Introducción a Microsoft Defender para Key Vault

  • Artículo

Azure Key Vault es un servicio en la nube que protege las claves de cifrado y los secretos, como certificados, cadenas de conexión y contraseñas.

Habilite Microsoft Defender para Key Vault para obtener protección nativa avanzada contra amenazas en la nube para Azure Key Vault y proporcionar otra capa de inteligencia de seguridad.

Disponibilidad

Aspecto Detalles
Estado de la versión: Disponibilidad general (GA)
Precios: El servicio Azure Defender para Key Vault se factura según se indica en la página de precios.
Nubes: Nubes comerciales
Nacional (Azure Government, Microsoft Azure operado por 21Vianet)

¿Cuáles son las ventajas de Azure Defender para Key Vault?

Microsoft Defender para Key Vault detecta intentos inusuales y potencialmente perjudiciales de acceder a las cuentas de Key Vault o de vulnerarlas. Esta capa de protección le permite afrontar las amenazas sin ser un experto en seguridad y sin la necesidad de administrar sistemas de supervisión de la seguridad de terceros.

Cuando se producen actividades anómalas, Defender para Key Vault muestra alertas y, opcionalmente, las envía por correo electrónico a los miembros correspondientes de la organización. Dichas alertas incluyen detalles acerca de cualquier actividad sospechosa y recomendaciones acerca de cómo investigar amenazas y mitigarlas.

Alertas de Microsoft Defender para Key Vault

Cuando reciba una alerta de Microsoft Defender para Key Vault, es recomendable investigarla y responder, tal y como se describe en Respuesta a las alertas de Microsoft Defender para Key Vault. Microsoft Defender para Key Vault protege las aplicaciones y credenciales, por lo que aunque usted conozca la aplicación o el usuario que desencadenó la alerta, es importante comprobar las circunstancias que rodean a cada alerta.

Las alertas aparecen en la página Seguridad de Key Vault, las protecciones de las cargas de trabajo y la página de alertas de seguridad de Defender for Cloud.

Screenshot that shows the Azure Key Vault's security page

Sugerencia

Para simular alertas de Microsoft Defender para Key Vault, siga las indicaciones del artículo sobre la validación de la detección de amenazas de Azure Key Vault en Microsoft Defender for Cloud.

Respuesta a las alertas de Microsoft Defender para Key Vault

Cuando reciba una alerta de Microsoft Defender para Key Vault, es recomendable investigarla y responder, tal y como se describe a continuación. Microsoft Defender para Key Vault protege las aplicaciones y credenciales, por lo que aunque usted conozca la aplicación o el usuario que desencadenó la alerta, es importante comprobar las circunstancias que rodean a cada alerta.

Las alertas de Microsoft Defender para Key Vault constan de los siguientes elementos:

  • Id. de objeto
  • Nombre principal de usuario o dirección IP del recurso sospechoso

En función del tipo de acceso que se haya producido, algunos campos pueden no estar disponibles. Por ejemplo, si una aplicación ha accedido al almacén de claves, no verá un nombre principal de usuario asociado. Si el tráfico se originó fuera de Azure, no verá un identificador de objeto.

Sugerencia

A las máquinas virtuales de Azure se les asignan direcciones IP de Microsoft. Esto significa que una alerta puede contener una dirección IP de Microsoft aunque guarde relación con actividad registrada fuera de Microsoft. Por lo tanto, aunque una alerta tenga una dirección IP de Microsoft, debe investigarse de todos modos tal y como se describe en esta página.

Paso 1: Identificar el origen

  1. Compruebe si el tráfico se originó en el inquilino de Azure. Si el firewall del almacén de claves está habilitado, es probable que haya proporcionado acceso al usuario o a la aplicación que desencadenó esta alerta.
  2. Si no puede comprobar el origen del tráfico, continúe con el Paso 2. Respuesta consecuente.
  3. Si puede identificar el origen del tráfico en el inquilino, póngase en contacto con el usuario o el propietario de la aplicación.

Precaución

Microsoft Defender para Key Vault se ha concebido para ayudar a identificar la actividad sospechosa asociada al robo de credenciales. No descarte la alerta simplemente porque reconoce el usuario o la aplicación. Póngase en contacto con el propietario de la aplicación o el usuario y compruebe que la actividad es legítima. Puede crear una regla de supresión para eliminar el ruido si es necesario. Obtenga más información en Eliminación de alertas de seguridad.

Paso 2: Responder en consecuencia

Si no reconoce el usuario o la aplicación, o si cree que el acceso no debe haberse autorizado:

  • Si el tráfico procedía de una dirección IP no reconocida:

    1. Habilite el firewall de Azure Key Vault como se describe en Configuración de firewalls y redes virtuales de Azure Key Vault.
    2. Configure el firewall con recursos de confianza y redes virtuales.

  • Si el origen de la alerta era una aplicación no autorizada o un usuario sospechoso:

    1. Abra la configuración de la directiva de acceso del almacén de claves.
    2. Quite la entidad de seguridad correspondiente o restrinja las operaciones que la entidad de seguridad puede realizar.

  • Si el origen de la alerta tiene un rol de Microsoft Entra en el inquilino:

    1. Póngase en contacto con el administrador.
    2. Determine si es necesario reducir o revocar los permisos de Microsoft Entra.

Paso 3: Medir el impacto

Cuando se haya mitigado el evento, investigue los secretos del almacén de claves que se han visto afectados:

  1. Abra la página Seguridad en Azure Key Vault y vea la alerta desencadenada.
  2. Seleccione la alerta específica que se desencadenó y revise la lista de secretos a los que se ha accedido y la marca de tiempo.
  3. Opcionalmente, si tiene habilitados los registros de diagnóstico del almacén de claves, revise las operaciones anteriores para la dirección IP del autor de la llamada correspondiente, la entidad de seguridad de usuario o el identificador de objeto.

Paso 4: Tomar medidas

Una vez que haya compilado la lista de los secretos, las claves y los certificados a los que ha accedido el usuario o la aplicación sospechosos, debe girar esos objetos inmediatamente.

  1. Los secretos afectados deben deshabilitarse o eliminarse del almacén de claves.
  2. Si las credenciales se usaron para una aplicación específica:
    1. Póngase en contacto con el administrador de la aplicación y pídale que realice una auditoría de su entorno para los usos de las credenciales en peligro, ya que se vulneraron.
    2. Si se usaron credenciales en peligro, el propietario de la aplicación debe identificar la información a la que se obtuvo acceso y mitigar el impacto.

Pasos siguientes

En este artículo, ha obtenido información sobre Microsoft Defender para Key Vault.

Para obtener material relacionado, consulte los siguientes artículos: