Registros de seguridad y alertas mediante servicios de Azure

Los registros proporcionan información sobre las operaciones de una carga de trabajo, la infraestructura, las comunicaciones de red, etc. Cuando se detecte una actividad sospechosa, use alertas como método para detectar posibles amenazas. Como parte de la estrategia de defensa en profundidad y la supervisión continua, responda a las alertas para evitar que la garantía de seguridad se deteriore con el tiempo.

Puntos clave

Uso de servicios nativos

• Azure Monitor proporciona observabilidad en todo el entorno. Obtendrá métricas de plataforma, registros de actividad y registros de diagnósticos automáticamente de la mayoría de sus recursos de Azure, sin ninguna configuración. Los registros de actividad proporcionan información detallada sobre el diagnóstico y la auditoría.

• Azure Security Center genera notificaciones, como alertas de seguridad, mediante la recopilación, el análisis y la integración de los datos de registro de los recursos de Azure y la red. Las alertas están disponibles cuando se habilita el plan de Azure Defender. Este se agregará al costo general.

• Azure Sentinel es una solución de administración de eventos e información de seguridad (SIEM) de y respuesta automatizada de orquestación de seguridad (SOAR). Se trata de solución única para la detección de alertas, la visibilidad de amenazas, la búsqueda proactiva y la respuesta a amenazas.

Lo ideal es usar una combinación de los servicios anteriores para obtener una vista completa. Por ejemplo, puede usar Azure Monitor para recopilar información sobre el sistema operativo que se ejecuta en el proceso de Azure. Si ejecuta su propio proceso, utilice Azure Security Center.

Registro de auditoría

Un aspecto importante de la supervisión es el seguimiento de las operaciones. Por ejemplo, puede saber quién creó, actualizó o eliminó un recurso. O bien, obtener información específica del recurso, como cuando se extrajo una imagen de Azure Container Registry. Esa información es fundamental para un equipo de operaciones de seguridad (SecOps) a la hora de detectar la presencia de adversarios, reaccionar ante una alerta de actividad sospechosa o buscar de forma proactiva eventos anómalos. También son útiles para la auditoría de seguridad, el cumplimiento y el análisis sin conexión.

En Azure, los recursos y la plataforma en la que se ejecutan emiten esa información como registros de plataforma. Azure Resource Manager realiza un seguimiento de estos y de cuándo se producen eventos de nivel de suscripción. Cada recurso emite registros específicos del servicio.

Considere la posibilidad de almacenar los datos con fines de auditoría o análisis estadísticos. Puede conservar los datos en el área de trabajo de Log Analytics y especificar el tipo de datos. En este ejemplo se establece la retención de SecurityEvents en 730 días:

PUT /subscriptions/00000000-0000-0000-0000-00000000000/resourceGroups/MyResourceGroupName/providers/Microsoft.OperationalInsights/workspaces/MyWorkspaceName/Tables/SecurityEvent?api-version=2017-04-26-preview {"properties":  {"retentionInDays": 730 } }

La conservación de datos de esta manera puede reducir los costos de retención de datos a lo largo del tiempo. Para obtener información sobre el tipo de datos que puede conservar, vea tipos de datos de seguridad.

Otra manera es enviar los registros a una cuenta de almacenamiento.

Alertas

Las alertas de seguridad son notificaciones que se generan cuando se detecta actividad anómala en los recursos que utiliza la carga de trabajo o la plataforma.

Con el plan de Azure Defender, Azure Security Center analiza los datos de registro y muestra una lista de alertas basadas en los registros recopilados de los recursos dentro de un ámbito. Las alertas incluyen información de contexto, como la gravedad, el estado y el tiempo de actividad. Security Center también proporciona una vista correlacionada denominada incidentes. Use estos datos para analizar qué acciones ha llevado a cabo el atacante y qué recursos se han visto afectados. Tenga estrategias para reaccionar ante las alertas en cuanto se generen. Una opción es controlar las alertas en Azure Functions.

Use los datos para estas actividades:

• Corrección de amenazas.
• Investigación de un incidente.
• Actividades de búsqueda proactiva.

Para más información, vea Incidentes y alertas de seguridad.

Centralización de registros y alertas

Las organizaciones suelen seguir uno de estos tres modelos al implementar registros: centralizado, descentralizado o híbrido. La elección depende de las estructuras organizativas. Por ejemplo, si cada equipo posee su grupo de recursos, los datos de registro se segregan por recurso. Aunque el control de acceso a los datos puede ser fácil de configurar, es difícil correlacionar los registros. Esto puede ser complicado para el equipo de SecOps, que necesita una vista holística para analizar los datos.

Considere la posibilidad de usar una vista central del registro y los datos, cuando corresponda. Entre las ventajas se incluyen:

• Los recursos de la carga de trabajo pueden compartir un área de trabajo de registro común, lo que reduce la duplicación.
• Un único punto de observabilidad con todos los datos de registro facilita el consumo de datos para actividades de búsqueda, consultas y evaluaciones estadísticas.
• Los datos integrados pueden introducirse en plataformas de análisis de aprendizaje automático modernas que admitan la ingesta de grandes cantidades de información y puedan analizar grandes conjuntos de datos con rapidez. Además, estas soluciones se pueden optimizar para reducir de forma significativa las alertas de falsos positivos.

Puede recopilar registros y alertas de varios orígenes de forma centralizada en un área de trabajo de Log Analytics, una cuenta de almacenamiento y Event Hubs. A continuación, puede revisar y consultar los datos de registro de forma eficaz. En Azure Monitor, use la configuración de diagnóstico en los recursos para enrutar registros específicos que son importantes para la organización. Los registros varían según el tipo de recurso. En Azure Security Center, aproveche la característica de exportación continua para enrutar las alertas.

Otra manera de ver todos los datos en una sola vista es integrar registros y alertas en soluciones de administración de eventos e información de seguridad (SIEM), como Azure Sentinel. Otras opciones populares de terceros son Splunk, QRadar y ArcSight. Azure Security Center y Azure Monitor admiten todas estas soluciones.

La integración de más datos puede enriquecer las alertas con contexto adicional. Sin embargo, recopilación no es lo mismo que detección. Asegúrese de que un gran volumen de datos de bajo valor no fluya a esas soluciones.

Si cree por algún motivo que los datos no ofrecen valor, puede quitar la prioridad de la integración de estos eventos. Por ejemplo, un gran volumen de eventos de denegación del firewall puede generar ruido sin acciones reales.

Esa opción ayudará contribuirá a una rápida respuesta y corrección filtrando falsos positivos, elevando los verdaderos positivos, y así sucesivamente. Además, disminuirá el costo de SIEM y los falsos positivos, y aumentará el rendimiento.

Otras formas de integración de registros pueden implicar un modelo híbrido que combina enfoques centralizados y descentralizados (distribuidos entre equipos). Para más información, consulte Consideraciones importantes para una estrategia de control de acceso.

Siguientes

Responder a las alertas es una manera esencial de evitar el deterioro del control de seguridad y diseñar estrategias de defensa en profundidad y con privilegios mínimos.

Vínculos relacionados

Para obtener más información, consulte estos artículos:

• Introducción a Azure Monitor e integración con herramienta SIEM de terceros
• Recopilación de registros y métricas de plataforma con Azure Monitor
• Exportación de alertas
• Descripción de la recopilación de datos de Azure Security Center

Vuelva al artículo principal: Supervisión