Base de referencia de seguridad de Azure para Data Lake Analytics
Esta línea de base de seguridad aplica las instrucciones descritas en Información general sobre Azure Security Benchmark (v1) a Data Lake Analytics. Azure Security Benchmark proporciona recomendaciones sobre cómo puede proteger sus soluciones de nube en Azure. El contenido se agrupa por medio de los controles de seguridad que define Azure Security Benchmark y las instrucciones relacionadas aplicables a Data Lake Analytics.
Nota
Los controles no aplicables a Data Lake Analytics, o para los que la responsabilidad es de Microsoft, se han excluido. Para ver cómo Data Lake Analytics asigna completamente a Azure Security Benchmark, consulte el archivo de asignación de línea Data Lake Analytics base de referencia de seguridad completo.
Seguridad de redes
Para más información, consulte Azure Security Benchmark: seguridad de red.
1.1: Protección de los recursos de Azure dentro de las redes virtuales
Instrucciones: use la configuración de firewall para Data Lake Analytics para limitar los intervalos IP externos; de este modo, permitirá el acceso desde los clientes locales y los servicios de terceros. Puede configurar las opciones del firewall a través del portal, las API REST o PowerShell.
Responsabilidad: Customer
Microsoft Defender para la supervisión en la nube:Ninguno
1.4: Denegación de las comunicaciones con direcciones IP malintencionadas conocidas
Guía: Use la configuración de firewall para Data Lake Analytics para limitar los intervalos IP externos; de este modo, permitirá el acceso desde los clientes locales y los servicios de terceros. Puede configurar las opciones del firewall a través del portal, las API REST o PowerShell.
Responsabilidad: Customer
Microsoft Defender para la supervisión en la nube:Ninguno
Registro y supervisión
Para más información, consulte Azure Security Benchmark: registro y supervisión.
2.2: Configuración de la administración central de registros de seguridad
Guía: Ingiera registros a través de Azure Monitor para agregar datos de seguridad, como los diagnósticos de "auditoría" y "solicitudes" de Data Lake Analytics. En Azure Monitor, use un área de trabajo de Log Analytics para realizar consultas y análisis, y use cuentas de Azure Storage para el almacenamiento de archivos a largo plazo, lo que puede incluir, opcionalmente, características de seguridad como almacenamiento inmutable y aplicación de suspensiones de retención.
Como alternativa, puede habilitar e agregar datos a Microsoft Sentinel o a una solución de administración de eventos e información del sistema de terceros.
Acceso a los registros de diagnóstico de Azure Data Lake Analytics
Recopilación de registros y métricas de plataforma con Azure Monitor
Recopilación de registros de host internos de máquina virtual de Azure con Azure Monitor
Introducción a Azure Monitor e integración con herramienta SIEM de terceros
Responsabilidad: Customer
Microsoft Defender para la supervisión en la nube:Ninguno
2.3: Habilitación del registro de auditoría para recursos de Azure
Guía: Habilite la configuración de diagnóstico de Data Lake Analytics para tener acceso a los registros de auditoría y solicitudes. Aquí se incluyen datos como el origen del evento, la fecha, el usuario, la marca de tiempo y otros elementos útiles.
Recopilación de registros y métricas de plataforma con Azure Monitor
Descripción del registro y de los distintos tipos de registro de Azure
Responsabilidad: Customer
Supervisión de Microsoft Defenderpara la nube: Azure Security Benchmark es la iniciativa de directiva predeterminada para Microsoft Defender para la nube y es la base de las recomendaciones de Microsoft Defender para la nube. Microsoft Defender para la nube habilita automáticamente las definiciones de Azure Policy relacionadas con este control. Las alertas relacionadas con este control pueden requerir un plan de Microsoft Defender para los servicios relacionados.
Definiciones integradas de Azure Policy (Microsoft.DataLakeAnalytics) :
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Los registros de recursos de Data Lake Analytics deben estar habilitados | Habilitación de la auditoría de los registros de recursos. Esto le permite volver a crear seguimientos de actividad con fines de investigación en caso de incidente de seguridad o riesgo para la red. | AuditIfNotExists, Disabled | 5.0.0 |
2.5: Configuración de la retención del almacenamiento de registros de seguridad
Guía: En Azure Monitor, establezca el período de retención del área de trabajo de Log Analytics de acuerdo con la normativa de cumplimiento de su organización. Use cuentas de Azure Storage para el almacenamiento de archivos y a largo plazo.
Responsabilidad: Customer
Microsoft Defender para la supervisión en la nube:Ninguno
2.6: Supervisión y revisión de registros
Guía: Analice y supervise los registros en busca de comportamientos anómalos y revise periódicamente los resultados de los recursos de Data Lake Analytics. Use el área de trabajo de Log Analytics de Azure Monitor para revisar los registros y realizar consultas en los datos del registro. Como alternativa, puede habilitar e incluir datos en Microsoft Sentinel o en una solución de administración de eventos e información del sistema de terceros.
Responsabilidad: Customer
Microsoft Defender para la supervisión en la nube:Ninguno
2.7: Habilitación de alertas para actividades anómalas
Guía: Habilite la configuración de diagnóstico de Data Lake Analytics y envíe registros a un área de trabajo de Log Analytics. Incorpore el área de trabajo de Log Analytics a Microsoft Sentinel, ya que proporciona una solución de respuesta automatizada de orquestación de seguridad (SOAR). Esto permite crear cuadernos de estrategias (soluciones automatizadas) y usarlos para corregir problemas de seguridad.
Responsabilidad: Customer
Microsoft Defender para la supervisión en la nube:Ninguno
Identidad y Access Control
Para más información, consulte Azure Security Benchmark: identidad y control de acceso.
3.1: Mantenga un inventario de cuentas administrativas
Guía: Azure Active Directory (Azure AD) tiene roles integrados que se deben asignar explícitamente y son consultables. Use el módulo de PowerShell de Azure AD para realizar consultas ad hoc para detectar cuentas que son miembros de grupos administrativos.
Obtención de un rol de directorio en Azure AD con PowerShell
Obtención de los miembros de un rol de directorio en Azure AD con PowerShell
Responsabilidad: Customer
Microsoft Defender para la supervisión en la nube:Ninguno
3.2: Cambie las contraseñas predeterminadas cuando proceda
Guía: Data Lake Analytics no tiene el concepto de contraseñas predeterminadas, ya que la autenticación se proporciona con Azure Active Directory (Azure AD) y se protege mediante el control de acceso basado en rol de Azure (Azure RBAC).
Responsabilidad: Customer
Microsoft Defender para la supervisión en la nube:Ninguno
3.3: Use cuentas administrativas dedicadas
Guía: Cree procedimientos operativos estándar en torno al uso de cuentas administrativas dedicadas.
También puede habilitar el acceso Just-in-Time mediante Azure Active Directory (Azure AD) Privileged Identity Management y Azure Resource Manager.
Responsabilidad: Customer
Microsoft Defender para la supervisión en la nube:Ninguno
3.4: Uso del inicio de sesión único (SSO) de Azure Active Directory
Guía: siempre que sea posible, use el inicio de sesión único de Azure Active Directory (Azure AD) en lugar de configurar credenciales independientes individuales por servicio. Use Microsoft Defender para recomendaciones de identidad y acceso en la nube.
Responsabilidad: Customer
Microsoft Defender para la supervisión en la nube:Ninguno
3.5: Uso de la autenticación multifactor para todo el acceso basado en Azure Active Directory
Guía:habilite Azure Active Directory autenticación multifactor (Azure AD) y siga las recomendaciones de Microsoft Defender para la administración de identidades en la nube y acceso para ayudar a proteger los recursos Data Lake Analytics nube.
Responsabilidad: Customer
Microsoft Defender para la supervisión en la nube:Ninguno
3.6: Use máquinas dedicadas (estaciones de trabajo de acceso con privilegios) para todas las tareas administrativas
Instrucciones: use una estación de trabajo segura y administrada por Azure (también conocida como una estación de trabajo de acceso con privilegios o PAW) para las tareas administrativas que requieren privilegios elevados.
