Control de seguridad: seguridad de los puntos de conexión
La seguridad de los puntos de conexión abarca los controles de detección y respuesta de puntos de conexión, como el uso de detección y respuesta de puntos de conexión (EDR) y el servicio antimalware para puntos de conexión en entornos en la nube.
ES-1: uso de la detección y respuesta de puntos de conexión (EDR)
| Id. de CIS Controls v8 | Identificadores de NIST SP 800-53 r4 | Id. de PCI-DSS v3.2.1 |
|---|---|---|
| 13,7 | SC-3, SI-2, SI-3, SI-16 | 11,5 |
Principio de seguridad: Habilite la funcionalidad de detección y respuesta de puntos de conexión (EDR) para máquinas virtuales y realice la integración con los procesos de operaciones de seguridad y SIEM.
Guía de Azure: Microsoft Defender para servidores (con Microsoft Defender para punto de conexión integrado) proporciona funcionalidad EDR para evitar, detectar, investigar y responder a amenazas avanzadas.
Use Microsoft Defender for Cloud para implementar Microsoft Defender para servidores en los puntos de conexión e integrar las alertas en la solución SIEM, como Microsoft Sentinel.
Implementación de Azure y contexto adicional:
- Introducción a Azure Defender para servidores
- Información general de Microsoft Defender para punto de conexión
- Cobertura de características de Microsoft Defender for Cloud para máquinas
- Integración del conector para Defender para servidores en SIEM
Guía de AWS: Incorpore su cuenta de AWS en Microsoft Defender for Cloud e implemente Microsoft Defender para servidores (con Microsoft Defender para punto de conexión integrados) en las instancias de EC2 para proporcionar funcionalidades de EDR para evitar, detectar, investigar y responder a ellos. amenazas avanzadas.
Como alternativa, use la funcionalidad de inteligencia sobre amenazas integrada de Amazon GuardDuty para supervisar y proteger las instancias EC2. Amazon GuardDuty puede detectar actividades anómalas, como la actividad que indica un riesgo de instancia, como la minería de criptodivisas, el malware mediante algoritmos de generación de dominios (DGAs), la actividad de denegación de servicio saliente, un volumen inusual de tráfico de red, protocolos de red inusuales, comunicación de instancia saliente con una ip malintencionada conocida, credenciales temporales de Amazon EC2 que usan una dirección IP externa y filtración de datos mediante DNS.
Implementación de AWS y contexto adicional:
Guía de GCP: incorpore el proyecto de GCP a Microsoft Defender for Cloud e implemente Microsoft Defender para servidores (con Microsoft Defender para punto de conexión integrado) en las instancias de máquina virtual para proporcionar funcionalidades de EDR para evitar, detectar, investigar y responder a amenazas avanzadas.
Como alternativa, use el Centro de comandos de seguridad de Google para la inteligencia sobre amenazas integrada para supervisar y proteger las instancias de máquina virtual. Security Command Center puede detectar actividades anómalas, como credenciales potencialmente filtradas, minería de criptodivisas, aplicaciones potencialmente malintencionadas, actividad de red malintencionada, etc.
Implementación de GCP y contexto adicional:
- Proteja los puntos de conexión con la solución EDR integrada de Defender for Cloud:
- Introducción a Security Command Center:
Partes interesadas de la seguridad del cliente (más información):
- Infraestructura y seguridad de los puntos de conexión
- Información sobre amenazas
- Administración del cumplimiento de la seguridad
- Administración de la posición
ES-2: Uso de software antimalware moderno
| Id. de CIS Controls v8 | Identificadores de NIST SP 800-53 r4 | Id. de PCI-DSS v3.2.1 |
|---|---|---|
| 10.1 | SC-3, SI-2, SI-3, SI-16 | 5,1 |
Principio de seguridad: Use soluciones antimalware (también conocidas como Endpoint Protection) capaces de ofrecer protección en tiempo real y análisis periódicos.
Guía de Azure: Microsoft Defender for Cloud puede identificar automáticamente el uso de varias soluciones antimalware populares para las máquinas virtuales y las máquinas locales con Azure Arc configurado y notificar el estado de ejecución de Endpoint Protection y realizar recomendaciones.
Antivirus de Microsoft Defender es la solución antimalware predeterminada para Windows Server 2016 y superior. Para Windows Server 2012 R2, use la extensión Microsoft Antimalware para habilitar System Center Endpoint Protection (SCEP). En el caso de máquinas virtuales Linux, use Microsoft Defender para punto de conexión en Linux para la característica Endpoint Protection.
Para Windows y Linux, puede usar Microsoft Defender for Cloud para detectar y evaluar el estado de mantenimiento de la solución antimalware.
Nota: También puede usar Defender para Storage de Microsoft Defender for Cloud para detectar malware cargado en las cuentas de Azure Storage.
Implementación de Azure y contexto adicional:
- Soluciones de protección de punto de conexión compatibles
- Configuración de Microsoft Antimalware para Cloud Services y máquinas virtuales
Guía de AWS: incorpore su cuenta de AWS en Microsoft Defender for Cloud para permitir que Microsoft Defender for Cloud identifique automáticamente el uso de algunas soluciones antimalware populares para instancias EC2 con Azure Arc configurado e informe del estado de ejecución de Endpoint Protection y realice recomendaciones.
Implemente el antivirus de Microsoft Defender es la solución antimalware predeterminada para Windows Server 2016 y superior. Para las instancias EC2 que ejecutan Windows Server 2012 R2, use Microsoft Antimalware extensión para habilitar SCEP (System Center Endpoint Protection). En el caso de las instancias EC2 que ejecutan Linux, use Microsoft Defender para punto de conexión en Linux para la característica Endpoint Protection.
Para Windows y Linux, puede usar Microsoft Defender for Cloud para detectar y evaluar el estado de mantenimiento de la solución antimalware.
Nota: Microsoft Defender Cloud también admite determinados productos de protección de puntos de conexión de terceros para la evaluación del estado de detección y estado de mantenimiento.
Implementación de AWS y contexto adicional:
- Búsqueda de GuardDuty EC2
- Microsoft Defender soluciones de Endpoint Protection admitidas
- Recomendaciones de Endpoint Protection en Microsoft Defender for Cloud
Guía de GCP: incorpore los proyectos de GCP en Microsoft Defender for Cloud para permitir que Microsoft Defender for Cloud identifique automáticamente el uso de soluciones antimalware populares para instancias de máquina virtual con Azure Arc configurado e informe del estado de endpoint Protection y realice recomendaciones.
Implemente el antivirus de Microsoft Defender es la solución antimalware predeterminada para Windows Server 2016 y superior. En el caso de las instancias de máquina virtual que ejecutan Windows Server 2012 R2, use Microsoft Antimalware extensión para habilitar SCEP (System Center Endpoint Protection). En el caso de las instancias de máquina virtual que ejecutan Linux, use Microsoft Defender para punto de conexión en Linux para la característica endpoint protection.
Para Windows y Linux, puede usar Microsoft Defender for Cloud para detectar y evaluar el estado de mantenimiento de la solución antimalware.
Nota: Microsoft Defender Cloud también admite determinados productos de protección de puntos de conexión de terceros para la evaluación del estado de detección y estado de mantenimiento.
Implementación de GCP y contexto adicional:
- Microsoft Defender soluciones compatibles de Endpoint Protection:
- Recomendaciones de Endpoint Protection en Microsoft Defender for Clouds:
Partes interesadas de la seguridad del cliente (más información):
- Infraestructura y seguridad de los puntos de conexión
- Información sobre amenazas
- Administración del cumplimiento de la seguridad
- Administración de la posición
ES-3: Asegúrese de que se han actualizado el software y las firmas antimalware
| Id. de CIS Controls v8 | Identificadores de NIST SP 800-53 r4 | Id. de PCI-DSS v3.2.1 |
|---|---|---|
| 10,2 | SI-2, SI-3 | 5.2 |
Principio de seguridad: Asegúrese de que las firmas de antimalware se actualicen de forma rápida y coherente para la solución antimalware.
Guía de Azure: Siga las recomendaciones de Microsoft Defender for Cloud para mantener todos los puntos de conexión actualizados con las firmas más recientes. Microsoft Antimalware (para Windows) y Microsoft Defender para punto de conexión (para Linux) instalarán automáticamente las últimas firmas y actualizaciones del motor de forma predeterminada.
Para soluciones de terceros, asegúrese de que las firmas estén actualizadas en la solución antimalware de terceros.
Implementación de Azure y contexto adicional:
- Implementación de Microsoft Antimalware para Cloud Services y máquinas virtuales
- Evaluación y recomendaciones de Endpoint Protection en Microsoft Defender for Cloud
Guía de AWS: Con su cuenta de AWS incorporada en Microsoft Defender for Cloud, siga las recomendaciones de Microsoft Defender for Cloud para mantener todos los puntos de conexión actualizados con las firmas más recientes. Microsoft Antimalware (para Windows) y Microsoft Defender para punto de conexión (para Linux) instalarán automáticamente las últimas firmas y actualizaciones del motor de forma predeterminada.
Para soluciones de terceros, asegúrese de que las firmas estén actualizadas en la solución antimalware de terceros.
Implementación de AWS y contexto adicional:
Guía de GCP: con los proyectos de GCP incorporados a Microsoft Defender for Cloud, siga las recomendaciones de Microsoft Defender for Cloud para mantener todas las soluciones de EDR actualizadas con las firmas más recientes. Microsoft Antimalware (para Windows) y Microsoft Defender para punto de conexión (para Linux) instalarán automáticamente las últimas firmas y actualizaciones del motor de forma predeterminada.
Para soluciones de terceros, asegúrese de que las firmas estén actualizadas en la solución antimalware de terceros.
Implementación de GCP y contexto adicional:
Partes interesadas de la seguridad del cliente (más información):