Detalles de la iniciativa integrada del cumplimiento normativo de Australian Government ISM PROTECTED

En el siguiente artículo se detalla cómo la definición de la iniciativa integrada del cumplimiento normativo de Azure Policy se asigna a los dominios de cumplimiento y los controles en Australian Government ISM PROTECTED. Para obtener más información sobre este estándar de cumplimiento, vea Australian Government ISM PROTECTED. Para entender el concepto de propiedad, consulte Definición de directivas de Azure Policy y Responsabilidad compartida en la nube.

Las siguientes asignaciones se realizan a los controles de Australian Government ISM PROTECTED. Use el panel de navegación de la derecha para ir directamente a un dominio de cumplimiento específico. Muchos de los controles se implementan con una definición de iniciativa de Azure Policy. Para revisar la definición de iniciativa completa, abra Policy en Azure Portal y seleccione la página Definiciones. A continuación, busque y seleccione la definición de la iniciativa integrada del cumplimiento normativo de [Versión preliminar]: Australian Government ISM PROTECTED.

Importante

Cada control que se muestra a continuación está asociado a una o varias definiciones de Azure Policy. Estas directivas pueden ayudarle a evaluar el cumplimiento mediante el control. Sin embargo, con frecuencia no hay una correspondencia completa o exacta entre un control y una o varias directivas. Como tal, el cumplimiento en Azure Policy solo se refiere a las propias definiciones de directiva; esto no garantiza que se cumpla totalmente con todos los requisitos de un control. Además, el estándar de cumplimiento incluye controles que no se abordan con las definiciones de Azure Policy en este momento. Por lo tanto, el cumplimiento en Azure Policy es solo una vista parcial del estado general de cumplimiento. Las asociaciones entre los dominios de cumplimiento, los controles y las definiciones de Azure Policy para este estándar de cumplimiento pueden cambiar con el tiempo. Para ver el historial de cambios, consulte el historial de confirmación de GitHub.

Instrucciones para la seguridad del personal: acceso a los sistemas y sus recursos

Identificación del usuario: 414

Id. : AU ISM 414

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
MFA debe estar habilitado en las cuentas con permisos de escritura de la suscripción. Multi-Factor Authentication (MFA) debe estar habilitada para todas las cuentas de la suscripción que tengan permisos de escritura, a fin de evitar una brecha de seguridad en las cuentas o los recursos. AuditIfNotExists, Disabled 3.0.0
MFA debe estar habilitada en las cuentas con permisos de propietario en la suscripción Multi-Factor Authentication (MFA) debe estar habilitada para todas las cuentas de la suscripción que tengan permisos de propietario, a fin de evitar una brecha de seguridad en las cuentas o los recursos. AuditIfNotExists, Disabled 3.0.0
MFA debe estar habilitada en las cuentas con permisos de lectura en la suscripción Multi-Factor Authentication (MFA) debe estar habilitada para todas las cuentas de la suscripción que tengan permisos de lectura, a fin de evitar una brecha de seguridad en las cuentas o los recursos. AuditIfNotExists, Disabled 3.0.0

Identificación del usuario: 415

Id. : AU ISM 415

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Agregar una identidad administrada asignada por el sistema para habilitar las asignaciones de configuración de invitado en máquinas virtuales sin identidades Esta directiva agrega una identidad administrada asignada por el sistema a las máquinas virtuales hospedadas en Azure que son compatibles con la configuración de invitado pero no tienen identidades administradas. Una identidad administrada asignada por el sistema es un requisito previo para todas las asignaciones de configuración de invitado y debe agregarse a los equipos antes de usar las definiciones de directiva de la configuración de invitado. Para más información sobre la configuración de invitado, visite https://aka.ms/gcpol. modify 4.0.0
Agregar una identidad administrada asignada por el sistema para habilitar las asignaciones de configuración de invitado en máquinas virtuales con una identidad asignada por el usuario Esta directiva agrega una identidad administrada asignada por el sistema a las máquinas virtuales hospedadas en Azure que son compatibles con la configuración de invitado y que tienen al menos una identidad asignada por el usuario, pero no tienen ninguna identidad administrada asignada por el sistema. Una identidad administrada asignada por el sistema es un requisito previo para todas las asignaciones de configuración de invitado y debe agregarse a los equipos antes de usar las definiciones de directiva de la configuración de invitado. Para más información sobre la configuración de invitado, visite https://aka.ms/gcpol. modify 4.0.0
Auditar las máquinas Windows que tengan los miembros especificados en el grupo de administradores Requiere que los requisitos previos se implementen en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. Las máquinas no son compatibles si el grupo de administradores locales contiene uno o varios de los miembros enumerados en el parámetro de la directiva. auditIfNotExists 2.0.0
Implementar la extensión de configuración de invitado de Windows para permitir las asignaciones de configuración de invitado en máquinas virtuales Windows Esta directiva implementa la extensión de configuración de invitado de Windows en las máquinas virtuales Windows hospedadas en Azure que son compatibles con la configuración de invitado. La extensión de configuración de invitado de Windows es un requisito previo para todas las asignaciones de configuración de invitado de Windows y debe implementarse en las máquinas antes de usar cualquier definición de directiva de configuración de invitado de Windows. Para más información sobre la configuración de invitado, visite https://aka.ms/gcpol. deployIfNotExists 1.2.0

Suspensión del acceso a los sistemas: 430

Id. : AU ISM 430

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Las cuentas en desuso deben quitarse de la suscripción Convendría eliminar las cuentas en desuso de las suscripciones. Las cuentas en desuso son cuentas en las que se ha bloqueado el inicio de sesión. AuditIfNotExists, Disabled 3.0.0
Las cuentas en desuso con permisos de propietario deben quitarse de la suscripción Quitar de la suscripción las cuentas en desuso con permisos de propietario Las cuentas en desuso son cuentas en las que se ha bloqueado el inicio de sesión. AuditIfNotExists, Disabled 3.0.0

Acceso temporal a los sistemas: 441

Id. : AU ISM 441

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Las cuentas en desuso deben quitarse de la suscripción Convendría eliminar las cuentas en desuso de las suscripciones. Las cuentas en desuso son cuentas en las que se ha bloqueado el inicio de sesión. AuditIfNotExists, Disabled 3.0.0
Las cuentas en desuso con permisos de propietario deben quitarse de la suscripción Quitar de la suscripción las cuentas en desuso con permisos de propietario Las cuentas en desuso son cuentas en las que se ha bloqueado el inicio de sesión. AuditIfNotExists, Disabled 3.0.0
Las cuentas externas con permisos de propietario deben quitarse de la suscripción Las cuentas externas con permisos de propietario deben quitarse de la suscripción a fin de evitar el acceso no supervisado. AuditIfNotExists, Disabled 3.0.0
Las cuentas externas con permisos de escritura deben quitarse de la suscripción Las cuentas externas con privilegios de escritura deben quitarse de la suscripción a fin de evitar el acceso no supervisado. AuditIfNotExists, Disabled 3.0.0

Acceso con privilegios a sistemas: 445

Id. : AU ISM 445

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Agregar una identidad administrada asignada por el sistema para habilitar las asignaciones de configuración de invitado en máquinas virtuales sin identidades Esta directiva agrega una identidad administrada asignada por el sistema a las máquinas virtuales hospedadas en Azure que son compatibles con la configuración de invitado pero no tienen identidades administradas. Una identidad administrada asignada por el sistema es un requisito previo para todas las asignaciones de configuración de invitado y debe agregarse a los equipos antes de usar las definiciones de directiva de la configuración de invitado. Para más información sobre la configuración de invitado, visite https://aka.ms/gcpol. modify 4.0.0
Agregar una identidad administrada asignada por el sistema para habilitar las asignaciones de configuración de invitado en máquinas virtuales con una identidad asignada por el usuario Esta directiva agrega una identidad administrada asignada por el sistema a las máquinas virtuales hospedadas en Azure que son compatibles con la configuración de invitado y que tienen al menos una identidad asignada por el usuario, pero no tienen ninguna identidad administrada asignada por el sistema. Una identidad administrada asignada por el sistema es un requisito previo para todas las asignaciones de configuración de invitado y debe agregarse a los equipos antes de usar las definiciones de directiva de la configuración de invitado. Para más información sobre la configuración de invitado, visite https://aka.ms/gcpol. modify 4.0.0
Auditar las máquinas Windows que tengan los miembros especificados en el grupo de administradores Requiere que los requisitos previos se implementen en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. Las máquinas no son compatibles si el grupo de administradores locales contiene uno o varios de los miembros enumerados en el parámetro de la directiva. auditIfNotExists 2.0.0
Implementar la extensión de configuración de invitado de Windows para permitir las asignaciones de configuración de invitado en máquinas virtuales Windows Esta directiva implementa la extensión de configuración de invitado de Windows en las máquinas virtuales Windows hospedadas en Azure que son compatibles con la configuración de invitado. La extensión de configuración de invitado de Windows es un requisito previo para todas las asignaciones de configuración de invitado de Windows y debe implementarse en las máquinas antes de usar cualquier definición de directiva de configuración de invitado de Windows. Para más información sobre la configuración de invitado, visite https://aka.ms/gcpol. deployIfNotExists 1.2.0

Acceso estándar a sistemas: 1503

Id. : AU ISM 1503

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Debe designar un máximo de tres propietarios para la suscripción Se recomienda que designe a un máximo de tres propietarios de suscripción para reducir el riesgo de una brecha de seguridad por parte de un propietario en peligro. AuditIfNotExists, Disabled 3.0.0
Agregar una identidad administrada asignada por el sistema para habilitar las asignaciones de configuración de invitado en máquinas virtuales sin identidades Esta directiva agrega una identidad administrada asignada por el sistema a las máquinas virtuales hospedadas en Azure que son compatibles con la configuración de invitado pero no tienen identidades administradas. Una identidad administrada asignada por el sistema es un requisito previo para todas las asignaciones de configuración de invitado y debe agregarse a los equipos antes de usar las definiciones de directiva de la configuración de invitado. Para más información sobre la configuración de invitado, visite https://aka.ms/gcpol. modify 4.0.0
Agregar una identidad administrada asignada por el sistema para habilitar las asignaciones de configuración de invitado en máquinas virtuales con una identidad asignada por el usuario Esta directiva agrega una identidad administrada asignada por el sistema a las máquinas virtuales hospedadas en Azure que son compatibles con la configuración de invitado y que tienen al menos una identidad asignada por el usuario, pero no tienen ninguna identidad administrada asignada por el sistema. Una identidad administrada asignada por el sistema es un requisito previo para todas las asignaciones de configuración de invitado y debe agregarse a los equipos antes de usar las definiciones de directiva de la configuración de invitado. Para más información sobre la configuración de invitado, visite https://aka.ms/gcpol. modify 4.0.0
Auditar las máquinas Windows que tengan los miembros especificados en el grupo de administradores Requiere que los requisitos previos se implementen en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. Las máquinas no son compatibles si el grupo de administradores locales contiene uno o varios de los miembros enumerados en el parámetro de la directiva. auditIfNotExists 2.0.0
Implementar la extensión de configuración de invitado de Windows para permitir las asignaciones de configuración de invitado en máquinas virtuales Windows Esta directiva implementa la extensión de configuración de invitado de Windows en las máquinas virtuales Windows hospedadas en Azure que son compatibles con la configuración de invitado. La extensión de configuración de invitado de Windows es un requisito previo para todas las asignaciones de configuración de invitado de Windows y debe implementarse en las máquinas antes de usar cualquier definición de directiva de configuración de invitado de Windows. Para más información sobre la configuración de invitado, visite https://aka.ms/gcpol. deployIfNotExists 1.2.0
Debe haber más de un propietario asignado a la suscripción Se recomienda que designe a más de un propietario de la suscripción para tener redundancia de acceso de administrador. AuditIfNotExists, Disabled 3.0.0

Acceso con privilegios a sistemas: 1507

Id. : AU ISM 1507

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Agregar una identidad administrada asignada por el sistema para habilitar las asignaciones de configuración de invitado en máquinas virtuales sin identidades Esta directiva agrega una identidad administrada asignada por el sistema a las máquinas virtuales hospedadas en Azure que son compatibles con la configuración de invitado pero no tienen identidades administradas. Una identidad administrada asignada por el sistema es un requisito previo para todas las asignaciones de configuración de invitado y debe agregarse a los equipos antes de usar las definiciones de directiva de la configuración de invitado. Para más información sobre la configuración de invitado, visite https://aka.ms/gcpol. modify 4.0.0
Agregar una identidad administrada asignada por el sistema para habilitar las asignaciones de configuración de invitado en máquinas virtuales con una identidad asignada por el usuario Esta directiva agrega una identidad administrada asignada por el sistema a las máquinas virtuales hospedadas en Azure que son compatibles con la configuración de invitado y que tienen al menos una identidad asignada por el usuario, pero no tienen ninguna identidad administrada asignada por el sistema. Una identidad administrada asignada por el sistema es un requisito previo para todas las asignaciones de configuración de invitado y debe agregarse a los equipos antes de usar las definiciones de directiva de la configuración de invitado. Para más información sobre la configuración de invitado, visite https://aka.ms/gcpol. modify 4.0.0
Auditar las máquinas Windows que tengan los miembros especificados en el grupo de administradores Requiere que los requisitos previos se implementen en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. Las máquinas no son compatibles si el grupo de administradores locales contiene uno o varios de los miembros enumerados en el parámetro de la directiva. auditIfNotExists 2.0.0
Implementar la extensión de configuración de invitado de Windows para permitir las asignaciones de configuración de invitado en máquinas virtuales Windows Esta directiva implementa la extensión de configuración de invitado de Windows en las máquinas virtuales Windows hospedadas en Azure que son compatibles con la configuración de invitado. La extensión de configuración de invitado de Windows es un requisito previo para todas las asignaciones de configuración de invitado de Windows y debe implementarse en las máquinas antes de usar cualquier definición de directiva de configuración de invitado de Windows. Para más información sobre la configuración de invitado, visite https://aka.ms/gcpol. deployIfNotExists 1.2.0

Acceso con privilegios a sistemas: 1508

Id. : AU ISM 1508

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Debe designar un máximo de tres propietarios para la suscripción Se recomienda que designe a un máximo de tres propietarios de suscripción para reducir el riesgo de una brecha de seguridad por parte de un propietario en peligro. AuditIfNotExists, Disabled 3.0.0
Agregar una identidad administrada asignada por el sistema para habilitar las asignaciones de configuración de invitado en máquinas virtuales sin identidades Esta directiva agrega una identidad administrada asignada por el sistema a las máquinas virtuales hospedadas en Azure que son compatibles con la configuración de invitado pero no tienen identidades administradas. Una identidad administrada asignada por el sistema es un requisito previo para todas las asignaciones de configuración de invitado y debe agregarse a los equipos antes de usar las definiciones de directiva de la configuración de invitado. Para más información sobre la configuración de invitado, visite https://aka.ms/gcpol. modify 4.0.0
Agregar una identidad administrada asignada por el sistema para habilitar las asignaciones de configuración de invitado en máquinas virtuales con una identidad asignada por el usuario Esta directiva agrega una identidad administrada asignada por el sistema a las máquinas virtuales hospedadas en Azure que son compatibles con la configuración de invitado y que tienen al menos una identidad asignada por el usuario, pero no tienen ninguna identidad administrada asignada por el sistema. Una identidad administrada asignada por el sistema es un requisito previo para todas las asignaciones de configuración de invitado y debe agregarse a los equipos antes de usar las definiciones de directiva de la configuración de invitado. Para más información sobre la configuración de invitado, visite https://aka.ms/gcpol. modify 4.0.0
Auditar las máquinas Windows que tengan los miembros especificados en el grupo de administradores Requiere que los requisitos previos se implementen en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. Las máquinas no son compatibles si el grupo de administradores locales contiene uno o varios de los miembros enumerados en el parámetro de la directiva. auditIfNotExists 2.0.0
Implementar la extensión de configuración de invitado de Windows para permitir las asignaciones de configuración de invitado en máquinas virtuales Windows Esta directiva implementa la extensión de configuración de invitado de Windows en las máquinas virtuales Windows hospedadas en Azure que son compatibles con la configuración de invitado. La extensión de configuración de invitado de Windows es un requisito previo para todas las asignaciones de configuración de invitado de Windows y debe implementarse en las máquinas antes de usar cualquier definición de directiva de configuración de invitado de Windows. Para más información sobre la configuración de invitado, visite https://aka.ms/gcpol. deployIfNotExists 1.2.0
Los puertos de administración de las máquinas virtuales deben protegerse con el control de acceso de red Just-In-Time. Azure Security Center supervisará el posible acceso de red Just-In-Time (JIT) como recomendaciones. AuditIfNotExists, Disabled 3.0.0
Debe haber más de un propietario asignado a la suscripción Se recomienda que designe a más de un propietario de la suscripción para tener redundancia de acceso de administrador. AuditIfNotExists, Disabled 3.0.0

Instrucciones para multimedia: uso de multimedia

Uso de multimedia para transferencias de datos: 947

Id. : AU ISM 947

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
MFA debe estar habilitada en las cuentas con permisos de lectura en la suscripción Multi-Factor Authentication (MFA) debe estar habilitada para todas las cuentas de la suscripción que tengan permisos de lectura, a fin de evitar una brecha de seguridad en las cuentas o los recursos. AuditIfNotExists, Disabled 3.0.0

Instrucciones para la segurización del sistema: segurización del sistema operativo

Configuración del sistema operativo: 380

Id. : AU ISM 380

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Las cuentas en desuso deben quitarse de la suscripción Convendría eliminar las cuentas en desuso de las suscripciones. Las cuentas en desuso son cuentas en las que se ha bloqueado el inicio de sesión. AuditIfNotExists, Disabled 3.0.0
Las cuentas en desuso con permisos de propietario deben quitarse de la suscripción Quitar de la suscripción las cuentas en desuso con permisos de propietario Las cuentas en desuso son cuentas en las que se ha bloqueado el inicio de sesión. AuditIfNotExists, Disabled 3.0.0

Versiones del sistema operativo: 1407

Id. : AU ISM 1407

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Se deben instalar las actualizaciones del sistema en los conjuntos de escalado de máquinas virtuales Audite si falta alguna actualización de seguridad del sistema o actualización crítica que deba instalarse para garantizar que los conjuntos de escalado de máquinas virtuales Windows y Linux sean seguros. AuditIfNotExists, Disabled 3.0.0
Se deben instalar actualizaciones del sistema en las máquinas Azure Security Center supervisará las actualizaciones del sistema de seguridad que faltan en los servidores como recomendaciones. AuditIfNotExists, Disabled 4.0.0

Software antivirus: 1417

Id. : AU ISM 1417

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
La solución de protección del punto de conexión debe instalarse en las máquinas virtuales Audite la existencia y el estado de una solución de protección de puntos de conexión en los conjuntos de escalado de máquinas virtuales para protegerlos frente a amenazas y vulnerabilidades. AuditIfNotExists, Disabled 3.0.0
La extensión IaaSAntimalware de Microsoft debe implementarse en servidores Windows. Esta directiva audita cualquier VM de Windows Server sin la extensión IaaSAntimalware de Microsoft implementada. AuditIfNotExists, Disabled 1.1.0
Supervisar la falta de Endpoint Protection en Azure Security Center Azure Security Center supervisará los servidores sin un agente de Endpoint Protection instalado como recomendaciones. AuditIfNotExists, Disabled 3.0.0

Control de aplicaciones: 1490

Id. : AU ISM 1490

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Los controles de aplicaciones adaptables para definir aplicaciones seguras deben estar habilitados en las máquinas Habilite controles de aplicaciones para definir la lista de aplicaciones seguras conocidas que se ejecutan en las máquinas, y recibir avisos cuando se ejecuten otras aplicaciones. Esta directiva también ayuda a proteger las máquinas frente al malware. Para simplificar el proceso de configuración y mantenimiento de las reglas, Security Center usa el aprendizaje automático para analizar las aplicaciones que se ejecutan en cada máquina y sugerir la lista de aplicaciones seguras conocidas. AuditIfNotExists, Disabled 3.0.0

Instrucciones para la segurización del sistema: segurización de la autenticación

Autenticación de factor único: 421

Id. : AU ISM 421

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Agregar una identidad administrada asignada por el sistema para habilitar las asignaciones de configuración de invitado en máquinas virtuales sin identidades Esta directiva agrega una identidad administrada asignada por el sistema a las máquinas virtuales hospedadas en Azure que son compatibles con la configuración de invitado pero no tienen identidades administradas. Una identidad administrada asignada por el sistema es un requisito previo para todas las asignaciones de configuración de invitado y debe agregarse a los equipos antes de usar las definiciones de directiva de la configuración de invitado. Para más información sobre la configuración de invitado, visite https://aka.ms/gcpol. modify 4.0.0
Agregar una identidad administrada asignada por el sistema para habilitar las asignaciones de configuración de invitado en máquinas virtuales con una identidad asignada por el usuario Esta directiva agrega una identidad administrada asignada por el sistema a las máquinas virtuales hospedadas en Azure que son compatibles con la configuración de invitado y que tienen al menos una identidad asignada por el usuario, pero no tienen ninguna identidad administrada asignada por el sistema. Una identidad administrada asignada por el sistema es un requisito previo para todas las asignaciones de configuración de invitado y debe agregarse a los equipos antes de usar las definiciones de directiva de la configuración de invitado. Para más información sobre la configuración de invitado, visite https://aka.ms/gcpol. modify 4.0.0
Implementar la extensión de configuración de invitado de Windows para permitir las asignaciones de configuración de invitado en máquinas virtuales Windows Esta directiva implementa la extensión de configuración de invitado de Windows en las máquinas virtuales Windows hospedadas en Azure que son compatibles con la configuración de invitado. La extensión de configuración de invitado de Windows es un requisito previo para todas las asignaciones de configuración de invitado de Windows y debe implementarse en las máquinas antes de usar cualquier definición de directiva de configuración de invitado de Windows. Para más información sobre la configuración de invitado, visite https://aka.ms/gcpol. deployIfNotExists 1.2.0
Las máquinas Windows deben cumplir los requisitos de "Configuración de seguridad - Directivas de cuenta" Las máquinas Windows deben tener la configuración de directiva de grupo especificada en la categoría "Configuración de seguridad - Directivas de cuenta" para el historial de contraseñas, la antigüedad, la longitud, la complejidad y el almacenamiento de contraseñas mediante cifrado reversible. Esta directiva requiere que los requisitos previos de configuración de invitado se hayan implementado en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. AuditIfNotExists, Disabled 3.0.0

Autenticación multifactor: 1173

Id. : AU ISM 1173

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
MFA debe estar habilitado en las cuentas con permisos de escritura de la suscripción. Multi-Factor Authentication (MFA) debe estar habilitada para todas las cuentas de la suscripción que tengan permisos de escritura, a fin de evitar una brecha de seguridad en las cuentas o los recursos. AuditIfNotExists, Disabled 3.0.0
MFA debe estar habilitada en las cuentas con permisos de propietario en la suscripción Multi-Factor Authentication (MFA) debe estar habilitada para todas las cuentas de la suscripción que tengan permisos de propietario, a fin de evitar una brecha de seguridad en las cuentas o los recursos. AuditIfNotExists, Disabled 3.0.0

Autenticación multifactor: 1384

Id. : AU ISM 1384

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
MFA debe estar habilitado en las cuentas con permisos de escritura de la suscripción. Multi-Factor Authentication (MFA) debe estar habilitada para todas las cuentas de la suscripción que tengan permisos de escritura, a fin de evitar una brecha de seguridad en las cuentas o los recursos. AuditIfNotExists, Disabled 3.0.0
MFA debe estar habilitada en las cuentas con permisos de propietario en la suscripción Multi-Factor Authentication (MFA) debe estar habilitada para todas las cuentas de la suscripción que tengan permisos de propietario, a fin de evitar una brecha de seguridad en las cuentas o los recursos. AuditIfNotExists, Disabled 3.0.0
MFA debe estar habilitada en las cuentas con permisos de lectura en la suscripción Multi-Factor Authentication (MFA) debe estar habilitada para todas las cuentas de la suscripción que tengan permisos de lectura, a fin de evitar una brecha de seguridad en las cuentas o los recursos. AuditIfNotExists, Disabled 3.0.0

Autenticación en sistemas: 1546

Id. : AU ISM 1546

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Agregar una identidad administrada asignada por el sistema para habilitar las asignaciones de configuración de invitado en máquinas virtuales sin identidades Esta directiva agrega una identidad administrada asignada por el sistema a las máquinas virtuales hospedadas en Azure que son compatibles con la configuración de invitado pero no tienen identidades administradas. Una identidad administrada asignada por el sistema es un requisito previo para todas las asignaciones de configuración de invitado y debe agregarse a los equipos antes de usar las definiciones de directiva de la configuración de invitado. Para más información sobre la configuración de invitado, visite https://aka.ms/gcpol. modify 4.0.0
Agregar una identidad administrada asignada por el sistema para habilitar las asignaciones de configuración de invitado en máquinas virtuales con una identidad asignada por el usuario Esta directiva agrega una identidad administrada asignada por el sistema a las máquinas virtuales hospedadas en Azure que son compatibles con la configuración de invitado y que tienen al menos una identidad asignada por el usuario, pero no tienen ninguna identidad administrada asignada por el sistema. Una identidad administrada asignada por el sistema es un requisito previo para todas las asignaciones de configuración de invitado y debe agregarse a los equipos antes de usar las definiciones de directiva de la configuración de invitado. Para más información sobre la configuración de invitado, visite https://aka.ms/gcpol. modify 4.0.0
Auditar las máquinas Linux que permitan conexiones remotas desde cuentas sin contraseña Requiere que los requisitos previos se implementen en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. Las máquinas no son compatibles si las máquinas Linux permiten la conexión remota de cuentas sin contraseña. AuditIfNotExists, Disabled 3.0.0
Auditar las máquinas Linux que tengan cuentas sin contraseña Requiere que los requisitos previos se implementen en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. Las máquinas no son compatibles si las máquinas Linux tienen cuentas sin contraseña. AuditIfNotExists, Disabled 3.0.0
Implementar la extensión de configuración de invitado de Linux para permitir las asignaciones de configuración de invitado en máquinas virtuales Linux Esta directiva implementa la extensión de configuración de invitado de Linux en las máquinas virtuales Linux hospedadas en Azure que son compatibles con la configuración de invitado. La extensión de configuración de invitado de Linux es un requisito previo para todas las asignaciones de configuración de invitado de Linux y debe implementarse en las máquinas antes de usar cualquier definición de directiva de configuración de invitado de Linux. Para más información sobre la configuración de invitado, visite https://aka.ms/gcpol. deployIfNotExists 3.0.0
Los clústeres de Service Fabric solo deben usar Azure Active Directory para la autenticación de cliente Permite auditar el uso de la autenticación de clientes solo mediante Azure Active Directory en Service Fabric Audit, Deny, Disabled 1.1.0
Se debe restringir el acceso de red a las cuentas de almacenamiento El acceso de red a las cuentas de almacenamiento debe estar restringido. Configure reglas de red, solo las aplicaciones de redes permitidas pueden acceder a la cuenta de almacenamiento. Para permitir conexiones desde clientes específicos locales o de Internet, se puede conceder acceso al tráfico procedente de redes virtuales de Azure específicas o a intervalos de direcciones IP de Internet públicas. Audit, Deny, Disabled 1.1.1

Instrucciones para la administración del sistema: administración del sistema

Restricción de flujos de tráfico de administración: 1386

Id. : AU ISM 1386

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Las aplicaciones de App Service deben tener la depuración remota desactivada La depuración remota requiere que se abran puertos de entrada en una aplicación de App Service. Se debe desactivar la depuración remota. AuditIfNotExists, Disabled 2.0.0
Las aplicaciones de funciones deben tener la depuración remota desactivada La depuración remota requiere que se abran puertos de entrada en las aplicaciones de funciones. Se debe desactivar la depuración remota. AuditIfNotExists, Disabled 2.0.0
Los puertos de administración de las máquinas virtuales deben protegerse con el control de acceso de red Just-In-Time. Azure Security Center supervisará el posible acceso de red Just-In-Time (JIT) como recomendaciones. AuditIfNotExists, Disabled 3.0.0

Instrucciones para la administración de sistemas: revisión de sistemas

Cuándo aplicar revisiones para las vulnerabilidades de seguridad: 940

Id. : AU ISM 940

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Debe habilitarse una solución de evaluación de vulnerabilidades en sus máquinas virtuales Audita las máquinas virtuales para detectar si ejecutan una solución de evaluación de vulnerabilidades admitida. Un componente fundamental de cada programa de seguridad y riesgo cibernético es la identificación y el análisis de las vulnerabilidades. El plan de tarifa estándar de Azure Security Center incluye el análisis de vulnerabilidades de las máquinas virtuales sin costo adicional. Además, Security Center puede implementar automáticamente esta herramienta. AuditIfNotExists, Disabled 3.0.0
Las bases de datos SQL deben tener resueltos los hallazgos de vulnerabilidades. Permite supervisar los resultados del examen de evaluación de puntos vulnerables y las recomendaciones para solucionar los de las bases de datos. AuditIfNotExists, Disabled 4.0.0
Las vulnerabilidades en las configuraciones de seguridad de contenedor deben corregirse Audite las vulnerabilidades en la configuración de seguridad de las máquinas con Docker instalado y muéstrelas como recomendaciones en Azure Security Center. AuditIfNotExists, Disabled 3.0.0
Se deben corregir las vulnerabilidades en la configuración de seguridad en las máquinas Azure Security Center supervisará los servidores que no cumplan la línea de base configurada como recomendaciones. AuditIfNotExists, Disabled 3.0.0
Se deben corregir las vulnerabilidades en la configuración de seguridad de los conjuntos de escalado de máquinas virtuales Audite las vulnerabilidades del sistema operativo en los conjuntos de escalado de máquinas virtuales para protegerlos frente a ataques. AuditIfNotExists, Disabled 3.0.0
La configuración de Evaluación de vulnerabilidad para SQL Server debe contener una dirección de correo electrónico para recibir los informes de los exámenes Asegúrese de que se proporcione una dirección de correo electrónico para el campo "Enviar informes de examen a" en la opción Evaluación de vulnerabilidad. Esta dirección de correo electrónico recibe un resumen del resultado del análisis después de ejecutar un examen periódico en los servidores SQL Server. AuditIfNotExists, Disabled 2.0.0
La evaluación de vulnerabilidades debe estar habilitada en Instancia administrada de SQL Audita cada servicio SQL Managed Instance que no tiene habilitado los exámenes de evaluación de vulnerabilidades periódicos. La evaluación de vulnerabilidades permite detectar las vulnerabilidades potenciales de la base de datos, así como hacer un seguimiento y ayudar a corregirlas. AuditIfNotExists, Disabled 1.0.1
La evaluación de vulnerabilidades debe estar activada en sus servidores de SQL Server Audita los servidores Azure SQL Server que no tienen habilitados los exámenes de evaluación de vulnerabilidades periódicos. La evaluación de vulnerabilidades permite detectar las vulnerabilidades potenciales de la base de datos, así como hacer un seguimiento y ayudar a corregirlas. AuditIfNotExists, Disabled 2.0.0

Cuándo aplicar revisiones para las vulnerabilidades de seguridad: 1144

Id. : AU ISM 1144

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Debe habilitarse una solución de evaluación de vulnerabilidades en sus máquinas virtuales Audita las máquinas virtuales para detectar si ejecutan una solución de evaluación de vulnerabilidades admitida. Un componente fundamental de cada programa de seguridad y riesgo cibernético es la identificación y el análisis de las vulnerabilidades. El plan de tarifa estándar de Azure Security Center incluye el análisis de vulnerabilidades de las máquinas virtuales sin costo adicional. Además, Security Center puede implementar automáticamente esta herramienta. AuditIfNotExists, Disabled 3.0.0
Las bases de datos SQL deben tener resueltos los hallazgos de vulnerabilidades. Permite supervisar los resultados del examen de evaluación de puntos vulnerables y las recomendaciones para solucionar los de las bases de datos. AuditIfNotExists, Disabled 4.0.0
Las vulnerabilidades en las configuraciones de seguridad de contenedor deben corregirse Audite las vulnerabilidades en la configuración de seguridad de las máquinas con Docker instalado y muéstrelas como recomendaciones en Azure Security Center. AuditIfNotExists, Disabled 3.0.0
Se deben corregir las vulnerabilidades en la configuración de seguridad en las máquinas Azure Security Center supervisará los servidores que no cumplan la línea de base configurada como recomendaciones. AuditIfNotExists, Disabled 3.0.0
Se deben corregir las vulnerabilidades en la configuración de seguridad de los conjuntos de escalado de máquinas virtuales Audite las vulnerabilidades del sistema operativo en los conjuntos de escalado de máquinas virtuales para protegerlos frente a ataques. AuditIfNotExists, Disabled 3.0.0
La configuración de Evaluación de vulnerabilidad para SQL Server debe contener una dirección de correo electrónico para recibir los informes de los exámenes Asegúrese de que se proporcione una dirección de correo electrónico para el campo "Enviar informes de examen a" en la opción Evaluación de vulnerabilidad. Esta dirección de correo electrónico recibe un resumen del resultado del análisis después de ejecutar un examen periódico en los servidores SQL Server. AuditIfNotExists, Disabled 2.0.0
La evaluación de vulnerabilidades debe estar habilitada en Instancia administrada de SQL Audita cada servicio SQL Managed Instance que no tiene habilitado los exámenes de evaluación de vulnerabilidades periódicos. La evaluación de vulnerabilidades permite detectar las vulnerabilidades potenciales de la base de datos, así como hacer un seguimiento y ayudar a corregirlas. AuditIfNotExists, Disabled 1.0.1
La evaluación de vulnerabilidades debe estar activada en sus servidores de SQL Server Audita los servidores Azure SQL Server que no tienen habilitados los exámenes de evaluación de vulnerabilidades periódicos. La evaluación de vulnerabilidades permite detectar las vulnerabilidades potenciales de la base de datos, así como hacer un seguimiento y ayudar a corregirlas. AuditIfNotExists, Disabled 2.0.0

Cuándo aplicar revisiones para las vulnerabilidades de seguridad: 1472

Id. : AU ISM 1472

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Debe habilitarse una solución de evaluación de vulnerabilidades en sus máquinas virtuales Audita las máquinas virtuales para detectar si ejecutan una solución de evaluación de vulnerabilidades admitida. Un componente fundamental de cada programa de seguridad y riesgo cibernético es la identificación y el análisis de las vulnerabilidades. El plan de tarifa estándar de Azure Security Center incluye el análisis de vulnerabilidades de las máquinas virtuales sin costo adicional. Además, Security Center puede implementar automáticamente esta herramienta. AuditIfNotExists, Disabled 3.0.0
Las bases de datos SQL deben tener resueltos los hallazgos de vulnerabilidades. Permite supervisar los resultados del examen de evaluación de puntos vulnerables y las recomendaciones para solucionar los de las bases de datos. AuditIfNotExists, Disabled 4.0.0
Las vulnerabilidades en las configuraciones de seguridad de contenedor deben corregirse Audite las vulnerabilidades en la configuración de seguridad de las máquinas con Docker instalado y muéstrelas como recomendaciones en Azure Security Center. AuditIfNotExists, Disabled 3.0.0
Se deben corregir las vulnerabilidades en la configuración de seguridad en las máquinas Azure Security Center supervisará los servidores que no cumplan la línea de base configurada como recomendaciones. AuditIfNotExists, Disabled 3.0.0
Se deben corregir las vulnerabilidades en la configuración de seguridad de los conjuntos de escalado de máquinas virtuales Audite las vulnerabilidades del sistema operativo en los conjuntos de escalado de máquinas virtuales para protegerlos frente a ataques. AuditIfNotExists, Disabled 3.0.0
La configuración de Evaluación de vulnerabilidad para SQL Server debe contener una dirección de correo electrónico para recibir los informes de los exámenes Asegúrese de que se proporcione una dirección de correo electrónico para el campo "Enviar informes de examen a" en la opción Evaluación de vulnerabilidad. Esta dirección de correo electrónico recibe un resumen del resultado del análisis después de ejecutar un examen periódico en los servidores SQL Server. AuditIfNotExists, Disabled 2.0.0
La evaluación de vulnerabilidades debe estar habilitada en Instancia administrada de SQL Audita cada servicio SQL Managed Instance que no tiene habilitado los exámenes de evaluación de vulnerabilidades periódicos. La evaluación de vulnerabilidades permite detectar las vulnerabilidades potenciales de la base de datos, así como hacer un seguimiento y ayudar a corregirlas. AuditIfNotExists, Disabled 1.0.1
La evaluación de vulnerabilidades debe estar activada en sus servidores de SQL Server Audita los servidores Azure SQL Server que no tienen habilitados los exámenes de evaluación de vulnerabilidades periódicos. La evaluación de vulnerabilidades permite detectar las vulnerabilidades potenciales de la base de datos, así como hacer un seguimiento y ayudar a corregirlas. AuditIfNotExists, Disabled 2.0.0

Cuándo aplicar revisiones para las vulnerabilidades de seguridad: 1494

Id. : AU ISM 1494

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Debe habilitarse una solución de evaluación de vulnerabilidades en sus máquinas virtuales Audita las máquinas virtuales para detectar si ejecutan una solución de evaluación de vulnerabilidades admitida. Un componente fundamental de cada programa de seguridad y riesgo cibernético es la identificación y el análisis de las vulnerabilidades. El plan de tarifa estándar de Azure Security Center incluye el análisis de vulnerabilidades de las máquinas virtuales sin costo adicional. Además, Security Center puede implementar automáticamente esta herramienta. AuditIfNotExists, Disabled 3.0.0
Las bases de datos SQL deben tener resueltos los hallazgos de vulnerabilidades. Permite supervisar los resultados del examen de evaluación de puntos vulnerables y las recomendaciones para solucionar los de las bases de datos. AuditIfNotExists, Disabled 4.0.0
Las vulnerabilidades en las configuraciones de seguridad de contenedor deben corregirse Audite las vulnerabilidades en la configuración de seguridad de las máquinas con Docker instalado y muéstrelas como recomendaciones en Azure Security Center. AuditIfNotExists, Disabled 3.0.0
Se deben corregir las vulnerabilidades en la configuración de seguridad en las máquinas Azure Security Center supervisará los servidores que no cumplan la línea de base configurada como recomendaciones. AuditIfNotExists, Disabled 3.0.0
Se deben corregir las vulnerabilidades en la configuración de seguridad de los conjuntos de escalado de máquinas virtuales Audite las vulnerabilidades del sistema operativo en los conjuntos de escalado de máquinas virtuales para protegerlos frente a ataques. AuditIfNotExists, Disabled 3.0.0
La configuración de Evaluación de vulnerabilidad para SQL Server debe contener una dirección de correo electrónico para recibir los informes de los exámenes Asegúrese de que se proporcione una dirección de correo electrónico para el campo "Enviar informes de examen a" en la opción Evaluación de vulnerabilidad. Esta dirección de correo electrónico recibe un resumen del resultado del análisis después de ejecutar un examen periódico en los servidores SQL Server. AuditIfNotExists, Disabled 2.0.0
La evaluación de vulnerabilidades debe estar habilitada en Instancia administrada de SQL Audita cada servicio SQL Managed Instance que no tiene habilitado los exámenes de evaluación de vulnerabilidades periódicos. La evaluación de vulnerabilidades permite detectar las vulnerabilidades potenciales de la base de datos, así como hacer un seguimiento y ayudar a corregirlas. AuditIfNotExists, Disabled 1.0.1
La evaluación de vulnerabilidades debe estar activada en sus servidores de SQL Server Audita los servidores Azure SQL Server que no tienen habilitados los exámenes de evaluación de vulnerabilidades periódicos. La evaluación de vulnerabilidades permite detectar las vulnerabilidades potenciales de la base de datos, así como hacer un seguimiento y ayudar a corregirlas. AuditIfNotExists, Disabled 2.0.0

