Compartir a través de

Línea de base de seguridad de Azure para Microsoft Fabric

Esta línea de base de seguridad aplica instrucciones de microsoft cloud security benchmark versión 1.0 a Microsoft Fabric. El banco de pruebas de seguridad en la nube de Microsoft proporciona recomendaciones sobre cómo proteger las soluciones en la nube en Azure. El contenido se agrupa mediante los controles de seguridad definidos por el banco de pruebas de seguridad en la nube de Microsoft y las instrucciones relacionadas aplicables a Microsoft Fabric.

Cuando una característica tiene definiciones de Azure Policy pertinentes, se muestran en esta línea de base para ayudarle a medir el cumplimiento de los controles y recomendaciones de pruebas comparativas de seguridad en la nube de Microsoft. Algunas recomendaciones pueden requerir un plan de Microsoft Defender de pago para habilitar determinados escenarios de seguridad.

Seguridad de redes

Para obtener más información, consulte Pruebas comparativas de seguridad en la nube de Microsoft: Seguridad de red.

NS-1: Establecer límites de segmentación de red

Guía: Cree y use puntos de conexión privados administrados para cuadernos , lakehouses y definiciones de trabajos de Spark para conectarse de forma segura a los orígenes de datos detrás de puntos de conexión privados.

Responsabilidad: Compartido

NS-2: Protección de servicios nativos en la nube con controles de red

Guía: Microsoft Fabric admite la conexión del inquilino de Fabric a un punto de conexión de vínculo privado y la deshabilitación del acceso público a Internet

NOTA: Microsoft Fabric es un servicio SaaS que se basa en microsoft Entra ID como proveedor de autenticación. El control de tráfico de red entrante para un servicio SaaS se puede lograr mediante directivas de acceso condicional de Id. de Microsoft Entra.

Responsabilidad: Compartido

NS-3: Implementación de un firewall en el perímetro de la red empresarial

Guía: Microsoft Fabric como una oferta de SaaS hospedada en la infraestructura de Azure, Microsoft tiene algunas protecciones automáticas integradas para vectores de ataque comunes conocidos.

Responsabilidad: Microsoft

NS-4: Implementación de sistemas de prevención y detección de intrusiones (IDS/IPS)

Guía: Microsoft Fabric no tiene características explícitas integradas de detección de intrusiones y sistemas de prevención de intrusiones (IDS/IPS). Microsoft Fabric es un servicio de Azure Core basado en servicios fundamentales de Azure que tienen algunas protecciones automáticas integradas para vectores de ataque comunes conocidos, así como opciones configurables por el cliente. Microsoft Fabric proporciona acceso a los registros de actividad y auditoría que los clientes pueden aprovechar para la supervisión de actividades:

Responsabilidad: Compartido

NS-5: Desplegar protección contra DDOS

Guía: Microsoft Fabric tiene protección DDoS integrada para escenarios de ataque comunes. Microsoft administra y controla estas opciones.

Responsabilidad: Microsoft

NS-6: Implementación de un firewall de aplicaciones web

Guía: Microsoft Fabric tiene WAF integrado administrado y controlado por Microsoft.

Responsabilidad: Microsoft

NS-7: Simplificación de la configuración de seguridad de red [N/A]

Guía: N/A. Microsoft Fabric no expone configuraciones subyacentes; Microsoft mantiene esta configuración.

NS-8: Detección y deshabilitación de protocolos y servicios no seguros [N/A]

Guía: N/A. Microsoft Fabric no expone configuraciones subyacentes; Microsoft mantiene esta configuración.

NS-9: Conexión privada a una red local o en la nube

Guía: Microsoft Fabric proporciona compatibilidad con la red virtual y las puertas de enlace de datos locales.

Responsabilidad: Cliente

NS-10: Garantizar la seguridad del sistema de nombres de dominio (DNS) [N/A]

Guía: N/A. Microsoft Fabric no expone sus configuraciones de DNS subyacentes; Microsoft mantiene esta configuración.

Administración de identidades

Para más información, consulte Pruebas comparativas de seguridad en la nube de Microsoft: Administración de identidades.

IM-1: Uso del sistema de autenticación e identidad centralizado

Guía: Microsoft Fabric se integra con el identificador de Entra de Microsoft , que es el servicio de administración de identidades y acceso predeterminados de Azure. Debe estandarizar el identificador de Entra de Microsoft para controlar la administración de identidades y acceso de su organización.

Proteger el identificador de Entra de Microsoft debe ser una prioridad alta en la práctica de seguridad en la nube de su organización. Microsoft Entra ID proporciona una puntuación segura de identidad para ayudarle a evaluar la posición de seguridad de identidad en relación con las recomendaciones de procedimientos recomendados de Microsoft. Use la puntuación para medir el nivel de coincidencia de la configuración con las recomendaciones de procedimientos recomendados y para realizar mejoras en la posición de seguridad.

Nota: Microsoft Entra ID admite identidades externas que permiten a los usuarios sin una cuenta microsoft iniciar sesión en sus aplicaciones y recursos con su identidad externa. Para el escenario del usuario invitado de Microsoft Fabric, consulte la página B2B siguiente.

Responsabilidad: Cliente

IM-2: Protección de sistemas de identidad y autenticación

Guía: proteja la identidad y el sistema de autenticación como prioridad alta en la práctica de seguridad en la nube de su organización. Use la línea de base de seguridad de Microsoft Entra ID y la puntuación de seguridad de identidad de Microsoft Entra ID para evaluar la posición de seguridad de la identidad de Microsoft Entra ID y corregir las brechas de seguridad y configuración.

Responsabilidad: Cliente

IM-3: Administrar identidades de aplicación de forma segura y automática

Guía: use identidades administradas en lugar de cuentas humanas para acceder a los recursos. Reducen la exposición de credenciales y admiten la rotación automatizada de credenciales para mejorar la seguridad. Microsoft Fabric, Power BI y Power BI Embedded admiten el uso de identidades de área de trabajo y entidades de servicio. Power BI Embedded admite perfiles de principios de servicio.

Responsabilidad: Cliente

IM-4: Autenticación del servidor y los servicios

Guía: Autenticación de servidores remotos mediante TLS para garantizar conexiones de confianza. Los clientes comprueban los certificados de servidor de las entidades de confianza. Los clientes deben asegurarse de que sus procesos de ingesta de datos estén adecuadamente protegidos. Microsoft Fabric aplica TLS 1.2+ en todas las conexiones.

Responsabilidad: Cliente

IM-5: Uso del inicio de sesión único (SSO) para el acceso a aplicaciones

Guía: Use el inicio de sesión único (SSO) para simplificar la experiencia del usuario para autenticarse en recursos, incluidas las aplicaciones y los datos en los servicios en la nube y en entornos locales.

Microsoft Fabric usa el identificador de Entra de Microsoft para proporcionar administración de identidades y acceso a recursos de Azure, aplicaciones en la nube y aplicaciones locales. Esto incluye no solo las identidades empresariales, como los empleados, sino también las identidades externas, como asociados y proveedores. Esto habilita el inicio de sesión único para administrar y proteger el acceso a los datos y recursos de su organización locales y en la nube.

Responsabilidad: Cliente

IM-6: Uso de controles de autenticación seguros

Guía: Aplique controles de autenticación seguros con un sistema centralizado de administración de identidades y autenticación para todo el acceso a los recursos.

Microsoft Fabric se basa en el identificador de Entra de Microsoft para autenticar a los usuarios (o entidades de servicio). Cuando se autentica, los usuarios reciben tokens de acceso de Microsoft Entra ID.

Responsabilidad: Cliente

IM-7: Restringir el acceso a los recursos en función de las condiciones

Guía: valide explícitamente las señales de confianza para permitir o denegar el acceso de los usuarios a los recursos, como parte de un modelo de acceso de confianza cero. El acceso condicional de Microsoft Entra ID garantiza que los inquilinos sean seguros mediante la aplicación de la autenticación multifactor, lo que permite que solo los dispositivos inscritos en Intune accedan a servicios específicos y restrinjan las ubicaciones de usuario y los intervalos IP.

Responsabilidad: Cliente

IM-8: Restricción de la exposición de credenciales y secretos

Guía: Una identidad del área de trabajo de Fabric es una entidad de servicio administrada sin credenciales que proporciona autenticación para los elementos de Fabric mediante la conexión a los recursos admitidos por Microsoft Entra.

Para los elementos de Microsoft Fabric, se recomienda implementar El analizador de credenciales para identificar las credenciales en el código. El escáner de credenciales también fomenta el traslado de credenciales detectadas a ubicaciones más seguras, como Azure Key Vault.

Para GitHub, puede usar características de examen de secretos nativos para identificar credenciales u otra forma de secretos dentro del código.

