Línea de referencia de seguridad de Azure para Azure Databricks

Esta línea de base de seguridad aplica instrucciones de la versión 2.0 de Azure Security Benchmark a Azure Databricks. Azure Security Benchmark proporciona recomendaciones sobre cómo puede proteger sus soluciones de nube en Azure. El contenido se agrupa por los controles de seguridad definidos por Azure Security Benchmark y las instrucciones relacionadas aplicables a Azure Databricks.

Seguridad de redes

Para más información, consulte Azure Security Benchmark: seguridad de red.

NS-1: implementación de la seguridad para el tráfico interno

Guía:Ninguno.

Responsabilidad: Anular. Proporcione un valor para el elemento de trabajo.

Microsoft Defender para la supervisión en la nube:Ninguno

NS-2: Conexión conjunta de redes privadas

Guía:Ninguno.

Responsabilidad: Anular. Proporcione un valor para el elemento de trabajo.

Microsoft Defender para la supervisión en la nube:Ninguno

NS-3: establecimiento del acceso de red privada a los servicios de Azure

Guía:Ninguno.

Responsabilidad: Anular. Proporcione un valor para el elemento de trabajo.

Microsoft Defender para la supervisión en la nube:Ninguno

NS-4: protección de las aplicaciones y servicios de ataques de redes externas

Guía:Ninguno.

Responsabilidad: Anular. Proporcione un valor para el elemento de trabajo.

Microsoft Defender para la supervisión en la nube:Ninguno

NS-5: implementación de sistemas de prevención de intrusiones y detección de intrusiones (IDS/IPS)

Guía:use el Azure Firewall basado en inteligencia sobre amenazas para alertar o bloquear el tráfico hacia y desde dominios y direcciones IP malintencionadas conocidos. La direcciones IP y los dominios proceden de la fuente Inteligencia sobre amenazas de Microsoft. Cuando se requiera la inspección de las cargas, puede implementar un sistema de prevención de intrusiones y detección de intrusiones (IDS/IPS) desde Azure Marketplace con funcionalidades de inspección de cargas. También puede usar IDS/IPS basado en host o una solución de detección y respuesta de punto de conexión (EDR) basada en host junto un IDS/IPS basado en redes, o en lugar de este.

Nota: Si tiene un requisito normativo o de otro tipo para el uso de IDS/IPS, asegúrese de que siempre esté optimizado para proporcionar alertas de alta calidad a la solución de SIEM.

• Implementación de Azure Firewall

• Azure Marketplace incluye funcionalidades de IDS de terceros

• Funcionalidad de detección y respuesta de la protección contra amenazas avanzada de Microsoft Defender

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

NS-6: simplificación de las reglas de seguridad de red

Guía:Ninguno.

Responsabilidad: Anular. Proporcione un valor para el elemento de trabajo.

Microsoft Defender para la supervisión en la nube:Ninguno

NS-7: servicio de nombres de dominio (DNS) seguro

Guía:Ninguno.

Responsabilidad: Anular. Proporcione un valor para el elemento de trabajo.

Microsoft Defender para la supervisión en la nube:Ninguno

Administración de identidades

Para más información, consulte Azure Security Benchmark: Administración de identidades.

IM-1: Unificación en Azure Active Directory como sistema central de identidad y autenticación

Guía:Ninguno.

Responsabilidad: Anular. Proporcione un valor para el elemento de trabajo.

Microsoft Defender para la supervisión en la nube:Ninguno

IM-2: Administración de identidades de aplicaciones de forma segura y automática

Guía:Ninguno.

Responsabilidad: Anular. Proporcione un valor para el elemento de trabajo.

Microsoft Defender para la supervisión en la nube:Ninguno

IM-3: Uso del inicio de sesión único de Azure AD para acceder a las aplicaciones

Guía:Ninguno.

Responsabilidad: Anular. Proporcione un valor para el elemento de trabajo.

Microsoft Defender para la supervisión en la nube:Ninguno

IM-4: Uso de controles con autenticación multifactor sólida para todo el acceso basado en Azure Active Directory

Guía:Azure AD controles de autenticación seguros a través de la autenticación multifactor (MFA) y métodos seguros sin contraseña.

• Autenticación multifactor: habilite Azure AD MFA y siga las recomendaciones de Administración de identidades y acceso de Microsoft Defender para la nube para la configuración de MFA. La MFA se puede exigir a todos los usuarios, a usuarios concretos o a nivel de cada usuario en función de los factores de riesgo y las condiciones de inicio de sesión.

• Autenticación sin contraseña: hay disponibles tres opciones de autenticación sin contraseña: Windows Hello para empresas, aplicación Microsoft Authenticator y métodos de autenticación locales, como las tarjetas inteligentes.

Para administradores y usuarios con privilegios, asegúrese de que se usa el nivel más alto del método de autenticación sólida, seguido de la implementación de la directiva de autenticación sólida adecuada para otros usuarios.

Si la autenticación con contraseña heredada todavía se usa para la autenticación de Azure AD, tenga en cuenta que las cuentas solo en la nube (cuentas de usuario creadas directamente en Azure) tienen una directiva de contraseñas de línea de base predeterminada. Además, las cuentas híbridas (cuentas de usuario que proceden de Active Directory local) siguen las directivas de contraseñas locales. Cuando se usa la autenticación con contraseña, Azure AD proporciona una funcionalidad de protección de contraseña que impide que los usuarios establezcan contraseñas fáciles de adivinar. Microsoft proporciona una lista global de contraseñas prohibidas que se actualiza en función de la telemetría, y los clientes pueden ampliarla en función de sus necesidades (por ejemplo, personalización de marca, referencias culturales, etc.). Esta protección de contraseñas se puede usar para las cuentas híbridas y solo en la nube.

Nota: La autenticación basada solo en las credenciales de contraseña es susceptible a métodos de ataque populares. Para una mayor seguridad, use una autenticación sólida, como MFA y una directiva de contraseñas segura. En el caso de las aplicaciones de terceros y los servicios de Marketplace que pueden tener contraseñas predeterminadas, debe cambiarlas durante la configuración inicial del servicio.

• Procedimiento para habilitar la MFA en Azure

• Introducción a las opciones de autenticación sin contraseña de Azure Active Directory

• Directiva de contraseñas predeterminada de Azure AD

• Eliminación de contraseñas incorrectas mediante la Protección con contraseña de Azure AD

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

IM-5: Supervisión y alerta de anomalías de cuenta

Guía: Azure AD proporciona los siguientes orígenes de datos:

• Inicios de sesión: el informe de inicios de sesión proporciona información sobre el uso de aplicaciones administradas y actividades de inicio de sesión de usuario.

• Registros de auditoría: proporcionan rastreabilidad mediante los registros de todos los cambios realizados mediante diversas características de Azure AD. Entre los ejemplos de registros de auditoría de los cambios registrados destacan agregar o eliminar usuarios, aplicaciones, grupos, roles y directivas.

• Inicios de sesión de riesgo: un inicio de sesión de riesgo es un indicador de un intento de inicio de sesión que puede haber realizado alguien que no es el propietario legítimo de una cuenta de usuario.

• Usuarios marcados en riesgo: un usuario en riesgo es un indicador de una cuenta de usuario que puede haber estado en peligro.

Estos orígenes de datos se pueden integrar con Azure Monitor, Microsoft Sentinel o sistemas SIEM de terceros.

Microsoft Defender para la nube también puede alertar sobre ciertas actividades sospechosas, como un número excesivo de intentos de autenticación con errores y cuentas en desuso en la suscripción.

Azure Advanced Threat Protection (AATP) es una solución de seguridad que puede usar señales de Active Directory locales para identificar, detectar e investigar amenazas avanzadas, identidades en riesgo y acciones internas malintencionadas.

• Informes de actividad de auditoría en Azure AD

• Visualización de los inicios de sesión de riesgo de Azure AD

• Procedimiento para identificar usuarios de Azure AD marcados por una actividad de riesgo

• Supervisión de la actividad de identidad y acceso de los usuarios en Microsoft Defender para la nube

• Alertas en el módulo de protección de inteligencia sobre amenazas de Microsoft Defender para la nube

• Integración de los registros de actividad de Azure en Azure Monitor

• Conectar datos de Azure AD Identity Protection

• Azure Advanced Threat Protection

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

IM-6: Restricción del acceso a recursos de Azure en función de las condiciones

Guía:use Azure AD condicional para un control de acceso más pormenorizado en función de las condiciones definidas por el usuario, como requerir inicios de sesión de usuario de determinados intervalos IP para usar MFA. También se puede usar una administración de sesión de autenticación granular mediante la directiva de acceso condicional de Azure AD para distintos casos de uso.

• Introducción al acceso condicional de Azure

• Directivas de acceso condicional habituales

• Frecuencia de inicio de sesión de usuario

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

IM-7: Elimine la exposición de credenciales no intencionada

Guía:Ninguno.

Responsabilidad: Anular. Proporcione un valor para el elemento de trabajo.

Microsoft Defender para la supervisión en la nube:Ninguno

IM-8: Protección del acceso de los usuarios a las aplicaciones heredadas

Guía: Asegúrese de que tiene controles de acceso modernos y supervisión de sesiones para las aplicaciones heredadas y los datos que almacenan y procesan. Mientras que las VPN suelen usarse para acceder a las aplicaciones heredadas, a menudo tienen un control de acceso básico y una supervisión de sesión limitada.

