Compatibilidad y requisitos previos para la administración de la posición de seguridad de datos
Revise los requisitos de esta página antes de configurar la administración de la posición de seguridad de datos en Microsoft Defender for Cloud.
Habilitación de la detección de datos confidenciales
La detección de datos confidenciales está disponible en los planes de Defender CSPM, Defender for Storage y Defender for Databases.
- Al habilitar uno de los planes, la extensión de detección de datos confidenciales se activa como parte del plan.
- Si tiene planes existentes en ejecución, la extensión está disponible, pero está desactivada de manera predeterminada.
- El estado del plan existente se muestra como "Parcial" en lugar de "Completo" si una o varias extensiones no están activadas.
- La característica está activada en el nivel de suscripción.
- Si la detección de datos confidenciales está activada, pero Defender CSPM no está habilitado, solo se analizan los recursos de almacenamiento.
- Si una suscripción está habilitada con CSPM de Defender y en paralelo ha examinado los mismos recursos con Purview, el resultado del examen de Purview se omite y se muestran de forma predeterminada los resultados del examen de Microsoft Defender for Cloud para el tipo de recurso admitido.
Lo que se admite
En la tabla se resumen la disponibilidad y los escenarios admitidos para la detección de datos confidenciales.
Soporte técnico | Detalles |
---|---|
¿Qué recursos de datos de Azure puedo detectar? | Almacenamiento de objetos: Cuentas de almacenamiento de blob en bloques en Azure Storage v1/v2 Azure Files en Azure Storage v1/v2. Solo se admite el uso del protocolo SMB Azure Data Lake Storage Gen2 Se admiten cuentas de almacenamiento detrás de redes privadas. Se admiten las cuentas de almacenamiento cifradas con una clave del lado servidor administrada por el cliente. Las cuentas no se admiten si un punto de conexión de cuenta de almacenamiento tiene un dominio personalizado asignado. Requisitos previos y limitaciones: - Para examinar los recursos compartidos de archivos, Defender for Cloud asigna el rol Lector con privilegios de datos de archivos de almacenamiento a StorageDataScanner. Bases de datos Instancias de Azure SQL Database Azure SQL Database cifrado con Cifrado de datos transparente |
¿Qué recursos de datos de AWS puedo detectar? | Almacenamiento de objetos: Cubos de AWS S3 Defender for Cloud puede detectar los datos cifrados de KMS, pero no los datos cifrados con una clave administrada por el cliente. Bases de datos - Amazon Aurora - RDS de Amazon para PostgreSQL - RDS de Amazon para MySQL - RDS de Amazon para MariaDB - RDS de Amazon para SQL Server (no personalizado) - RDS de Amazon para Oracle Database (no personalizado, solo SE2 Edition) Requisitos previos y limitaciones: - Es necesario habilitar las copias de seguridad automatizadas. - El rol de IAM creado para los fines de examen (DefenderForCloud-DataSecurityPostureDB de forma predeterminada) debe tener permisos para la clave KMS que se usa para el cifrado de la instancia de RDS. - No se puede compartir una instantánea de base de datos que use un grupo de opciones con opciones permanentes o persistentes, excepto para las instancias de base de datos de Oracle que tengan la opción Zona horaria o OLS (o ambas). Más información |
¿Qué recursos de datos de GCP puedo descubrir? | Depósitos de almacenamiento de GCP Clase estándar Geo: región, dual región, multi región |
¿Qué permisos necesito para detectar? | Cuenta de almacenamiento: propietario de la suscripción or Microsoft.Authorization/roleAssignments/* (lectura, escritura y eliminación) y Microsoft.Security/pricings/* (lectura, escritura y eliminación) y Microsoft.Security/pricings/SecurityOperators (lectura y escritura)Cubos de Amazon S3 e instancias de RDS: permiso de cuenta de AWS para ejecutar Cloud Formation (para crear un rol). Cubos de almacenamiento de GCP: permiso de cuenta de Google para ejecutar script (para crear un rol). |
