Contents

Documentación de Security Center

Información general
¿Qué es el Centro de seguridad de Azure?
¿Qué es Azure Defender?
Novedades
Próximos cambios importantes
Disponibilidad
Plataformas compatibles
Cobertura por sistema operativo, tipo de máquina y nube
Cobertura de características para los recursos de PaaS de Azure
Roles y permisos de usuario
Security Center gratuito frente a Azure Defender habilitado
Guías de inicio rápido
1. Habilitación de Security Center en las suscripciones
2. Habilitación de Azure Defender
3. Configuración del aprovisionamiento automático
4. Configuración de notificaciones de correo electrónico
5. Conexión de máquinas híbridas y de varias nubes
Conexión de máquinas que no son de Azure
Conexión de cuentas de AWS
Conexión de cuentas de GCP
6. Creación de respuestas automáticas a alertas
7. Elección de estándares para el panel de cumplimiento
Tutoriales
Guía de planeamiento y operaciones
Protección de los recursos
Investigación de alertas de seguridad y respuesta ante las mismas
Mejora del cumplimiento normativo
Administrar directivas de seguridad
Conceptos
Conceptos de administración de la posición de seguridad en la nube
Directivas, iniciativas y recomendaciones
Puntuación segura y controles de seguridad
Referencia de lista de recomendaciones
Conceptos de la protección de cargas de trabajo en la nube
Alertas e incidentes de seguridad
Referencia a lista de alertas
Guías paso a paso
Uso del panel de información general
Uso del panel de Azure Defender
Acceso y seguimiento de la puntuación segura
Administración de los recursos con el inventario de recursos
Creación de informes interactivos de los datos de Security Center
Uso de recomendaciones de seguridad para mejorar la seguridad
Examen de las recomendaciones de seguridad
Corrección de recomendaciones
Evitar errores de configuración con Aplicar/Denegar
Automatización de las respuestas a las recomendaciones
Exclusión de un recurso de una recomendación
Creación de directivas e iniciativas de seguridad personalizadas
Protección de máquinas
Introducción a Azure Defender para servidores
Examen de vulnerabilidades
Análisis de máquinas con el examinador de VA integrado
Análisis de las máquinas virtuales con la solución de VA de BYOL
Examen y corrección de vulnerabilidades
Deshabilitar hallazgos sobre vulnerabilidades específicas
Protección de los puertos de administración con acceso Just-in-Time a máquinas
virtuales
Introducción al acceso Just-In-Time a máquinas virtuales
Administración del acceso Just-In-Time
Uso de la licencia integrada en Microsoft Defender para Endpoint
 Definición de listas de aplicaciones seguras para máquinas
Seguimiento de cambios en archivos y registros
Introducción a la supervisión de la integridad de los archivos
Comparación de líneas base mediante la supervisión de la integridad de los
archivos
Mejora de la posición de seguridad de red
Protección de los hosts de Docker
Protección de recursos SQL
Introducción a Azure Defender para SQL
Habilitación de Defender para servidores SQL Server en máquinas
Examen de recursos de SQL en busca de vulnerabilidades
Deshabilitación de la detección de vulnerabilidades en servidores SQL Server
Personalización de la directiva de protección de la información de SQL
Protección de entornos con contenedores
Características de seguridad de los contenedores de Security Center
Introducción a Defender para Kubernetes
Introducción a Defender para registros de contenedor
Búsqueda de vulnerabilidades en las imágenes del registro
Deshabilitación de resultados sobre las vulnerabilidades de imágenes concretas
Protección de las cargas de trabajo de Kubernetes
Protección de las aplicaciones web y API de Azure App Service
Protección de cuentas de Azure Storage
Proteja claves y secretos de Key Vault
Introducción a Azure Defender para Key Vault
Administración de alertas de Azure Defender para Key Vault
Supervisión de las operaciones de administración de recursos
Introducción a Azure Defender para Resource Manager
Administración de alertas de Azure Defender para Resource Manager
Supervisión de consultas de DNS desde los recursos de Azure
Introducción a Azure Defender para DNS
Respuesta a las alertas de Azure Defender para DNS
Protección de los servidores de Windows Admin Center
Integración con soluciones de seguridad y orígenes de datos
 Protección de recursos de red
Protección de identidades y accesos
Uso de las protecciones adicionales contra amenazas de Security Center
Administración de suscripciones, usuarios y permisos
Organización de grupos de administración y suscripciones
Concesión y solicitud de permisos para todos los inquilinos
Habilitar Security Center para un grupo de administración
Configuración de la administración entre inquilinos
Automatización de la incorporación mediante PowerShell
Administración de alertas, incidentes e informes de amenazas
Responder a alertas de seguridad
Creación y administración de reglas de eliminación de alertas
Exportación de alertas y recomendaciones
Exportación a SIEM, SOAR o ITSM
Exportación a un área de trabajo de Log Analytics o Azure Event Hub
Descarga de un informe CSV de todas las alertas
Esquemas de alertas
Administración de incidentes de seguridad
Generación de informes de inteligencia sobre amenazas
Validación de la configuración de la alerta
Automatización de las respuestas a las alertas
Referencia
Notas de la versión archivadas (más de seis meses)
Cómo protege Microsoft los datos de los clientes
Documentación de las API REST
Línea de base de seguridad
Preguntas frecuentes sobre Azure Security Center
Preguntas generales
Preguntas sobre permisos
Preguntas sobre agentes y recopilación de datos
Preguntas sobre Virtual Machines
Usuarios de Azure Log Analytics existentes
 Elementos integrados de Azure Policy
Blog de Azure Roadmap
Valoración y recomendaciones sobre la protección de puntos de conexión
Recursos
Desarrollo de aptitudes con Microsoft Learn
Administración de datos del usuario
Documentación de Azure Defender para IoT
Documentación de Azure Security Center
Actualizaciones de Azure
Mapa de ruta de preparación
Blogs de la comunidad tecnológica de Azure Security Center
Azure Security Center en Stack Overflow
Vídeos de ASCinTheField en YouTube
Precios
Disponibilidad regional
Guía de solución de problemas
 ¿Qué es el Centro de seguridad de Azure?
09/04/2021 • 19 minutes to read • Edit Online

