Compartir a través de

Protección contra amenazas de Azure

  • Artículo

Azure ofrece la funcionalidad de protección contra amenazas integrada mediante servicios como Microsoft Entra ID, registros de Azure Monitor y Microsoft Defender for Cloud. Esta colección de servicios de seguridad y funcionalidades ofrece una manera sencilla y rápida de comprender lo que ocurre en las implementaciones de Azure.

Azure proporciona una amplia gama de opciones para configurar y personalizar la seguridad para que cumpla los requisitos de las implementaciones de la aplicación. En este artículo se explica cómo cumplir estos requisitos.

Protección de Microsoft Entra ID

Microsoft Entra ID Protection es una función de la edición ID de Microsoft Entra P2 que proporciona información general sobre las detecciones de riesgos y posibles vulnerabilidades que pueden afectar a las identidades de su organización. Identity Protection usa las funcionalidades existentes de detección de anomalías de Microsoft Entra que están disponibles a través de los informes de actividad anómalos de Microsoft Entra e introduce nuevos tipos de detección de riesgos que pueden detectar anomalías en tiempo real.

Diagrama de protección de identificación de Microsoft Entra

En Identity Protection se usan algoritmos y heurística de aprendizaje automático adaptable para detectar anomalías y detecciones de riesgo que es posible que indiquen que una identidad se ha puesto en peligro. Con estos datos, Identity Protection genera informes y alertas que permiten investigar estas detecciones de riesgo y tomar las acciones de corrección o mitigación adecuadas.

Funcionalidades de Identity Protection

Microsoft Entra ID Protection es más que una herramienta de supervisión e informes. Para proteger las identidades de la organización, puede configurar directivas basadas en riesgos que respondan automáticamente a problemas detectados si se alcanza un nivel de riesgo específico. Estas directivas, además de otros controles de acceso condicional proporcionados por microsoft Entra ID y EMS, pueden bloquear o iniciar automáticamente acciones de corrección adaptables, incluidos los restablecimientos de contraseña y el cumplimiento de la autenticación multifactor.

Ejemplos de algunas de las maneras en que Azure Identity Protection puede ayudar a proteger las cuentas e identidades:

Detección de detecciones de riesgos y cuentas de riesgo

  • Detecte seis tipos de detecciones de riesgo mediante el aprendizaje automático y las reglas heurísticas.
  • Calcular los niveles de riesgo del usuario.
  • Proporcionar recomendaciones personalizadas para mejorar la posición de seguridad general al resaltar los puntos vulnerables.

Investigación de detecciones de riesgo

  • Enviar notificaciones de las detecciones de riesgo.
  • Investigar las detecciones de riesgo con información pertinente y contextual.
  • Proporcionar los flujos de trabajo básicos para realizar un seguimiento de las investigaciones.
  • Proporcionar un acceso fácil a las acciones de corrección, como el restablecimiento de contraseñas.

Directivas de acceso condicional basadas en riesgos

  • Mitigar los inicios de sesión peligrosos mediante el bloqueo de los inicios de sesión o requerir desafíos de la autenticación multifactor.
  • Proteger o bloquear cuentas de usuario peligrosas.
  • Exigir a los usuarios que se registren en la autenticación multifactor.

Microsoft Entra Privileged Identity Management (PIM)

Con Microsoft Entra Privileged Identity Management (PIM), puede administrar, controlar y supervisar el acceso dentro de su organización. Esta característica incluye el acceso a los recursos de Microsoft Entra ID y otros servicios en línea de Microsoft, como Microsoft 365 o Microsoft Intune.

Diagrama de Microsoft Entra Privileged Identity Management

PIM ayuda a:

  • Obtener alertas e informes sobre los administradores de Microsoft Entra y el acceso administrativo Just-In-Time (JIT) a los servicios en línea de Microsoft, como Microsoft 365 e Intune.

  • Obtener informes sobre el historial de acceso de administrador y los cambios en las asignaciones de administrador.

  • Obtener alertas sobre el acceso a un rol con privilegios.

Registros de Azure Monitor

Los registros de Azure Monitor son una solución de administración de TI basada en la nube de Microsoft que le ayuda a administrar y proteger la infraestructura local y en la nube. Como los registros de Azure Monitor se implementan como un servicio basado en la nube, puede ponerlos en funcionamiento rápidamente con una inversión mínima en servicios de infraestructura. Las características nuevas de seguridad se entregan de forma automática, lo que supone un ahorro en costos permanentes de mantenimiento y actualización.

Seguridad integral y postura de cumplimiento

Microsoft Defender for Cloud proporciona una vista completa de la posición de seguridad de TI de su organización, con consultas de búsqueda integradas para problemas importantes que requieren su atención. Proporciona información detallada sobre el estado de seguridad de los equipos. También se pueden ver todos los eventos de las últimas 24 horas, siete días o cualquier otro intervalo personalizado.

Los registros de Azure Monitor permiten comprender de forma rápida y sencilla la posición de seguridad global de cualquier entorno, todo ello en el contexto de las operaciones de TI, como la evaluación de actualizaciones de software, la evaluación de antimalware y las líneas base de configuración. Los datos del registro de seguridad son accesibles en todo momento para simplificar los procesos de auditoría de seguridad y cumplimiento.

Insight y Analytics

En el centro de los registros de Azure Monitor se encuentra el repositorio, que se hospeda en Azure.

Diagrama de información y análisis

Los datos se recopilan en el repositorio desde los orígenes conectados mediante la configuración de orígenes de datos y la incorporación de soluciones a la suscripción.

Cada uno de los orígenes de datos y soluciones crea tipos de registros distintos con su propio conjunto de propiedades, pero se pueden seguir analizando de forma conjunta en consultas al repositorio. Se pueden usar las mismas herramientas y métodos para trabajar con una variedad de datos que se recopilan mediante diversos orígenes.

La mayor parte de la interacción con los registros de Azure Monitor se realiza mediante Azure Portal, que se ejecuta en cualquier explorador y proporciona acceso a opciones de configuración y a herramientas para analizar los datos recopilados y realizar acciones en estos. Desde el portal, puede usar:

  • Búsquedas de registros donde se crean consultas para analizar los datos recopilados.
  • Paneles de control, que puede personalizar con vistas gráficas de sus búsquedas más importantes.
  • Soluciones, que proporcionan funcionalidad y herramientas de análisis adicionales.

Las soluciones agregan funcionalidad a los registros de Azure Monitor. Se ejecutan principalmente en la nube y proporcionan análisis de los datos recopilados en el repositorio de Log Analytics. Puede que las soluciones también definan nuevos tipos de registro para recopilar que se pueden analizar con las búsquedas de registros o mediante una interfaz de usuario adicional que la solución proporciona en el panel de Log Analytics.

Defender para la nube es un ejemplo de este tipos de soluciones.

Automatización y control: desviación de la alerta de configuración de seguridad

Azure Automation automatiza los procesos administrativos con runbooks que se basan en PowerShell y se ejecutan en la nube. Los runbooks pueden ejecutarse en un servidor en el centro de datos local para administrar recursos locales. Azure Automation proporciona administración de configuración con Desired State Configuration (DSC) de PowerShell.

Diagrama de Azure Automation

Puede crear y administrar recursos de DSC hospedados en Azure y aplicarlos a los sistemas de nube y locales. Al hacerlo, puede definir y aplicar de forma automática su configuración, o bien obtener informes de la desviación para ayudar a garantizar que las configuraciones de seguridad se ajusten siempre a las directivas.

Microsoft Defender for Cloud

Microsoft Defender for Cloud ayuda a proteger el entorno de nube híbrida. Al realizar evaluaciones de seguridad continuas de los recursos conectados, puede proporcionar recomendaciones de seguridad detalladas para las vulnerabilidades detectadas.

Las recomendaciones de Defender for Cloud se basan en la prueba comparativa de seguridad en la nube de Microsoft: el conjunto de directrices específicos de Azure creados por Microsoft para procedimientos recomendados de seguridad y cumplimiento basados en marcos de cumplimiento comunes. Este punto de referencia ampliamente respetado se basa en los controles del Centro de Seguridad de Internet (CIS) y el Instituto Nacional de Estándares y Tecnología (NIST) con un enfoque en la seguridad centrada en la nube.

La habilitación de las características de seguridad mejoradas de Defender for Cloud ofrece una protección avanzada e inteligente de las cargas de trabajo y recursos de Azure, híbridos y de varias nubes. Obtenga más información en las características de seguridad mejoradas de Microsoft Defender for Cloud.

El panel de protección de cargas de trabajo de Defender for Cloud proporciona visibilidad y control de las características integradas de protección de cargas de trabajo en la nube proporcionadas por una serie de planes de Microsoft Defender :

Un ejemplo del panel de protección de cargas de trabajo de Defender for Cloud.

Sugerencia

Obtenga más información sobre las secciones numeradas en el panel Protección de cargas de trabajo.

Los investigadores de seguridad de Microsoft trabajan sin descanso para localizar amenazas. Tienen acceso al amplio conjunto de recursos de telemetría que les proporciona la presencia global de Microsoft en la nube y en sistemas locales. La amplitud y diversidad de estos conjuntos de datos permite a Microsoft detectar nuevos patrones y tendencias de ataque tanto en sus productos locales, destinados a particulares y empresas, como en sus servicios en línea.

Como resultado, Defender para la nube es capaz de actualizar rápidamente los algoritmos de detección a medida que los atacantes idean nuevas y más sofisticadas vulnerabilidades de seguridad. Este enfoque le ayuda a mantenerse al día en entornos con amenazas que cambian continuamente.

Lista de alertas de seguridad de Microsoft Defender for Cloud

Microsoft Defender para la nube recopila automáticamente información de seguridad de los recursos, la red y las soluciones de asociados conectadas. Analiza estos datos (a menudo, al relacionar la información de diferentes orígenes) para identificar las amenazas.

En Defender para la nube, las alertas de seguridad están clasificadas por prioridad y se incluyen recomendaciones para solucionar la amenaza.

Defender for Cloud utiliza análisis avanzados que superan con creces los enfoques basados en firmas. Los avances en las tecnologías de macrodatos y aprendizaje automático se usan para evaluar eventos en toda la nube. El análisis avanzado puede detectar amenazas que sería imposible identificar mediante enfoques manuales y predice la evolución de los ataques. Estos tipos de análisis de seguridad se tratan en las secciones siguientes.

Información sobre amenazas

Microsoft tiene acceso a una cantidad ingente de información sobre amenazas globales.

Los recursos telemétricos proceden de diferentes fuentes, como Azure, Microsoft 365, Microsoft CRM Online, Microsoft Dynamics AX, outlook.com, MSN.com, la Unidad de crímenes digitales de Microsoft (DCU) y Microsoft Security Response Center (MSRC).

Conclusiones de inteligencia sobre amenazas

Los investigadores también cuentan con la información de inteligencia sobre amenazas que comparten los principales proveedores de servicios en la nube y que procede de fuentes de terceros. Microsoft Defender for Cloud puede usar todos estos datos para avisarle de las amenazas procedentes de actores malintencionados conocidos. Estos son algunos ejemplos:

  • Aprovechar la eficacia del aprendizaje automático: Microsoft Defender for Cloud tiene acceso a una gran cantidad de datos sobre la actividad de red en la nube, que se puede usar para detectar amenazas destinadas a las implementaciones de Azure.

  • Detección de fuerza bruta: el aprendizaje automático se usa para crear un patrón histórico de intentos de acceso remoto, lo que le permite detectar ataques por fuerza bruta contra Secure Shell (SSH), protocolo de escritorio remoto (RDP) y puertos SQL.

  • Detección de DDoS y botnet de salida: un objetivo común de los ataques que tienen como destino los recursos en la nube es usar la potencia de proceso de estos recursos para ejecutar otros ataques.

  • Nuevos servidores y máquinas virtuales de análisis de comportamiento: después de que un servidor o una máquina virtual esté en peligro, los atacantes emplean una amplia variedad de técnicas para ejecutar código malintencionado en ese sistema a la vez que evitan la detección, garantizan la persistencia y obvian los controles de seguridad.

  • Detección de amenazas de Azure SQL Database: detección de amenazas para Azure SQL Database, que identifica actividades anómalas de base de datos que indican intentos inusuales y potencialmente dañinos de acceder a las bases de datos o aprovecharlas.

Análisis del comportamiento

El análisis del comportamiento es una técnica que analiza datos y los compara con una serie de patrones conocidos. No obstante, estos patrones no son simples firmas. Están determinados por unos complejos algoritmos de aprendizaje automático que se aplican a conjuntos de datos masivos.

Hallazgos de análisis de comportamiento

Los patrones también se determinan por medio de un análisis cuidadoso, llevado a cabo por analistas expertos, de los comportamientos malintencionados. Microsoft Defender para la nube puede utilizar el análisis del comportamiento para identificar recursos en peligro a partir del análisis de registros de las máquinas virtuales, registros de los dispositivos de redes virtuales, registros de los tejidos, volcados de memoria y otros orígenes.

