Nota
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Nota:
El estándar de seguridad de Azure más up-toactualizado está disponible aquí.
Registro y detección de amenazas cubre los controles para detectar amenazas en Azure y habilitar, recopilar y almacenar registros de auditoría para los servicios de Azure. Esto incluye habilitar procesos de detección, investigación y corrección con controles para generar alertas de alta calidad con detección de amenazas nativa en los servicios de Azure; también incluye la recopilación de registros con Azure Monitor, la centralización del análisis de seguridad con Azure Sentinel, la sincronización de tiempo y la retención de registros.
Para ver la directiva integrada de Azure Policy aplicable, consulte Detalles de la iniciativa integrada de cumplimiento normativo de Azure Security Benchmark: registro y detección de amenazas.
LT-1: Habilitación de la detección de amenazas para los recursos de Azure
Identificador de Azure | Identificadores de CIS Controls v7.1 | IDENTIFICADORES DEL NIST SP 800-53 r4 |
---|---|---|
LT-1 | 6.7 | AU-3, AU-6, AU-12, SI-4 |
Asegúrese de que está supervisando los diferentes tipos de recursos de Azure en busca de posibles amenazas y anomalías. Concéntrese en obtener alertas de alta calidad para reducir los falsos positivos para que los analistas los clasifiquen. Las alertas se pueden crear a partir de datos de registro, agentes u otros datos.
Use Azure Defender, que se basa en la supervisión de la telemetría de servicios de Azure y el análisis de los registros de servicio. Los datos se recopilan mediante el agente de Log Analytics, que lee varias configuraciones relacionadas con la seguridad y registros de eventos del sistema y copia los datos en el área de trabajo para su análisis.
Además, use Azure Sentinel para crear reglas de análisis, que detecten las amenazas que coincidan con criterios específicos en todo el entorno. Las reglas generan incidentes cuando se cumplen los criterios, de modo que pueda investigar cada incidente. Azure Sentinel también puede importar inteligencia sobre amenazas de terceros para mejorar su capacidad de detección de amenazas.
Guía de referencia de alertas de seguridad de Azure Security Center
Creación de reglas de análisis personalizadas para detectar amenazas
Responsabilidad: Cliente
Partes interesadas de la seguridad del cliente (más información):
LT-2: Habilitación de la detección de amenazas para la administración de identidades y acceso de Azure
Identificador de Azure | Identificadores de CIS Controls v7.1 | IDENTIFICADORES DEL NIST SP 800-53 r4 |
---|---|---|
LT-2 | 6.8 | AU-3, AU-6, AU-12, SI-4 |
Azure AD proporciona los siguientes registros de usuario que se pueden ver en los informes de Azure AD o integrarse con Azure Monitor, Azure Sentinel u otras herramientas de SIEM/supervisión para casos de uso de supervisión y análisis más sofisticados:
Inicios de sesión: el informe de inicios de sesión proporciona información sobre el uso de aplicaciones administradas y actividades de inicio de sesión de usuario.
Registros de auditoría: proporciona trazabilidad a través de registros para todos los cambios realizados por varias características de Azure AD. Algunos ejemplos de registros de auditoría incluyen los cambios realizados en cualquier recurso de Azure AD, como agregar o quitar usuarios, aplicaciones, grupos, roles y directivas.
Inicios de sesión de riesgo: un inicio de sesión arriesgado es un indicador de un intento de inicio de sesión que podría haber realizado alguien que no es el propietario legítimo de una cuenta de usuario.
Usuarios marcados por riesgo: un usuario de riesgo es un indicador de una cuenta de usuario que podría haberse puesto en peligro.
Azure Security Center también puede alertar sobre determinadas actividades sospechosas, como un número excesivo de intentos de autenticación con errores y cuentas en desuso en la suscripción. Además de la supervisión básica de la higiene de seguridad, Azure Defender también puede recopilar alertas de seguridad más detalladas de recursos de proceso de Azure individuales (como máquinas virtuales, contenedores, servicio de aplicaciones), recursos de datos (como SQL DB y almacenamiento) y capas de servicio de Azure. Esta funcionalidad le permite ver anomalías de cuentas dentro de los recursos individuales.
Responsabilidad: Cliente
Partes interesadas de la seguridad del cliente (más información):
LT-3: Habilitación del registro para las actividades de red de Azure
Identificador de Azure | Identificadores de CIS Controls v7.1 | IDENTIFICADORES DEL NIST SP 800-53 r4 |
---|---|---|
LT-3 | 9.3, 12.2, 12.5, 12.8 | AU-3, AU-6, AU-12, SI-4 |
Habilite y recopile registros de recursos del grupo de seguridad de red (NSG), registros de flujo de NSG, registros de Azure Firewall y registros de Web Application Firewall (WAF) para el análisis de seguridad con el fin de respaldar las investigaciones de incidentes, la búsqueda de amenazas y la generación de alertas de seguridad. Puede enviar los registros de flujo a un área de trabajo de Log Analytics de Azure Monitor y, a continuación, usar Análisis de tráfico para proporcionar información.
Asegúrese de que está recopilando registros de consultas DNS para ayudar a correlacionar otros datos de red.
Cómo habilitar los registros de flujo del grupo de seguridad de red
Soluciones de supervisión de redes de Azure en Azure Monitor
Recopilación de información sobre la infraestructura DNS con la solución DE ANÁLISIS DE DNS
Responsabilidad: Cliente
Partes interesadas de la seguridad del cliente (más información):
LT-4: Habilitación del registro para recursos de Azure
Identificador de Azure | Identificadores de CIS Controls v7.1 | IDENTIFICADORES DEL NIST SP 800-53 r4 |
---|---|---|
LT-4 | 6.2, 6.3, 8.8 | AU-3, AU-12 |
Habilite el registro de los recursos de Azure para cumplir los requisitos de cumplimiento, detección de amenazas, búsqueda e investigación de incidentes.
Puede usar Azure Security Center y Azure Policy para habilitar los registros de recursos y la recopilación de datos de registro en los recursos de Azure para acceder a los registros de auditoría, seguridad y recursos. Los registros de actividad, que están disponibles automáticamente, incluyen el origen del evento, la fecha, el usuario, la marca de tiempo, las direcciones de origen, las direcciones de destino y otros elementos útiles.
Descripción del registro y los distintos tipos de registro en Azure
Descripción de la recopilación de datos de Azure Security Center
Responsabilidad: Compartido
Partes interesadas de la seguridad del cliente (más información):
Seguridad de la infraestructura y los endpoints
LT-5: Centralizar la administración y el análisis de los registros de seguridad
Identificador de Azure | Identificadores de CIS Controls v7.1 | IDENTIFICADORES DEL NIST SP 800-53 r4 |
---|---|---|
LT-5 | 6.5, 6.6 | AU-3, SI-4 |
Centralice el registro, el almacenamiento y el análisis para permitir la correlación. Asegúrese de que asigna en cada origen de registro un propietario de datos, una guía de acceso, una ubicación de almacenamiento, qué herramientas se van a usar para procesar y acceder a los datos y los requisitos de retención de datos.
Asegúrese de que está integrando los registros de actividad de Azure en el registro central. Ingiera registros a través de Azure Monitor para agregar datos de seguridad generados por dispositivos de punto de conexión, recursos de red y otros sistemas de seguridad. En Azure Monitor, use las áreas de trabajo de Log Analytics para consultar y realizar análisis, y use las cuentas de Azure Storage para el almacenamiento a largo plazo y de archivo.
Además, habilite e incorpore datos a Azure Sentinel o a un SIEM de terceros.
Muchas organizaciones optan por usar Azure Sentinel para los datos "frecuentes" que se usan con frecuencia y Azure Storage para los datos "fríos" que se usan con menos frecuencia.
Responsabilidad: Cliente
Partes interesadas de la seguridad del cliente (más información):
LT-6: Configuración de la retención del almacenamiento de registros
Identificador de Azure | Identificadores de CIS Controls v7.1 | IDENTIFICADORES DEL NIST SP 800-53 r4 |
---|---|---|
LT-6 | 6.4 | AU-3, AU-11 |
Configure la retención de registros de acuerdo con los requisitos de cumplimiento, regulación y negocio.
En Azure Monitor, puede establecer el período de retención del área de trabajo de Log Analytics de acuerdo con las normas de cumplimiento de la organización. Use las cuentas de área de trabajo de Azure Storage, Data Lake o Log Analytics para el almacenamiento a largo plazo y de archivo.
Configuración de la directiva de retención para los registros de cuentas de Azure Storage
Exportación de alertas y recomendaciones de Azure Security Center
Responsabilidad: Cliente
Partes interesadas de la seguridad del cliente (más información):
LT-7: Uso de orígenes de sincronización de hora aprobados
Identificador de Azure | Identificadores de CIS Controls v7.1 | IDENTIFICADORES DEL NIST SP 800-53 r4 |
---|---|---|
LT-7 | 6.1 | AU-8 |
Microsoft mantiene orígenes de tiempo para la mayoría de los servicios PaaS y SaaS de Azure. Para las máquinas virtuales, use el servidor NTP predeterminado de Microsoft para la sincronización de hora, a menos que tenga un requisito específico. Si necesita mantener su propio servidor de protocolo de tiempo de red (NTP), asegúrese de proteger el puerto de servicio UDP 123.
Todos los registros generados por los recursos de Azure proporcionan marcas de tiempo con la zona horaria especificada de forma predeterminada.
Configuración de la sincronización de hora para los recursos de proceso de Windows de Azure
Configuración de la sincronización de hora para los recursos de proceso de Linux de Azure
Responsabilidad: Compartido
Partes interesadas de la seguridad del cliente (más información):