Azure Security Center es un sistema unificado de administración de seguridad de la infraestructura que

fortalece la posición de seguridad de los centros de datos y proporciona una protección contra amenazas
avanzada de todas las cargas de trabajo híbridas que se encuentran en la nube, ya sea que estén en Azure o no,
así como también en el entorno local.
Proteger los recursos es un esfuerzo conjunto entre el proveedor de nube, Azure y usted, el cliente. Cuando
migra a la nube, debe asegurarse de que las cargas de trabajo estén seguras y, al mismo tiempo, cuando se
migra a IaaS (infraestructura como servicio), el cliente tiene una responsabilidad mayor que cuando se
encontraba en PaaS (plataforma como servicio) y SaaS (software como servicio). Azure Security Center le brinda
las herramientas necesarias para fortalecer la red, proteger los servicios y garantizar que tiene la mejor posición
de seguridad.
Azure Security Center aborda los tres desafíos de seguridad más urgentes:
Cargas de trabajo que cambian con rapidez : se trata tanto de una fortaleza como de un desafío de
la nube. Por un lado, los usuarios finales pueden hacer más cosas pero, por el otro, ¿cómo puede
asegurarse de que los servicios en constante evolución que los usuarios utilizan y crean se rigen según
los estándares de seguridad y siguen los procedimientos recomendados de seguridad?
Ataques cada vez más sofisticados : no importa dónde ejecute las cargas de trabajo, los ataques son
cada vez más sofisticados. Debe proteger las cargas de trabajo de la nube pública que son, en realidad,
una carga de trabajo con conexión a Internet que puede dejarlo incluso más vulnerable si no sigue los
procedimientos recomendados de seguridad.
Las aptitudes de seguridad son escasas : el número de alertas de seguridad y de sistemas de alertas
sobrepasa considerablemente la cantidad de administradores con la experiencia y los antecedentes
necesarios para garantizar que los entornos estén protegidos. Mantenerse actualizado respecto de los
ataques más recientes es un desafío constante, lo que no permiten quedarse donde mismo mientras el
mundo de la seguridad es un frente en continuo cambio.
Para ayudarlo a protegerse contra estos desafíos, Security Center le brinda las herramientas para que haga lo
siguiente:
Reforzamiento de la posición de seguridad : Security Center evalúa el entorno y le permite entender
el estado de los recursos y si son seguros.
Protección frente a amenazas : Security Center evalúa las cargas de trabajo y genera alertas de
seguridad y recomendaciones para la prevención de amenazas.
Protección con mayor rapidez : En Security Center, todo se hace a la velocidad de la nube. Al
integrarse de manera nativa, la implementación de Security Center es sencilla y le proporciona
aprovisionamiento automático y protección con los servicios de Azure.

NOTE
Este servicio admite Azure Lighthouse, que permite a los proveedores de servicios iniciar sesión en su propio inquilino
para administrar las suscripciones y los grupos de recursos que los clientes hayan delegado. En los escenarios Azure
Security Center se debe delegar una suscripción en lugar de grupos de recursos individuales.
Architecture
Dado que Security Center forma parte nativa de Azure, los servicios de PaaS en Azure (como Service Fabric, SQL
Database, Instancia administrada de SQL y las cuentas de almacenamiento) los supervisa y protege Security
Center sin necesidad de realizar ninguna implementación.
Además, Security Center protege las máquinas virtuales y los servidores que no son de Azure en la nube y en el
entorno local, tanto servidores Windows como Linux, al instalar en ellos el agente de Log Analytics. Las
máquinas virtuales de Azure se aprovisionan automáticamente en Security Center.
Los eventos recopilado de los agentes y de Azure se correlacionan en el motor de análisis de seguridad para
brindarle recomendaciones a medida (tareas de protección) que debe seguir para garantizar que las cargas de
trabajo sean seguras, y alertas de seguridad. Debe investigar estas alertas tan pronto como sea posible para
asegurarse de que no haya ataques malintencionados en sus cargas de trabajo.
Al habilitar Security Center, la directiva de seguridad integrada en Security Center se refleja en Azure Policy
como una iniciativa integrada en la categoría de Security Center. La iniciativa integrada se asigna
automáticamente a todas las suscripciones registradas de Security Center (al margen de si tienen o no Azure
Defender habilitado). La iniciativa integrada contiene solo las directivas de auditoría. Para más información
acerca de las directivas de Security Center en Azure Policy, consulte Uso de directivas de seguridad.

Reforzamiento de la posición de seguridad

Azure Security Center le permite reforzar su posición de seguridad. Esto significa que lo ayuda a identificar y a
llevar a cabo las tareas de protección recomendadas como procedimientos recomendados de seguridad e
implementarlas en todas sus máquinas, servicios de datos y aplicaciones. Esto incluye administrar y aplicar las
directivas de seguridad y asegurarse de que sus máquinas virtuales de Azure, los servidores que no son de
Azure y los servicios PaaS de Azure cumplen con estas directivas. Security Center proporciona las herramientas
que necesita para tener una visión global de las cargas de trabajo, centrando la visibilidad en el estado de la
seguridad de la red.
Administración de la directiva de seguridad y del cumplimiento de la organización
En lo que respecta a la seguridad, resulta fundamental saber que las cargas de trabajo están protegidas y
asegurarse de ello, y todo esto comienza con la implementación de directivas de seguridad a la medida. Como
todas las directivas de Security Center se basan en los controles de directivas de Azure, el usuario obtiene toda
la variedad y flexibilidad de una solución de directivas de primer nivel . En Security Center, puede establecer
que las directivas se ejecuten en grupos de administración, entre distintas suscripciones e, incluso, en un
inquilino completo.
Security Center ayuda a identificar las suscripciones de shadow IT . Si echa un vistazo a las suscripciones
con la etiqueta not covered (no cubierta) en el panel, puede saber de inmediato cuando hay suscripciones
recién creadas y asegurarse de que estén cubiertas por las directivas, además de protegidas por Azure Security
Center.

Evaluaciones continuas
Security Center siempre está detectando los recursos nuevos que se implementan en las cargas de trabajo y
evalúa si están configurados según los procedimientos recomendados de seguridad. Si no es así, se marcan y el
usuario recibe una lista de recomendaciones clasificadas por orden de prioridad de lo que debe corregir con el
fin de proteger las máquinas. Esta lista de recomendaciones no solo está habilitada en Azure Security
Benchmark, el conjunto de guías específico de Azure creado por Microsoft para ofrecer procedimientos
recomendados de seguridad y cumplimiento basados en marcos de cumplimiento comunes, sino que también
tiene el soporte de dicho servicio. Este punto de referencia, que cuenta con un amplísimo respaldo, se basa en
los controles del Centro de seguridad de Internet (CIS) y del Instituto Nacional de Normas y Tecnología (NIST),
con un enfoque en seguridad centrada en la nube.
Para ayudarle a conocer el grado de importancia que tiene cada una de las recomendaciones en su postura
global acerca de la seguridad, Security Center agrupa las recomendaciones en controles de seguridad y agrega
un valor de puntuación de la seguridad a cada control. Esto resulta esencial para permitirle clasificar por
orden de prioridad el trabajo de seguridad .
Mapa de red
Una de las herramientas más avanzadas que proporciona Security Center para la supervisión continua del
estado de la seguridad de la red es el Mapa de red . El mapa le permite ver la topología de las cargas de trabajo
para que pueda notar si cada nodo está configurado correctamente. Ahora puede ver cómo están conectados
los nodos, lo que le permite bloquear las conexiones no deseadas que podrían facilitar que un atacante se
deslice por la red.

Optimice y mejore la seguridad mediante la configuración de controles recomendados

Lo fundamental del valor de Azure Security Center está en sus recomendaciones. Las recomendaciones se
adaptan a las preocupaciones de seguridad determinadas que se encuentran en las cargas de trabajo y Security
Center realiza el trabajo de administración de la seguridad en lugar del usuario, no solo mediante la detección
de las vulnerabilidades, sino también al brindarle instrucciones específicas sobre cómo eliminarlas.
De este modo, Security Center le permite no solo establecer las directivas de seguridad, sino también aplicar los
estándares de seguridad en todos los recursos.
Las recomendaciones lo ayudan a disminuir la superficie expuesta a ataques en cada uno de los recursos. Aquí
se incluyen las máquinas virtuales de Azure, los servidores que no son de Azure y los servicios de PaaS de
Azure, como cuentas de SQL y Storage, etc., donde cada tipo de recurso se evalúa de manera distinta y tiene sus
propios estándares.
Protección frente a amenazas
La protección contra amenazas de Security Center permite detectar y prevenir las amenazas en el nivel de
Infraestructura como servicio (IaaS), los servidores que no son de Azure y en las Plataformas como servicio
(PaaS) de Azure.
La protección contra amenazas de Security Center incluye el análisis de la cadena de destrucción de fusión, que
correlaciona de manera automática las alertas del entorno en función del análisis de la cadena de destrucción
cibernética, para ayudarlo a entender mejor la historia completa de una campaña de ataque, dónde empezó y
qué tipo de impacto tuvo en los recursos.
Integración con Microsoft Defender para punto de conexión
Azure Defender para servidores incluye integración nativa automática con Microsoft Defender para punto de
conexión. Para más información, consulte, Proteja los puntos de conexión con la solución EDR integrada de
Security Center: Microsoft Defender para punto de conexión
Protección de PaaS
Security Center lo ayuda a detectar amenazas en los servicios de PaaS de Azure. Puede detectar amenazas
dirigidas a servicios de Azure como Azure App Service, Azure SQL, cuenta de Azure Storage y otros servicios de
datos. También puede aprovechar la integración nativa con el análisis de comportamiento de usuarios y
entidades (UEBA) de Microsoft Cloud App Security para realizar la detección de anomalías en los registros de
actividad de Azure.
Bloqueo de ataques por fuerza bruta
Security Center lo ayuda a limitar la exposición a los ataques por fuerza bruta. Si reduce el acceso a los puertos
de las máquinas virtuales mediante el acceso de máquina virtual Just-In-Time, puede proteger la red al prevenir
el acceso innecesario. Puede establecer directivas de acceso seguro en los puertos seleccionados, solo para
usuarios autorizados, direcciones IP o intervalos de direcciones IP de origen permitidos y durante un período
limitado.
Protección de los servicios de datos
Security Center incluye funcionalidades que le permiten llevar a cabo la clasificación automática de los datos en
Azure SQL. También puede obtener evaluaciones de las posibles vulnerabilidades en los servicios de Azure SQL
y Azure Storage, además de recomendaciones sobre cómo mitigarlas.

Protección con mayor rapidez

La integración nativa de Azure (que incluye los registros de Azure Monitor y Azure Policy), en combinación con
la integración perfecta con otras soluciones de seguridad de Microsoft, como Microsoft Cloud App Security y
Microsoft Defender para punto de conexión, ayudan a garantizar que la solución de seguridad es completa y
sencilla de incorporar e implementar.
Además, puede extender toda la solución más allá de Azure a las cargas de trabajo que se ejecutan en otras
nubes y en centros de datos locales.
Detección e incorporación automática de recursos de Azure
Security Center ofrece una integración nativa y perfecta con Azure y recursos de Azure. Esto significa que puede
unir toda una historia de seguridad relativa a Azure Policy y las directivas integradas de Security Center en todos
los recursos de Azure y asegurarse de que todo esto se aplique automáticamente a los recursos recién
detectados cuando se crean en Azure.
Recopilación extensiva de registros: los registros de Windows y Linux se usan en el motor de análisis de
seguridad y se usan para crear recomendaciones y alertas.