Descripción de las estaciones de trabajo seguras administradas por Azure
Habilitación de la autenticación multifactor de Azure Active Directory (Azure AD)
Responsabilidad: Customer
Microsoft Defender para la supervisión en la nube:Ninguno
3.7: Registro y alerta de actividades sospechosas desde cuentas administrativas
Guía: Use los informes de seguridad de Azure Active Directory (Azure AD) para la generación de registros y alertas cuando se produzcan actividades sospechosas o no seguras en el entorno. Use Microsoft Defender para la nube para supervisar la actividad de identidad y acceso.
Procedimiento para identificar usuarios de Azure AD marcados por una actividad de riesgo
Supervisión de la actividad de identidad y acceso de los usuarios en Microsoft Defender para la nube
Responsabilidad: Customer
Microsoft Defender para la supervisión en la nube:Ninguno
3.8: Administre los recursos de Azure solo desde ubicaciones aprobadas
Guía: use ubicaciones con nombre de Azure Active Directory (Azure AD) para permitir el acceso solo desde agrupaciones lógicas específicas de intervalos de direcciones IP o países o regiones.
Responsabilidad: Customer
Microsoft Defender para la supervisión en la nube:Ninguno
3.9: Uso de Azure Active Directory
Instrucciones: Use Azure Active Directory (AD) como sistema central de autenticación y autorización. El control de acceso basado en rol de Azure (RBAC de Azure) ofrece un control pormenorizado del acceso de los clientes a los recursos de Data Lake Analytics.
Responsabilidad: Customer
Microsoft Defender para la supervisión en la nube:Ninguno
3.10: Revise y concilie regularmente el acceso de los usuarios
Instrucciones: Azure Active Directory (Azure AD) proporciona registros para ayudar a descubrir cuentas obsoletas. Además, use las revisiones de acceso e identidades de Azure AD para administrar de forma eficiente las pertenencias a grupos, el acceso a las aplicaciones empresariales y las asignaciones de roles. El acceso de los usuarios se puede revisar de forma periódica para asegurarse de que solo las personas adecuadas tengan acceso continuado.
Responsabilidad: Customer
Microsoft Defender para la supervisión en la nube:Ninguno
3.11: Supervisión de los intentos de acceso a credenciales desactivadas
Guía: habilite la configuración de diagnóstico para Data Lake Analytics y Azure Active Directory (Azure AD), y envíe todos los registros a un área de trabajo de Log Analytics. Configure las alertas que desee (como intentos de acceso a secretos deshabilitados) en Log Analytics.
Responsabilidad: Customer
Microsoft Defender para la supervisión en la nube:Ninguno
3.12: Alerta de las desviaciones de comportamiento en los inicios de sesión de las cuentas
Guía: use las características de protección de identidad y detección de riesgos de Azure Active Directory (Azure AD) para configurar respuestas automatizadas a las acciones sospechosas que se detecten en relación con los recursos de Data Lake Analytics. Debe habilitar las respuestas automatizadas a través de Microsoft Sentinel para implementar las respuestas de seguridad de su organización.
Visualización de los inicios de sesión de riesgo de Azure AD
Configuración y habilitación de las directivas de riesgo de protección de identidad
Responsabilidad: Customer
Microsoft Defender para la supervisión en la nube:Ninguno
Protección de datos
Para más información, consulte Azure Security Benchmark: protección de datos.
4.1: Mantenimiento de un inventario de información confidencial
Guía: use etiquetas para realizar el seguimiento de los recursos de Data Lake Analytics que almacenan o procesan información confidencial.
Responsabilidad: Customer
Microsoft Defender para la supervisión en la nube:Ninguno
4.2: Aislamiento de los sistemas que almacenan o procesan información confidencial
Instrucciones: implemente el aislamiento mediante suscripciones independientes, grupos de administración para dominios de seguridad individuales, como el entorno y la confidencialidad de los datos. Puede restringir Data Lake Analytics para que solo controle el nivel de acceso a los recursos de Data Lake Analytics que demandan las aplicaciones y los entornos empresariales. Cuando se configuran las reglas de firewall, solo las aplicaciones que solicitan datos del conjunto especificado de redes pueden acceder a los recursos de Data Lake Analytics. Puede controlar el acceso a Azure Data Lake Analytics mediante el control de acceso basado en roles (Azure RBAC).
Administración del control de acceso basado en roles de Azure
Administración de Análisis de Azure Data Lake mediante Azure Powershell
Responsabilidad: Customer
Microsoft Defender para la supervisión en la nube:Ninguno
4.3: Supervisión y bloqueo de una transferencia no autorizada de información confidencial
Guía: las características de prevención de pérdida de datos todavía no están disponibles para los recursos de Azure Data Lake Analytics. Implemente una solución de terceros, si es necesario, para fines de cumplimiento.
En el caso de la plataforma subyacente administrada por Microsoft, Microsoft trata todo el contenido de los clientes como confidencial y protege a los clientes contra la pérdida y exposición de los datos. Para garantizar la seguridad de los datos de los clientes dentro de Azure, Microsoft ha implementado y mantiene un conjunto de controles y funcionalidades eficaces de protección de datos.
Responsabilidad: Customer
Microsoft Defender para la supervisión en la nube:Ninguno
4.4: Cifrado de toda la información confidencial en tránsito
Guía: De forma predeterminada, los recursos de Microsoft Azure negociarán TLS 1.2. Asegúrese de que todos los clientes que se conectan a Data Lake Analytics pueden negociar mediante TLS 1.2 o superior.
Responsabilidad: Compartido
Microsoft Defender para la supervisión en la nube:Ninguno
4.5: Uso de una herramienta de detección activa para identificar datos confidenciales
Guía: las características de identificación de datos todavía no están disponibles para los recursos de Azure Data Lake Analytics. Implemente una solución de terceros, si es necesario, para fines de cumplimiento.
Responsabilidad: Customer
Microsoft Defender para la supervisión en la nube:Ninguno
4.6: Uso de RBAC de Azure para controlar el acceso a los recursos
Guía: Use el control de acceso basado en roles (RBAC de Azure) para controlar cómo interactúan los usuarios con el servicio.
Responsabilidad: Customer
Microsoft Defender para la supervisión en la nube:Ninguno
4.8: Cifrado de información confidencial en reposo
Guía: los datos se almacenan en la cuenta de Data Lake Storage Gen1 predeterminada. En el caso de datos en reposo, Data Lake Storage Gen1 admite el cifrado transparente "activado de forma predeterminada".
Responsabilidad: Compartido
Microsoft Defender para la supervisión en la nube:Ninguno
4.9: Registro y alerta de cambios en los recursos críticos de Azure
Guía: use Azure Monitor con el registro de actividad de Azure para crear alertas para cuando se produzcan cambios en las instancias de producción de los recursos de Azure Data Lake Analytics.
Responsabilidad: Customer
Microsoft Defender para la supervisión en la nube:Ninguno
Administración de vulnerabilidades
Para más información, consulte Azure Security Benchmark: administración de vulnerabilidades.
5.1: Ejecute herramientas de análisis de vulnerabilidades automatizado
Guía:siga las recomendaciones de Microsoft Defender para la nube sobre la protección de Azure Data Lake Analytics recursos.
Microsoft realiza la administración de vulnerabilidades en los sistemas subyacentes que admiten Azure Data Lake Analytics.
Responsabilidad: Customer
Microsoft Defender para la supervisión en la nube:Ninguno
5.5: Use un proceso de clasificación de riesgos para priorizar la corrección de las vulnerabilidades detectadas
Instrucciones: Use un programa de puntuación de riesgos común (por ejemplo, Common Vulnerability Scoring System) o la clasificación de riesgos predeterminada proporcionada por su herramienta de análisis de terceros.
Responsabilidad: Customer
Microsoft Defender para la supervisión en la nube:Ninguno
Administración de recursos y del inventario
Para más información, consulte Azure Security Benchmark: inventario y administración de recursos.
6.1: Uso de la solución de detección de recursos automatizada
Guía: use Azure Resource Graph para consultar y detectar todos los recursos (por ejemplo, proceso, almacenamiento, red, puertos, protocolos, etc.) en las suscripciones. Asegúrese de que tiene los permisos adecuados (lectura) en el inquilino y enumere todas las suscripciones de Azure, así como los recursos en las suscripciones.
Aunque los recursos clásicos de Azure se pueden detectar a través de Azure Resource Graph Explorer, se recomienda crear y usar los recursos de Azure Resource Manager que figuran a continuación.
Responsabilidad: Customer
Microsoft Defender para la supervisión en la nube:Ninguno
6.2: Mantenimiento de metadatos de recursos
Instrucciones: Aplique etiquetas a los recursos de Azure que proporcionan metadatos para organizarlos de forma lógica en una taxonomía.
Responsabilidad: Customer
Microsoft Defender para la supervisión en la nube:Ninguno
6.3: Eliminación de recursos de Azure no autorizados
Guía: use el etiquetado, los grupos de administración y las suscripciones independientes, si procede, para organizar y realizar un seguimiento de los recursos de Azure Data Lake Analytics. Concilie el inventario periódicamente y asegúrese de que los recursos no autorizados se eliminan de la suscripción de manera oportuna.
Además, use Azure Policy para establecer restricciones sobre el tipo de recursos que se pueden crear en las suscripciones del cliente con las siguientes definiciones de directiva integradas:
Tipos de recursos no permitidos
Tipos de recursos permitidos
Información adicional disponible en los vínculos indicados.
Responsabilidad: Customer
Microsoft Defender para la supervisión en la nube:Ninguno
6.5: Supervisión de recursos de Azure no aprobados
Guía: Use Azure Policy para aplicar restricciones en el tipo de recursos que se pueden crear en las suscripciones del cliente con las siguientes definiciones de directiva integradas:
Tipos de recursos no permitidos
Tipos de recursos permitidos
Además, use Azure Resource Graph para consultar o detectar recursos dentro de las suscripciones.
Responsabilidad: Customer
Microsoft Defender para la supervisión en la nube:Ninguno
6.9: Uso exclusivo de servicios de Azure aprobados
Guía: use Azure Policy para establecer restricciones sobre el tipo de recursos que se pueden crear en las suscripciones del cliente con las siguientes definiciones de directiva integradas:
- Tipos de recursos no permitidos
- Tipos de recursos permitidos
Hay información adicional disponible en los vínculos indicados.
Responsabilidad: Customer
Microsoft Defender para la supervisión en la nube:Ninguno
6.11: Limitación de la capacidad de los usuarios para interactuar con Azure Resource Manager
Instrucciones: Configure el acceso condicional de Azure para limitar la capacidad de los usuarios de interactuar con Azure Resource Manager configurando "Bloquear acceso" en la aplicación Microsoft Azure Management.
Responsabilidad: Customer
Microsoft Defender para la supervisión en la nube:Ninguno
Configuración segura
Para más información, consulte Azure Security Benchmark: configuración segura.
7.1: Establezca configuraciones seguras para todos los recursos de Azure
Guía: use alias de Azure Policy en el espacio de nombres "Microsoft.DataLakeAnalytics" para crear directivas personalizadas a fin de auditar o aplicar la configuración del servicio Azure Data Lake Analytics. También puede usar las definiciones de directiva integradas relacionadas con su instancia de Azure Data Lake Analytics, como:
- Los registros de diagnóstico de Data Lake Analytics deben estar habilitados
Hay información adicional disponible en los vínculos indicados.
Responsabilidad: Customer
Microsoft Defender para la supervisión en la nube:Ninguno
7.3: Mantenga configuraciones de recursos de Azure seguras
Guía: Use las directivas [deny] y [deploy if not exist] de Azure Policy para aplicar una configuración segura en los recursos de Azure.
Responsabilidad: Customer
Microsoft Defender para la supervisión en la nube:Ninguno
7.5: Almacene de forma segura la configuración de los recursos de Azure
Guía: use Azure Repos para almacenar y administrar de forma segura el código, como directivas de Azure personalizadas, plantillas de Azure Resource Manager, scripts de Desired State Configuration, etc. Para acceder a los recursos que administra en Azure DevOps, puede conceder o denegar permisos a usuarios específicos, grupos de seguridad integrados o grupos definidos en Azure Active Directory (Azure AD) si se integran con Azure DevOps, o Azure AD si se integran con TFS.
Responsabilidad: Customer
Microsoft Defender para la supervisión en la nube:Ninguno
7.9: Implementación de la supervisión de la configuración automatizada para los recursos de Azure
Guía: use alias de Azure Policy del espacio de nombres "Microsoft.DataLakeAnalytics" para crear directivas personalizadas con el fin de auditar y aplicar las configuraciones del sistema y enviar alertas sobre ellas. Use los efectos de Azure Policy [audit], [deny] y [deploy if not exist] para aplicar automáticamente las configuraciones en los recursos de Azure Data Lake Analytics.
Responsabilidad: Customer
Microsoft Defender para la supervisión en la nube:Ninguno
7.13: Elimine la exposición de credenciales no intencionada
Instrucciones: Implemente el escáner de credenciales para identificar las credenciales en el código. El escáner de credenciales también fomenta el traslado de credenciales detectadas a ubicaciones más seguras, como Azure Key Vault.
Responsabilidad: Customer
Microsoft Defender para la supervisión en la nube:Ninguno
Defensa contra malware
Para más información, consulte Azure Security Benchmark: defensa contra malware.
8.2: Examine previamente los archivos que se van a cargar en recursos de Azure que no son de proceso
Guía: el antimalware de Microsoft está habilitado en el host subyacente que admite los servicios de Azure (por ejemplo, Azure Data Lake Analytics), pero no se ejecuta en contenido del cliente.
Explore previamente cualquier contenido que se vaya a cargar en los recursos de Azure, como App Service, Data Lake Analytics, Blob Storage, etc. Microsoft no tiene acceso a los datos de estas instancias.
Responsabilidad: Customer
Microsoft Defender para la supervisión en la nube:Ninguno
Recuperación de datos
Para más información, consulte Azure Security Benchmark: recuperación de datos.
9.1: Garantía de copias de seguridad automáticas periódicas
Guía: los registros de los trabajos y el resultado de los datos de Data Lake Analytics se almacenan en el servicio de Data Lake Storage Gen1 subyacente. Puede usar varios métodos para copiar datos, entre los que se incluyen ADLCopy, Azure PowerShell o Azure Data Factory. También puede usar Azure Automation para realizar copias de seguridad de los datos de forma periódica.
Administración de recursos de Azure Data Lake Storage Gen1 con el Explorador de Storage
Copia de datos de los blobs de Azure Storage en Azure Data Lake Storage Gen1
Responsabilidad: Customer
Microsoft Defender para la supervisión en la nube:Ninguno
9.2: Copias de seguridad completas del sistema y copia de seguridad de las claves administradas por el cliente
Guía: los registros de los trabajos y el resultado de los datos de Data Lake Analytics se almacenan en el servicio de Data Lake Storage Gen1 subyacente. Puede usar varios métodos para copiar datos, entre los que se incluyen ADLCopy, Azure PowerShell o Azure Data Factory.
Administración de recursos de Azure Data Lake Storage Gen1 con el Explorador de Storage
Copia de datos de los blobs de Azure Storage en Azure Data Lake Storage Gen1
Responsabilidad: Customer
Microsoft Defender para la supervisión en la nube:Ninguno
9.3: Validación de todas las copias de seguridad, incluidas las claves administradas por el cliente
Guía: realice periódicamente la restauración de los datos de copia de seguridad para comprobar su integridad.
Responsabilidad: Customer
Microsoft Defender para la supervisión en la nube:Ninguno
9.4: Garantía de la protección de las copias de seguridad y las claves administradas por el cliente
Guía: las copias de seguridad de Data Lake Analytics almacenadas en su instancia de Data Lake Storage Gen1 o Azure Storage admiten el cifrado de forma predeterminada y no se puede desactivar. Debe tratar las copias de seguridad como datos confidenciales y aplicar los controles de protección de datos y de acceso pertinentes como parte de esta base de referencia.
Responsabilidad: Customer
Microsoft Defender para la supervisión en la nube:Ninguno
Respuesta a los incidentes
Para más información, consulte Azure Security Benchmark: respuesta ante incidentes.
10.1: Creación de una guía de respuesta ante incidentes
Instrucciones: Cree una guía de respuesta a incidentes para su organización. Asegúrese de que haya planes de respuesta a incidentes escritos que definan todos los roles del personal, así como las fases de administración y gestión de los incidentes, desde la detección hasta la revisión posterior a la incidencia.
Guía para crear su propio proceso de respuesta a incidentes de seguridad
Anatomía de un incidente del Centro de respuestas de seguridad de Microsoft
Guía del NIST para controlar incidentes de seguridad en equipos
Responsabilidad: Customer
Microsoft Defender para la supervisión en la nube:Ninguno
10.2: Creación de un procedimiento de priorización y puntuación de incidentes
Guía:Microsoft Defender para la nube asigna una gravedad a cada alerta para ayudarle a priorizar qué alertas se deben investigar primero. La gravedad se basa en la confianza de Microsoft Defender para la nube en la búsqueda o en el análisis usado para emitir la alerta, así como en el nivel de confianza de que hubo una intención malintencionada detrás de la actividad que condujo a la alerta.
Además, marque claramente las suscripciones (por ejemplo, producción, no producción) mediante etiquetas y cree un sistema de nomenclatura para identificar y clasificar claramente los recursos de Azure, especialmente aquellos que procese datos confidenciales. Es su responsabilidad asignar prioridades a la corrección de las alertas en función de la importancia de los recursos y el entorno de Azure donde se produjo el incidente.
Responsabilidad: Customer
Microsoft Defender para la supervisión en la nube:Ninguno
10.3: Prueba de los procedimientos de respuesta de seguridad
Instrucciones: Realice ejercicios para probar las funcionalidades de respuesta a los incidentes de los sistemas periódicamente; así, ayudará a proteger los recursos de Azure. Identifique puntos débiles y brechas y después revise el plan de respuesta según sea necesario.
Responsabilidad: Customer
Microsoft Defender para la supervisión en la nube:Ninguno
10.4: Provisión de detalles de contacto de incidentes de seguridad y configuración de notificaciones de alerta para incidentes de seguridad
Instrucciones: La información de contacto del incidente de seguridad la utilizará Microsoft para ponerse en contacto con usted si Microsoft Security Response Center (MSRC) detecta que un tercero no autorizado o ilegal ha accedido a los datos. Revise los incidentes después del hecho para asegurarse de que se resuelven los problemas.
Responsabilidad: Customer
Microsoft Defender para la supervisión en la nube:Ninguno
10.5: Incorporación de alertas de seguridad en el sistema de respuesta a incidentes
Guía:Exporte las alertas y recomendaciones de Microsoft Defender para la nube mediante la característica Exportación continua para ayudar a identificar los riesgos para los recursos de Azure. La exportación continua le permite exportar alertas y recomendaciones de forma manual o continua. Puede usar el conector de datos de Microsoft Defender para la nube para transmitir las alertas a Microsoft Sentinel.
Responsabilidad: Customer
Microsoft Defender para la supervisión en la nube:Ninguno
10.6: Automatización de la respuesta a las alertas de seguridad
Guía:Use la característica Automatización de flujos de trabajo de Microsoft Defender para la nube para desencadenar automáticamente respuestas a través de "Logic Apps" en alertas de seguridad y recomendaciones para proteger los recursos de Azure.
Responsabilidad: Customer
Microsoft Defender para la supervisión en la nube:Ninguno
Pruebas de penetración y ejercicios del equipo rojo
Para más información, consulte Azure Security Benchmark: Pruebas de penetración y ejercicios del equipo rojo.
11.1: Realice pruebas de penetración periódicas de los recursos de Azure y asegúrese de corregir todos los resultados de seguridad críticos
Guía: Siga las reglas de compromiso de la prueba de penetración de Microsoft Cloud para asegurarse de que las pruebas de penetración no infrinjan las directivas de Microsoft. Use la estrategia de Microsoft y la ejecución de las pruebas de penetración del equipo rojo y sitios activos en la infraestructura de nube, los servicios y las aplicaciones administradas por Microsoft.
Responsabilidad: Compartido
Microsoft Defender para la supervisión en la nube:Ninguno
Pasos siguientes
- Consulte la Información general sobre Azure Security Benchmark V2.
- Obtenga más información sobre las líneas de base de seguridad de Azure.