¿Qué tipos de archivo se admiten para la detección de datos confidenciales? | Tipos de archivos admitidos (no es posible seleccionar un subconjunto): .doc, .docm, .docx, .dot, .gz, .odp, .ods, .odt, .pdf, .pot, .pps, .ppsx, .ppt, .pptm, .pptx, .xlc, .xls, .xlsb, .xlsm, .xlsx, .xlt, .csv, .json, .psv, .ssv, .tsv, .txt., xml, .parquet, .avro, .orc. |
¿Qué regiones de Azure se admiten? | Puede detectar cuentas de almacenamiento de Azure en: Este de Asia; Sudeste asiático; Centro de Australia; Centro de Australia 2; Este de Australia; Sudeste de Australia; Sur de Brasil; Sudeste de Brasil; Centro de Canadá; Este de Canadá; Norte de Europa; Oeste de Europa; Centro de Francia; Sur de Francia; Norte de Alemania; Centro-oeste de Alemania; Centro de la India; Sur de la India; Japón Oriental; Japón Occidental; Jio India Occidental; Centro de Corea; Corea del Sur; Este de Noruega; Oeste de Noruega; Norte de Sudáfrica; Oeste de Sudáfrica; Centro de Suecia; Norte de Suiza; Oeste de Suiza; Norte de Emiratos Árabes Unidos; Sur de Reino Unido; Oeste del Reino Unido; Centro de EE. UU.; Este de EE. UU.; Este de EE. UU. 2; Centro-norte de EE. UU.; Centro-sur de EE. UU.; Oeste de EE. UU. Oeste de EE. UU. 2; Oeste de EE. UU. 3; Centro-oeste de EE. UU.; Puede detectar instancias de Azure SQL Database en cualquier región donde se admitan Defender CSPM y Azure SQL Database. |
¿Qué regiones de AWS se admiten? | S3: Asia Pacífico (Mumbai); Asia Pacífico (Singapur); Asia Pacífico (Sídney); Asia Pacífico (Tokio); Canadá (Montreal); Europa (Fráncfort); Europa (Irlanda); Europa (Londres); Europa (París); Europa (Estocolmo); Sudamérica (São Paulo); Este de EE. UU. (Ohio); Este de EE. UU. (N. Virginia); Oeste de EE. UU. (N. California); Oeste de EE. UU. (Oregón). RDS: África (Ciudad del Cabo); Asia Pacífico (RAE de Hong Kong); Asia Pacífico (Hyderabad); Asia Pacífico (Melbourne); Asia Pacífico (Bombay); Asia Pacífico (Osaka); Asia Pacífico (Seúl); Asia Pacífico (Singapur); Asia Pacífico (Sídney); Asia Pacífico (Tokio); Canadá (Central); Europa (Fráncfort); Europa (Irlanda); Europa (Londres); Europa (París); Europa (Estocolmo); Europa (Zúrich); Oriente Medio (EAU); Sudamérica (São Paulo); Este de EE. UU. (Ohio); Este de EE. UU. (N. Virginia); Oeste de EE. UU. (N. California): Oeste de EE. UU. (Oregón). La detección se realiza localmente en la región. |
¿Qué regiones se admiten en GCP? | europe-west1, us-east1, us-west1, us-central1, us-east4, asia-south1, northamerica-northeast1 |
¿Es necesario instalar un agente? | No, la detección no requiere ninguna instalación del agente. |
¿Cuál es el costo? | La característica se incluye con los planes de Defender CSPM y Defender para Storage, y no conlleva costes adicionales, salvo los de los respectivos planes. |
¿Qué permisos necesito para ver o editar la configuración de confidencialidad de datos? | Necesita uno de estos roles de Microsoft Entra: |
¿Qué permisos necesito para realizar la incorporación? | Necesita uno de estos roles de control de acceso basado en roles de Azure: Administrador de seguridad, Colaborador, Propietario en el nivel de suscripción (en el que residen los proyectos de GCP). Para consumir los resultados de seguridad: Lector de seguridad, Administración de seguridad, Lector, Colaborador, Propietario en el nivel de suscripción (donde residen los proyectos de GCP). |
Configuración de los valores de confidencialidad de datos
Entre los pasos principales para configurar los valores de confidencialidad de datos se incluyen los siguientes:
- Importar tipos o etiquetas de información confidencial personalizados del portal de cumplimiento Microsoft Purview
- Personalización de categorías o tipos de datos confidenciales
- Establecer el umbral para las etiquetas de confidencialidad
Obtenga más información sobre las etiquetas de confidencialidad en Microsoft Purview.
Detección
Defender for Cloud comienza a detectar datos inmediatamente después de habilitar un plan o después de activar la característica en planes que ya se están ejecutando.
Para el almacenamiento de objetos:
- Se tarda hasta 24 horas en ver los resultados de una primera detección.
- Una vez actualizados los archivos en los recursos detectados, los datos se actualizan en un plazo de ocho días.
- Una nueva cuenta de almacenamiento de Azure que se agrega a una suscripción ya detectada se detecta en un plazo de 24 horas o menos.
- Un nuevo bucket de AWS S3 o bucket de almacenamiento de GCP que se agrega a una cuenta de AWS o Google ya detectada se detecta en 48 horas o menos.
- La detección de datos confidenciales para el almacenamiento se realiza localmente dentro de su región. Esto garantiza que los datos no salgan de la región. Solo los metadatos de recursos, como archivos, blobs, nombres de ciclos, etiquetas de confidencialidad detectadas y nombres de tipos de información confidencial identificados (SIT), se transfieren a Defender for Cloud.
Para las bases de datos:
- Las bases de datos se examinan semanalmente.
- En el caso de las suscripciones recién habilitadas, los resultados aparecen en un plazo de 24 horas.
Explorador de seguridad en la nube
Se muestran todos los tipos de almacenamiento, incluidas las cuentas de Azure Storage, cubos de AWS y cubos de GCP, independientemente de su información asociada. Para las cuentas de Azure Storage, que incluyen contenedores de blobs y recursos compartidos de archivos, se aplican las siguientes reglas:
Los contenedores de blobs se muestran si cumplen alguno de los criterios siguientes:
Tienen la información Contiene datos confidenciales.
Tienen la información Acceso público.
Tienen una regla de replicación hacia o desde otro blob.
Los recursos compartidos de archivos solo se muestran si tienen la información "Contiene datos confidenciales".
Detección y análisis de cuentas de almacenamiento de Azure
Para analizar las cuentas de almacenamiento de Azure, Microsoft Defender for Cloud crea un nuevo storageDataScanner
recurso y le asigna el rol de Lector de datos de Storage Blob. Este rol concede los siguientes permisos:
- List
- Leer
En el caso de las cuentas de almacenamiento detrás de redes privadas, el StorageDataScanner
se incluye en la lista de instancias de recursos permitidas en la configuración de reglas de red de la cuenta de almacenamiento.
Detección y análisis de cubos de AWS S3
Para proteger los recursos de AWS en Defender for Cloud, configure un conector de AWS mediante una plantilla de CloudFormation para incorporar la cuenta de AWS.
- Para detectar los recursos de datos de AWS, Defender for Cloud actualiza la plantilla de CloudFormation.
- La plantilla de CloudFormation crea un nuevo rol de IAM en AWS para permitir que el explorador de Defender for Cloud acceda a los datos de los cubos de S3.
- Para conectar cuentas de AWS, necesita permisos de administrador en la cuenta.
- El rol permite estos permisos: S3 de solo lectura; Descifrado de KMS.
Detección y análisis de instancias de AWS RDS
Para proteger los recursos de AWS en Defender for Cloud, configure un conector de AWS mediante una plantilla de CloudFormation para incorporar la cuenta de AWS.
- Para detectar las instancias de AWS RDS, Defender for Cloud actualiza la plantilla de CloudFormation.
- La plantilla de CloudFormation crea un nuevo rol en AWS IAM, para permitir que el analizador de Defender for Cloud tome la última instantánea automatizada disponible de la instancia y la ponga en línea en un entorno de análisis aislado dentro de la misma región de AWS.
- Para conectar cuentas de AWS, necesita permisos de administrador en la cuenta.
- Las instantáneas automatizadas deben habilitarse en las instancias o clústeres de RDS pertinentes.
- El rol permite estos permisos (revise la plantilla de CloudFormation para ver las definiciones exactas):
- Enumeración de todas las bases de datos o clústeres de RDS
- Copia de todas las instantáneas de base de datos o clúster
- Eliminación o actualización de la instantánea de la base de datos o del clúster con el prefijo defenderfordatabases
- Enumeración de todas las claves de KMS
- Uso de todas las claves de KMS solo para RDS en la cuenta de origen
- Creación y control total en todas las claves de KMS con el prefijo de etiqueta DefenderForDatabases
- Creación de alias para claves de KMS
- Las claves de KMS se crean una vez para cada región que contiene instancias de RDS. La creación de una clave de KMS puede suponer un coste adicional mínimo, según los precios de AWS KMS.
Detección y análisis de cubos de almacenamiento de GCP
Para proteger los recursos de GCP en Defender for Cloud, puede configurar un conector de Google utilizando una plantilla de script para incorporar la cuenta de GCP.
- Para detectar los buckets de almacenamiento de GCP, Defender for Cloud debe actualizar la plantilla de script.
- La plantilla de script crea un nuevo rol en la cuenta de Google para permitir que el escáner de Defender for Cloud acceda a los datos de los buckets de almacenamiento de GCP.
- Para conectar cuentas de Google, necesita permisos de administrador en la cuenta.
Expuesto a Internet/permite el acceso público
Las rutas de acceso a ataque de y la información del grafo de seguridad en la nube de Defender CSPM incluyen información sobre los recursos de almacenamiento que están expuestos a Internet y permiten el acceso público. En la tabla siguiente se proporciona los detalles.
State | Cuentas de almacenamiento de Azure | Cubos de AWS S3 | Buckets de almacenamiento GCP |
---|---|---|---|
Expuesto a Internet | Una cuenta de almacenamiento de Azure se considera expuesta a Internet si cualquiera de estas opciones está habilitada: Storage_account_name >Redes>Acceso a la red pública>Habilitado desde todas las redes or Storage_account_name >Redes>Acceso a la red pública>Habilitar desde redes virtuales y direcciones IP seleccionadas. |
Un cubo de AWS S3 se considera expuesto a Internet si las directivas de cubo de la cuenta de AWS/AWS S3 no tienen una condición establecida para las direcciones IP. | Todos los depósitos de almacenamiento de GCP se exponen a Internet de forma predeterminada. |
Permite el acceso público | Un contenedor de cuenta de almacenamiento de Azure se considera que permite el acceso público si esta configuración está habilitada en la cuenta de almacenamiento: Storage_account_name >Configuración>Permitir acceso anónimo a blobs>Habiltiado. y cualquiera de estas opciones: Storage_account_name >Contenedores> container_name >Nivel de acceso público establecido en Blob (acceso de lectura anónimo solo para blobs) O bien, Storage_account_name >Contenedores> container_name >Nivel de acceso público establecido en Contenedor (acceso de lectura anónimo para contenedores y blobs). |
Se considera que un cubo de AWS S3 permite el acceso público si la cuenta de AWS y el cubo de AWS S3 tienen Bloquear todo el acceso público establecido en Desactivado y se establece cualquiera de estas opciones: En la directiva, RestrictPublicBuckets no está habilitado y la configuración principal está establecida en * y Efecto está establecido en Permitir. O bien, en la lista de control de acceso, IgnorePublicAcl no está habilitado y se permite el permiso para Todos o para Usuarios autenticados. |
Se considera que un cubo de almacenamiento de GCP permite el acceso público si: tiene un rol de IAM (Administración de identidad y acceso) que cumple estos criterios: El rol se concede al principal allUsers o allAuthenticatedUsers. El rol tiene al menos un permiso de almacenamiento que no es storage.buckets.create ni storage.buckets.list. El acceso público en GCP se denomina Público a Internet. |
Los recursos de base de datos no permiten el acceso público, pero todavía se pueden exponer a Internet.
La información sobre exposición a Internet está disponible para los siguientes recursos:
Azure:
- Azure SQL Server
- Azure Cosmos DB
- Instancia administrada de Azure SQL
- Azure MySQL (servidor único)
- Azure MySQL (servidor flexible)
- Azure PostgreSQL (servidor único)
- Azure PostgreSQL (servidor flexible)
- Azure MariaDB (servidor único)
- Área de trabajo de Synapse
AWS:
- Instancia de RDS
Nota:
- Las reglas de exposición que incluyen 0.0.0.0/0 se consideran "excesivamente expuestas", lo que significa que se puede acceder a ellas desde cualquier dirección IP pública.
- Los recursos de Azure con la regla de exposición "0.0.0.0" son accesibles desde cualquier recurso de Azure (independientemente del inquilino o la suscripción).
Contenido relacionado
Habilite la administración de la posición de seguridad de datos.