Control de seguridad v3: registro y detección de amenazas

El registro y la detección de amenazas cubre los controles para detectar amenazas en Azure y habilitar, recopilar y almacenar registros de auditoría para servicios de Azure, incluida la habilitación de procesos de detección, investigación y corrección con controles para generar alertas de alta calidad con la detección de amenazas nativa en los servicios de Azure. También incluye la recopilación de registros con Azure Monitor, la centralización del análisis de seguridad con Azure Sentinel, la sincronización de la hora y la retención de registros.

LT-1: Habilitación de las funcionalidades de detección de amenazas

Id. de CIS Controls v8 Identificadores de NIST SP 800-53 r4 Id de PCI-DSS v3.2.1
8.11 AU-3, AU-6, AU-12, SI-4 10.6, 10.8, A3.5

Principio de seguridad: para admitir escenarios de detección de amenazas, supervise todos los tipos de recursos conocidos en busca de amenazas y anomalías conocidas y esperadas. Configure las reglas de filtrado y análisis de alertas para extraer alertas de alta calidad de los datos de registro, los agentes u otros orígenes de datos para reducir los falsos positivos.

Guía de Azure: use la funcionalidad de detección de amenazas de los servicios de Azure Defender en Microsoft Defender for Cloud para los respectivos servicios de Azure.

En el caso de la detección de amenazas no incluida en los servicios de Azure Defender, consulte las líneas de base del servicio Azure Security Benchmark para sus servicios respectivos y así habilitar las funcionalidades de detección de amenazas o las alertas de seguridad en el mismo servicio. Extraiga las alertas a Azure Monitor o Azure Sentinel para crear reglas de análisis que capturarán las amenazas que coinciden con criterios específicos en el entorno.

En cuanto a los entornos de tecnología operativa (OT) que incluyen equipos que controlan o supervisan recursos del Sistema de control industrial (ICS) o el Control de supervisión y adquisición de datos (SCADA), use Defender para IoT para realizar un inventario de los recursos y detectar amenazas y vulnerabilidades.

En el caso de los servicios que no tienen una funcionalidad nativa de detección de amenazas, considere la posibilidad de recopilar los registros del plano de datos y analizar las amenazas a través de Azure Sentinel.

Implementación y contexto adicional:

Partes interesadas de seguridad del cliente (Obtenga más información):

LT-2: Habilitación de la detección de amenazas para la administración de identidades y acceso

Id. de CIS Controls v8 Identificadores de NIST SP 800-53 r4 Id de PCI-DSS v3.2.1
8.11 AU-3, AU-6, AU-12, SI-4 10.6, 10.8, A3.5

Principio de seguridad: detecte amenazas para la administración de identidades y acceso mediante la supervisión del inicio de sesión y el acceso de usuarios y aplicaciones. Se deben alertar patrones de comportamiento tales como el número excesivo de intentos de inicio de sesión con errores y las cuentas en desuso de la suscripción.

Guía de Azure: Azure AD proporciona los siguientes registros que se pueden ver en los informes de Azure AD o integrados con Azure Monitor, Azure Sentinel u otras herramientas de SIEM o supervisión para casos de uso de supervisión y análisis más sofisticados:

  • Inicios de sesión: el informe de inicios de sesión proporciona información sobre el uso de aplicaciones administradas y las actividades de inicio de sesión del usuario.
  • Registros de auditoría: proporcionan rastreabilidad mediante los registros de todos los cambios realizados por diversas características de Azure AD. Algunos ejemplos de registros de auditoría incluyen los cambios realizados en cualquier recurso de Azure AD como agregar o quitar usuarios, aplicaciones, grupos, roles y directivas.
  • Inicios de sesión de riesgo: un inicio de sesión de riesgo es un indicador de un intento de inicio de sesión que puede haber realizado alguien que no es el propietario legítimo de una cuenta de usuario.
  • Usuarios marcados de riesgo: un usuario de riesgo es un indicador de una cuenta de usuario que puede haber estado en peligro.

Azure AD también proporciona un módulo de Identity Protection para detectar y corregir los riesgos relacionados con las cuentas de usuario y los comportamientos de inicio de sesión. Algunos riesgos de ejemplo son las credenciales filtradas, el inicio de sesión desde direcciones IP anónimas o vinculadas a malware o la filtración de contraseñas. Las directivas de Azure AD Identity Protection permiten aplicar la autenticación MFA basada en riesgos junto con el acceso condicional de Azure en las cuentas de usuario.

Asimismo, Microsoft Defender for Cloud se puede configurar para que alerte sobre cuentas en desuso y actividades sospechosas, como un número excesivo de intentos de autenticación errónea. Además de la supervisión básica de la protección de seguridad, el módulo de Protección contra amenazas de Microsoft Defender for Cloud también puede recopilar alertas de seguridad más detalladas de recursos individuales de proceso de Azure (como máquinas virtuales, contenedores, servicio de aplicaciones), recursos de datos (como base de datos SQL y almacenamiento) y niveles de servicio de Azure. Esta funcionalidad permite ver anomalías de las cuentas dentro de los recursos individuales.

Nota: Si va a conectar la instancia de Active Directory local para realizar la sincronización, use la solución Microsoft Defender for Identity para consumir las señales de la instancia de Active Directory local y así poder identificar, detectar e investigar amenazas avanzadas, identidades en peligro y acciones malintencionadas dirigidas a su organización.

Implementación y contexto adicional:

Partes interesadas de seguridad del cliente (Obtenga más información):

LT-3: Habilitación del registro para la investigación de seguridad

Id. de CIS Controls v8 Identificadores de NIST SP 800-53 r4 Id de PCI-DSS v3.2.1
8.2, 8.5, 8.12 AU-3, AU-6, AU-12, SI-4 10.1, 10.2, 10.3

Principio de seguridad: habilite el registro de los recursos en la nube para cumplir con los requisitos de investigación de incidentes y respuestas de seguridad y cumplimiento normativo.

Guía de Azure: habilite la funcionalidad de registro para los recursos de los distintos niveles, como los registros de los recursos de Azure, los sistemas operativos y las aplicaciones dentro de las VM y otros tipos de registro.

Tenga en cuenta los distintos tipos de registros de seguridad, auditoría y otros registros de operaciones en los niveles de plano de administración o control y de plano de datos. Hay tres tipos de registros disponibles en la plataforma de Azure:

  • Registro de recursos de Azure: registro de las operaciones que se realizan en un recurso de Azure (plano de datos). Por ejemplo, obtener un secreto de un almacén de claves o realizar una solicitud a una base de datos. El contenido de estos registros de recurso varía según el servicio de Azure y el tipo de recurso.
  • Registro de actividades de Azure: registro de operaciones en cada recurso de Azure en la capa de suscripción, desde fuera (plano de administración). Use el Registro de actividad para determinar los valores qué, quién y cuándo de las operaciones de escritura (PUT, POST, DELETE) realizadas en los recursos de la suscripción. Hay un único registro de actividad para cada suscripción de Azure.
  • Registros de Azure Active Directory: contienen el historial de la actividad de inicio de sesión y la traza de auditoría de los cambios realizados en Azure Active Directory para un inquilino determinado.

También puede usar Microsoft Defender for Cloud y Azure Policy para habilitar los registros de recursos y la recopilación de datos de registro en los recursos de Azure.

Implementación y contexto adicional:

Partes interesadas de seguridad del cliente (Obtenga más información):

LT-4: Habilitación del registro de red para la investigación de seguridad

Id. de CIS Controls v8 Identificadores de NIST SP 800-53 r4 Id de PCI-DSS v3.2.1
8.2, 8.5, 8.6, 8.7, 13.6 AU-3, AU-6, AU-12, SI-4 10,8

Principio de seguridad: habilite el registro de los servicios de red para admitir las investigaciones de incidentes relacionadas con la red, la búsqueda de amenazas y la generación de alertas de seguridad. Los registros de red pueden incluir registros de servicios de red, como el filtrado de IP, el firewall de aplicaciones y redes, DNS y la supervisión de flujos, entre otros.

Guía de Azure: habilite y recopile registros de recursos de grupos de seguridad de red (NSG), registros de flujos de NSG, registros de Azure Firewall y registros de Web Application Firewall (WAF) para obtener un análisis de seguridad que favorezca la investigación de incidentes, la búsqueda de amenazas y la generación de alertas de seguridad. Puede enviar los registros de flujo a un área de trabajo de Azure Monitor Log Analytics y, a continuación, usar Análisis de tráfico para conseguir información detallada.