Responsabilidad: Cliente

IM-9: Protección del acceso de usuario a las aplicaciones existentes

Guía: Microsoft Fabric admite la conexión a orígenes de datos locales a través de la puerta de enlace de datos local, transfiriendo datos de forma segura desde el entorno local a elementos de Fabric como Dataflow Gen2 y modelos semánticos.

Responsabilidad: Cliente

Acceso con privilegios

Para obtener más información, consulte Pruebas comparativas de seguridad en la nube de Microsoft: Acceso con privilegios | Microsoft Learn

PA-1: Separar y limitar usuarios con privilegios elevados o administrativos

Guía: asegúrese de identificar todas las cuentas de alto impacto empresarial de Microsoft Fabric, como Fabric o administradores globales. Limite el número de cuentas con privilegios o administrativos en el plano de control de Microsoft Fabric, el plano de administración y el plano de datos o carga de trabajo. Debe proteger todos los roles con acceso administrativo directo o indirecto. Considere la posibilidad de usar Privileged Identity Management (PIM) y entidades de servicio con permisos específicos de la tarea (por ejemplo, acceso de solo lectura de SPN a las API de administración). Tenga cuidado y precaución al delegar la configuración en la capacidad y los administradores del área de trabajo

Responsabilidad: Cliente

PA-2: Evitar el acceso permanente para las cuentas de usuario y los permisos [N/A]

Guía: N/A

PA-3: Administración del ciclo de vida de identidades y derechos

Guía: use un proceso automatizado u otro control técnico adecuado para supervisar y administrar los permisos de acceso al inquilino y sus elementos.

Responsabilidad: Cliente

PA-4: Revisar y conciliar el acceso de los usuarios con regularidad

Guía: Como administrador de servicios de Microsoft Fabric, puede analizar el uso de todos los recursos de Fabric en el nivel de inquilino mediante informes personalizados basados en los registros de actividad o auditoría de Microsoft 365. Puede descargar las actividades mediante una API REST o un cmdlet de PowerShell. También puede filtrar los datos de actividad por intervalo de fechas, usuario y tipo de actividad.

Debe cumplir estos requisitos para acceder al registro de actividad:

  • Debe ser un administrador global o un administrador de inquilinos de servicio de Fabric.

  • Ha instalado los cmdlets de administración de Power BI localmente o ha usado los cmdlets de administración de Power BI en Azure Cloud Shell.

Una vez cumplidos estos requisitos, puede seguir las instrucciones siguientes para realizar un seguimiento de la actividad del usuario en Fabric:

Realice revisiones de acceso de usuario normales para asegurarse de que los permisos se establecen correctamente en función de la función empresarial y del usuario.

Responsabilidad: Cliente

PA-5: Configurar el acceso de emergencia [N/A]

Guía: N/A

PA-6: Uso de estaciones de trabajo con privilegios de acceso

Guía: Las estaciones de trabajo aisladas protegidas son importantes para la seguridad de roles confidenciales, como administradores, desarrolladores y operadores de servicio críticos. Use estaciones de trabajo de usuario altamente seguras o Azure Bastion para tareas administrativas relacionadas con la administración de Microsoft Fabric. Use microsoft Entra ID, Protección contra amenazas avanzada de Microsoft Defender (ATP) o Microsoft Intune para implementar una estación de trabajo de usuario segura y administrada para tareas administrativas. Las estaciones de trabajo protegidas se pueden administrar de forma centralizada para aplicar una configuración segura, como autenticación sólida, líneas de base de software y hardware y acceso lógico y de red restringido.

Use directivas de acceso condicional para aplicar inicios de sesión con privilegios elevados solo proceden de dispositivos compatibles en intervalos IP permitidos.

Responsabilidad: Cliente

PA-7: Siga el principio de administración suficiente (privilegios mínimos)

Guía: siga el principio de administración (privilegios mínimos) just-enough para administrar los permisos en un nivel específico. Use características como el control de acceso basado en rol (RBAC) para administrar el acceso a los recursos a través de asignaciones de roles. Consulte el modelo de permisos en PA-3.

Responsabilidad: Cliente

PA-8 Determinar el proceso de acceso para la compatibilidad con proveedores de nube

Guía: establezca un proceso de aprobación y una ruta de acceso para solicitar y aprobar solicitudes de soporte técnico del proveedor y acceso temporal a los datos a través de un canal seguro. En escenarios de soporte técnico en los que Microsoft necesita acceder a los datos, use caja de seguridad del cliente para revisar y aprobar o rechazar cada solicitud de acceso a datos realizada por Microsoft.

