Compartir a través de


Control de seguridad: registro y supervisión

Nota:

El estándar de seguridad de Azure más up-toactualizado está disponible aquí.

El registro y la supervisión de seguridad se centran en las actividades relacionadas con la habilitación, adquisición y almacenamiento de registros de auditoría para los servicios de Azure.

2.1: Uso de orígenes de sincronización de hora aprobados

Identificador de Azure Identificadores CIS Responsabilidad
2.1 6.1 Microsoft

Microsoft mantiene orígenes de tiempo para los recursos de Azure, sin embargo, tiene la opción de administrar la configuración de sincronización de tiempo para los recursos de proceso.

2.2: Configuración de la administración central de registros de seguridad

Identificador de Azure Identificadores CIS Responsabilidad
2.2 6.5, 6.6 Cliente

Ingiera registros a través de Azure Monitor para agregar datos de seguridad generados por dispositivos de punto de conexión, recursos de red y otros sistemas de seguridad. En Azure Monitor, use las áreas de trabajo de Log Analytics para consultar y realizar análisis, y use las cuentas de Azure Storage para el almacenamiento a largo plazo o de archivo.

Como alternativa, puede habilitar e incorporar datos a Azure Sentinel o a un SIEM de terceros.

2.3: Habilitación del registro de auditoría para recursos de Azure

Identificador de Azure Identificadores CIS Responsabilidad
2.3 6.2, 6.3 Cliente

Habilite la configuración de diagnóstico en los recursos de Azure para acceder a los registros de auditoría, seguridad y diagnóstico. Los registros de actividad, que están disponibles automáticamente, incluyen el origen del evento, la fecha, el usuario, la marca de tiempo, las direcciones de origen, las direcciones de destino y otros elementos útiles.

2.4: Recopilación de registros de seguridad de sistemas operativos

Identificador de Azure Identificadores CIS Responsabilidad
2,4 6.2, 6.3 Cliente

Si el recurso de proceso es propiedad de Microsoft, Microsoft es responsable de supervisarlo. Si el recurso de proceso es propiedad de su organización, es su responsabilidad supervisarlo. Puede usar Azure Security Center para supervisar el sistema operativo. Los datos recopilados por Security Center del sistema operativo incluyen el tipo y la versión del sistema operativo, el sistema operativo (registros de eventos de Windows), los procesos en ejecución, el nombre del equipo, las direcciones IP y el usuario que ha iniciado sesión. El Agente de Log Analytics también recopila archivos de volcado de memoria.

2.5: Configuración de la retención del almacenamiento de registros de seguridad

Identificador de Azure Identificadores CIS Responsabilidad
2,5 6.4 Cliente

En Azure Monitor, establezca el período de retención del área de trabajo de Log Analytics de acuerdo con las normas de cumplimiento de la organización. Use cuentas de Azure Storage para el almacenamiento a largo plazo o de archivo.

2.6: Supervisar y revisar los registros

Identificador de Azure Identificadores CIS Responsabilidad
2.6 6.7 Cliente

Analice y supervise los registros en busca de comportamientos anómalos y revise periódicamente los resultados. Use el área de trabajo de Log Analytics de Azure Monitor para revisar los registros y realizar consultas sobre los datos de registro.

Como alternativa, puede habilitar e incorporar datos a Azure Sentinel o a un SIEM de terceros.

2.7: Habilitar alertas para actividades anómalas

Identificador de Azure Identificadores CIS Responsabilidad
2.7 6.8 Cliente

Use Azure Security Center con Log Analytics Workspace para supervisar y alertar sobre la actividad anómala encontrada en los registros y eventos de seguridad.

Como alternativa, puede habilitar e incorporar datos a Azure Sentinel.

2.8: Centralizar el registro antimalware

Identificador de Azure Identificadores CIS Responsabilidad
2.8 8,6 Cliente

Habilite la recopilación de eventos antimalware para Azure Virtual Machines y Cloud Services.

2.9: Habilitar el registro de consultas DNS

Identificador de Azure Identificadores CIS Responsabilidad
2.9 8.7 Cliente

Implemente una solución de terceros de Azure Marketplace para la solución de registro de DNS según las necesidades de su organización.

2.10: Habilitar el registro de auditoría de línea de comandos

Identificador de Azure Identificadores CIS Responsabilidad
2.10 8.8 Cliente

Use Microsoft Monitoring Agent en todas las máquinas virtuales Windows de Azure compatibles para registrar el evento de creación de procesos y el campo CommandLine. En el caso de las máquinas virtuales Linux de Azure compatibles, puede configurar manualmente el registro de la consola por nodo y usar Syslog para almacenar los datos. Además, use el área de trabajo de Log Analytics de Azure Monitor para revisar los registros y realizar consultas sobre los datos registrados de Azure Virtual Machines.

Pasos siguientes