Además, los patrones se ponen en correlación con otras señales que se comprueban para fundamentar las pruebas de que se trata una campaña de gran difusión. Dicha correlación permite identificar eventos que se ajustan a unos indicadores de peligro establecidos.

Estos son algunos ejemplos:

  • Ejecución de procesos sospechosos: los atacantes emplean varias técnicas para ejecutar software malintencionado sin detección. Por ejemplo, un atacante podría asignar a un malware los mismos nombres que se usan en los archivos legítimos del sistema, pero colocarlos en otras ubicaciones, usar un nombre muy parecido al de un archivo legítimo o enmascarar la verdadera extensión del archivo. Defender para la nube adapta los comportamientos de los procesos y supervisa su ejecución para detectar valores atípicos como estos.

  • Intentos ocultos de malware y explotación: el malware sofisticado puede eludir los productos antimalware tradicionales nunca escribiendo en el disco o cifrando componentes de software almacenados en el disco. Pero este malware se puede detectar mediante un análisis de memoria, ya que, para funcionar, deja rastros en la memoria. En el momento en que el software se bloquea, un volcado de memoria captura una porción de la memoria. Con un análisis de la memoria durante el volcado, Microsoft Defender para la nube puede detectar las técnicas usadas para aprovechar las vulnerabilidades del software, acceder a información confidencial y permanecer en secreto en un equipo afectado sin que esto afecte a su rendimiento.

  • Movimiento lateral y reconocimiento interno: para conservar en una red en peligro y localizar y recopilar datos valiosos, los atacantes a menudo intentan mover lateralmente de la máquina comprometida a otros dentro de la misma red. Defender para la nube supervisa las actividades de los procesos e inicios de sesión para detectar cualquier intento de expandir el punto de apoyo del atacante en la red, como sondeos de redes de ejecución remota de comandos y enumeración de cuentas.

  • Scripts malintencionados de PowerShell: los atacantes pueden usar PowerShell para ejecutar código malintencionado en máquinas virtuales de destino con diversos fines. Defender para la nube analiza la actividad de PowerShell en busca de evidencias de actividad sospechosa.

  • Ataques salientes: los atacantes suelen dirigirse a recursos en la nube con el objetivo de usar esos recursos para montar ataques adicionales. Por ejemplo, es posible que las máquinas virtuales afectadas se usen para iniciar ataques por fuerza bruta contra otras máquinas virtuales, enviar correo no deseado o buscar puertos abiertos y otros dispositivos en Internet. Gracias a la aplicación del aprendizaje automático en el tráfico de red, Defender para la nube puede detectar cuándo las comunicaciones de red salientes superan la norma establecida. Cuando se detecta correo no deseado, Defender para la nube relaciona el tráfico inusual de correo electrónico con la información de Microsoft 365 para determinar si es probable que el mensaje sea fraudulento o si es el resultado de una campaña de correo electrónico legítima.

Detección de anomalías

Microsoft Defender para la nube también usa la detección de anomalías para identificar amenazas. A diferencia del análisis del comportamiento, que depende de patrones conocidos obtenidos a partir de grandes conjuntos de datos, la detección de anomalías es una técnica más “personalizada” y se basa en referencias que son específicas de las implementaciones. El aprendizaje automático se aplica para determinar la actividad normal de las implementaciones y, después, se generan reglas para definir condiciones de valores atípicos que podrían constituir un evento de seguridad. Veamos un ejemplo:

  • Ataques por fuerza bruta RDP/SSH entrantes: es posible que las implementaciones tengan máquinas virtuales ocupadas con muchos inicios de sesión cada día y otras máquinas virtuales que tengan pocos o ningún inicio de sesión. Microsoft Defender para la nube puede determinar la actividad de referencia de los inicios de sesión de estas máquinas virtuales y utilizar el aprendizaje automático para definir las actividades relacionadas con el inicio de sesión normal. Si hay alguna discrepancia con la línea de base definida para las características relacionadas con el inicio de sesión, es posible que se genere una alerta. Una vez más, es el aprendizaje automático el que se encarga de determinar qué es significativo.