Cuándo aplicar revisiones para las vulnerabilidades de seguridad: 1495

Id. : AU ISM 1495

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Debe habilitarse una solución de evaluación de vulnerabilidades en sus máquinas virtuales Audita las máquinas virtuales para detectar si ejecutan una solución de evaluación de vulnerabilidades admitida. Un componente fundamental de cada programa de seguridad y riesgo cibernético es la identificación y el análisis de las vulnerabilidades. El plan de tarifa estándar de Azure Security Center incluye el análisis de vulnerabilidades de las máquinas virtuales sin costo adicional. Además, Security Center puede implementar automáticamente esta herramienta. AuditIfNotExists, Disabled 3.0.0
Las bases de datos SQL deben tener resueltos los hallazgos de vulnerabilidades. Permite supervisar los resultados del examen de evaluación de puntos vulnerables y las recomendaciones para solucionar los de las bases de datos. AuditIfNotExists, Disabled 4.0.0
Las vulnerabilidades en las configuraciones de seguridad de contenedor deben corregirse Audite las vulnerabilidades en la configuración de seguridad de las máquinas con Docker instalado y muéstrelas como recomendaciones en Azure Security Center. AuditIfNotExists, Disabled 3.0.0
Se deben corregir las vulnerabilidades en la configuración de seguridad en las máquinas Azure Security Center supervisará los servidores que no cumplan la línea de base configurada como recomendaciones. AuditIfNotExists, Disabled 3.0.0
Se deben corregir las vulnerabilidades en la configuración de seguridad de los conjuntos de escalado de máquinas virtuales Audite las vulnerabilidades del sistema operativo en los conjuntos de escalado de máquinas virtuales para protegerlos frente a ataques. AuditIfNotExists, Disabled 3.0.0
La configuración de Evaluación de vulnerabilidad para SQL Server debe contener una dirección de correo electrónico para recibir los informes de los exámenes Asegúrese de que se proporcione una dirección de correo electrónico para el campo "Enviar informes de examen a" en la opción Evaluación de vulnerabilidad. Esta dirección de correo electrónico recibe un resumen del resultado del análisis después de ejecutar un examen periódico en los servidores SQL Server. AuditIfNotExists, Disabled 2.0.0
La evaluación de vulnerabilidades debe estar habilitada en Instancia administrada de SQL Audita cada servicio SQL Managed Instance que no tiene habilitado los exámenes de evaluación de vulnerabilidades periódicos. La evaluación de vulnerabilidades permite detectar las vulnerabilidades potenciales de la base de datos, así como hacer un seguimiento y ayudar a corregirlas. AuditIfNotExists, Disabled 1.0.1
La evaluación de vulnerabilidades debe estar activada en sus servidores de SQL Server Audita los servidores Azure SQL Server que no tienen habilitados los exámenes de evaluación de vulnerabilidades periódicos. La evaluación de vulnerabilidades permite detectar las vulnerabilidades potenciales de la base de datos, así como hacer un seguimiento y ayudar a corregirlas. AuditIfNotExists, Disabled 2.0.0

Cuándo aplicar revisiones para las vulnerabilidades de seguridad: 1496

Id. : AU ISM 1496

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Debe habilitarse una solución de evaluación de vulnerabilidades en sus máquinas virtuales Audita las máquinas virtuales para detectar si ejecutan una solución de evaluación de vulnerabilidades admitida. Un componente fundamental de cada programa de seguridad y riesgo cibernético es la identificación y el análisis de las vulnerabilidades. El plan de tarifa estándar de Azure Security Center incluye el análisis de vulnerabilidades de las máquinas virtuales sin costo adicional. Además, Security Center puede implementar automáticamente esta herramienta. AuditIfNotExists, Disabled 3.0.0
Las bases de datos SQL deben tener resueltos los hallazgos de vulnerabilidades. Permite supervisar los resultados del examen de evaluación de puntos vulnerables y las recomendaciones para solucionar los de las bases de datos. AuditIfNotExists, Disabled 4.0.0
Las vulnerabilidades en las configuraciones de seguridad de contenedor deben corregirse Audite las vulnerabilidades en la configuración de seguridad de las máquinas con Docker instalado y muéstrelas como recomendaciones en Azure Security Center. AuditIfNotExists, Disabled 3.0.0
Se deben corregir las vulnerabilidades en la configuración de seguridad en las máquinas Azure Security Center supervisará los servidores que no cumplan la línea de base configurada como recomendaciones. AuditIfNotExists, Disabled 3.0.0
Se deben corregir las vulnerabilidades en la configuración de seguridad de los conjuntos de escalado de máquinas virtuales Audite las vulnerabilidades del sistema operativo en los conjuntos de escalado de máquinas virtuales para protegerlos frente a ataques. AuditIfNotExists, Disabled 3.0.0
La configuración de Evaluación de vulnerabilidad para SQL Server debe contener una dirección de correo electrónico para recibir los informes de los exámenes Asegúrese de que se proporcione una dirección de correo electrónico para el campo "Enviar informes de examen a" en la opción Evaluación de vulnerabilidad. Esta dirección de correo electrónico recibe un resumen del resultado del análisis después de ejecutar un examen periódico en los servidores SQL Server. AuditIfNotExists, Disabled 2.0.0
La evaluación de vulnerabilidades debe estar habilitada en Instancia administrada de SQL Audita cada servicio SQL Managed Instance que no tiene habilitado los exámenes de evaluación de vulnerabilidades periódicos. La evaluación de vulnerabilidades permite detectar las vulnerabilidades potenciales de la base de datos, así como hacer un seguimiento y ayudar a corregirlas. AuditIfNotExists, Disabled 1.0.1
La evaluación de vulnerabilidades debe estar activada en sus servidores de SQL Server Audita los servidores Azure SQL Server que no tienen habilitados los exámenes de evaluación de vulnerabilidades periódicos. La evaluación de vulnerabilidades permite detectar las vulnerabilidades potenciales de la base de datos, así como hacer un seguimiento y ayudar a corregirlas. AuditIfNotExists, Disabled 2.0.0

Instrucciones para la administración del sistema: copia de seguridad y restauración de datos

Realización de copias de seguridad: 1511

Id. : AU ISM 1511

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Auditoría de máquinas virtuales sin la recuperación ante desastres configurada Audita las máquinas virtuales que no tienen configurada la recuperación ante desastres. Para más información acerca de la recuperación ante desastres, visite https://aka.ms/asr-doc. auditIfNotExists 1.0.0

Instrucciones para la supervisión del sistema: registro de eventos y auditoría

Eventos que se registrarán: 582

Id. : AU ISM 582

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Auditar la configuración de diagnóstico Audite la configuración de diagnóstico para los tipos de recursos seleccionados. AuditIfNotExists 1.1.0
Las máquinas virtuales deben conectarse a un área de trabajo especificada Notifica que las máquinas virtuales no son compatibles si no se registran en el área de trabajo de Log Analytics especificada en la asignación de la directiva o iniciativa. AuditIfNotExists, Disabled 1.1.0

Eventos que se registrarán: 1537

Id. : AU ISM 1537

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Auditar la configuración de diagnóstico Audite la configuración de diagnóstico para los tipos de recursos seleccionados. AuditIfNotExists 1.1.0
Se debe habilitar Azure Defender para SQL en las instancias de Azure SQL Server desprotegidas Auditoría de los servidores de SQL sin Advanced Data Security AuditIfNotExists, Disabled 2.0.1
Azure Defender para SQL debe habilitarse en las instancias de SQL Managed Instances desprotegidas Permite auditr cada servicio SQL Managed Instance sin Advanced Data Security. AuditIfNotExists, Disabled 1.0.2

Instrucciones para el desarrollo de software: desarrollo de aplicaciones web

Controles de seguridad basados en explorador web: 1424

Id. : AU ISM 1424

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Las aplicaciones de App Service no deberían tener CORS configurado para permitir que todos los recursos accedan a sus aplicaciones El uso compartido de recursos entre orígenes (CORS) no debe permitir que todos los dominios accedan a la aplicación. Permita la interacción con la aplicación solo de los dominios requeridos. AuditIfNotExists, Disabled 2.0.0

Interacciones de aplicaciones web: 1552

Id. : AU ISM 1552

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Las aplicaciones de App Service solo deben ser accesibles a través de HTTPS El uso de HTTPS garantiza la autenticación del servicio y el servidor, y protege los datos en tránsito frente a ataques de intercepción de nivel de red. Audit, Disabled, Deny 3.0.0
Las aplicaciones de funciones solo deberían ser accesibles a través de HTTPS El uso de HTTPS garantiza la autenticación del servicio y el servidor, y protege los datos en tránsito frente a ataques de intercepción de nivel de red. Audit, Disabled 3.0.0
Solo se deben habilitar las conexiones seguras a la instancia de Azure Cache for Redis. Permite auditar la habilitación solo de conexiones a Azure Cache for Redis a través de SSL. El uso de conexiones seguras garantiza la autenticación entre el servidor y el servicio, y protege los datos en tránsito de ataques de nivel de red, como "man in-the-middle", interceptación y secuestro de sesión Audit, Deny, Disabled 1.0.0

Instrucciones para los sistemas de base de datos: servidores de bases de datos

Comunicaciones entre servidores de bases de datos y servidores web: 1277

Id. : AU ISM 1277

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Agregar una identidad administrada asignada por el sistema para habilitar las asignaciones de configuración de invitado en máquinas virtuales sin identidades Esta directiva agrega una identidad administrada asignada por el sistema a las máquinas virtuales hospedadas en Azure que son compatibles con la configuración de invitado pero no tienen identidades administradas. Una identidad administrada asignada por el sistema es un requisito previo para todas las asignaciones de configuración de invitado y debe agregarse a los equipos antes de usar las definiciones de directiva de la configuración de invitado. Para más información sobre la configuración de invitado, visite https://aka.ms/gcpol. modify 4.0.0
Agregar una identidad administrada asignada por el sistema para habilitar las asignaciones de configuración de invitado en máquinas virtuales con una identidad asignada por el usuario Esta directiva agrega una identidad administrada asignada por el sistema a las máquinas virtuales hospedadas en Azure que son compatibles con la configuración de invitado y que tienen al menos una identidad asignada por el usuario, pero no tienen ninguna identidad administrada asignada por el sistema. Una identidad administrada asignada por el sistema es un requisito previo para todas las asignaciones de configuración de invitado y debe agregarse a los equipos antes de usar las definiciones de directiva de la configuración de invitado. Para más información sobre la configuración de invitado, visite https://aka.ms/gcpol. modify 4.0.0
Implementar la extensión de configuración de invitado de Windows para permitir las asignaciones de configuración de invitado en máquinas virtuales Windows Esta directiva implementa la extensión de configuración de invitado de Windows en las máquinas virtuales Windows hospedadas en Azure que son compatibles con la configuración de invitado. La extensión de configuración de invitado de Windows es un requisito previo para todas las asignaciones de configuración de invitado de Windows y debe implementarse en las máquinas antes de usar cualquier definición de directiva de configuración de invitado de Windows. Para más información sobre la configuración de invitado, visite https://aka.ms/gcpol. deployIfNotExists 1.2.0
Solo se deben habilitar las conexiones seguras a la instancia de Azure Cache for Redis. Permite auditar la habilitación solo de conexiones a Azure Cache for Redis a través de SSL. El uso de conexiones seguras garantiza la autenticación entre el servidor y el servicio, y protege los datos en tránsito de ataques de nivel de red, como "man in-the-middle", interceptación y secuestro de sesión Audit, Deny, Disabled 1.0.0
Se debe habilitar la transferencia segura a las cuentas de almacenamiento Permite auditar el requisito de transferencia segura en la cuenta de almacenamiento. La transferencia segura es una opción que obliga a la cuenta de almacenamiento a aceptar solamente solicitudes de conexiones seguras (HTTPS). El uso de HTTPS garantiza la autenticación entre el servidor y el servicio, y protege los datos en tránsito de ataques de nivel de red, como los de tipo "Man in the middle", interceptación y secuestro de sesión Audit, Deny, Disabled 2.0.0
Los servidores web de Windows deben estar configurados para usar protocolos de comunicación seguros Para proteger la privacidad de la información que se comunica a través de Internet, los servidores web deben usar la versión más reciente del protocolo criptográfico estándar del sector, Seguridad de la capa de transporte (TLS). TLS protege las comunicaciones que se realizan a través de una red mediante el uso de certificados de seguridad para cifrar una conexión entre máquinas. AuditIfNotExists, Disabled 4.0.0

Protección del contenido del servidor de bases de datos: 1425

Id. : AU ISM 1425

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
El cifrado de datos transparente en bases de datos SQL debe estar habilitado El cifrado de datos transparente debe estar habilitado para proteger los datos en reposo y satisfacer los requisitos de cumplimiento. AuditIfNotExists, Disabled 2.0.0
Las máquinas virtuales deben cifrar los discos temporales, las cachés y los flujos de datos entre los recursos de Proceso y Almacenamiento De manera predeterminada, los discos del sistema operativo y de datos de una máquina virtual se cifran en reposo mediante claves administradas por la plataforma. Los discos temporales, las memorias caché de datos y los datos que fluyen entre el proceso y el almacenamiento no se cifran. Ignore esta recomendación si: 1. Se utiliza el cifrado en el host, o 2. El cifrado del lado servidor en Managed Disks cumple sus requisitos de seguridad. Obtenga más información en: Cifrado del lado servidor de Azure Disk Storage: https://aka.ms/disksse, Diferentes ofertas de cifrado de disco: https://aka.ms/diskencryptioncomparison AuditIfNotExists, Disabled 2.0.3

Instrucciones para los sistemas de base de datos: software del sistema de administración de bases de datos

Cuentas de administrador de base de datos: 1260

Id. : AU ISM 1260

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
El administrador de Azure Active Directory debe aprovisionarse para servidores SQL Server Permite aprovisionar un administrador de Azure Active Directory para SQL Server a fin de habilitar la autenticación de Azure AD. La autenticación de Azure AD permite la administración simplificada de permisos y la administración centralizada de identidades de usuarios de base de datos y otros servicios de Microsoft AuditIfNotExists, Disabled 1.0.0

Cuentas de administrador de base de datos: 1261

Id. : AU ISM 1261

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
El administrador de Azure Active Directory debe aprovisionarse para servidores SQL Server Permite aprovisionar un administrador de Azure Active Directory para SQL Server a fin de habilitar la autenticación de Azure AD. La autenticación de Azure AD permite la administración simplificada de permisos y la administración centralizada de identidades de usuarios de base de datos y otros servicios de Microsoft AuditIfNotExists, Disabled 1.0.0

Cuentas de administrador de base de datos: 1262

Id. : AU ISM 1262

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
El administrador de Azure Active Directory debe aprovisionarse para servidores SQL Server Permite aprovisionar un administrador de Azure Active Directory para SQL Server a fin de habilitar la autenticación de Azure AD. La autenticación de Azure AD permite la administración simplificada de permisos y la administración centralizada de identidades de usuarios de base de datos y otros servicios de Microsoft AuditIfNotExists, Disabled 1.0.0

Cuentas de administrador de base de datos: 1263

Id. : AU ISM 1263

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
El administrador de Azure Active Directory debe aprovisionarse para servidores SQL Server Permite aprovisionar un administrador de Azure Active Directory para SQL Server a fin de habilitar la autenticación de Azure AD. La autenticación de Azure AD permite la administración simplificada de permisos y la administración centralizada de identidades de usuarios de base de datos y otros servicios de Microsoft AuditIfNotExists, Disabled 1.0.0

Cuentas de administrador de base de datos: 1264

Id. : AU ISM 1264

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
El administrador de Azure Active Directory debe aprovisionarse para servidores SQL Server Permite aprovisionar un administrador de Azure Active Directory para SQL Server a fin de habilitar la autenticación de Azure AD. La autenticación de Azure AD permite la administración simplificada de permisos y la administración centralizada de identidades de usuarios de base de datos y otros servicios de Microsoft AuditIfNotExists, Disabled 1.0.0

Instrucciones para las redes: diseño y configuración de red

Controles de acceso a la red: 520

Id. : AU ISM 520

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Se debe restringir el acceso de red a las cuentas de almacenamiento El acceso de red a las cuentas de almacenamiento debe estar restringido. Configure reglas de red, solo las aplicaciones de redes permitidas pueden acceder a la cuenta de almacenamiento. Para permitir conexiones desde clientes específicos locales o de Internet, se puede conceder acceso al tráfico procedente de redes virtuales de Azure específicas o a intervalos de direcciones IP de Internet públicas. Audit, Deny, Disabled 1.1.1

Controles de acceso a la red: 1182

Id. : AU ISM 1182

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Las recomendaciones de protección de red adaptable se deben aplicar en las máquinas virtuales accesibles desde Internet Azure Security Center analiza los patrones de tráfico de máquinas virtuales orientadas a Internet y proporciona recomendaciones de reglas de grupo de seguridad de red que reducen la superficie de ataque potencial. AuditIfNotExists, Disabled 3.0.0
Las máquinas virtuales accesibles desde Internet deben estar protegidas con grupos de seguridad de red Proteja sus máquinas virtuales de posibles amenazas limitando el acceso a ellas con grupos de seguridad de red (NSG). Más información sobre cómo controlar el tráfico con los grupos de seguridad de red en https://aka.ms/nsg-doc. AuditIfNotExists, Disabled 3.0.0
Se debe restringir el acceso de red a las cuentas de almacenamiento El acceso de red a las cuentas de almacenamiento debe estar restringido. Configure reglas de red, solo las aplicaciones de redes permitidas pueden acceder a la cuenta de almacenamiento. Para permitir conexiones desde clientes específicos locales o de Internet, se puede conceder acceso al tráfico procedente de redes virtuales de Azure específicas o a intervalos de direcciones IP de Internet públicas. Audit, Deny, Disabled 1.1.1

Instrucciones para las redes: continuidad del servicio para servicios en línea

Estrategias de denegación de servicio: 1431

Id. : AU ISM 1431

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Azure DDoS Protection Standard debe estar habilitado El estándar de protección DDoS debe estar habilitado en todas las redes virtuales que tengan una subred que forme parte de una instancia de Application Gateway con una dirección IP pública. AuditIfNotExists, Disabled 3.0.0

Instrucciones para la criptografía: fundamentos criptográficos

Cifrado de datos en reposo: 459

Id. : AU ISM 459

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Las máquinas virtuales deben cifrar los discos temporales, las cachés y los flujos de datos entre los recursos de Proceso y Almacenamiento De manera predeterminada, los discos del sistema operativo y de datos de una máquina virtual se cifran en reposo mediante claves administradas por la plataforma. Los discos temporales, las memorias caché de datos y los datos que fluyen entre el proceso y el almacenamiento no se cifran. Ignore esta recomendación si: 1. Se utiliza el cifrado en el host, o 2. El cifrado del lado servidor en Managed Disks cumple sus requisitos de seguridad. Obtenga más información en: Cifrado del lado servidor de Azure Disk Storage: https://aka.ms/disksse, Diferentes ofertas de cifrado de disco: https://aka.ms/diskencryptioncomparison AuditIfNotExists, Disabled 2.0.3

Instrucciones para la criptografía: seguridad de la capa de transporte

Uso de la seguridad de la capa de transporte: 1139

Id. : AU ISM 1139

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Agregar una identidad administrada asignada por el sistema para habilitar las asignaciones de configuración de invitado en máquinas virtuales sin identidades Esta directiva agrega una identidad administrada asignada por el sistema a las máquinas virtuales hospedadas en Azure que son compatibles con la configuración de invitado pero no tienen identidades administradas. Una identidad administrada asignada por el sistema es un requisito previo para todas las asignaciones de configuración de invitado y debe agregarse a los equipos antes de usar las definiciones de directiva de la configuración de invitado. Para más información sobre la configuración de invitado, visite https://aka.ms/gcpol. modify 4.0.0
Agregar una identidad administrada asignada por el sistema para habilitar las asignaciones de configuración de invitado en máquinas virtuales con una identidad asignada por el usuario Esta directiva agrega una identidad administrada asignada por el sistema a las máquinas virtuales hospedadas en Azure que son compatibles con la configuración de invitado y que tienen al menos una identidad asignada por el usuario, pero no tienen ninguna identidad administrada asignada por el sistema. Una identidad administrada asignada por el sistema es un requisito previo para todas las asignaciones de configuración de invitado y debe agregarse a los equipos antes de usar las definiciones de directiva de la configuración de invitado. Para más información sobre la configuración de invitado, visite https://aka.ms/gcpol. modify 4.0.0
Las aplicaciones de App Service deben usar la última versión de TLS Actualice a la versión más reciente de TLS. AuditIfNotExists, Disabled 2.0.0
Implementar la extensión de configuración de invitado de Windows para permitir las asignaciones de configuración de invitado en máquinas virtuales Windows Esta directiva implementa la extensión de configuración de invitado de Windows en las máquinas virtuales Windows hospedadas en Azure que son compatibles con la configuración de invitado. La extensión de configuración de invitado de Windows es un requisito previo para todas las asignaciones de configuración de invitado de Windows y debe implementarse en las máquinas antes de usar cualquier definición de directiva de configuración de invitado de Windows. Para más información sobre la configuración de invitado, visite https://aka.ms/gcpol. deployIfNotExists 1.2.0
Las aplicaciones de funciones deben usar la última versión de TLS Actualice a la versión más reciente de TLS. AuditIfNotExists, Disabled 2.0.0
Los servidores web de Windows deben estar configurados para usar protocolos de comunicación seguros Para proteger la privacidad de la información que se comunica a través de Internet, los servidores web deben usar la versión más reciente del protocolo criptográfico estándar del sector, Seguridad de la capa de transporte (TLS). TLS protege las comunicaciones que se realizan a través de una red mediante el uso de certificados de seguridad para cifrar una conexión entre máquinas. AuditIfNotExists, Disabled 4.0.0

Instrucciones para las puertas de enlace: filtrado de contenido

Examen antivirus: 1288

Id. : AU ISM 1288

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
La solución de protección del punto de conexión debe instalarse en las máquinas virtuales Audite la existencia y el estado de una solución de protección de puntos de conexión en los conjuntos de escalado de máquinas virtuales para protegerlos frente a amenazas y vulnerabilidades. AuditIfNotExists, Disabled 3.0.0
La extensión IaaSAntimalware de Microsoft debe implementarse en servidores Windows. Esta directiva audita cualquier VM de Windows Server sin la extensión IaaSAntimalware de Microsoft implementada. AuditIfNotExists, Disabled 1.1.0
Supervisar la falta de Endpoint Protection en Azure Security Center Azure Security Center supervisará los servidores sin un agente de Endpoint Protection instalado como recomendaciones. AuditIfNotExists, Disabled 3.0.0

Pasos siguientes

Artículos adicionales sobre Azure Policy: