Operaciones de seguridad en Azure
Es responsabilidad del equipo de operaciones de seguridad (también conocido como centro de operaciones de seguridad [SOC] o SecOps) detectar rápidamente los posibles ataques, clasificarlos por orden de prioridad y evaluar las prioridades. Estas operaciones ayudan a eliminar los falsos positivos y a centrarse en los ataques verdaderos, lo que reduce el tiempo medio para corregir los incidentes reales. El equipo de SecOps central supervisa los datos de telemetría relacionados con la seguridad e investiga las infracciones. Es importante que todas las actividades de comunicación, investigación y búsqueda estén alineadas con el equipo de la aplicación.
Estos son algunos procedimientos recomendados generales para llevar a cabo operaciones de seguridad:
Como parte de las operaciones, siga las funciones del Marco de ciberseguridad del NIST.
- Detectar la presencia de adversarios en el sistema.
- Responder mediante la investigación rápida de si se trata de un ataque real o es una falsa alarma.
- Recuperar y restaurar la confidencialidad, la integridad y la disponibilidad de la carga de trabajo durante y después de un ataque.
Para información sobre el marco de trabajo, consulte Marco de ciberseguridad del NIST.
Confirmar una alerta rápidamente. La detección de un adversario no debe pasarse por alto mientras los defensores son falsos positivos.
Reducir el tiempo de corrección de un adversario detectado. Reduzca el tiempo en el que tiene la oportunidad de actuar y atacar y llegar a los sistemas confidenciales.
Clasifique por orden de prioridad las inversiones en seguridad en sistemas que tengan un valor intrínseco alto. Por ejemplo, las cuentas de administrador.
Buscar con antelación adversarios a medida que el sistema evoluciona. Esta tarea reduce el tiempo que un adversario mejor preparado puede operar en el entorno. Por ejemplo, lo suficientemente preparado como para eludir las alertas reactivas.
Para información sobre las métricas que usa el equipo de SOC de Microsoft, consulte Microsoft SOC.
Herramientas
Estas son algunas herramientas de Azure que un equipo de SOC puede usar para investigar y corregir incidentes.
| Herramienta | Propósito |
|---|---|
| Azure Sentinel | Administración de eventos e información de seguridad (SIEM) centralizada para obtener visibilidad sobre los registros en toda la empresa. |
| Azure Security Center | Generación de alertas. Use el cuaderno de estrategias de seguridad en respuesta a una alerta. |
| Azure Monitor | Registros de eventos de aplicaciones y servicios de Azure. |
| Grupo de seguridad de red (NSG) de Azure | Visibilidad sobre las actividades de red. |
| Azure Information Protection | Proteja el correo electrónico, los documentos y los datos confidenciales que comparte fuera de su compañía. |
En las prácticas de investigación se deben usar herramientas nativas con un profundo conocimiento del tipo de recurso, como una solución de detección y respuesta de puntos de conexión (EDR), herramientas de identidad y Azure Sentinel.
Para más información sobre las herramientas de supervisión, consulte Herramientas de supervisión de seguridad en Azure.
Asignación de contactos de notificación de incidentes
Las alertas de seguridad deben llegar a las personas adecuadas de la organización. Establezca un punto de contacto designado para recibir de Microsoft notificaciones de incidentes de Azure o Azure Security Center. En la mayoría de los casos, estas notificaciones indican que el recurso está en peligro o atacando a otro cliente. Estas notificaciones permiten que el equipo de operaciones de seguridad responda rápidamente a posibles riesgos de seguridad y los solucionen.
Estas notificaciones permiten que el equipo de operaciones de seguridad responda rápidamente a posibles riesgos de seguridad y los solucionen.
Asegúrese de que la información de contacto del administrador en el portal de inscripción de Azure incluya la necesaria para notificar las operaciones de seguridad de forma directa o rápida a través de un proceso interno.
Más información
Para más información sobre cómo establecer un punto de contacto designado para recibir notificaciones de incidentes en Azure enviadas por Microsoft, consulte los artículos siguientes:
- Actualización de la configuración de notificación
- Configuración de notificaciones de alertas de seguridad por correo electrónico
Respuesta a los incidentes
¿La organización supervisa eficazmente la posición de seguridad entre cargas de trabajo, con un equipo central de SecOps que supervisa los datos de telemetría relacionados con la seguridad e investiga posibles infracciones de seguridad? Todas las actividades de comunicación, investigación y búsqueda deben estar alineadas con los equipos de la aplicación.
¿Se han definido y probado los procesos operativos para la respuesta a incidentes?
Las acciones ejecutadas durante una investigación de incidentes y respuestas podrían afectar a la disponibilidad o el rendimiento de la aplicación. Defina estos procesos y alinéelos con el equipo de SecOps responsable (y en la mayoría de los casos, central). Se ha de analizar el efecto de dicha investigación en la aplicación.
¿Hay herramientas que ayuden a los encargados de dar respuestas a incidentes a comprender rápidamente la aplicación y los componentes para realizar una investigación?
Los encargados de dar respuesta a los incidentes son parte del equipo central de SecOps y deben comprender la información de seguridad de una aplicación. El cuaderno de estrategias de seguridad de Azure Sentinel puede ayudarle a comprender los conceptos de seguridad y abarca las actividades de investigación más habituales.
Acción sugerida
Considere la posibilidad de usar Azure Defender (Azure Security Center) para supervisar eventos relacionados con la seguridad y recibir alertas automáticamente.
Más información
Incidentes y alertas de seguridad en Azure Security Center
Vista empresarial híbrida
Las herramientas y los procesos de operaciones de seguridad deben diseñarse teniendo en cuenta los ataques a los recursos locales y en la nube. Los atacantes no limitan sus acciones a un entorno determinado cuando persiguen una organización. Atacan a los recursos de cualquier plataforma valiéndose de todos los métodos disponibles. Pueden cambiar entre recursos locales y en la nube mediante la identidad o cualquier otro medio. Esta visión general de la empresa permitirá a los equipos de SecOps detectar los ataques, responder a ellos y recuperarse rápidamente, lo que reduce el riesgo para la organización.
Uso de detecciones y controles nativos
Use detecciones y controles de seguridad de Azure para ver y analizar los registros de eventos en lugar de crear características personalizadas. Los servicios de Azure se actualizan con nuevas características y tienen la capacidad de detectar falsos positivos con una tasa de precisión mayor.
La integración de los registros de los dispositivos de red, e incluso el tráfico sin procesar, le proporcionará mayor visibilidad sobre las posibles amenazas de seguridad que fluyen a través de la conexión.
Para obtener una vista unificada de toda la empresa, inserte los registros recopilados mediante detecciones nativas (como Azure Monitor) en una solución de administración de eventos e información de seguridad (SIEM) centralizada, como Azure Sentinel. Evite el uso de consultas y herramientas de análisis de registros generalizadas. Dentro de Azure Monitor, cree áreas de trabajo de Log Analytics para almacenar los registros. También puede revisar los registros y realizar consultas en los datos de registro. Estas herramientas pueden ofrecer alertas de alta calidad.
Las plataformas de análisis modernas basadas en aprendizaje automático admiten la ingesta de cantidades muy grandes de información y pueden analizar grandes conjuntos de datos con mucha rapidez. Además, estas soluciones se pueden optimizar para reducir de forma significativa las alertas de falsos positivos.
Entre los ejemplos de registros de red que proporcionan visibilidad se incluyen:
- Registros de grupo de seguridad: registros de flujo y registros de diagnóstico
- Registros de Firewall de aplicaciones web
- Pulsaciones de red virtual y sus equivalentes
- Azure Network Watcher
Acciones sugeridas
Integre la información de registro de dispositivos de red en soluciones SIEM avanzadas u otras plataformas de análisis.
Más información
Habilitación de la visibilidad de red mejorada