Nota
O acceso a esta páxina require autorización. Pode tentar iniciar sesión ou modificar os directorios.
O acceso a esta páxina require autorización. Pode tentar modificar os directorios.
En este artículo se resumen las novedades de las recomendaciones de seguridad, las alertas y los incidentes en Microsoft Defender for Cloud. Incluye información sobre las recomendaciones y alertas nuevas, modificadas y en desuso.
Esta página se actualiza con frecuencia con las recomendaciones y alertas más recientes de Defender for Cloud.
Las recomendaciones anteriores a seis meses se encuentran en la lista de referencia de recomendaciones pertinentes.
Busque la información más reciente acerca de las características nuevas y actualizadas de Defender for Cloud en Novedades de las característicasde Defender for Cloud.
Sugerencia
Reciba una notificación cuando se actualice esta página. Para ello, copie y pegue la siguiente dirección URL en su lector de fuentes: https://aka.ms/mdc/rss-recommendations-alerts
- Revise una lista completa de las alertas y recomendaciones de seguridad multinube:
- Recomendaciones de IA
- Recomendaciones de proceso
- Recomendaciones de contenedor
- Recomendaciones de datos
- Recomendaciones de DevOps
- Recomendaciones de identidad y acceso
- Recomendaciones de IoT
- Recomendaciones de Keyvault
- Recomendaciones de Redes
- Recomendaciones en desuso
- Alertas de seguridad.
- Incidentes de seguridad
Recomendaciones, alertas e incidentes actualizaciones
Las recomendaciones, alertas e incidentes nuevos y actualizados se agregan a la tabla en orden de fecha.
| Fecha anunciada | Tipo | Estado | Nombre |
|---|---|---|---|
| 16 de febrero de 2026 | Recomendación | Próxima desaprobación (19 de marzo de 2026) |
La recomendaciónMachines should be configured securely (powered by MDVM) de versión preliminar, que se aplica a las máquinas Windows, está programada para ser retirada. La recomendación se reemplazará por las siguientes recomendaciones específicas del sistema operativo, que incluyen compatibilidad con Linux utilizando la configuración de invitado. - Las vulnerabilidades en la configuración de seguridad en las máquinas Linux deben corregirse (con tecnología de Guest Configuration) - Las vulnerabilidades en la configuración de seguridad de las máquinas Windows deben corregirse (impulsado por Guest Configuration). Estas recomendaciones de reemplazo ya están disponibles en Defender for Cloud. Si tiene reglas de gobernanza, informes o flujos de trabajo que hacen referencia a la recomendación en desuso, actualícelas para usar las recomendaciones de reemplazo. Para asegurarse de que las nuevas recomendaciones pueden evaluar las máquinas, compruebe que se cumplen los requisitos previos necesarios: - Las máquinas de Azure deben tener instalada la extensión Azure Machine Configuration . - Las máquinas que no son de Azure deben incorporarse a través de Azure Arc, lo que incluye la extensión Machine Configuration de forma predeterminada. |
| 10 de febrero de 2026 | Recomendación | Versión preliminar | Las siguientes recomendaciones se publican en versión preliminar: * Se deben revocar los permisos de ejecución en xp_cmdshell de todos los usuarios (excepto dbo) para los servidores SQL Server. * Se deben instalar las actualizaciones más recientes para servidores SQL Server. * El usuario GUEST de la base de datos no debe ser miembro de ningún rol en las bases de datos SQL. * Las consultas distribuidas ad hoc deben deshabilitarse para los servidores SQL Server. * CLR debe estar deshabilitado para servidores SQL Server * Los ensamblados de confianza no rastreados deben eliminarse de los servidores SQL Server. * El encadenamiento de propiedad de la base de datos debe deshabilitarse para todas las bases de datos, excepto "master", "msdb" y "tempdb" en servidores SQL Server. * El invitado principal no debe tener acceso a ninguna base de datos SQL de usuario. * Las conexiones de administrador remoto deben deshabilitarse a menos que sea necesario específicamente para las bases de datos SQL. * El seguimiento predeterminado debe estar habilitado para servidores SQL Server. * CHECK_POLICY debe estar habilitado para todos los inicios de sesión de SQL para servidores SQL Server. * La comprobación de expiración de contraseñas debe estar habilitada para todos los inicios de sesión de SQL en servidores SQL Server. * Las entidades de seguridad de la base de datos no deben asignarse a la cuenta sa en bases de datos