Creación de una línea base de registro y supervisión

Completado

El registro y la supervisión son requisitos fundamentales a la hora de intentar identificar, detectar y mitigar las amenazas de seguridad. Una directiva de registro adecuada puede garantizar que pueda determinar cuándo se ha producido una infracción de seguridad. La directiva también puede identificar quién es el responsable. Los registros de actividad de Azure ofrecen datos sobre el acceso externo a un recurso y proporcionan registros de diagnóstico, para que tenga información sobre el funcionamiento de un recurso concreto.

Nota

Un registro de actividad de Azure es un registro de suscripción que proporciona información sobre los eventos de nivel de suscripción que se han producido en Azure. Con el registro de actividad, puede determinar los interrogantes "qué, quién y cuándo" de las operaciones de escritura en los recursos de la suscripción.

Recomendaciones de la directiva de registro

En las secciones siguientes se describen las recomendaciones de seguridad de CIS Microsoft Azure Foundations Security Benchmark v.1.3.0 para establecer directivas de registro y supervisión en las suscripciones de Azure. En cada recomendación se incluyen los pasos básicos que se deben seguir en Azure Portal. Debe completar estos pasos con su propia suscripción y usar sus propios recursos para validar cada recomendación de seguridad. Tenga en cuenta que las opciones de nivel 2 pueden restringir algunas características o alguna actividad, por lo que debe considerar detenidamente las opciones de seguridad que decide aplicar.

Comprobación de que existe un valor de diagnóstico: nivel 1

El registro de actividad de Azure proporciona información sobre los eventos de nivel de suscripción que se han producido en Azure. Este registro incluye un intervalo de datos, desde datos operativos de Azure Resource Manager hasta actualizaciones de eventos de Azure Service Health. Anteriormente, el registro de actividad se llamaba registro de auditoría o registro operativo. La categoría Administrativo notifica eventos del plano de control de las suscripciones.

Cada suscripción de Azure tiene un único registro de actividad. El registro proporciona datos sobre las operaciones de recursos que se originaron fuera de Azure.

Los recursos emiten los registros de diagnóstico. Los registros de diagnóstico proporcionan información sobre el funcionamiento del recurso. Debe habilitar la configuración de diagnóstico de cada recurso.

  1. Inicie sesión en Azure Portal. Busque y seleccione Monitor.

  2. En el menú izquierdo, seleccione Registro de actividad.

  3. En la barra de menús Registro de actividad, seleccione Exportar registros de actividad.

  4. Si no se muestra ninguna configuración, seleccione la suscripción y, luego, elija Agregar configuración de diagnóstico.

    Captura de pantalla en la que se muestra el panel Configuración de diagnóstico y la opción Agregar configuración de diagnóstico seleccionada.

  5. Escriba un nombre para la configuración de diagnóstico y, luego, seleccione las categorías de registro y los detalles de destino.

  6. En la barra de menús, seleccione Guardar.

Este es un ejemplo de cómo crear una configuración de diagnóstico:

Captura de pantalla en la que se muestra el panel de creación de la Configuración de diagnóstico y las opciones seleccionadas.

Crear una alerta de registro de actividad para crear una asignación de directiva: nivel 1

Si supervisa las directivas que se crean, puede ver qué usuarios pueden crear directivas. Esta información puede ayudarle a detectar una infracción o una configuración incorrecta de los recursos o las suscripciones de Azure.

  1. Inicie sesión en Azure Portal. Busque y seleccione Monitor.

  2. En el menú de la izquierda, seleccione Alertas.

  3. En la barra de menús Alertas, seleccione la lista desplegable Crear y, luego, elija Regla de alertas.

  4. En el panel Crear una regla de alertas, seleccione Seleccionar ámbito.

  5. En el panel Seleccionar un recurso, en la lista desplegable Filtrar por tipo de recurso, elija Asignación de directiva (policyAssignments).

  6. Seleccione un recurso para supervisar.

  7. Seleccione Listo.

    Captura de pantalla en la que se muestra cómo agregar una alerta de supervisión para un recurso de Azure.

  8. Para terminar de crear la alerta, complete los pasos que se describen en Creación de una regla de alertas desde el panel Alertas de Azure Monitor.

Crear una alerta de registro de actividad para crear, actualizar o eliminar un grupo de seguridad de red: nivel 1

De forma predeterminada, no se crea ninguna alerta de supervisión cuando se crean, actualizan o eliminan los grupos de seguridad de red. El cambio o eliminación de un grupo de seguridad puede permitir el acceso a los recursos internos desde orígenes inadecuados o tráfico saliente inesperado.

  1. Inicie sesión en Azure Portal. Busque y seleccione Monitor.

  2. En el menú de la izquierda, seleccione Alertas.

  3. En la barra de menús Alertas, seleccione la lista desplegable Crear y, luego, elija Regla de alertas.

  4. En el panel Crear una regla de alertas, seleccione Seleccionar ámbito.

  5. En el panel Seleccionar un recurso, en la lista desplegable Filtrar por tipo de recurso, seleccione Grupos de seguridad de red.

  6. Seleccione Listo.

  7. Para terminar de crear la alerta, complete los pasos que se describen en Creación de una regla de alertas desde el panel Alertas de Azure Monitor.

Creación de alertas de registro de actividad para crear o actualizar una regla de firewall de SQL Server: nivel 1

La supervisión de los eventos que crean o actualizan una regla de firewall de SQL Server proporciona información sobre los cambios en el acceso a la red y puede reducir el tiempo necesario para detectar actividades sospechosas.

  1. Inicie sesión en Azure Portal. Busque y seleccione Monitor.

  2. En el menú de la izquierda, seleccione Alertas.

  3. En la barra de menús Alertas, seleccione la lista desplegable Crear y, luego, elija Regla de alertas.

  4. En el panel Crear regla de alertas, elija Seleccionar ámbito.

  5. En el panel Seleccionar un recurso, en la lista desplegable Filtrar por tipo de recurso, seleccione Servidores SQL Server.

  6. Seleccione Listo.

  7. Para terminar de crear la alerta, complete los pasos que se describen en Creación de una regla de alertas desde el panel Alertas de Azure Monitor.