Habilitación de la posición de seguridad compatible con datos

En este artículo se describe cómo habilitar la posición de seguridad compatible con datos en Microsoft Defender for Cloud.

Antes de comenzar

  • Antes de habilitar la posición de seguridad compatible con datos, revise la compatibilidad y los requisitos previos.
  • Al habilitar la CSPM de Defender o los planes de Defender para Storage, la extensión de detección de datos confidenciales se habilita automáticamente. Puede deshabilitar esta configuración si no desea usar la posición de seguridad compatible con datos, pero se recomienda usar la característica para obtener el máximo valor de Defender for Cloud.
  • Los datos confidenciales se identifican en función de la configuración de confidencialidad de los datos en Defender for Cloud. Puede personalizar la configuración de confidencialidad de datos para identificar los datos que su organización considera confidenciales.
  • Puede tardar hasta 24 horas en ver los resultados de una primera detección después de habilitar la característica.

Habilitación en la CSPM de Defender (Azure)

Siga estos pasos para habilitar la posición de seguridad compatible con datos. No olvide revisar los permisos necesarios antes de empezar.

  1. Vaya a Microsoft Defender for Cloud>Configuración del entorno.

  2. Seleccione la suscripción de Azure correspondiente.

  3. Para el plan de Defender CSPM, seleccione el estado Activado.

    Si Defender CSPM ya está activado, seleccione Configuración en la columna Cobertura de supervisión del plan de Defender para CSPM y asegúrese de que el componente Detección de datos confidenciales esté establecido en estado Activado.

  4. Una vez que la detección de datos confidenciales esté Activada en Defender CSPM, incorporará automáticamente la compatibilidad con tipos de recursos adicionales a medida que se amplíe la gama de tipos de recursos compatibles.

Habilitación en la CSPM de Defender (AWS)

Antes de comenzar

  • No olvide: revise los requisitos para la detección de AWS y los permisos necesarios.
  • Compruebe que no hay ninguna directiva que bloquee la conexión a los cubos de Amazon S3.
  • En el caso de las instancias de RDS: se admite el cifrado de KMS entre cuentas, pero las directivas adicionales en el acceso de KMS pueden impedir el acceso.

Habilitación para recursos de AWS

Cubos de S3 e instancias de RDS

  1. Habilitación de la posición de seguridad de datos como se ha descrito anteriormente
  2. Continúe con las instrucciones para descargar la plantilla de CloudFormation y ejecutarla en AWS.

La detección automática de cubos de S3 en la cuenta de AWS se inicia automáticamente.

En los cubos de S3, el escáner de Defender for Cloud se ejecuta en su cuenta de AWS y se conecta a los cubos de S3.

En el caso de las instancias de RDS, la detección se desencadenará una vez activada la detección de datos confidenciales. El escáner tomará la instantánea automatizada más reciente de una instancia, creará una instantánea manual dentro de la cuenta de origen y la copiará en un entorno aislado de propiedad de Microsoft dentro de la misma región.

La instantánea se usa para crear una instancia activa que se activa, examina y, a continuación, se destruye inmediatamente (junto con la instantánea copiada).

La plataforma de análisis solo notifica los resultados de los exámenes.

Diagram explaining the RDS scanning platform.

Comprobación de las directivas de bloqueo S3

Si el proceso de habilitación no funcionó debido a una directiva bloqueada, compruebe lo siguiente:

  • Asegúrese de que la directiva de cubo de S3 no bloquee la conexión. En el cubo de AWS S3, seleccione la pestaña Permisos y la directiva de cubos >. Compruebe los detalles de la directiva para asegurarse de que el servicio de examen de Microsoft Defender for Cloud que se ejecuta en la cuenta Microsoft de AWS no esté bloqueado.
  • Asegúrese de que ninguna directiva de SCP bloquea la conexión con el cubo de S3. Por ejemplo, la directiva SCP podría bloquear las llamadas API de lectura a la región de AWS donde se hospeda el cubo de S3.
  • Compruebe que la directiva de SCP permita estas llamadas API necesarias: AssumeRole, GetBucketLocation, GetObject, ListBucket, GetBucketPublicAccessBlock
  • Compruebe que la directiva de SCP permita las llamadas a la región us-east-1 de AWS, que es la región predeterminada para las llamadas API.

Habilitación de la supervisión con reconocimiento de datos en Defender para Storage

La detección de amenazas de datos confidenciales está habilitada de manera predeterminada cuando el componente de detección de datos confidenciales está habilitado en el plan de Defender para Storage. Más información.

Solo se analizarán los recursos de Azure Storage si el plan de Defender CSPM está desactivado.

Pasos siguientes

Revisión de los riesgos de seguridad en los datos