Línea de base de seguridad de Azure para Azure Monitor

Esta línea de base de seguridad aplica las instrucciones de la versión 2.0 de Azure Security Benchmark a Azure Monitor. Azure Security Benchmark proporciona recomendaciones sobre cómo puede proteger sus soluciones de nube en Azure. El contenido se agrupa por medio de los controles de seguridad definidos por Azure Security Benchmark y las directrices aplicables a Azure Monitor.

Puede supervisar esta línea de base de seguridad y sus recomendaciones mediante Microsoft Defender for Cloud. Azure Policy definiciones se mostrarán en la sección Cumplimiento normativo del panel de Microsoft Defender for Cloud.

Cuando una sección tiene definiciones de Azure Policy relevantes, se muestran en esta línea de base para ayudarle a medir el cumplimiento de los controles y recomendaciones de Azure Security Benchmark. Algunas recomendaciones pueden requerir un plan de Microsoft Defender de pago para habilitar determinados escenarios de seguridad.

Nota:

Se han excluido los controles no aplicables a Azure Monitor y aquellos para los que se recomienda la guía global al pie de la letra. Para ver cómo Azure Monitor se adapta por completo a Azure Security Benchmark, consulte el archivo de asignación de base de referencia de seguridad de Azure Policy completo.

Seguridad de redes

Para más información, consulte Azure Security Benchmark: seguridad de red.

NS-1: implementación de la seguridad para el tráfico interno

Guía: al implementar recursos de Microsoft Azure Monitor, cree o use una red virtual existente. Asegúrese de que todas las redes virtuales de Azure siguen un principio de segmentación de empresa que se adapte a los riesgos empresariales. ¿Tiene algún sistema que pueda suponer un mayor riesgo para la organización? Si es así, aísle ese sistema dentro de su propia red virtual y protéjalo lo suficiente con un grupo de seguridad de red (NSG) o Azure Firewall.

Al utilizar la protección de red adaptable de Microsoft Defender for Cloud, se recomiendan configuraciones de NSG que limiten los puertos y las IP de origen. Base las configuraciones en reglas de tráfico de red externas.

Configure Monitor para usar la Seguridad de la capa de transporte (TLS) 1.2. Puede configurar esta opción en las implementaciones de recursos de Monitor a través de las plantillas de Azure Resource Manager (plantillas de ARM). Aplique la configuración mediante Azure Policy. Recuerde que, si deshabilita los protocolos heredados, puede afectar a la compatibilidad con versiones anteriores del servicio o la aplicación.

Para comunicarse con las áreas de trabajo de Log Analytics y los componentes de Application Insights, el tráfico saliente de la red requiere acceso a una lista de puntos de conexión. Normalmente, la comunicación pasa por el puerto 443 o el puerto 80. Algunas características Application Insights, como las pruebas de disponibilidad, requieren tráfico entrante a la red.

Responsabilidad: Customer

NS-2: Conexión conjunta de redes privadas

Guía: mediante Azure ExpressRoute o la red privada virtual (VPN) de Azure, cree conexiones privadas entre centros de datos de Azure y una infraestructura local en un entorno de coubicación. Conexiones de ExpressRoute que no fluyen a través de la red pública de Internet. En comparación con las conexiones a Internet típicas, las conexiones ExpressRoute ofrecen:

  • Más confiabilidad
  • Velocidades más rápidas
  • Latencias más bajas

En cuanto a VPN de punto a sitio y de sitio a sitio, puede conectar dispositivos o redes locales a una red virtual. Use cualquier combinación de estas opciones de VPN y ExpressRoute.

Para conectar entre sí dos o más redes virtuales en Azure, use el emparejamiento de redes virtuales. El tráfico de red entre redes virtuales emparejadas es privado. El tráfico se mantiene en la red troncal de Azure.

Una vez que tenga las redes emparejadas, se recomienda usar Private Link para comunicarse con los recursos de Monitor de forma privada. Consulte "Diseño de la configuración de Private Link" para planear cómo se debe aplicar a la topología de red.

Responsabilidad: Customer

NS-3: establecimiento del acceso de red privada a los servicios de Azure

Guía: habilite Private Link para permitir el acceso a los servicios de tipo software como servicio (SaaS) de Azure (por ejemplo, Monitor) y a los servicios hospedados de clientes o asociados en Azure a través de un punto de conexión privado de la red virtual. El tráfico entre la red virtual y el servicio atraviesa la red troncal de Microsoft, lo cual elimina la exposición a la red pública de Internet.