SQL. * AUTO_CLOSE debe deshabilitarse para bases de datos SQL * BUILTIN\Administrators debe quitarse como inicio de sesión de servidor para servidores SQL Server. * La cuenta con el nombre predeterminado 'sa' debe cambiarse de nombre y deshabilitarse en los servidores SQL Server. * No se deben conceder permisos excesivos al rol PUBLIC en objetos o columnas de bases de datos SQL. * El inicio de sesión "sa" debe estar deshabilitado en SQL Server. * xp_cmdshell debe deshabilitarse para servidores SQL Server * Los puntos de conexión de Service Broker sin usar deben quitarse para los servidores SQL Server. * Las instancias de XP de correo electrónico de base de datos deben estar deshabilitadas si no se usan en servidores SQL Server * No se deben conceder permisos de servidor directamente a las entidades de seguridad para servidores SQL Server * Los usuarios de la base de datos no deben compartir el mismo nombre que un login de servidor para la base de datos Model SQL. * La opción "Buscar procedimientos almacenados de inicio" debe deshabilitarse para servidores SQL Server. * El modo de autenticación debe ser autenticación de Windows para servidores SQL Server. * Se debe habilitar la auditoría de intentos de inicio de sesión correctos y erróneos (seguimiento predeterminado) cuando se configura "Auditoría de inicio de sesión" para realizar un seguimiento de los inicios de sesión de los servidores SQL Server. * La instancia de SQL Server no debe anunciarse mediante el servicio SQL Server Browser para servidores SQL Server. * El número máximo de registros de errores debe ser 12 o más para servidores SQL Server. * No se deben conceder permisos de base de datos directamente a las entidades de seguridad de servidores SQL Server * No se deben conceder permisos excesivos al rol PUBLIC en bases de datos SQL. * No se deben conceder permisos de invitado principal en bases de datos SQL. * No se deben conceder permisos de invitado principal en objetos o columnas en bases de datos SQL. * El cifrado AES debe ser necesario para cualquier punto de conexión de creación de reflejo o SSB existente en bases de datos SQL. * No se deben conceder permisos al usuario invitado en elementos protegibles de la base de datos SQL * El bit de confianza debe deshabilitarse en todas las bases de datos, excepto MSDB para bases de datos SQL. * El usuario "dbo" no debe usarse para el funcionamiento normal del servicio en bases de datos SQL. * Solo 'dbo' debe tener acceso a la base de datos SQL del modelo * El cifrado de datos transparente debe estar habilitado para bases de datos SQL. * La comunicación de base de datos mediante TDS debe protegerse a través de TLS para servidores SQL Server. * Las claves simétricas de cifrado de base de datos deben usar el algoritmo AES en bases de datos SQL. * Las claves de cifrado a nivel de celda deben usar el algoritmo AES en bases de datos SQL. * Las claves de certificado deben usar al menos 2048 bits para bases de datos SQL * La longitud de las claves asimétricas debe ser de al menos 2048 bits en bases de datos SQL. * Filestream debe deshabilitarse para servidores SQL Server. * La configuración del servidor 'XPs de replicación' debe estar deshabilitada para los servidores SQL Server. * Los usuarios huérfanos deben quitarse de las bases de datos de SQL Server. * La información del propietario de la base de datos en la base de datos debe coincidir con la información correspondiente del propietario de la base de datos en la base de datos maestra para las bases de datos SQL. * Los roles de aplicación no deben usarse en bases de datos SQL * No debe haber ningún SP marcado como inicio automático para los servidores SQL Server. * Los roles de base de datos definidos por el usuario no deben ser miembros de roles fijos en bases de datos SQL. * Los ensamblados CLR de usuario no deben definirse en bases de datos SQL. * Los propietarios de bases de datos deben ser los esperados para las bases de datos SQL. * Se debe habilitar la auditoría de los intentos de inicio de sesión correctos y erróneos para servidores SQL Server * Se debe habilitar la auditoría de los intentos de inicio de sesión correctos y erróneos para la autenticación de las bases de datos SQL * Los usuarios independientes deben usar la autenticación de Windows en bases de datos de SQL Server. * El cifrado de red de Polybase debe estar habilitado para bases de datos SQL. * Crear una línea base de proveedores de administración de claves externas para servidores SQL Server Se debe habilitar el cifrado forzado para TDS para servidores SQL * Los permisos de servidor concedidos al público deben minimizarse para los servidores SQL Server. * Todas las pertenencias a roles definidos por el usuario deben estar pensadas en bases de datos SQL. * Los roles huérfanos de base de datos deben quitarse de las bases de datos SQL. * Debe haber al menos 1 auditoría activa en el sistema para servidores SQL Server. * Se debe conceder al conjunto mínimo de entidades de seguridad permisos de ámbito de base de datos ALTER o ALTER ANY USER en bases de datos SQL. * Se deben conceder permisos EXECUTE en objetos o columnas al conjunto mínimo de entidades de seguridad en bases de datos de SQL * La detección de amenazas de SQL debe estar habilitada en el nivel de SQL Server. * La auditoría debe estar habilitada en el nivel de servidor para los servidores SQL Server. * Las reglas de firewall de nivel de base de datos no deben conceder acceso excesivo a los servidores SQL Server. * Las reglas de firewall de nivel de servidor no deben conceder acceso excesivo a los servidores SQL Server. * Se deben monitorizar las reglas de firewall a nivel de base de datos y mantenerlas al mínimo estricto en los servidores SQL Server. * Se debe realizar el seguimiento de las reglas de firewall de nivel de servidor, que deben mantenerse en un mínimo estricto en servidores SQL Server. * Se deben revocar permisos de ejecución innecesarios en procedimientos almacenados extendidos para servidores SQL Server. * Un conjunto mínimo de entidades de seguridad debe ser miembro de roles fijos de la base de datos maestra de Azure SQL Database * Un conjunto mínimo de entidades de seguridad debe ser miembro de roles fijos de bases de datos SQL de alto impacto. * Un conjunto mínimo de entidades de seguridad debe ser miembro de roles fijos de bases de datos SQL de bajo impacto. * Los permisos de ejecución para acceder al Registro deben estar restringidos para los servidores SQL Server. * Las bases de datos de ejemplo deben quitarse para los servidores SQL Server. * Los permisos de Servicios de transformación de datos (DTS) solo deben concederse a roles SSIS en la base de datos SQL de MSDB. * Un conjunto mínimo de entidades de seguridad debe ser miembro de roles fijos del servidor para servidores SQL Server * Las características que pueden afectar a la seguridad deben deshabilitarse para los servidores SQL Server. * La característica "Procedimientos de automatización OLE" debe estar deshabilitada para los servidores SQL Server. * La característica "Opciones de usuario" debe deshabilitarse para los servidores SQL Server. * Las características de extensibilidad que pueden afectar a la seguridad deben deshabilitarse si no es necesario para los servidores SQL Server. * La evaluación de vulnerabilidades debe configurarse solo en SQL Server 2012 y versiones posteriores. * Los cambios en los módulos firmados deben estar autorizados para las bases de datos SQL. * Realizar un seguimiento de todos los usuarios con acceso a la base de datos para bases de datos SQL * Los inicios de sesión de SQL con nombres usados habitualmente deben deshabilitarse para los servidores SQL Server. Consulte el mapa de reglas y recomendaciones completas. |
| 11 de diciembre de 2025 | Alerta | Deprecated | Las siguientes alertas ahora están obsoletas. * ServiciosDeAplicaciones_AccesoAnómaloAPagina * AppServices_CurlToDisk * AppServices_WpThemeInjection * AppServices_SmartScreen * AppServices_ScanSensitivePage * AppServices_CommandlineSuspectDomain * AzureDNS_ThreatIntelSuspectDomain * AppServices_FilelessAttackBehaviorDetection * Técnica de Detección de Ataques sin Archivos de Servicios de Aplicaciones * AppServices_FilelessAttackToolkitDetection * AppServices_PhishingContent * AppServices_ProcessWithKnownSuspiciousExtension Estas alertas se retiran como parte de un proceso de mejora de calidad y se reemplazan por alertas más recientes y avanzadas que proporcionan mayor precisión y funcionalidades de detección de amenazas mejoradas. Esta actualización garantiza una cobertura de seguridad mejorada y un ruido reducido. |
| 3 de diciembre de 2025 | Recomendación | Aviso de eliminación próxima (aviso de 30 días) | La siguiente recomendación quedará obsoleta dentro de 30 días: Microsoft Defender for SQL status should be protected for Arc-enabled SQL Servers en el plan de Defender para servidores SQL Server en máquinas. |
| 1 de diciembre de 2025 | Recomendación | Versión preliminar | (Versión preliminar) La firma de código debe estar habilitada en Lambda |
| 1 de diciembre de 2025 | Recomendación | Versión preliminar | (Versión preliminar) El mecanismo de seguridad debe usarse en lambda function API Gateway |
| 1 de diciembre de 2025 | Recomendación | Versión preliminar | (Versión preliminar) La autenticación debe estar habilitada en las direcciones URL de la función lambda |
| 1 de diciembre de 2025 | Recomendación | Versión preliminar | (Versión preliminar) La función lambda debe implementar la simultaneidad reservada para evitar el agotamiento de recursos |
| 1 de diciembre de 2025 | Recomendación | Versión preliminar | (Versión preliminar) La función lambda debe configurarse con actualizaciones automáticas de la versión en tiempo de ejecución |
| 1 de diciembre de 2025 | Recomendación | Versión preliminar | (Versión preliminar) La autenticación debe estar habilitada en Azure Functions |
| 1 de diciembre de 2025 | Recomendación | Versión preliminar | (Versión preliminar) Los permisos excesivamente permisivos no deben configurarse en Function App, Web App o Logic App |
| 1 de diciembre de 2025 | Recomendación | Versión preliminar | (Versión preliminar) El acceso restringido a la red debe configurarse en la aplicación de funciones expuesta a Internet |
| 21 de octubre de 2025 | Alerta | Actualizar | Los siguientes cambios se aplicarán a las alertas K8S.Node_* para clústeres de EKS y GKE. La propiedad resourceIdentifiers hará referencia al identificador del conector MDC: Microsoft.Security/securityConnectors/CONNECTOR_NAME/securityentitydata/EKS_CLUSTER_NAME en lugar del identificador de recurso de Arc Microsoft.Kubernetes/connectedClusters/ARC_CLUSTER_NAME. La propiedad Entities hará referencia al identificador nativo de nube arn:aws:eks:AWS_REGION:AWS_ACCOUNT:cluster/CLUSTER_NAME o container.googleapis.com/projects/PROJECT_ID/zones/ZONE/clusters/CLUSTER_NAME, en lugar del identificador de recurso de Arc Microsoft.Kubernetes/connectedClusters/ARC_CLUSTER_NAME. El campo resourceType en extendedProperties cambiará de "Kubernetes – Azure Arc" al tipo de recurso correspondiente "Clúster de AWS EKS" o "Clúster GKE de GCP". |
| 10 de septiembre de 2025 | Alerta | Desuso | La siguiente alerta está obsoleta. Se detectó un nombre de proceso sospechoso |
| 1 de junio de 2025 | Alerta | Próximo desuso | La siguiente alerta quedará en desuso, ya que el método ya no se admite en PowerZure: * Uso de la función PowerZure para mantener la persistencia en el entorno de Azure |
| 15 de mayo de 2025 | Alerta | Próximo desuso | Las siguientes alertas quedarán en desuso y no estarán disponibles a través de la integración con XDR: * Ataque DDoS detectado para la dirección IP pública * Ataque DDoS mitigado para la dirección IP pública Nota: Las alertas estarán disponibles en Defender for Cloud Portal. |
| 1 de mayo de 2025 | Alerta | Disponibilidad general | Las alertas de inteligencia artificial se han lanzado a disponibilidad general junto con la versión oficial del plan. |
| 20 de abril de 2025 | Alerta | Versión preliminar | (Versión preliminar) AI - Datos confidenciales sospechosos identificados por su recurso de Azure AI, esto reemplaza la alerta de exposición de datos confidenciales anterior. |
| 29 de abril de 2025 | Recomendación | Disponibilidad general | Role-Based Access Control debe usarse en Keyvault Services |
| 20 de abril de 2025 | Alerta | Versión preliminar | IA: anomalía sospechosa detectada en datos confidenciales expuestos por el recurso de IA, esto reemplaza a la alerta de exposición de datos confidenciales anterior. |
| 5 de febrero de 2025 | Recomendación | Próximo desuso | Las siguientes recomendaciones estarán en desuso: Configuración de Microsoft Defender para Storage (Clásico) para que esté habilitado Configuración básica de Microsoft Defender para Storage para que esté habilitado (solo Supervisión de actividad) |
| 29 de enero de 2025 | Recomendación | Disponibilidad general | Se protegió aún más la recomendación Se debe evitar la ejecución de contenedores como usuario raíz. ¿Qué cambia? Ya es necesario especificar al menos un rango para "Ejecutar como regla de grupo". Este cambio fue necesario para asegurarse de que los contenedores no tendrán acceso a los archivos propiedad del usuario root y los grupos de usuarios con permisos para el grupo root. |
| 13 de enero de 2025 | Alerta | Versión preliminar | IA: acceso desde una dirección IP sospechosa |
| 13 de enero de 2025 | Alerta | Versión preliminar | AI: sospecha de ataque de cartera |
| 19 de diciembre de 2024 | Alerta | Disponibilidad general | Las siguientes alertas de Azure Storage están en GA: Se ha descargado un blob malintencionado de una cuenta de almacenamiento Se ha usado un token de SAS inusual para acceder a una cuenta de almacenamiento de Azure desde una dirección IP pública Operación externa sospechosa a una cuenta de almacenamiento de Azure con un token de SAS demasiado permisivo Acceso externo sospechoso a una cuenta de almacenamiento de Azure con un token de SAS demasiado permisivo Acceso público inusual sin autenticar a un contenedor de blobs confidencial Cantidad inusual de datos extraídos de un contenedor de blobs confidenciales Número inusual de blobs extraídos de un contenedor de blobs confidenciales Acceso desde una ubicación inusual a un contenedor de blobs confidenciales Acceso desde una aplicación sospechosa conocida a un contenedor de blobs confidenciales Acceso desde una dirección IP sospechosa conocida a un contenedor de blobs confidenciales Acceso desde un nodo de salida de Tor a un contenedor de blobs confidenciales |
| 16 de diciembre de 2024 | Alerta | Versión preliminar | IA: acceso desde una dirección IP de Tor |
| 19 de noviembre de 2024 | Desuso | Disponibilidad general |
Las recomendaciones de MFA están en desuso, ya que Azure ahora lo requiere. Las siguientes recomendaciones quedan en desuso: * Las cuentas con permisos de lectura en los recursos de Azure deben estar habilitadas para MFA * Las cuentas con permisos de escritura en los recursos de Azure deben estar habilitadas para MFA * Las cuentas con permisos de propietario en los recursos de Azure deben estar habilitadas para MFA |
| 19 de noviembre de 2024 | Alerta | Versión preliminar | IA: se detectó un agente de usuario sospechoso |
| 19 de noviembre de 2024 | Alerta | Versión preliminar | Se detectó la inyección de solicitud de contrabando ASCII |
| 30 de octubre de 2024 | Alerta | Disponibilidad general | Extracción sospechosa de claves de cuenta de Azure Cosmos DB |
| 30 de octubre de 2024 | Alerta | Disponibilidad general | Se cambió el nivel de acceso de un contenedor de blobs de almacenamiento confidencial para permitir el acceso público no autenticado |
| 30 de octubre de 2024 | Recomendación | Próximo desuso |
Las recomendaciones de MFA están en desuso, ya que Azure ahora lo requiere. Las siguientes recomendaciones quedarán en desuso: * Las cuentas con permisos de lectura en los recursos de Azure deben estar habilitadas para MFA * Las cuentas con permisos de escritura en los recursos de Azure deben estar habilitadas para MFA * Las cuentas con permisos de propietario en los recursos de Azure deben estar habilitadas para MFA |
| 12 de octubre de 2024 | Recomendación | Disponibilidad general | El servidor flexible de Azure Database for PostgreSQL solo debe tener habilitada la autenticación de Microsoft Entra |
| 6 de octubre de 2024 | Recomendación | Actualizar | [Versión preliminar] Los contenedores que se ejecutan en GCP deben tener resueltos los hallazgos de vulnerabilidades |
| 6 de octubre de 2024 | Recomendación | Actualizar | [Vista previa] Los contenedores que se ejecutan en AWS deben tener los resultados de vulnerabilidad resueltos |
| 6 de octubre de 2024 | Recomendación | Actualizar | [Vista previa] Los contenedores que se ejecutan en Azure deben tener los resultados de vulnerabilidad resueltos |
| 10 de septiembre de 2024 | Alerta | Versión preliminar | La aplicación/modelo/datos de IA dañados dirigieron un intento de suplantación de identidad (phishing) a un usuario |
| 10 de septiembre de 2024 | Alerta | Versión preliminar | Dirección URL de suplantación de identidad compartida en una aplicación de IA |
| 10 de septiembre de 2024 | Alerta | Versión preliminar | Intento de suplantación de identidad detectado en una aplicación de IA |
| 5 de septiembre de 2024 | Recomendación | Disponibilidad general | Las actualizaciones del sistema deben instalarse en las máquinas (con tecnología de Azure Update Manager) |
| 5 de septiembre de 2024 | Recomendación | Disponibilidad general | Las máquinas deben configurarse para que se compruebe periódicamente si faltan actualizaciones del sistema |
Contenido relacionado
Para obtener información sobre las nuevas características, consulte Novedades de las características de Defender for Cloud.