Habilitar la administración de permisos en Microsoft Defender for Cloud (versión preliminar)
Información general
Cloud Infrastructure Entitlement Management (CIEM) es un modelo de seguridad que ayuda a las organizaciones a administrar y controlar el acceso y los derechos de los usuarios en su infraestructura en la nube. CIEM es un componente crítico de la solución Cloud Native Application Protection Platform (CNAPP) que proporciona visibilidad sobre quién o qué tiene acceso a recursos específicos. Garantiza que los derechos de acceso se adhieren al principio de privilegios mínimos (PoLP), donde los usuarios o las identidades de carga de trabajo, como las aplicaciones y los servicios, reciben solo los niveles mínimos de acceso necesarios para realizar sus tareas.
Microsoft ofrece soluciones CNAPP y CIEM con Microsoft Defender for Cloud (CNAPP) y Administración de permisos de Microsoft Entra (CIEM). Integrar las funcionalidades de Administración de permisos con Defender for Cloud refuerza la prevención de infracciones de seguridad que pueden producirse debido a permisos excesivos o configuraciones incorrectas en el entorno de nube. Al supervisar y administrar continuamente los derechos en la nube, la Administración de permisos ayuda a detectar la superficie expuesta a ataques, detectar posibles amenazas, permisos de acceso de tamaño adecuado y mantener el cumplimiento de los estándares normativos. Esto hace que la información de la Administración de permisos sea esencial para integrar y enriquecer las funcionalidades de Defender for Cloud para proteger las aplicaciones nativas de la nube y proteger los datos confidenciales en la nube.
Esta integración proporciona la siguiente información derivada del conjunto de Administración de permisos de Microsoft Entra en el portal de Microsoft Defender for Cloud. Para obtener más información, consulte la Matriz de características.
Casos de uso y escenarios comunes
Las funcionalidades de administración de permisos de Microsoft Entra se integran fácilmente como un componente valioso dentro del plan de Administración de posturas de seguridad en la nube (CSPM) de Defender. Las funcionalidades integradas son fundamentales, ya que proporcionan las funcionalidades esenciales dentro de Microsoft Defender for Cloud. Con estas funcionalidades agregadas, puede realizar un seguimiento del análisis de permisos, los permisos sin usar para las identidades activas y las identidades con permisos excesivos y mitigarlas para admitir el procedimiento recomendado de privilegios mínimos.
Puede encontrar las nuevas recomendaciones en el Control de seguridad Administrar acceso y permisos en la pestaña Recomendaciones de del panel de Defender for Cloud.
Requisitos previos de la versión preliminar
| Aspecto | Detalles |
|---|---|
| Requisitos de entorno obligatorios o preferidos | Administración de la posición de seguridad en la nube de Defender Estas funcionalidades se incluyen en el plan de CSPM de Defender y no requieren una licencia adicional. |
| Roles y permisos necesarios | AWS / GCP Administrador de seguridad Application.ReadWrite.All Azure Administrador de seguridad Microsoft.Authorization/roleAssignments/write |
| Nubes |  Nubes comerciales de Azure, AWS y GCP  Nacionales o soberanas (US Gov, China Gov, otros gobiernos) |
Habilitación de la administración de permisos para Azure
Inicie sesión en Azure Portal.
En el cuadro de búsqueda superior, busque Microsoft Defender for Cloud.
En el menú de la izquierda, seleccione Administración/Configuración del entorno.
Seleccione la suscripción de Azure en la que desea activar el plan de CIEM de DCSPM.
En la página Planes de Defender, asegúrese de que el plan CSPM de Defender esté activado.
Seleccione la configuración del plan y active la extensión Administración de permisos.
Seleccione Continuar.
Seleccione Guardar.
Después de unos segundos, observará que:
La suscripción tiene una nueva asignación de lector para la aplicación Administración de derechos de infraestructura en la nube.
El nuevo Azure CSPM (versión preliminar) estándar se asigna a la suscripción.
Debería poder ver las recomendaciones de administración de permisos aplicables en su suscripción en unas pocas horas.
Vaya a la página Recomendaciones y asegúrese de que se comprueban los filtros de entornos pertinentes. Filtre por Iniciativa= "Azure CSPM (versión preliminar)", que filtra las siguientes recomendaciones (si procede):
Recomendaciones de Azure:
- Las identidades sobreaprovisionadas de Azure solo deben tener los permisos necesarios
- Se deben quitar las superidentidades en el entorno de Azure
- Se deben quitar las identidades sin usar en el entorno de Azure
Habilitación de la Administración de permisos para AWS
Siga estos pasos para conectar su cuenta de AWS a Defender for Cloud
Para la cuenta o el proyecto seleccionados:
Seleccione el identificador de la lista y la página Configuración | Planes de Defender se abrirá.
Seleccione el botón Siguiente: Seleccionar planes > en la parte inferior de la página.
Habilitar plan de CSPM de Defender. Si el plan ya está habilitado, seleccione Configuración y active la característica Administración de permisos.
Siga las instrucciones del asistente para habilitar el plan con las nuevas funcionalidades de Administración de permisos.
Seleccione Configurar accesoy, a continuación, elija el tipo de Permisos adecuado. Elija el método de implementación: script "AWS CloudFormation" / "Terraform".
La plantilla de implementación se rellena automáticamente con nombres de ARN de rol predeterminados. Puede personalizar los nombres de rol seleccionando el hipervínculo.
Ejecute el script CFT / terraform actualizado en el entorno de AWS.
Seleccione Guardar.
Después de unos segundos, observará que el nuevo AWS CSPM (versión preliminar) estándar está asignado en el conector de seguridad.
Verá las recomendaciones de Administración de permisos aplicables en el conector de seguridad de AWS en unas pocas horas.
Vaya a la página Recomendaciones y asegúrese de que se comprueban los filtros de entornos pertinentes. Filtre por Iniciativa= "AWS CSPM (versión preliminar)", que retorna las siguientes recomendaciones (si procede):
Recomendaciones de AWS:
Las identidades sobreaprovisionadas de AWS solo deben tener los permisos necesarios
Las identidades no usadas en el entorno de AWS deben quitarse
Nota:
Las recomendaciones que se ofrecen a través de la integración de Administración de permisos (versión preliminar) están disponibles mediante programación en Azure Resource Graph.
Habilitar administración de permisos para GCP
Siga estos pasos para conectar la cuenta de GCP a Microsoft Defender for Cloud:
Para la cuenta o el proyecto seleccionados:
Seleccione el identificador de la lista y la página Configuración | Planes de Defender se abrirá.
Seleccione el botón Siguiente: Seleccionar planes > en la parte inferior de la página.
Habilitar plan de CSPM de Defender. Si el plan ya está habilitado, seleccione Configuración y active la característica Administración de permisos.
Siga las instrucciones del asistente para habilitar el plan con las nuevas funcionalidades de Administración de permisos.
Ejecute el script CFT / terraform actualizado en el entorno de GCP.
Seleccione Guardar.
Después de unos segundos, observará que el nuevo GCP CSPM (versión preliminar) estándar está asignado en el conector de seguridad.
Verá las recomendaciones de Administración de permisos aplicables en el conector de seguridad de GCP en unas pocas horas.
Vaya a la página Recomendaciones y asegúrese de que se comprueban los filtros de entornos pertinentes. Filtre por Iniciativa= "GCP CSPM (versión preliminar)", que devuelve las siguientes recomendaciones (si procede):
Recomendaciones de GCP:
Las identidades sobreaprovisionadas de GCP solo deben tener los permisos necesarios
Las superidentidades sin usar en el entorno de GCP deben quitarse
Se deben quitar las identidades sin usar en el entorno de GCP
Limitaciones conocidas
- Las cuentas de AWS o GCP que se incorporan inicialmente a Administración de permisos de Microsoft Entra no se pueden integrar a través de Microsoft Defender for Cloud.
Matriz de características
La característica de integración se incluye como parte del plan de CSPM de Defender y no requiere una licencia de Administración de permisos de Microsoft Entra (MEPM). Para más información sobre las funcionalidades adicionales que puede recibir de MEPM, consulte la matriz de características:
| Category | Funcionalidades | Defender for Cloud | Permissions Management |
|---|---|---|---|
| Análisis | Detección de permisos para identidades de riesgo (incluidas identidades no usadas, identidades activas sobreaprovisionadas, superidentidades) en Azure, AWS, GCP | ✓ | ✓ |
| Análisis | Índice de exceso de permisos (PCI) para entornos multinube (Azure, AWS, GCP) y todas las identidades | ✓ | ✓ |
| Análisis | Detección de permisos para todas las identidades, grupos en Azure, AWS, GCP | ❌ | ✓ |
| Análisis | Análisis de uso de permisos, asignaciones de roles o directivas en Azure, AWS, GCP | ❌ | ✓ |
| Análisis | Compatibilidad con proveedores de identidades (incluido AWS IAM Identity Center, Okta, GSuite) | ❌ | ✓ |
| Corrección | Eliminación automatizada de permisos | ❌ | ✓ |
| Corrección | Corregir identidades mediante la asociación o desasociación de los permisos | ❌ | ✓ |
| Corrección | Generación de roles personalizados/ directivas de AWS en función de las actividades de identidades, grupos, etc. | ❌ | ✓ |
| Corrección | Permisos a petición (acceso limitado a tiempo) para identidades humanas y de carga de trabajo a través del Centro de administración Microsoft Entra, las API y la aplicación ServiceNow. | ❌ | ✓ |
| Supervisión | Detecciones de anomalías con tecnología de Machine Learning | ❌ | ✓ |
| Supervisión | Alertas basadas en la actividad y basadas en reglas | ❌ | ✓ |
| Monitor | Informes forenses enriquecidos con contexto (por ejemplo, informe de historial PCI, informe de uso de derechos y de usuario, etc.) | ❌ | ✓ |
Pasos siguientes
- Para obtener más información sobre la solución CIEM de Microsoft, consulte Administración de permisos de Microsoft Entra.
- Para obtener una evaluación gratuita de la Administración de permisos de Microsoft Entra, consulte el Centro de administración de Microsoft Entra.