Compartir a través de


Integración de Microsoft Defender for Cloud con Azure VMware Solution

Microsoft Defender for Cloud proporciona protección contra amenazas avanzada en las máquinas virtuales (VM) de Azure VMware Solution y del entorno local. Evalúa la vulnerabilidad de las máquinas virtuales de Azure VMware Solution y genera alertas según sea necesario. Estas alertas de seguridad se pueden reenviar a Azure Monitor para su resolución. En Microsoft Defender for Cloud, puede definir directivas de seguridad. Para más información, consulte Administrar directivas de seguridad.

Microsoft Defender for Cloud ofrece muchas características, entre las que se incluyen las siguientes:

  • Supervisión de la integridad de los archivos
  • Detección de ataques sin archivos
  • Evaluación de revisiones del sistema operativo
  • Evaluación de configuraciones de seguridad incorrectas
  • Evaluación de EndPoint Protection

En el diagrama se muestra la arquitectura de supervisión integrada de la seguridad integrada de las máquinas virtuales de Azure VMware Solution.

Diagrama que muestra la arquitectura de la seguridad integrada de Azure

El agente de Log Analytics recopila datos de registro de Azure, Azure VMware Solution y las máquinas virtuales locales. Los datos de registro se envían a los registros de Azure Monitor y se almacenan en un área de trabajo de Log Analytics. Cada área de trabajo tiene su propio repositorio de datos y configuración para almacenar datos. Una vez recopilados los registros, Microsoft Defender for Cloud evalúa el estado de vulnerabilidad de las máquinas virtuales de Azure VMware Solution y genera una alerta si detecta alguna vulnerabilidad crítica. Tras la evaluación, Microsoft Defender for Cloud reenvía el estado de vulnerabilidad a Microsoft Sentinel para crear un incidente y asignarlo junto con otras amenazas. Microsoft Defender for Cloud se conecta a Microsoft Sentinel mediante el conector de Microsoft Defender for Cloud.

Requisitos previos

Adición de máquinas virtuales de Azure VMware Solution a Defender for Cloud

  1. En Azure Portal, busque Azure Arc y selecciónelo.

  2. En Recursos, seleccione Servidores y, después, +Agregar.

    Captura de pantalla que muestra la página de servidores de Azure Arc para agregar una máquina virtual de Azure VMware Solution a Azure.

  3. Seleccione Generar scripts.

    Captura de pantalla de la página de Azure Arc en la que se muestra la opción para agregar un servidor con un script interactivo.

  4. En la pestaña Requisitos previos, seleccione Siguiente.

  5. En la pestaña Detalles del recurso, rellene los detalles siguientes y después seleccione Siguiente. Etiquetas:

    • Subscription
    • Grupo de recursos
    • Region
    • Sistema operativo
    • Detalles del servidor proxy
  6. En la pestaña Etiquetas, seleccione Siguiente.

  7. En la pestaña Descargar y ejecutar el script, seleccione Descargar.

  8. Especifique el sistema operativo y ejecute el script en la máquina virtual de Azure VMware Solution.

Visualización de recomendaciones y evaluaciones superadas

Las recomendaciones y evaluaciones proporcionan los detalles sobre el estado de seguridad del recurso.

  1. En Microsoft Defender for Cloud, seleccione Inventario en el panel izquierdo.

  2. En Tipo de recurso, seleccione Servidores: Azure Arc.

    Captura de pantalla de la página Inventario de Microsoft Defender for Cloud, que muestra Servidores: Azure Arc seleccionado en Tipo de recurso.

  3. Seleccione el nombre del recurso. Se abre una página que muestra los detalles del estado de seguridad del recurso.

  4. En Lista de recomendaciones, seleccione las pestañas Recomendaciones, Evaluaciones correctas, y Evaluaciones no disponibles para ver estos detalles.

    Captura de pantalla que muestra las evaluaciones y recomendaciones de seguridad de Microsoft Defender for Cloud.

Implementación de un área de trabajo de Microsoft Sentinel

Microsoft Sentinel proporciona análisis de seguridad, detección de alertas y respuesta automática a amenazas en todo un entorno. Se trata de una solución de administración de eventos e información de seguridad (SIEM) nativa de la nube que se basa en un área de trabajo de Log Analytics.

Dado que Microsoft Sentinel se basa en un área de trabajo de Log Analytics, solo tienes que seleccionar el área de trabajo que quieres usar.

  1. En Azure Portal, busque Microsoft Sentinel y selecciónelo.

  2. En la página Áreas de trabajo de Microsoft Sentinel, seleccione +Agregar.

  3. Seleccione el área de trabajo de Log Analytics y, después, Agregar.

Habilitación del recopilador de datos para eventos de seguridad

  1. En la página Áreas de trabajo de Microsoft Sentinel, seleccione el área de trabajo configurada.

  2. En Configuración, seleccione Conectores de datos.

  3. En la columna Nombre del conector, seleccione Eventos de seguridad en la lista y, después, seleccione Abrir página del conector.

  4. En la página del conector, seleccione los eventos que desea transmitir y después seleccione Aplicar cambios.

    Captura de pantalla de la página Eventos de seguridad de Microsoft Sentinel, donde puede seleccionar los eventos que desea transmitir.

Conexión de Microsoft Sentinel con Microsoft Defender for Cloud

  1. En la página Áreas de trabajo de Microsoft Sentinel, seleccione el área de trabajo configurada.

  2. En Configuración, seleccione Conectores de datos.

  3. Elija Microsoft Defender for Cloud en la lista y seleccione Abrir página del conector.

    Captura de pantalla de la página Conectores de datos de Microsoft Sentinel en la que se muestra la opción seleccionada para conectar Microsoft Defender for Cloud con Microsoft Sentinel.

  4. Seleccione Conectar para conectar Microsoft Defender for Cloud con Microsoft Sentinel.

  5. Habilite Crear incidente para que se genere un incidente para Microsoft Defender for Cloud.

Creación de reglas para identificar amenazas de seguridad

Después de conectar los orígenes de datos a Microsoft Sentinel, puede crear reglas que generen alertas para las amenazas detectadas. En el ejemplo siguiente, creamos una regla para los intentos de inicio de sesión en Windows Server con una contraseña incorrecta.

  1. En la página de información general de Microsoft Sentinel, en Configuraciones, seleccione Analytics.

  2. En Configuraciones, seleccione Analytics.

  3. Seleccione +Crear y, en el menú desplegable, seleccione Regla de consulta programada.

  4. En la pestaña General, escriba la información necesaria y seleccione Siguiente: Establecer lógica de regla.

    • Nombre
    • Descripción
    • Tácticas
    • Severity
    • Estado
  5. En la pestaña Establecer la lógica de la regla, escriba la información necesaria y seleccione Siguiente.

    • Consulta de la regla (aquí se muestra nuestra consulta de ejemplo)

      SecurityEvent
      |where Activity startswith '4625'
      |summarize count () by IpAddress,Computer
      |where count_ > 3
      
    • Asignar entidades

    • Programación de consultas

    • Umbral de alerta

    • Agrupación de eventos

    • Supresión

  6. En la pestaña Configuración de los incidentes, habilite Crear incidentes a partir de las alertas desencadenadas por esta regla de análisis y seleccione Siguiente: Respuesta automatizada.

    Captura de pantalla que muestra el Asistente para reglas de análisis para crear una regla en Microsoft Sentinel.

  7. Seleccione Siguiente: Review (Siguiente: revisar).

  8. En la pestaña Revisar y crear, revise la información y seleccione Crear.

Sugerencia

Después del tercer intento fallido de iniciar sesión en Windows Server, la regla creada desencadena un incidente para cada intento fallido.

Visualización de alertas

Puede ver los incidentes generados con Microsoft Sentinel. También puede asignar incidentes y cerrarlos una vez resueltos, todo ello desde Microsoft Sentinel.

  1. Vaya a la página de información general de Microsoft Sentinel.

  2. En Administración de amenazas, seleccione Incidentes.

  3. Seleccione un incidente y, a continuación, asígnelo a un equipo para su resolución.

    Captura de pantalla de la página Incidentes de Microsoft Sentinel con el incidente seleccionado y la opción para asignar el incidente para su resolución.

Sugerencia

Después de resolver el problema, puede cerrarlo.

Búsqueda de amenazas de seguridad con consultas

Puedes crear consultas o usar la consulta predefinida disponible en Microsoft Sentinel para identificar amenazas en tu entorno. En los pasos siguientes, se ejecuta una consulta predefinida.

  1. En la página de información general de Microsoft Sentinel, en Administración de amenazas, seleccione Búsqueda. Se muestra una lista de consultas predefinidas.

    Sugerencia

    También puede crear una nueva consulta seleccionando Nueva consulta.

    Captura de pantalla de la página Búsqueda de Microsoft Sentinel con la opción Nueva consulta resaltada.

  2. Seleccione una consulta y, después, seleccione Ejecutar consulta.

  3. Seleccione Ver resultados para comprobar los resultados.

Pasos siguientes

Ahora que has visto cómo proteger las máquinas virtuales de Azure VMware Solution, puedes obtener más información sobre: