Nota
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Nota:
El estándar de seguridad de Azure más up-toactualizado está disponible aquí.
El registro y la supervisión de seguridad se centran en las actividades relacionadas con la habilitación, adquisición y almacenamiento de registros de auditoría para los servicios de Azure.
2.1: Uso de orígenes de sincronización de hora aprobados
| Identificador de Azure | Identificadores CIS | Responsabilidad |
|---|---|---|
| 2.1 | 6.1 | Microsoft |
Microsoft mantiene orígenes de tiempo para los recursos de Azure, sin embargo, tiene la opción de administrar la configuración de sincronización de tiempo para los recursos de proceso.
Configuración de la sincronización de hora para los recursos de proceso de Windows de Azure
Configuración de la sincronización de hora para los recursos de proceso de Linux de Azure
2.2: Configuración de la administración central de registros de seguridad
| Identificador de Azure | Identificadores CIS | Responsabilidad |
|---|---|---|
| 2.2 | 6.5, 6.6 | Cliente |
Ingiera registros a través de Azure Monitor para agregar datos de seguridad generados por dispositivos de punto de conexión, recursos de red y otros sistemas de seguridad. En Azure Monitor, use las áreas de trabajo de Log Analytics para consultar y realizar análisis, y use las cuentas de Azure Storage para el almacenamiento a largo plazo o de archivo.
Como alternativa, puede habilitar e incorporar datos a Azure Sentinel o a un SIEM de terceros.
Recopilación de registros y métricas de plataforma con Azure Monitor
Recopilación de registros de host internos de Azure Virtual Machine con Azure Monitor
Introducción a la integración de Azure Monitor y SIEM de terceros
2.3: Habilitación del registro de auditoría para recursos de Azure
| Identificador de Azure | Identificadores CIS | Responsabilidad |
|---|---|---|
| 2.3 | 6.2, 6.3 | Cliente |
Habilite la configuración de diagnóstico en los recursos de Azure para acceder a los registros de auditoría, seguridad y diagnóstico. Los registros de actividad, que están disponibles automáticamente, incluyen el origen del evento, la fecha, el usuario, la marca de tiempo, las direcciones de origen, las direcciones de destino y otros elementos útiles.
Recopilación de registros y métricas de plataforma con Azure Monitor
Descripción del registro y los distintos tipos de registro en Azure
2.4: Recopilación de registros de seguridad de sistemas operativos
| Identificador de Azure | Identificadores CIS | Responsabilidad |
|---|---|---|
| 2,4 | 6.2, 6.3 | Cliente |
Si el recurso de proceso es propiedad de Microsoft, Microsoft es responsable de supervisarlo. Si el recurso de proceso es propiedad de su organización, es su responsabilidad supervisarlo. Puede usar Azure Security Center para supervisar el sistema operativo. Los datos recopilados por Security Center del sistema operativo incluyen el tipo y la versión del sistema operativo, el sistema operativo (registros de eventos de Windows), los procesos en ejecución, el nombre del equipo, las direcciones IP y el usuario que ha iniciado sesión. El Agente de Log Analytics también recopila archivos de volcado de memoria.
Recopilación de registros de host internos de Azure Virtual Machine con Azure Monitor
Descripción de la recopilación de datos de Azure Security Center
2.5: Configuración de la retención del almacenamiento de registros de seguridad
| Identificador de Azure | Identificadores CIS | Responsabilidad |
|---|---|---|
| 2,5 | 6.4 | Cliente |
En Azure Monitor, establezca el período de retención del área de trabajo de Log Analytics de acuerdo con las normas de cumplimiento de la organización. Use cuentas de Azure Storage para el almacenamiento a largo plazo o de archivo.
2.6: Supervisar y revisar los registros
| Identificador de Azure | Identificadores CIS | Responsabilidad |
|---|---|---|
| 2.6 | 6.7 | Cliente |
Analice y supervise los registros en busca de comportamientos anómalos y revise periódicamente los resultados. Use el área de trabajo de Log Analytics de Azure Monitor para revisar los registros y realizar consultas sobre los datos de registro.
Como alternativa, puede habilitar e incorporar datos a Azure Sentinel o a un SIEM de terceros.
2.7: Habilitar alertas para actividades anómalas
| Identificador de Azure | Identificadores CIS | Responsabilidad |
|---|---|---|
| 2.7 | 6.8 | Cliente |
Use Azure Security Center con Log Analytics Workspace para supervisar y alertar sobre la actividad anómala encontrada en los registros y eventos de seguridad.
Como alternativa, puede habilitar e incorporar datos a Azure Sentinel.
2.8: Centralizar el registro antimalware
| Identificador de Azure | Identificadores CIS | Responsabilidad |
|---|---|---|
| 2.8 | 8,6 | Cliente |
Habilite la recopilación de eventos antimalware para Azure Virtual Machines y Cloud Services.
2.9: Habilitar el registro de consultas DNS
| Identificador de Azure | Identificadores CIS | Responsabilidad |
|---|---|---|
| 2.9 | 8.7 | Cliente |
Implemente una solución de terceros de Azure Marketplace para la solución de registro de DNS según las necesidades de su organización.
2.10: Habilitar el registro de auditoría de línea de comandos
| Identificador de Azure | Identificadores CIS | Responsabilidad |
|---|---|---|
| 2.10 | 8.8 | Cliente |
Use Microsoft Monitoring Agent en todas las máquinas virtuales Windows de Azure compatibles para registrar el evento de creación de procesos y el campo CommandLine. En el caso de las máquinas virtuales Linux de Azure compatibles, puede configurar manualmente el registro de la consola por nodo y usar Syslog para almacenar los datos. Además, use el área de trabajo de Log Analytics de Azure Monitor para revisar los registros y realizar consultas sobre los datos registrados de Azure Virtual Machines.
Pasos siguientes
- Consulte el siguiente Control de seguridad: Control de identidad y acceso