Definiciones integradas de Azure Policy para Azure Resource Manager
Esta página es un índice de las definiciones de directivas integradas de Azure Policy en Azure Resource Manager. Puede encontrar elementos integrados adicionales de Azure Policy para otros servicios en Definiciones de elementos integrados de Azure Policy.
El nombre de cada definición de directiva integrada se vincula a la definición de directiva en Azure Portal. Use el vínculo de la columna Versión para ver el origen en el repositorio de GitHub de Azure Policy.
Azure Resource Manager
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Debe designar un máximo de tres propietarios para la suscripción | Se recomienda que designe a un máximo de tres propietarios de suscripción para reducir el riesgo de una brecha de seguridad por parte de un propietario en peligro. | AuditIfNotExists, Disabled | 3.0.0 |
| Deben estar habilitadas para MFA las cuentas con permisos de propietario de los recursos de Azure. | Multi-Factor Authentication (MFA) debe estar habilitada para todas las cuentas de la suscripción que tengan permisos de propietario, a fin de evitar una brecha de seguridad en las cuentas o los recursos. | AuditIfNotExists, Disabled | 1.0.0 |
| Deben estar habilitadas para MFA las cuentas con permisos de lectura de los recursos de Azure. | Multi-Factor Authentication (MFA) debe estar habilitada para todas las cuentas de la suscripción que tengan permisos de lectura, a fin de evitar una brecha de seguridad en las cuentas o los recursos. | AuditIfNotExists, Disabled | 1.0.0 |
| Deben estar habilitadas para MFA las cuentas con permisos de escritura de los recursos de Azure. | Multi-Factor Authentication (MFA) debe estar habilitada para todas las cuentas de la suscripción que tengan permisos de escritura, a fin de evitar una brecha de seguridad en las cuentas o los recursos. | AuditIfNotExists, Disabled | 1.0.0 |
| El registro de actividad debe conservarse durante al menos un año | Esta directiva audita el registro de actividad si la retención no se estableció en 365 días o en siempre (días de retención establecidos en 0). | AuditIfNotExists, Disabled | 1.0.0 |
| Agregar una etiqueta a los grupos de recursos | Agrega la etiqueta y el valor especificados cuando se crea o se actualiza un grupo de recursos que no tiene esta etiqueta. Los grupos de recursos existentes se pueden corregir con una tarea de corrección. Si la etiqueta existe con un valor diferente, no se cambiará. | modify | 1.0.0 |
| Agregar una etiqueta a las suscripciones | Agrega la etiqueta y el valor especificados a las suscripciones mediante una tarea de corrección. Si la etiqueta existe con un valor diferente, no se cambiará. Vea https://aka.ms/azurepolicyremediation para obtener más información sobre la corrección de directivas. | modify | 1.0.0 |
| Agregar o reemplazar una etiqueta en los grupos de recursos | Agrega o reemplaza la etiqueta y el valor especificados cuando se crea o se actualiza cualquier grupo de recursos. Los grupos de recursos existentes se pueden corregir con una tarea de corrección. | modify | 1.0.0 |
| Agregar o reemplazar una etiqueta en las suscripciones | Agrega o reemplaza la etiqueta y el valor especificados a las suscripciones mediante una tarea de corrección. Los grupos de recursos existentes se pueden corregir con una tarea de corrección. Vea https://aka.ms/azurepolicyremediation para obtener más información sobre la corrección de directivas. | modify | 1.0.0 |
| Ubicaciones permitidas para grupos de recursos | Esta directiva permite restringir las ubicaciones en las que la organización puede crear grupos de recursos. Úsela para aplicar los requisitos de cumplimiento de replicación geográfica. | deny | 1.0.0 |
| Debe existir una alerta de registro de actividad para operaciones administrativas específicas | Esta directiva audita operaciones administrativas específicas sin alertas de registro de actividad configuradas. | AuditIfNotExists, Disabled | 1.0.0 |
| Debe existir una alerta de registro de actividad para las operaciones específicas de la directiva | Esta directiva audita las operaciones específicas de la directiva sin alertas de registro de actividad configuradas. | AuditIfNotExists, Disabled | 3.0.0 |
| Debe existir una alerta de registro de actividad para las operaciones específicas de seguridad | Esta directiva audita las operaciones específicas de seguridad sin alertas de registro de actividad configuradas. | AuditIfNotExists, Disabled | 1.0.0 |
| Anexar una etiqueta y su valor a los grupos de recursos | Anexa la etiqueta y el valor especificados cuando se crea o se actualiza un grupo de recursos que no tiene esta etiqueta. Solo modifica las etiquetas de los grupos de recursos creados antes de que se aplicase esta directiva cuando se cambian esos grupos de recursos. Hay disponibles nuevas directivas de efecto "modify" que admiten la corrección de etiquetas en recursos existentes (consulte https://aka.ms/modifydoc). | append | 1.0.0 |
| Auditoría de máquinas virtuales sin la recuperación ante desastres configurada | Audita las máquinas virtuales que no tienen configurada la recuperación ante desastres. Para más información acerca de la recuperación ante desastres, visite https://aka.ms/asr-doc. | auditIfNotExists | 1.0.0 |
| El aprovisionamiento automático del agente de Log Analytics debe estar habilitado en la suscripción | A fin de supervisar las amenazas y vulnerabilidades de seguridad, Azure Security Center recopila datos de las máquinas virtuales de Azure. El agente de Log Analytics, anteriormente conocido como Microsoft Monitoring Agent (MMA), recopila los datos al leer distintas configuraciones relacionadas con la seguridad y distintos registros de eventos de la máquina y copiar los datos en el área de trabajo de Log Analytics para analizarlos. Se recomienda habilitar el aprovisionamiento automático para implementar automáticamente el agente en todas las máquinas virtuales de Azure admitidas y en las nuevas que se creen. | AuditIfNotExists, Disabled | 1.0.1 |
| Se debe habilitar Azure Defender para App Service | Azure Defender para App Service aprovecha la escalabilidad de la nube, y la visibilidad que ofrece Azure como proveedor de servicios en la nube, para supervisar si se producen ataques comunes a aplicaciones web. | AuditIfNotExists, Disabled | 1.0.3 |
| Se debe habilitar Azure Defender para servidores de Azure SQL Database | Azure Defender para SQL proporciona funcionalidad para mostrar y mitigar posibles vulnerabilidades de base de datos, detectar actividades anómalas que podrían indicar amenazas para bases de datos SQL, y detectar y clasificar datos confidenciales. | AuditIfNotExists, Disabled | 1.0.2 |
| Se debe habilitar Azure Defender para Key Vault | Azure Defender para Key Vault proporciona un nivel de protección adicional de inteligencia de seguridad, ya que detecta intentos inusuales y potencialmente dañinos de obtener acceso a las cuentas de Key Vault o aprovechar sus vulnerabilidades de seguridad. | AuditIfNotExists, Disabled | 1.0.3 |
| Se debe habilitar Azure Defender para bases de datos relacionales de código abierto. | Azure Defender para bases de datos relacionales de código abierto detecta actividades anómalas que indican intentos poco habituales y posiblemente dañinos de acceder a sus bases de datos o de aprovechar sus vulnerabilidades. Obtenga más información sobre las funcionalidades de Azure Defender para bases de datos relacionales de código abierto en https://aka.ms/AzDforOpenSourceDBsDocu. Importante: La habilitación de este plan dará lugar a cargos por la protección de las bases de datos relacionales de código abierto. Obtenga información sobre los precios en la página de precios de Security Center: https://aka.ms/pricing-security-center. | AuditIfNotExists, Disabled | 1.0.0 |
| Se debe habilitar Azure Defender para Resource Manager | Azure Defender para Resource Manager supervisa automáticamente las operaciones de administración de recursos de la organización. Azure Defender detecta amenazas y alerta sobre actividades sospechosas. Obtenga más información sobre las funcionalidades de Azure Defender para Resource Manager en https://aka.ms/defender-for-resource-manager. La habilitación de este plan de Azure Defender conlleva cargos. Obtenga información sobre los detalles de los precios por región en la página de precios de Security Center: https://aka.ms/pricing-security-center. | AuditIfNotExists, Disabled | 1.0.0 |
| Se debe habilitar Azure Defender para servidores | Azure Defender para servidores proporciona protección en tiempo real contra amenazas para las cargas de trabajo del servidor y genera recomendaciones de protección, así como alertas sobre la actividad sospechosa. | AuditIfNotExists, Disabled | 1.0.3 |
| Se debe habilitar Azure Defender para servidores SQL Server en las máquinas | Azure Defender para SQL proporciona funcionalidad para mostrar y mitigar posibles vulnerabilidades de base de datos, detectar actividades anómalas que podrían indicar amenazas para bases de datos SQL, y detectar y clasificar datos confidenciales. | AuditIfNotExists, Disabled | 1.0.2 |
| El perfil de registro de Azure Monitor debe recopilar los registros de las categorías "write", "delete" y "action" | Esta directiva garantiza que un perfil de registro recopile registros para las categorías "write", "delete" y "action". | AuditIfNotExists, Disabled | 1.0.0 |
| Azure Monitor debe recopilar los registros de actividad de todas las regiones | Esta directiva audita el perfil de registro de Azure Monitor que no exporta actividades de todas las regiones admitidas de Azure, incluida la global. | AuditIfNotExists, Disabled | 2.0.0 |
| Se debe implementar la solución "Security and Audit" de Azure Monitor | Esta directiva garantiza que se implementa Security and Audit. | AuditIfNotExists, Disabled | 1.0.0 |
| Las suscripciones a Azure deben tener un perfil de registro para el registro de actividad | Esta directiva garantiza que un perfil de registro esté habilitado para la exportación de registros de actividad. Audita si no hay ningún perfil de registro creado para exportar los registros a una cuenta de almacenamiento o a un centro de eventos. | AuditIfNotExists, Disabled | 1.0.0 |
| Deben quitarse las cuentas bloqueadas con permisos de propietario de los recursos de Azure. | Quitar de la suscripción las cuentas en desuso con permisos de propietario Las cuentas en desuso son cuentas en las que se ha bloqueado el inicio de sesión. | AuditIfNotExists, Disabled | 1.0.0 |
| Deben quitarse las cuentas bloqueadas con permisos de lectura y escritura de los recursos de Azure. | Convendría eliminar las cuentas en desuso de las suscripciones. Las cuentas en desuso son cuentas en las que se ha bloqueado el inicio de sesión. | AuditIfNotExists, Disabled | 1.0.0 |
| Configurar registros de actividad de Azure para transmitirlos al área de trabajo especificada de Log Analytics | Implementa la configuración de diagnóstico de actividad de Azure para hacer streaming en los registros de auditoría de suscripciones de suscripción a un área de trabajo de Log Analytics para supervisar los eventos en el nivel de suscripción. | DeployIfNotExists, Disabled | 1.0.0 |
| Configuración para habilitar Azure Defender para App Service | Azure Defender para App Service aprovecha la escalabilidad de la nube, y la visibilidad que ofrece Azure como proveedor de servicios en la nube, para supervisar si se producen ataques comunes a aplicaciones web. | DeployIfNotExists, Disabled | 1.0.1 |
| Configuración para habilitar Azure Defender para una base de datos de Azure SQL | Azure Defender para SQL proporciona funcionalidad para mostrar y mitigar posibles vulnerabilidades de base de datos, detectar actividades anómalas que podrían indicar amenazas para bases de datos SQL, y detectar y clasificar datos confidenciales. | DeployIfNotExists, Disabled | 1.0.1 |
| La configuración de Azure Defender para las bases de datos relacionales de código abierto debería estar habilitada | Azure Defender para bases de datos relacionales de código abierto detecta actividades anómalas que indican intentos poco habituales y posiblemente dañinos de acceder a sus bases de datos o de aprovechar sus vulnerabilidades. Obtenga más información sobre las funcionalidades de Azure Defender para bases de datos relacionales de código abierto en https://aka.ms/AzDforOpenSourceDBsDocu. Importante: La habilitación de este plan dará lugar a cargos por la protección de las bases de datos relacionales de código abierto. Obtenga información sobre los precios en la página de precios de Security Center: https://aka.ms/pricing-security-center. | DeployIfNotExists, Disabled | 1.0.0 |
