

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

Acceso con privilegios

Para más información, consulte Azure Security Benchmark: Acceso con privilegios.

PA-1: Protección y limitación de usuarios con privilegios elevados

Guía:Los roles integrados más críticos para Azure AD son Administrador global y Administrador de roles con privilegios. Los usuarios que están asignados a estos dos roles pueden delegar roles de administrador:

• Administrador global o Administrador de empresa: los usuarios con este rol tienen acceso a todas las características administrativas de Azure AD y a los servicios que usan Azure AD identidades.

• Administrador de roles con privilegios: los usuarios con este rol pueden administrar las asignaciones de roles Azure AD y dentro de Azure AD Privileged Identity Management (PIM). Este rol también permite la administración de todos los aspectos de PIM y unidades administrativas.

Nota: Si usa roles personalizados con determinados permisos con privilegios asignados, es posible que tenga otros roles críticos que deban regularse. También puede aplicar controles similares a la cuenta de administrador de recursos empresariales críticos.

Limite el número de roles o cuentas con privilegios elevados. Proteja estas cuentas en un nivel elevado. Los usuarios con este privilegio pueden leer y modificar directa o indirectamente todos los recursos del entorno de Azure.

Puede habilitar el acceso con privilegios Just-In-Time (JIT) a los recursos de Azure Azure AD mediante Azure AD PIM. JIT concede permisos temporales para realizar tareas con privilegios solo cuando los usuarios lo necesitan. PIM también puede generar alertas de seguridad cuando hay actividad sospechosa o no segura en la Azure AD organización.

El rol con privilegios más alto Azure Data Explorer en el modelo de control de acceso basado en rol (RBAC de Azure) de Azure es Administrador de todas las bases de datos. Puede configurar ese rol en el plano de control del servicio en el portal (pestaña Permisos). Cree procedimientos operativos estándar en torno al uso de cuentas administrativas dedicadas, como Todos los administradores de bases de datos.

• Permisos de rol administrativo en Azure AD

• Uso de alertas de seguridad de Azure Privileged Identity Management

• Protección del acceso con privilegios para las implementaciones híbridas y en la nube en Azure AD

• Autorización basada en roles en Kusto

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

PA-2: Restricción del acceso administrativo a los sistemas críticos para la empresa

Guía:Azure Data Explorer un modelo de control de acceso basado en roles, bajo el cual las entidades de seguridad autenticadas se asignan a roles. Las entidades de seguridad obtienen acceso según los roles que están asignados.

Los clientes pueden usar la pertenencia a grupos o el contexto de ejecución para controlar el acceso a las filas de una tabla de base de datos.

Seguridad de nivel de fila (RLS) simplifica el diseño y la codificación de la seguridad. Permite aplicar restricciones en el acceso a las filas de datos en la aplicación. Por ejemplo, puede limitar el acceso de los usuarios a las filas relevantes para su departamento o restringir el acceso de los clientes solo a los datos pertinentes para su empresa.

La lógica de restricción de acceso se encuentra en el nivel de base de datos, en lugar de lejos de los datos de otro nivel de aplicación. El sistema de base de datos aplica las restricciones de acceso siempre que se intenta el acceso a los datos desde cualquier nivel. Esta lógica hace que el sistema de seguridad sea más confiable y sólido, ya que reduce el área de superficie del sistema de seguridad.

• Componentes de Azure y modelo de referencia

• Autorización basada en roles en Kusto

• Seguridad de nivel de fila

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

PA-3: Revisión y conciliación de manera periódica del acceso de los usuarios

Guía:Para asegurarse de que las cuentas y el acceso de los usuarios son válidos, Azure Data Explorer usa Azure Active Directory (Azure AD) para:

• Administrar sus recursos.
• Revise las cuentas de usuario.
• Asignaciones de acceso con regularidad.

Puede usar las revisiones Azure AD y de acceso para revisar:

• Pertenencias a grupos.
• Acceso a aplicaciones empresariales.
• Asignaciones de roles.

Los informes de Azure AD pueden proporcionar registros para ayudar a detectar cuentas obsoletas. También puede usar Azure AD Privileged Identity Management (PIM) para crear flujos de trabajo de informes de revisión de acceso. Los flujos de trabajo de informe facilitan el proceso de revisión.

Puede configurar Azure AD PIM para que le alerte cuando se crea un número excesivo de cuentas de administrador. Puede identificar cuentas de administrador obsoletas o configuradas incorrectamente.

Nota: Algunos servicios de Azure admiten roles y usuarios locales que no se administran mediante Azure AD. Deberá administrar estos usuarios por separado.

Azure Data Explorer un modelo de control de acceso basado en roles. Las entidades de seguridad autenticadas se asignan a roles. Las entidades de seguridad obtienen acceso según los roles que están asignados.

• Creación de una revisión de acceso de los roles de recursos de Azure en PIM

• Procedimiento para usar las revisiones de acceso e identidades de Azure AD

• Autorización basada en roles en Kusto

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

PA-7: Seguir solo una administración suficiente (principio de privilegios mínimos)

Guía:Azure Data Explorer integra con el control de acceso basado en rol de Azure (RBAC de Azure) para administrar sus recursos. Azure RBAC le permite administrar el acceso a los recursos de Azure mediante las asignaciones de roles. Puede asignar estos roles a:

• Usuarios.
• Grupos.
• Entidades de servicio.
• Las identidades administradas.

Hay roles integrados predefinidos para determinados recursos. Estos roles se pueden inventariar o consultar a través de herramientas, como:

• CLI de Azure.
• Azure PowerShell.
• Azure Portal.

Si asigna privilegios a los recursos a través del RBAC de Azure, siempre deben estar limitados por lo que requieren los roles. Esta práctica complementa el enfoque Just-In-Time (JIT) de Azure AD Privileged Identity Management (PIM) y se debe revisar periódicamente.

Use roles integrados para conceder permisos. Cree solo roles personalizados cuando sea necesario.

Azure Data Explorer también permite controlar el acceso a las bases de datos y tablas mediante un modelo RBAC de Azure. El modelo asigna entidades de seguridad autenticadas a roles. Las entidades de seguridad obtienen acceso según los roles asignados.

• ¿Qué es RbAC de Azure?

• Configuración de RBAC en Azure

• Procedimiento para usar las revisiones de acceso e identidades de Azure AD

• Autorización basada en roles en Kusto

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

PA-8: Selección del proceso de aprobación para el soporte técnico de Microsoft

Guía:en escenarios de soporte técnico en los que Microsoft necesita acceder a los datos de los clientes, Azure Data Explorer admite Caja de seguridad del cliente. Caja de seguridad del cliente proporciona una interfaz para que la revise y, a continuación, apruebe o rechace las solicitudes de acceso a datos del cliente.

• Descripción de la Caja de seguridad del cliente

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

Protección de datos

Para más información, consulte Azure Security Benchmark: protección de datos.

DP-1: detección, clasificación y etiquetado de datos confidenciales

Guía:Azure Data Explorer integra con Azure Purview. Azure Purview admite más de 100 clasificaciones integradas, entre las que se incluyen:

• Tarjetas de crédito.
• Números de cuenta.
• Los IDs gubernamentales.
• Datos de ubicación.

Los clientes pueden crear clasificaciones personalizadas. Mediante reglas de clasificación integradas y personalizadas, los clientes pueden aplicar estas clasificaciones a escala.

• Etiquetado de información confidencial mediante Azure Information Protection

• Implementación de la detección de datos de Azure SQL

• Registro y examen de Azure Data Explorer

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

DP-2: Protección de datos confidenciales

Guía:Protección de datos confidenciales mediante la restricción del acceso mediante:

• Control de acceso basado en roles de Azure (RBAC de Azure).
• Controles de acceso basados en red.
• Controles específicos en los servicios de Azure (como el cifrado).

Para garantizar un control de acceso coherente, alinee todos los tipos de control de acceso con la estrategia de segmentación empresarial. Use la ubicación de sistemas y datos confidenciales o críticos para la empresa al diseñar una estrategia de segmentación empresarial.

Azure Data Explorer ofrece varias características para proteger el contenido del cliente. Para obtener información confidencial, debe activar el cifrado en todos los niveles (datos en caché, en reposo y cifrado doble de cuentas de almacenamiento). Separe esos clústeres de otros recursos por red virtual o subred. Etiquete los clústeres correctamente y los proteja dentro de un grupo de seguridad de red Azure Firewall. Aislar lo suficiente Azure Data Explorer clústeres que almacenan o procesan datos confidenciales. Para proporcionar acceso en el plano de datos Azure Data Explorer RBAC, considere el principio de privilegios mínimos.

En el caso de la plataforma subyacente (administrada por Microsoft), tratamos todo el contenido del cliente como confidencial y protegemos contra la pérdida y exposición de los datos de los clientes. Para garantizar que los datos de los clientes de Azure siguen siendo seguros, hemos implementado algunos controles y funcionalidades de protección de datos predeterminados.

• Descripción de la protección de datos de los clientes en Azure

• Implementación del clúster Azure Data Explorer en la red virtual

• Azure Data Explorer información general sobre el control de acceso

• Cifrado de disco de clúster

• Habilitación del cifrado de infraestructura (cifrado doble) durante la creación de un clúster en Azure Data Explorer

• Configuración de claves administradas por el cliente mediante Azure Portal

• Habilitación del proceso aislado en el clúster de Azure Data Explorer

• Seguridad de nivel de fila

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

DP-4: Cifrado de la información confidencial en tránsito

Guía:Para complementar los controles de acceso, proteja los datos en tránsito frente a ataques "fuera de banda" (como la captura de tráfico) mediante cifrado. Esta práctica garantiza que los atacantes no puedan leer ni modificar fácilmente los datos.

Azure Data Explorer admite el cifrado de datos en tránsito con el protocolo seguridad de la capa de transporte (TLS) versión 1.2 o superior.

Aunque el cifrado de datos es opcional para el tráfico en redes privadas, es fundamental para el tráfico en redes externas y públicas. Para el tráfico HTTP, asegúrese de que los clientes que se conectan a los recursos de Azure pueden negociar TLS v1.2 o superior. Para la administración remota, use SSH (para Linux) o RDP/TLS (para Windows) en lugar de un protocolo sin cifrar. Deshabilite los siguientes elementos:

• SSL obsoleto
• TLS
• Versiones y protocolos de SSH
• Cifrados débiles

De forma predeterminada, Azure proporciona el cifrado de los datos en tránsito entre los centros de datos de Azure.

• Descripción del cifrado en tránsito con Azure

• Información sobre la seguridad tls

• Cifrado doble para datos de Azure en tránsito

Responsabilidad: Compartido

Microsoft Defender para la supervisión en la nube:Ninguno

DP-5: Cifrado de datos confidenciales en reposo

Guía:Para complementar los controles de acceso, Azure Data Explorer datos en reposo para protegerlos frente a ataques "fuera de banda" (como el acceso al almacenamiento subyacente) mediante cifrado. Esta práctica ayuda a garantizar que los atacantes no puedan leer ni modificar fácilmente los datos.

Azure proporciona cifrado de datos en reposo de forma predeterminada. En el caso de datos altamente confidenciales, tiene opciones para implementar más cifrado en reposo en todos los recursos de Azure cuando estén disponibles. Azure administra las claves de cifrado de forma predeterminada. Pero Azure también proporciona opciones para administrar sus propias claves (claves administradas por el cliente) para determinados servicios de Azure, para cumplir los requisitos normativos.

• Descripción del cifrado en reposo en Azure

• Cifrado doble de datos en reposo en Azure

• Configuración de las claves de cifrado administradas por el cliente

• Tabla de modelo de cifrado y administración de claves

• Configuración de claves administradas por el cliente mediante Azure Portal

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

Administración de recursos

Para más información, consulte Azure Security Benchmark: Administración de recursos.

AM-1: Asegúrese de que el equipo de seguridad puede supervisar los riesgos de los recursos.

Guía:Conceda permisos de lector de seguridad a los equipos de seguridad en el inquilino de Azure y en las suscripciones que Azure Data Explorer recursos. Con estos permisos, el inquilino y las suscripciones pueden supervisar los riesgos de seguridad mediante Microsoft Defender para la nube.

En función de cómo e structuree las responsabilidades del equipo de seguridad, un equipo de seguridad central o un equipo local podrían ser responsables de supervisar los riesgos de seguridad. Pero siempre debe agregar información de seguridad y riesgos de forma centralizada dentro de una organización.

Los permisos de lector de seguridad se pueden aplicar en general a un inquilino completo (grupo de administración raíz) o a grupos de administración o a suscripciones específicas.

Nota: Es posible que se necesiten otros permisos para obtener visibilidad de las cargas de trabajo y los servicios.

• Información general del rol Lector de seguridad

• Introducción a los grupos de administración de Azure

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

AM-2: Asegúrese de que el equipo de seguridad tiene acceso al inventario de recursos y a los metadatos.

Guía:Asegúrese de que los equipos de seguridad tienen acceso a un inventario de recursos actualizado continuamente en Azure, como Azure Data Explorer. A menudo, los equipos de seguridad necesitan este inventario para evaluar la posible exposición de su organización a los riesgos emergentes. También se necesita como entrada para las mejoras de seguridad continuas. Cree un Azure Active Directory (Azure AD) que contenga el equipo de seguridad autorizado de la organización. A continuación, asigne al equipo acceso de lectura a todos Azure Data Explorer recursos. Este acceso se puede simplificar mediante una única asignación de roles de alto nivel dentro de la suscripción.

Para organizar el inventario en una taxonomía, aplique etiquetas a Azure:

• Recursos.
• Grupos de recursos.
• Suscripciones.

Cada etiqueta consta de un nombre y un par de valores. Por ejemplo, puede aplicar el nombre "Environment" y el valor "Production" a todos los recursos en producción.

Azure Data Explorer no permite ejecutar una aplicación ni la instalación de software en sus recursos.

• Creación de consultas con Azure Resource Graph Explorer

• Administración del inventario de recursos en la nube de Microsoft Defender

• Guía de decisiones de nomenclatura y etiquetado de recursos

Responsabilidad: Compartido

Microsoft Defender para la supervisión en la nube:Ninguno

registro y detección de amenazas

Para más información, consulte Azure Security Benchmark: registro y detección de amenazas.

LT-1: Habilitación de la detección de amenazas para recursos de Azure

Guía:Azure Data Explorer no proporciona funcionalidades nativas para supervisar las amenazas de seguridad relacionadas con sus recursos.

Configure los registros de recursos y reenvía los registros Azure Data Explorer a SIEM, que puede usar para configurar detecciones de amenazas personalizadas. Asegúrese de supervisar diferentes tipos de recursos de Azure en busca de posibles amenazas y anomalías. Céntrese en obtener alertas de alta calidad para reducir los falsos positivos que deben revisar los analistas. Las alertas se pueden crear a partir de datos de registro, agentes u otros datos.

• Creación de reglas de análisis personalizadas para detectar amenazas

• Inteligencia sobre amenazas cibernéticas con Microsoft Sentinel

• Supervisión de la ingesta, los comandos, las consultas y las tablas de Azure Data Explorer con los registros de diagnóstico

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

LT-3: Habilitación del registro para las actividades de red de Azure

Guía:Habilite y recopile los siguientes registros para el análisis de seguridad de red relacionado con los recursos Azure Data Explorer red:

• Registros de recursos de NSG
• Registros de flujos del grupo de seguridad de red
• Registros de Azure Firewall

Puede enviar los registros de flujo a un área de trabajo Azure Monitor Log Analytics. A continuación, Análisis de tráfico para proporcionar información.

Azure Data Explorer no genera ni procesa registros de consulta DNS.

• Habilitación de los registros de flujo de grupos de seguridad de red

• Métricas y registros de Azure Firewall

• Habilitación y uso del análisis de tráfico

• Supervisión con Network Watcher

• Soluciones de supervisión de redes de Azure en Azure Monitor

• Tutorial: Registro del tráfico de red hacia y desde una máquina virtual mediante Azure Portal

• Implementación Azure Data Explorer clúster en la red virtual

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

LT-4: Habilitación del registro para recursos de Azure

Guía:los registros de actividad, que están disponibles automáticamente, contienen todas las operaciones de escritura (PUT, POST y DELETE) para los Azure Data Explorer recursos. Sin embargo, los registros no contienen operaciones de lectura (GET). Puede usar los registros de actividad para encontrar un error al solucionar problemas o para supervisar cómo un usuario de su organización modificó un recurso.

Habilite los registros de recursos de Azure para Azure Data Explorer. Puede usar Microsoft Defender para la nube y Azure Policy para habilitar los registros de recursos y la recopilación de datos de registro. Estos registros pueden ser críticos al investigar incidentes de seguridad y realizar ejercicios forenses.

Azure Data Explorer entidades de seguridad pueden ejecutar un comando que devuelve una tabla con comandos de administrador y consultas que han alcanzado un estado final. Estos comandos y consultas están disponibles durante 30 días.

• Recopilación de registros y métricas de plataforma con Azure Monitor

• Descripción del registro y de los distintos tipos de registro de Azure

• Información sobre la recopilación de datos de Microsoft Defender para la nube

• Administración de comandos y consultas

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

LT-6: Configuración de la retención del almacenamiento de registros

Guía:para las cuentas de almacenamiento o las áreas de trabajo de Log Analytics que se usan para almacenar registros de Azure Data Explorer, establezca el período de retención de registros de acuerdo con las regulaciones de cumplimiento de su organización.

• Configuración del período de retención del área de trabajo de Log Analytics

• Almacenamiento de registros de recursos en una Azure Storage de recursos

• Supervisión de la ingesta, los comandos, las consultas y las tablas de Azure Data Explorer con los registros de diagnóstico

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

administración de posturas y vulnerabilidades

Para más información, consulte Azure Security Benchmark: administración de posturas y vulnerabilidades.

PV-1: establecimiento de configuraciones seguras para servicios de Azure

Guía:Con una única definición de plano técnico, use Azure Blueprints para automatizar la implementación y configuración de servicios y entornos de aplicación, incluidos:

• Plantillas de Azure Resources Manager.
• Controles RBAC de Azure.
• Directivas.

Azure Data Explorer el cumplimiento de la configuración a través Azure Policy definiciones. Proporciona un conjunto de definiciones de Azure Policy integradas para su uso estándar.

• Trabajar con directivas de seguridad en Microsoft Defender para la nube

• Ilustración de la implementación de límites de protección en la zona de aterrizaje de escala empresarial

• Tutorial: Creación y administración de directivas para aplicar el cumplimiento

• Azure Blueprints

• Definiciones integradas de Azure Policy para Azure Data Explorer

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

PV-2: sostenimiento de configuraciones seguras para servicios de Azure

Guía:Use Microsoft Defender para la nube para supervisar la línea base de configuración. Use también Azure Policy [deny] e [deploy if not exist] para aplicar la configuración segura en los Azure Data Explorer recursos.

• Descripción de los efectos de Azure Policy

• Creación y administración de directivas para aplicar el cumplimiento

• Definiciones integradas de Azure Policy para Azure Data Explorer

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

PV-3: establecimiento de configuraciones seguras para los recursos de proceso

Guía:Use Microsoft Defender para la nube y Azure Policy para establecer configuraciones seguras para Azure Data Explorer.

• Supervisión de recomendaciones de Microsoft Defender para la nube

• Guía de referencia sobre las recomendaciones de seguridad

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

PV-6: Realizar evaluaciones de vulnerabilidades de software

Guía:la administración de vulnerabilidades se realiza en los sistemas subyacentes que admiten Azure Data Explorer.

Responsabilidad: Microsoft

Microsoft Defender para la supervisión en la nube:Ninguno

seguridad de los puntos de conexión

Para más información, consulte Azure Security Benchmark: seguridad de los puntos de conexión.

ES-1: Usar detección y respuesta de puntos de conexión (EDR)

Guía:Azure Data Explorer no implementa ningún recurso de proceso orientado al cliente que requiera que los clientes configuren EDR protección. Microsoft controla la Azure Data Explorer subyacente para el control de EDR antimalware.

Responsabilidad: Microsoft

Microsoft Defender para la supervisión en la nube:Ninguno

ES-2: Uso de software antimalware moderno administrado centralmente

Guía:los recursos de proceso de Azure Data Explorer la protección antimalware, que se actualiza periódicamente. Los cambios de configuración, otras opciones o la implementación de servicios adicionales no son necesarios para proteger los recursos de proceso frente a malware.

Responsabilidad: Microsoft

Microsoft Defender para la supervisión en la nube:Ninguno

ES-3: Asegurarse de que se actualizan el software y las firmas antimalware

Guía:los recursos de proceso de Azure Data Explorer la protección antimalware, que se actualiza periódicamente. Los cambios de configuración, otras opciones o la implementación de servicios adicionales no son necesarios para proteger los recursos de proceso frente a malware.

Responsabilidad: Microsoft

Microsoft Defender para la supervisión en la nube:Ninguno

Copia de seguridad y recuperación

Para más información, consulte Azure Security Benchmark: Copia de seguridad y recuperación.

BR-1: Garantía de copias de seguridad automáticas periódicas

Guía:Para los requisitos de copia de seguridad de clientes, los clientes pueden configurar funcionalidades nativas (como la exportación continua) para habilitar sus propios procesos de copia de seguridad personalizados.

• Introducción a la exportación de datos continua

• Continuidad empresarial y recuperación ante desastres

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

BR-2: Cifrado de los datos de copia de seguridad

Guía:Azure Data Explorer no admite copias de seguridad de datos de forma nativa y, en su lugar, está diseñado para ser de alta disponibilidad, Azure Data Explorer aplica Azure Storage como su capa de persistencia duradera. Azure Storage proporciona automáticamente tolerancia a errores, con la opción predeterminada de almacenamiento con redundancia local (LRS) dentro de un centro de datos. Los datos se cifran con claves administradas por Microsoft.

• Alta disponibilidad de Azure Data Explorer

Responsabilidad: Microsoft

Microsoft Defender para la supervisión en la nube:Ninguno

BR-3: Validación de todas las copias de seguridad, incluidas las claves administradas por el cliente

Guía:asegúrese periódicamente de que puede restaurar claves administradas por el cliente de copia de seguridad que se usan para cifrar Azure Data Explorer datos en reposo.

• Restauración de claves desde Azure Key Vault

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

BR-4: Mitigación del riesgo de pérdida de claves

Guía:tome medidas para evitar y recuperarse de la pérdida de claves que se usan para cifrar los Azure Data Explorer datos en reposo. Habilite la eliminación automática y la protección de purga en Azure Key Vault, que protege las claves frente a eliminaciones accidentales o malintencionadas.

• Procedimiento para habilitar la eliminación temporal y la protección de purga en Key Vault

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

Pasos siguientes

• Consulte la Información general sobre Azure Security Benchmark V2.
• Obtenga más información sobre las líneas de base de seguridad de Azure.