Estas son algunas sugerencias para administrar el acceso:

  • Para que el tráfico llegue a Monitor, use las etiquetas de servicio "AzureMonitor" para permitir el tráfico entrante y saliente a través de grupos de seguridad de red.
  • Para permitir que el tráfico de prueba de supervisión de disponibilidad llegue a Monitor, utilice la etiqueta de servicio "ApplicationInsightsAvailability" para todo el tráfico entrante a través de grupos de seguridad de red.
  • Para permitir que las notificaciones de alerta lleguen a los puntos de conexión del cliente, use la etiqueta de servicio "ActionGroup" para dejar que el tráfico entrante pase por los grupos de seguridad de red.

Con las reglas de red virtual, puede configurar Monitor para recibir comunicaciones solo de subredes seleccionadas dentro de una red virtual.

¿Tiene equipos que no se pueden conectar directamente a Internet? Si es así, use la puerta de enlace de Log Analytics, ya que puede enviar datos a un área de trabajo de Log Analytics en Monitor. Esta práctica significa que no es necesario conectar esos equipos a Internet.

Responsabilidad: Customer

NS-6: simplificación de las reglas de seguridad de red

Guía: Monitor puede supervisar los recursos implementados en la red. Por lo tanto, la red debe permitir el tráfico saliente a los puntos de conexión de Monitor (por ejemplo, la ingesta de registros). Se recomienda usar Private Link entre la red y los recursos de Monitor. Si no quiere usar Private Link, puede limitar el tráfico saliente de la red a los puntos de conexión de Monitor. Solo tiene que usar etiquetas de servicio de red virtual de Azure en los grupos de seguridad de red Azure Firewall.

Al crear reglas de seguridad, use etiquetas de servicio en lugar de direcciones IP específicas. Al especificar el nombre de la etiqueta de servicio en el campo de origen o destino de la regla apropiada, puede permitir o denegar el tráfico del servicio correspondiente. Microsoft administra los prefijos de dirección que abarca la etiqueta de servicio. Actualiza automáticamente la etiqueta de servicio a medida que cambian las direcciones.

Responsabilidad: Customer

NS-7: servicio de nombres de dominio (DNS) seguro

Guía: Siga los procedimientos recomendados para la seguridad del Sistema de nombres de dominio (DNS) a fin de mitigar los ataques comunes, por ejemplo:

  • DNS pendientes
  • Ataques de amplificaciones de DNS
  • Ataques de tipo "poisoning" o suplantación de identidad de DNS

Por lo general, Monitor no requiere que configure el DNS ni lo administre de una manera específica. Pero si usa los vínculos privados de Monitor, debe actualizar el DNS. A continuación, las zonas DNS asignan los puntos de conexión de Monitor a las direcciones IP privadas.

Cuando Azure DNS se usa como servicio DNS autoritativo, proteja las zonas y los registros DNS frente a modificaciones accidentales o malintencionadas. Use el control de acceso basado en roles de Azure (Azure RBAC) y los bloqueos de recursos para aplicar la protección.

Responsabilidad: Customer

Administración de identidades

Para más información, consulte Azure Security Benchmark: Administración de identidades.

IM-1: Unificación en Azure Active Directory como sistema central de identidad y autenticación

Guía: Monitor usa Azure Active Directory (Azure AD) como un servicio de administración de identidades y acceso predeterminado de Azure. Debe unificar Azure AD para controlar la administración de identidades y accesos de la organización en:

  • Recursos de Microsoft Cloud, por ejemplo:
    • Azure portal
    • Azure Storage
    • Azure Virtual Machine (Linux y Windows)
    • Azure Key Vault
    • Plataforma como servicio (PaaS)
    • Aplicaciones de software como servicio (SaaS)
  • Los recursos de su organización, como aplicaciones en Azure o los recursos de la red corporativa.

Asegúrese de que la protección de Azure AD tenga la máxima prioridad en las prácticas de seguridad en la nube de su organización. Azure AD proporciona una puntuación de seguridad de la identidad. Esta puntuación le ayuda a evaluar su posición de seguridad de la identidad, en relación con los procedimientos recomendados de Microsoft. Use esta puntuación para medir el nivel de coincidencia entre su configuración y los procedimientos recomendados. A continuación, incorpore mejoras en la posición de seguridad.

Nota: Azure AD admite identidades externas. Los usuarios que no tengan una cuenta de Microsoft pueden iniciar sesión en sus aplicaciones y recursos con su identidad externa.

Responsabilidad: Customer

IM-2: Administración de identidades de aplicaciones de forma segura y automática

Guía: Monitor admite identidades administradas para sus recursos de Azure. En lugar de crear entidades de servicio para acceder a otros recursos, use identidades administradas con Monitor. Monitor puede autenticarse de forma nativa en los servicios y recursos de Azure que admiten la autenticación de Azure AD. La autenticación se produce a través de una regla de concesión de acceso predefinida. No usa credenciales codificadas de forma rígida en archivos de configuración o código fuente.

Responsabilidad: Customer

IM-3: Uso del inicio de sesión único de Azure AD para acceder a las aplicaciones

Guía: Monitor usa Azure AD para proporcionar administración de identidades y acceso a:

  • Recursos de Azure
  • Aplicaciones en la nube
  • Aplicaciones locales

La identidad y la administración incluyen las identidades empresariales, como las de los empleados. También incluye identidades externas, como:

  • Asociados
  • Proveedores
  • Suppliers

Gracias a esta opción, el inicio de sesión único (SSO) puede administrar y proteger el acceso a los datos y recursos de su organización. El SSO funciona tanto en el entorno local como en la nube. Para obtener un acceso seguro y sin problemas y una mayor visibilidad y control, conecte a Azure AD todos los recursos siguientes:

  • Usuarios
  • Aplicaciones
  • Dispositivos

Para obtener más información, lea el artículo siguiente:

Responsabilidad: Customer

IM-7: Elimine la exposición de credenciales no intencionada

Guía: implemente Monitor con plantillas de ARM que puedan tener secretos definidos en el código. Implemente Credential Scanner para identificar las credenciales en la infraestructura de Monitor Labs como plantillas de código. El escáner de credenciales también fomenta el traslado de credenciales detectadas a ubicaciones más seguras, como Key Vault.

En el caso de GitHub, use la característica nativa de examen de secretos. Esta característica identifica las credenciales u otras formas de secretos dentro del código.

Responsabilidad: Customer

Acceso con privilegios

Para más información, consulte Azure Security Benchmark: Acceso con privilegios.

PA-1: Protección y limitación de usuarios con privilegios elevados

Guía: los roles integrados de Azure AD más críticos son Administrador global y Administrador de roles con privilegios. Los usuarios asignados a estos dos roles pueden delegar roles de administrador:

  • Administrador global o Administrador de la compañía. Los usuarios con este rol tienen acceso a todas las características administrativas de Azure AD, así como a los servicios que utilizan identidades de Azure AD.

  • Administrador de roles con privilegios. Los usuarios con este rol pueden administrar asignaciones de roles en Azure AD, y dentro de Azure AD Privileged Identity Management (PIM). Además, este rol permite administrar todos los aspectos de PIM y las unidades administrativas.

Nota: Si usa roles personalizados con determinados permisos con privilegios asignados, es posible que tenga otros roles críticos que deban administrarse. Puede que también quiera aplicar controles similares a la cuenta de administrador de recursos empresariales críticos.

Limite el número de cuentas o roles con privilegios elevados. Proteja estas cuentas en un nivel elevado. Los usuarios con este privilegio pueden leer y modificar todos los recursos de su entorno de Azure, de forma directa o indirecta.

Puede habilitar el acceso con privilegios cuando es necesario (JIT) a los recursos de Azure y a Azure AD mediante Azure AD PIM. JIT concede permisos temporales para realizar tareas con privilegios solo cuando los usuarios lo necesitan. PIM también puede generar alertas de seguridad cuando haya actividades sospechosas o no seguras en la organización de Azure AD.

Responsabilidad: Customer

PA-3: Revisión y conciliación de manera periódica del acceso de los usuarios

Guía: para asegurarse de que las cuentas de usuario y su acceso son válidos, Monitor usa cuentas de Azure AD para:

  • Administrar sus recursos.
  • Revisar las cuentas de usuario.
  • Acceder a las asignaciones.

Use Azure AD y las revisiones de acceso para revisar lo siguiente:

  • Pertenencias a grupos
  • Acceso a aplicaciones empresariales
  • Asignaciones de roles

Los informes de Azure AD pueden proporcionar registros para ayudar a detectar cuentas obsoletas. Para ayudarle a realizar al proceso de revisión, use también Azure AD PIM para crear flujos de trabajo de informes de revisión de acceso.

Asimismo, puede configurar Azure PIM para que le alerte cuando se cree un número excesivo de cuentas de administrador. O bien, configure la identificación de cuentas de administrador obsoletas o configuradas incorrectamente.

Nota: Algunos servicios de Azure admiten roles y usuarios locales que no se administran mediante Azure AD. Administre estos usuarios por separado.

