Directivas de seguridad en Defender for Cloud

Las directivas de seguridad de Microsoft Defender for Cloud constan de estándares de seguridad y recomendaciones que ayudan a mejorar la posición de seguridad en la nube.

Los estándares de seguridad definen reglas, condiciones de cumplimiento para esas reglas y acciones (efectos) que se deben tomar si no se cumplen las condiciones. Defender for Cloud evalúa los recursos y las cargas de trabajo con los estándares de seguridad habilitados en las suscripciones de Azure, las cuentas de Amazon Web Services (AWS) y los proyectos de Google Cloud Platform (GCP). En función de esas evaluaciones, las recomendaciones de seguridad proporcionan pasos prácticos para ayudarle a corregir los problemas de seguridad.

Estándares de seguridad

Los estándares de seguridad de Defender for Cloud proceden de estos orígenes:

  • Microsoft Cloud Security Benchmark (MCSB): el estándar MCSB se aplica de forma predeterminada al incorporar Defender for Cloud a un grupo de administración o una suscripción. La puntuación segura se basa en la evaluación de algunas recomendaciones de MCSB.

  • Estándares de cumplimiento normativo: al habilitar uno o varios planes de Defender for Cloud, puede agregar estándares desde una amplia gama de programas predefinidos de cumplimiento normativo.

  • Estándares personalizados: puede crear estándares de seguridad personalizados en Defender for Cloud y, a continuación, agregar recomendaciones integradas y personalizadas a esos estándares personalizados según sea necesario.

Los estándares de seguridad de Defender for Cloud se basan iniciativas de Azure Policy o en la plataforma nativa de Defender for Cloud. Actualmente, los estándares de Azure se basan en Azure Policy. Los estándares de AWS y GCP se basan en Defender for Cloud.

Los estándares de seguridad de Defender for Cloud simplifican la complejidad de Azure Policy. En la mayoría de los casos, puede trabajar directamente con estándares de seguridad y recomendaciones en el portal de Defender for Cloud, sin necesidad de configurar directamente Azure Policy.

Trabajar con estándares de seguridad

Esto es lo que puede hacer con los estándares de seguridad en Defender for Cloud:

  • Modificar el MCSB integrado para la suscripción: al habilitar Defender for Cloud, el MCSB se asigna automáticamente a todas las suscripciones registradas de Defender for Cloud.

  • Agregar estándares de cumplimiento normativo: si tiene uno o varios planes de pago habilitados, puede asignar estándares de cumplimiento integrados con los que evaluar los recursos de Azure, AWS y GCP. Más información sobre la asignación de estándares normativos.

  • Agregar estándares personalizados: si tiene al menos un plan de Defender de pago habilitado, puede definir nuevos estándares de Azure o estándares de AWS y GCP en el portal de Defender for Cloud. A continuación, puede agregar recomendaciones a esos estándares.

Trabajar con estándares personalizados

Los estándares personalizados aparecen junto con los estándares integrados en el panel de Cumplimiento normativo.

Las recomendaciones derivadas de las evaluaciones de los estándares personalizados aparecen junto con recomendaciones de estándares integrados. Los estándares personalizados pueden contener recomendaciones integradas y personalizadas.

Recomendaciones de seguridad

Defender for Cloud analiza y evalúa de forma periódica y continua el estado de seguridad de los recursos protegidos con respecto a los estándares de seguridad definidos, para identificar posibles errores de configuración y debilidades de seguridad. Después, Defender for Cloud proporciona recomendaciones basadas en los resultados de la evaluación.

Cada recomendación proporciona la siguiente información:

  • Descripción breve del problema
  • Pasos de corrección para implementar la recomendación
  • Recursos afectados.
  • Nivel de riesgo
  • Factores de riesgo
  • Rutas de acceso de ataque

Cada recomendación de Defender for Cloud tiene un nivel de riesgo asociado que representa el grado de vulnerabilidad e impacto del problema de seguridad en su entorno. El motor de evaluación de riesgos tiene en cuenta factores como la exposición a Internet, la sensibilidad de los datos, las posibilidades de movimiento lateral y la corrección de ruta de acceso de ataque. Puede priorizar las recomendaciones en función de sus niveles de riesgo.

Nota:

Actualmente, la priorización de riesgos está en versión preliminar pública y no afecta a la puntuación segura.

Ejemplo

El estándar MCSB es una iniciativa de Azure Policy que incluye varios controles de cumplimiento. Uno de estos controles es "Las cuentas de almacenamiento deben restringir el acceso a la red mediante reglas de red virtual".

Como Defender for Cloud evalúa y busca continuamente recursos que no cumplen este control, marca los recursos como no compatibles y desencadena una recomendación. En este caso, las instrucciones son proteger las cuentas de Azure Storage que no están protegidas con reglas de red virtual.

Recomendaciones personalizadas

Todos los clientes con suscripciones de Azure pueden crear recomendaciones personalizadas basadas en Azure Policy. Con Azure Policy, crea una definición de directiva, la asigna a una iniciativa de directiva y combina esa iniciativa y directiva en Defender for Cloud.

Las recomendaciones personalizadas basadas en el Lenguaje de consulta Kusto (KQL) están disponibles para todas las nubes, pero requieren habilitar el plan CSPM de Defender. Con estas recomendaciones, especifique un nombre único, una descripción, pasos para la corrección, la gravedad y los estándares a los que se debe asignar la recomendación. Agregue lógica de recomendación con KQL. Un editor de consultas proporciona una plantilla de consulta integrada que puede ajustar según sea necesario o puede escribir la consulta de KQL desde cero.

Para obtener más información, consulte Creación de estándares y recomendaciones de seguridad personalizados en Microsoft Defender for Cloud.

Pasos siguientes