Compartir por


Seguridad de datos de Microsoft Defender for Cloud

Con el fin de ayudar a los clientes a prevenir y detectar amenazas, así como a responder a estas, Microsoft Defender for Cloud recopila y procesa datos relacionados con la seguridad, como información de configuración, metadatos y registros de eventos, entre otros. Microsoft se adhiere a instrucciones estrictas de seguridad y cumplimiento de normas, desde la codificación hasta la operación de un servicio.

En este artículo se explica cómo se administran y protegen los datos en Defender for Cloud.

Orígenes de datos

Defender for Cloud analiza los datos de los siguientes orígenes para proporcionar visibilidad sobre su estado de seguridad, identificar vulnerabilidades y recomendar medidas de mitigación, y detectar amenazas activas:

  • Servicios de Azure: utiliza la información acerca de la configuración de los servicios de Azure que se hayan implementado mediante la comunicación con el proveedor de recursos de cada uno de dichos servicios.
  • Tráfico de red: usa metadatos muestreados del tráfico de red de la infraestructura de Microsoft, como la IP o el puerto de origen o destino, el tamaño de paquete y el protocolo de red.
  • Soluciones de asociados: usa alertas de seguridad de las soluciones de asociados integradas, como firewalls y soluciones antimalware.
  • Los equipos: usa los detalles de configuración y la información sobre eventos de seguridad, como los eventos y registros de auditoría de Windows, y los mensajes de Syslog de las máquinas virtuales.

Uso compartido de datos

Cuando habilita Defender para Storage de análisis de malware, es posible que comparta metadatos, incluidos los metadatos clasificados como datos de clientes (por ejemplo, hash SHA-256), con Microsoft Defender para punto de conexión.

La ejecución del plan de Defender para la administración de la posición de seguridad en la nube (CSPM) en Microsoft Defender for Cloud comparte datos que están integrados en las recomendaciones de administración de exposición de seguridad de Microsoft.

Nota:

La administración de exposición de seguridad de Microsoft se encuentra actualmente en una versión preliminar pública.

Protección de los datos

Segregación de datos

los datos se mantienen separados de forma lógica en cada componente a lo largo de todo el servicio. Todos los datos se etiquetan por organización. Este etiquetado persiste a lo largo del ciclo de vida de los datos y se aplica en cada nivel del servicio.

Acceso a datos

Para proporcionar recomendaciones de seguridad e investigar posibles amenazas de seguridad, el personal de Microsoft podría acceder a la información recopilada o analizada por los servicios de Azure, incluidos los eventos de creación de procesos y otros artefactos, que podrían incluir involuntariamente datos de clientes o datos personales de sus máquinas.

Cumplimos el anexo de protección de datos de Microsoft Online Services, en donde se estipula que Microsoft no utilizará los datos de los clientes ni información derivada de ellos con fines comerciales, publicitarios o similares. Solo usamos los datos del cliente necesarios para proporcionar los servicios de Azure. El usuario conserva todos los derechos sobre los datos del cliente.

Uso de datos

Microsoft utiliza los patrones y la información sobre amenazas vistos en varios inquilinos para mejorar las funcionalidades de detección y prevención; esto se realiza según lo dispuesto en los compromisos de privacidad que se describen en nuestra declaración de privacidad.

Administración de recopilación de datos de máquinas

Al habilitar Defender for Cloud en Azure, se activa la recopilación de datos para cada una de las suscripciones del servicio. También puede habilitar la recopilación de datos para sus suscripciones en Defender for Cloud. Si se activa la recopilación de datos, Defender for Cloud aprovisionará el agente de Log Analytics en todas las máquinas virtuales de Azure compatibles ya existentes y en las que se creen.

El agente de Log Analytics busca diversos eventos y configuraciones relacionados con la seguridad y los envía a seguimientos de Seguimiento de eventos para Windows (ETW). Además, el sistema operativo generará eventos del registro de eventos mientras la máquina se ejecute. Estos son algunos ejemplos de dichos datos: tipo y versión del sistema operativo, registros del sistema operativo (registros de eventos de Windows), procesos en ejecución, nombre de la máquina, direcciones IP, usuario conectado e identificador de inquilino. El agente de Log Analytics lee las entradas de los registros de eventos y los seguimientos de ETW, y los copia en las áreas de trabajo para el análisis. El agente de Log Analytics también habilita eventos de creación de procesos y la auditoría de línea de comandos.

Si no usa las características de seguridad mejoradas de Microsoft Defender for Cloud, también puede deshabilitar la recopilación de datos en máquinas virtuales en la directiva de seguridad. La recopilación de datos es necesaria en el caso de las suscripciones que estén protegidas con características de seguridad mejoradas. Las instantáneas de disco de máquina virtual y la recolección de artefactos continuará habilitada aunque la recopilación de datos se deshabilite.

Puede especificar el área de trabajo y la región donde se almacenan los datos recopilados de sus máquinas. El valor predeterminado es almacenar los datos recopilados de las máquinas en el área de trabajo más cercana, tal como se muestra en la tabla siguiente:

Geoárea de la máquina virtual Geoárea del área de trabajo
Estados Unidos, Brasil, Canadá Estados Unidos
Canadá Canadá
Europa (excepto el Reino Unido) Europa
Reino Unido Reino Unido
Asia (excepto India, Japón, Corea, China) Asia Pacífico
Corea Asia Pacífico
India India
Japón Japón
China China
Australia Australia

Nota:

Microsoft Defender para Storage almacena los artefactos en regiones según la ubicación del recurso de Azure relacionado. Más información en Información general de Microsoft Defender para Storage.

Consumo de datos

Los clientes pueden acceder a los datos relacionados de Defender for Cloud desde los siguientes flujos de datos:

STREAM Tipos de datos
Registro de actividad de Azure Todas las alertas de seguridad, solicitudes de acceso Just-In-Time aprobadas de Defender for Cloud.
Registros de Azure Monitor Todas las alertas de seguridad.
Azure Resource Graph Las alertas de seguridad, las recomendaciones de seguridad, los resultados de la evaluación de vulnerabilidades, la información de puntuación segura, el estado de las comprobaciones de cumplimiento, etc.
API de REST de Microsoft Defender for Cloud Las alertas de seguridad, las recomendaciones de seguridad y mucho más.

Nota:

Si no hay ningún plan de Defender habilitado en la suscripción, los datos se quitarán de Azure Resource Graph después de 30 días de inactividad en la Microsoft Defender for Cloud Portal. Después de la interacción con artefactos en el portal relacionados con la suscripción, los datos deben volver a estar visibles en un plazo de 24 horas.

Retención de datos

Cuando en el gráfico de seguridad en la nube se recopilan datos de entornos de Azure y multinube, y otros orígenes de datos, los datos se conservan durante un período de 14 días. Después de 14 días, los datos se eliminan.

Los datos calculados, como las rutas de acceso de ataque, se pueden conservar durante 14 días adicionales. Los datos calculados constan de datos derivados de los datos sin procesar recopilados del entorno. Por ejemplo, la ruta de ataque se derivada de los datos sin procesar recopilados del entorno.

Esta información se recopila de acuerdo con los compromisos de privacidad descritos en nuestra Declaración de privacidad.

Integración de Defender for Cloud y Microsoft Defender 365 Defender

Al habilitar cualquiera de los planes de pago de Defender for Cloud, obtendrá automáticamente todas las ventajas de Microsoft Defender XDR. La información de Defender for Cloud se compartirá con Microsoft Defender XDR. Estos datos pueden contener datos de clientes y se almacenarán según las directrices de control de datos de Microsoft 365.