¿Qué son las directivas de seguridad, las iniciativas y las recomendaciones?

Microsoft Defender for Cloud aplica iniciativas de seguridad a las suscripciones. Estas iniciativas contienen una o varias directivas de seguridad. Cada una de esas directivas da como resultado una recomendación de seguridad para mejorar la posición de seguridad. En esta página se explica con detalle cada una de estas ideas.

¿Qué es una directiva de seguridad?

Una definición de Azure Policy, creada en Azure Policy, es una regla sobre condiciones de seguridad específicas que quiere controlar. Las definiciones integradas incluyen elementos como el control del tipo de recursos que se pueden implementar o la aplicación del uso de etiquetas en todos los recursos. También puede crear su propia definición de directiva personalizada.

Para implementar estas definiciones de directiva (tanto integradas como personalizadas), será preciso asignarlas. Puede asignar cualquiera de estas directivas a través de Azure Portal, PowerShell o la CLI de Azure. Las directivas se pueden habilitar o deshabilitar desde Azure Policy.

Hay diferentes tipos de directivas en Azure Policy. Defender for Cloud utiliza principalmente directivas de "auditoría" que comprueban condiciones y configuraciones específicas y, luego, notifican el cumplimiento. También hay directivas de "aplicación" que se pueden usar para aplicar una configuración segura.

¿Qué es una iniciativa de seguridad?

Una iniciativa de seguridad es una colección de definiciones de directivas de Azure, o reglas, agrupadas para satisfacer un objetivo o propósito concreto. Las iniciativas de seguridad simplifican la administración de las directivas al agrupar conjuntos de directivas, de manera lógica, en un único elemento.

Una iniciativa de seguridad define la configuración deseada de las cargas de trabajo y le ayuda a garantizar el cumplimiento de los requisitos de seguridad normativos o corporativos.

Al igual que las directivas de seguridad, las iniciativas de Defender for Cloud también se crean en Azure Policy. Puede usar Azure Policy para administrar las directivas y crear iniciativas y asignarlas a varias suscripciones o a grupos de administración completos.

La iniciativa predeterminada asignada automáticamente a todas las suscripciones en Microsoft Defender for Cloud es Azure Security Benchmark. Este punto de referencia es el conjunto de directrices específico de Azure y creado por Microsoft relativo a los procedimientos recomendados de seguridad y cumplimiento basados en marcos de cumplimiento comunes. Esta prueba comparativa, que cuenta con amplísimo respaldo, se basa en los controles del Centro de seguridad de Internet (CIS) y del Instituto Nacional de Normas y Tecnología (NIST), con un enfoque en seguridad centrada en la nube. Mas información sobre Azure Security Benchmark.

Defender for Cloud le ofrece las siguientes opciones para trabajar con iniciativas y directivas de seguridad:

  • Ver y editar la iniciativa predeterminada integrada: al habilitar Defender for Cloud, la iniciativa denominada "Azure Security Benchmark" se asigna automáticamente a todas las suscripciones registradas de Defender for Cloud. Para personalizar esta iniciativa, puede habilitar o deshabilitar directivas individuales en ella mediante la edición de los parámetros de una directiva. Consulte la lista de directivas de seguridad integradas para comprender las opciones disponibles.

  • Agregar sus propias directivas personalizadas: si quiere personalizar las iniciativas de seguridad que se aplican a su suscripción, puede hacerlo en Defender for Cloud. A continuación, recibirá recomendaciones si las máquinas no siguen las directivas que creó. Para instrucciones sobre la creación y asignación de directivas personalizadas, consulte Uso de iniciativas y directivas de seguridad personalizadas.

  • Agregar estándares de cumplimiento normativo como iniciativas: el panel de cumplimiento normativo de Defender for Cloud muestra el estado de todas las evaluaciones del entorno, en el contexto de una normativa o estándar determinado (por ejemplo, Azure CIS, NIST SP 800-53 R4 o SWIFT CSP CSCF-v2020). Para obtener más información, consulte Mejora del cumplimiento normativo.

¿Qué es una recomendación de seguridad?

Mediante las directivas, Defender for Cloud analiza periódicamente el estado de cumplimiento de los recursos para identificar posibles debilidades o errores de configuración de seguridad. Luego, proporciona recomendaciones sobre cómo corregir esos problemas. Las recomendaciones son el resultado de la evaluación de los recursos con respecto a las directivas pertinentes y la identificación de los recursos que no cumplen los requisitos definidos.

Defender for Cloud realiza sus recomendaciones de seguridad en función de las iniciativas elegidas. Cuando una directiva de una iniciativa se compara con los recursos y se encuentra que uno o varios no se ajustan al cumplimiento normativo, se presenta como una recomendación en Defender for Cloud.

Las recomendaciones son acciones que se deben llevar a cabo para proteger y consolidar los recursos. Cada recomendación proporciona la siguiente información:

  • Descripción breve del problema
  • Pasos de corrección que se deben llevar a cabo para implementar la recomendación.
  • Recursos afectados.

En la práctica, funciona de la siguiente manera:

  1. Azure Security Benchmark es una iniciativa que contiene requisitos.

    Por ejemplo, las cuentas de Azure Storage deben restringir el acceso a la red para reducir su superficie expuesta de ataques.

  2. La iniciativa incluye varias directivas, cada una con un requisito de un tipo de recurso específico. Estas directivas aplican los requisitos en la iniciativa.

    Para seguir con el ejemplo, el requisito de almacenamiento se aplica con la directiva "Las cuentas de almacenamiento deben restringir el acceso a la red mediante el uso de reglas de red virtual".

  3. Microsoft Defender for Cloud evalúa constantemente las suscripciones conectadas. Si detecta un recurso que no cumple una directiva, muestra una recomendación para corregir esa situación y reforzar la seguridad de los recursos que no cumplan los requisitos de seguridad.

    Por ejemplo, si una cuenta de Azure Storage de alguna de sus suscripciones protegidas no está protegida con reglas de red virtual, aparecerá la recomendación para endurecer la seguridad de esos recursos.

Por lo tanto, (1) una iniciativa incluye (2) directivas que generan (3) recomendaciones específicas del entorno.

Detalles de la recomendación de seguridad

Las recomendaciones de seguridad contienen detalles que ayudan a comprender su importancia y cómo abordar la seguridad.

Captura de pantalla de los detalles de la recomendación con etiquetas para cada elemento.

Los detalles de la recomendación que se muestran son:

  1. En el caso de las recomendaciones admitidas, en la barra de navegación superior se muestran algunos o todos los botones siguientes:

  2. Indicador de gravedad

  3. Intervalo de actualización

  4. Recuento de recursos exentos: si existen exenciones para una recomendación, se muestra el número de recursos exentos con un vínculo para ver los recursos específicos.

  5. Asignación a tácticas y técnicas de MITRE ATT&CK ® si una recomendación ha definido tácticas y técnicas, seleccione el icono de vínculos a las páginas pertinentes en el sitio de MITRE. Esto solo se aplica a las recomendaciones con puntuación de Azure.

    Captura de pantalla de la asignación de tácticas de MITRE para una recomendación.

  6. Descripción: breve descripción del problema de seguridad.

  7. Si procede, la página de detalles también incluye una tabla de recomendaciones relacionadas:

    Los tipos de relaciones son:

    • Requisito previo: una recomendación que debe aplicarse antes de la recomendación seleccionada.
    • Alternativa: otra recomendación, que proporciona otra manera de lograr los objetivos de la recomendación seleccionada.
    • Dependiente: una recomendación para la cual la recomendación seleccionada es un requisito previo.

    Para cada recomendación relacionada, el número de recursos incorrectos se muestra en la columna "Recursos afectados".

    Sugerencia

    Si una recomendación relacionada está atenuada, su dependencia aún no se ha completado y, por tanto, no está disponible.

  8. Pasos de corrección: una descripción de los pasos manuales necesarios para corregir el problema de seguridad en los recursos afectados Para encontrar recomendaciones con la opción Corregir, puede seleccionar Ver lógica de corrección antes de aplicar la corrección sugerida a los recursos.

  9. Recursos afectados: los recursos se agrupan en pestañas:

    • Recursos con estado correcto: recursos relevantes, que no se ven afectados o en los que ya se ha solucionado el problema.
    • Recursos con estado incorrecto: recursos que aún se ven afectados por el problema identificado.
    • Recursos no aplicables: recursos para los que la recomendación no puede dar una respuesta definitiva. La pestaña no aplicable también incluye las razones de cada recurso.

    Captura de pantalla de los recursos para los cuales la recomendación no proporciona una respuesta definitiva.

  10. Botones de acción para corregir la recomendación o desencadenar una aplicación lógica.

Visualización de la relación entre una recomendación y una directiva

Como se mencionó anteriormente, las recomendaciones integradas de Defender for Cloud se basan en Azure Security Benchmark. Casi todas las recomendaciones tienen una directiva subyacente derivada de un requisito en la prueba comparativa.

Cuando se revisan los detalles de una recomendación, a menudo resulta útil poder ver la directiva subyacente. Para cada recomendación compatible con una directiva, use el vínculo View policy definition (Ver definición de directiva) de la página de detalles de la recomendación para ir directamente a la entrada Azure Policy de la directiva pertinente:

Vínculo a la página de Azure Policy de la directiva específica que admite una recomendación.

Use este vínculo para ver la definición de directiva y revisar la lógica de evaluación.

Si va a revisar la lista de recomendaciones de la guía de referencia de recomendaciones de seguridad, también verá vínculos a las páginas de definición de directiva:

Acceso a la página de Azure Policy de una directiva específica directamente desde la página de referencia de recomendaciones de Microsoft Defender for Cloud

Pasos siguientes

En esta página se explica, en líneas generales, los conceptos básicos y las relaciones entre las directivas, las iniciativas y las recomendaciones. Para obtener información relacionada, consulte: