¿Cómo sé qué punto de referencia o estándar usar?
Microsoft Cloud Security Benchmark (MCSB) es el conjunto canónico de recomendaciones de seguridad y procedimientos recomendados definidos por Microsoft, alineado con marcos de control de cumplimiento comunes, incluidos Marco de control de CIS y NIST SP 800-53 y PCI-DSS. MCSB es un conjunto completo de principios de seguridad independientes de la nube diseñados para recomendar las directrices técnicas más actualizadas para Azure junto con otras nubes, como AWS y GCP. Se recomienda MCSB a los clientes que quieran maximizar su posición de seguridad y alinear su estado de cumplimiento con los estándares del sector.
El punto de referencia CIS está creado por una entidad independiente (Center for Internet Security [CIS]) y contiene recomendaciones sobre un subconjunto de servicios principales de Azure. Trabajamos con CIS para intentar garantizar que sus recomendaciones estén actualizadas con las últimas mejoras de Azure, pero, a veces, se retrasan y pueden quedar obsoletas. Sin embargo, a algunos clientes les gusta usar esta evaluación de terceros objetiva de CIS como línea base de seguridad inicial y principal.
Desde que se ha publicado, muchos clientes han elegido migrar a Microsoft Cloud Security Benchmark como sustituto de los puntos de referencia de CIS.
¿Qué estándares se admiten en el panel de cumplimiento?
De forma predeterminada, el panel de cumplimiento normativo muestra Microsoft Cloud Security Benchmark. El punto de referencia de seguridad en la nube de Microsoft son las directrices autorizadas por Microsoft para la seguridad, y los procedimientos recomendados de cumplimiento basados en marcos de cumplimiento comunes. Puede obtener más información en Introducción a Microsoft Cloud Security Benchmark.
Para hacer un seguimiento del cumplimiento con cualquier otro estándar, deberá agregarlo explícitamente al panel.
Para obtener una lista de los estándares normativos disponibles, consulte ¿Qué estándares de cumplimiento normativo están disponibles en Defender for Cloud?
AWS: cuando se incorporan usuarios, cada cuenta de AWS tiene asignados los procedimientos recomendados de seguridad básicos de AWS. Se trata de las directrices específicas de AWS para los procedimientos recomendados de seguridad y cumplimiento en función de marcos de cumplimiento comunes.
Los usuarios que tienen habilitado un conjunto de productos de Defender pueden habilitar otros estándares.
Para agregar estándares de cumplimiento normativo en cuentas de AWS:
Vaya a Configuración del entorno.
Seleccione la cuenta correspondiente.
Seleccione Estándares.
Seleccione Agregar y elija Estándar.
Elija un estándar en el menú desplegable.
Seleccione Guardar.
Se agregarán más estándares al panel y se incluirán en la información sobre cómo personalizar el conjunto de estándares en el panel de cumplimiento normativo.
¿Por qué algunos controles aparecen atenuados?
Cada estándar de cumplimiento incluido en el panel incluye una lista de los controles del estándar. Para saber qué controles se pueden aplicar, puede ver los detalles de las evaluaciones superadas y no superadas.
Algunos controles aparecen atenuados, no tienen valoraciones de Defender for Cloud asociadas. Algunos pueden estar relacionados con el procedimiento o el proceso y, por lo tanto, no se pueden comprobar mediante Defender for Cloud. Otros todavía no tienen ninguna directiva o evaluación automatizada implementada, pero la tendrán en el futuro. Y otros controles pueden ser responsabilidad de la plataforma, como se explica en Responsabilidad compartida en la nube.
¿Cómo se puede quitar del panel un estándar integrado, como PCI-DSS, ISO 27001 o SOC2 TSP?
Para personalizar el panel de cumplimiento normativo y centrarse solo en los estándares aplicables, puede quitar cualquiera de los estándares normativos incluidos que no sean aplicables para su organización. Para quitar un estándar, siga las instrucciones de Eliminación de un estándar del panel.
He realizado los cambios sugeridos según la recomendación, pero se reflejan en el panel
Después de tomar medidas para resolver las recomendaciones, espere 12 horas para ver los cambios en los datos de cumplimiento. Las evaluaciones se ejecutan aproximadamente cada 12 horas, por lo que este es el tiempo que tardará en verse el efecto en los datos de cumplimiento.
¿Qué permisos necesito para acceder al panel de cumplimiento?
Para acceder a todos los datos de cumplimiento de su inquilino, necesita tener al menos un nivel de permisos de Lector en el ámbito aplicable de su inquilino, o en todas las suscripciones pertinentes.
El conjunto mínimo de roles para acceder al panel y administrar los estándares es Colaborador de la directiva de recursos y Administrador de seguridad.
No se carga el panel de cumplimiento normativo
Para usar el panel de cumplimiento normativo, Defender for Cloud debe habilitarse en el nivel de suscripción. Si el panel no se carga correctamente, pruebe los pasos siguientes:
- Borre la caché del explorador.
- Pruebe con otro explorador.
- Intente abrir el panel desde una ubicación de red distinta.
¿Cómo puedo ver un informe de los controles superados y no superados por estándar en mi panel?
En el panel principal, puede ver un informe de los controles superados y no superados de (1) los 4 principales estándares de cumplimiento con el resultado más bajo en el panel. Para ver todo el estado de todos los controles superados y no superados, seleccione (2) Mostrar todo x (donde x es el número de estándares de los que está realizando el seguimiento). Un plano de contexto muestra el estado de cumplimiento de cada uno de los estándares de los que se realiza el seguimiento.
¿Cómo puedo descargar un informe con datos de cumplimiento en un formato distinto de PDF?
Al seleccionar Descargar Informe, puede seleccionar el estándar y el formato (PDF o CSV). El informe resultante reflejará el conjunto actual de suscripciones que ha seleccionado en el filtro del portal.
- El informe PDF muestra el estado resumido del estándar seleccionado.
- El informe CSV proporciona resultados detallados por recurso, ya que los relaciona con las directivas asociadas a cada control.
Actualmente, no se admite la descarga del informe de una directiva personalizada, solo se pueden descargar los estándares normativos proporcionados.
¿Cómo puedo crear excepciones para algunas de las directivas en el panel de cumplimiento normativo?
Para las recomendaciones de MCSB que se incluyen en la puntuación de seguridad, puede crear exenciones para uno o más recursos directamente en el portal, tal como se explica en Exención de recursos y recomendaciones de la puntuación de seguridad.
En el caso de otras recomendaciones, puede crear una exención directamente en la propia recomendación, siguiendo las instrucciones de Estructura de exención de Azure Policy.
¿Qué planes o licencias de Microsoft Defender necesito para usar el panel de cumplimiento normativo?
Si tiene cualquier de los planes de Microsoft Defender (excepto defender para servidores Plan 1) habilitados en cualquier de los recursos de Azure, puede acceder al panel de cumplimiento normativo de Defender for Cloud y a todos sus datos y características.
Nota:
En el caso de Defender para servidores, obtendrá cumplimiento normativo solo para el plan 2. El plan 1 no incluye el cumplimiento normativo.