Línea de base de seguridad de Microsoft para Microsoft Sentinel
Esta línea base de seguridad aplica la guía de la versión de prueba comparativa de la seguridad en la nube de Microsoft 1.0 a Microsoft Sentinel. El banco de pruebas de seguridad en la nube de Microsoft proporciona recomendaciones sobre cómo proteger las soluciones en la nube en Azure. El contenido se agrupa mediante los controles de seguridad definidos por el banco de pruebas de seguridad en la nube de Microsoft y las instrucciones relacionadas aplicables a Microsoft Sentinel.
Puede supervisar esta línea de base de seguridad y sus recomendaciones mediante Microsoft Defender for Cloud. Las definiciones de Azure Policy se mostrarán en la sección Cumplimiento normativo de la página del portal de Microsoft Defender for Cloud.
Cuando una característica tiene definiciones de Azure Policy pertinentes, se muestran en esta línea de base para ayudarle a medir el cumplimiento de los controles y recomendaciones de pruebas comparativas de seguridad en la nube de Microsoft. Algunas recomendaciones pueden requerir un plan de Microsoft Defender de pago para habilitar determinados escenarios de seguridad.
Nota
Las características no aplicables a Microsoft Sentinel han sido excluidas. Para ver cómo Microsoft Sentinel se asigna por completo a la prueba comparativa de seguridad en la nube de Microsoft, consulte el archivo completo de asignación de línea de base de seguridad de Microsoft Sentinel.
Perfil de seguridad
El perfil de seguridad resume los comportamientos de alto impacto de Microsoft Sentinel, lo que puede dar lugar a mayores consideraciones de seguridad.
| Atributo de comportamiento del servicio | Valor |
|---|---|
| Categoría del producto | Seguridad |
| El cliente puede acceder a HOST/OS. | Sin acceso |
| El servicio se puede implementar en la red virtual del cliente. | Falso |
| Almacena el contenido del cliente en reposo | Verdadero |
Seguridad de red
Para obtener más información, consulte la prueba comparativa de seguridad en la nube de Microsoft : Seguridad de red.
NS-1: Establecer límites de segmentación de red
Funciones
Integración de red virtual
Descripción: el servicio admite la implementación en la red virtual privada (VNet) del cliente. Más información.
| Compatible | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| Falso | No aplicable | No aplicable |
Guía de Configuración: Esta función no se admite para proteger este servicio.
Administración de identidades
Para obtener más información, consulte la prueba comparativa de seguridad en la nube de Microsoft : Administración de identidades.
IM-1: Uso del sistema de autenticación e identidad centralizado
Funciones
Autenticación de Azure AD necesaria para el acceso al plano de datos
Descripción: el servicio admite el uso de la autenticación de Azure AD para el acceso al plano de datos. Más información.
| Compatible | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| Verdadero | Verdadero | Microsoft |
Guía de configuración: no se requieren configuraciones adicionales, ya que se habilita en una implementación predeterminada.
Métodos de autenticación local para el acceso al plano de datos
Descripción: métodos de autenticación local admitidos para el acceso al plano de datos, como un nombre de usuario local y una contraseña. Más información.
| Compatible | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| Falso | No aplicable | No aplicable |
Guía de Configuración: esta característica no se admite para asegurar este servicio.
IM-3: Administrar identidades de aplicación de forma segura y automática
Funciones
Identidades administradas
Descripción: las acciones del plano de datos admiten la autenticación mediante identidades administradas. Más información.
| Compatible | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| Verdadero | Falso | Cliente |
Guía de configuración: use identidades administradas de Azure en lugar de entidades de servicio siempre que sea posible, lo que puede autenticarse en los servicios y recursos de Azure que admiten la autenticación de Azure Active Directory (Azure AD). Las credenciales de identidad administrada están totalmente administradas, rotadas y protegidas por la plataforma, lo que evita las credenciales codificadas de forma rígida en archivos de configuración o código fuente.
Referencia: Autenticación de cuadernos de estrategias en Microsoft Sentinel
Entidad de servicio
Descripción: El plano de datos admite la autenticación mediante entidades de servicio. Más información.
| Compatible | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| Verdadero | Falso | Cliente |
Guía de configuración: No hay ninguna guía actual de Microsoft para esta configuración de funciones. Revise y determine si su organización quiere configurar esta característica de seguridad.
Referencia: Autenticación de cuadernos de estrategias en Microsoft Sentinel
IM-7: Restringir el acceso a los recursos en función de las condiciones
Funciones
Acceso condicional para el plano de datos
Descripción: el acceso al plano de datos se puede controlar mediante directivas de acceso condicional de Azure AD. Más información.
| Compatible | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| Verdadero | Falso | Cliente |
Guía de Configuración: Defina las condiciones y criterios aplicables para el acceso condicional de Azure Active Directory (Azure AD) en el entorno de trabajo. Considere casos de uso comunes, como bloquear o conceder acceso desde ubicaciones específicas, bloquear el comportamiento de inicio de sesión de riesgo o requerir dispositivos administrados por la organización para aplicaciones específicas.
IM-8: Restringir la exposición de credenciales y secretos
Funciones
Integración y almacenamiento de credenciales y secretos de servicio en Azure Key Vault
Descripción: el plano de datos admite el uso nativo de Azure Key Vault para el almacén de credenciales y secretos. Más información.
| Compatible | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| Falso | No aplicable | No aplicable |
Orientación de configuración: esta característica no se admite para asegurar este servicio.
Acceso con privilegios
Para obtener más información, consulte la prueba comparativa de seguridad en la nube de Microsoft : Acceso con privilegios.
PA-1: Separar y limitar usuarios con privilegios elevados o administrativos
Funciones
Cuentas de administrador local
Descripción: el servicio tiene el concepto de una cuenta administrativa local. Más información.
| Compatible | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| Falso | No aplicable | No aplicable |
Guía de Configuración: esta característica no se admite para asegurar este servicio.
PA-7: Siga el principio de administración suficiente (privilegios mínimos)
Funciones
RBAC de Azure para el plano de datos
Descripción: Azure Role-Based Access Control (Azure RBAC) se puede usar para administrar el acceso a las acciones del plano de datos del servicio. Más información.
| Compatible | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| Verdadero | Falso | Cliente |
Guía de configuración: use Azure RBAC para crear y asignar roles en el equipo de operaciones de seguridad para conceder el acceso adecuado a Microsoft Sentinel. Los distintos roles le proporcionan un control específico sobre lo que los usuarios de Microsoft Sentinel pueden ver y hacer. Los roles de Azure se pueden asignar directamente en el área de trabajo de Microsoft Sentinel o en una suscripción o grupo de recursos al que pertenece el área de trabajo, a la que hereda Microsoft Sentinel.
Referencia: Roles y permisos en Microsoft Sentinel
PA-8: Determinación del proceso de acceso para la compatibilidad con proveedores en la nube
Funciones
Caja de seguridad del cliente
Descripción: Customer Lockbox se puede usar para el acceso del soporte técnico de Microsoft. Más información.
| Compatible | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| Falso | No aplicable | No aplicable |
Guía de Configuración: esta función no es compatible para proteger este servicio.
Protección de datos
Para obtener más información, consulte la prueba comparativa de seguridad en la nube de Microsoft : Protección de datos.
DP-1: Detectar, clasificar y etiquetar datos confidenciales
Funciones
Clasificación y detección de datos confidenciales
Descripción: las herramientas (como Azure Purview o Azure Information Protection) se pueden usar para la detección y clasificación de datos en el servicio. Más información.
| Compatible | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| Verdadero | Falso | Cliente |
Guía de configuración de : Use herramientas como Azure Purview, Azure Information Protection y Azure SQL Data Discovery and Classification para examinar, clasificar y etiquetar de forma centralizada cualquier dato confidencial que resida en Azure, en entornos locales, en Microsoft 365 o en otras ubicaciones.
Referencia: Tutorial: Integración de Microsoft Sentinel y Microsoft Purview
DP-2: Supervisión de anomalías y amenazas dirigidas a datos confidenciales
Funciones
Prevención de fuga o pérdida de datos
Descripción: el servicio admite la solución DLP para supervisar el movimiento de datos confidenciales (en el contenido del cliente). Más información.
| Compatible | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| Verdadero | Falso | Cliente |
guía de configuración: si es necesario para el cumplimiento de la prevención de pérdida de datos (DLP), puede usar una solución DLP basada en host de Azure Marketplace o una solución DLP de Microsoft 365 para aplicar controles de detección o prevención para evitar la filtración de datos.
Referencia: Tutorial: Integración de Microsoft Sentinel y Microsoft Purview
DP-3: Cifrar datos confidenciales en tránsito
Funciones
Cifrado de datos en tránsito
Descripción: el servicio admite el cifrado de datos en tránsito para el plano de datos. Más información.
| Compatible | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| Verdadero | Verdadero | Microsoft |
Guía de configuración: no se requieren configuraciones adicionales, ya que se habilita en una implementación predeterminada.
DP-4: Habilitar el cifrado de datos en reposo de forma predeterminada
Funciones
Cifrado de datos en reposo mediante claves de plataforma
Descripción: se admite el cifrado de datos en reposo mediante claves de plataforma, cualquier contenido del cliente en reposo se cifra con estas claves administradas por Microsoft. Más información.
| Compatible | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| Verdadero | Verdadero | Microsoft |
Guía de configuración: no se requieren configuraciones adicionales, ya que se habilita en una implementación predeterminada.
DP-5: Usar la opción de clave administrada por el cliente en el cifrado de datos en reposo cuando sea necesario
Funciones
Cifrado de datos en reposo mediante CMK
Descripción: el cifrado de datos en reposo mediante claves administradas por el cliente es compatible con el contenido del cliente almacenado por el servicio. Más información.
| Compatible | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| Verdadero | Falso | Cliente |
guía de configuración: si es necesario para el cumplimiento normativo, defina el caso de uso y el ámbito de servicio donde se necesita el cifrado mediante claves administradas por el cliente. Habilite e implemente el cifrado de datos en reposo mediante la clave administrada por el cliente para esos servicios.
La solución Microsoft Sentinel usa varios recursos de almacenamiento para la recopilación de registros y características, incluido un clúster dedicado de Log Analytics. Como parte de la configuración de CMK de Microsoft Sentinel, tendrá que configurar las opciones de CMK en el clúster dedicado de Log Analytics relacionado. Los datos guardados por Microsoft Sentinel en recursos de almacenamiento distintos de Log Analytics también se cifrarán mediante la clave administrada por el cliente configurada para el clúster de Log Analytics dedicado.
Referencia: Configuración de claves administradas por el cliente de Microsoft Sentinel
DP-6: Uso de un proceso seguro de administración de claves
Funciones
Administración de claves en Azure Key Vault
Descripción: el servicio admite la integración de Azure Key Vault para cualquier clave de cliente, secretos o certificados. Más información.
| Compatible | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| Verdadero | Falso | Cliente |
Guía de configuración: use Azure Key Vault para crear y controlar el ciclo de vida de las claves de cifrado, incluida la generación, distribución y almacenamiento de claves. Rote y revoque las claves en Azure Key Vault y en su servicio según la programación definida y cuando haya una retirada de clave o un riesgo para ella. Cuando sea necesario usar la clave administrada por el cliente (CMK) en el nivel de carga de trabajo, servicio o aplicación, asegúrese de seguir los procedimientos recomendados para la administración de claves: use una jerarquía de claves para generar una clave de cifrado de datos (DEK) independiente con la clave de cifrado de claves (KEK) en el almacén de claves. Asegúrese de que las claves se registran con Azure Key Vault y se hace referencia a ellas a través de identificadores de clave desde el servicio o la aplicación. Si necesita traer su propia clave (BYOK) al servicio (por ejemplo, importar claves protegidas con HSM desde los HSM locales a Azure Key Vault), siga las instrucciones recomendadas para realizar la generación inicial de claves y la transferencia de claves.
Referencia: Configuración de claves administradas por el cliente de Microsoft Sentinel
DP-7: Uso de un proceso de administración de certificados seguro
Funciones
Administración de certificados en Azure Key Vault
Descripción: el servicio admite la integración de Azure Key Vault para cualquier certificado de cliente. Más información.
| Compatible | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| Falso | No aplicable | No aplicable |
Guía de configuración: esta característica no se admite para proteger este servicio.
Administración de recursos
Para obtener más información, consulte la prueba comparativa de seguridad en la nube de Microsoft : Administración de recursos.
AM-2: Usar solo servicios aprobados
Funciones
Soporte técnico de Azure Policy
Descripción: las configuraciones de servicio se pueden supervisar y aplicar a través de Azure Policy. Más información.
| Compatible | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| Falso | No aplicable | No aplicable |
Guía de configuración: esta característica no es compatible para asegurar este servicio.
Registro y detección de amenazas
Para obtener más información, consulte la prueba comparativa de seguridad en la nube de Microsoft : registro y detección de amenazas.
LT-1: Habilitación de las funcionalidades de detección de amenazas
Funciones
Microsoft Defender para la oferta de servicio o producto
Descripción: el servicio tiene una solución específica de Microsoft Defender para supervisar y alertar sobre problemas de seguridad. Más información.
| Compatible | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| Falso | No aplicable | No aplicable |
Guía de configuración: esta característica no se admite para asegurar este servicio.
LT-4: Habilitación del registro para la investigación de seguridad
Funciones
Registros de recursos de Azure
Descripción: el servicio genera registros de recursos que pueden proporcionar métricas y registros específicos del servicio mejorados. El cliente puede configurar estos registros de recursos y enviarlos a su propio receptor de datos, como una cuenta de almacenamiento o un área de trabajo de Log Analytics. Más información.
| Compatible | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| Verdadero | Falso | Cliente |
Guía de configuración: Active los registros de recursos para el servicio. Por ejemplo, Key Vault admite registros de recursos adicionales para las acciones que obtienen un secreto de un almacén de claves o y Azure SQL tiene registros de recursos que realizan un seguimiento de las solicitudes a una base de datos. El contenido de los registros de recursos varía según el tipo de recurso y el servicio de Azure.
Referencia: Activación de auditoría y supervisión del estado de Microsoft Sentinel
Copia de seguridad y recuperación
Para obtener más información, consulte la prueba comparativa de seguridad en la nube de Microsoft : copia de seguridad y recuperación.
BR-1: Garantizar copias de seguridad automatizadas normales
Funciones
Azure Backup
Descripción: El servicio puede ser respaldado por el servicio Azure Backup. Más información.
| Compatible | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| Falso | No aplicable | No aplicable |
Guía de configuración: esta característica no se admite para proteger este servicio.
Funcionalidad de copia de seguridad nativa del servicio
Descripción: el servicio admite su propia funcionalidad de copia de seguridad nativa (si no usa Azure Backup). Más información.
| Compatible | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| Falso | No aplicable | No aplicable |
Guía de configuración: esta característica no se admite para proteger este servicio.
Pasos siguientes
- Consulte Información general sobre la prueba comparativa de la seguridad en la nube de Microsoft
- Más información sobre las líneas base de seguridad de Azure