| Configuración para habilitar Azure Defender para Resource Manager | Azure Defender para Resource Manager supervisa automáticamente las operaciones de administración de recursos de la organización. Azure Defender detecta amenazas y alerta sobre actividades sospechosas. Obtenga más información sobre las funcionalidades de Azure Defender para Resource Manager en https://aka.ms/defender-for-resource-manager. La habilitación de este plan de Azure Defender conlleva cargos. Obtenga información sobre los detalles de los precios por región en la página de precios de Security Center: https://aka.ms/pricing-security-center. | DeployIfNotExists, Disabled | 1.1.0 |
| Configuración para habilitar Azure Defender para servidores | Azure Defender para servidores proporciona protección en tiempo real contra amenazas para las cargas de trabajo del servidor y genera recomendaciones de protección, así como alertas sobre la actividad sospechosa. | DeployIfNotExists, Disabled | 1.0.1 |
| Configuración para habilitar Azure Defender para servidores SQL en máquinas | Azure Defender para SQL proporciona funcionalidad para mostrar y mitigar posibles vulnerabilidades de base de datos, detectar actividades anómalas que podrían indicar amenazas para bases de datos SQL, y detectar y clasificar datos confidenciales. | DeployIfNotExists, Disabled | 1.0.1 |
| Configuración básica de Microsoft Defender para Storage para que esté habilitado (solo Supervisión de actividad) | Microsoft Defender para Storage es una capa de inteligencia de seguridad nativa de Azure que detecta posibles amenazas a sus cuentas de almacenamiento. Esta directiva habilitará las funcionalidades básicas de Defender para Storage (Supervisión de actividad). Para habilitar la protección completa, que también incluye el escaneo de malware al cargar y la detección de amenazas de datos confidenciales, use la directiva de habilitación completa: aka.ms/DefenderForStoragePolicy. Para más información sobre las funcionalidades y ventajas de Defender para Storage, visite aka.ms/DefenderForStorage. | DeployIfNotExists, Disabled | 1.1.0 |
| Configuración de la recuperación ante desastres en máquinas virtuales habilitando la replicación mediante Azure Site Recovery | Las máquinas virtuales sin configuraciones de recuperación ante desastres pueden verse afectadas por interrupciones. Si la máquina virtual aún no tiene configurada la recuperación ante desastres, esta se iniciará al habilitar la replicación mediante configuraciones predeterminadas para facilitar la continuidad empresarial. Opcionalmente, puede incluir o excluir máquinas virtuales que contengan una etiqueta especificada para controlar el ámbito de la asignación. Para más información acerca de la recuperación ante desastres, visite https://aka.ms/asr-doc. | DeployIfNotExists, Disabled | 2.1.0 |
| Configuración del área de trabajo de Log Analytics y la cuenta de Automation para centralizar los registros y la supervisión | Implemente un grupo de recursos que contenga el área de trabajo de Log Analytics y la cuenta de automatización vinculada para centralizar los registros y la supervisión. La cuenta de Automation es un requisito previo para soluciones como Actualizaciones y Change Tracking. | DeployIfNotExists, AuditIfNotExists, Disabled | 2.0.0 |
| Configuración del plan Microsoft Defender CSPM | La administración de la posición de seguridad en la nube (CSPM) de Defender proporciona funcionalidades de posición mejoradas y un nuevo gráfico de seguridad en la nube inteligente para ayudar a identificar, priorizar y reducir el riesgo. Defender CSPM está disponible junto con las capacidades gratuitas de posición de seguridad de base activadas de manera predeterminada en Defender for Cloud. | DeployIfNotExists, Disabled | 1.0.0 |
| Configuración de Microsoft Defender CSPM que se va a habilitar | La administración de la posición de seguridad en la nube (CSPM) de Defender proporciona funcionalidades de posición mejoradas y un nuevo gráfico de seguridad en la nube inteligente para ayudar a identificar, priorizar y reducir el riesgo. Defender CSPM está disponible junto con las capacidades gratuitas de posición de seguridad de base activadas de manera predeterminada en Defender for Cloud. | DeployIfNotExists, Disabled | 1.0.2 |
| Configuración de Microsoft Defender para Azure Cosmos DB para habilitarlo | Microsoft Defender para Azure Cosmos DB es una capa de seguridad nativa de Azure que detecta intentos de aprovechar una vulnerabilidad de seguridad de las bases de datos de las cuentas de Azure Cosmos DB. Defender para Azure Cosmos DB detecta posibles ataques por inyección de código SQL, actores malintencionados conocidos basados en Inteligencia sobre amenazas de Microsoft, patrones de acceso sospechosos y posibles vulnerabilidades de seguridad de la base de datos mediante identidades en peligro o usuarios malintencionados. | DeployIfNotExists, Disabled | 1.0.0 |
| Configuración del plan de Microsoft Defender para contenedores | Continuamente se agregan nuevas funcionalidades al plan de Defender para contenedores, lo que puede requerir la habilitación explícita del usuario. Use esta directiva para asegurarse de que se habilitarán todas las nuevas funcionalidades. | DeployIfNotExists, Disabled | 1.0.0 |
| La configuración de Microsoft Defender para contenedores debería estar habilitada | Microsoft Defender para contenedores proporciona protección, evaluación de vulnerabilidades y protecciones en tiempo de ejecución para los entornos de Kubernetes de Azure, híbridos y multinube. | DeployIfNotExists, Disabled | 1.0.1 |
| Configuración de las opciones de integración de Microsoft Defender para punto de conexión con Microsoft Defender for Cloud (WDATP_EXCLUDE_LINUX...) | Configura las opciones de integración de Microsoft Defender para punto de conexión, en Microsoft Defender for Cloud (también conocido como WDATP_EXCLUDE_LINUX_...), para habilitar el aprovisionamiento automático de MDE para servidores Linux. La configuración de WDATP debe estar activada para que se aplique esta configuración. Consulte https://learn.microsoft.com/azure/defender-for-cloud/integration-defender-for-endpoint para más información. | DeployIfNotExists, Disabled | 1.0.0 |
| Configuración de la integración de Microsoft Defender para punto de conexión con Microsoft Defender for Cloud (WDATP_UNIFIED_SOLUTION) | Configura las opciones de integración de Microsoft Defender para punto de conexión, en Microsoft Defender for Cloud (también conocida como WDATP_UNIFIED_SOLUTION), para habilitar el aprovisionamiento automático del Agente unificado de MDE para Windows Server 2012R2 y 2016. La configuración de WDATP debe estar activada para que se aplique esta configuración. Consulte https://learn.microsoft.com/azure/defender-for-cloud/integration-defender-for-endpoint para más información. | DeployIfNotExists, Disabled | 1.0.0 |
| Configuración de la integración de Microsoft Defender para punto de conexión con Microsoft Defender for Cloud (WDATP) | Configura las opciones de integración de Microsoft Defender para punto de conexión, dentro de Microsoft Defender for Cloud (también conocido como WDATP), para las máquinas de nivel inferior de Windows incorporadas a MDE a través de MMA y el aprovisionamiento automático de MDE en Windows Server 2019, Windows Virtual Desktop y versiones posteriores. Debe estar activada para que funcione la otra configuración (WDATP_UNIFIED, etc.). Consulte https://learn.microsoft.com/azure/defender-for-cloud/integration-defender-for-endpoint para más información. | DeployIfNotExists, Disabled | 1.0.0 |
| Configuración del plan de Microsoft Defender para Key Vault | Microsoft Defender para Key Vault proporciona un nivel adicional de protección y de inteligencia de seguridad, con la detección de intentos inusuales y potencialmente dañinos de obtener acceso a las cuentas de Key Vault o aprovechar sus vulnerabilidades de seguridad. | DeployIfNotExists, Disabled | 1.1.0 |
| Configuración del plan de Microsoft Defender para servidores | Continuamente se agregan nuevas funcionalidades al plan de Defender para servidores, lo que puede requerir la habilitación explícita del usuario. Use esta directiva para asegurarse de que se habilitarán todas las nuevas funcionalidades. | DeployIfNotExists, Disabled | 1.0.0 |
| Configuración de Microsoft Defender para Storage (Clásico) para que esté habilitado | Microsoft Defender para Storage (Clásico) proporciona detecciones de intentos inusuales y potencialmente dañinos para acceder a las cuentas de almacenamiento o aprovechar alguna vulnerabilidad de seguridad. | DeployIfNotExists, Disabled | 1.0.2 |
| Configuración de Microsoft Defender para Storage para que esté habilitado | Microsoft Defender para Storage es una capa de inteligencia de seguridad nativa de Azure que detecta posibles amenazas a sus cuentas de almacenamiento. Esta directiva habilitará todas las funcionalidades de Defender para Storage: supervisión de actividad, detección de malware y detección de amenazas de datos confidenciales. Para más información sobre las funcionalidades y ventajas de Defender para Storage, visite aka.ms/DefenderForStorage. | DeployIfNotExists, Disabled | 1.3.0 |
| Configuración de suscripciones para configurar características en versión preliminar | Esta directiva evalúa las características en versión preliminar de la suscripción existente. Las suscripciones se pueden corregir para registrarse en una nueva característica en versión preliminar. Las nuevas suscripciones no se registrarán automáticamente. | AuditIfNotExists, DeployIfNotExists, Disabled | 1.0.1 |
| Implementación: configuración de reglas de eliminación de alertas de Azure Security Center | Elimine las alertas de Azure Security Center para reducir la fatiga que estas ocasionan, mediante la implementación de reglas de eliminación en el grupo de administración o la suscripción. | deployIfNotExists | 1.0.0 |
| Implementación de la exportación al centro de eventos como un servicio de confianza para los datos de Microsoft Defender for Cloud | Habilite la exportación al centro de eventos como un servicio de confianza para los datos de Microsoft Defender for Cloud. Esta directiva implementa la exportación al centro de eventos como parte de la configuración de servicio de confianza con sus condiciones y centro de eventos de destino en el ámbito asignado. Para implementar esta directiva en las suscripciones recién creadas, abra la pestaña Compatibilidad, seleccione la asignación no conforme pertinente y cree una tarea de corrección. | DeployIfNotExists, Disabled | 1.0.0 |
| Implementar la exportación al centro de eventos para los datos de Microsoft Defender for Cloud | Habilite la exportación al centro de eventos de los datos de Microsoft Defender for Cloud. Esta directiva implementa una exportación a la configuración del centro de eventos con sus condiciones y centro de eventos de destino en el ámbito asignado. Para implementar esta directiva en las suscripciones recién creadas, abra la pestaña Compatibilidad, seleccione la asignación no conforme pertinente y cree una tarea de corrección. | deployIfNotExists | 4.2.0 |
| Implementar la exportación al área de trabajo de Log Analytics para los datos de Microsoft Defender for Cloud | Habilite la exportación al área de trabajo de Log Analytics de los datos de Microsoft Defender for Cloud. Esta directiva implementa una exportación a la configuración del área de trabajo de Log Analytics con sus condiciones y área de trabajo de destino en el ámbito asignado. Para implementar esta directiva en las suscripciones recién creadas, abra la pestaña Compatibilidad, seleccione la asignación no conforme pertinente y cree una tarea de corrección. | deployIfNotExists | 4.1.0 |
| Implementación de la automatización de flujos de trabajo para alertas de Microsoft Defender for Cloud | Habilite la automatización de las alertas de Microsoft Defender for Cloud. Esta directiva implementa una automatización de flujos de trabajo con sus condiciones y desencadenadores en el ámbito asignado. Para implementar esta directiva en las suscripciones recién creadas, abra la pestaña Compatibilidad, seleccione la asignación no conforme pertinente y cree una tarea de corrección. | deployIfNotExists | 5.0.1 |
| Implementación de la automatización de flujos de trabajo para recomendaciones de Microsoft Defender for Cloud | Habilite la automatización de las recomendaciones de Microsoft Defender for Cloud. Esta directiva implementa una automatización de flujos de trabajo con sus condiciones y desencadenadores en el ámbito asignado. Para implementar esta directiva en las suscripciones recién creadas, abra la pestaña Compatibilidad, seleccione la asignación no conforme pertinente y cree una tarea de corrección. | deployIfNotExists | 5.0.1 |
| Implementación de la automatización de flujos de trabajo para el cumplimiento normativo de Microsoft Defender for Cloud | Habilite la automatización del cumplimiento normativo de Microsoft Defender for Cloud. Esta directiva implementa una automatización de flujos de trabajo con sus condiciones y desencadenadores en el ámbito asignado. Para implementar esta directiva en las suscripciones recién creadas, abra la pestaña Compatibilidad, seleccione la asignación no conforme pertinente y cree una tarea de corrección. | deployIfNotExists | 5.0.1 |
| La opción para enviar notificaciones por correo electrónico para alertas de gravedad alta debe estar habilitada. | Para asegurarse de que las personas pertinentes de la organización reciban una notificación cuando se produzca una vulneración de seguridad potencial en una de las suscripciones, habilite las notificaciones por correo electrónico de alertas de gravedad alta en Security Center. | AuditIfNotExists, Disabled | 1.2.0 |
| La opción para enviar notificaciones por correo electrónico al propietario de la suscripción en relación a alertas de gravedad alta debe estar habilitada. | Para asegurarse de que los propietarios de suscripciones reciban una notificación cuando se produzca una vulneración de seguridad potencial en sus suscripciones, establezca notificaciones por correo electrónico a los propietarios de las suscripciones de alertas de gravedad alta en Security Center. | AuditIfNotExists, Disabled | 2.1.0 |
| Habilitación de los planes de Microsoft Defender for Cloud en la suscripción | Identifica las suscripciones existentes que Microsoft Defender for Cloud no supervisa y las protege con las características gratuitas de Defender for Cloud. Las suscripciones ya supervisadas se considerarán compatibles. Para registrar las suscripciones recién creadas, abra la pestaña Cumplimiento, seleccione la asignación no compatible pertinente y cree una tarea de corrección. | deployIfNotExists | 1.0.1 |
| Habilite el aprovisionamiento automático de Security Center del agente de Log Analytics en sus suscripciones con un área de trabajo personalizada. | Permite a Security Center aprovisionar automáticamente el agente de Log Analytics en sus suscripciones para supervisar y recopilar datos de seguridad mediante un área de trabajo personalizada. | DeployIfNotExists, Disabled | 1.0.0 |
| Habilite el aprovisionamiento automático de Security Center del agente de Log Analytics en sus suscripciones con el área de trabajo predeterminada. | Permite a Security Center aprovisionar automáticamente el agente de Log Analytics en sus suscripciones para supervisar y recopilar datos de seguridad mediante el área de trabajo predeterminada de ASC. | DeployIfNotExists, Disabled | 1.0.0 |
| Excluir recursos de costos de uso | Esta directiva le permite excluir los recursos de costos de uso. Los costos de uso incluyen elementos como el almacenamiento medido y los recursos de Azure que se facturan en función del uso. | Audit, Deny, Disabled | 1.0.0 |
| Deben quitarse las cuentas de invitado con permisos de propietario de los recursos de Azure. | Las cuentas externas con permisos de propietario deben quitarse de la suscripción a fin de evitar el acceso no supervisado. | AuditIfNotExists, Disabled | 1.0.0 |
| Deben quitarse las cuentas de invitado con permisos de lectura de los recursos de Azure. | Las cuentas externas con privilegios de lectura deben quitarse de la suscripción a fin de evitar el acceso no supervisado. | AuditIfNotExists, Disabled | 1.0.0 |
| Deben quitarse las cuentas de invitado con permisos de escritura de los recursos de Azure. | Las cuentas externas con privilegios de escritura deben quitarse de la suscripción a fin de evitar el acceso no supervisado. | AuditIfNotExists, Disabled | 1.0.0 |
| Microsoft Defender CSPM debe estar habilitado | La administración de la posición de seguridad en la nube (CSPM) de Defender proporciona funcionalidades de posición mejoradas y un nuevo gráfico de seguridad en la nube inteligente para ayudar a identificar, priorizar y reducir el riesgo. Defender CSPM está disponible junto con las capacidades gratuitas de posición de seguridad de base activadas de manera predeterminada en Defender for Cloud. | AuditIfNotExists, Disabled | 1.0.0 |
| Se debe habilitar Microsoft Defender para las API | Microsoft Defender para API ofrece nuevas funciones de detección, protección, detección y cobertura de respuesta para supervisar ataques basados en API comunes y errores de configuración de seguridad. | AuditIfNotExists, Disabled | 1.0.3 |
| Microsoft Defender para Azure Cosmos DB debe estar habilitado | Microsoft Defender para Azure Cosmos DB es una capa de seguridad nativa de Azure que detecta intentos de aprovechar una vulnerabilidad de seguridad de las bases de datos de las cuentas de Azure Cosmos DB. Defender para Azure Cosmos DB detecta posibles ataques por inyección de código SQL, actores malintencionados conocidos basados en Inteligencia sobre amenazas de Microsoft, patrones de acceso sospechosos y posibles vulnerabilidades de seguridad de la base de datos mediante identidades en peligro o usuarios malintencionados. | AuditIfNotExists, Disabled | 1.0.0 |
| Microsoft Defender para contenedores debería estar habilitado | Microsoft Defender para contenedores proporciona protección, evaluación de vulnerabilidades y protecciones en tiempo de ejecución para los entornos de Kubernetes de Azure, híbridos y multinube. | AuditIfNotExists, Disabled | 1.0.0 |
| Se debe habilitar Microsoft Defender para Storage | Microsoft Defender para Storage detecta amenazas potenciales para sus cuentas de almacenamiento. Ayuda a evitar los tres impactos principales en los datos y la carga de trabajo: cargas de archivos malintencionadas, filtración de datos confidenciales y datos dañados. El nuevo plan de Defender para Storage incluye Examen de malware y Detección de amenazas de datos confidenciales. Este plan también ofrece una estructura de precios predecible (por cuenta de almacenamiento) para controlar la cobertura y los costes. | AuditIfNotExists, Disabled | 1.0.0 |
| Requerir una etiqueta y su valor en los grupos de recursos | Aplica una etiqueta obligatoria y su valor en los grupos de recursos. | deny | 1.0.0 |
| Solicitar una etiqueta en los grupos de recursos | Requiere que se use una etiqueta en los grupos de recursos. | deny | 1.0.0 |
| Configuración de suscripciones para realizar la transición a una solución de evaluación de vulnerabilidades alternativa | Microsoft Defender for Cloud ofrece el examen de vulnerabilidades de las máquinas sin costo adicional. La habilitación de esta directiva hará que Defender for Cloud propague automáticamente los resultados de la solución integrada de administración de vulnerabilidades Microsoft Defender a todas las máquinas compatibles. | DeployIfNotExists, Disabled | 1.0.0-preview |
| La suscripción debería configurar Azure Firewall Premium para proporcionar una capa adicional de protección | Azure Firewall Premium proporciona una protección contra amenazas avanzada que satisface las necesidades de entornos altamente confidenciales y regulados. Implemente Azure Firewall Premium en su suscripción y asegúrese de que todo el tráfico del servicio está protegido por Azure Firewall Premium. Para más información sobre Azure Firewall Premium, consulte https://aka.ms/fw-premium | AuditIfNotExists, Disabled | 1.0.0 |
| Las suscripciones deben tener una dirección de correo electrónico de contacto para los problemas de seguridad | Para asegurarse de que las personas pertinentes de la organización reciban una notificación cuando se produzca una vulneración de seguridad potencial en una de las suscripciones, establezca un contacto de seguridad para la recepción de notificaciones por correo electrónico de Security Center. | AuditIfNotExists, Disabled | 1.0.1 |
| Debe haber más de un propietario asignado a la suscripción | Se recomienda que designe a más de un propietario de la suscripción para tener redundancia de acceso de administrador. | AuditIfNotExists, Disabled | 3.0.0 |
Pasos siguientes
- Los elementos integrados se pueden encontrar en el repositorio de GitHub de Azure Policy.
- Revise la estructura de definición de Azure Policy.
- Vea la Descripción de los efectos de directivas.