Compartir a través de

Recomendaciones para supervisar y detectar amenazas

  • Artículo

Se aplica a esta recomendación de lista de verificación de seguridad bien diseñada: Power Platform

SE:08 Implemente una estrategia de supervisión integral que se base en mecanismos modernos de detección de amenazas que puedan integrarse en la plataforma. Los mecanismos deben alertar de forma fiable para el triaje y enviar señales a los procesos SecOps existentes.

Esta guía describe las recomendaciones para la supervisión y la detección de amenazas. La supervisión es fundamentalmente un proceso de obtener información sobre eventos que ya han ocurrido. La supervisión de seguridad es una práctica de capturar información en diferentes niveles de la carga de trabajo (identidad, flujos, aplicaciones, operaciones) para estar al tanto de actividades sospechosas. El objetivo es predecir incidentes y aprender de eventos pasados. Los datos de supervisión proporcionan la base para el análisis postincidente de lo que ocurrió para ayudar en la respuesta al incidente y las investigaciones forenses.

El monitoreo es un enfoque de Excelencia Operacional que se aplica en todos los pilares de Well-Architected. Power Platform Esta guía proporciona recomendaciones únicamente desde una perspectiva de seguridad. Los conceptos generales de supervisión se tratan en Recomendaciones para diseñar y crear un sistema de supervisión.

Definiciones

Término Definición
Registros de auditoría Un registro de las actividades de un sistema.
Administración de información y eventos de seguridad (SIEM) Un enfoque que utiliza capacidades integradas de inteligencia y detección de amenazas basadas en datos agregados de múltiples orígenes.
Detección de amenazas Una estrategia para detectar desviaciones de las acciones esperadas mediante el uso de datos recopilados, analizados y correlacionados.
Inteligencia sobre amenazas Una estrategia de interpretación de datos de detección de amenazas para detectar actividades sospechosas o amenazas mediante el examen de patrones.
Prevención de amenazas Controles de seguridad que se colocan en una carga de trabajo a varias altitudes para proteger sus activos.

Estrategias clave de diseño

El objetivo principal de la supervisión de seguridad es la detección de amenazas. El objetivo principal es prevenir posibles violaciones de seguridad y mantener un entorno seguro. Sin embargo, es igualmente importante reconocer que no todas las amenazas pueden bloquearse de forma preventiva. En tales casos, la supervisión también sirve como mecanismo para identificar la causa de un incidente de seguridad que ha ocurrido a pesar de los esfuerzos de prevención.

La supervisión se puede abordar desde varias perspectivas:

  • Supervisión en varias altitudes. Observar desde varias altitudes es el proceso de obtener información sobre los flujos de usuarios, el acceso a los datos, la identidad, las redes e incluso el sistema operativo. Cada una de estas áreas ofrece información única que puede ayudarle a identificar desviaciones de los comportamientos esperados establecidos con respecto a la referencia de seguridad. Por el contrario, supervisar continuamente un sistema y sus aplicaciones a lo largo del tiempo puede ayudar a establecer esa postura de referencia. Por ejemplo, es posible que normalmente vea alrededor de 1000 intentos de inicio de sesión en su sistema de identidad cada hora. Si la supervisión detecta un aumento de 50 000 intentos de inicio de sesión durante un período corto, es posible que un atacante esté intentando obtener acceso a su sistema.

  • Supervisión en diversos ámbitos de impacto. Es fundamental observar la aplicación y la plataforma. Supongamos que un usuario de una aplicación obtiene accidentalmente privilegios elevados a una instancia superior o que se produce una infracción de seguridad. Si el usuario realiza acciones más allá de su ámbito designado, el impacto podría limitarse a acciones que otros usuarios puedan realizar.

    Sin embargo, si una entidad interna compromete una base de datos, el alcance del daño potencial es incierto.

    El radio afectado o el alcance del impacto podrían ser significativamente diferentes, dependiendo de cuál de estos escenarios ocurra.

  • Utilice herramientas de supervisión especializadas. Es fundamental invertir en herramientas especializadas que puedan analizar continuamente en busca de comportamientos anómalos que puedan indicar un ataque. La mayoría de estas herramientas tienen capacidades de inteligencia sobre amenazas que pueden realizar análisis predictivos basados ​​en un gran volumen de datos y amenazas conocidas. La mayoría de las herramientas no son sin estado e incorporan un conocimiento profundo de la telemetría en un contexto de seguridad.

