Evaluación del cumplimiento con marcos de seguridad y Microsoft Defender for Cloud

  • 7 minutos

Microsoft Defender for Cloud resulta de gran ayuda para simplificar el proceso necesario para cumplir los requisitos de cumplimiento normativo, para lo que se usa el panel de cumplimiento normativo. Defender for Cloud evalúa continuamente el entorno de nube híbrida para analizar los factores de riesgo con arreglo a los controles y los procedimientos recomendados establecidos en los estándares que haya aplicado a las suscripciones. El panel refleja el estado de cumplimiento con respecto a estos estándares.

Cuando habilite Defender for Cloud en una suscripción de Azure, se asignará automáticamente Microsoft Cloud Security Benchmark a esta suscripción. Este punto de referencia, que cuenta con un amplísimo respaldo, se basa en los controles de Center for Internet Security (CIS)Payment Card Industry (PCI), Data Security Standards (DSS) y National Institute of Standards and Technology (NIST), con un enfoque en la seguridad centrada en la nube.

En el panel de cumplimiento normativo se indica el estado de todas estas valoraciones realizadas en el entorno conforme a las normativas y los estándares elegidos. Al actuar sobre las recomendaciones y reducir los factores de riesgo en su entorno, su estado de cumplimiento normativo mejora.

Sugerencia

Los datos de cumplimiento de Defender for Cloud ahora se integran perfectamente con el Administrador de cumplimiento de Microsoft Purview, lo que le permite evaluar y administrar de manera centralizada el cumplimiento en todo el patrimonio digital de la organización. Al agregar cualquier estándar al panel de cumplimiento (incluidos los estándares de cumplimiento que supervisan otras nubes como AWS y GCP), los datos de cumplimiento de nivel de recurso se exponen automáticamente en el Administrador de cumplimiento para el mismo estándar. Por lo tanto, el Administrador de cumplimiento proporciona acciones y estado de mejora en la infraestructura en la nube y en todos los demás recursos digitales de esta herramienta central.

Mejora del cumplimiento de reglamentaciones

El panel de cumplimiento normativo muestra los estándares normativos seleccionados, con todos sus requisitos. Los requisitos compatibles se asignarán a las evaluaciones de seguridad correspondientes. El estado de estas evaluaciones refleja el estado de cumplimiento con respecto a los estándares.

Utilice el panel de cumplimiento normativo para centrarse en las deficiencias relativas al cumplimiento de las normativas y estándares elegidos. Esta vista focalizada también le permite supervisar continuamente su puntuación de cumplimiento a lo largo del tiempo para entornos híbrido y de nube dinámicos.

  1. Inicie sesión en Azure Portal.

  2. Vaya a Defender for Cloud, Cumplimiento normativo.

El panel proporciona información general sobre el estado de cumplimiento y el conjunto de normativas de cumplimiento admitidas. Allí se indica la puntuación global de cumplimiento y el número de valoraciones aprobadas y suspendidas asociadas a cada estándar.

Investigación de los problemas de cumplimiento normativo

Se puede usar la información del panel de cumplimiento normativo para investigar cualquier incidencia que pudiera afectar a su posición de cumplimiento.

Para investigar los problemas de cumplimiento, haga lo siguiente:

  1. Inicie sesión en Azure Portal.

  2. Vaya a Defender for Cloud, Cumplimiento normativo.

  3. Seleccione un estándar de cumplimiento normativo.

  4. Seleccione un control de cumplimiento para expandirlo.

  5. Seleccione Detalles del control.

Captura de pantalla en la que se muestran los detalles de control de cumplimiento normativo de Defender for Cloud.

  • Seleccione Información general para ver la información específica sobre el control seleccionado.
  • Seleccione Sus acciones para ver una vista detallada de las acciones automatizadas y manuales que debe realizar para mejorar su posición de cumplimiento.
  • Seleccione Acciones de Microsoft para ver todas las acciones que Microsoft ha realizado para garantizar el cumplimiento del estándar seleccionado.
  1. En Sus acciones, puede seleccionar una flecha abajo para ver más detalles y resolver la recomendación de ese recurso.

Captura de pantalla en la que se muestra cómo ver más detalles y resolver la recomendación para un recurso.

Nota:

Las valoraciones se ejecutan aproximadamente cada 12 horas, por lo que el efecto sobre los datos de cumplimiento solo se constatará tras la ejecución siguiente de la valoración en cuestión.

Corrección de una evaluación automatizada

El cumplimiento normativo tiene evaluaciones automatizadas y manuales que quizá se tengan que corregir. El panel contiene información que le ayudará a mejorar el cumplimiento normativo y le permitirá resolver las recomendaciones directamente en él.

Para corregir una evaluación automatizada, haga lo siguiente:

  1. Inicie sesión en Azure Portal.

  2. Vaya a Defender for Cloud, Cumplimiento normativo.

  3. Seleccione un estándar de cumplimiento normativo.

  4. Seleccione un control de cumplimiento para expandirlo.

  5. Seleccione cualquiera de las evaluaciones no superadas que aparecen en el panel para ver los detalles de dicha recomendación. Cada recomendación incluye un conjunto de pasos de corrección para resolver el problema.

  6. Seleccione un recurso concreto para ver más detalles y resolver la recomendación relacionada.

Captura de pantalla en la que se muestra el cifrado de discos que se debe aplicar en las máquinas virtuales.

  1. En este ejemplo, si selecciona Realizar acción en la página de detalles de la recomendación, accederá Azure Portal, a las páginas de la máquina virtual de Azure, donde podrá abrir la pestaña Seguridad y habilitar el cifrado:

Captura de pantalla en la que se muestra cómo habilitar el cifrado desde la pestaña Seguridad.

  1. Una vez realizadas las acciones necesarias para resolver las recomendaciones, podrá ver el resultado en el informe del panel de cumplimiento, ya que la puntuación de cumplimiento mejora.

Corregir una evaluación manual

El cumplimiento normativo tiene evaluaciones automatizadas y manuales que quizá se tengan que corregir. Las evaluaciones manuales son evaluaciones que requieren la intervención del cliente para corregirlas.

Para corregir una evaluación manual, haga lo siguiente:

  1. Inicie sesión en Azure Portal.

  2. Vaya a Defender for Cloud, Cumplimiento normativo.

  3. Seleccione un estándar de cumplimiento normativo.

  4. Seleccione un control de cumplimiento para expandirlo.

  5. En la sección Atestación y evidencia manual, seleccione una evaluación.

  6. Seleccione la suscripción correspondiente.

  7. Seleccione Atestar.

  8. Escriba la información pertinente y adjunte pruebas para el cumplimiento.

  9. Seleccione Guardar.