Supervisión continuada de la información sobre amenazas

Microsoft Defender para la nube cuenta con equipos de científicos de datos e investigadores de seguridad de todo el mundo que supervisan sin descanso los cambios que se registran en el terreno de las amenazas. Estos son algunas de las iniciativas que llevan a cabo:

  • Supervisión de la inteligencia sobre amenazas: la inteligencia sobre amenazas incluye mecanismos, indicadores, implicaciones y consejos accionables sobre amenazas existentes o emergentes. Esta información se comparte con la comunidad de seguridad, y Microsoft supervisa sin descanso las fuentes de inteligencia sobre amenazas de orígenes internos y externos.

  • Uso compartido de señales: se comparte y analiza la información que recopilan los equipos de seguridad a partir de la amplia cartera de servicios de Microsoft en la nube y locales, de servidores y de dispositivos cliente de punto de conexión.

  • Especialistas en seguridad de Microsoft: involucración continua con los equipos de Microsoft que trabajan en campos de seguridad especializados, como análisis forenses y detección de ataques web.

  • Optimización de detección: los algoritmos se ejecutan en conjuntos de datos de clientes reales y los investigadores de seguridad trabajan con los clientes para validar los resultados. Los falsos positivos y los positivos verdaderos se utilizan para perfeccionar los algoritmos de aprendizaje automático.

Toda esta combinación de esfuerzos culmina en técnicas de detección nuevas y mejoradas, de las que puede beneficiarse al instante. No es necesaria ninguna acción por su parte.

Microsoft Defender para Storage

Microsoft Defender para Storage es una capa nativa de inteligencia de seguridad de Azure que detecta intentos inusuales y potencialmente dañinos de acceder a las cuentas de almacenamiento o aprovecharlas. Usa funcionalidades avanzadas de detección de amenazas y datos de Inteligencia sobre amenazas de Microsoft para proporcionar alertas de seguridad contextuales. Estas alertas también incluyen pasos para mitigar las amenazas detectadas y evitar ataques futuros.

Características de protección contra amenazas: Otros servicios de Azure

Máquinas virtuales: Microsoft Antimalware

Microsoft antimalware para Azure es una solución de agente único para aplicaciones y entornos de inquilino, diseñados para ejecutarse en segundo plano sin intervención humana. Puede implementar la protección en función de las necesidades de sus cargas de trabajo de aplicaciones, con configuración de protección básica o personalizada avanzada que incluye supervisión antimalware. Azure Antimalware es una opción de seguridad para máquinas virtuales de Azure que se instala automáticamente en todas las máquinas virtuales de PaaS de Azure.

Características principales de Microsoft Antimalware

Estas son las características de Azure que implementan y habilitan Microsoft Antimalware para las aplicaciones:

  • Protección en tiempo real: supervisa la actividad en los servicios en la nube y en las máquinas virtuales para detectar y bloquear la ejecución de malware.

  • Examen programado: realiza periódicamente el examen dirigido para detectar malware, incluidos los programas que se ejecutan activamente.

  • Corrección de malware: actúa automáticamente en malware detectado, como eliminar o poner en cuarentena archivos malintencionados y limpiar entradas de registro malintencionadas.

  • Actualizaciones de firmas: instala automáticamente las firmas de protección más recientes (definiciones de virus) para garantizar que la protección esté actualizada con una frecuencia determinada previamente.

  • Actualizaciones del motor antimalware: actualiza automáticamente el motor de Microsoft Antimalware.

  • Actualizaciones de la plataforma antimalware: actualiza automáticamente la plataforma antimalware de Microsoft.

  • Protección activa: informa de los metadatos de telemetría sobre las amenazas detectadas y los recursos sospechosos a Microsoft Azure para garantizar una respuesta rápida al panorama de amenazas en constante evolución, lo que permite la entrega de firmas sincrónicas en tiempo real a través del sistema de protección activa de Microsoft.

  • Informes de ejemplos: proporciona ejemplos e informa al servicio antimalware de Microsoft para ayudar a refinar el servicio y habilitar la solución de problemas.

  • Exclusiones: permite a los administradores de aplicaciones y servicios configurar determinados archivos, procesos y unidades para excluir la protección y el examen por motivos de rendimiento y otros motivos.

  • Recopilación de eventos antimalware: registra el estado del servicio antimalware, las actividades sospechosas y las acciones de corrección realizadas en el registro de eventos del sistema operativo y las recopila en la cuenta de Almacenamiento de Azure del cliente.

