Directivas de seguridad en Defender for Cloud

  • Artículo

Las directivas de seguridad de Microsoft Defender for Cloud constan de estándares de seguridad y recomendaciones que ayudan a mejorar la posición de seguridad en la nube.

  • Estándares de seguridad: los estándares de seguridad definen reglas, condiciones de cumplimiento para esas reglas y acciones (efectos) que se deben tomar si no se cumplen las condiciones.
  • Recomendaciones de seguridad: los recursos y las cargas de trabajo se evalúan con respecto a los estándares de seguridad habilitados en las suscripciones de Azure, las cuentas de AWS y los proyectos de GCP. En función de esas evaluaciones, las recomendaciones de seguridad proporcionan pasos prácticos para corregir los problemas de seguridad y mejorar la posición de seguridad.

Estándares de seguridad

Los estándares de seguridad de Defender for Cloud proceden de un par de orígenes:

  • Microsoft Cloud Security Benchmark (MCSB). El estándar MCSB se aplica de forma predeterminada al incorporar Defender for Cloud a un grupo de administración o una suscripción. La puntuación segura se basa en la evaluación de algunas recomendaciones de MCSB. Más información.
  • Estándares de cumplimiento normativo. Además de MCSB, al habilitar uno o varios planes de Defender for Cloud, puede agregar estándares desde una amplia gama de programas predefinidos de cumplimiento normativo. Más información.
  • Estándares personalizados. Puede crear estándares de seguridad personalizados en Defender for Cloud y agregar recomendaciones integradas y personalizadas a esos estándares personalizados según sea necesario.

Los estándares de seguridad de Defender for Cloud se basan iniciativas de Azure Policy o en la plataforma nativa de Defender for Cloud. En el momento de redactar este documento (noviembre de 2023), los estándares de AWS y GCP se basan en la plataforma Defender for Cloud, y los de Azure se basan actualmente en Azure Policy.

Los estándares de seguridad de Defender for Cloud simplifican la complejidad de Azure Policy. En la mayoría de los casos, puede trabajar directamente con estándares de seguridad y recomendaciones en el portal de Defender for Cloud, sin necesidad de configurar directamente Azure Policy.

Trabajar con estándares de seguridad

Esto es lo que puede hacer con los estándares de seguridad en Defender for Cloud:

  • Modificar el MCSB integrado para la suscripción: al habilitar Defender for Cloud, el MCSB se asigna automáticamente a todas las suscripciones registradas de Defender for Cloud.

  • Agregar estándares de cumplimiento normativo: si tiene uno o varios planes de pago habilitados, puede asignar estándares de cumplimiento integrados con los que evaluar los recursos de Azure, AWS y GCP. Más información sobre la asignación de estándares normativos

  • Agregar estándares personalizados: si tiene al menos un plan de Defender de pago habilitado, puede definir nuevos estándares Azure, AWS y GCP en el portal de Defender for Cloud y agregar recomendaciones a ellos.

Estándares personalizados

Puede crear estándares personalizados para los recursos de Azure, AWS y GCP.

  • Los estándares personalizados se muestran junto con los estándares integrados en el panel de Cumplimiento normativo.
  • Las recomendaciones derivadas de las evaluaciones de los estándares personalizados aparecen junto con recomendaciones de estándares integrados.
  • Los estándares personalizados pueden contener recomendaciones integradas y personalizadas.

Recomendaciones de seguridad

Defender for Cloud analiza y evalúa de forma periódica y continua el estado de seguridad de los recursos protegidos con respecto a los estándares de seguridad definidos, para identificar posibles errores de configuración y debilidades de seguridad. En función de los resultados de la evaluación, las recomendaciones proporcionan información sobre los problemas y sugieren acciones de corrección.

Cada recomendación proporciona la siguiente información:

  • Descripción breve del problema
  • Pasos de corrección que se deben llevar a cabo para implementar la recomendación.
  • Recursos afectados.
  • Nivel de riesgo
  • Factores de riesgo
  • Rutas de acceso de ataque

Cada recomendación de Defender for Cloud tiene un nivel de riesgo asociado que representa el grado de vulnerabilidad e impacto del problema de seguridad en su entorno. El motor de evaluación de riesgos tiene en cuenta factores como la exposición a Internet, la sensibilidad de los datos, las posibilidades de movimiento lateral, la corrección de rutas de acceso de ataque, etc. Las recomendaciones se pueden priorizar en función de sus niveles de riesgo.

Nota:

Actualmente, la priorización de riesgos está en versión preliminar pública y, por lo tanto, no afecta a la puntuación segura.

Ejemplo

  • El estándar MCSB es una iniciativa de Azure Policy que incluye varios controles de cumplimiento. Uno de estos controles es "Las cuentas de almacenamiento deben restringir el acceso a la red mediante reglas de red virtual".
  • Como Defender for Cloud evalúa y busca continuamente recursos que no cumplen este control, marca los recursos como no compatibles y desencadena una recomendación. En este caso, las instrucciones son proteger las cuentas de Azure Storage que no están protegidas con reglas de red virtual.

Recomendación personalizada (Azure)

Para crear recomendaciones personalizadas para las suscripciones de Azure, actualmente debe usar Azure Policy.

Cree una definición de directiva, asígnela a una iniciativa de directiva y combine esa iniciativa y directiva en Defender for Cloud. Más información.

Recomendaciones personalizadas (AWS/GCP)

  • Para crear recomendaciones personalizadas para los recursos de AWS/GCP, debe tener habilitado el plan de CSPM de Defender.
  • Los estándares personalizados actúan como una agrupación lógica para las recomendaciones personalizadas. Las recomendaciones personalizadas se pueden asignar a uno o varios estándares personalizados.
  • En las recomendaciones personalizadas, especifique un nombre único, una descripción, pasos para la corrección, la gravedad y los estándares a los que se debe asignar la recomendación.
  • Agregue lógica de recomendación con KQL. Un editor de consultas simple proporciona una plantilla de consulta integrada que puede ajustar según sea necesario o puede escribir la consulta de KQL desde cero.

Más información:

Pasos siguientes