Responsabilidad: Customer

PA-6: Uso de estaciones de trabajo con privilegios de acceso

Guía: las estaciones de trabajo aisladas y protegidas son sumamente importantes para la seguridad de los roles confidenciales, por ejemplo:

  • Administradores
  • Desarrolladores
  • Operadores de servicios críticos

Use estaciones de trabajo de usuario de alta seguridad o Azure Bastion para las tareas administrativas. Para implementar una estación de trabajo de usuario segura y administrada, use uno o varios de los recursos siguientes:

  • Azure AD
  • Protección contra amenazas avanzada (ATP) de Microsoft Defender
  • Microsoft Intune

Puede administrar de forma centralizada las estaciones de trabajo protegidas para aplicar la configuración protegida, lo que incluye:

  • Autenticación sólida
  • Líneas base de software y hardware
  • Acceso lógico y de red restringido

Para más información, consulte los siguientes artículos:

Responsabilidad: Customer

Protección de datos

Para más información, consulte Azure Security Benchmark: protección de datos.

DP-2: Protección de datos confidenciales

Guía: proteja los datos confidenciales restringiendo el acceso mediante:

  • Azure RBAC
  • Controles de acceso basados en red
  • Controles de RBAC basados en tablas de Azure Monitor.

Para garantizar un control de acceso coherente, alinee todos los tipos de control de acceso con la estrategia de segmentación de la empresa. Además, informe la estrategia de segmentación de su empresa con la ubicación de los sistemas y datos confidenciales o críticos para la empresa.

En la plataforma subyacente administrada por Microsoft, se trata todo el contenido del cliente como confidencial. Protege contra la pérdida y exposición de datos de los clientes. Para garantizar la seguridad de los datos de los clientes dentro de Azure, Microsoft ha implementado, de manera predeterminada, algunos controles y funcionalidades de protección de datos.

Responsabilidad: Customer

DP-3: Supervisión de la transferencia no autorizada de datos confidenciales

Guía: no es aplicable; en la plataforma subyacente administrada por Microsoft, se trata todo el contenido del cliente como confidencial. Se hace todo lo posible para evitar la pérdida de datos de los clientes y su exposición. Para asegurarse de que los datos de los clientes dentro de Azure siguen siendo seguros, Microsoft implementa y mantiene un conjunto de controles y funcionalidades de protección de datos sólidos.

Responsabilidad: Compartido

DP-4: Cifrado de la información confidencial en tránsito

Guía: para complementar los controles de acceso, proteja los datos en tránsito frente a ataques "fuera de banda", como la captura de tráfico, mediante el cifrado. De esta manera, los atacantes no pueden leer ni modificar los datos con facilidad.

Monitor admite el cifrado de datos en tránsito con TLS v1.2 o superior. De forma predeterminada, Azure proporciona el cifrado de los datos en tránsito entre los centros de datos de Azure.

Aunque esta característica es opcional en el caso del tráfico de redes privadas, es fundamental para el tráfico de redes externas y públicas. Para el tráfico HTTP, asegúrese de que los clientes que se conectan a los recursos de Azure pueden negociar TLS v1.2 o superior. Para la administración remota, en lugar de un protocolo sin cifrar, use uno de los siguientes:

  • Secure Shell (SSH) para Linux
  • Protocolo de escritorio remoto (RDP) y TLS para Windows

Deshabilite los cifrados débiles, además de las versiones obsoletas y los protocolos de:

  • Capa de sockets seguros (SSL)

  • TLS

  • SSH

Para más información, consulte los siguientes artículos:

Responsabilidad: Customer

DP-5: Cifrado de datos confidenciales en reposo

Guía: para complementar los controles de acceso, Monitor cifra los datos en reposo. Este comportamiento le protege frente a ataques "fuera de banda" (como el acceso al almacenamiento subyacente) mediante cifrado. Esta práctica le permite garantizar que los atacantes no puedan leer ni modificar fácilmente los datos.

Azure proporciona cifrado de datos en reposo de forma predeterminada. En el caso de datos extremadamente confidenciales, puede implementar más cifrado en reposo en todos los recursos de Azure donde esté disponible. Azure administra las claves de cifrado de forma predeterminada. También le proporciona opciones para administrar sus propias claves (claves administradas por el cliente) en el caso de determinados servicios de Azure.

Responsabilidad: Customer

Administración de recursos

Para más información, consulte Azure Security Benchmark: Administración de recursos.

AM-1: Asegurarse de que el equipo de seguridad tiene visibilidad sobre los riesgos para los recursos

Guía: conceda a los equipos de seguridad los permisos de Lector de seguridad en el inquilino y las suscripciones de Azure. A continuación, los equipos pueden supervisar los riesgos de seguridad mediante Microsoft Defender for Cloud.

En función de cómo estructure las responsabilidades del equipo de seguridad, un equipo de seguridad central o un equipo local pueden ser responsables de supervisar los riesgos de seguridad. Sin embargo, agregue siempre la información y los riesgos de seguridad de forma centralizada dentro de una organización.

Puede aplicar permisos de Lector de seguridad ampliamente, a todo un inquilino (grupo de administración raíz). O bien, puede limitar esos permisos a grupos de administración o suscripciones específicas.

Nota: Es posible que se necesiten permisos adicionales para obtener visibilidad de las cargas de trabajo y los servicios.

Responsabilidad: Customer

AM-2: Asegurarse de que el equipo de seguridad tiene acceso a los metadatos y al inventario de recursos

Guía: dé a los equipos de seguridad acceso a un inventario de recursos que se actualiza continuamente en Azure, como Monitor. A menudo, los equipos de seguridad necesitan este inventario para evaluar la posible exposición de su organización a los riesgos emergentes. El inventario también es una entrada para las mejoras de seguridad continuas. Cree un grupo de Azure AD que contenga el equipo de seguridad autorizado de la organización. A continuación, asigne un acceso de lectura al grupo en todos los recursos de Monitor. Para simplificar este proceso, puede usar una única asignación de roles general dentro de la suscripción.

Para organizar elementos de forma lógica en una taxonomía, aplique etiquetas a los siguientes elementos de Azure:

  • Recursos
  • Grupos de recursos
  • Suscripciones

Cada etiqueta consta de un nombre y un par de valores. Por ejemplo, puede aplicar el nombre "Environment" y el valor "Production" a todos los recursos en producción.

Monitor no le permite ejecutar una aplicación ni instalar software en sus recursos.

Responsabilidad: Customer

AM-3: Uso exclusivo de servicios de Azure aprobados

Guía: mediante Azure Policy, audite y restrinja qué servicios pueden aprovisionar los usuarios en el entorno. Use Resource Graph para consultar y detectar recursos dentro de sus suscripciones. También puede usar Monitor para crear reglas que desencadenen alertas cuando se detecte un servicio no aprobado.

Responsabilidad: Customer

registro y detección de amenazas

Para más información, consulte Azure Security Benchmark: registro y detección de amenazas.

LT-1: Habilitación de la detección de amenazas para recursos de Azure

Guía: Monitor no proporciona capacidades nativas para supervisar las amenazas de seguridad relacionadas con sus recursos.

Reenvíe los registros de Monitor a su SIEM, que podrá usar para configurar detecciones de amenazas personalizadas. Igualmente, asegúrese de supervisar los distintos tipos de recursos de Azure en busca de posibles amenazas y anomalías. Céntrese en obtener alertas de alta calidad para reducir los falsos positivos que deben revisar los analistas. Puede obtener alertas de:

  • Datos de registro
  • Agentes
  • Otros datos

Las alertas de estos registros desencadenarán una consulta de registros confidenciales, la purga de los registros o la eliminación de estos.

Responsabilidad: Customer

LT-2: Habilitación de la detección de amenazas para la administración de identidades y acceso de Azure

Guía: Azure Active Directory (Azure AD) proporciona los siguientes registros de usuario:

  • Inicios de sesión: el informe de inicios de sesión proporciona información sobre el uso de aplicaciones administradas y las actividades de inicio de sesión del usuario.

  • Registros de auditoría. Un registro de auditoría aporta rastreabilidad para todos los cambios que las distintas características realicen dentro de Azure AD. Entre los ejemplos se incluyen los cambios hechos en los recursos de Azure AD, como agregar o quitar:

    • Usuarios
    • Aplicaciones
    • Grupos
    • Roles
    • Directivas
  • Inicios de sesión de riesgo. Un inicio de sesión de riesgo indica un intento de iniciar sesión por parte de alguien que podría no ser el propietario legítimo de la cuenta de usuario.

  • Usuarios marcados como de riesgo. Un usuario de riesgo indica una cuenta de usuario que puede haber estado en peligro.

Puede ver estos registros en los informes de Azure AD. Para casos de uso de supervisión y análisis más sofisticados, puede integrar los registros en:

  • Supervisión
  • Microsoft Sentinel
  • Otras herramientas de SIEM o supervisión

Microsoft Defender for Cloud también puede desencadenar alertas sobre determinadas actividades sospechosas. Estas actividades incluyen un número excesivo de intentos de autenticación con errores o cuentas en desuso en la suscripción. Además de la supervisión básica de la protección de seguridad, el módulo Protección contra amenazas de Microsoft Defender for Cloud también puede recopilar alertas de seguridad más detalladas de:

  • Recursos de procesos individuales de Azure (máquinas virtuales, contenedores y App Service).
  • Recursos de datos (base de datos SQL y almacenamiento).
  • Capas de servicio de Azure.

Esta capacidad le permite ver anomalías de las cuentas dentro de los recursos individuales.

Responsabilidad: Customer

LT-3: Habilitación del registro para las actividades de red de Azure

Guía: para el análisis de seguridad, habilite y recopile:

  • Registros de recursos de NSG
  • Registros de flujos del grupo de seguridad de red
  • Registros de Azure Firewall
  • Registros de Web Application Firewall (WAF)

Aplique el análisis de seguridad para admitir:

  • Investigaciones de incidentes
  • Búsqueda de amenazas
  • Generación de alertas de seguridad

Puede enviar los registros de flujos en un área de trabajo de Log Analytics en Azure Monitor. A continuación, use Análisis de tráfico para proporcionar información.

Monitor no genera ni procesa registros de consulta de DNS que deban habilitarse.

Responsabilidad: Customer

LT-4: Habilitación del registro para recursos de Azure

Guía: los registros de actividad contienen todas las operaciones de escritura (PUT, POST y DELETE) para los recursos de Monitor. Estos registros de actividad están disponibles automáticamente, pero no contienen operaciones de lectura (GET). Use los registros de actividades para buscar un error durante la solución de problemas. O bien, use los registros para supervisar de qué manera un usuario de su organización ha modificado un recurso.

Actualmente, los grupos de acciones de Monitor no generan registros de recursos de Azure.

Responsabilidad: Customer

Supervisión de Microsoft Defender for Cloud: Azure Security Benchmark es la iniciativa de directiva predeterminada para Microsoft Defender for Cloud y es la base para las recomendaciones de Microsoft Defender for Cloud. Microsoft Defender for Cloud habilita automáticamente las definiciones de Azure Policy relacionadas con este control. Las alertas relacionadas con este control pueden requerir un plan de Microsoft Defender para los servicios relacionados.

Definiciones integradas de Azure Policy: microsoft.insights:

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Los registros de recursos de Azure Data Lake Store deben estar habilitados. Habilitación de la auditoría de los registros de recursos. Esto le permite volver a crear seguimientos de actividad con fines de investigación en caso de incidente de seguridad o riesgo para la red. AuditIfNotExists, Disabled 5.0.0
Los registros de recursos de Azure Stream Analytics deben estar habilitados. Habilitación de la auditoría de los registros de recursos. Esto le permite volver a crear seguimientos de actividad con fines de investigación en caso de incidente de seguridad o riesgo para la red. AuditIfNotExists, Disabled 5.0.0
Los registros de recursos de las cuentas de Batch deben estar habilitados. Habilitación de la auditoría de los registros de recursos. Esto le permite volver a crear seguimientos de actividad con fines de investigación en caso de incidente de seguridad o riesgo para la red. AuditIfNotExists, Disabled 5.0.0
Los registros de recursos de Data Lake Analytics deben estar habilitados Habilitación de la auditoría de los registros de recursos. Esto le permite volver a crear seguimientos de actividad con fines de investigación en caso de incidente de seguridad o riesgo para la red. AuditIfNotExists, Disabled 5.0.0
Los registros de recursos de la instancia de Event Hubs deben estar habilitados. Habilitación de la auditoría de los registros de recursos. Esto le permite volver a crear seguimientos de actividad con fines de investigación en caso de incidente de seguridad o riesgo para la red. AuditIfNotExists, Disabled 5.0.0
Los registros de recursos de IoT Hub deben estar habilitados. Habilitación de la auditoría de los registros de recursos. Esto le permite volver a crear seguimientos de actividad con fines de investigación en caso de incidente de seguridad o riesgo para la red. AuditIfNotExists, Disabled 3.0.1
Los registros de recursos de Key Vault deben estar habilitados Habilitación de la auditoría de los registros de recursos. De esta forma, puede volver a crear seguimientos de actividad con fines de investigación en caso de incidentes de seguridad o riesgos para la red. AuditIfNotExists, Disabled 5.0.0
Los registros de recursos de Logic Apps deben estar habilitados Habilitación de la auditoría de los registros de recursos. Esto le permite volver a crear seguimientos de actividad con fines de investigación en caso de incidente de seguridad o riesgo para la red. AuditIfNotExists, Disabled 5.0.0
Los registros de recursos de los servicios Search deben estar habilitados. Habilitación de la auditoría de los registros de recursos. Esto le permite volver a crear seguimientos de actividad con fines de investigación en caso de incidente de seguridad o riesgo para la red. AuditIfNotExists, Disabled 5.0.0
Los registros de recursos de Service Bus deben estar habilitados Habilitación de la auditoría de los registros de recursos. Esto le permite volver a crear seguimientos de actividad con fines de investigación en caso de incidente de seguridad o riesgo para la red. AuditIfNotExists, Disabled 5.0.0

LT-5: Centralizar la administración y el análisis de los registros de seguridad

Guía: Centralice el almacenamiento y el análisis de los registros para permitir su correlación. Para cada origen de registro, asigne:

  • Propietario de datos
  • Guía de acceso
  • Ubicación de almacenamiento
  • Qué herramientas se usan para procesar y acceder a los datos
  • Requisitos de retención de datos

Integre los registros de actividades de Azure en su registro central. Ingiera los registros a través de Monitor para agregar los datos de seguridad generados por:

  • Dispositivos de punto de conexión
  • Recursos de red
  • Otros sistemas de seguridad

En Monitor, use áreas de trabajo de Log Analytics para consultar y realizar análisis. Use cuentas de almacenamiento para el almacenamiento en archivo y a largo plazo.

Además, habilite e incorpore datos en Microsoft Sentinel o en un SIEM de terceros.

Muchas organizaciones optan por usar Microsoft Sentinel para los datos de "acceso frecuente" que se usan con frecuencia. A continuación, las organizaciones eligen Storage para los datos "fríos" que se usan con menos frecuencia.

En cuanto a las aplicaciones que se pueden ejecutar en Monitor, reenvíe todos los registros relacionados con la seguridad a su SIEM para una administración centralizada.

Responsabilidad: Customer

LT-6: Configuración de la retención del almacenamiento de registros

Guía: ¿Tiene cuentas de almacenamiento o áreas de trabajo de Log Analytics que se usan para almacenar registros de Monitor? Si es así, establezca el período de retención de registros según la normativa de cumplimiento de su organización.

En Monitor, puede establecer el período de retención del área de trabajo de Log Analytics según la normativa de cumplimiento de su organización. En cuanto al almacenamiento de archivos y a largo plazo, use uno de estos componentes:

  • Cuenta de almacenamiento de Azure
  • Cuenta de Azure Data Lake Storage
  • Área de trabajo de Log Analytics

Para más información, consulte los siguientes artículos:

Responsabilidad: Customer

LT-7: Uso de orígenes de sincronización de hora aprobados

Guía: Monitor no admite la configuración de sus propios orígenes de sincronización de hora. Los servicios de Monitor se basan en orígenes de sincronización horaria de Microsoft que no se exponen a los clientes para su configuración.

Responsabilidad: Microsoft

administración de posturas y vulnerabilidades

Para más información, consulte Azure Security Benchmark: administración de posturas y vulnerabilidades.

PV-1: establecimiento de configuraciones seguras para servicios de Azure

Guía: ¿necesita auditar y aplicar configuraciones de los recursos de Azure? Monitor admite las siguientes directivas específicas del servicio que están disponibles en Microsoft Defender for Cloud. Puede configurar estas directivas en las instancias de Microsoft Defender for Cloud o de Azure Policy.

  • Un agente de Log Analytics debe instalarse en las instancias de rol de Azure Cloud Services (soporte extendido). El aprovisionamiento automático del agente de Log Analytics debe habilitarse en la suscripción.
  • El aprovisionamiento automático de Microsoft Defender for Cloud del agente de Log Analytics en las suscripciones debe habilitarse con el área de trabajo predeterminada.
  • El aprovisionamiento automático de Microsoft Defender for Cloud del agente de Log Analytics en las suscripciones debe habilitarse con el área de trabajo personalizada.
  • El agente de Log Analytics debe estar instalado en el conjunto de escalado de máquinas virtuales, para la supervisión en Microsoft Defender for Cloud.
  • El agente de Log Analytics debe estar instalado en la máquina virtual para la supervisión en Microsoft Defender for Cloud.
  • Los problemas de estado del agente de Log Analytics se deben resolver en sus máquinas.
  • La exportación a un área de trabajo de Log Analytics debe implementarse para los datos de Microsoft Defender for Cloud.

Monitor proporciona más directivas para proteger los datos a través de la ingesta y el almacenamiento:

  • Los componentes de Application Insights con Private Link habilitado deben usar sus propias cuentas de almacenamiento (BYOS) para el generador de perfiles y el depurador.
  • Los libros se deben guardar en las cuentas de almacenamiento que controle.
  • Las consultas guardadas de Monitor deben guardarse en la cuenta de almacenamiento del cliente para el cifrado de registros.
  • La cuenta de almacenamiento que contiene el contenedor con registros de actividad debe cifrarse con la protección de tipo Bring your own key (BYOK).
  • Los clústeres de los registros de Azure Monitor se deben cifrar con una clave administrada por el cliente.
  • Los clústeres de registros de Azure Monitor se deben crear con el cifrado de infraestructura habilitado (cifrado doble).

Use Azure Blueprints para automatizar la implementación y la configuración de servicios y entornos de aplicación en una única definición del plano técnico. Estos servicios y entornos incluyen:

  • Plantillas de ARM
  • Controles de Azure RBAC
  • Directivas

Para más información, consulte los siguientes artículos:

Responsabilidad: Customer

PV-2: sostenimiento de configuraciones seguras para servicios de Azure

Guía: use Microsoft Defender for Cloud para supervisar la línea base de configuración. Use las definiciones de las directivas "Deny" y "DeployIfNotExists" de Azure Policy para aplicar la configuración segura en todos los recursos de proceso de Azure, incluyendo:

  • Máquinas virtuales
  • Contenedores
  • Otros

Para más información, consulte los siguientes artículos:

Responsabilidad: Customer

PV-4: sostenimiento de configuraciones seguras para los recursos de proceso

Guía: No aplicable; esta guía está pensada para recursos de proceso.

Responsabilidad: Customer

PV-6: realización de evaluaciones de vulnerabilidad de software

Guía: Microsoft realiza la administración de vulnerabilidades en los sistemas subyacentes que admiten Monitor.

Responsabilidad: Microsoft

PV-7: corrección rápida y automática de vulnerabilidades de software

Guía: los clientes pueden habilitar Azure Monitor en máquinas virtuales de Azure y que no sean de Azure mediante la instalación de un agente. Para corregir las posibles vulnerabilidades del agente que se ejecuta en el sistema operativo, actualice el agente con regularidad.

Microsoft recomienda seleccionar siempre la actualización automática en las implementaciones de extensiones. No es posible optar por no recibir actualizaciones de revisiones que incluyen correcciones de errores clave o revisiones de seguridad.

Configure el agente de Log Analytics para Windows y Linux en máquinas virtuales de Azure para actualizarlas de forma predeterminada. A continuación, las actualizaciones que incluyen correcciones de errores clave o de seguridad se implementan rápidamente.

Responsabilidad: Customer

PV-8: realización de una simulaciones de ataques periódicas

Guía: según sea necesario, realice pruebas de penetración o actividades de ataques simulados en los recursos de Azure. Asegúrese de corregir todos los resultados de seguridad críticos. Para asegurarse de que las pruebas de penetración no infringen las directivas de Microsoft, siga las reglas de interacción de las pruebas de penetración de Microsoft Cloud. Use la estrategia de Microsoft y la ejecución de pruebas de penetración de sitios activos y ataques simulados en la infraestructura en los siguientes elementos administrados por Microsoft:

  • Infraestructura en la nube
  • Servicios
  • Aplicaciones

Para más información, consulte los siguientes artículos:

Responsabilidad: Customer

Copia de seguridad y recuperación

Para más información, consulte Azure Security Benchmark: Copia de seguridad y recuperación.

BR-1: Garantía de copias de seguridad automáticas periódicas

Guía: use Azure Resource Manager para exportar Monitor y los recursos relacionados en una plantilla notación de objetos JavaScript (JSON). Puede usar esta plantilla de ARM para realizar una copia de seguridad de Monitor y de las configuraciones relacionadas. Use Azure Automation para ejecutar automáticamente los scripts de copia de seguridad.

Monitor tiene copias de seguridad internas de todos los datos del cliente. Los clientes no tienen que realizar ninguna acción, excepto para los datos de registro almacenados en las áreas de trabajo de Log Analytics. Puede usar la característica de exportación para realizar una copia de seguridad de estos datos, que incluye contenido de Application Insights que almacena datos en un área de trabajo de Log Analytics.

Responsabilidad: Customer

BR-3: Validación de todas las copias de seguridad, incluidas las claves administradas por el cliente

Guía: asegúrese de que puede restaurar periódicamente los archivos de plantilla con respaldo de Azure Resource Manager. Pruebe la restauración de la copia de seguridad de las claves administradas por el cliente.

Responsabilidad: Customer

BR-4: Mitigación del riesgo de pérdida de claves

Guía: asegúrese de aplicar medidas para evitar la pérdida de claves y recuperarlas. Para proteger las claves frente a la eliminación accidental o malintencionada, habilite la eliminación temporal y la protección de purga en Key Vault.

Responsabilidad: Customer

Pasos siguientes