Pasos siguientes
Para empezar a trabajar con el Centro de seguridad, necesita una suscripción a Microsoft Azure. Si no
tiene una suscripción, puede registrarse para obtener una evaluación gratuita.
El plan de tarifa Gratis de Security Center está habilitado en todas las suscripciones de Azure actuales
desde que visite el panel de Azure Security Center en Azure Portal por primera vez, o si se habilitó
mediante programación a través de la API. Para aprovechar la funcionalidad avanzada de administración
de seguridad y de detección de amenazas, habilite Azure Defender. Azure Defender puede probarse gratis
durante 30 días. Para más información, consulte la página de precios de Security Center.
Si ya está preparado para habilitar Azure Defender ahora, el Inicio rápido: Configuración de Azure
Security Center le guiará por los pasos.
 Introducción a Azure Defender
30/03/2021 • 8 minutes to read • Edit Online

Las características de Azure Security Center abarcan los dos extensos pilares de seguridad en la nube:
Administración de la posición de seguridad en la nube (CSPM) : Security Center está disponible
de forma gratuita para todos los usuarios de Azure. La experiencia gratuita incluye características de
CSPM, como la puntuación segura, la detección de configuraciones incorrectas de seguridad en las
máquinas de Azure, el inventario de recursos, etc. Use estas características de CSPM para fortalecer la
posición en la nube híbrida y realizar un seguimiento del cumplimiento con las directivas integradas.
Protección de la carga de trabajo en la nube (CWP) : la plataforma integrada de protección de
cargas de trabajo en la nube (CWP) de Security Center, Azure Defender , ofrece la protección avanzada e
inteligente de los recursos y las cargas de trabajo híbridas de Azure. La habilitación de Azure Defender
aporta diversas características de seguridad adicionales, como se describe en esta página. Además de las
directivas integradas, cuando haya habilitado un plan de Azure Defender, puede agregar directivas e
iniciativas personalizadas. Puede agregar estándares normativos, como NIST y Azure CIS, así como
pruebas comparativas de la seguridad de Azure para obtener una vista realmente personalizada de su
cumplimiento.
El panel de Azure Defender en Security Center permite la visibilidad y el control de las características de CWP en
un entorno:

¿Qué tipos de recursos puede proteger Azure Defender?

Azure Defender proporciona alertas de seguridad y protección contra amenazas avanzada para máquinas
virtuales, bases de datos SQL, contenedores, aplicaciones web, la red y mucho más.
Al habilitar Azure Defender en el área Precios y configuración de Azure Security Center, se habilitan a la vez
los siguientes planes de Defender, que proporcionan defensas completas para las capas de proceso, datos y
servicio de su entorno:
Azure Defender para servidores
Azure Defender para App Service
Azure Defender para Storage
Azure Defender para SQL
Azure Defender para Kubernetes
Azure Defender para registros de contenedor
Azure Defender para Key Vault
Azure Defender para Resource Manager
Azure Defender para DNS
Cada uno de estos planes se explica por separado en la documentación de Security Center.

TIP
Azure Defender para IoT (versión preliminar) es un producto independiente. Encontrará todos los detalles en Presentación
de la versión preliminar de Azure Defender para IoT.

Protección de la nube híbrida

Además de defender su entorno de Azure, puede agregar funcionalidades de Azure Defender al entorno de
nube híbrida:
Protección de los servidores que no son de Azure
Proteja sus máquinas virtuales de otras nubes (como AWS y GCP)
Obtenga inteligencia personalizada sobre las amenazas y alertas prioritarias según su entorno específico para
que pueda centrarse en lo que más le importa.
Para ampliar la protección a las máquinas virtuales y a las base de datos SQL que estén en otras nubes o en el
entorno local, implemente Azure Arc y habilite Azure Defender. Azure Arc para servidores es un servicio
gratuito, pero los servicios que se usan en servidores habilitados para Arc, por ejemplo, Azure Defender, se
cobran según los precios de ese servicio. Obtenga más información en Incorporación de máquinas que no sean
de Azure con Azure Arc.

TIP
El conector nativo para AWS controla de forma transparente la implementación de Azure Arc. Obtenga más información
en Conexión de las cuentas de AWS a Azure Security Center.

Alertas de seguridad de Azure Defender

Cuando Azure Defender detecta una amenaza en cualquiera de las áreas del entorno, genera una alerta de
seguridad. Estas alertas describen los detalles de los recursos afectados, los pasos de corrección sugeridos y, en
algunos casos, una opción para desencadenar una aplicación lógica como respuesta.
Tanto si Security Center genera una alerta, como si la recibe de un producto de seguridad integrado, puede
exportarse. Para exportar las alertas a Azure Sentinel, la SIEM de terceros, o cualquier otra herramienta externa,
siguen las instrucciones de Transmisión de alertas a una solución de administración de servicios de TI, SIEM o
SOAR.

NOTE
Las alertas de orígenes diferentes pueden tardar un tiempo distinto en aparecer. Por ejemplo, las alertas que requieren un
análisis del tráfico de red pueden tardar más en aparecer que las alertas relacionadas con procesos sospechosos que se
ejecutan en máquinas virtuales.

Funcionalidades de protección avanzada de Azure Defender

Azure Defender usa análisis avanzado para las recomendaciones adaptadas relacionadas con los recursos.
Entre las protecciones se incluyen la protección de los puertos de administración de las máquinas virtuales con
acceso Just-in-Time y controles de aplicaciones adaptables para crear listas de permitidos con las aplicaciones
que deben o no ejecutarse en las máquinas.
Use los iconos de protección avanzada del panel de Azure Defender para supervisar y configurar cada una de
estas protecciones.

Evaluación y administración de vulnerabilidades

Azure Defender incluye el examen de vulnerabilidades de las máquinas virtuales y de los registros de
contenedor sin costo adicional. Los exámenes se basan en la tecnología de Qualys, pero no se necesita ninguna
licencia ni cuenta de Qualys, ya que todo se administra íntegramente en Security Center.
Revise los resultados de estos exámenes de vulnerabilidades y responda a todos ellos desde Security Center. De
esta forma, Security Center se aproxima a convertirse en el panel por excelencia para todos los trabajos de
seguridad en la nube.
Más información en las siguientes páginas:
Solución de evaluación de vulnerabilidades integrada en Security Center para Azure Virtual Machines
Identificación de vulnerabilidades en las imágenes de los registros de contenedor de Azure

Pasos siguientes
En este artículo, aprendió las ventajas de Azure Defender.
Habilitación de Azure Defender
 Novedades de Azure Security Center
31/03/2021 • 85 minutes to read • Edit Online

Defender está en desarrollo activo y recibe mejoras continuas. Para mantenerse al día con los avances más
recientes, esta página proporciona información sobre las nuevas características, las correcciones de errores y las
funcionalidades en desuso.
Esta página se actualiza con frecuencia, por lo que se recomienda visitarla a menudo.
Para obtener información sobre los cambios planeados que están próximos a materializarse en Security Center,
consulte el artículo Próximos cambios importantes en Azure Security Center.

TIP
Si busca elementos de más de 6 meses, puede encontrarlos en las Novedades de Azure Security Center.

Marzo de 2021
Las actualizaciones de marzo incluyen:
Administración de Azure Firewall integrada en Security Center
La evaluación de vulnerabilidades de SQL ahora incluye la experiencia "Deshabilitación de regla" (versión
preliminar)
Se integran en Security Center los libros de Azure Monitor y se proporcionan tres plantillas
El panel de cumplimiento normativo ahora incluye informes de auditoría de Azure (versión preliminar)
Los datos de recomendaciones se pueden ver en Azure Resource Graph con "Explore in ARG" (Explorar en
ARG)
Actualizaciones en las directivas para implementar la automatización de flujos de trabajo
Dos recomendaciones heredadas dejan de escribir datos directamente en el registro de actividad de Azure
Mejoras de la página de recomendaciones
Administración de Azure Firewall integrada en Security Center
Al abrir Azure Security Center, la primera página que aparece es la página de información general.
Este panel interactivo proporciona una vista unificada de la posición de seguridad de las cargas de trabajo de la
nube híbrida. Además, muestra alertas de seguridad, información de cobertura y mucho más.
Para ayudarle a ver el estado de seguridad desde una experiencia central, hemos integrado Azure Firewall
Manager en este panel. Ahora puede comprobar el estado de cobertura del firewall en todas las redes y
administrar de forma centralizada las directivas de Azure Firewall desde Security Center.
Obtenga más información sobre este panel en Página de información general de Azure Security Center.
La evaluación de vulnerabilidades de SQL ahora incluye la experiencia "Deshabilitación de regla" (versión
preliminar)
Security Center incluye un detector de vulnerabilidades integrado para ayudarle a detectar, realizar un
seguimiento y corregir posibles vulnerabilidades de la base de datos. Los resultados de los exámenes de
evaluación proporcionan información general sobre el estado de seguridad de las máquinas SQL y detalles de
las conclusiones sobre seguridad.
Si tiene una necesidad organizativa de omitir un resultado, en lugar de corregirlo, tiene la opción de
deshabilitarlo. Los resultados deshabilitados no afectan a la puntuación de seguridad ni generan ruido no
deseado.
Obtenga más información en Deshabilitación de resultados específicos.
Se integran en Security Center los libros de Azure Monitor y se proporcionan tres plantillas
En la conferencia Ignite de primavera de 2021, anunciamos la integración de los libros de Azure Monitor en
Security Center.
Puede aprovechar la nueva integración para empezar a usar las plantillas predefinidas de la galería de Security
Center. Con las plantillas de libro, puede acceder y crear informes visuales y dinámicos para realizar un
seguimiento de la posición de seguridad de su organización. Además, puede crear nuevos libros basados en los
datos de Security Center o en cualquier otro tipo de datos admitido e implementar rápidamente libros de
comunidad desde la comunidad de GitHub de Security Center.
Se proporcionan tres plantillas de informe:
Puntuación de seguridad a lo largo del tiempo : puede realizar el seguimiento de las puntuaciones de
las suscripciones y de los cambios en las recomendaciones sobre sus recursos.
Actualizaciones del sistema : puede ver las actualizaciones del sistema que faltan por recursos, sistema
operativo, gravedad, etc.
 Conclusiones de la evaluación de vulnerabilidad : puede ver los resultados de los exámenes de
vulnerabilidades de los recursos de Azure.
Obtenga información sobre el uso de estos informes o la creación de sus propios informes en Creación de
informes enriquecidos e interactivos con los datos de Security Center.

El panel de cumplimiento normativo ahora incluye informes de auditoría de Azure (versión preliminar)
Ahora puede descargar informes de certificación de Azure y Dynamics desde la barra de herramientas del panel
de cumplimiento normativo.

Puede seleccionar la pestaña correspondiente a cada tipo de informe pertinente (PCI, SOC, ISO y otros) y usar
filtros para buscar los informes específicos que necesita.
Más información sobre cómo administrar los estándares en el panel de cumplimiento normativo.
Los datos de recomendaciones se pueden ver en Azure Resource Graph con "Explore in ARG" (Explorar en
ARG )
Ahora, las páginas de detalles de la recomendación incluyen el botón de la barra de herramientas "Explore in
ARG" (Explorar en ARG). Utilice este botón para abrir una consulta de Azure Resource Graph y explorar, exportar
y compartir los datos de la recomendación.
Azure Resource Graph (ARG) proporciona acceso instantáneo a la información de los recursos en los entornos
en la nube con funcionalidades sólidas para filtrar, agrupar y ordenar. Es una forma rápida y eficaz de consultar
información en las suscripciones de Azure mediante programación o desde Azure Portal.
Más información sobre Azure Resource Graph (ARG).
Actualizaciones en las directivas para implementar la automatización de flujos de trabajo
La automatización de los procesos de supervisión y respuesta ante incidentes de la organización puede mejorar
considerablemente el tiempo necesario para investigar y mitigar los incidentes de seguridad.
Proporcionamos tres directivas "DeployIfNotExist" de Azure Policy que crean y configuran procedimientos de
automatización de flujos de trabajo para que pueda implementar sus automatizaciones en toda la organización:

O B JET IVO DIREC T IVA ID. DE DIREC T IVA

Automatización de flujos de trabajo Implementar la automatización del f1525828-9a90-4fcf-be48-

para alertas de seguridad flujo de trabajo para las alertas de 268cdd02361e
Azure Security Center

Automatización de flujos de trabajo Implementar la automatización del 73d6ab6c-2475-4850-afd6-

para recomendaciones de seguridad área de trabajo para las 43795f3492ef
recomendaciones de Azure Security
Center

Automatización de flujos de trabajo Implementación de la automatización 509122b9-ddd9-47ba-a5f1-

para cambios de cumplimiento del flujo de trabajo para el d0dac20be63c
normativo cumplimiento normativo de Azure
Security Center

Hay dos novedades en las características de estas directivas:

Cuando se asignan, permanecen habilitadas por cumplimiento.
Ahora puede personalizar estas directivas y actualizar cualquiera de sus parámetros incluso después de que
se hayan implementado. Por ejemplo, si un usuario desea agregar otra clave de evaluación o editar una clave
de evaluación existente, puede hacerlo.
Empiece a usar las plantillas de automatización de flujos de trabajo.
Puede obtener más información en Automatización de respuestas a desencadenadores de Security Center.
Dos recomendaciones heredadas dejan de escribir datos directamente en el registro de actividad de Azure
Security Center pasa los datos de casi todas las recomendaciones de seguridad a Azure Advisor que, a su vez,
los escribe en el registro de actividad de Azure.
Para dos recomendaciones, los datos se escriben de forma simultánea directamente en el registro de actividad
de Azure. Con este cambio, Security Center deja de escribir datos para estas recomendaciones de seguridad
heredadas directamente en el registro de actividad. En su lugar, exportamos los datos a Azure Advisor como
hacemos para las restantes recomendaciones.
Las dos recomendaciones heredadas son:
Los problemas de estado de protección de puntos de conexión se deben resolver en las máquinas
Se deben corregir las vulnerabilidades en la configuración de seguridad en las máquinas
Si ha accedido a la información de estas dos recomendaciones en la categoría "Recomendación de tipo
TaskDiscovery" del registro de actividad, ya no estará disponible.
Mejoras de la página recomendaciones
Hemos lanzado una versión mejorada de la lista de recomendaciones para presentar más información que se
pueda consultar de un vistazo.
Ahora, en la página verá:
1. La puntuación máxima y la puntuación actual de cada control de seguridad.
2. Iconos que reemplazan etiquetas como Corrección rápida y Versión preliminar .
3. Una columna nueva que muestra la iniciativa de directiva relacionada con cada recomendación: se puede ver
cuando "Agrupar por controles" está deshabilitado.

Más información en Recomendaciones de seguridad en el Centro de seguridad de Azure

Febrero de 2021
Las actualizaciones de febrero incluyen:
La nueva página de alertas de seguridad de Azure Portal se ha publicado con disponibilidad general
Publicación de las recomendaciones de protección de cargas de trabajo de Kubernetes para disponibilidad
general (GA)
La integración de Microsoft Defender para punto de conexión con Azure Defender ahora es compatible con
Windows Server 2019 y Windows 10 Virtual Desktop (WVD) (en versión preliminar)
Vínculo directo a la directiva desde la página de detalles de la recomendación
La recomendación de clasificación de datos SQL ya no afecta a la puntuación segura
Las automatizaciones de los flujos de trabajo se pueden desencadenar mediante cambios en las evaluaciones
de cumplimiento normativo (versión preliminar)
Mejoras en la página de inventario de recursos
La nueva página de alertas de seguridad de Azure Portal se ha publicado con disponibilidad general
La página de alertas de seguridad de Azure Security Center se ha rediseñado para proporcionar:
Mejora en la evaluación de prioridades en las aler tas : ahora es más fácil ayudar a reducir la fatiga de
las alertas y centrarse en las amenazas más importantes, la lista incluye filtros personalizables y opciones de
agrupación.
Más información en la lista de aler tas : por ejemplo las tácticas ATT y ACK de MITRE.
Botón para crear aler tas de ejemplo : para evaluar las funcionalidades de Azure Defender y probar la
configuración de las alertas (para la integración de SIEM, las notificaciones por correo electrónico y las
automatizaciones de los flujos de trabajo), puede crear alertas de ejemplo desde todos los planes de Azure
Defender.
Alineación con la experiencia de incidentes de Azure Sentinel : para los clientes que usan ambos
productos, cambiar entre ellos ahora es más sencillo y es fácil que uno aprenda del otro.
Mejor rendimiento de listas de alertas grandes.
Desplazamiento mediante el teclado a través de la lista de alertas.
Aler tas de Azure Resource Graph : puede consultar las alertas en Azure Resource Graph, la API similar a
Kusto para todos los recursos. Esto también resulta útil si va a crear sus propios paneles de alertas. Más
información sobre Azure Resource Graph.
Característica Crear aler tas de ejemplo : para crear alertas de ejemplo en la nueva experiencia de
alertas, consulte el apartado Generación de alertas de ejemplo de Azure Defender.
Publicación de las recomendaciones de protección de la carga de trabajo de Kubernetes para disponibilidad
general (GA )
Nos complace anunciar la disponibilidad general (GA) del conjunto de recomendaciones para las protecciones
de la carga de trabajo de Kubernetes.
Para que las cargas de trabajo de Kubernetes sean seguras de forma predeterminada, Security Center ha
agregado recomendaciones de protección de nivel de Kubernetes, incluidas opciones de cumplimiento con el
control de admisión de Kubernetes.
Cuando el complemento de Azure Policy para Kubernetes está instalado en el clúster de Azure Kubernetes
Service (AKS), todas las solicitudes al servidor de la API de Kubernetes se supervisarán con el conjunto
predefinido de procedimientos recomendados (que aparecen en forma de 13 recomendaciones de seguridad)
antes de que se guarden en el clúster. Después, puede realizar la configurar para aplicar los procedimientos
recomendados y exigirlos para futuras cargas de trabajo.
Por ejemplo, puede exigir que no se creen los contenedores con privilegios y que se bloqueen las solicitudes
futuras para este fin.
Más información en Procedimientos recomendados de protección de cargas de trabajo con el control de
admisión de Kubernetes

NOTE
Aunque las recomendaciones estaban en versión preliminar, no representaban los recursos de clúster de AKS en mal
estado y no se incluían en los cálculos de la puntuación segura. