Nota
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Una de las características principales de Microsoft Defender for Cloud es la administración de la posición de seguridad en la nube (CSPM). CSPM proporciona una visibilidad detallada sobre el estado de seguridad de sus activos y cargas de trabajo y ofrece recomendaciones para fortalecer la seguridad para ayudarle a mejorar su postura de seguridad.
Defender for Cloud evalúa continuamente los recursos con respecto a los estándares de seguridad definidos para las suscripciones de Azure, las cuentas de Amazon Web Service (AWS) y los proyectos de Google Cloud Platform (GCP). Defender for Cloud realiza sus recomendaciones de seguridad en función de estas evaluaciones.
De forma predeterminada, al habilitar Defender for Cloud en una suscripción de Azure, el estándar de cumplimiento de Microsoft Cloud Security Benchmark (MCSB) está habilitado y proporciona recomendaciones para proteger los entornos multinube. Defender for Cloud proporciona una puntuación segura agregada basada en algunas de las recomendaciones de MCSB. Una puntuación más alta indica un nivel de riesgo identificado menor.
Planes de CSPM
Defender for Cloud ofrece dos opciones de plan cspM:
CSPM básico : un plan gratuito habilitado de forma predeterminada para suscripciones y cuentas que se incorporan a Defender for Cloud.
CSPM de Defender : un plan de pago que proporciona funcionalidades adicionales más allá del plan de CSPM básico. Esta versión del plan ofrece características más avanzadas de configuración de seguridad, como la configuración de seguridad de IA, el análisis de rutas de ataque, la priorización de riesgos y más.
Disponibilidad del plan
Más información sobre el precio de Defender CSPM.
En la tabla siguiente se resume cada plan y su disponibilidad en la nube.
| Característica | CSPM básica | Defender CSPM | Disponibilidad en la nube |
|---|---|---|---|
| Recomendaciones de seguridad | 
|
|
Azure, AWS, GCP, local, Docker Hub, JFrog Artifactory |
| Inventario de recursos |
|
|
Azure, AWS, GCP, local, Docker Hub, JFrog Artifactory |
| Puntuación segura |
|
|
Azure, AWS, GCP, local, Docker Hub, JFrog Artifactory |
| Visualización de datos e informes con Libros de Azure |
|
|
Azure, AWS, GCP, local |
| Exportación de datos |
|
|
Azure, AWS, GCP, local |
| Automatización de flujos de trabajo |
|
|
Azure, AWS, GCP, local |
| Herramientas para corrección |
|
|
Azure, AWS, GCP, local, Docker Hub, JFrog Artifactory |
| Banco de pruebas de Microsoft Cloud Security |
|
|
Azure, AWS, GCP |
| Administración de la posición de seguridad de IA | - |
|
Azure, AWS |
| Examen de vulnerabilidades de máquina virtual sin agente | - |
|
Azure, AWS, GCP |
| Análisis de secretos de máquina virtual sin agente | - |
|
Azure, AWS, GCP |
| Análisis de rutas de acceso de ataque | - |
|
Azure, AWS, GCP, Docker Hub, JFrog Artifactory |
| Priorización de riesgos | - |
|
Azure, AWS, GCP , Docker Hub, JFrog Artifactory |
| Búsqueda de riesgos con el explorador de seguridad | - |
|
Azure, AWS, GCP , Docker Hub, JFrog Artifactory |
| Asignación de código a nube para contenedores | - |
|
GitHub, Azure DevOps2 , Docker Hub, JFrog Artifactory |
| Asignación de código a nube para IaC | - |
|
Azure DevOps2, , Docker Hub, JFrog Artifactory |
| Anotaciones de PR | - |
|
GitHub, Azure DevOps2 |
| Análisis de exposición a Internet | - |
|
Azure, AWS, GCP, Docker Hub, JFrog Artifactory |
| Administración de la superficie expuesta a ataques externos | - |
|
Azure, AWS, GCP, Docker Hub, JFrog Artifactory |
| Evaluación del cumplimiento normativo | - |
|
Azure, AWS, GCP, , Docker Hub, JFrog Artifactory |
| Integración de ServiceNow | - |
|
Azure, AWS, GCP |
| Protección de recursos críticos | - |
|
Azure, AWS, GCP |
| Gobernanza para impulsar la corrección a escala | - |
|
Azure, AWS, GCP , Docker Hub, JFrog Artifactory |
| Administración de la posición de seguridad de datos (DSPM), examen de datos confidenciales | - |
|
Azure, AWS, GCP1 |
| Detección sin agente para Kubernetes | - |
|
Azure, AWS, GCP |
| Recomendaciones personalizadas | - |
|
Azure, AWS, GCP, Docker Hub, JFrog Artifactory |
| Evaluación de vulnerabilidades de contenedores de código a nube sin agente | - |
|
Azure, AWS, GCP, Docker Hub, JFrog Artifactory |
| Administración de la posición de seguridad de la API (versión preliminar) | - |
|
Azur |
| Panel de seguridad de Azure Kubernetes Service (versión preliminar) | - |
|
Azur |
1: la detección de datos confidenciales de GCP solo admite almacenamiento en la nube. 2: las funcionalidades de seguridad de DevOps, como la contextualización de código a nube que potencia el explorador de seguridad, las rutas de acceso a ataques y anotaciones de solicitudes de cambios para los resultados de seguridad de infraestructura como código solo están disponibles cuando habilita el plan de Defender CSPM de pago. Obtenga más información sobre la compatibilidad y los requisitos previos de seguridad de DevOps.
Integraciones
Microsoft Defender for Cloud ahora tiene integraciones integradas para ayudarle a usar sistemas asociados para administrar y realizar un seguimiento de incidencias, eventos e interacciones del cliente sin problemas. Puede enviar recomendaciones a una herramienta de gestión de tickets para asociados y asignar responsabilidad a un equipo para la remediación.
La integración simplifica el proceso de respuesta a incidentes y mejora la capacidad de administrar incidentes de seguridad. Puede realizar un seguimiento de las incidencias de seguridad, clasificarlas por orden de prioridad y resolverlas de forma más eficaz.
Puede elegir el sistema de administración de incidencias que desea integrar. En el caso de la versión preliminar, solo se admite la integración de ServiceNow. Para obtener más información sobre cómo configurar la integración de ServiceNow, consulte Integración de ServiceNow con Microsoft Defender for Cloud (versión preliminar).
Precios del plan
Para obtener información sobre los precios de Defender CSPM, consulte la página de precios de Defender for Cloud. También puede calcular los costos con la calculadora de costos de Defender for Cloud.
Las funcionalidades de posición de seguridad de DevOps, como las anotaciones de solicitud de cambios, la asignación de código a la nube, el análisis de rutas de acceso a ataques y el explorador de seguridad en la nube solo están disponibles a través del plan Defender CSPM de pago. El plan gratuito de administración de la posición de seguridad básica proporciona recomendaciones de Azure DevOps. Obtenga más información sobre las características proporcionadas por las características de seguridad de Azure DevOps.
En el caso de las suscripciones que usen los planes Defender CSPM y Defender para contenedores, la evaluación de vulnerabilidades gratis se calculará en función de los exámenes de imágenes gratis que se proporcionan a través del plan de Defender para contenedores, como se especifica en la página de precios de Microsoft Defender for Cloud. También puede calcular los costos con la calculadora de costos de Defender for Cloud.
La CSPM de Defender protege todas las cargas de trabajo multinube, pero la facturación solo se aplica a recursos específicos. En las siguientes tablas se enumeran los recursos facturables cuando la CSPM de Defender está habilitada en suscripciones de Azure, cuentas de AWS o proyectos de GCP.
Servicio de Azure Tipos de recursos Exclusiones Proceso Microsoft.Compute/virtualMachines
Microsoft.Compute/virtualMachineScaleSets/virtualMachines
Microsoft.ClassicCompute/virtualMachines- Máquinas virtuales desasignadas
- Máquinas virtuales de DatabricksAlmacenamiento Microsoft.Storage/storageAccounts Cuentas de almacenamiento sin contenedores de blobs o recursos compartidos de archivos Bases de datos Microsoft.Sql/servers
Microsoft.DBforPostgreSQL/flexibleServers
Microsoft.DBforMySQL/flexibleServers
Microsoft.DBforPostgreSQL/servers
Microsoft.DBforMySQL/servers
Microsoft.Sql/managedInstances
Microsoft.DBforMariaDB/servers
Microsoft.Synapse/workspaces--- Servicio de AWS Tipos de recursos Exclusiones Proceso Instancias de EC2 Máquinas virtuales desasignadas Almacenamiento S3 Buckets (Cubos de S3) --- Bases de datos Instancias de RDS --- Servicio de GCP Tipos de recursos Exclusiones Proceso 1. Instancias de Google Compute
2. Grupo de instancias de GoogleInstancias con estados que no son de ejecución Almacenamiento Cubos de almacenamiento - Cubos de clases: "nearline", "coldline", "archive"
- Cubos de regiones que no sean: europe-west1, us-east1, us-west1, us-central1, us-east4, asia-south1, northamerica-northeast1Bases de datos Instancias de SQL en la nube ---
Soporte técnico de la nube de Azure
Para obtener cobertura de nube comercial y nacional, consulte las características que se admiten en los entornos en la nube de Azure.
Pasos siguientes
- Vea el vídeo ¡Predecir futuros incidentes! Administración de la posición de seguridad en la nube con Microsoft Defender.
- Obtenga más información sobre los estándares y recomendaciones de seguridad.
- Obtén más información sobre la puntuación de seguridad.