Recopile registros de consultas de DNS para que pueda correlacionar otros datos de red.

Implementación y contexto adicional:

Partes interesadas de seguridad del cliente (Obtenga más información):

LT-5: Centralizar la administración y el análisis de los registros de seguridad

Id. de CIS Controls v8 Identificadores de NIST SP 800-53 r4 Id de PCI-DSS v3.2.1
8.9, 8.11, 13.1 AU-3, AU-6, AU-12, SI-4 N/D

Principio de seguridad: centralice el almacenamiento de registro y el análisis para habilitar la correlación entre los datos de registro. Asegúrese de que asigna en cada origen de registro un propietario de datos, una guía de acceso, una ubicación de almacenamiento, qué herramientas se van a usar para procesar y acceder a los datos y los requisitos de retención de datos.

Guía de Azure: asegúrese de que va a integrar los registros de actividad de Azure en un área de trabajo de Log Analytics centralizada. Use Azure Monitor para consultar y realizar análisis y crear reglas de alerta mediante los registros agregados desde servicios de Azure, dispositivos de punto de conexión, recursos de red y otros sistemas de seguridad.

Asimismo, puede habilitar e incorporar datos a Azure Sentinel, que proporciona la capacidad de administración de eventos de información de seguridad (SIEM) y la respuesta automatizada de orquestación de seguridad (SOAR).

Implementación y contexto adicional:

Partes interesadas de seguridad del cliente (Obtenga más información):

LT-6: Configuración de la retención del almacenamiento de registros

Id. de CIS Controls v8 Identificadores de NIST SP 800-53 r4 Id de PCI-DSS v3.2.1
8.3, 8.10 AU-11 10.5, 10.7

Principio de seguridad: planee la estrategia de retención de registros según los requisitos de cumplimiento, regulación y negocio. Configure la directiva de retención de registros en los servicios de registro individuales para asegurarse de que los registros se archivan correctamente.

Guía de Azure: los registros, como los eventos de los registros de actividades de Azure, se conservan durante 90 días y luego se eliminan. Debe crear una configuración de diagnóstico y enrutar las entradas de registro a otra ubicación (como el área de trabajo de Log Analytics de Azure Monitor, Event Hubs o Azure Storage) según sus necesidades. Esta estrategia también se aplica a los demás registros de recursos y a los recursos que administre usted mismo, como los registros de los sistemas operativos y las aplicaciones de las VM.

Tiene la opción de realizar la retención de registros, tal como se indica a continuación:

  • Use el área de trabajo de Log Analytics de Azure Monitor para obtener un período de retención de registros de hasta 1 año o según los requisitos del equipo de respuesta.
  • Use Azure Storage, el Explorador de datos o Data Lake para el almacenamiento de archivos a largo plazo durante más de un año y para cumplir los requisitos de cumplimiento de seguridad.
  • Use Azure Event Hubs para enviar registros fuera de Azure.

Nota: Azure Sentinel usa el área de trabajo de Log Analytics como back-end para el almacenamiento de registros. Debe establecer una estrategia de almacenamiento a largo plazo si planea conservar los registros SIEM durante más tiempo.

Implementación y contexto adicional:

Partes interesadas de seguridad del cliente (Obtenga más información):

LT-7: Uso de orígenes de sincronización de hora aprobados

Id. de CIS Controls v8 Identificadores de NIST SP 800-53 r4 Id de PCI-DSS v3.2.1
8,4 AU-8 10,4

Principio de seguridad: use los orígenes de sincronización de hora aprobados para la marca de tiempo de registro que incluyan información sobre la fecha, la hora y la zona horaria.

Guía de Azure:Microsoft mantiene los orígenes de hora de la mayoría de los servicios de PaaS y SaaS de Azure. Para los sistemas operativos de recursos de proceso, use un servidor NTP predeterminado de Microsoft para la sincronización de hora a menos que tenga un requisito específico. Si necesita instalar su propio servidor NTP (protocolo de hora de la red), asegúrese de proteger el puerto 123 del servicio UDP.

Todos los registros generados por los recursos de Azure proporcionan marcas de tiempo con la zona horaria especificada de forma predeterminada.

Implementación y contexto adicional:

Partes interesadas de seguridad del cliente (Obtenga más información):