    Las herramientas deben estar integradas en una plataforma o al menos ser compatibles con la plataforma para obtener señales profundas de la plataforma y hacer predicciones con alta fidelidad. Deben poder generar alertas de manera oportuna con información suficiente para realizar una clasificación adecuada. El uso de demasiadas herramientas diversas puede generar complejidad.

  • Utilice la supervisión en la respuesta a incidentes. Los datos agregados, transformados en inteligencia procesable, permiten reacciones rápidas y efectivas a incidentes. La supervisión ayuda con las actividades postincidente. El objetivo es recopilar suficientes datos para analizar y comprender lo sucedido. El proceso de supervisión captura información sobre eventos pasados ​​para mejorar las capacidades reactivas y potencialmente predecir incidentes futuros.

Las siguientes secciones proporcionan prácticas recomendadas que incorporan las perspectivas de supervisión anteriores.

Capture datos para mantener un seguimiento de las actividades

El objetivo es mantener un pista de auditoría completa de eventos que son significativos desde una perspectiva de seguridad. El registro es la forma más común de capturar patrones de acceso. Se debe realizar el registro para la aplicación y la plataforma.

Para una pista de auditoría, es necesario establecer el qué, el cuándo y el quién asociados a las acciones. Es necesario identificar los periodos específicos en los que se realizan las acciones. Haga esta evaluación en su modelado de amenazas. Para contrarrestar una amenaza de rechazo debe establecer sistemas sólidos de registro y auditoría que generen un registro de actividades y transacciones.

Las siguientes secciones describen casos de uso para algunas altitudes comunes de una carga de trabajo.

Flujos de usuario de la carga de trabajo

Su carga de trabajo debe diseñarse para proporcionar visibilidad en tiempo de ejecución cuando ocurren eventos. Identifique puntos críticos dentro de su carga de trabajo y establezca registros para estos puntos. Es importante reconocer cualquier escalada en los privilegios del usuario, las acciones realizadas por el usuario y si el usuario accedió a información confidencial en un almacén de datos seguro. Realice un seguimiento de las actividades del usuario y de la sesión del usuario.

Para facilitar este seguimiento, el código debe ser instrumentado a través de registro estructurado. Esto permite consultar y filtrar los registros de forma sencilla y uniforme.

Importante

Debe aplicar un registro responsable para mantener la confidencialidad y la integridad de su sistema. Los secretos y los datos confidenciales no deben aparecer en los registros. Tenga en cuenta la filtración de datos personales y otros requisitos de cumplimiento cuando capture estos datos de registro.

Supervisión de identidades y accesos

Mantenga un registro exhaustivo de los patrones de acceso a la aplicación y las modificaciones en los recursos de la plataforma. Mantenga registros de actividad y mecanismos de detección de amenazas sólidos, particularmente para actividades relacionadas con la identidad, porque los atacantes a menudo intentan manipular las identidades para obtener acceso no autorizado.

Implemente un registro integral utilizando todos los puntos de datos disponibles. Por ejemplo, incluya la dirección IP del cliente para diferenciar entre la actividad habitual del usuario y las posibles amenazas procedentes de ubicaciones inesperadas. Todos los eventos de registro deben tener una marca de tiempo del servidor.

Registre todas las actividades de acceso a los recursos, capturando quién hace qué y cuándo lo hace. Los casos de elevación de privilegios son un punto de datos importante que debe registrarse. También se deben registrar las acciones relacionadas con la creación o eliminación de cuentas por parte de la aplicación. Esta recomendación se extiende a los secretos de la aplicación. Supervise quién accede a los secretos y cuándo se rotan.

Aunque el registro de acciones correctas es importante, el registro de errores es necesario desde una perspectiva de seguridad. Documente cualquier infracción, como un usuario que intenta realizar una acción pero encuentra un error de autorización, intentos de acceso a recursos inexistentes y otras acciones que parezcan sospechosas.

Supervisión de red

Su diseño de segmentación debe habilitar puntos de observación en los límites para supervisar qué los cruza y registrar esos datos. Por ejemplo, supervise subredes que tengan grupos de seguridad de red que generen registros de flujo. Supervise también los registros del firewall que muestran los flujos permitidos o denegados.

Hay registros de acceso para solicitudes de conexión entrantes. Estos registros registran las direcciones IP de origen que inician las solicitudes, el tipo de solicitud (GET, POST) y toda la información que forme parte de las solicitudes.

La captura de flujos de DNS es un requisito importante para muchas organizaciones. Por ejemplo, los registros de DNS pueden ayudar a identificar qué usuario o dispositivo inició una consulta de DNS en particular. Al correlacionar la actividad de DNS con registros de autenticación de usuarios/dispositivos, puede realizar un seguimiento de las actividades de clientes individuales. Esta responsabilidad a menudo se extiende al equipo de carga de trabajo, especialmente si implementan algo que haga que las solicitudes de DNS formen parte de su operación. El análisis del tráfico de DNS es un aspecto clave de la observabilidad de la seguridad de la plataforma.

Es importante supervisar las solicitudes de DNS inesperadas o las solicitudes de DNS que se dirijan a extremos de comando y control conocidos.

Compensación: Registrar todas las actividades de la red puede generar una gran cantidad de datos. Desafortunadamente, no es posible capturar solo eventos adversos porque solo se pueden identificar después de que ocurren. Tome decisiones estratégicas sobre el tipo de eventos que desea capturar y durante cuánto tiempo almacenarlos. Si no tiene cuidado, administrar los datos puede resultar abrumador. También existe un compromiso en cuanto al coste de almacenar esos datos.

Capturar cambios en el sistema

Para mantener la integridad de su sistema debe tener un registro preciso y actualizado del estado del sistema. Si hay cambios, puede utilizar este registro para abordar de inmediato cualquier problema que surja.

Los procesos de compilación también deberían emitir telemetría. Comprender el contexto de seguridad de los eventos es clave. Saber qué desencadenó el proceso de compilación, quién lo desencadenó y cuándo se desencadenó puede proporcionar información valiosa.

Realice un seguimiento de cuándo se crean recursos y cuándo se retiran. Esta información debe ser extraída de la plataforma. Esta información proporciona información valiosa para la administración de recursos y la rendición de cuentas.

Supervise la desviación en la configuración de recursos. Documente cualquier cambio en un recurso existente. Realice también un seguimiento de los cambios que no se completan como parte de una implementación en una flota de recursos. Los registros deben capturar los detalles del cambio y la hora exacta en que ocurrió.

Tenga una visión integral, desde una perspectiva de las revisiones, de si el sistema está actualizado y es seguro. Supervisar los procesos de actualización de rutina para verificar que se completen según lo planeado. Un proceso de revisiones de seguridad que no se completa debe considerarse una vulnerabilidad. También debe mantener un inventario que registre los niveles de revisiones y cualquier otro detalle requerido.

La detección de cambios también se aplica al sistema operativo. Esto implica realizar un seguimiento si se agregan o desactivan servicios. También incluye la supervisión para la incorporación de nuevos usuarios al sistema. Hay herramientas que están diseñadas para centrarse en un sistema operativo. Ayudan con la supervisión sin contexto en el sentido de que no se centran en la funcionalidad de la carga de trabajo. Por ejemplo, la supervisión de la integridad de los archivos es una herramienta fundamental que le permite realizar un seguimiento de los cambios en los archivos del sistema.

Debe configurar alertas para estos cambios, especialmente si no espera que ocurran con frecuencia.

Importante

Cuando implementa a producción, asegúrese de que las alertas estén configuradas para detectar la actividad anómala que se detecte en los recursos de la aplicación y el proceso de compilación.

En sus planes de prueba, incluya la validación de registro y alertas como casos de prueba prioritarios.

Almacenar, agregar y analizar datos

Los datos recopilados a partir de estas actividades de supervisión deben almacenarse en receptores de datos donde se puedan examinar, normalizar y correlacionar exhaustivamente. Los datos de seguridad deben conservarse fuera de los propios almacenes de datos del sistema. La supervisión de los receptores, ya sean localizados o centrales, deben sobrevivir a los orígenes de datos. Los receptores no pueden ser efímeros porque son el origen de los sistemas de detección de intrusos.

Los registros de red pueden ser detallados y ocupar espacio de almacenamiento. Explore diferentes niveles en los sistemas de almacenamiento. Los registros pueden pasar naturalmente a un almacenamiento más en frío con el tiempo. Este enfoque es beneficioso porque los registros de flujo más antiguos normalmente no se utilizan de forma activa y solo se necesitan según demanda. Este método garantiza una gestión eficiente del almacenamiento y al mismo tiempo garantiza que pueda acceder a los datos históricos cuando lo necesite.

Los flujos de su carga de trabajo suelen estar compuestos de múltiples orígenes de registro. Los datos de supervisión deben ser analizados de forma inteligente en todos esos orígenes. Por ejemplo, su firewall sólo bloqueará el tráfico que le llegue. Si tiene un grupo de seguridad de red que ya ha bloqueado cierto tráfico, ese tráfico no es visible para el firewall. Para reconstruir la secuencia de eventos debe agregar datos de todos los componentes que están en flujo y luego agregar datos de todos los flujos. Estos datos son particularmente útiles en un escenario de respuesta postincidente cuando se intenta comprender qué sucedió. Es esencial llevar un registro exacto del tiempo. Por motivos de seguridad, todos los sistemas deben utilizar un origen de hora de red para que estén siempre sincronizados.

Detección de amenazas centralizada con registros correlacionados

Puede utilizar un sistema como administración de información y eventos de seguridad (SIEM) para consolidar datos de seguridad en una ubicación central donde se pueden correlacionar entre varios servicios. Estos sistemas tienen mecanismos de detección de amenazas incorporada. Pueden conectarse a orígenes externos para obtener datos de inteligencia sobre amenazas. Microsoft, por ejemplo, publica datos de inteligencia sobre amenazas que puedes utilizar. También puede comprar fuentes de inteligencia sobre amenazas de otros proveedores, como Anomali y FireEye. Estas fuentes pueden proporcionar información valiosa y mejorar su postura de seguridad. Para obtener información sobre amenazas de Microsoft, consulte Security Insider.

Un sistema SIEM puede generar alertas basadas en datos correlacionados y normalizados. Estas alertas son un recurso importante durante un proceso de respuesta a incidentes.

Compensación: los sistemas SIEM pueden ser costosos, complejos y requerir tecnología especializada. Sin embargo, si no tiene uno, es posible que deba correlacionar los datos usted mismo. Puede ser un proceso laborioso y complejo.

Los sistemas SIEM suelen ser gestionados por los equipos centrales de una organización. Si su organización no lo tiene, estudie la posibilidad de solicitarlo. Podría aliviar la carga del análisis y la correlación de registros manuales para permitir una gestión de seguridad más eficiente y eficaz.

Microsoftofrece algunas opciones rentables. Muchos productos Defender proporcionan la funcionalidad de alerta de un sistema SIEM, pero sin una función de agregación de datos. Microsoft

La combinación de varias herramientas más pequeñas permite emular algunas funciones de un sistema SIEM. Sin embargo, debe saber que es posible que estas soluciones improvisadas no puedan realizar un análisis de correlación. Estas alternativas pueden resultar útiles, pero es posible que no reemplacen por completo la funcionalidad de un sistema SIEM dedicado.

Detectar abusos

Sea proactivo en la detección de amenazas y esté atento a las señales de abuso, como ataques de fuerza bruta de identidad en un componente SSH o un RDP punto de conexión. Aunque las amenazas externas pueden generar mucho ruido, especialmente si la aplicación está expuesta en Internet, las amenazas internas suelen ser una preocupación mayor. Un ataque inesperado de fuerza bruta proveniente de un origen de red de confianza o una configuración incorrecta involuntaria, por ejemplo, deben investigarse de inmediato.

Manténgase al día en las prácticas de refuerzo. La supervisión no sustituye al refuerzo proactivo del entorno. Una superficie más grande es propensa a más ataques. Ajuste los controles tanto como la práctica. Detecte y deshabilite cuentas no utilizadas, utilice un firewall de IP y bloquee los extremos que no sean necesarios con directivas de Prevención de pérdida de datos, por ejemplo.

La detección basada en firmas puede inspeccionar un sistema en detalle. Implica buscar señales o correlaciones entre actividades que puedan indicar un posible ataque. Un mecanismo de detección podría identificar ciertas características que son indicativas de un tipo específico de ataque. Puede que no siempre sea posible detectar directamente el mecanismo de comando y control de un ataque. Sin embargo, a menudo hay indicios o patrones asociados con un proceso particular de comando y control. Por ejemplo, un ataque puede estar indicado por una determinada tasa de flujo desde la perspectiva de una solicitud, o puede acceder con frecuencia a dominios que tienen terminaciones específicas.

Detecte patrones anómalos de acceso de usuarios para identificar e investigar desviaciones de los patrones esperados. Esto implica comparar el comportamiento actual del usuario con el comportamiento pasado para detectar anomalías. Aunque puede que no sea factible realizar esta tarea manualmente, puede utilizar herramientas de inteligencia sobre amenazas para ello. Invierta en herramientas User and Entity Behavior Analytics (UEBA) que recopilen el comportamiento del usuario a partir de datos de supervisión y los analicen. Estas herramientas a menudo pueden realizar análisis predictivos que asignan comportamientos sospechosos a tipos potenciales de ataque.

Detecte amenazas durante las fases previas y posteriores a la implementación. Durante la fase previa a la implementación, incorpore escaneado de vulnerabilidades en las canalizaciones y tome las medidas necesarias en función de los resultados. Después de la implementación, continúe realizando análisis de vulnerabilidades. Puede utilizar herramientas como Defender for Containers, que escanea imágenes de contenedores. Microsoft Incluya los resultados en los datos recopilados. Para obtener información sobre prácticas de desarrollo seguras, consulte Recomendaciones para prácticas de implementación segura.

Facilitación de Power Platform

Las siguientes secciones describen los mecanismos que puede utilizar para supervisar y detectar amenazas en Power Platform.

Microsoft Centinela

Microsoft La solución Sentinel permite a los clientes detectar diversas actividades sospechosas, entre ellas: Microsoft Power Platform

  • Ejecución de Power Apps desde geografías no autorizadas
  • Destrucción de datos sospechosos por Power Apps
  • Eliminación masiva de Power Apps
  • Ataques de phishing realizados a través de Power Apps
  • Actividad de flujos de Power Automate de empleados que abandonan la empresa
  • Conectores de Microsoft Power Platform agregados a un entorno
  • Actualización o eliminación de directivas de prevención de pérdida de datos de Microsoft Power Platform

Para obtener más información, consulte la Microsoft solución Sentinel para obtener una descripción general Microsoft Power Platform .

Microsoft Registro de actividades de Purview

Power Apps, Power Automate, Los conectores, los datos respuesta y el registro de actividad administrativa se rastrean y visualizan desde el portal de cumplimiento de Purview. Power Platform Microsoft

Para obtener más información, consulte:

Auditoría de Dataverse

La auditoría de bases de datos registra los cambios que se realizan en los registros del cliente en un entorno con una base de datos de Dataverse. Las auditorías de Dataverse también registran el acceso de los usuarios a través de una aplicación o a través del SDK en un entorno. Esta auditoría está habilitada a nivel de entorno y se requiere configuración adicional para tablas y columnas individuales. Para obtener más información, consulte Administrar la auditoría de Dataverse.

Analizar la telemetría con Application Insights

Application Insights, una característica de Azure Monitor, se usa ampliamente en el panorama empresarial para la supervisión y el diagnóstico. Los datos que ya se han recopilado de un inquilino o entorno específicos se envían a su propio entorno de Application Insights. Application Insights almacena los datos en los registros de Azure Monitor y se visualizan en los paneles Rendimiento y Errores en Investigar en el panel izquierdo. Los datos se exportan a su entorno de Application Insights en el esquema estándar definido por Application Insights. Los perfiles de soporte, desarrollador y administrador pueden usar esta función para clasificar y resolver problemas.

También podría:

  • Configurar un entorno de Application Insights para recibir telemetría sobre los diagnósticos y el rendimiento capturados por la plataforma Dataverse.
  • Suscribirse para recibir telemetría sobre las operaciones que realizan las aplicaciones en su base de datos de Dataverse y dentro de las aplicaciones basadas en modelo. Esta telemetría proporciona información que puede utilizar para diagnosticar y solucionar problemas relacionados con errores y rendimiento.
  • Configurar flujos de nube de Power Automate para integrar con Application Insights.
  • Escribir eventos y actividades desde aplicaciones de lienzo de Power Apps en Application Insights.

Para obtener más información, consulte Información general sobre la integración con Application Insights.

Identidad

Supervise eventos de riesgo relacionados con la identidad en identidades potencialmente comprometidas y solucione esos riesgos. Revise los eventos de riesgo notificados de esta manera:

Microsoft Entra ID utiliza algoritmos adaptables aprendizaje automático, heurísticos y credenciales comprometidas conocidas (pares de nombre de usuario y contraseña) para detectar acciones sospechosas relacionadas con sus cuentas de usuario. Estos pares de nombre de usuario y contraseña aparecen mediante el monitoreo de la web pública y oscura y mediante el trabajo con investigadores de seguridad, fuerzas del orden, equipos de seguridad en Microsoft y otros.

Azure Pipelines

DevOps aboga por la administración del cambio de las cargas de trabajo a través de la integración continua y la entrega continua (CI/CD). Asegúrese de agregar validación de seguridad en las canalizaciones. Siga las instrucciones descritas en Protección de Azure Pipelines.

Lista de verificación de seguridad

Consulte el conjunto completo de recomendaciones.

Lista de verificación de seguridad