Azure AD Application Proxy permite publicar aplicaciones locales heredadas en usuarios remotos con el inicio de sesión único (SSO) mientras se valida explícitamente la confiabilidad de los usuarios y dispositivos remotos con el acceso condicional de Azure AD.

Como alternativa, Microsoft Defender para Cloud Apps es un servicio de Agente de seguridad de acceso a la nube (CASB) que puede proporcionar controles para supervisar las sesiones de aplicación de un usuario y acciones de bloqueo (tanto para aplicaciones locales heredadas como para aplicaciones de software como servicio (SaaS) en la nube).

• Azure AD Application Proxy

• Procedimientos recomendados de Microsoft Defender para Cloud Apps

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

Acceso con privilegios

Para más información, consulte Azure Security Benchmark: Acceso con privilegios.

PA-1: Protección y limitación de usuarios con privilegios elevados

Guía:Ninguno.

Responsabilidad: Anular. Proporcione un valor para el elemento de trabajo.

Microsoft Defender para la supervisión en la nube:Ninguno

PA-2: Restricción del acceso administrativo a los sistemas críticos para la empresa

Guía:Aísle el acceso a los sistemas críticos para la empresa mediante la restricción de las cuentas a las que se concede acceso con privilegios a las suscripciones y los grupos de administración en los que se encuentran. Asegúrese de restringir también el acceso a los sistemas de administración, identidad y seguridad que tienen acceso administrativo a los recursos críticos para su negocio, como controladores de dominio (DC) de Active Directory, herramientas de seguridad y herramientas de administración del sistema con agentes instalados en sistemas críticos para la empresa. Los atacantes que ponen en peligro estos sistemas de administración y seguridad pueden convertirlos inmediatamente en un arma para poner en peligro los recursos críticos para la empresa.

Para garantizar un control de acceso coherente, todos los tipos de control de acceso se deben alinear con la estrategia de segmentación de la empresa.

Asegúrese de asignar cuentas con privilegios independientes que sean distintas de las cuentas de usuario estándar que se usan para las tareas de correo electrónico, exploración y productividad.

• Modelo de referencia y componentes de Azure

• Acceso al grupo de administración

• Administradores de la suscripción de Azure

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

PA-3: Revisión y conciliación de manera periódica del acceso de los usuarios

Guía:Ninguno.

Responsabilidad: Anular. Proporcione un valor para el elemento de trabajo.

Microsoft Defender para la supervisión en la nube:Ninguno

PA-4: Configuración del acceso de emergencia en Azure AD

Guía: Para evitar que se le bloquee por accidente el acceso a la organización de Azure AD, configure una cuenta de acceso de emergencia para cuando no se puedan usar cuentas administrativas normales. Las cuentas de acceso de emergencia tienen normalmente privilegios elevados y no se asignan a usuarios específicos. Las cuentas de acceso de emergencia se limitan a situaciones "excepcionales" o de emergencia en las que no se pueden usar las cuentas administrativas normales. Debe asegurarse de que las credenciales (como contraseña, certificado o tarjeta inteligente) de las cuentas de acceso de emergencia estén protegidas y solo las conozcan aquellas personas que estén autorizadas a usarlas solo en caso de emergencia.

• Administración de cuentas de acceso de emergencia en Azure AD

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

PA-5: Automatización de la administración de derechos

Guía: Use las características de administración de derechos de Azure AD para automatizar los flujos de trabajo de solicitud de acceso, como las asignaciones, las revisiones y la expiración del acceso. También se admite la aprobación en dos o varias fases.

• ¿Qué son las revisiones de acceso de Azure AD?

• ¿Qué es la administración de derechos de Azure AD?

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

PA-6: Uso de estaciones de trabajo con privilegios de acceso

Guía:Ninguno.

Responsabilidad: Anular. Proporcione un valor para el elemento de trabajo.

Microsoft Defender para la supervisión en la nube:Ninguno

PA-7: Seguimiento de solo una administración suficiente (principio de privilegios mínimos)

Guía:Ninguno.

Responsabilidad: Anular. Proporcione un valor para el elemento de trabajo.

Microsoft Defender para la supervisión en la nube:Ninguno

PA-8: Selección del proceso de aprobación para el soporte técnico de Microsoft

Guía:Ninguno.

Responsabilidad: Anular. Proporcione un valor para el elemento de trabajo.

Microsoft Defender para la supervisión en la nube:Ninguno

Protección de datos

Para más información, consulte Azure Security Benchmark: protección de datos.

DP-1: Detección, clasificación y etiquetado de datos confidenciales

Guía:Ninguno.

Responsabilidad: Anular. Proporcione un valor para el elemento de trabajo.

Microsoft Defender para la supervisión en la nube:Ninguno

DP-2: Protección de datos confidenciales

Guía:Ninguno.

Responsabilidad: Anular. Proporcione un valor para el elemento de trabajo.

Microsoft Defender para la supervisión en la nube:Ninguno

DP-3: Supervisión de la transferencia no autorizada de datos confidenciales

Guía:Ninguno.

Responsabilidad: Anular. Proporcione un valor para el elemento de trabajo.

Microsoft Defender para la supervisión en la nube:Ninguno

DP-4: Cifrado de la información confidencial en tránsito

Guía:Ninguno.

Responsabilidad: Anular. Proporcione un valor para el elemento de trabajo.

Microsoft Defender para la supervisión en la nube:Ninguno

DP-5: Cifrado de datos confidenciales en reposo

Guía:Ninguno.

Responsabilidad: Anular. Proporcione un valor para el elemento de trabajo.

Microsoft Defender para la supervisión en la nube:Ninguno

Administración de recursos

Para más información, consulte Azure Security Benchmark: Administración de recursos.

AM-1: Asegurarse de que el equipo de seguridad tiene visibilidad sobre los riesgos para los recursos

Guía:Ninguno.

Responsabilidad: Anular. Proporcione un valor para el elemento de trabajo.

Microsoft Defender para la supervisión en la nube:Ninguno

AM-2: Asegurarse de que el equipo de seguridad tiene acceso a los metadatos y al inventario de recursos

Guía:Ninguno.

Responsabilidad: Anular. Proporcione un valor para el elemento de trabajo.

Microsoft Defender para la supervisión en la nube:Ninguno

AM-3: Uso exclusivo de servicios de Azure aprobados

Guía:Ninguno.

Responsabilidad: Anular. Proporcione un valor para el elemento de trabajo.

Microsoft Defender para la supervisión en la nube:Ninguno

AM-4: Garantizar la seguridad de la administración del ciclo de vida de los recursos

Guía: Establecer o actualizar las directivas de seguridad que abordan los procesos de administración del ciclo de vida de los recursos para realizar modificaciones de gran impacto. Estas modificaciones incluyen cambios en: proveedores de identidades y acceso, confidencialidad de datos, configuración de red y asignación de privilegios administrativos.

Quite los recursos de Azure cuando ya no los necesite.

• Eliminación de recursos y grupos de recursos de Azure

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

AM-5: Limitación de la capacidad de los usuarios para interactuar con Azure Resource Manager

Guía: Use el acceso condicional de Azure AD para limitar la capacidad de los usuarios de interactuar con Azure Resource Manager mediante la configuración de la opción "Bloquear acceso" en la aplicación "Administración de Microsoft Azure".

• Configuración del acceso condicional para bloquear el acceso a Azure Resource Manager

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

AM-6: Uso exclusivo de aplicaciones aprobadas en recursos de proceso

Guía:Ninguno.

Responsabilidad: Anular. Proporcione un valor para el elemento de trabajo.

Microsoft Defender para la supervisión en la nube:Ninguno

registro y detección de amenazas

Para más información, consulte Azure Security Benchmark: registro y detección de amenazas.

LT-1: Habilitación de la detección de amenazas para recursos de Azure

Guía:Ninguno.

Responsabilidad: Anular. Proporcione un valor para el elemento de trabajo.

Microsoft Defender para la supervisión en la nube:Ninguno

LT-2: Habilitación de la detección de amenazas para la administración de identidades y acceso de Azure

Guía:Ninguno.

Responsabilidad: Anular. Proporcione un valor para el elemento de trabajo.

Microsoft Defender para la supervisión en la nube:Ninguno

LT-3: Habilitación del registro para las actividades de red de Azure

Guía:Ninguno.

Responsabilidad: Anular. Proporcione un valor para el elemento de trabajo.

Microsoft Defender para la supervisión en la nube:Ninguno

LT-4: Habilitación del registro para recursos de Azure

Guía:Ninguno.

Responsabilidad: Anular. Proporcione un valor para el elemento de trabajo.

Microsoft Defender para la supervisión en la nube:Ninguno

LT-5: Centralizar la administración y el análisis de los registros de seguridad

Guía:Ninguno.

Responsabilidad: Anular. Proporcione un valor para el elemento de trabajo.

Microsoft Defender para la supervisión en la nube:Ninguno

LT-6: Configuración de la retención del almacenamiento de registros

Guía:Ninguno.

Responsabilidad: Anular. Proporcione un valor para el elemento de trabajo.

Microsoft Defender para la supervisión en la nube:Ninguno

LT-7: Uso de orígenes de sincronización de hora aprobados

Guía:Ninguno.

Responsabilidad: Anular. Proporcione un valor para el elemento de trabajo.

Microsoft Defender para la supervisión en la nube:Ninguno

Respuesta a los incidentes

Para más información, consulte Azure Security Benchmark: respuesta ante incidentes.

IR-1: Preparación: actualización del proceso de respuesta a incidentes para Azure

Guía: Asegúrese de que la organización tenga procesos para responder a incidentes de seguridad, que haya actualizado estos procesos para Azure y que los ejercite regularmente para garantizar su disponibilidad.

• Implementación de la seguridad en todo el entorno empresarial

• Guía de referencia de respuesta a incidentes

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

IR-2: Preparación: notificación de incidentes de configuración

Guía:Configure la información de contacto de incidentes de seguridad en Microsoft Defender para la nube. Microsoft utilizará esta información para ponerse en contacto con usted si el Centro de respuestas de seguridad de Microsoft (MSRC) detecta que un tercero no autorizado o ilegal ha accedido a sus datos. También hay opciones para personalizar la alerta y notificación de incidentes en diferentes servicios de Azure en función de sus necesidades de respuesta a incidentes.

• Cómo establecer el contacto de seguridad de Microsoft Defender para la nube

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

IR-3: Detección y análisis: creación de incidentes en función de alertas de alta calidad

Guía: Asegúrese de que cuenta con un proceso para crear alertas de alta calidad y medir la calidad de las alertas. Esto le permite aprender de incidentes anteriores y clasificar las alertas para los analistas, de modo que no pierdan tiempo con falsos positivos.

Las alertas de alta calidad se pueden crear en función de la experiencia de pasados incidentes, información validada procedente de la comunidad y herramientas diseñadas para generar y limpiar alertas mediante la fusión y correlación de diversos orígenes de la señal.

Microsoft Defender para la nube proporciona alertas de alta calidad en muchos recursos de Azure. Puede usar el conector de datos de ASC para transmitir las alertas a Microsoft Sentinel. Microsoft Sentinel permite crear reglas de alertas avanzadas para generar incidentes automáticamente para una investigación.

Exporte las alertas y recomendaciones de Microsoft Defender para la nube mediante la característica de exportación para ayudar a identificar los riesgos para los recursos de Azure. Esta exportación puede hacerse de forma manual o de modo continuo.

• Configuración de la exportación

• Transmisión de alertas a Microsoft Sentinel

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

IR-4: Detección y análisis: investigación de incidentes

Guía: Asegúrese de que los analistas pueden consultar y usar diversos orígenes de datos a medida que investigan posibles incidentes, para conseguir una visión global de lo que ha sucedido. Se deben recopilar diversos registros para realizar un seguimiento de las actividades de un posible atacante en la cadena de eliminación para evitar puntos ciegos. También debe asegurarse de que se capturan detalles y aprendizajes para otros analistas y para futuras referencias históricas.

Los orígenes de datos para la investigación incluyen los orígenes de registro centralizados que ya se recopilan de los servicios en el ámbito y los sistemas en ejecución, pero también pueden incluir:

• Datos de red: use registros de flujo de grupos de seguridad de red, Azure Network Watcher y Azure Monitor para capturar registros de flujo de red y otra información de análisis.

• Instantáneas de sistemas en ejecución:

  • Use la funcionalidad de instantáneas de la máquina virtual de Azure para crear una instantánea del disco del sistema en ejecución.

  • Use la funcionalidad de volcado de la memoria nativa del sistema operativo para crear una instantánea de la memoria del sistema en ejecución.

  • Use la característica de instantánea de los servicios de Azure o la propia funcionalidad del software para crear instantáneas de los sistemas en ejecución.

Microsoft Sentinel proporciona un amplio análisis de datos en prácticamente cualquier origen de registro y un portal de administración de casos para administrar el ciclo de vida completo de los incidentes. La información de inteligencia durante una investigación puede asociarse a un incidente con fines de seguimiento e informes.

• Instantánea del disco de una máquina Windows

• Instantánea del disco de una máquina Linux

• Recopilación del volcado de memoria e información de diagnóstico del servicio de soporte técnico de Microsoft Azure

• Investigación de incidentes con Microsoft Sentinel

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

IR-5: Detección y análisis: clasificar incidentes

Guía: Proporcione contexto a los analistas sobre los incidentes en los que deberán centrarse en primer lugar en función de la gravedad de la alerta y la confidencialidad de los recursos.

Microsoft Defender para la nube asigna una gravedad a cada alerta para ayudarle a priorizar qué alertas se deben investigar primero. La gravedad se basa en la confianza de Microsoft Defender para la nube en la búsqueda o el analítico usado para emitir la alerta, así como en el nivel de confianza de que hubo una intención malintencionada detrás de la actividad que condujo a la alerta.

Adicionalmente, marque los recursos con etiquetas y cree un sistema de nomenclatura para identificar y clasificar los recursos de Azure, especialmente los que procesan datos confidenciales. Es su responsabilidad asignar prioridades a la corrección de las alertas en función de la importancia de los recursos y el entorno de Azure donde se produjo el incidente.

• Alertas de seguridad en Microsoft Defender for Cloud

• Uso de etiquetas para organizar los recursos de Azure

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

IR-6: Contención, erradicación y recuperación: automatización del control de incidentes

Guía: Automatice las tareas repetitivas manuales para acelerar el tiempo de respuesta y reducir la carga de los analistas. Las tareas manuales tardan más tiempo en ejecutarse, lo que ralentiza cada incidente y reduce el número de incidentes que un analista puede manejar. Las tareas manuales también aumentan la fatiga del analista, lo que aumenta el riesgo del error humano que produce retrasos y reduce la capacidad de los analistas de centrarse de manera efectiva en tareas complejas.

Use las características de automatización de flujos de trabajo de Microsoft Defender para la nube y Microsoft Sentinel para desencadenar automáticamente acciones o ejecutar un cuaderno de reproducción para responder a las alertas de seguridad entrantes. El cuaderno de estrategias lleva a cabo acciones, como el envío de notificaciones, la deshabilitación de cuentas y el aislamiento de redes problemáticas.

• Configuración de la automatización de flujos de trabajo en Microsoft Defender para la nube

• Configuración de respuestas automatizadas contra amenazas en Microsoft Defender para la nube

• Configuración de respuestas automatizadas frente a amenazas en Microsoft Sentinel

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

administración de posturas y vulnerabilidades

Para más información, consulte Azure Security Benchmark: administración de posturas y vulnerabilidades.

PV-1: establecimiento de configuraciones seguras para servicios de Azure

Guía:Ninguno.

Responsabilidad: Anular. Proporcione un valor para el elemento de trabajo.

Microsoft Defender para la supervisión en la nube:Ninguno

PV-2: sostenimiento de configuraciones seguras para servicios de Azure

Guía:Ninguno.

Responsabilidad: Anular. Proporcione un valor para el elemento de trabajo.

Microsoft Defender para la supervisión en la nube:Ninguno

PV-3: establecimiento de configuraciones seguras para los recursos de proceso

Guía:Ninguno.

Responsabilidad: Anular. Proporcione un valor para el elemento de trabajo.

Microsoft Defender para la supervisión en la nube:Ninguno

PV-4: sostenimiento de configuraciones seguras para los recursos de proceso

Guía:Ninguno.

Responsabilidad: Anular. Proporcione un valor para el elemento de trabajo.

Microsoft Defender para la supervisión en la nube:Ninguno

PV-5: Almacenamiento seguro de las imágenes de contenedor y de sistema operativo personalizadas

Guía:Ninguno.

Responsabilidad: Anular. Proporcione un valor para el elemento de trabajo.

Microsoft Defender para la supervisión en la nube:Ninguno

PV-6: Realización de evaluaciones de vulnerabilidad de software

Guía:Ninguno.

Responsabilidad: Anular. Proporcione un valor para el elemento de trabajo.

Microsoft Defender para la supervisión en la nube:Ninguno

PV-7: corrección rápida y automática de vulnerabilidades de software

Guía:Ninguno.

Responsabilidad: Anular. Proporcione un valor para el elemento de trabajo.

Microsoft Defender para la supervisión en la nube:Ninguno

PV-8: realización de una simulaciones de ataques periódicas

Guía:Ninguno.

Responsabilidad: Anular. Proporcione un valor para el elemento de trabajo.

Microsoft Defender para la supervisión en la nube:Ninguno

seguridad de los puntos de conexión

Para más información, consulte Azure Security Benchmark: seguridad de los puntos de conexión.

ES-1: uso de la detección y respuesta de puntos de conexión (EDR)

Guía:Ninguno.

Responsabilidad: Anular. Proporcione un valor para el elemento de trabajo.

Microsoft Defender para la supervisión en la nube:Ninguno

ES-2: Uso de software antimalware moderno administrado centralmente

Guía:Ninguno.

Responsabilidad: Anular. Proporcione un valor para el elemento de trabajo.

Microsoft Defender para la supervisión en la nube:Ninguno

ES-3: Asegúrese de que se han actualizado el software y las firmas antimalware

Guía:Ninguno.

Responsabilidad: Anular. Proporcione un valor para el elemento de trabajo.

Microsoft Defender para la supervisión en la nube:Ninguno

Copia de seguridad y recuperación

Para más información, consulte Azure Security Benchmark: Copia de seguridad y recuperación.

BR-1: Garantía de copias de seguridad automáticas periódicas

Guía:Ninguno.

Responsabilidad: Anular. Proporcione un valor para el elemento de trabajo.

Microsoft Defender para la supervisión en la nube:Ninguno

BR-2: Cifrado de los datos de copia de seguridad

Guía:Ninguno.

Responsabilidad: Anular. Proporcione un valor para el elemento de trabajo.

Microsoft Defender para la supervisión en la nube:Ninguno

BR-3: Validación de todas las copias de seguridad, incluidas las claves administradas por el cliente

Guía:Ninguno.

Responsabilidad: Anular. Proporcione un valor para el elemento de trabajo.

Microsoft Defender para la supervisión en la nube:Ninguno

BR-4: Mitigación del riesgo de pérdida de claves

Guía:Ninguno.

Responsabilidad: Anular. Proporcione un valor para el elemento de trabajo.

Microsoft Defender para la supervisión en la nube:Ninguno

Gobernanza y estrategia

Para más información, consulte Azure Security Benchmark: gobernanza y estrategia.

GS-1: Definición de la estrategia de protección de datos y administración de recursos

Guía: Asegúrese de documentar y comunicar una estrategia clara para la protección y supervisión continua de sistemas y datos. Dé prioridad a la detección, evaluación, protección y supervisión de los sistemas y datos críticos para la empresa.

Esta estrategia debe incluir instrucciones, directivas y estándares documentados para los siguientes elementos:

• Norma de clasificación de datos de acuerdo con los riesgos empresariales

• Visibilidad en la organización de seguridad de los riesgos y el inventario de recursos

• Aprobación de la organización de seguridad de los servicios de Azure para su uso

• Seguridad de los recursos durante su ciclo de vida

• Estrategia de control de acceso necesaria según la clasificación de datos de la organización

• Uso de las funcionalidades de protección de datos nativa de Azure y de terceros

• Requisitos de cifrado de datos para casos de uso en tránsito y en reposo

• Normas criptográficas adecuadas

Para más información, consulte las siguientes referencias:

• Recomendación para la arquitectura de seguridad de Azure: almacenamiento, datos y cifrado

• Aspectos básicos de la seguridad de Azure: seguridad, cifrado y almacenamiento de datos de Azure

• Cloud Adoption Framework: procedimientos recomendados de cifrado y seguridad de los datos de Azure

• Azure Security Benchmark: administración de recursos

• Azure Security Benchmark: protección de datos

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

GS-2: Definición de una estrategia de segmentación empresarial

Guía: Establezca en toda la empresa una estrategia para segmentar el acceso a los recursos mediante una combinación de identidad, red, aplicación, suscripción, grupo de administración y otros controles.

Equilibre concienzudamente la necesidad de separación de seguridad con la necesidad de habilitar el funcionamiento diario de los sistemas que necesitan comunicarse entre sí y acceder a los datos.

Asegúrese de que la estrategia de segmentación se implementa de forma coherente en todos los tipos de control, como la seguridad de red, los modelos de identidad y acceso, y los modelos de acceso y permisos de las aplicaciones, y los controles de los procesos humanos.

• Guía de la estrategia de segmentación en Azure (vídeo)

• Guía de la estrategia de segmentación en Azure (documento)

• Alineación de la segmentación de red con la estrategia de segmentación empresarial

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

GS-3: Definición de la estrategia de administración de la posición de seguridad

Guía: Mida y mitigue continuamente los riesgos de los recursos individuales y el entorno en el que se hospedan. Dé prioridad a los recursos de gran valor y a las superficies de ataque muy expuestas, como las aplicaciones publicadas, los puntos de entrada y salida de red, los puntos de conexión de usuario y administrador, etc.

• Azure Security Benchmark: administración de posturas y vulnerabilidades

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

GS-4: Alineación de los roles y responsabilidades de la organización

Guía: Asegúrese de documentar y comunicar una estrategia clara para los roles y las responsabilidades de la organización de seguridad. Dé prioridad a ofrecer una responsabilidad clara en las decisiones de seguridad, a proporcionar a todos los usuarios formación sobre el modelo de responsabilidad compartida y a los equipos técnicos sobre la tecnología para proteger la nube.

• Procedimiento recomendado de seguridad de Azure 1. Personas: Formación del equipo sobre el recorrido de seguridad de la nube

• Procedimiento recomendado de seguridad de Azure 2. Personas: Formación del equipo en tecnología de seguridad de la nube

• Procedimiento recomendado de seguridad de Azure 3. Proceso: Asignación de responsabilidades por las decisiones de seguridad en la nube

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

GS-5: Definición de la estrategia de seguridad de red

Guía: Establezca un enfoque de seguridad de red de Azure como parte de la estrategia de control de acceso de seguridad general de su organización.

Esta estrategia debe incluir instrucciones, directivas y estándares documentados para los siguientes elementos:

• Centralización de la responsabilidad de seguridad y la administración de redes

• Modelo de segmentación de la red virtual alineado con la estrategia de segmentación empresarial

• Estrategia de corrección en diferentes escenarios de amenazas y ataques

• Estrategia de entrada y salida y perimetral de Internet

• Estrategia de interconectividad entre el entorno local y la nube híbrida

• Artefactos de seguridad de red actualizados (por ejemplo, diagramas de red y arquitectura de red de referencia)

Para más información, consulte las siguientes referencias:

• Procedimiento recomendado de seguridad de Azure 11: arquitectura. Estrategia de seguridad unificada única

• Azure Security Benchmark: seguridad de red

• Azure Network Security Overview (Información general sobre Azure Network Security)

• Estrategia para la arquitectura de red empresarial

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

GS-6: Definición de la estrategia de acceso con privilegios e identidades

Guía: Establezca una identidad de Azure y enfoques de acceso con privilegios como parte de la estrategia de control de acceso de seguridad general de su organización.

Esta estrategia debe incluir instrucciones, directivas y estándares documentados para los siguientes elementos:

• Un sistema de identidad y autenticación centralizado y su interconectividad con otros sistemas de identidad internos y externos

• Métodos de autenticación sólida en diferentes casos de uso y condiciones

• Protección de usuarios con privilegios elevados

• Supervisión y control de anomalías en las actividades de los usuarios

• Proceso de revisión y conciliación del acceso y la identidad de los usuarios

Para más información, consulte las siguientes referencias:

• Azure Security Benchmark: administración de identidades

• Azure Security Benchmark: acceso con privilegios

• Procedimiento recomendado de seguridad de Azure 11: arquitectura. Estrategia de seguridad unificada única

• Información general sobre seguridad de administración de identidades de Azure

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

GS-7: Definición de la estrategia de registro y respuesta a amenazas

Guía: Establezca una estrategia de registro y respuesta a amenazas para detectar y corregir rápidamente las amenazas mientras cumple los requisitos de cumplimiento. Para dar prioridad, proporcione a los analistas alertas de alta calidad y experiencias sin problemas para que puedan centrarse en las amenazas en lugar de los pasos manuales y de integración.

Esta estrategia debe incluir instrucciones, directivas y estándares documentados para los siguientes elementos:

• Las responsabilidades y el rol de la organización en las operaciones de seguridad (SecOps)

• Un proceso de respuesta a incidentes bien definido que esté alineado con NIST u otro marco del sector.

• Captura y retención de registros para admitir la detección de amenazas, la respuesta ante incidentes y las necesidades de cumplimiento

• Visibilidad y correlación centralizada de la información sobre amenazas, mediante SIEM, funcionalidades nativas de Azure y otros orígenes

• Plan de comunicación y notificación con sus clientes, proveedores y entidades públicas de interés

• Uso de plataformas nativas de Azure y de terceros para el tratamiento de incidentes, como el registro y la detección de amenazas, los análisis forenses y la corrección y erradicación de ataques

• Procesos para controlar incidentes y actividades posteriores a incidentes, como las lecciones aprendidas y la retención de pruebas

Para más información, consulte las siguientes referencias:

• Azure Security Benchmark: registro y detección de amenazas

• Azure Security Benchmark: respuesta a incidentes

• Procedimiento recomendado de seguridad de Azure 4: proceso. Actualizar procesos de respuesta a incidentes para la nube

• Guía de decisiones sobre registros e informes en Azure Adoption Framework

• Escala, administración y supervisión empresarial de Azure

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

GS-8: Definición de la estrategia de copia de seguridad y recuperación

Guía:Establezca una estrategia de copia de seguridad y recuperación de Azure para su organización.

Esta estrategia debe incluir instrucciones, directivas y estándares documentados para los siguientes elementos:

• Definiciones de objetivo de tiempo de recuperación (RTO) y objetivo de punto de recuperación (RPO) de acuerdo con los objetivos de resistencia de su negocio

• Diseño de redundancia en la configuración de la infraestructura y las aplicaciones

• Protección de la copia de seguridad mediante el control de acceso y el cifrado de datos

Para más información, consulte las siguientes referencias:

• Azure Security Benchmark: copia de seguridad y recuperación

• Marco de buena arquitectura de Azure: copia de seguridad y recuperación ante desastres para aplicaciones de Azure

• Azure Adoption Framework: continuidad empresarial y recuperación ante desastres

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

Pasos siguientes

• Consulte la Información general sobre Azure Security Benchmark V2.
• Obtenga más información sobre las líneas de base de seguridad de Azure.