Estándares de cumplimiento normativo en Microsoft Defender for Cloud
Microsoft Defender for Cloud simplifica el proceso de cumplimiento normativo, ya que le ayuda a identificar aquellos problemas que le impiden cumplir un estándar de cumplimiento determinado o lograr la certificación de cumplimiento.
Los estándares del sector, los estándares normativos y los puntos de referencia se representan en Defender for Cloud como estándares de seguridad y aparecen en el panel Cumplimiento normativo.
Controles de cumplimiento
Cada estándar de seguridad consta de varios controles de cumplimiento, que son grupos lógicos de recomendaciones de seguridad relacionadas.
Defender for Cloud evalúa continuamente el entorno en cuestión con respecto a cualquier control de cumplimiento que pueda evaluarse automáticamente. En función de las evaluaciones, muestra los recursos como compatibles o no compatibles con los controles.
Nota:
Es importante tener en cuenta que si los estándares tienen controles de cumplimiento que no se pueden evaluar automáticamente, Defender for Cloud no puede decidir si un recurso cumple el control. En este caso, el control se mostrará atenuado. Además, si una suscripción no tiene recursos relevantes para un estándar específico, el estándar no se mostrará en el panel de cumplimiento normativo en absoluto, incluso si se asignó.
Visualización de los estándares de cumplimiento
El panel Cumplimiento normativo proporciona información general interactiva sobre el estado de cumplimiento.
En este panel se puede:
- Obtener un resumen de los controles de estándares que se han superado.
- Obtener un resumen de los estándares que tienen el índice de superación más bajo para los recursos.
- Revisar los estándares que se aplican en el ámbito seleccionado.
- Revisar si las evaluaciones tienen controles de cumplimiento en cada estándar aplicado.
- Obtener un informe resumen de un estándar concreto.
- Administrar directivas de cumplimiento para ver los estándares asignados a un ámbito concreto.
- Ejecutar de una consulta para crear un informe de cumplimiento personalizado.
- Crear un "libro de cumplimiento a lo largo del tiempo" para realizar un seguimiento del estado de cumplimiento a lo largo del tiempo.
- Descargar informes de auditoría.
- Examinar las ofertas de cumplimiento de las auditorías tanto de Microsoft como de terceros.
Detalles de los estándares de cumplimiento
En todos los estándares de cumplimiento puede ver:
- El ámbito del estándar.
- Cada estándar se divide en grupos de controles y subcontroles.
- Si aplica un estándar a un ámbito, puede ver un resumen de la evaluación del cumplimiento de los recursos del ámbito, para cada control estándar.
- El estado de las evaluaciones refleja el cumplimiento con el estándar. Hay tres estados:
- Un círculo verde indica que los recursos del ámbito son compatibles con el control.
- Un círculo rojo indica que los recursos del ámbito no son compatibles con el control.
- Los controles no disponibles son aquellos que no se pueden evaluar automáticamente y, por tanto, Defender for Cloud no puede acceder a si los recursos son compatibles.
Puede explorar en profundidad los controles para obtener información sobre los recursos que han superado, o no, las evaluaciones y para ver los pasos de corrección.
Estándares predeterminado de cumplimiento
De forma predeterminada, al habilitar Defender for Cloud, se habilitan los siguientes estándares:
- Para Azure: Microsoft Cloud Security Benchmark (MCSB).
- Para AWS: Microsoft Cloud Security Benchmark (MCSB) y estándar de AWS Foundational Security Best Practices.
- Para GCP: Microsoft Cloud Security Benchmark (MCSB) y GCP predeterminado.
Estándares de cumplimiento disponibles
Los siguientes estándares están disponibles en Defender for Cloud:
| Estándares | Nubes |
|---|---|
| EU 2022 2555 (NIS2) 2022 | Azure, AWS, GCP |
| Reglamento general de protección de datos (RGPD) de Europa 2016 679 | Azure, AWS, GCP |
| NIST CSF v2.0 | Azure, AWS, GCP |
| NIST 800 171 Rev3 | Azure, AWS, GCP |
| NIST SP 800 53 R5.1.1 | Azure, AWS, GCP |
| PCI DSS v4.0.1 | Azure, AWS, GCP |
| Fundamentos de CIS AWS v3.0.0 | AWS |
| Fundamentos de CIS Azure v2.1.0 | Azure |
| Controles de CIS v8.1 | Azure, AWS, GCP |
| Fundamentos de CIS GCP v3.0 | GCP |
| CIS Google Cloud Platform Foundation Benchmark | GCP |
| CIS de Azure Kubernetes Service (AKS Benchmark) | Azure |
| Prueba comparativa de CIS de Amazon Elastic Kubernetes Service (EKS) | AWS |
| CIS Google Kubernetes Engine (GKE) Benchmark | GCP |
| HITRUST CSF v11.3.0 | Azure, AWS, GCP |
| SOC 2023 | Azure, AWS, GCP |
| Marco de controles de seguridad del cliente de SWIFT 2024 | Azure, AWS, GCP |
| ISO IEC 27001:2022 | Azure, AWS, GCP |
| ISO IEC 27002:2022 | Azure, AWS, GCP |
| ISO IEC 27017:2015 | Azure, AWS, GCP |
| Nivel 2 de certificación del modelo de madurez de ciberseguridad (CMMC) v2.0 | Azure, AWS, GCP |
| Marco de trabajo bien diseñado de AWS 2024 | AWS |
| Canada Federal PBMM 3.2020 | Azure, AWS, GCP |
| APRA CPS 234 2019 | Azure, AWS |
| Matriz de controles en la nube de CSA v4.0.12 | Azure, AWS, GCP |
| Cyber Essentials v3.1 | Azure, AWS, GCP |
| Directiva de seguridad de los servicios de información de justicia penal (CJIS) v5.9.5 | Azure, AWS, GCP |
| FFIEC CAT 2017 | Azure, AWS, GCP |
| Ley general de protección de datos (LGPD) de Brasil 2018 | Azure, AWS, GCP |
| NZISM v3.7 | Azure, AWS, GCP |
| Sarbanes Oxley Act 2022 (SOX) | Azure, AWS, GCP |
| NCSC Cyber Assurance Framework (CAF) v3.2 | Azure, AWS, GCP |
| Australian Government ISM Protected | Azure |
| FedRAMP ‘H’ y ‘M’ | Azure |
| HIPAA | Azure |
| RMIT Malasia | Azure |
| SOC 2 | Azure, GCP |
| ENS español | Azure |
| Ley de privacidad del consumidor de California (CCPA) | AWS, GCP |
| UK OFFICIAL y UK NHS | Azure |
| Procedimientos recomendados de seguridad básicos de AWS | AWS |
| Perfil CRI | AWS, GCP |
| NIST SP 800-172 | AWS, GCP |