Responsabilidad: Cliente

Protección de datos

Para obtener más información, consulte Pruebas comparativas de seguridad en la nube de Microsoft: protección de datos | Microsoft Learn

DP-1: Detectar, clasificar y etiquetar datos confidenciales

Guía: Use etiquetas de confidencialidad de Microsoft Purview Information Protection en los elementos de Microsoft Fabric para proteger el contenido confidencial contra el acceso y la pérdida de datos no autorizados. Use etiquetas de confidencialidad de Microsoft Purview Information Protection para clasificar y etiquetar los informes, paneles, conjuntos de datos, flujos de datos y otros elementos del servicio Microsoft Fabric y para proteger el contenido confidencial contra el acceso a datos no autorizados y la pérdida cuando el contenido se exporta de Microsoft Fabric a formatos de archivo que admiten etiquetas como Excel, PowerPoint y archivos PDF.

Responsabilidad: Cliente

DP-2: Supervisión de anomalías y amenazas dirigidas a datos confidenciales

Guía: Use las directivas de prevención de pérdida de datos de Microsoft Purview para detectar la carga de datos confidenciales y desencadenar problemas automáticos de corrección de riesgos.

DP-3: Cifrar datos confidenciales en tránsito

Guía: Asegúrese de que el tráfico HTTP, que los clientes y orígenes de datos que se conectan a los recursos de Microsoft Fabric pueden negociar TLS v1.2 o superior.

Responsabilidad: Cliente

DP-4: Habilitar el cifrado de datos en reposo de forma predeterminada

Guía: Microsoft Fabric cifra todos los datos en reposo y en tránsito. De forma predeterminada, Microsoft Fabric usa claves administradas por Microsoft para cifrar los datos.

Responsabilidad: Microsoft

DP-5: Usar la opción de clave administrada por el cliente en el cifrado de datos en reposo cuando sea necesario

Guía: Si es necesario para el cumplimiento normativo, defina el caso de uso y el ámbito de servicio donde se necesita la opción de clave administrada por el cliente. Habilite e implemente el cifrado de datos en reposo mediante claves administradas por el cliente en el servicio Microsoft Fabric. Las organizaciones pueden optar por usar sus propias claves para el cifrado de datos en reposo para los modelos semánticos importados hospedados en áreas de trabajo en capacidades Premium.

Responsabilidad: Cliente

DP-6: Uso de un proceso seguro de administración de claves

Guía: use un servicio de almacén de claves seguro para la generación, distribución y almacenamiento de claves. Gire y revoque las claves en función de la programación definida según lo requerido por los estándares aplicables y cuando haya una retirada o riesgo clave.

NOTA: Power BI BYOK admite la importación de claves HSM en AKV Premium.

Responsabilidad: Cliente

DP-7: Usar un proceso seguro de administración de certificados [N/A]

Guía: N/A

DP-8: Garantizar la seguridad del repositorio de claves y certificados [N/A]

Guía: N/A

Administración de activos

Para obtener más información, consulte Pruebas comparativas de seguridad en la nube de Microsoft : Administración de recursos | Microsoft Learn

AM-1: Realización de un seguimiento del inventario de recursos y sus riesgos

Guía: Como servicio SaaS, Microsoft supervisa el inventario físico de hardware y dispositivos. Para la supervisión de los recursos de Fabric, use fabric Scanner API para configurar el examen de metadatos de los elementos de Fabric de la organización.

Responsabilidad: Compartido

AM-2: Usar solo servicios aprobados

Guía: Use directivas de Azure para controlar quién puede aprovisionar capacidades de Fabric. Asegúrese de que solo se pueden usar cargas de trabajo aprobadas de Microsoft Fabric en el inquilino mediante la auditoría y restricción de las cargas de trabajo que los usuarios pueden crear y acceder al inquilino. Use la combinación de controles delegados de inquilino, capacidad o área de trabajo Administrador que proporcionan este nivel de control.

Responsabilidad: Cliente

AM-3: Confirmación de la seguridad de la administración del ciclo de vida de los recursos

Guía: establezca o actualice las directivas o procesos de seguridad que aborden los procesos de administración del ciclo de vida de los recursos para realizar modificaciones potencialmente de alto impacto. Estas modificaciones incluyen cambios en el acceso, el nivel de confidencialidad de los datos, la configuración de red y la asignación de privilegios administrativos al inquilino, las capacidades y las áreas de trabajo de Microsoft Fabric.

Identifique y quite los recursos de Microsoft Fabric cuando ya no sean necesarios.

Responsabilidad: Cliente

AM-4: Limitación del acceso a la administración de recursos

Guía: use el principio de privilegios mínimos al asignar permisos de usuario a inquilinos, áreas de trabajo y artefactos. Asegúrese de que el número de usuarios con roles con privilegios elevados es limitado. Limite el acceso de los usuarios a las características de administración de Microsoft Fabric para evitar modificaciones accidentales o malintencionadas de los elementos del inquilino de Microsoft Fabric.

Responsabilidad: Cliente

AM-5: Usar solo aplicaciones aprobadas en la máquina virtual [N/A]

Guía: N/A

Registro de eventos y detección de amenazas

Para obtener más información, Prueba comparativa de seguridad en la nube de Microsoft: registro y detección de amenazas | Microsoft Learn

LT-1: Habilitación de las funcionalidades de detección de amenazas

Guía: Para admitir escenarios de detección de amenazas, supervise todos los tipos de recursos conocidos para amenazas y anomalías conocidas y esperadas. Configure las reglas de análisis y filtrado de alertas para extraer alertas de alta calidad de los datos de registro, agentes u otros orígenes de datos para reducir los falsos positivos. La actividad y el registro de Microsoft 365 en el inquilino de Microsoft Fabric están habilitados de forma predeterminada.

Responsabilidad: Cliente

LT-2: Habilitación de la detección de amenazas para la administración de identidades y acceso de Azure

Guía: reenvíe los registros de Microsoft Fabric a su SIEM que se pueden usar para configurar detecciones de amenazas personalizadas. Además, use controles de Microsoft Defender for Cloud Apps en Power BI para habilitar la detección de anomalías siguiendo la guía Uso de controles de Microsoft Defender for Cloud Apps en Power BI.

Responsabilidad: Cliente

LT-3: Habilitación del registro para la investigación de seguridad

Guía: Los registros de actividad y auditoría de Microsoft Fabric están habilitados de forma predeterminada. Hay opciones de registro y supervisión adicionales disponibles y configurables en el nivel de área de trabajo para recursos de alto valor.

Responsabilidad: Cliente

LT-4: Habilitación del registro de red para la investigación de seguridad

Guía: Microsoft Fabric es una oferta saaS totalmente administrada y la configuración y el registro de red subyacentes son responsabilidad de Microsoft. Para los clientes que usan Private Links, hay disponible un registro y una supervisión que se pueden configurar.

Responsabilidad: Compartido

LT-5: Centralizar la administración y el análisis de los registros de seguridad

Guía: Microsoft Fabric centraliza los registros en dos lugares: el registro de actividad de Power BI y el registro de auditoría unificado. Estos registros contienen una copia completa de los datos de auditoría de Microsoft Fabric, pero hay varias diferencias clave, como se resume a continuación.

Registro de auditoría unificado:

  • Incluye eventos de SharePoint Online, Exchange Online, Dynamics 365 y otros servicios además de los eventos de auditoría de Power BI y Microsoft Fabric.

  • Solo tienen acceso, como administradores globales y auditores, los usuarios con permisos Registros de auditoría o Registros de auditoría de solo lectura.

  • Los administradores globales y auditores pueden buscar en el registro de auditoría unificado mediante el portal XDR de Microsoft Defender y el portal de Microsoft Purview.

  • Los administradores globales y auditores pueden descargar entradas del registro de auditoría mediante las API y cmdlets de administración de Microsoft 365.

  • Mantiene los datos de auditoría durante 180 días.

  • Conserva los datos de auditoría, incluso si el inquilino se mueve a otra región de Azure.

Registro de actividad de Power BI:

  • Incluye solo los eventos de auditoría de Microsoft Fabric y Power BI.

  • Los administradores globales y los administradores de servicios de Microsoft Fabric tienen acceso.

  • Los administradores globales y los administradores de servicios de Microsoft Fabric pueden descargar entradas del registro de actividad mediante un cmdlet de administración y API REST de Power BI.

  • Mantiene los datos de actividad durante 30 días.

  • No conserva los datos de actividad cuando el inquilino se mueve a otra región de Azure.

Para obtener más información, consulte las referencias siguientes:

Responsabilidad: Cliente

LT-6: Configuración de la retención del almacenamiento de registros

Guía: configure las directivas de retención de almacenamiento para los registros de auditoría según los requisitos de cumplimiento, regulación y negocio.

Responsabilidad: Cliente

LT-7: Uso de orígenes de sincronización de hora aprobados

Guía: Microsoft Fabric no admite la configuración de sus propios orígenes de sincronización de hora. El servicio Microsoft Fabric se basa en orígenes de sincronización de hora de Microsoft y no se expone a los clientes para la configuración.

Responsabilidad: Microsoft

Respuesta a incidentes

Prueba comparativa de seguridad en la nube de Microsoft: respuesta a incidentes | Microsoft Learn

PIR-1: Preparación: actualización del plan de respuesta ante incidentes y del proceso de control

Guía: actualice el proceso de respuesta a incidentes de su organización para incluir el control de incidentes en Microsoft Fabric. En función de las cargas de trabajo de Microsoft Fabric usadas y las aplicaciones que dependen de Microsoft Fabric, personalice el plan de respuesta a incidentes y el cuaderno de estrategias para asegurarse de que se pueden usar para responder al incidente en el entorno en la nube.

Responsabilidad: Cliente

IR-2: Preparación: configuración de la notificación de incidentes

Guía: Configure la información de contacto de incidentes de seguridad en Microsoft Defender for Cloud. Microsoft usa esta información de contacto para ponerse en contacto con usted si el Centro de respuesta de seguridad de Microsoft (MSRC) detecta que un usuario ilegal o no autorizado ha accedido a sus datos. También tiene opciones para personalizar las alertas y notificaciones de incidentes en diferentes servicios de Azure en función de sus necesidades de respuesta a incidentes.

Responsabilidad: Cliente

IR-3: Detección y análisis: creación de incidentes en función de alertas de alta calidad

Guía: Microsoft Defender for Cloud proporciona alertas de alta calidad en muchos recursos de Azure. Puede usar el conector de datos de Microsoft Defender for Cloud para transmitir las alertas a Microsoft Sentinel. Microsoft Sentinel le permite crear reglas de alerta avanzadas para generar incidentes automáticamente para una investigación.

Exporte las alertas y recomendaciones de Microsoft Defender for Cloud mediante la característica de exportación para ayudar a identificar riesgos para Microsoft Fabric y otros recursos de Azure. Exporte alertas y recomendaciones manualmente o de forma continua.

Responsabilidad: Cliente

IR-4: Detección y análisis: investigación de incidentes

Guía: Comprenda cómo acceder a los registros de auditoría y actividad de Microsoft Fabric habilitados y usarlos de forma predeterminada. Habilite el registro opcional para recursos de alto valor (consulte LT-3). Considere la posibilidad de exportar los registros a Microsoft Sentinel. Aproveche los registros proporcionados por los servicios que Microsoft Fabric integra con, por ejemplo, El identificador de Microsoft Entra. NOTA: No se realiza un seguimiento del inicio de sesión de usuario en Power BI o Fabric en los registros de actividad; los registros de auditoría capturan los inicios de sesión del servicio. La categoría Tipo de registro es diferente (por ejemplo, usar PowerBIAudit para eventos de Power BI y Microsoft Fabric y AzureActiveDirectoryStsLogon para realizar un seguimiento de los inicios de sesión del servicio).

Responsabilidad: Cliente

IR-5: Detección y análisis: clasificación de incidentes por orden de seguridad

Guía: Microsoft Defender for Cloud asigna una gravedad a cada alerta para ayudarle a priorizar qué alertas se deben investigar primero. La gravedad se basa en el nivel de confianza que Microsoft Defender for Cloud tiene en el hallazgo o en los análisis utilizados para emitir la alerta, así como en el nivel de confianza de que hubo una intención malintencionada detrás de la actividad que llevó a la alerta.

De forma similar, Microsoft Sentinel crea alertas e incidentes con una gravedad asignada y otros detalles basados en reglas de análisis. Use plantillas de reglas analíticas y personalice las reglas según las necesidades de su organización para admitir la priorización de incidentes. Use reglas de automatización en Microsoft Sentinel para administrar y orquestar la respuesta a amenazas con el fin de maximizar la eficiencia y eficacia del equipo de operaciones de seguridad, incluyendo el etiquetado de incidentes para clasificarlos.

Responsabilidad: Cliente

IR-6: Independencia, erradicación y recuperación: automatización de la administración de incidentes

Guía: Use las características de automatización de flujos de trabajo en Microsoft Defender for Cloud y Microsoft Sentinel para desencadenar automáticamente acciones o ejecutar un cuaderno de estrategias para responder a las alertas de seguridad entrantes. Las guías operativas realizan acciones, como el envío de notificaciones, la deshabilitación de cuentas y el aislamiento de redes problemáticas.

Implementación de Azure y contexto adicional:

Responsabilidad: Cliente

IR-7: Actividad posterior al incidente: llevar a cabo lecciones aprendidas y conservar pruebas

Guía: Use el resultado de la actividad aprendida de las lecciones aprendidas para actualizar el plan de respuesta a incidentes, el cuaderno de estrategias (como un cuaderno de estrategias de Microsoft Sentinel) y reincorporar los resultados en sus entornos (como el registro y la detección de amenazas para abordar las brechas en el registro) para mejorar la capacidad futura de detectar, responder y controlar incidentes en Microsoft Fabric.

Mantenga la evidencia recopilada durante el "Análisis y detección: investigue un paso de incidente", como los registros del almacenamiento, como una cuenta de Azure Storage para la retención inmutable.

Responsabilidad: Cliente

Gestión de posturas y vulnerabilidades

Para obtener más información, consulte Pruebas comparativas de seguridad en la nube de Microsoft: Administración de posturas y vulnerabilidades | Microsoft Learn

PV-1: Definición y establecimiento de configuraciones seguras

Guía: use la línea base de Microsoft Fabric Microsoft Cloud Security Benchmark para definir la línea base de configuración para cada carga de trabajo. Consulte la documentación de seguridad de Microsoft Fabric para comprender los controles de seguridad y las configuraciones que pueden ser necesarios en los recursos de Microsoft Fabric.

Responsabilidad: Cliente

PV-2: Auditoría y aplicación de configuraciones seguras

Guía: Use Microsoft Defender for Cloud para configurar Azure Policy para auditar y aplicar configuraciones de los recursos de Microsoft Fabric de Azure. Use Azure Monitor para crear alertas cuando se detecte una desviación de configuración en los recursos.

Use Azure Policy, por ejemplo, [denegar] reglas para aplicar la configuración segura en los recursos de Azure.

Para la auditoría y el cumplimiento de la configuración de recursos no compatibles con Azure Policy, es posible que tenga que escribir scripts personalizados o usar herramientas de terceros para implementar la auditoría y el cumplimiento de la configuración. Supervise la instancia de Microsoft Fabric mediante las API REST de administrador.

Responsabilidad: Cliente

PV-3: Definir y establecer configuraciones seguras para los recursos de proceso

Guía: asegúrese de que solo el personal autorizado pueda aprovisionar, administrar y acceder a los recursos de proceso de Microsoft Fabric, como los trabajos de Spark. De lo contrario, Microsoft Fabric es una oferta saaS totalmente administrada, los recursos de proceso subyacentes del servicio están protegidos y administrados por Microsoft.

Responsabilidad: Compartido

PV-4: Auditar y aplicar configuraciones seguras para los recursos de proceso

Guía: Microsoft Fabric es una oferta saaS totalmente administrada, los recursos de proceso subyacentes del servicio están protegidos y administrados por Microsoft.

Responsabilidad: Microsoft

PV-5: Realizar evaluaciones de vulnerabilidades

Guía: los equipos de seguridad de Microsoft, los proveedores de terceros y los equipos de ingeniería realizan pruebas y evaluaciones rigurosas de vulnerabilidades periódicas de productos y servicios de Microsoft Fabric según los requisitos de los estándares de certificación alcanzados y las prácticas de SDL. Los clientes pueden optar por realizar su propia evaluación de vulnerabilidades para los recursos de Microsoft Fabric en todos los niveles según una programación fija o a petición.

Responsabilidad: Microsoft

PV-6: Corrección rápida y automática de vulnerabilidades

Guía: Microsoft Fabric es una oferta saaS totalmente administrada, microsoft examina y administra los recursos de proceso subyacentes del servicio.

Responsabilidad: Microsoft

PV-7: Realización de operaciones periódicas del equipo rojo

Guía: Según sea necesario, realice pruebas de penetración o actividades de equipo rojo en la implementación y el uso de los recursos de Microsoft Fabric y asegúrese de corregir todos los hallazgos de seguridad críticos. Como una oferta de SaaS totalmente administrada, Microsoft Fabric realiza pruebas de penetración periódicas; sin embargo, las implementaciones del cliente son responsabilidad del cliente proteger.

siga las reglas de compromiso de la prueba de penetración de Microsoft Cloud para asegurarse de que las pruebas de penetración no infrinjan las directivas de Microsoft. Use la estrategia de Microsoft y la ejecución de las pruebas de penetración del equipo rojo y sitios activos en la infraestructura de nube, los servicios y las aplicaciones administradas por Microsoft.

Responsabilidad: Compartido

Seguridad de los puntos de conexión

Para obtener más información, consulte Pruebas comparativas de seguridad en la nube de Microsoft: Seguridad de los puntos de conexión | Microsoft Learn

Guía: Microsoft Fabric no implementa ningún recurso de proceso orientado al cliente que requeriría a los clientes configurar la protección de detección y respuesta de puntos de conexión (EDR). Microsoft controla la infraestructura subyacente de Microsoft Fabric, que incluye el control antimalware y EDR.

Para más información, consulte Azure Security Benchmark: Seguridad de red.

Responsabilidad: Microsoft

Copia de seguridad y recuperación

Para obtener más información, consulte Pruebas comparativas de seguridad en la nube de Microsoft: copia de seguridad y recuperación | Microsoft Learn

BR-1: Garantizar copias de seguridad automatizadas normales

Guía: Power BI es un servicio totalmente administrado que tiene integrado. Hay opciones de copia de seguridad adicionales disponibles para recursos de Power BI de alto valor. También hay disponibles opciones más amplias de copia de seguridad de Microsoft Fabric: Confiabilidad en Microsoft Fabric | Microsoft Learn.

Fabric proporciona instrucciones específicas de la experiencia para la copia de seguridad y la recuperación ante desastres de datos y procesos almacenados dentro y fuera de OneLake.

Cuando los datos se almacenan en OneLake: Fabric ofrece replicación entre regiones para los datos almacenados en OneLake. Los clientes pueden participar o no en esta característica en función de sus requisitos de redundancia geográfica. En un escenario de desastre regional, Fabric garantiza el acceso a los datos, con ciertas limitaciones. Aunque la creación o modificación de nuevos elementos está restringida después de la conmutación por error, el enfoque principal sigue siendo asegurarse de que los datos existentes en OneLake permanecen accesibles e intactos. Fabric proporciona un conjunto estructurado de instrucciones para guiar a los clientes a través del proceso de recuperación de los datos.

Cuando los datos se almacenan fuera de OneLake: los clientes deben copiar los datos críticos y los procesos almacenados fuera de OneLake a otra región de una manera que se alinee con su plan de recuperación ante desastres.

Power BI incluye la recuperación ante desastres de forma predeterminada, sin necesidad de activación. Power BI usa la replicación con redundancia geográfica de Azure Storage y la replicación con redundancia geográfica de Azure SQL para asegurarse de que existen instancias de copia de seguridad en otras regiones para lograr una mayor disponibilidad y reducir el riesgo. Durante las interrupciones, los elementos de Power BI (modelos semánticos, informes, paneles) permanecen accesibles en modo de solo lectura, lo que admite análisis continuos y toma de decisiones.

BR-2: Proteger los datos de copia de seguridad y recuperación

Guía: Power BI es un servicio totalmente administrado que tiene BCDR integrado administrado por Microsoft. Fabric proporciona un conjunto estructurado de instrucciones para guiar a los clientes a través del proceso de recuperación de los datos.

Responsabilidad: Compartido

BR-3: Supervisión de copias de seguridad

Guía: Power BI es un servicio totalmente administrado que tiene BCDR integrado administrado por Microsoft. El cliente debe administrar y supervisar las copias de seguridad de elementos de Power BI y Microsoft Fabric configuradas por el cliente.

Responsabilidad: Compartido

BR-4: Prueba periódica de la copia de seguridad

Guía: Power BI es un servicio totalmente administrado que tiene BCDR integrado administrado por Microsoft. El equipo de ingeniería de Microsoft realiza pruebas periódicas de BCDR; los clientes no podrán simular eventos BCDR y probar las copias de seguridad propiedad de Microsoft de sus datos de inquilino. Las copias de seguridad creadas por el cliente y las copias de seguridad de propiedad, como las copias de seguridad de modelos semánticos creadas por el cliente y las copias de seguridad de elementos de Microsoft Fabric, son responsabilidad del cliente.

Responsabilidad: Compartido