Base de referencia de seguridad de Azure para Linux Virtual Machines

Esta línea base de seguridad aplica las guías descritas en Azure Security Benchmark versión 1.0 a Linux Virtual Machines. Azure Security Benchmark proporciona recomendaciones sobre cómo puede proteger sus soluciones de nube en Azure. El contenido se agrupa en función de los controles de seguridad que define Azure Security Benchmark y la guía aplicable a Linux Virtual Machines.

Puede supervisar esta línea de base de seguridad y sus recomendaciones mediante Microsoft Defender for Cloud. Azure Policy definiciones se mostrarán en la sección Cumplimiento normativo del panel de Microsoft Defender for Cloud.

Cuando una sección tiene definiciones de Azure Policy relevantes, se muestran en esta línea de base para ayudarle a medir el cumplimiento de los controles y recomendaciones de Azure Security Benchmark. Algunas recomendaciones pueden requerir un plan de Microsoft Defender de pago para habilitar determinados escenarios de seguridad.

Nota:

Se han excluido los controles no aplicables a Linux Virtual Machines y aquellos para los que se recomienda seguir la guía global al pie de la letra. Para ver cómo Linux Virtual Machines se asigna por completo a Azure Security Benchmark, consulte el archivo completo de asignación de la base de referencia de seguridad de Linux Virtual Machines .

Seguridad de redes

Para más información, consulte Azure Security Benchmark: seguridad de red.

1.1: Protección de los recursos de Azure dentro de las redes virtuales

Instrucciones: cuando se crea una máquina virtual (VM) de Azure, es preciso crear una red virtual (VNet) o usar una red virtual existente y configurar la máquina virtual con una subred. Asegúrese de que todas las subredes implementadas tienen un grupo de seguridad de red aplicado con controles de acceso a la red específicos para los puertos y orígenes de confianza de sus aplicaciones.

Por otro lado, si tiene un caso de uso específico para un firewall centralizado, Azure Firewall también puede usarse para cumplir esos requisitos.

Responsabilidad: Customer

Supervisión de Microsoft Defender for Cloud: Azure Security Benchmark es la iniciativa de directiva predeterminada para Microsoft Defender for Cloud y es la base para las recomendaciones de Microsoft Defender for Cloud. Microsoft Defender for Cloud habilita automáticamente las definiciones de Azure Policy relacionadas con este control. Puede que las alertas relacionadas con este control requieran un plan de Microsoft Defender para los servicios relacionados.

Definiciones integradas de Azure Policy - Microsoft.ClassicCompute:

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Las máquinas virtuales accesibles desde Internet deben estar protegidas con grupos de seguridad de red Proteja sus máquinas virtuales de posibles amenazas limitando el acceso a ellas con grupos de seguridad de red (NSG). Más información sobre cómo controlar el tráfico con los grupos de seguridad de red en https://aka.ms/nsg-doc. AuditIfNotExists, Disabled 3.0.0
El reenvío de IP en la máquina virtual debe estar deshabilitado Habilitar el reenvío de IP en la NIC de la máquina virtual permite que la máquina reciba tráfico dirigido a otros destinos. El reenvío de IP rara vez es necesario (por ejemplo, cuando se usa la máquina virtual como una aplicación virtual de red) y, por lo tanto, el equipo de seguridad de red debe revisarlo. AuditIfNotExists, Disabled 3.0.0
Se deben cerrar los puertos de administración en las máquinas virtuales Los puertos de administración remota abiertos exponen la máquina virtual a un alto nivel de riesgo de recibir ataques basados en Internet. Estos ataques intentan averiguar las credenciales por medio de fuerza bruta a fin de obtener acceso de administrador a la máquina AuditIfNotExists, Disabled 3.0.0

Definiciones integradas de Azure Policy: Microsoft.Compute:

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Las recomendaciones de protección de red adaptable se deben aplicar en las máquinas virtuales accesibles desde Internet Microsoft Defender for Cloud analiza los patrones de tráfico de las máquinas virtuales orientadas a Internet y proporciona recomendaciones de reglas de grupo de seguridad de red que reducen la superficie de ataque potencial. AuditIfNotExists, Disabled 3.0.0
Las máquinas virtuales accesibles desde Internet deben estar protegidas con grupos de seguridad de red Proteja sus máquinas virtuales de posibles amenazas limitando el acceso a ellas con grupos de seguridad de red (NSG). Más información sobre cómo controlar el tráfico con los grupos de seguridad de red en https://aka.ms/nsg-doc. AuditIfNotExists, Disabled 3.0.0
El reenvío de IP en la máquina virtual debe estar deshabilitado Habilitar el reenvío de IP en la NIC de la máquina virtual permite que la máquina reciba tráfico dirigido a otros destinos. El reenvío de IP rara vez es necesario (por ejemplo, cuando se usa la máquina virtual como una aplicación virtual de red) y, por lo tanto, el equipo de seguridad de red debe revisarlo. AuditIfNotExists, Disabled 3.0.0
Los puertos de administración de las máquinas virtuales deben protegerse con el control de acceso de red Just-In-Time. Microsoft Defender for Cloud supervisará el posible acceso Just-In-Time (JIT) a la red como recomendaciones. AuditIfNotExists, Disabled 3.0.0
Se deben cerrar los puertos de administración en las máquinas virtuales Los puertos de administración remota abiertos exponen la máquina virtual a un alto nivel de riesgo de recibir ataques basados en Internet. Estos ataques intentan averiguar las credenciales por medio de fuerza bruta a fin de obtener acceso de administrador a la máquina AuditIfNotExists, Disabled 3.0.0

1.2: Supervisión y registro de la configuración y el tráfico de redes virtuales, subredes e interfaces de red

Guía: use Microsoft Defender for Cloud para identificar y seguir las recomendaciones de protección de red para ayudarle a proteger sus recursos de máquinas virtuales de Azure en Azure. Habilite los registros de flujo de NSG y envíe registros a una cuenta de almacenamiento para la auditoría del tráfico de las máquinas virtuales por la actividad inusual.

Responsabilidad: Customer

1.3: Proteja las aplicaciones web críticas

Guía: si usa la máquina virtual (VM) para hospedar aplicaciones web, use un grupo de seguridad de red (NSG) en la subred de la máquina virtual para limitar el tráfico de red, los puertos y los protocolos que pueden comunicarse. Siga un enfoque de red con privilegios mínimos al configurar el grupo de seguridad de red para permitir solo el tráfico necesario a la aplicación.

También puede implementar el firewall de aplicaciones web (WAF) de Azure delante de las aplicaciones web críticas para la inspección adicional del tráfico entrante. Habilite la configuración de diagnóstico para WAF e ingiera los registros en una cuenta de almacenamiento, un centro de eventos o un área de trabajo de análisis de registros.

Responsabilidad: Customer

1.4: Denegación de las comunicaciones con direcciones IP malintencionadas conocidas

Guía: habilite la protección contra denegación de servicio distribuida (DDoS) estándar en las redes virtuales para protegerse frente a ataques DDoS. Con la inteligencia sobre amenazas integrada de Microsoft Defender for Cloud puede supervisar las comunicaciones con direcciones IP malintencionadas conocidas. Configure Azure Firewall en cada uno de los segmentos de la red virtual, con la inteligencia sobre amenazas habilitada y configurada para "Alertar y denegar" el tráfico de red malintencionado.

Puede usar el acceso de red Just-in-Time de Microsoft Defender for Cloud para limitar la exposición de Linux Virtual Machines a las direcciones IP aprobadas durante un período limitado. Use también la protección de red adaptable de Microsoft Defender for Cloud para recomendar configuraciones de NSG que limiten los puertos y las direcciones IP basadas en el tráfico real y la inteligencia sobre amenazas.

Responsabilidad: Customer

Supervisión de Microsoft Defender for Cloud: Azure Security Benchmark es la iniciativa de directiva predeterminada para Microsoft Defender for Cloud y es la base para las recomendaciones de Microsoft Defender for Cloud. Microsoft Defender for Cloud habilita automáticamente las definiciones de Azure Policy relacionadas con este control. Puede que las alertas relacionadas con este control requieran un plan de Microsoft Defender para los servicios relacionados.

Definiciones integradas de Azure Policy: Microsoft.Compute:

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Las recomendaciones de protección de red adaptable se deben aplicar en las máquinas virtuales accesibles desde Internet Microsoft Defender for Cloud analiza los patrones de tráfico de las máquinas virtuales orientadas a Internet y proporciona recomendaciones de reglas de grupo de seguridad de red que reducen la superficie de ataque potencial. AuditIfNotExists, Disabled 3.0.0
Los puertos de administración de las máquinas virtuales deben protegerse con el control de acceso de red Just-In-Time. Microsoft Defender for Cloud supervisará el posible acceso Just-In-Time (JIT) a la red como recomendaciones. AuditIfNotExists, Disabled 3.0.0

1.5: Registro de los paquetes de red

Guía: puede anotar los registros de flujo del grupo de seguridad de red en una cuenta de almacenamiento para generar los registros de flujo de las máquinas virtuales de Azure. Al investigar actividades anómalas, puede habilitar la captura de paquetes de Network Watcher para que el tráfico de red pueda revisarse en busca de actividad inusual e inesperada.

Responsabilidad: Customer

1.6: Implementación de sistemas de prevención de intrusiones y detección de intrusiones (IDS/IPS) basados en la red

Guía: al combinar las capturas de paquetes proporcionadas por Network Watcher con una herramientas IDS de código abierto, puede realizar la detección de intrusiones para una amplia variedad de amenazas. Además, puede implementar Azure Firewall en segmentos de la red virtual, según corresponda, con la inteligencia sobre amenazas habilitada y configurada para "Alertar y denegar" el tráfico de red malintencionado.

Responsabilidad: Customer

1.7: Administre el tráfico a las aplicaciones web

Instrucciones: puede implementar Application Gateway de Azure para las aplicaciones web con HTTPS/SSL habilitado para los certificados de confianza. Con Azure Application Gateway, puede dirigir el tráfico web de la aplicación a recursos específicos mediante la asignación de clientes de escucha a los puertos, la creación de reglas y la adición de recursos a un grupo de back-end, como Linux Virtual Machines.

Responsabilidad: Customer

1.8: Minimice la complejidad y la sobrecarga administrativa de las reglas de seguridad de red

Guía: use etiquetas de servicio de Virtual Network para definir controles de acceso a la red en los grupos de seguridad de red o las instancias de Azure Firewall configuradas para las máquinas virtuales de Azure. Puede utilizar etiquetas de servicio en lugar de direcciones IP específicas al crear reglas de seguridad. Al especificar el nombre de la etiqueta de servicio (por ejemplo, ApiManagement) en el campo de origen o destino apropiado de una regla, puede permitir o denegar el tráfico para el servicio correspondiente. Microsoft administra los prefijos de direcciones que la etiqueta de servicio incluye y actualiza automáticamente dicha etiqueta a medida que las direcciones cambian.

Responsabilidad: Customer

1.9: Mantenga las configuraciones de seguridad estándar para dispositivos de red

Guía: defina e implemente configuraciones de seguridad estándar para las máquinas virtuales (VM) de Azure con Azure Policy. También puede usar Azure Blueprints para simplificar las implementaciones de VM de Azure a gran escala mediante el empaquetado de artefactos de entorno clave, como plantillas de Azure Resource Manager, asignaciones de roles y asignaciones de Azure Policy, en una única definición de un plano técnico. Puede aplicar el plano técnico a las suscripciones y habilitar la administración de recursos a través del control de versiones de planos técnicos.

Responsabilidad: Customer

1.10: Documente las reglas de configuración de tráfico

Guía: puede usar etiquetas para NSG y otros recursos relacionados con la seguridad de red y el flujo de tráfico que están configurados para sus máquinas virtuales de Azure. En el caso de las reglas de NSG individuales, use el campo "Descripción" para especificar las necesidades empresariales o la duración de las reglas que permiten que entre o salga el tráfico en una red.

Responsabilidad: Customer

1.11: Use herramientas automatizadas para supervisar las configuraciones de recursos de red y detectar cambios

Guía: use el registro de actividad de Azure para supervisar los cambios a las configuraciones de recursos de red relacionados con sus máquinas virtuales. Cree alertas en Azure Monitor que se desencadenen cuando se produzcan cambios en la configuraciones o recursos de red críticos.

Use Azure Policy para validar (o corregir) las configuraciones de los recursos de red relacionados con Linux Virtual Machines.

Responsabilidad: Customer

Supervisión de Microsoft Defender for Cloud: Azure Security Benchmark es la iniciativa de directiva predeterminada para Microsoft Defender for Cloud y es la base para las recomendaciones de Microsoft Defender for Cloud. Microsoft Defender for Cloud habilita automáticamente las definiciones de Azure Policy relacionadas con este control. Puede que las alertas relacionadas con este control requieran un plan de Microsoft Defender para los servicios relacionados.

Definiciones integradas de Azure Policy: Microsoft.Compute:

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Agregar una identidad administrada asignada por el sistema para habilitar las asignaciones de configuración de invitado en máquinas virtuales sin identidades Esta directiva agrega una identidad administrada asignada por el sistema a las máquinas virtuales hospedadas en Azure que son compatibles con la configuración de invitado pero no tienen identidades administradas. Una identidad administrada asignada por el sistema es un requisito previo para todas las asignaciones de configuración de invitado y debe agregarse a los equipos antes de usar las definiciones de directiva de la configuración de invitado. Para más información sobre la configuración de invitado, visite https://aka.ms/gcpol. modify 1.0.0
Agregar una identidad administrada asignada por el sistema para habilitar las asignaciones de configuración de invitado en máquinas virtuales con una identidad asignada por el usuario Esta directiva agrega una identidad administrada asignada por el sistema a las máquinas virtuales hospedadas en Azure que son compatibles con la configuración de invitado y que tienen al menos una identidad asignada por el usuario, pero no tienen ninguna identidad administrada asignada por el sistema. Una identidad administrada asignada por el sistema es un requisito previo para todas las asignaciones de configuración de invitado y debe agregarse a los equipos antes de usar las definiciones de directiva de la configuración de invitado. Para más información sobre la configuración de invitado, visite https://aka.ms/gcpol. modify 1.0.0
Implementar la extensión de configuración de invitado de Windows para permitir las asignaciones de configuración de invitado en máquinas virtuales Windows Esta directiva implementa la extensión de configuración de invitado de Windows en las máquinas virtuales Windows hospedadas en Azure que son compatibles con la configuración de invitado. La extensión de configuración de invitado de Windows es un requisito previo para todas las asignaciones de configuración de invitado de Windows y debe implementarse en las máquinas antes de usar cualquier definición de directiva de configuración de invitado de Windows. Para más información sobre la configuración de invitado, visite https://aka.ms/gcpol. deployIfNotExists 1.0.1
Las máquinas Windows deben cumplir los requisitos de "Plantillas administrativas - Red" Las máquinas Windows deben tener la configuración de directiva de grupo especificada en la categoría "Plantillas administrativas - Red" para los inicios de sesión de invitado, las conexiones simultáneas, el puente de red, ICS y la resolución de nombres de multidifusión. Esta directiva requiere que los requisitos previos de configuración de invitado se hayan implementado en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. AuditIfNotExists, Disabled 2.0.0
Las máquinas Windows deben cumplir los requisitos de "Opciones de seguridad - Servidor de red Microsoft" Las máquinas Windows deben tener la configuración de directiva de grupo especificada en la categoría "Opciones de seguridad - Servidor de red Microsoft" para deshabilitar el servidor SMB v1. Esta directiva requiere que los requisitos previos de configuración de invitado se hayan implementado en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. AuditIfNotExists, Disabled 2.0.0
Las máquinas Windows deben cumplir los requisitos de "Opciones de seguridad - Acceso a la red" Las máquinas Windows deben tener la configuración de directiva de grupo especificada en la categoría "Opciones de seguridad - Acceso a la red" para incluir el acceso de usuarios anónimos, cuentas locales y acceso remoto al Registro. Esta directiva requiere que los requisitos previos de configuración de invitado se hayan implementado en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. AuditIfNotExists, Disabled 2.0.0
Las máquinas Windows deben cumplir los requisitos de "Opciones de seguridad - Seguridad de red" Las máquinas Windows deben tener la configuración de directiva de grupo especificada en la categoría "Opciones de seguridad - Seguridad de la red" para incluir el comportamiento del sistema local, PKU2U, LAN Manager, el cliente LDAP y el portal de autoservicio (SSP) de NTLM. Esta directiva requiere que los requisitos previos de configuración de invitado se hayan implementado en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. AuditIfNotExists, Disabled 2.0.0

Registro y supervisión

Para más información, consulte Azure Security Benchmark: registro y supervisión.

2.1: Uso de orígenes de sincronización de hora aprobados

Guía: Microsoft mantiene los orígenes de hora de los recursos de Azure; sin embargo, tiene la opción de administrar la configuración de la sincronización de hora de sus instancias de Linux Virtual Machines.

Responsabilidad: Compartido

2.2: Configuración de la administración central de registros de seguridad

Guía: Microsoft Defender for Cloud proporciona supervisión del registro de eventos de seguridad para Linux Virtual Machines.

Responsabilidad: Customer

Supervisión de Microsoft Defender for Cloud: Azure Security Benchmark es la iniciativa de directiva predeterminada para Microsoft Defender for Cloud y es la base para las recomendaciones de Microsoft Defender for Cloud. Microsoft Defender for Cloud habilita automáticamente las definiciones de Azure Policy relacionadas con este control. Puede que las alertas relacionadas con este control requieran un plan de Microsoft Defender para los servicios relacionados.

Definiciones integradas de Azure Policy: Microsoft.Compute:

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Auditar las máquinas Windows en las que el agente de Log Analytics no esté conectado como se esperaba Requiere que los requisitos previos se implementen en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. Las máquinas no son compatibles si el agente no está instalado o si está instalado, pero el objeto COM AgentConfigManager.MgmtSvcCfg devuelve que está registrado en un área de trabajo distinta del identificador especificado en el parámetro de la directiva. auditIfNotExists 1.0.0
El agente de Log Analytics debe instalarse en conjuntos de escalado de máquinas virtuales Esta directiva audita todo conjunto de escalado de máquinas virtuales Windows o Linux si el agente de Log Analytics no está instalado. AuditIfNotExists, Disabled 1.0.0
El agente de Log Analytics debe estar instalado en máquinas virtuales Esta directiva audita todas las máquinas virtuales Windows o Linux si el agente de Log Analytics no está instalado. AuditIfNotExists, Disabled 1.0.0

2.3: Habilitación del registro de auditoría para recursos de Azure

Guía: los registros de actividad se pueden usar para auditar las operaciones y las acciones realizadas en los recursos de la máquina virtual. El registro de actividad contiene todas las operaciones de escritura (PUT, POST, DELETE) para los recursos, excepto las de lectura (GET). Los registros de actividad se pueden usar para encontrar errores al solucionar problemas o para supervisar cómo un usuario de su organización modificó un recurso.

Habilite la recopilación de datos de diagnóstico del sistema operativo invitado al implementar la extensión de diagnóstico en sus máquinas virtuales (VM). Puede usar la extensión de diagnósticos para recopilar datos de diagnóstico como registros de aplicaciones o contadores de rendimiento de una máquina virtual de Azure.

Para obtener una visibilidad avanzada de las aplicaciones y servicios que son compatibles con las máquinas virtuales, puede habilitar Azure Monitor para VM y Application Insights. Con Application Insights, puede supervisar la aplicación y capturar datos de telemetría, tales como solicitudes HTTP, excepciones y otros, para correlacionar los problemas entre las máquinas virtuales y la aplicación.

Asimismo, habilite Azure Monitor para el acceso a los registros de auditoría y actividad que incluyen el origen del evento, la fecha, el usuario, la marca de tiempo, las direcciones de origen y de destino, y otros elementos útiles.

Responsabilidad: Customer

Supervisión de Microsoft Defender for Cloud: Azure Security Benchmark es la iniciativa de directiva predeterminada para Microsoft Defender for Cloud y es la base para las recomendaciones de Microsoft Defender for Cloud. Microsoft Defender for Cloud habilita automáticamente las definiciones de Azure Policy relacionadas con este control. Puede que las alertas relacionadas con este control requieran un plan de Microsoft Defender para los servicios relacionados.

Definiciones integradas de Azure Policy: Microsoft.Compute:

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Los registros de recursos de Virtual Machine Scale Sets deben estar habilitados Se recomienda habilitar los registros para que ese seguimiento de actividad se pueda volver a crear cuando se necesiten investigaciones en caso de incidente o riesgo. AuditIfNotExists, Disabled 2.0.1

2.4: Recopilación de registros de seguridad de sistemas operativos

Guía: utilice Microsoft Defender for Cloud para proporcionar supervisión del registro de eventos de seguridad para máquinas virtuales de Azure. Dado el volumen de datos que genera el registro de eventos de seguridad, no se almacena de forma predeterminada.

Si su organización quiere conservar los datos del registro de eventos de seguridad de la máquina virtual, pueden almacenarse en un área de trabajo de Log Analytics en el nivel de recopilación de datos deseado que configuró en Microsoft Defender for Cloud.

Responsabilidad: Customer

Supervisión de Microsoft Defender for Cloud: Azure Security Benchmark es la iniciativa de directiva predeterminada para Microsoft Defender for Cloud y es la base para las recomendaciones de Microsoft Defender for Cloud. Microsoft Defender for Cloud habilita automáticamente las definiciones de Azure Policy relacionadas con este control. Puede que las alertas relacionadas con este control requieran un plan de Microsoft Defender para los servicios relacionados.

Definiciones integradas de Azure Policy: Microsoft.Compute:

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Auditar las máquinas Windows en las que el agente de Log Analytics no esté conectado como se esperaba Requiere que los requisitos previos se implementen en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. Las máquinas no son compatibles si el agente no está instalado o si está instalado, pero el objeto COM AgentConfigManager.MgmtSvcCfg devuelve que está registrado en un área de trabajo distinta del identificador especificado en el parámetro de la directiva. auditIfNotExists 1.0.0
El agente de Log Analytics debe instalarse en conjuntos de escalado de máquinas virtuales Esta directiva audita todo conjunto de escalado de máquinas virtuales Windows o Linux si el agente de Log Analytics no está instalado. AuditIfNotExists, Disabled 1.0.0
El agente de Log Analytics debe estar instalado en máquinas virtuales Esta directiva audita todas las máquinas virtuales Windows o Linux si el agente de Log Analytics no está instalado. AuditIfNotExists, Disabled 1.0.0

2.5: Configuración de la retención del almacenamiento de registros de seguridad

Guía: asegúrese de que todas las cuentas de almacenamiento o áreas de trabajo de Log Analytics usadas para almacenar registros de máquina virtual tengan el período de retención de registros configurado de acuerdo con la normativa de cumplimiento de la organización.

Responsabilidad: Customer

2.6: Supervisión y revisión de registros

Guía: habilite el agente de Log Analytics, también conocido como Microsoft Monitoring Agent (MMA) o agente de OMS para Linux, y configúrelo para que envíe registros a un área de trabajo de Log Analytics. El agente de Linux envía los datos recopilados de diferentes orígenes al área de trabajo de Log Analytics de Azure Monitor, así como cualquier registro o métrica únicos que se hayan definido en una solución de supervisión.

Analice y supervise los registros en busca de comportamientos anómalos y revise los resultados con regularidad. Use Azure Monitor para revisar los registros y realizar consultas en los datos de registro.

Como alternativa, puede habilitar e incorporar datos en Microsoft Sentinel o en una herramienta SIEM de terceros para supervisar y revisar los registros.

Responsabilidad: Customer

2.7: Habilitación de alertas para actividades anómalas

Guía: use Microsoft Defender for Cloud configurado con un área de trabajo de Log Analytics para la supervisión y alertas sobre las actividades anómalas encontradas en los registros y eventos de seguridad para sus máquinas virtuales de Azure.

Como alternativa, puede habilitar e incorporar datos en Microsoft Sentinel o en una herramienta SIEM de terceros para configurar alertas sobre la actividad anómala.

Responsabilidad: Customer

2.8: Centralización del registro antimalware

Guía: necesitará una herramienta de terceros para la detección de vulnerabilidades antimalware dentro del sistema operativo Linux.

Responsabilidad: Customer

Supervisión de Microsoft Defender for Cloud: Azure Security Benchmark es la iniciativa de directiva predeterminada para Microsoft Defender for Cloud y es la base para las recomendaciones de Microsoft Defender for Cloud. Microsoft Defender for Cloud habilita automáticamente las definiciones de Azure Policy relacionadas con este control. Puede que las alertas relacionadas con este control requieran un plan de Microsoft Defender para los servicios relacionados.

Definiciones integradas de Azure Policy - Microsoft.ClassicCompute:

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Habilitación de la protección de punto de conexión en Microsoft Defender for Cloud Microsoft Defender for Cloud supervisará los servidores sin un agente de Endpoint Protection instalado como recomendaciones. AuditIfNotExists, Disabled 3.0.0

Definiciones integradas de Azure Policy: Microsoft.Compute:

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
La solución de protección del punto de conexión debe instalarse en las máquinas virtuales Audite la existencia y el estado de una solución de protección de puntos de conexión en los conjuntos de escalado de máquinas virtuales para protegerlos frente a amenazas y vulnerabilidades. AuditIfNotExists, Disabled 3.0.0
Microsoft Antimalware para Azure debe estar configurado para actualizar automáticamente las firmas de protección. Esta directiva audita cualquier máquina virtual de Windows que no esté configurada con la actualización automática de firmas de protección de Microsoft Antimalware. AuditIfNotExists, Disabled 1.0.0
Habilitación de la protección de punto de conexión en Microsoft Defender for Cloud Microsoft Defender for Cloud supervisará los servidores sin un agente de Endpoint Protection instalado como recomendaciones. AuditIfNotExists, Disabled 3.0.0

2.9: Habilitación del registro de consultas DNS

Guía: implemente una solución de terceros de Azure Marketplace para solucionar el registro DNS según las necesidades de su organización.

Responsabilidad: Customer

2.10: Habilitación del registro de auditoría de la línea de comandos

Guía: Puede configurar manualmente el registro de la consola en cada nodo y usar Syslog para almacenar los datos. Además, use el área de trabajo de Log Analytics de Azure Monitor para revisar los registros y realizar consultas en los datos de Syslog de las máquinas virtuales de Azure.

Responsabilidad: Customer

Identidad y Access Control

Para más información, consulte Azure Security Benchmark: identidad y control de acceso.

3.1: Mantenga un inventario de cuentas administrativas

Guía: aunque Azure Active Directory (Azure AD) es el método recomendado para administrar el acceso de los usuarios, Azure Virtual Machines puede disponer de cuentas locales. Las cuentas locales y de dominio deben revisarse y administrarse, normalmente con una superficie de memoria mínima. Además, aproveche Azure Privileged Identity Management para las cuentas administrativas usadas para tener acceso a los recursos de las máquinas virtuales.

Responsabilidad: Customer

3.2: Cambie las contraseñas predeterminadas cuando proceda

Guía: Linux Virtual Machines y Azure Active Directory (Azure AD) no tienen el concepto de contraseñas predeterminadas. El cliente es responsable de las aplicaciones de terceros y de los servicios de Marketplace que pueden usar contraseñas predeterminadas.

Responsabilidad: Customer

3.3: Use cuentas administrativas dedicadas

Guía: Cree procedimientos operativos estándar en torno al uso de cuentas administrativas dedicadas que tengan acceso a las máquinas virtuales. Use la administración de identidad y acceso de Microsoft Defender for Cloud para supervisar el número de cuentas administrativas. Las cuentas de administrador que se usan para acceder a los recursos de máquinas virtuales de Azure también se pueden administrar a través de Azure Privileged Identity Management (PIM). Azure Privileged Identity Management proporciona varias opciones, como la elevación Just-in-Time, la necesidad de la autenticación multifactor antes de asumir un rol y las opciones de delegación para que los permisos solo estén disponibles durante intervalos de tiempo específicos y requieran un aprobador.

Responsabilidad: Customer

Supervisión de Microsoft Defender for Cloud: Azure Security Benchmark es la iniciativa de directiva predeterminada para Microsoft Defender for Cloud y es la base para las recomendaciones de Microsoft Defender for Cloud. Microsoft Defender for Cloud habilita automáticamente las definiciones de Azure Policy relacionadas con este control. Puede que las alertas relacionadas con este control requieran un plan de Microsoft Defender para los servicios relacionados.

Definiciones integradas de Azure Policy: Microsoft.Compute:

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Auditar las máquinas Windows que no tengan ninguno de los miembros especificados en el grupo de administradores Requiere que los requisitos previos se implementen en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. Las máquinas no son compatibles si el grupo de administradores locales no contiene uno o más miembros de los que se enumeran en el parámetro de la directiva. auditIfNotExists 1.0.0
Auditar las máquinas Windows que tengan cuentas adicionales en el grupo de administradores Requiere que los requisitos previos se implementen en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. Las máquinas no son compatibles si el grupo de administradores locales contiene miembros que no se enumeran en el parámetro de la directiva. auditIfNotExists 1.0.0
Auditar las máquinas Windows que tengan los miembros especificados en el grupo de administradores Requiere que los requisitos previos se implementen en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. Las máquinas no son compatibles si el grupo de administradores locales contiene uno o varios de los miembros enumerados en el parámetro de la directiva. auditIfNotExists 1.0.0

3.4: Uso del inicio de sesión único (SSO) de Azure Active Directory

Guía: siempre que sea posible, el cliente debe usar el SSO con Azure Active Directory (Azure AD) en lugar de configurar credenciales independientes individuales por cada servicio. Use las recomendaciones de acceso y administración de Microsoft Defender for Cloud.

Responsabilidad: Customer

3.5: Uso de la autenticación multifactor para todo el acceso basado en Azure Active Directory

Guía: habilite la autenticación multifactor de Azure Active Directory (Azure AD) y siga las recomendaciones de administración de identidad y acceso de Microsoft Defender for Cloud.

Responsabilidad: Customer

3.6: Uso de estaciones de trabajo seguras y administradas por Azure para realizar tareas administrativas

Guía: Utilice estaciones de trabajo de acceso con privilegios (PAW) que tengan configurada la autenticación multifactor para iniciar sesión en los recursos de Azure y configurarlos.

Responsabilidad: Customer

3.7: Registro y alerta de actividades sospechosas desde cuentas administrativas

Guía: use Privileged Identity Management (PIM) de Azure Active Directory (Azure AD) para la generación de registros y alertas cuando se produzca una actividad sospechosa o insegura en el entorno. Use las detecciones de riesgo de Azure AD para ver alertas e informes sobre el comportamiento de los usuarios de riesgo. De manera opcional, puede ingerir las alertas de detección de riesgo de Microsoft Defender for Cloud en Azure Monitor y configurar alertas y notificaciones personalizadas con grupos de acciones.

Responsabilidad: Customer

3.8: Administre los recursos de Azure solo desde ubicaciones aprobadas

Guía: use las directivas y ubicaciones con nombre del acceso condicional de Azure Active Directory (Azure AD) para permitir el acceso solo desde agrupaciones lógicas específicas de intervalos de direcciones IP, o países o regiones concretos.

Responsabilidad: Customer

3.9: Uso de Azure Active Directory

Instrucciones: Use Azure Active Directory (AD) como sistema central de autenticación y autorización. Azure AD protege los datos mediante un cifrado seguro para los datos en reposo y en tránsito. Azure AD también cifra con sal, convierte en hash y almacena de forma segura las credenciales de los usuarios. Puede usar las identidades administradas para autenticarse en cualquier servicio que admita la autenticación de Azure AD, como Key Vault, sin necesidad de credenciales en el código. El código que se ejecuta en una máquina virtual puede usar la identidad administrada para solicitar tokens de acceso para los servicios que admiten la autenticación de Azure AD.

Responsabilidad: Customer

3.10: Revise y concilie regularmente el acceso de los usuarios

Instrucciones: Azure Active Directory (Azure AD) proporciona registros para ayudar a descubrir cuentas obsoletas. Además, use las revisiones de acceso de identidades de Azure AD para administrar de forma eficiente las pertenencias a grupos, el acceso a las aplicaciones empresariales y las asignaciones de roles. El acceso de los usuarios se puede revisar de forma periódica para asegurarse de que solo las personas adecuadas tengan acceso continuado. Cuando use máquinas virtuales de Azure, tendrá que revisar los grupos de seguridad locales y los usuarios para asegurarse de que no hay cuentas inesperadas que puedan poner en peligro el sistema.

Responsabilidad: Customer

3.11: Supervisión de los intentos de acceso a credenciales desactivadas

Guía: configure opciones de diagnóstico para que Azure Active Directory (Azure AD) envíe registros de auditoría y de inicio de sesión a un área de trabajo de Log Analytics. Además, use Azure Monitor para revisar los registros y realizar consultas en los datos de Syslog de autenticación de las máquinas virtuales de Azure.

Responsabilidad: Customer

3.12: Alerta de las desviaciones de comportamiento en los inicios de sesión de las cuentas

Guía: use las características de protección de identidad y detección de riesgos de Azure Active Directory (Azure AD) para configurar respuestas automatizadas a las acciones sospechosas que se detecten en relación con los recursos de las cuentas de almacenamiento. Puede habilitar las respuestas automatizadas por Microsoft Sentinel para implementar las respuestas de seguridad de la organización.

Responsabilidad: Customer

3.13: Proporcione a Microsoft acceso a los datos pertinentes del cliente durante los escenarios de soporte técnico

Guía: en los casos en los que un tercero necesite acceder a los datos del cliente (por ejemplo, durante una solicitud de soporte técnico), use la Caja de seguridad del cliente para Azure Virtual Machines a fin de revisar y aprobar o rechazar las solicitudes de acceso a los datos del cliente.

Responsabilidad: Customer

Protección de datos

Para más información, consulte Azure Security Benchmark: protección de datos.

4.1: Mantenimiento de un inventario de información confidencial

Instrucciones: use etiquetas para ayudar a realizar el seguimiento de las máquinas virtuales de Azure que almacenan o procesan información confidencial.

Responsabilidad: Customer

4.2: Aislamiento de los sistemas que almacenan o procesan información confidencial

Instrucciones: Implemente suscripciones y/o grupos de administración independientes para los entornos de desarrollo, prueba y producción. Los recursos deben separarse por red virtual o subred, etiquetarse adecuadamente y protegerse en un grupo de seguridad de red (NSG) o una instancia de Azure Firewall. Para las máquinas virtuales que almacenan o procesan datos confidenciales, implemente la directiva y los procedimientos necesarios para desactivarlos cuando no estén en uso.

Responsabilidad: Customer

4.3: Supervisión y bloqueo de una transferencia no autorizada de información confidencial

Guía: implemente una solución de terceros en los perímetros de red que supervisan la transferencia no autorizada de información confidencial y bloquean dichas transferencias mientras alerta a los profesionales de seguridad de la información.

En el caso de la plataforma subyacente administrada por Microsoft, Microsoft trata todo el contenido de los clientes como confidencial para proteger a los clientes contra la pérdida y exposición de sus datos. Para garantizar la seguridad de los datos de los clientes dentro de Azure, Microsoft ha implementado y mantiene un conjunto de controles y funcionalidades eficaces de protección de datos.

Responsabilidad: Customer

4.4: Cifrado de toda la información confidencial en tránsito

Guía: los datos en tránsito hacia, desde y entre máquinas virtuales (VM) que ejecutan Linux se cifran de varias maneras en función de la naturaleza de la conexión, como cuando se conecta a una máquina virtual en una sesión de RDP o SSH.

Microsoft usa el protocolo Seguridad de la capa de transporte (TLS) para proteger los datos cuando se transmiten entre los servicios en la nube y los clientes.

Responsabilidad: Compartido

4.5: Uso de una herramienta de detección activa para identificar datos confidenciales

Instrucciones: Use una herramienta de detección activa de terceros para identificar toda la información confidencial almacenada, procesada o transmitida por los sistemas tecnológicos de la organización, incluidos los del ubicación local o los que se encuentran en un proveedor de servicios remoto, y actualizar el inventario de información confidencial de la organización.

Responsabilidad: Customer

4.6: Uso de RBAC de Azure para controlar el acceso a los recursos

Guía: Mediante el control de acceso basado en roles de Azure (RBAC de Azure), puede repartir las tareas entre el equipo y conceder a los usuarios únicamente el nivel de acceso que necesitan en la máquina virtual para realizar su trabajo. En lugar de proporcionar a todos los empleados permisos no restringidos en la máquina virtual, puede permitir solo determinadas acciones. Puede configurar el control de acceso para la máquina virtual en Azure Portal, mediante la CLI de Azure o Azure PowerShell.

Responsabilidad: Customer

4.7: Uso de la prevención de pérdida de datos basada en host para aplicar el control de acceso

Guía: implemente una herramienta de terceros, como una solución de prevención de pérdida de datos basada en host automatizada, para aplicar controles de acceso que mitiguen el riesgo de las infracciones de datos.

Responsabilidad: Customer

4.8: Cifrado de información confidencial en reposo

Guía: Los discos virtuales de Linux Virtual Machines (VM) se cifran en reposo mediante el cifrado del lado servidor o el cifrado de discos de Azure (ADE). Azure Disk Encryption aprovecha la característica DM-Crypt de Linux para cifrar los discos administrados con claves administradas por el cliente dentro de la máquina virtual invitada. El cifrado del lado servidor con claves administradas por el cliente mejora en ADE al permitir el uso de cualquier tipo de sistema operativo y de imágenes para las máquinas virtuales mediante el cifrado de datos en el servicio Storage.

Responsabilidad: Compartido

Supervisión de Microsoft Defender for Cloud: Azure Security Benchmark es la iniciativa de directiva predeterminada para Microsoft Defender for Cloud y es la base para las recomendaciones de Microsoft Defender for Cloud. Microsoft Defender for Cloud habilita automáticamente las definiciones de Azure Policy relacionadas con este control. Puede que las alertas relacionadas con este control requieran un plan de Microsoft Defender para los servicios relacionados.

Definiciones integradas de Azure Policy - Microsoft.ClassicCompute:

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Las máquinas virtuales deben cifrar los discos temporales, las cachés y los flujos de datos entre los recursos de Proceso y Almacenamiento En forma de recomendaciones, Microsoft Defender for Cloud supervisará las máquinas virtuales sin el cifrado de disco habilitado. AuditIfNotExists, Disabled 2.0.1

Definiciones integradas de Azure Policy: Microsoft.Compute:

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Los discos sin asignar deben cifrarse Esta directiva audita cualquier disco sin adjuntar y que no tenga el cifrado habilitado. Audit, Disabled 1.0.0
Las máquinas virtuales deben cifrar los discos temporales, las cachés y los flujos de datos entre los recursos de Proceso y Almacenamiento En forma de recomendaciones, Microsoft Defender for Cloud supervisará las máquinas virtuales sin el cifrado de disco habilitado. AuditIfNotExists, Disabled 2.0.1

4.9: Registro y alerta de cambios en los recursos críticos de Azure

Guía: use Azure Monitor con el registro de actividad de Azure para crear alertas para cuando se produzcan cambios en las máquinas virtuales y los recursos relacionados.

Responsabilidad: Customer

Administración de vulnerabilidades

Para más información, consulte Azure Security Benchmark: administración de vulnerabilidades.

5.1: Ejecute herramientas de análisis de vulnerabilidades automatizado

Guía: necesitará una herramienta de terceros para la detección de vulnerabilidades antimalware dentro del sistema operativo Linux.

Responsabilidad: Customer

Supervisión de Microsoft Defender for Cloud: Azure Security Benchmark es la iniciativa de directiva predeterminada para Microsoft Defender for Cloud y es la base para las recomendaciones de Microsoft Defender for Cloud. Microsoft Defender for Cloud habilita automáticamente las definiciones de Azure Policy relacionadas con este control. Puede que las alertas relacionadas con este control requieran un plan de Microsoft Defender para los servicios relacionados.

Definiciones integradas de Azure Policy - Microsoft.ClassicCompute:

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Debe habilitarse una solución de evaluación de vulnerabilidades en sus máquinas virtuales Audita las máquinas virtuales para detectar si ejecutan una solución de evaluación de vulnerabilidades admitida. Un componente fundamental de cada programa de seguridad y riesgo cibernético es la identificación y el análisis de las vulnerabilidades. El plan de tarifa estándar de Microsoft Defender for Cloud incluye el análisis de vulnerabilidades de las máquinas virtuales, sin costo adicional. Además, Security Center puede implementar automáticamente esta herramienta. AuditIfNotExists, Disabled 3.0.0

Definiciones integradas de Azure Policy: Microsoft.Compute:

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Debe habilitarse una solución de evaluación de vulnerabilidades en sus máquinas virtuales Audita las máquinas virtuales para detectar si ejecutan una solución de evaluación de vulnerabilidades admitida. Un componente fundamental de cada programa de seguridad y riesgo cibernético es la identificación y el análisis de las vulnerabilidades. El plan de tarifa estándar de Microsoft Defender for Cloud incluye el análisis de vulnerabilidades de las máquinas virtuales, sin costo adicional. Además, Security Center puede implementar automáticamente esta herramienta. AuditIfNotExists, Disabled 3.0.0

5.2: Implemente una solución de administración de revisiones de sistema operativo automatizada

Guía: use la solución Azure Update Management para administrar las actualizaciones y las revisiones de las máquinas virtuales. Update Management se basa en el repositorio de actualización configurado localmente para aplicar revisiones a sistemas compatibles.

Responsabilidad: Customer

Supervisión de Microsoft Defender for Cloud: Azure Security Benchmark es la iniciativa de directiva predeterminada para Microsoft Defender for Cloud y es la base para las recomendaciones de Microsoft Defender for Cloud. Microsoft Defender for Cloud habilita automáticamente las definiciones de Azure Policy relacionadas con este control. Puede que las alertas relacionadas con este control requieran un plan de Microsoft Defender para los servicios relacionados.

Definiciones integradas de Azure Policy - Microsoft.ClassicCompute:

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Se deben instalar actualizaciones del sistema en las máquinas Microsoft Defender for Cloud supervisará las actualizaciones del sistema de seguridad que faltan en los servidores como recomendaciones. AuditIfNotExists, Disabled 4.0.0

Definiciones integradas de Azure Policy: Microsoft.Compute:

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Se deben instalar las actualizaciones del sistema en los conjuntos de escalado de máquinas virtuales Audite si falta alguna actualización de seguridad del sistema o actualización crítica que deba instalarse para garantizar que los conjuntos de escalado de máquinas virtuales Windows y Linux sean seguros. AuditIfNotExists, Disabled 3.0.0
Se deben instalar actualizaciones del sistema en las máquinas Microsoft Defender for Cloud supervisará las actualizaciones del sistema de seguridad que faltan en los servidores como recomendaciones. AuditIfNotExists, Disabled 4.0.0

5.3: Implementación de una solución de administración de revisiones automatizada de títulos de software de terceros

Guía: puede usar una solución de administración de revisiones de terceros. Puede usar la solución Azure Update Management para administrar las actualizaciones y las revisiones de las máquinas virtuales. Update Management se basa en el repositorio de actualización configurado localmente para aplicar revisiones a sistemas compatibles.

Responsabilidad: Customer

5.4: Compare los exámenes de vulnerabilidades opuestos

Guía: Exporte los resultados de análisis en intervalos coherentes y compare los resultados para comprobar que se han corregido las vulnerabilidades. Al usar una recomendación de administración de vulnerabilidades sugerida por Microsoft Defender for Cloud, el cliente puede ir al portal de la solución seleccionada para ver los datos de análisis históricos.

Responsabilidad: Customer

5.5: Use un proceso de clasificación de riesgos para priorizar la corrección de las vulnerabilidades detectadas

Guía: use las clasificaciones de riesgo predeterminadas (Puntuación de seguridad) proporcionadas por Microsoft Defender for Cloud.

Responsabilidad: Customer

Supervisión de Microsoft Defender for Cloud: Azure Security Benchmark es la iniciativa de directiva predeterminada para Microsoft Defender for Cloud y es la base para las recomendaciones de Microsoft Defender for Cloud. Microsoft Defender for Cloud habilita automáticamente las definiciones de Azure Policy relacionadas con este control. Puede que las alertas relacionadas con este control requieran un plan de Microsoft Defender para los servicios relacionados.

Definiciones integradas de Azure Policy - Microsoft.ClassicCompute:

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Las vulnerabilidades en las configuraciones de seguridad de contenedor deben corregirse Audite las vulnerabilidades en la configuración de seguridad de las máquinas con Docker instalado y muéstrelas como recomendaciones en Microsoft Defender for Cloud. AuditIfNotExists, Disabled 3.0.0
Se deben corregir las vulnerabilidades en la configuración de seguridad en las máquinas Microsoft Defender for Cloud supervisará los servidores que no cumplan la línea base configurada como recomendaciones. AuditIfNotExists, Disabled 3.0.0

Definiciones integradas de Azure Policy: Microsoft.Compute:

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Las vulnerabilidades en las configuraciones de seguridad de contenedor deben corregirse Audite las vulnerabilidades en la configuración de seguridad de las máquinas con Docker instalado y muéstrelas como recomendaciones en Microsoft Defender for Cloud. AuditIfNotExists, Disabled 3.0.0
Se deben corregir las vulnerabilidades en la configuración de seguridad en las máquinas Microsoft Defender for Cloud supervisará los servidores que no cumplan la línea base configurada como recomendaciones. AuditIfNotExists, Disabled 3.0.0
Se deben corregir las vulnerabilidades en la configuración de seguridad de los conjuntos de escalado de máquinas virtuales Audite las vulnerabilidades del sistema operativo en los conjuntos de escalado de máquinas virtuales para protegerlos frente a ataques. AuditIfNotExists, Disabled 3.0.0

Administración de recursos y del inventario

Para más información, consulte Azure Security Benchmark: inventario y administración de recursos.

6.1: Uso de la solución de detección de recursos automatizada

Guía: use Azure Resource Graph para consultar y detectar todos los recursos (incluidas las máquinas virtuales) de las suscripciones. Asegúrese de que tiene los permisos adecuados (lectura) en el inquilino y de que puede enumerar todas las suscripciones de Azure, así como los recursos de las suscripciones.

Responsabilidad: Customer

6.2: Mantenimiento de metadatos de recursos

Guía: Aplique etiquetas a los recursos de Azure que proporcionan metadatos para organizarlos de forma lógica según una taxonomía.

Responsabilidad: Customer

6.3: Eliminación de recursos de Azure no autorizados

Guía: use el etiquetado, los grupos de administración y las suscripciones independientes, si procede, para organizar y realizar un seguimiento de las máquinas virtuales y los recursos relacionados. Concilie el inventario periódicamente y asegúrese de que los recursos no autorizados se eliminan de la suscripción de manera oportuna.

Responsabilidad: Customer

6.4: Definición y mantenimiento de un inventario de los recursos de Azure aprobados

Guía: debería crear un inventario de los recursos de Azure aprobados y el software aprobado para los recursos de proceso. También podría usar los controles de aplicaciones adaptables, una característica de Microsoft Defender for Cloud para definir un conjunto de aplicaciones que se pueden ejecutar en los grupos configurados de las máquinas virtuales. Esta característica está disponible tanto para máquinas virtuales y servidores de Azure como Windows (todas las versiones, clásica o Azure Resource Manager) y Linux que no son de Azure.

Responsabilidad: Customer

6.5: Supervisión de recursos de Azure no aprobados

Instrucciones: use Azure Policy para establecer restricciones en el tipo de recursos que se pueden crear en las suscripciones del cliente con las siguientes definiciones de directiva integradas:

  • Tipos de recursos no permitidos

  • Tipos de recursos permitidos

Además, use Azure Resource Graph para consultar o detectar recursos dentro de sus suscripciones. Esto puede ayudar en entornos de alta seguridad, como aquellos con cuentas de Storage.

Responsabilidad: Customer

6.6: Supervisión de aplicaciones de software no aprobadas en recursos de proceso

Guía: Azure Automation proporciona un control completo durante la implementación, las operaciones y la retirada de las cargas de trabajo y recursos. Use el inventario de máquinas virtuales de Azure para automatizar la recopilación de información sobre todo el software en Virtual Machines. Nota: El nombre del software, la versión, el publicador y la hora de actualización están disponibles en Azure Portal. Para obtener acceso a las métricas y a otra información, el cliente debe habilitar los diagnósticos de nivel de invitado y podrá enviar información de Syslog a una cuenta de almacenamiento designada.

Además de usar Change Tracking para la supervisión de las aplicaciones de software, los controles de aplicaciones adaptables de Microsoft Defender for Cloud usan el aprendizaje automático para analizar las aplicaciones que se ejecutan en las máquinas y crear una lista de permitidos a partir de esta inteligencia. Esta funcionalidad simplifica enormemente el proceso de configuración y mantenimiento de las directivas de las listas de aplicaciones permitidas, lo que le permite evitar el uso de software no deseado en el entorno. Puede configurar el modo de auditoría o de aplicación. El modo de auditoría solo audita la actividad en las máquinas virtuales protegidas. El modo de aplicación exige el cumplimiento de las reglas y se asegura de bloquear las aplicaciones cuya ejecución no está permitida.

Responsabilidad: Customer

6.7: Eliminación de aplicaciones de software y recursos de Azure no aprobadas

Guía: Azure Automation proporciona un control completo durante la implementación, las operaciones y la retirada de las cargas de trabajo y recursos. Puede usar Change Tracking para identificar todo el software instalado en Virtual Machines. Puede implementar su propio proceso o usar State Configuration de Azure Automation para quitar software no autorizado.

Responsabilidad: Customer

6.8: Uso exclusivo de aplicaciones aprobadas

Guía: use los controles de aplicaciones adaptables de Microsoft Defender for Cloud para asegurarse de que solo se ejecute software autorizado y de que todo el software no autorizado no se ejecute en Azure Virtual Machines.

Responsabilidad: Customer

Supervisión de Microsoft Defender for Cloud: Azure Security Benchmark es la iniciativa de directiva predeterminada para Microsoft Defender for Cloud y es la base para las recomendaciones de Microsoft Defender for Cloud. Microsoft Defender for Cloud habilita automáticamente las definiciones de Azure Policy relacionadas con este control. Puede que las alertas relacionadas con este control requieran un plan de Microsoft Defender para los servicios relacionados.

Definiciones integradas de Azure Policy - Microsoft.ClassicCompute:

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Los controles de aplicaciones adaptables para definir aplicaciones seguras deben estar habilitados en las máquinas Habilite controles de aplicaciones para definir la lista de aplicaciones seguras conocidas que se ejecutan en las máquinas, y recibir avisos cuando se ejecuten otras aplicaciones. Esta directiva también ayuda a proteger las máquinas frente al malware. Para simplificar el proceso de configuración y mantenimiento de las reglas, Security Center usa el aprendizaje automático para analizar las aplicaciones que se ejecutan en cada máquina y sugerir la lista de aplicaciones seguras conocidas. AuditIfNotExists, Disabled 3.0.0

Definiciones integradas de Azure Policy: Microsoft.Compute:

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Los controles de aplicaciones adaptables para definir aplicaciones seguras deben estar habilitados en las máquinas Habilite controles de aplicaciones para definir la lista de aplicaciones seguras conocidas que se ejecutan en las máquinas, y recibir avisos cuando se ejecuten otras aplicaciones. Esta directiva también ayuda a proteger las máquinas frente al malware. Para simplificar el proceso de configuración y mantenimiento de las reglas, Security Center usa el aprendizaje automático para analizar las aplicaciones que se ejecutan en cada máquina y sugerir la lista de aplicaciones seguras conocidas. AuditIfNotExists, Disabled 3.0.0

6.9: Uso exclusivo de servicios de Azure aprobados

Instrucciones: use Azure Policy para establecer restricciones en el tipo de recursos que se pueden crear en las suscripciones del cliente con las siguientes definiciones de directiva integradas:

  • Tipos de recursos no permitidos
  • Tipos de recursos permitidos

Para más información, consulte las siguientes referencias:

Responsabilidad: Customer

Supervisión de Microsoft Defender for Cloud: Azure Security Benchmark es la iniciativa de directiva predeterminada para Microsoft Defender for Cloud y es la base para las recomendaciones de Microsoft Defender for Cloud. Microsoft Defender for Cloud habilita automáticamente las definiciones de Azure Policy relacionadas con este control. Puede que las alertas relacionadas con este control requieran un plan de Microsoft Defender para los servicios relacionados.

Definiciones integradas de Azure Policy - Microsoft.ClassicCompute:

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Se deben migrar las máquinas virtuales a nuevos recursos de Azure Resource Manager Use el nuevo Azure Resource Manager para las máquinas virtuales a fin de proporcionar mejoras de seguridad como las siguientes: mayor control de acceso (RBAC), mejor auditoría, gobernanza e implementación basados en Azure Resource Manager, acceso a identidades administradas, acceso a secretos de Key Vault, autenticación basada en Azure AD y compatibilidad con etiquetas y grupos de recursos para facilitar la administración de seguridad. Audit, Deny, Disabled 1.0.0

Definiciones integradas de Azure Policy: Microsoft.Compute:

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Se deben migrar las máquinas virtuales a nuevos recursos de Azure Resource Manager Use el nuevo Azure Resource Manager para las máquinas virtuales a fin de proporcionar mejoras de seguridad como las siguientes: mayor control de acceso (RBAC), mejor auditoría, gobernanza e implementación basados en Azure Resource Manager, acceso a identidades administradas, acceso a secretos de Key Vault, autenticación basada en Azure AD y compatibilidad con etiquetas y grupos de recursos para facilitar la administración de seguridad. Audit, Deny, Disabled 1.0.0

6.10: Mantenimiento de un inventario de títulos de software aprobados

Guía: el control de aplicaciones adaptables es una solución de un extremo a otro inteligente y automatizada de Microsoft Defender for Cloud que ayuda a controlar qué aplicaciones se pueden ejecutar en las máquinas virtuales de Azure y que no son de Azure (Windows y Linux). Implemente una solución de terceros si esto no cumple los requisitos de la organización.

Responsabilidad: Customer

Supervisión de Microsoft Defender for Cloud: Azure Security Benchmark es la iniciativa de directiva predeterminada para Microsoft Defender for Cloud y es la base para las recomendaciones de Microsoft Defender for Cloud. Microsoft Defender for Cloud habilita automáticamente las definiciones de Azure Policy relacionadas con este control. Puede que las alertas relacionadas con este control requieran un plan de Microsoft Defender para los servicios relacionados.

Definiciones integradas de Azure Policy - Microsoft.ClassicCompute:

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Los controles de aplicaciones adaptables para definir aplicaciones seguras deben estar habilitados en las máquinas Habilite controles de aplicaciones para definir la lista de aplicaciones seguras conocidas que se ejecutan en las máquinas, y recibir avisos cuando se ejecuten otras aplicaciones. Esta directiva también ayuda a proteger las máquinas frente al malware. Para simplificar el proceso de configuración y mantenimiento de las reglas, Security Center usa el aprendizaje automático para analizar las aplicaciones que se ejecutan en cada máquina y sugerir la lista de aplicaciones seguras conocidas. AuditIfNotExists, Disabled 3.0.0

Definiciones integradas de Azure Policy: Microsoft.Compute:

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Los controles de aplicaciones adaptables para definir aplicaciones seguras deben estar habilitados en las máquinas Habilite controles de aplicaciones para definir la lista de aplicaciones seguras conocidas que se ejecutan en las máquinas, y recibir avisos cuando se ejecuten otras aplicaciones. Esta directiva también ayuda a proteger las máquinas frente al malware. Para simplificar el proceso de configuración y mantenimiento de las reglas, Security Center usa el aprendizaje automático para analizar las aplicaciones que se ejecutan en cada máquina y sugerir la lista de aplicaciones seguras conocidas. AuditIfNotExists, Disabled 3.0.0

6.11: Limitación de la capacidad de los usuarios para interactuar con Azure Resource Manager

Instrucciones: use el acceso condicional de Azure para limitar la capacidad de los usuarios de interactuar con Azure Resource Manager mediante la configuración de la opción "Bloquear acceso" en la aplicación "Administración de Microsoft Azure".

Responsabilidad: Customer

6.12: Limitación de capacidad de los usuarios para ejecutar scripts en recursos de proceso

Guía: según el tipo de scripts, puede usar configuraciones específicas del sistema operativo o recursos de terceros para limitar la capacidad de los usuarios de ejecutar scripts en los recursos de proceso de Azure. También puede aprovechar los controles de aplicaciones adaptables de Microsoft Defender for Cloud para asegurarse de que solo se ejecute software autorizado y de que todo el software no autorizado no se ejecute en máquinas virtuales de Azure.

Responsabilidad: Customer

6.13: Segregación física o lógica de aplicaciones de alto riesgo

Guía: las aplicaciones de alto riesgo implementadas en el entorno de Azure se pueden aislar mediante redes virtuales, subredes, suscripciones, grupos de administración y se pueden proteger lo suficiente con una instancia de Azure Firewall, un firewall de aplicaciones web (WAF) o un grupo de seguridad de red (NSG).

Responsabilidad: Customer

Configuración segura

Para más información, consulte Azure Security Benchmark: configuración segura.

7.1: Establezca configuraciones seguras para todos los recursos de Azure

Guía: use Azure Policy o Microsoft Defender for Cloud para mantener configuraciones de seguridad para todos los recursos de Azure. Además, Azure Resource Manager tiene la capacidad de exportar la plantilla en notación de objetos JavaScript (JSON), que se debe revisar para asegurarse de que las configuraciones cumplan o superen los requisitos de seguridad de la empresa.

Responsabilidad: Customer

7.2: Establezca configuraciones del sistema operativo seguras

Guía: use la recomendación de Microsoft Defender for Cloud [corregir las vulnerabilidades en las configuraciones de seguridad de sus máquinas virtuales] para mantener las configuraciones de seguridad en todos los recursos de proceso.

Responsabilidad: Customer

7.3: Mantenga configuraciones de recursos de Azure seguras

Guía: use las plantillas de Azure Resource Manager y las directivas de Azure para configurar de forma segura los recursos de Azure asociados con las máquinas virtuales. Las plantillas de Azure Resource Manager son archivos basados en JSON que se usan para implementar la máquina virtual junto con los recursos de Azure, y las plantillas personalizadas deberán mantenerse. Microsoft realiza el mantenimiento en las plantillas base. Use la directiva de Azure [denegar] e [implementar si no existe] para aplicar la configuración segura en los recursos de Azure.

Responsabilidad: Customer

7.4: Mantenga configuraciones del sistema operativo seguras

Guía: existen varias opciones para mantener una configuración segura de Azure Virtual Machines (VM) para implementación:

1 - Plantillas de Azure Resource Manager: Son archivos basados en JSON que se usan para implementar una máquina virtual desde Azure Portal. Las plantillas personalizadas deberán mantenerse. Microsoft realiza el mantenimiento en las plantillas base.

2- Disco duro virtual (VHD) personalizado: En algunas circunstancias, puede ser necesario usar archivos VHD personalizados, como cuando se trabaja con entornos complejos que no se pueden administrar a través de otros medios.

3 - State Configuration de Azure Automation: Una vez implementado el sistema operativo base, se puede usar para un control más pormenorizado de la configuración y para aplicarla a través del marco de automatización.

En la mayoría de los escenarios, las plantillas de máquina virtual base de Microsoft combinadas con Desired State Configuration de Azure Automation pueden ayudar a cumplir y mantener los requisitos de seguridad.

Responsabilidad: Customer

Supervisión de Microsoft Defender for Cloud: Azure Security Benchmark es la iniciativa de directiva predeterminada para Microsoft Defender for Cloud y es la base para las recomendaciones de Microsoft Defender for Cloud. Microsoft Defender for Cloud habilita automáticamente las definiciones de Azure Policy relacionadas con este control. Puede que las alertas relacionadas con este control requieran un plan de Microsoft Defender para los servicios relacionados.

Definiciones integradas de Azure Policy - Microsoft.ClassicCompute:

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Las vulnerabilidades en las configuraciones de seguridad de contenedor deben corregirse Audite las vulnerabilidades en la configuración de seguridad de las máquinas con Docker instalado y muéstrelas como recomendaciones en Microsoft Defender for Cloud. AuditIfNotExists, Disabled 3.0.0
Se deben corregir las vulnerabilidades en la configuración de seguridad en las máquinas Microsoft Defender for Cloud supervisará los servidores que no cumplan la línea base configurada como recomendaciones. AuditIfNotExists, Disabled 3.0.0

Definiciones integradas de Azure Policy: Microsoft.Compute:

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Las vulnerabilidades en las configuraciones de seguridad de contenedor deben corregirse Audite las vulnerabilidades en la configuración de seguridad de las máquinas con Docker instalado y muéstrelas como recomendaciones en Microsoft Defender for Cloud. AuditIfNotExists, Disabled 3.0.0
Se deben corregir las vulnerabilidades en la configuración de seguridad en las máquinas Microsoft Defender for Cloud supervisará los servidores que no cumplan la línea base configurada como recomendaciones. AuditIfNotExists, Disabled 3.0.0
Se deben corregir las vulnerabilidades en la configuración de seguridad de los conjuntos de escalado de máquinas virtuales Audite las vulnerabilidades del sistema operativo en los conjuntos de escalado de máquinas virtuales para protegerlos frente a ataques. AuditIfNotExists, Disabled 3.0.0

7.5: Almacene de forma segura la configuración de los recursos de Azure

Guía: use Azure Repos para almacenar y administrar de forma segura el código, como definiciones personalizadas de Azure Policy, plantillas de Azure Resource Manager, scripts de Desired State Configuration y otros códigos. Para acceder a los recursos que administra en Azure DevOps, como el código, las compilaciones y el seguimiento del trabajo, debe tener los permisos para esos recursos específicos. La mayoría de los permisos se conceden a través de grupos de seguridad integrados, tal como se describe en Permisos y acceso. Puede conceder o denegar permisos a usuarios específicos, grupos de seguridad integrados o grupos definidos en Azure Active Directory (Azure AD) si se integra con Azure DevOps, o en Active Directory si se integra con TFS.

Responsabilidad: Customer

7.6: Almacene imágenes de sistema operativo personalizadas de forma segura

Guía: si usa imágenes personalizadas (p. ej., un disco duro virtual), use el control de acceso basado en roles de Azure para asegurarse de que solo los usuarios autorizados puedan acceder a las imágenes.

Responsabilidad: Customer

7.7: Implementación de herramientas de administración de configuración para recursos de Azure

Guía: aproveche Azure Policy para alertar, auditar y aplicar las configuraciones del sistema para las máquinas virtuales. Además, desarrolle un proceso y una canalización para administrar las excepciones de las directivas.

Responsabilidad: Customer

7.8: Implementación de herramientas de administración de la configuración para sistemas operativos

Guía: Azure Automation State Configuration es un servicio de administración de configuración para los nodos de Desired State Configuration (DSC) de cualquier centro de datos local o en la nube. Permite la escalabilidad en miles de máquinas de forma rápida y sencilla desde una ubicación central y segura. Puede incorporar fácilmente máquinas, asignarles configuraciones declarativas y ver informes que muestran el cumplimiento de cada máquina con el estado deseado que especifique.

Responsabilidad: Customer

7.9: Implementación de la supervisión de la configuración automatizada para los recursos de Azure

Guía: aproveche Microsoft Defender for Cloud para realizar exámenes de línea base para las máquinas virtuales de Azure. Los métodos adicionales para la configuración automatizada incluyen el uso de State Configuration de Azure Automation.

Responsabilidad: Customer

7.10: Implemente la supervisión de configuración automatizada para sistemas operativos

Instrucciones: Azure Automation State Configuration es un servicio de administración de configuración para los nodos de Desired State Configuration (DSC) de cualquier centro de datos local o en la nube. Permite la escalabilidad en miles de máquinas de forma rápida y sencilla desde una ubicación central y segura. Puede incorporar fácilmente máquinas, asignarles configuraciones declarativas y ver informes que muestran el cumplimiento de cada máquina con el estado deseado que especifique.

Responsabilidad: Customer

Supervisión de Microsoft Defender for Cloud: Azure Security Benchmark es la iniciativa de directiva predeterminada para Microsoft Defender for Cloud y es la base para las recomendaciones de Microsoft Defender for Cloud. Microsoft Defender for Cloud habilita automáticamente las definiciones de Azure Policy relacionadas con este control. Puede que las alertas relacionadas con este control requieran un plan de Microsoft Defender para los servicios relacionados.

Definiciones integradas de Azure Policy - Microsoft.ClassicCompute:

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Las vulnerabilidades en las configuraciones de seguridad de contenedor deben corregirse Audite las vulnerabilidades en la configuración de seguridad de las máquinas con Docker instalado y muéstrelas como recomendaciones en Microsoft Defender for Cloud. AuditIfNotExists, Disabled 3.0.0
Se deben corregir las vulnerabilidades en la configuración de seguridad en las máquinas Microsoft Defender for Cloud supervisará los servidores que no cumplan la línea base configurada como recomendaciones. AuditIfNotExists, Disabled 3.0.0

Definiciones integradas de Azure Policy: Microsoft.Compute:

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Las vulnerabilidades en las configuraciones de seguridad de contenedor deben corregirse Audite las vulnerabilidades en la configuración de seguridad de las máquinas con Docker instalado y muéstrelas como recomendaciones en Microsoft Defender for Cloud. AuditIfNotExists, Disabled 3.0.0
Se deben corregir las vulnerabilidades en la configuración de seguridad en las máquinas Microsoft Defender for Cloud supervisará los servidores que no cumplan la línea base configurada como recomendaciones. AuditIfNotExists, Disabled 3.0.0
Se deben corregir las vulnerabilidades en la configuración de seguridad de los conjuntos de escalado de máquinas virtuales Audite las vulnerabilidades del sistema operativo en los conjuntos de escalado de máquinas virtuales para protegerlos frente a ataques. AuditIfNotExists, Disabled 3.0.0

7.11: Administre los secretos de Azure de forma segura

Instrucciones: Use Managed Service Identity junto con Azure Key Vault para simplificar y proteger la administración de secretos para las aplicaciones en la nube.

Responsabilidad: Customer

7.12: Administre las identidades de forma segura y automática

Instrucciones: Use identidades administradas para proporcionar servicios de Azure con una identidad administrada automáticamente en Azure Active Directory (Azure AD). Las identidades administradas le permiten autenticarse en cualquier servicio que admita la autenticación de Azure AD, incluyendo Key Vault, sin necesidad de credenciales en el código.

Responsabilidad: Customer

7.13: Elimine la exposición de credenciales no intencionada

Instrucciones: Implemente el escáner de credenciales para identificar las credenciales en el código. El escáner de credenciales también fomenta el traslado de credenciales detectadas a ubicaciones más seguras, como Azure Key Vault.

Responsabilidad: Customer

Defensa contra malware

Para más información, consulte Azure Security Benchmark: defensa contra malware.

8.1: Uso de software antimalware administrado centralmente

Guía: necesitará una herramienta de terceros para la protección contra malware en la máquina virtual con Linux de Azure.

Responsabilidad: Customer

Supervisión de Microsoft Defender for Cloud: Azure Security Benchmark es la iniciativa de directiva predeterminada para Microsoft Defender for Cloud y es la base para las recomendaciones de Microsoft Defender for Cloud. Microsoft Defender for Cloud habilita automáticamente las definiciones de Azure Policy relacionadas con este control. Puede que las alertas relacionadas con este control requieran un plan de Microsoft Defender para los servicios relacionados.

Definiciones integradas de Azure Policy - Microsoft.ClassicCompute:

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Habilitación de la protección de punto de conexión en Microsoft Defender for Cloud Microsoft Defender for Cloud supervisará los servidores sin un agente de Endpoint Protection instalado como recomendaciones. AuditIfNotExists, Disabled 3.0.0

Definiciones integradas de Azure Policy: Microsoft.Compute:

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
La solución de protección del punto de conexión debe instalarse en las máquinas virtuales Audite la existencia y el estado de una solución de protección de puntos de conexión en los conjuntos de escalado de máquinas virtuales para protegerlos frente a amenazas y vulnerabilidades. AuditIfNotExists, Disabled 3.0.0
Habilitación de la protección de punto de conexión en Microsoft Defender for Cloud Microsoft Defender for Cloud supervisará los servidores sin un agente de Endpoint Protection instalado como recomendaciones. AuditIfNotExists, Disabled 3.0.0

8.3: Asegúrese de que se han actualizado el software y las firmas antimalware

Guía: Necesitará una herramienta de terceros para la protección contra malware en la máquina virtual con Linux de Azure.

Responsabilidad: Customer

Supervisión de Microsoft Defender for Cloud: Azure Security Benchmark es la iniciativa de directiva predeterminada para Microsoft Defender for Cloud y es la base para las recomendaciones de Microsoft Defender for Cloud. Microsoft Defender for Cloud habilita automáticamente las definiciones de Azure Policy relacionadas con este control. Puede que las alertas relacionadas con este control requieran un plan de Microsoft Defender para los servicios relacionados.

Definiciones integradas de Azure Policy: Microsoft.Compute:

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Microsoft Antimalware para Azure debe estar configurado para actualizar automáticamente las firmas de protección. Esta directiva audita cualquier máquina virtual de Windows que no esté configurada con la actualización automática de firmas de protección de Microsoft Antimalware. AuditIfNotExists, Disabled 1.0.0

Recuperación de datos

Para más información, consulte Azure Security Benchmark: recuperación de datos.

9.1: Garantía de copias de seguridad automáticas periódicas

Guía: habilite Azure Backup y configure las máquinas virtuales de (VM) Azure, así como la frecuencia deseada y el período de retención para las copias de seguridad automáticas.

Responsabilidad: Customer

Supervisión de Microsoft Defender for Cloud: Azure Security Benchmark es la iniciativa de directiva predeterminada para Microsoft Defender for Cloud y es la base para las recomendaciones de Microsoft Defender for Cloud. Microsoft Defender for Cloud habilita automáticamente las definiciones de Azure Policy relacionadas con este control. Puede que las alertas relacionadas con este control requieran un plan de Microsoft Defender para los servicios relacionados.

Definiciones integradas de Azure Policy: Microsoft.Compute:

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Azure Backup debe estar habilitado para Virtual Machines. Asegúrese que Azure Virtual Machines está protegido; para ello, habilite Azure Backup. Azure Backup es una solución de protección de datos segura y rentable para Azure. AuditIfNotExists, Disabled 2.0.0

9.2: Copias de seguridad completas del sistema y copia de seguridad de las claves administradas por el cliente

Instrucciones: cree instantáneas de las máquinas virtuales de Azure o de los discos administrados asociados a esas instancias mediante PowerShell o las API REST. Realice una copia de seguridad de cualquier clave administrada por el cliente en Azure Key Vault.

Habilite Azure Backup y las máquinas virtuales (VM) de destino de Azure, así como la frecuencia y los períodos de retención deseados. Esto incluye una copia de seguridad completa del estado del sistema. Si usa Azure Disk Encryption, la copia de seguridad de la máquina virtual de Azure administra automáticamente la copia de seguridad de las claves administradas por el cliente.

Responsabilidad: Customer

Supervisión de Microsoft Defender for Cloud: Azure Security Benchmark es la iniciativa de directiva predeterminada para Microsoft Defender for Cloud y es la base para las recomendaciones de Microsoft Defender for Cloud. Microsoft Defender for Cloud habilita automáticamente las definiciones de Azure Policy relacionadas con este control. Puede que las alertas relacionadas con este control requieran un plan de Microsoft Defender para los servicios relacionados.

Definiciones integradas de Azure Policy: Microsoft.Compute:

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Azure Backup debe estar habilitado para Virtual Machines. Asegúrese que Azure Virtual Machines está protegido; para ello, habilite Azure Backup. Azure Backup es una solución de protección de datos segura y rentable para Azure. AuditIfNotExists, Disabled 2.0.0

9.3: Validación de todas las copias de seguridad, incluidas las claves administradas por el cliente

Instrucciones: Garantice la capacidad de realizar la restauración de datos de contenido en Azure Backup de forma periódica. Si es necesario, pruebe la restauración del contenido en una red virtual o suscripción aislada. El cliente debe probar la restauración de la copia de seguridad de las claves administradas por el cliente.

Si usa Azure Disk Encryption, puede restaurar la máquina virtual de Azure con las claves de cifrado del disco. Cuando use Disk Encryption, podrá restaurar la máquina virtual de Azure con las claves de cifrado de discos.

Responsabilidad: Customer

9.4: Garantía de la protección de las copias de seguridad y las claves administradas por el cliente

Guía: Al realizar la copia de seguridad de máquinas virtuales de Azure con Azure Backup, las máquinas virtuales se cifran en reposo con Storage Service Encryption (SSE). Azure Backup también puede hacer una copia de seguridad de las VM de Azure cifradas mediante Azure Disk Encryption (ADE). Azure Disk Encryption también se integra con las claves de cifrado de las claves de Azure Key Vault (KEK). Habilite la eliminación temporal en Key Vault para proteger las claves contra la eliminación accidental o malintencionada.

Responsabilidad: Customer

Respuesta a los incidentes

Para más información, consulte Azure Security Benchmark: respuesta ante incidentes.

10.1: Creación de una guía de respuesta ante incidentes

Instrucciones: Cree una guía de respuesta a incidentes para su organización. Asegúrese de que haya planes de respuesta a incidentes escritos que definan todos los roles del personal, así como las fases de administración y gestión de los incidentes, desde la detección hasta la revisión posterior a la incidencia.

Responsabilidad: Customer

10.2: Creación de un procedimiento de priorización y puntuación de incidentes

Guía: Microsoft Defender for Cloud asigna una gravedad a cada alerta para ayudarle a priorizar qué alertas se deben investigar primero. La gravedad se basa en la confianza de Microsoft Defender for Cloud en la búsqueda o en el análisis usados para emitir la alerta, así como en el nivel de confianza en que hubo una intención maliciosa detrás de la actividad que condujo a la alerta. Además, marque claramente las suscripciones (por ejemplo, producción, no producción) con etiquetas y cree un sistema de nomenclatura para identificar y clasificar claramente los recursos de Azure, especialmente los que procesan datos confidenciales. Es su responsabilidad asignar prioridades a la corrección de las alertas en función de la importancia de los recursos y el entorno de Azure donde se produjo el incidente.

Responsabilidad: Customer

10.3: Prueba de los procedimientos de respuesta de seguridad

Guía: Realice ejercicios para probar las funcionalidades de respuesta a los incidentes de los sistemas periódicamente para ayudar a proteger los recursos de Azure.

Responsabilidad: Customer

10.4: Provisión de detalles de contacto de incidentes de seguridad y configuración de notificaciones de alerta para incidentes de seguridad

Instrucciones: La información de contacto del incidente de seguridad la utilizará Microsoft para ponerse en contacto con usted si Microsoft Security Response Center (MSRC) detecta que un tercero no autorizado o ilegal ha accedido a los datos. Revise los incidentes después del hecho para asegurarse de que se resuelven los problemas.

Responsabilidad: Customer

10.5: Incorporación de alertas de seguridad en el sistema de respuesta a incidentes

Guía: exporte las alertas y recomendaciones de Microsoft Defender for Cloud mediante la característica Exportación continua para ayudar a identificar riesgos para los recursos de Azure. La exportación continua le permite exportar alertas y recomendaciones de forma manual o continua. Puede usar el conector de datos de Microsoft Defender for Cloud para transmitir las alertas a Microsoft Sentinel.

Responsabilidad: Customer

10.6: Automatización de la respuesta a las alertas de seguridad

Guía: use la característica Automatización de flujos de trabajo de Microsoft Defender for Cloud para desencadenar automáticamente respuestas a través de "Logic Apps" en alertas de seguridad y recomendaciones para proteger los recursos de Azure.

Responsabilidad: Customer

Pruebas de penetración y ejercicios del equipo rojo

Para más información, consulte Azure Security Benchmark: Pruebas de penetración y ejercicios del equipo rojo.

11.1: Realice pruebas de penetración periódicas de los recursos de Azure y asegúrese de corregir todos los resultados de seguridad críticos

Guía: Siga las reglas de compromiso de Microsoft para asegurarse de que las pruebas de penetración no infrinjan las directivas de Microsoft. Use la estrategia de Microsoft y la ejecución de pruebas de penetración de sitios activos y ataques simulados en la infraestructura en la nube, los servicios y las aplicaciones administrados por Microsoft.

Responsabilidad: Compartido

Pasos siguientes