Configuración del aprovisionamiento automático

  • 17 minutos

Microsoft Defender para la nube recopila datos de las máquinas virtuales (VM) de Azure, los conjuntos de escalado de máquinas virtuales, los contenedores IaaS y máquinas que no son de Azure (incluidas las locales) para supervisar las amenazas y las vulnerabilidades de seguridad.

La recopilación de datos es necesaria para proporcionar visibilidad sobre actualizaciones que faltan, valores de seguridad del sistema operativo mal configurados, estado de la protección de punto de conexión y protección contra amenazas y del mantenimiento. La recopilación de datos solo es necesaria para los recursos de proceso (máquinas virtuales, conjuntos de escalado de máquinas virtuales, contenedores de IaaS y equipos que no son de Azure). Puede beneficiarse de Defender for Cloud aunque no aprovisione agentes. Sin embargo, tendrá una seguridad limitada y no se admitirán las funcionalidades indicadas anteriormente.

Los datos se recopilan mediante:

  • El agente de Log Analytics, que lee distintas configuraciones relacionadas con la seguridad y registros de eventos de la máquina, y copia los datos en el área de trabajo para analizarlos. Algunos ejemplos de estos datos son el tipo y la versión del sistema operativo, los registros del sistema operativo (registros de eventos de Windows), los procesos en ejecución, el nombre de la máquina, las direcciones IP y el usuario que ha iniciado sesión.

  • Las extensiones de seguridad como, por ejemplo, el complemento de Azure Policy para Kubernetes, el cual también puede proporcionar datos a Security Center relacionados con tipos de recursos especializados.

Screenshot of Auto provisioning settings.

Motivos del uso del aprovisionamiento automático

Cualquiera de los agentes y extensiones que se describen en esta página puede instalarse manualmente. Sin embargo, el aprovisionamiento automático reduce la sobrecarga de administración mediante la instalación de todos los agentes y extensiones necesarios en las máquinas existentes, y en las nuevas, para garantizar una cobertura de seguridad más rápida para todos los recursos admitidos.

¿Cómo funciona el aprovisionamiento automático?

La configuración de aprovisionamiento automático de Defender para la nube tiene un elemento de alternancia para cada tipo de extensión compatible. Cuando se habilita el aprovisionamiento automático de una extensión, se asigna la directiva Implementar si no existe para asegurarse de que la extensión se aprovisiona en todos los recursos actuales y futuros de ese tipo.

Habilitación del aprovisionamiento automático del agente de Log Analytics

Si el aprovisionamiento automático está activado para el agente de Log Analytics, Defender for Cloud implementará este agente en todas las máquinas virtuales de Azure compatibles y en las nuevas que se hayan creado.

Para habilitar el aprovisionamiento automático del agente de Log Analytics:

  1. En el menú de Defender para la nube, seleccione Configuración del entorno.

  2. Seleccione la suscripción correspondiente.

  3. En la página Aprovisionamiento automático, establezca el estado del agente de Log Analytics en Activo.

  4. En el panel Opciones de configuración, defina el área de trabajo que se va a usar.

Conexión de máquinas virtuales de Azure a las áreas de trabajo predeterminadas que crea Defender para la nube: Defender para la nube crea un grupo de recursos y un área de trabajo predeterminada en esa geolocalización y conecta el agente a esa área de trabajo. Si una suscripción contiene máquinas virtuales de varias geolocalizaciones, Defender for Cloud crea varias áreas de trabajo para garantizar el cumplimiento de los requisitos de privacidad de los datos.

La convención de nomenclatura del área de trabajo y el grupo de recursos es:

  • Área de trabajo: DefaultWorkspace-[subscription-ID]-[geo]
  • Grupo de recursos: DefaultResourceGroup-[geo]

Defender para la nube habilita automáticamente sus soluciones correspondientes en el área de trabajo de acuerdo con el plan de tarifa establecido para la suscripción.

Conexión de máquinas virtuales de Azure a un área de trabajo diferente: en la lista desplegable, seleccione el área de trabajo donde se van a almacenar los datos recopilados. La lista desplegable incluye todas las áreas de trabajo de todas las suscripciones. Puede usar esta opción para recopilar datos de máquinas virtuales que se ejecutan en distintas suscripciones y almacenarlos en el área de trabajo seleccionada.

Si ya tiene un área de trabajo de Log Analytics, es posible que desee utilizarla (necesita permisos de lectura y escritura sobre ella). Esta opción es útil si está usando un área de trabajo centralizada en la organización y desea usarla para la recopilación de datos de seguridad. Puede obtener más información en Administración del acceso a los datos de registro y las áreas de trabajo en Azure Monitor.

Si el área de trabajo seleccionada ya tiene habilitada una solución de seguridad o de Defender para la nube gratis, los precios se establecerán automáticamente. En caso contrario, instale una solución de Defender para la nube en el área de trabajo.

Habilitar el aprovisionamiento automático de extensiones

Para habilitar el aprovisionamiento automático de una extensión distinta al agente de Log Analytics:

  1. En el menú de Defender para la nube de Azure Portal, seleccione Configuración del entorno.

  2. Seleccione la suscripción correspondiente.

  3. Seleccione Aprovisionamiento automático.

  4. Si va a habilitar el aprovisionamiento automático para Microsoft Dependency Agent, asegúrese de que el agente de Log Analytics también esté configurado para la implementación automática.

  5. Cambie el estado a Activo para la extensión que corresponda.

  6. Seleccione Guardar. Se asigna la directiva de Azure y se crea una tarea de corrección.

Opciones de eventos de seguridad de Windows para el agente de Log Analytics

La selección de un nivel de recopilación de datos en Defender para la nube solo afecta al almacenamiento de los eventos de seguridad en el área de trabajo de Log Analytics. El agente de Log Analytics seguirá recopilando y analizando los eventos de seguridad requeridos para la protección contra amenazas de Defender para la nube, independientemente del nivel de los eventos de seguridad que elija almacenar en el área de trabajo. Si elige almacenar los eventos de seguridad, permitirá la investigación, búsqueda y auditoría de esos eventos en el área de trabajo.

Defender para la nube es necesario para almacenar datos de eventos de seguridad de Windows. El almacenamiento de datos en Log Analytics podría generar cargos adicionales por el almacenamiento de los datos.

Información para usuarios de Microsoft Sentinel

Usuarios de Microsoft Sentinel: la recopilación de eventos de seguridad en el contexto de una sola área de trabajo se puede configurar desde Microsoft Defender for Cloud o desde Microsoft Sentinel, pero no desde ambos. Si tiene previsto agregar Microsoft Sentinel a un área de trabajo que ya recibe alertas de Microsoft Defender for Cloud y está configurada para recopilar eventos de seguridad, tiene dos opciones:

  • Deje la recopilación de eventos de seguridad en Defender para la nube tal cual. Podrá consultar y analizar estos eventos tanto en Microsoft Sentinel como en Defender for Cloud. Sin embargo, no podrá supervisar el estado de conectividad del conector ni cambiar su configuración en Microsoft Sentinel. Si es importante supervisar o personalizar el conector, tenga en cuenta la segunda opción.

  • Deshabilite la recopilación de eventos de seguridad en Defender para la nube (para lo que debe establecer los eventos de seguridad de Windows en Ninguno en la configuración del agente de Log Analytics). Después, agregue el conector de eventos de seguridad en Microsoft Sentinel. Al igual que con la primera opción, podrá consultar y analizar eventos en Microsoft Sentinel y Defender for Cloud, pero ahora podrá supervisar el estado de conectividad del conector o cambiar su configuración únicamente en Microsoft Sentinel.

¿Qué tipos de evento se almacenan para los niveles "Normal" y "Mínima"?

Estos conjuntos se han diseñado para abordar escenarios típicos. Asegúrese de evaluar cuál se ajusta a sus necesidades antes de implementarlo.

Para determinar los eventos de las opciones Normal y Mínima, hemos colaborado con los clientes y los estándares del sector para obtener información sobre la frecuencia sin filtrar de cada evento y su uso. En este proceso se han empleado las siguientes directrices:

  • Mínimo: asegúrese de que este conjunto cubra únicamente los eventos que podrían indicar una vulneración y otros eventos importantes de baja incidencia. Por ejemplo, este conjunto contiene los inicios de sesión de usuario correctos y los que han dado error (id. de evento 4624 y 4625), pero no contiene los cierres de sesión, que son importantes para las auditorías pero no para la detección de vulneraciones y constituyen un volumen relativamente alto. La mayor parte del volumen de datos de este conjunto son los eventos de inicio de sesión y el evento de creación de proceso (Id. de evento 4688).

  • Común: Proporcione una pista de auditoría de usuario completa en este conjunto. Por ejemplo, este conjunto contiene los inicios de sesión y los cierres de sesión de usuario (identificador de evento 4634). Se incluyen acciones de auditoría como cambios en los grupos de seguridad, operaciones de Kerberos en los controladores de dominio de clave y otros eventos que recomiendan las organizaciones del sector.

Los eventos con un volumen bajo se han incluido en el conjunto Común, porque el principal motivo para elegirlo en lugar de todos los eventos es reducir el volumen, no filtrar eventos específicos.