Detección de amenazas de Azure SQL Database

Detección de amenazas de Azure SQL Database es una nueva característica de inteligencia de seguridad integrada en el servicio Azure SQL Database. Estamos trabajando permanentemente para conocer y detectar actividades anómalas de la base de datos y generar perfiles; Detección de amenazas de Azure SQL Database identifica las posibles amenazas a la base de datos.

Los responsables de seguridad u otros administradores designados pueden recibir una notificación inmediata sobre las actividades sospechosas en las bases de datos cuando se producen. Cada notificación proporciona detalles de la actividad sospechosa y recomienda cómo investigar más y mitigar la amenaza.

Actualmente, Detección de amenazas de Azure SQL Database detecta posibles vulnerabilidades y ataques de inyección de SQL, así como patrones de acceso anómalos a las bases de datos.

Al recibir una notificación por correo electrónico de detección de amenazas, los usuarios pueden navegar y ver los registros de auditoría pertinentes a través de un vínculo profundo en el correo electrónico. El vínculo abre un visor de auditoría o una plantilla de Excel de auditoría preconfigurada en la que se muestran los registros de auditoría pertinentes en torno a la hora del evento sospechoso, según lo siguiente:

  • El almacenamiento de información de auditoría para el servidor o la base de datos con las actividades anómalas de la base de datos.

  • La tabla de almacenamiento de información de auditoría correspondiente que se usó en el momento del evento para escribir el registro de auditoría.

  • Los registros de auditoría de la hora inmediatamente posterior a la aparición del evento.

  • Los registros de auditoría con identificadores de evento similares en el momento del evento (opcional para algunos detectores).

Los detectores de amenazas de SQL Database usan una de las metodologías de detección siguientes:

  • Detección determinista: detecta patrones sospechosos (basados en reglas) en las consultas de cliente SQL que coinciden con ataques conocidos. Esta metodología tiene un grado alto de detección y bajo de falsos positivos; pero la cobertura es limitada, ya que se encuentra dentro de la categoría de "detecciones atómicas".

  • Detección de comportamiento: detecta una actividad anómala, que es un comportamiento anómalo en la base de datos que no se ha visto durante los últimos 30 días. Ejemplos de actividad anómala del cliente SQL pueden ser un pico de consultas o inicios de sesión fallidos, un gran volumen de datos extraídos, consultas canónicas inusuales, o bien direcciones IP no familiares que se hayan usado para acceder a la base de datos.

Firewall de aplicaciones web de Application Gateway

El firewall de aplicaciones web (WAF) es una característica de Application Gateway que proporciona protección a las aplicaciones web que usan una puerta de enlace de aplicaciones para las funciones de control de entrega de aplicaciones estándar. El firewall de aplicaciones web lo hace protegiéndolos contra la mayoría de las 10 vulnerabilidades web comunes del proyecto de seguridad de aplicaciones web abiertas (OWASP).

Diagrama del firewall de aplicaciones web de Application Gateway

Las protecciones incluyen lo siguiente:

  • Protección contra la inyección de código SQL.

  • Protección contra scripts entre sitios.

  • Protección contra ataques web comunes, como inyección de comandos, contrabando de solicitudes HTTP, división de respuestas HTTP y ataque remoto de inclusión de archivos.

  • Protección contra infracciones del protocolo HTTP.

  • Protección contra anomalías del protocolo HTTP, como la falta de agentes de usuario de host y encabezados de aceptación.

  • Prevención contra bots, rastreadores y escáneres.

  • Detección de errores de configuración comunes en aplicaciones (es decir, Apache, IIS, etc.).

La configuración de WAF en Application Gateway proporciona las siguientes ventajas:

  • Protección de la aplicación web contra las vulnerabilidades y los ataques web sin modificación del código de back-end.

  • Protección de varias aplicaciones web al mismo tiempo detrás de una instancia de Application Gateway. Una instancia de Application Gateway admite el hospedaje de hasta 20 sitios web.

  • Supervisión de las aplicaciones web de cara a los ataques mediante informes en tiempo real generados por los registros WAF de la puerta de enlace de aplicaciones.

  • Ayuda a cumplir los requisitos de cumplimiento. Algunos controles de cumplimiento requieren que todos los puntos de conexión accesibles desde Internet estén protegidos por una solución WAF.

Defender para aplicaciones en la nube

Defender for Cloud Apps es un componente crítico de la pila de seguridad en la nube de Microsoft. Es una solución integral que ayuda a la organización a medida que avanza para aprovechar al máximo la promesa de las aplicaciones en la nube. Permite mantener el control gracias a la mejor visibilidad de la actividad. También ayuda a aumentar la protección de los datos críticos en todas las aplicaciones de la nube.

Con las herramientas que ayudan a descubrir zonas oscuras de TI, evaluar los riesgos, aplicar directivas, investigar actividades y detener amenazas, la organización puede mover datos a la nube con mayor seguridad y sin perder el control sobre los datos críticos.

Categoría Descripción
Descubra Descubra shadow IT con Defender para aplicaciones en la nube. Gane visibilidad al descubrir aplicaciones, actividades, usuarios, datos y archivos del entorno de la nube. Descubra las aplicaciones de terceros conectadas a su nube.
Investigación Investigue las aplicaciones de nube mediante herramientas forenses de nube en profundidad en las aplicaciones de riesgo o archivos y usuarios específicos de la red. Identifique patrones en los datos recopilados de la nube. Genere informes para supervisar su nube.
Control Mitigue el riesgo al establecer directivas y alertas para lograr el máximo control sobre el tráfico de red en la nube. Use Defender para aplicaciones en la nube para migrar los usuarios a alternativas de aplicaciones de nube seguras y autorizadas.
Protección Use Defender para aplicaciones en la nube para autorizar o prohibir aplicaciones, prevenir la pérdida de datos, otorgar permisos de control, compartir y generar alertas e informes personalizados.
Control Mitigue el riesgo al establecer directivas y alertas para lograr el máximo control sobre el tráfico de red en la nube. Use Defender para aplicaciones en la nube para migrar los usuarios a alternativas de aplicaciones de nube seguras y autorizadas.

Diagrama de Defender for Cloud Apps

Defender para aplicaciones en la nube integra la visibilidad con la nube mediante:

  • El uso de Cloud Discovery para asignar e identificar el entorno de la nube y las aplicaciones de nube que usa la organización.

  • La prohibición y autorización de aplicaciones en la nube.

  • El uso de conectores de aplicaciones fáciles de implementar que aprovechan las ventajas de las API de proveedor, para ganar visibilidad y gobernanza de las aplicaciones a las que se conecte.

  • La ayuda para mantener el control constante mediante la configuración y posterior ajuste permanente de las directivas.

En la recopilación de datos de estos orígenes, Defender para aplicaciones en la nube ejecuta un sofisticado análisis sobre los datos. Le avisa inmediatamente en caso de actividades anómalas y proporciona visibilidad profunda en el entorno de nube. Puede configurar una directiva en Defender para aplicaciones en la nube y usarla para proteger todo el contenido del entorno de nube.

Funcionalidades de protección contra amenazas de terceros a través de Azure Marketplace

Firewall de aplicaciones web

El firewall de aplicaciones web inspecciona el tráfico web entrante y bloquea las inyecciones de SQL, el scripting entre sitios, las cargas de malware, los ataques DDoS de aplicación, así como otros ataques dirigidos a las aplicaciones web. También inspecciona las respuestas de los servidores web back-end para la prevención de pérdida de datos (DLP). El motor de control de acceso integrado permite a los administradores crear directivas de control de acceso pormenorizadas para la autenticación, la autorización y la contabilidad (AAA), lo que proporciona autenticación fiable a las organizaciones así como control sobre los usuarios.

Firewall de aplicaciones web proporciona las ventajas siguientes:

  • Detecta y bloquea las inyecciones de SQL, el scripting entre sitios, las cargas de malware, el DDoS de aplicación y cualquier otro ataque contra la aplicación.

  • Autenticación y control de acceso.

  • Analiza el tráfico saliente para detectar los datos confidenciales y oculta o bloquea la información para que no se filtre.

  • Acelera la entrega de contenido de aplicación web, con funcionalidades como el almacenamiento en caché, la compresión y otras optimizaciones del tráfico.

Para obtener ejemplos de firewalls de aplicaciones web que están disponibles en Azure Marketplace, consulte Barracuda WAF, Firewall de aplicaciones web virtuales Brocade (vWAF), Imperva SecureSphere y el firewall ip de ThreatSTOP.

Paso siguiente

  • Respuesta a las amenazas actuales: ayuda a identificar las amenazas activas que tienen como destino los recursos de Azure y proporciona la información necesaria para responder rápidamente.