Línea base de seguridad de Azure Web Application Firewall

Esta línea de base de seguridad aplica la guía de la versión 1.0 de Azure Security Benchmark a Azure Web Application Firewall. Azure Security Benchmark proporciona recomendaciones sobre cómo puede proteger sus soluciones de nube en Azure. El contenido se agrupa por los controles de seguridad definidos por Azure Security Benchmark y las directrices aplicables a Azure Web Application Firewall.

Puede supervisar esta línea de base de seguridad y sus recomendaciones mediante Microsoft Defender for Cloud. Azure Policy definiciones se mostrarán en la sección Cumplimiento normativo del panel de Microsoft Defender for Cloud.

Cuando una sección tiene definiciones de Azure Policy relevantes, se muestran en esta línea de base para ayudarle a medir el cumplimiento de los controles y recomendaciones de Azure Security Benchmark. Algunas recomendaciones pueden requerir un plan de Microsoft Defender de pago para habilitar determinados escenarios de seguridad.

Nota:

Se han excluido los controles que no son aplicables a Azure Web Application Firewall o cuya responsabilidad es de Microsoft. Para ver cómo Azure Web Application Firewall se asigna por completo a Azure Security Benchmark, consulte el archivo de asignación de base de referencia de seguridad de Azure Web Application Firewall completo .

Seguridad de redes

Para más información, consulte Azure Security Benchmark: seguridad de red.

1.3: Proteja las aplicaciones web críticas

Guía: Utilice Microsoft Azure Web Application Firewall (WAF) para una protección centralizada de las aplicaciones web frente a vulnerabilidades de seguridad comunes, como la inyección de SQL y el scripting entre sitios.

  • Modo de detección: Utilice este modo para entender el tráfico de red y comprender y revisar falsos positivos. Supervisa y registra todas las alertas de amenazas. Asegúrese de que el registro de diagnósticos y WAF está seleccionado y activado. Tenga en cuenta que el WAF no bloquea solicitudes entrantes cuando se ejecuta en modo de detección.
  • Modo de prevención: Bloquea las intrusiones y los ataques que detectan las reglas. Un atacante recibe una excepción de "403: acceso no autorizado" y se cierra la conexión. El modo de prevención registra dichos ataques en los registros del WAF.

Línea base del tráfico de red con el modo de detección de WAF. Después de determinar las necesidades de tráfico, ponga el WAF en modo de prevención para bloquear el tráfico no deseado.

Haga un seguimiento de las recomendaciones de gravedad alta de Microsoft Defender for Cloud para los recursos habilitados para web que no estén protegidos por WAF.

Responsabilidad: Customer

1.4: Denegación de las comunicaciones con direcciones IP malintencionadas conocidas

Guía: Utilice reglas personalizadas con Azure Web Application Firewall (WAF) para permitir y bloquear el tráfico. Por ejemplo, puede bloquear todo el tráfico procedente de un intervalo de direcciones IP. Configure Azure WAF para que se ejecute en el modo de prevención, lo cual bloquea las intrusiones y los ataques que detectan las reglas. Un atacante recibe una excepción de "403: acceso no autorizado" y se cierra la conexión. El modo de prevención registra dichos ataques en los registros del WAF.

Responsabilidad: Customer

Supervisión de Microsoft Defender for Cloud: Azure Security Benchmark es la iniciativa de directiva predeterminada para Microsoft Defender for Cloud y es la base para las recomendaciones de Microsoft Defender for Cloud. Microsoft Defender for Cloud habilita automáticamente las definiciones de Azure Policy relacionadas con este control. Puede que las alertas relacionadas con este control requieran un plan de Microsoft Defender para los servicios relacionados.

Definiciones integradas de Azure Policy: Microsoft.Network:

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Todo el tráfico de Internet debe enrutarse mediante la instancia de Azure Firewall implementada Microsoft Defender for Cloud ha identificado que algunas de las subredes no están protegidas con un firewall de próxima generación. Proteja las subredes frente a posibles amenazas mediante la restricción del acceso a ellas con Azure Firewall o un firewall de próxima generación compatible. AuditIfNotExists, Disabled 3.0.0-preview
Azure DDoS Protection Standard debe estar habilitado El estándar de protección DDoS debe estar habilitado en todas las redes virtuales que tengan una subred que forme parte de una instancia de Application Gateway con una dirección IP pública. AuditIfNotExists, Disabled 3.0.0

1.7: Administre el tráfico a las aplicaciones web

Guía: Azure Web Application Firewall (WAF) es el componente principal de las protecciones de aplicaciones web de Azure. Utilice Azure WAF para proporcionar una protección centralizada a las aplicaciones web a partir de vulnerabilidades de seguridad y vulnerabilidades comunes con el conjunto de reglas administradas preconfiguradas contra firmas de ataque conocidas de las 10 categorías principales de OWASP.

Personalice las reglas y grupos de reglas de Azure WAF para satisfacer los requisitos de la aplicación web y eliminar los falsos positivos. Asocie una directiva de Azure WAF a cada sitio detrás de la WAF para permitir la configuración específica del sitio. Azure WAF admite el filtrado geográfico, la limitación de velocidad y las reglas de conjunto de reglas predeterminadas administradas por Azure. y pueden crearse reglas personalizadas para satisfacer las necesidades de una aplicación.

Configure Azure WAF para que se ejecute en el modo de prevención después de establecer una línea de tiempo en el modo de detección del tráfico de red durante un período de tiempo determinado. Azure WAF bloquea cual bloquea las intrusiones y los ataques que detectan las reglas en el modo de prevención. Un atacante recibe una excepción de "403: acceso no autorizado" y se cierra la conexión. El modo de prevención registra dichos ataques en los registros del WAF.

Responsabilidad: Customer

1.8: Minimice la complejidad y la sobrecarga administrativa de las reglas de seguridad de red

Guía: Cree, asocie y organice lógicamente los recursos de una suscripción de Azure con etiquetas para la detección de configuraciones de aplicaciones comunes (por ejemplo, Apache e IIS).

Aplique reglas y grupos de reglas a las directivas de Azure Web Application Firewall (WAF) basadas en los metadatos de etiqueta aplicados.

Responsabilidad: Customer

1.10: Documente las reglas de configuración de tráfico

Guía: Utilice etiquetas para los grupos de seguridad de red asociados con Azure Web Application Firewall (WAF) en la subred de Azure Application Gateway, así como cualquier otro recurso relacionado con la seguridad de red y el flujo de tráfico. En el caso de reglas de grupo de seguridad de red individuales, utilice el campo "Descripción" para especificar la necesidad del negocio, la duración y otra información de cualquier regla que permita el tráfico hacia o desde una red.

Use cualquiera de las definiciones de Azure Policy integradas relacionadas con el etiquetado, como "Requerir etiqueta y su valor", para asegurarse de que todos los recursos se creen con etiquetas y para notificarle los recursos no etiquetados existentes.

Seleccione Azure PowerShell o la CLI de Azure para buscar o realizar acciones en los recursos en función de sus etiquetas.

Responsabilidad: Customer

1.11: Use herramientas automatizadas para supervisar las configuraciones de recursos de red y detectar cambios

Guía: Utilice el registro de actividad de Azure para supervisar las configuraciones de los recursos de red y detectar cambios en las opciones y recursos de red relacionados con las implementaciones de Azure Web Application Firewall (WAF). Cree alertas en Azure Monitor que se desencadenen cuando se produzcan cambios en la configuraciones o recursos de red críticos.

Responsabilidad: Customer

Registro y supervisión

Para más información, consulte Azure Security Benchmark: registro y supervisión.

2.1: Uso de orígenes de sincronización de hora aprobados

Guía: Cree una regla de red para Azure Web Application Firewall (WAF) para permitir el acceso a un servidor NTP con el puerto y el protocolo adecuados, como el puerto 123 a través de UDP.

Responsabilidad: Compartido

2.2: Configuración de la administración central de registros de seguridad

Guía: configure los registros de Azure Web Application Firewall (WAF) para enviarlos a una solución central de administración de registros de seguridad, como Microsoft Sentinel, o a un SIEM de terceros. Estos registros incluyen los registros de Azure Activity, Diagnostic y WAF en tiempo real. Dichos registros pueden verse en distintas herramientas, como Azure Monitor, Excel y Power BI. Los registros de Azure Web Application Firewall proporcionan información sobre los datos que Azure WAF evalúa, empareja y bloquea.

Microsoft Sentinel tiene un libro de Azure WAF integrado que proporciona información general acerca de los eventos de seguridad de Azure WAF. Este libro incluye eventos, reglas coincidentes y bloqueadas, y todo lo demás que se registra en los registros del firewall. Esta telemetría puede utilizarse para iniciar la automatización de la guía con el fin de notificar o tomar medidas de corrección basadas en eventos de WAF recopilados por Microsoft Sentinel.

Responsabilidad: Customer

2.3: Habilitación del registro de auditoría para recursos de Azure

Guía: Habilite el inicio de sesión en los recursos de Azure Web Application Firewall (WAF) para acceder a los registros de auditoría, seguridad y diagnóstico. Azure Web Application Firewall proporciona informes detallados sobre cada una de las amenazas detectadas que están disponibles en los registros de diagnóstico configurados. Los registros de actividad, que están disponibles automáticamente, incluyen el origen del evento, la fecha, el usuario, la marca de tiempo, las direcciones de origen y de destino, y otros elementos útiles.

Responsabilidad: Customer

2.5: Configuración de la retención del almacenamiento de registros de seguridad

Guía: Envíe los registros de Azure Web Application Firewall (WAF) a una cuenta de almacenamiento personalizada y defina las directivas de retención. Utilice Azure Monitor para establecer el período de retención del área de trabajo de Log Analytics en función de los requisitos de cumplimiento de su organización.

Responsabilidad: Customer

2.6: Supervisión y revisión de registros

Guía: Azure Web Application Firewall (WAF) proporciona informes detallados sobre cada amenaza detectada. Los registros están integrados con los registros de Azure Diagnostics, los cuales proporcionan información valiosa acerca de las operaciones y los errores que son importantes para la auditoría, así como para solucionar problemas.

Las instancias de Azure WAF están integradas en Microsoft Defender for Cloud con el fin de enviar alertas e información de estado para los informes. Utilice las recomendaciones de Microsoft Defender for Cloud para detectar aplicaciones web no protegidas y proteger estos recursos vulnerables.

Microsoft Sentinel tiene un libro de WAF y eventos de firewall integrado que proporciona información general acerca de los eventos de seguridad de WAF. Estos incluyen eventos, reglas coincidentes y bloqueadas, y todo lo demás que se registra en los registros del firewall.

Responsabilidad: Customer

2.7: Habilitación de alertas para actividades anómalas

Guía: Habilite la configuración de diagnóstico del registro de actividad de Azure, así como la configuración de diagnóstico de Azure WAF, y envíe los registros a un área de trabajo de Log Analytics. Realice consultas en Log Analytics para buscar términos, identificar tendencias, analizar patrones y proporcionar otra información detallada basada en los datos recopilados. Cree alertas para actividades anómalas basadas en métricas de WAF. Por ejemplo, si el número de solicitudes bloqueadas supera "X" o "Y".

Responsabilidad: Customer

2.8: Centralización del registro antimalware

Guía: Implemente el firewall de aplicaciones web (WAF) de Azure delante de las aplicaciones web críticas para la inspección adicional del tráfico entrante.

Azure WAF proporciona una protección centralizada de las aplicaciones web frente a vulnerabilidades comunes y otras vulnerabilidades y protege las aplicaciones mediante una inspección del tráfico web entrante para bloquear ataques como inyecciones de SQL, scripts entre sitios, cargas de malware y ataques de DDoS.

Responsabilidad: Customer

Identidad y Access Control

Para más información, consulte Azure Security Benchmark: identidad y control de acceso.

3.1: Mantenga un inventario de cuentas administrativas

Guía: Azure Active Directory (Azure AD) tiene roles integrados que son consultables y deben asignarse explícitamente. Use el módulo de PowerShell de Azure AD para realizar consultas ad hoc para detectar cuentas que son miembros de grupos administrativos.

Responsabilidad: Customer

3.3: Use cuentas administrativas dedicadas

Guía: No hay ninguna asignación de administrador local disponible dentro de WAF. Sin embargo, podría haber roles de administrador de Azure Active Directory (Azure AD) en el entorno que podrían permitir el control de la administración de los recursos de Azure WAF. Cree procedimientos operativos estándar en torno al uso de cuentas administrativas dedicadas que tengan acceso a las instancias de Azure Web Application Firewall (WAF). Use las características de administración de identidad y acceso de Microsoft Defender for Cloud para supervisar el número de cuentas administrativas.

Responsabilidad: Customer

3.5: Uso de la autenticación multifactor para todo el acceso basado en Azure Active Directory

Guía: Habilite la autenticación multifactor de Azure Active Directory (Azure AD) y siga las recomendaciones de administración de identidades y acceso de Microsoft Defender for Cloud.

Responsabilidad: Customer

3.6: Use máquinas dedicadas (estaciones de trabajo de acceso con privilegios) para todas las tareas administrativas

Guía: Utilice una estación de trabajo de acceso con privilegios (PAW) con la autenticación multifactor configurada para iniciar sesión en recursos de Azure Web Application Firewall (WAF) y recursos relacionados y configurarlos.

Responsabilidad: Customer

3.7: Registro y alerta de actividades sospechosas desde cuentas administrativas

Guía: Use los informes de seguridad de Azure Active Directory (Azure AD) para la generación de registros y alertas cuando se produzcan actividades sospechosas o no seguras en el entorno. Use Microsoft Defender for Cloud para supervisar la actividad de identidad y acceso.

Responsabilidad: Customer

3.8: Administre los recursos de Azure solo desde ubicaciones aprobadas

Instrucciones: Configure la condición de ubicación de una directiva de acceso condicional y administre las ubicaciones con nombre.

Cree agrupaciones lógicas de rangos de direcciones IP o de países y regiones con ubicación con nombre. Restrinja el acceso a recursos confidenciales, como los secretos de Azure Key Vault, a las ubicaciones con nombre configuradas.

Responsabilidad: Customer

3.9: Uso de Azure Active Directory

Instrucciones: Use Azure Active Directory (AD) como sistema central de autenticación y autorización. Azure AD protege los datos mediante el cifrado seguro para datos en reposo y en tránsito, y también sales, hashes y almacena de forma segura las credenciales de usuario.

Responsabilidad: Customer

3.10: Revise y concilie regularmente el acceso de los usuarios

Instrucciones: Azure Active Directory (Azure AD) proporciona registros para ayudar a descubrir cuentas obsoletas. Use las revisiones de acceso de identidad de Azure para administrar de forma eficiente las pertenencias a grupos, el acceso a las aplicaciones empresariales y las asignaciones de roles. Revise el acceso de los usuarios con regularidad para asegurarse de que solo los usuarios activos tengan el acceso continuado.

Responsabilidad: Customer

3.11: Supervisión de los intentos de acceso a credenciales desactivadas

Guía: integre la actividad de inicio de sesión de Azure Active Directory (Azure AD) y los orígenes del registro de eventos de riesgo y auditoría en cualquier herramienta de SIEM o supervisión, como Microsoft Sentinel.

Para simplificar este proceso, cree una configuración de diagnóstico para las cuentas de usuario de Azure AD, y envíe los registros de auditoría y los registros de inicio de sesión a un área de trabajo de Log Analytics. Configure las alertas deseadas en el área de trabajo de Log Analytics.

Responsabilidad: Customer

3.12: Alerta de las desviaciones de comportamiento en los inicios de sesión de las cuentas

Guía: Use las características de protección de identidad y detección de riesgo de Azure Active Directory (Azure AD) para configurar respuestas automatizadas a las acciones sospechosas que se detecten relacionadas con las identidades de los usuarios. Ingiera datos en Microsoft Sentinel para investigarlos más detenidamente.

Responsabilidad: Customer

Protección de datos

Para más información, consulte Azure Security Benchmark: protección de datos.

4.1: Mantenimiento de un inventario de información confidencial

Guía: Utilice etiquetas para ayudar a realizar el seguimiento de los recursos de Azure Web Application Firewall (WAF) y recursos relacionados que almacenan o procesan información confidencial.

Responsabilidad: Customer

4.2: Aislamiento de los sistemas que almacenan o procesan información confidencial

Guía: Implemente también el aislamiento mediante suscripciones independientes y grupos de administración para dominios de seguridad individuales, como el tipo de entorno y el nivel de confidencialidad de los datos, por ejemplo, entornos de desarrollo, prueba y producción.

Controle el acceso a los recursos de Azure con el acceso basado en roles de Azure Active Directory (Azure AD) (Azure RBAC).

Responsabilidad: Customer

4.4: Cifrado de toda la información confidencial en tránsito

Instrucciones: Cifre toda la información confidencial en tránsito. Asegúrese de que los clientes que se conectan a los recursos de las instancias de Azure Web Application Firewall (WAF) y recursos relacionados pueden negociar TLS 1.2 o superior.

Siga las recomendaciones de Microsoft Defender for Cloud para el cifrado en reposo y el cifrado en tránsito, si procede.

Responsabilidad: Compartido

4.6: Uso de RBAC de Azure para administrar el acceso a los recursos

Guía: Controle el acceso a los recursos de Azure como Web Application Firewall con el control de acceso basado en rol de Azure (RBAC de Azure).

Responsabilidad: Customer

4.8: Cifrado de información confidencial en reposo

Guía: Utilice el cifrado en reposo para todos los recursos de Azure, incluidos los de Azure Web Application Firewall (WAF) y otros recursos relacionados. Microsoft recomienda permitir que Azure administre las claves de cifrado, pero existe la opción de administrar sus propias claves en algunas instancias.

Responsabilidad: Customer

4.9: Registro y alerta de cambios en los recursos críticos de Azure

Guía: Configure Azure Web Application Firewall (WAF) para que se ejecute en el modo de prevención después de establecer una línea de tiempo en el modo de detección del tráfico de red durante un período de tiempo predeterminado.

En el modo de prevención, Azure WAF bloquea cual bloquea las intrusiones y los ataques que detectan las reglas. El atacante recibe una excepción de "403: acceso no autorizado" y se cierra la conexión. El modo de prevención registra dichos ataques en los registros del WAF.

Responsabilidad: Customer

Administración de recursos y del inventario

Para más información, consulte Azure Security Benchmark: inventario y administración de recursos.

6.1: Uso de la solución de detección de recursos automatizada

Guía: Utilice Azure Resource Graph para consultar o detectar todos los recursos (por ejemplo, proceso, almacenamiento, red, puertos y protocolos, etc.) dentro de las suscripciones.

Asegúrese de que tiene los permisos adecuados (lectura) en el inquilino y enumere todas las suscripciones de Azure, así como los recursos de las suscripciones. Aunque los recursos clásicos de Azure se pueden detectar a través de Resource Graph, se recomienda encarecidamente crear y usar los recursos de Azure Resource Manager que figuran a continuación.

Responsabilidad: Customer

6.2: Mantenimiento de metadatos de recursos

Guía: Utilice etiquetas en las directivas de Azure Web Application Firewall (WAF) Las etiquetas pueden asociarse a recursos y aplicarse de manera lógica para organizar el acceso a estos recursos en una suscripción de cliente.

Responsabilidad: Customer

6.3: Eliminación de recursos de Azure no autorizados

Guía: Utilice el etiquetado, los grupos de administración y las suscripciones independientes, según corresponda, para organizar y hacer un seguimiento de los recursos relacionados con Azure WAF. Concilie el inventario periódicamente y asegúrese de que los recursos no autorizados se eliminan de la suscripción de manera oportuna.

Responsabilidad: Customer

6.4: Definición y mantenimiento de un inventario de los recursos de Azure aprobados

Guía: Cree un inventario de los recursos aprobados, incluida la configuración según las necesidades de su organización.

use Azure Policy para establecer restricciones sobre el tipo de recursos que se pueden crear en las suscripciones. Use Azure Resource Graph para consultar y detectar recursos dentro de sus suscripciones. Asegúrese de que todos los recursos de Azure presentes en el entorno estén aprobados.

Responsabilidad: Customer

6.5: Supervisión de recursos de Azure no aprobados

Guía: Use Azure Policy para establecer restricciones en el tipo de recursos que se pueden crear en sus suscripciones. Utilice Azure Resource Graph para consultar o detectar recursos de Azure Web Application Firewall (WAF) en sus suscripciones. Asegúrese de que todos los recursos de Azure WAF y recursos relacionados presentes en el entorno estén aprobados.

Responsabilidad: Customer

6.7: Eliminación de aplicaciones de software y recursos de Azure no aprobadas

Guía: Supervise y quite los recursos de Azure WAF no aprobados con Azure Policy para denegar la implementación de Azure WAF o un tipo determinado de WAF; por ejemplo, Azure WAF v1 frente a V2.

Responsabilidad: Customer

6.9: Uso exclusivo de servicios de Azure aprobados

Guía: Use Azure Policy para restringir qué servicios puede aprovisionar en su entorno.

Responsabilidad: Customer

6.11: Limitación de la capacidad de los usuarios para interactuar con Azure Resource Manager

Guía: Utilice el acceso condicional de Azure para limitar la capacidad de los usuarios de interactuar con Azure Resource Manager mediante la configuración de la opción "Bloquear acceso" en la aplicación "Administración de Microsoft Azure".

Responsabilidad: Customer

6.13: Segregación física o lógica de aplicaciones de alto riesgo

Guía: Azure Web Application Firewall (WAF) puede asociarse a diferentes entornos a través de redes, grupos de recursos o suscripciones para separar las aplicaciones de alto riesgo.

Responsabilidad: Customer

Configuración segura

Para más información, consulte Azure Security Benchmark: configuración segura.

7.1: Establezca configuraciones seguras para todos los recursos de Azure

Guía: Defina e implemente configuraciones de seguridad estándar para la configuración de red relacionada con las implementaciones de Azure Web Application Firewall (WAF).

Utilice alias de Azure Policy en el espacio de nombres "Microsoft.Network" para crear directivas personalizadas que permitan auditar o aplicar la configuración de red de Azure Application Gateways, Virtual Networks, grupos de seguridad de red y definiciones de directivas integradas.

Responsabilidad: Customer

7.3: Mantenga configuraciones de recursos de Azure seguras

Guía: Utilice los efectos de las directivas [deny] y [deploy if not exist] de Azure Policy para aplicar una configuración segura en los recursos de Azure Web Application Firewall (WAF) y recursos relacionados.

Utilice plantillas de Azure Resource Manager para mantener la configuración de seguridad de los recursos de Azure WAF y recursos relacionados que requiere su organización.

Responsabilidad: Customer

7.5: Almacene de forma segura la configuración de los recursos de Azure

Guía: Utilice Azure DevOps para almacenar y administrar de forma segura el código, como directivas personalizadas de Azure y plantillas de Azure Resource Manager.

Conceda o deniegue permisos a usuarios específicos, grupos de seguridad integrados o grupos definidos en Azure Active Directory (Azure AD) si se integra con Azure DevOps, o en Azure AD si se integra con Team Foundation Server (TFS).

Responsabilidad: Customer

7.7: Implementación de herramientas de administración de configuración para recursos de Azure

Guía: use las definiciones integradas en Azure Policy junto con los alias de esta misma aplicación en el espacio de nombres "Microsoft.Network" para crear directivas personalizadas que permitan auditar y aplicar las configuraciones, así como enviar alertas sobre ellas. Desarrolle un proceso y una canalización para administrar las excepciones de las directivas.

Responsabilidad: Customer

7.9: Implementación de la supervisión de la configuración automatizada para los recursos de Azure

Guía: use las definiciones integradas en Azure Policy junto con los alias de esta misma aplicación en el espacio de nombres "Microsoft.Network" para crear directivas personalizadas que permitan auditar y aplicar las configuraciones, así como enviar alertas sobre ellas.

Utilice los efectos de la directiva de Azure Policy [audit], [deny] y [deploy if not exist] para aplicar automáticamente las configuraciones en los recursos de Azure.

Responsabilidad: Customer

7.11: Administre los secretos de Azure de forma segura

Guía: Use Azure Key Vault para almacenar certificados de forma segura. Azure Key Vault es un almacén de secretos administrado por la plataforma que puede usar para proteger los secretos, las claves y los certificados SSL.

Azure Application Gateway admite la integración con Key Vault para certificados de servidor adjuntos a clientes de escucha con HTTPS habilitado.

Responsabilidad: Customer

7.13: Elimine la exposición de credenciales no intencionada

Guía: Implemente el escáner de credenciales para identificar las credenciales del código, lo cual también fomenta el traslado de credenciales detectadas a ubicaciones más seguras, como Azure Key Vault.

Responsabilidad: Customer

Recuperación de datos

Para más información, consulte Azure Security Benchmark: recuperación de datos.

9.4: Garantía de la protección de las copias de seguridad y las claves administradas por el cliente

Instrucciones: Asegúrese de que la eliminación temporal está habilitada para Azure Key Vault. La eliminación temporal permite la recuperación de almacenes de claves y objetos de almacén eliminados, como claves, secretos y certificados.

Responsabilidad: Customer

Respuesta a los incidentes

Para más información, consulte Azure Security Benchmark: respuesta ante incidentes.

10.1: Creación de una guía de respuesta ante incidentes

Guía: desarrolle una guía de respuesta a incidentes para su organización. Asegúrese de que haya planes de respuesta a incidentes escritos que definan todos los roles del personal, así como las fases de administración y gestión de los incidentes, desde la detección hasta la revisión posterior a la incidencia.

Responsabilidad: Customer

10.2: Creación de un procedimiento de priorización y puntuación de incidentes

Guía: Microsoft Defender for Cloud asigna una gravedad a cada alerta para ayudarle a priorizar qué alertas se deben investigar primero. La gravedad se basa en la confianza que tiene Microsoft Defender for Cloud en la búsqueda o en la métrica que se usa para emitir la alerta, así como en el nivel de confianza de que ha habido un intento malintencionado detrás de la actividad que ha provocado la alerta.

Marque las suscripciones de forma clara (por ejemplo, producción o no producción) y cree un sistema de nomenclatura para identificar y clasificar claramente los recursos de Azure.

Responsabilidad: Customer

10.3: Prueba de los procedimientos de respuesta de seguridad

Instrucciones: Realice ejercicios para probar las capacidades de respuesta a los incidentes de los sistemas con regularidad. Identifique puntos débiles y brechas y revise el plan según sea necesario.

Responsabilidad: Customer

10.4: Provisión de detalles de contacto de incidentes de seguridad y configuración de notificaciones de alerta para incidentes de seguridad

Guía: La información de contacto del incidente de seguridad la utilizará Microsoft para ponerse en contacto con usted si Microsoft Security Response Center (MSRC) detecta que un tercero no autorizado o ilegal ha accedido a los datos del cliente. Revise los incidentes después del hecho para asegurarse de que se resuelven los problemas.

Responsabilidad: Customer

10.5: Incorporación de alertas de seguridad en el sistema de respuesta a incidentes

Guía: exporte las alertas y recomendaciones de Microsoft Defender for Cloud mediante la característica Exportación continua. La exportación continua le permite exportar alertas y recomendaciones de forma manual o continua. Use el conector de datos de Microsoft Defender for Cloud para transmitir las alertas a Microsoft Sentinel según los requisitos de la organización.

Responsabilidad: Customer

10.6: Automatización de la respuesta a las alertas de seguridad

Guía: use la característica de Automatización de flujos de trabajo de Microsoft Defender for Cloud para desencadenar automáticamente respuestas a través de "Logic Apps" en alertas y recomendaciones de seguridad.

Responsabilidad: Customer

Pruebas de penetración y ejercicios del equipo rojo

Para más información, consulte Azure Security Benchmark: Pruebas de penetración y ejercicios del equipo rojo.

11.1: Realice pruebas de penetración periódicas de los recursos de Azure y asegúrese de corregir todos los resultados de seguridad críticos

Guía: Siga las reglas de compromiso de Microsoft para asegurarse de que las pruebas de penetración no infrinjan las directivas de Microsoft. Use la estrategia de Microsoft y la ejecución de pruebas de penetración de sitios activos y ataques simulados en la infraestructura en la nube, los servicios y las aplicaciones administrados por Microsoft.

Responsabilidad: Compartido

Pasos siguientes