Directivas de seguridad en Defender for Cloud
Las directivas de seguridad de Microsoft Defender for Cloud constan de estándares de seguridad y recomendaciones que ayudan a mejorar la posición de seguridad en la nube.
Los estándares de seguridad definen reglas, condiciones de cumplimiento para esas reglas y acciones (efectos) que se deben tomar si no se cumplen las condiciones. Defender for Cloud evalúa los recursos y las cargas de trabajo con los estándares de seguridad habilitados en las suscripciones de Azure, las cuentas de Amazon Web Services (AWS) y los proyectos de Google Cloud Platform (GCP). En función de esas evaluaciones, las recomendaciones de seguridad proporcionan pasos prácticos para ayudarle a corregir los problemas de seguridad.
Estándares de seguridad
Los estándares de seguridad de Defender for Cloud proceden de estos orígenes:
Prueba comparativa de seguridad en la nube de Microsoft (MCSB):el estándar MCSB se aplica de manera predeterminada al incorporar cuentas en la nube a Defender. La puntuación segura se basa en la evaluación de algunas recomendaciones de MCSB.
Estándares de cumplimiento normativo: al habilitar uno o varios planes de Defender for Cloud, puede agregar estándares desde una amplia gama de programas predefinidos de cumplimiento normativo.
Estándares personalizados: puede crear estándares de seguridad personalizados en Defender for Cloud y, a continuación, agregar recomendaciones integradas y personalizadas a esos estándares personalizados según sea necesario.
Los estándares de seguridad de Defender for Cloud se basan en iniciativas de Azure Policy o en la plataforma nativa de Defender for Cloud. Actualmente, los estándares de Azure se basan en Azure Policy. Los estándares de AWS y GCP se basan en Defender for Cloud.
Uso de estándares de seguridad
Esto es lo que puede hacer con los estándares de seguridad en Defender for Cloud:
Modificar el MCSB integrado para la suscripción: al habilitar Defender for Cloud, el MCSB se asigna automáticamente a todas las suscripciones registradas de Defender for Cloud. Obtenga más información sobre cómo administrar el estándar MCSB.
Agregar estándares de cumplimiento normativo: si tiene uno o varios planes de pago habilitados, puede asignar estándares de cumplimiento integrados con los que evaluar los recursos de Azure, AWS y GCP. Más información sobre la asignación de estándares normativos.
Agregar estándares personalizados: si tiene al menos un plan de Defender de pago habilitado, puede definir nuevos estándares personalizados y recomendaciones personalizadas en Defender for Cloud Portal. A continuación, puede agregar recomendaciones a esos estándares.
Estándares personalizados
Los estándares personalizados aparecen junto con los estándares integrados en el panel de Cumplimiento normativo.
Las recomendaciones derivadas de las evaluaciones de los estándares personalizados aparecen junto con recomendaciones de estándares integrados. Los estándares personalizados pueden contener recomendaciones integradas y personalizadas.
Recomendaciones personalizadas
El uso de recomendaciones personalizadas basadas en el lenguaje de consulta kusto (KQL) es el enfoque recomendado y se admite para todas las nubes, pero requiere habilitar el plan Defender CSPM. Con estas recomendaciones, se especifica un nombre único, una descripción, los pasos de corrección, la gravedad y los estándares pertinentes. Agregue lógica de recomendación con KQL. Un editor de consultas proporciona una plantilla de consulta integrada que puede modificar o puede escribir la consulta KQL.
Como alternativa, todos los clientes de Azure pueden incorporar sus iniciativas personalizadas de Azure Policy como recomendaciones personalizadas (enfoque heredado).
Para obtener más información, consulte Creación de estándares y recomendaciones de seguridad personalizados en Microsoft Defender for Cloud.
Recomendaciones de seguridad
Defender for Cloud analiza y evalúa de forma periódica y continua el estado de seguridad de los recursos protegidos con respecto a los estándares de seguridad definidos, para identificar posibles errores de configuración y debilidades de seguridad. Después, Defender for Cloud proporciona recomendaciones basadas en los resultados de la evaluación.
Cada recomendación proporciona la siguiente información:
- Descripción breve del problema
- Pasos de corrección para implementar la recomendación
- Recursos afectados.
- Nivel de riesgo
- Factores de riesgo
- Rutas de acceso de ataque
Cada recomendación de Defender for Cloud tiene un nivel de riesgo asociado que representa el grado de vulnerabilidad e impacto del problema de seguridad en su entorno. El motor de evaluación de riesgos tiene en cuenta factores como la exposición a Internet, la sensibilidad de los datos, las posibilidades de movimiento lateral y la corrección de ruta de acceso de ataque. Puede priorizar las recomendaciones en función de sus niveles de riesgo.
Importante
La priorización de riesgos no afecta a la puntuación de seguridad.
Ejemplo
El estándar MCSB es una iniciativa de Azure Policy que incluye varios controles de cumplimiento. Uno de estos controles es "Las cuentas de almacenamiento deben restringir el acceso a la red mediante reglas de red virtual".
Defender for Cloud evalúa continuamente los recursos. Si encuentra alguno que no cumpla este control, los marca como no conformes y desencadena una recomendación. En este caso, las instrucciones son proteger las cuentas de Azure Storage que no están protegidas con reglas de red virtual.
Pasos siguientes
- Obtenga más información sobre los estándares de cumplimiento normativo, el MCSB y la mejora del cumplimiento normativo.
- Más información sobre las recomendaciones de seguridad.