Puntuación segura en Defender for Cloud

La puntuación segura de Microsoft Defender for Cloud puede ayudarle a mejorar la posición de seguridad en la nube. La puntuación segura agrega los resultados de seguridad en una sola puntuación para que pueda evaluar, de un vistazo, la situación de seguridad actual. Cuanto mayor sea la puntuación, menor será el nivel de riesgo identificado.

Al activar Defender for Cloud en una suscripción, la Prueba comparativa de seguridad en la nube (MCSB) de Microsoft estándar se aplica de manera predeterminada en la suscripción. Comienza la evaluación de los recursos en el ámbito con respecto a MCSB estándar.

El MCSB emite recomendaciones basadas en los resultados de la evaluación. Solo las recomendaciones integradas de MCSB afectan a la puntuación segura. Actualmente, la priorización de riesgos no afecta a la puntuación de seguridad.

Nota:

Las recomendaciones marcadas como Versión preliminar no se incluyen en los cálculos de puntuación de seguridad. Debe corregir estas recomendaciones siempre que sea posible, de modo que cuando finalice el período de versión preliminar, contribuirán a la puntuación. Las recomendaciones de vista previa se marcan con un icono: .

Visualización de la puntuación de seguridad

Al ver el panel Información general de Defender for Cloud, puede ver la puntuación segura de todos los entornos. El panel muestra la puntuación segura como un valor de porcentaje e incluye los valores subyacentes.

Screenshot of the portal dashboard that shows an overall secure score and underlying values.

La aplicación móvil de Azure muestra la puntuación segura como un valor de porcentaje. Pulse para ver los detalles que explican la puntuación.

Screenshot of the Azure mobile app that shows an overall secure score and details.

Exploración de la posición de seguridad

La página Posición de seguridad de Defender for Cloud muestra la puntuación segura de los entornos en general y para cada entorno por separado.

Screenshot of the Defender for Cloud page for security posture.

En esta página, puede ver las suscripciones, las cuentas y los proyectos que afectan a la puntuación general, la información sobre los recursos incorrectos y las recomendaciones pertinentes. Puede filtrar por entorno, como Azure, Amazon Web Services (AWS), Google Cloud Platform (GCP) y Azure DevOps. A continuación, puede explorar en profundidad cada suscripción de Azure, la cuenta de AWS y el proyecto de GCP.

Screenshot of the bottom half of the security posture page.

Cálculo de la puntuación segura

En la página Recomendaciones de Defender for Cloud, la pestaña Recomendaciones de puntuación segura muestra cómo contribuyen los controles de cumplimiento dentro del MCSB a la puntuación de seguridad general.

Screenshot that shows security controls that affect a secure score.

Defender for Cloud calcula cada control cada ocho horas para cada suscripción de Azure o para cada conector en la nube de AWS o GCP.

Importante

Recomendaciones dentro de un control se actualizan con más frecuencia que el propio control. Es posible que encuentre discrepancias entre el recuento de recursos en las recomendaciones y el recuento de recursos en el control.

Puntuaciones de ejemplo para un control

En el ejemplo siguiente se centra en recomendaciones de puntuación segura para habilitar la autenticación multifactor (MFA).

Screenshot that shows secure score recommendations for multifactor authentication.

En este ejemplo se muestran los campos siguientes en las recomendaciones.

Campo Detalles
Corrección de vulnerabilidades Agrupación de recomendaciones para detectar y resolver vulnerabilidades conocidas.
Puntuación máxima El número máximo de puntos que puede obtener completando todas las recomendaciones dentro de un control.

La puntuación máxima de un control indica la importancia relativa de ese control y es fija para cada entorno.

Use los valores de esta columna para determinar qué problemas deben funcionar primero.
Puntuación actual La puntuación actual de este control.

Puntuación actual = [Puntuación por recurso] * [Número de recursos con un estado correcto]

Cada control contribuye a la puntuación total. En este ejemplo, el control contribuye a 2,00 puntos a la puntuación total actual.
Posible aumento de puntuación Los puntos restantes disponibles para el usuario en el control. Si corrige todas las recomendaciones de este control, la puntuación aumenta en un 9 %.

Posible aumento de puntuación = [Puntuación por recurso] * [Número de recursos incorrectos]
Insights Detalles adicionales para cada recomendación, como:

- Recomendación de versión preliminar: esta recomendación afecta a la puntuación segura solo cuando está disponible con carácter general.

- Corrección: resuelva este problema.

- Aplicar: implemente automáticamente una directiva para corregir este problema siempre que alguien cree un recurso no conforme.

- Denegar: impide que se creen nuevos recursos con este problema.

Ecuaciones de cálculo de puntuación

Aquí se muestra cómo se calculan las puntuaciones.

Control de seguridad

La ecuación para determinar la puntuación de un control de seguridad es:

Screenshot that shows the equation for calculating a security control score.

La puntuación actual de cada control es una medida del estado de los recursos que están dentro del control. Cada control de seguridad individual contribuye a la puntuación segura. Cada recurso afectado por una recomendación dentro del control contribuye a la puntuación actual del control. La puntuación de seguridad no incluye los recursos que se encuentran en las recomendaciones de versión preliminar.

En el ejemplo siguiente, la puntuación máxima de 6 se divide en 78 porque esa es la suma de los recursos correctos y incorrectos. Por lo tanto, 6 / 78 = 0,0769. Multiplicarlo por el número de recursos correctos (4) da como resultado la puntuación actual: 0,0769 * 4 = 0,31.

Screenshot of tooltips that show the values used in calculating the security control's current score.

Una sola suscripción o conector

La ecuación para determinar la puntuación de seguridad de una sola suscripción o conector es:

Screenshot of the equation for calculating a subscription's secure score.

En el ejemplo siguiente, hay una sola suscripción o conector con todos los controles de seguridad disponibles (una puntuación máxima potencial de 60 puntos). La puntuación muestra 28 puntos de una posible 60. Los 32 puntos restantes se reflejan en las cifras de aumento de puntuación potencial de los controles de seguridad.

Screenshot of a single-subscription secure score with all controls enabled.

Screenshot that shows a list of controls and the potential score increase.

Esta ecuación es la misma ecuación para un conector, con solo la palabra suscripción reemplazada por el conector de palabras.

Varias suscripciones y conectores

La ecuación para determinar la puntuación de seguridad para varias suscripciones y conectores es:

Screenshot that shows the equation for calculating the secure score for multiple subscriptions.

La puntuación combinada de varias suscripciones y conectores incluye un peso para cada suscripción y conector. Defender for Cloud determina los pesos relativos de las suscripciones y los conectores en función de factores como el número de recursos. La puntuación actual de cada suscripción y conector se calcula de la misma manera que para una sola suscripción o conector, pero el peso se aplica como se muestra en la ecuación.

Al ver varias suscripciones y conectores, la puntuación de seguridad evalúa todos los recursos de todas las directivas habilitadas y las agrupa. Agruparlos muestra cómo, juntos, afectan a la puntuación máxima de cada control de seguridad.

Screenshot that shows a secure score for multiple subscriptions with all controls enabled.

La puntuación combinada no es un promedio. En su lugar, es la posición evaluada del estado de todos los recursos en todas las suscripciones y conectores. Si va a la página Recomendaciones y agrega los posibles puntos disponibles, observará que esta es la diferencia entre la puntuación actual (22) y la puntuación máxima disponible (58).

Mejora de una puntuación segura

McSB consta de una serie de controles de cumplimiento. Cada control es un grupo lógico de recomendaciones de seguridad relacionadas y refleja las superficies de ataque vulnerables.

Para ver cómo protege su organización cada todas y cada una de las superficies expuesta a ataques, revise las puntuaciones de cada control de seguridad. La puntuación solo mejora cuando corrige todas las recomendaciones.

Para obtener todos los puntos posibles de un control de seguridad, todos los recursos deberán cumplir las recomendaciones de seguridad de ese control. Por ejemplo, Defender for Cloud tiene varias recomendaciones para proteger los puertos de administración. Debe corregirlos todos para marcar la diferencia en la puntuación segura.

Puede mejorar la puntuación segura mediante cualquiera de estos métodos:

  • Corrija las recomendaciones de seguridad de la lista de recomendaciones. Puede corregir manualmente cada recomendación en cada recurso o bien usar la opción Corregir (cuando esté disponible) para resolver el mismo problema en varios recursos rápidamente.
  • Aplique o deniegue recomendaciones para mejorar la puntuación y para asegurarse de que los usuarios no creen recursos que afecten negativamente a la puntuación.

Controles de puntuación de seguridad

En la tabla siguiente se enumeran los controles de seguridad de Microsoft Defender for Cloud. Para cada control, puede ver el número máximo de puntos que puede agregar a la puntuación de seguridad si corrige todas las recomendaciones enumeradas en el control, para todos los recursos.

Puntuación segura Control de seguridad
10 Habilitar MFA: Defender for Cloud coloca un valor alto en MFA. Use estas recomendaciones para ayudar a proteger los usuarios de las suscripciones.

Hay tres maneras de habilitar MFA y cumplir las recomendaciones: valores predeterminados de seguridad, asignación por usuario y directiva de acceso condicional. Más información.
8 Puertos de administración seguros: los ataques por fuerza bruta suelen tener como destino los puertos de administración. Use estas recomendaciones para reducir la exposición con herramientas como acceso a máquinas virtuales Just-In-Time y grupos de seguridad de red.
6 Aplicar actualizaciones del sistema: si no se aplican las actualizaciones, se dejan vulnerabilidades no actualizadas y se producen entornos susceptibles a ataques. Use estas recomendaciones para mantener la eficacia operativa, reducir las vulnerabilidades de seguridad y proporcionar un entorno más estable para los usuarios. Para implementar actualizaciones del sistema, puede usar la solución Update Management para administrar las actualizaciones y las revisiones de las máquinas.
4 Corrección de las configuraciones de seguridad: los recursos de TI mal configurados tienen un mayor riesgo de ser atacados. Use estas recomendaciones para proteger las configuraciones incorrectas identificadas en toda la infraestructura.
4 Administrar el acceso y los permisos: una parte fundamental de un programa de seguridad es asegurarse de que los usuarios solo tienen el acceso necesario para realizar sus trabajos: el modelo de acceso con privilegios mínimos. Use estas recomendaciones para administrar los requisitos de identidad y acceso.
4 Habilitar el cifrado en reposo: use estas recomendaciones para asegurarse de mitigar errores de configuración en torno a la protección de los datos almacenados.
4 Cifrar datos en tránsito: use estas recomendaciones para ayudar a proteger los datos que se mueven entre componentes, ubicaciones o programas. Estos datos son susceptibles a ataques de tipo "Man in the middle", interceptación y secuestro de sesiones.
4 Restricción del acceso de red no autorizado: Azure ofrece un conjunto de herramientas que le ayudan a proporcionar estándares de seguridad elevados para el acceso a través de la red.

Use estas recomendaciones para administrar la protección de red adaptable en Defender for Cloud, asegúrese de configurar Azure Private Link para todos los servicios de plataforma como servicio (PaaS) pertinentes, habilitar Azure Firewall en redes virtuales, etc.
3 Aplicar control de aplicaciones adaptables: el control de aplicaciones adaptable es una solución inteligente, automatizada y de un extremo a otro para controlar qué aplicaciones se pueden ejecutar en las máquinas. También ayuda a proteger los equipos frente a malware.
2 Protección de aplicaciones frente a ataques DDoS: las soluciones de seguridad de red avanzadas en Azure incluyen Azure DDoS Protection, Azure Web Application Firewall y el complemento de Azure Policy para Kubernetes. Use estas recomendaciones para ayudar a proteger las aplicaciones con estas herramientas y otras.
2 Habilitar Endpoint Protection: Defender for Cloud comprueba los puntos de conexión de la organización para detectar amenazas activas y soluciones de respuesta, como Microsoft Defender para punto de conexión o cualquiera de las soluciones principales que se muestran en esta lista.

Si no hay ninguna solución detección y respuesta de puntos de conexión (EDR) habilitada, use estas recomendaciones para implementar Microsoft Defender para punto de conexión. Defender para punto de conexión se incluye en el plan de Defender para servidores.

Otras recomendaciones de este control le ayudan a implementar y configurar la supervisión de la integridad de los archivos.
1 Habilitar auditoría y registro: los registros detallados son una parte fundamental de las investigaciones de incidentes y muchas otras operaciones de solución de problemas. Las recomendaciones de este control se centran en garantizar que habilitó los registros de diagnóstico siempre que sean pertinentes.
0 Habilitar características de seguridad mejoradas: use estas recomendaciones para habilitar los planes de Defender for Cloud.
0 Implementar procedimientos recomendados de seguridad: esta colección de recomendaciones es importante para la seguridad de la organización, pero no afecta a la puntuación de seguridad.

Pasos siguientes

Supervisa la puntuación de seguridad