Administración de la posición de seguridad en la nube (CSPM)
Uno de los principales pilares de Microsoft Defender for Cloud es la administración de la posición de seguridad en la nube (CSPM). La CPSM proporciona visibilidad detallada sobre el estado de seguridad de los recursos y las cargas de trabajo, así como instrucciones de protección que le ayudarán a mejorar de forma eficaz su posición de seguridad.
Defender for Cloud evalúa continuamente los recursos con respecto a los estándares de seguridad definidos para las suscripciones de Azure, las cuentas de AWS y los proyectos de GCP. Defender for Cloud realiza sus recomendaciones de seguridad en función de estas evaluaciones.
De manera predeterminada, cuando se habilita Defender for Cloud en una suscripción de Azure, se activa el estándar de cumplimiento Microsoft Cloud Security Benchmark (MCSB). Proporciona recomendaciones. Defender for Cloud proporciona una puntuación segura agregada basada en algunas de las recomendaciones de MCSB. Cuanto mayor sea la puntuación, menor será el nivel de riesgo identificado.
Características de CSPM
Defender for Cloud proporciona las siguientes ofertas de CSPM:
CSPM básica: Defender for Cloud ofrece gratis funcionalidades básicas de CSPM para varias nubes. Estas funcionalidades se habilitan de manera predeterminada y automática en todas las suscripciones o cuentas que se incorporan a Defender for Cloud.
Plan de administración de la posición de seguridad en la nube (CSPM) de Defender: el plan opcional de administración de la posición de seguridad de Defender for Cloud proporciona más características avanzadas de la posición de seguridad.
Disponibilidad del plan
Más información sobre el precio de Defender CSPM.
En la tabla siguiente se resume cada plan y su disponibilidad en la nube.
| Característica | CSPM básica | Administración de la posición de seguridad en la nube de Defender | Disponibilidad en la nube |
|---|---|---|---|
| Recomendaciones de seguridad | 
|
|
Azure, AWS, GCP, local |
| Inventario de recursos |
|
|
Azure, AWS, GCP, local |
| Puntuación segura |
|
|
Azure, AWS, GCP, local |
| Visualización de datos e informes con libros de Azure |
|
|
Azure, AWS, GCP, local |
| Exportación de datos |
|
|
Azure, AWS, GCP, local |
| Automatización de flujos de trabajo (versión preliminar) |
|
|
Azure, AWS, GCP, local |
| Herramientas para corrección |
|
|
Azure, AWS, GCP, local |
| Microsoft Cloud Security Benchmark |
|
|
Azure, AWS, GCP |
| Gobernanza de la seguridad | - |
|
Azure, AWS, GCP, local |
| Estándares de cumplimiento normativo | - |
|
Azure, AWS, GCP, local |
| Explorador de seguridad en la nube | - |
|
Azure, AWS, GCP |
| Análisis de rutas de acceso de ataque | - |
|
Azure, AWS, GCP |
| Detección sin agente para máquinas | - |
|
Azure, AWS, GCP |
| Posición de seguridad de contenedor sin agente | - |
|
Azure, AWS, GCP |
| Evaluación de vulnerabilidad de los registros de contenedor, incluido el examen del registro | - |
|
Azure, AWS, GCP |
| Posición de seguridad de reconocimiento de datos | - |
|
Azure, AWS, GCP |
| Información de EASM sobre la exposición de la red | - |
|
Azure, AWS, GCP |
| Administración de permisos (versión preliminar) | - |
|
Azure, AWS, GCP |
Nota:
A partir del 7 de marzo de 2024, Defender CSPM debe estar habilitado para disponer de las funcionalidades de seguridad de DevOps premium, que incluyen la contextualización de código a nube que potencia el explorador de seguridad y las rutas de acceso a ataques y anotaciones de solicitudes de cambios para los resultados de seguridad de infraestructura como código. Para más información, consulte el artículo sobre requisitos previos y soporte técnico de la seguridad de DevOps.
Integrations (versión preliminar)
Microsoft Defender for Cloud ahora incorpora integraciones que le ayudan a usar sistemas de terceros para administrar y realizar un seguimiento de incidencias, eventos e interacciones del cliente. Puede enviar recomendaciones a una herramienta de administración de incidencias de terceros y asignar un equipo para que las solucionen.
La integración simplifica el proceso de respuesta a incidencias y mejora su capacidad para administrar los incidencias de seguridad. Puede realizar un seguimiento de las incidencias de seguridad, clasificarlas por orden de prioridad y resolverlas de forma más eficaz.
Puede elegir el sistema de administración de incidencias que desea integrar. En el caso de la versión preliminar, solo se admite la integración de ServiceNow. Para más información sobre cómo configurar la integración de ServiceNow, consulte Integración de ServiceNow con Microsoft Defender for Cloud (versión preliminar).
Precios del plan
Para obtener información sobre los precios de Defender CSPM, consulte la página de precios de Defender for Cloud.
A partir del 7 de marzo de 2024, las funcionalidades avanzadas de posición de seguridad de DevOps solo estarán disponibles a través del plan de pago de CSPM de Defender. La administración gratuita de la posición de seguridad básica en Defender for Cloud seguirá proporcionando una serie de recomendaciones de Azure DevOps. Obtenga más información sobre las características de seguridad de DevOps.
En el caso de las suscripciones que usen los planes Defender CSPM y Defender para contenedores, la evaluación de vulnerabilidades gratis se calculará en función de los exámenes de imágenes gratis que se proporcionan a través del plan Defender para contenedores, como se especifica en la página de precios de Microsoft Defender for Cloud.
La CSPM de Defender protege todas las cargas de trabajo multinube, pero la facturación solo se aplica a recursos específicos. En las siguientes tablas se enumeran los recursos facturables cuando la CSPM de Defender está habilitada en suscripciones de Azure, cuentas de AWS o proyectos de GCP.
Servicio de Azure Tipos de recursos Exclusiones Proceso Microsoft.Compute/virtualMachines
Microsoft.Compute/virtualMachineScaleSets/virtualMachines
Microsoft.ClassicCompute/virtualMachines- Máquinas virtuales desasignadas
- Máquinas virtuales de DatabricksStorage Microsoft.Storage/storageAccounts Cuentas de almacenamiento sin contenedores de blobs o recursos compartidos de archivos Bases de datos Microsoft.Sql/servers
Microsoft.DBforPostgreSQL/servers
Microsoft.DBforMySQL/servers
Microsoft.Sql/managedInstances
Microsoft.DBforMariaDB/servers
Microsoft.Synapse/workspaces--- Servicio de AWS Tipos de recursos Exclusiones Proceso Instancias de EC2 Máquinas virtuales desasignadas Storage S3 Buckets (Cubos de S3) --- Bases de datos Instancias de RDS --- Servicio de GCP Tipos de recursos Exclusiones Proceso 1. Instancias de Google Compute
2. Grupo de instancias de GoogleInstancias con estados que no se ejecutan Storage Cubos de almacenamiento - Cubpos de clases: ‘nearline’, ‘coldline’, ‘archive’
- Cubos de regiones que no sean: europe-west1, us-east1, us-west1, us-central1, us-east4, asia-south1, northamerica-northeast1Bases de datos Instancias de SQL en la nube ---
Soporte técnico de la nube de Azure
Para obtener cobertura de nube comercial y nacional, consulte las características que se admiten en los entornos en la nube de Azure.
Compatibilidad con el tipo de recurso en AWS y GCP
Para obtener compatibilidad multinube con tipos de recursos (o servicios) en nuestro nivel de CSPM multinube fundamental, consulte la tabla de tipos de recursos y servicios multinube para AWS y GCP.
Pasos siguientes
- Vea el vídeo ¡Predice futuros ataques! Administración de la posición de seguridad en la nube con Microsoft Defender.
- Obtén más información sobre los estándares y recomendaciones de seguridad.
- Obtén más información sobre la puntuación de seguridad.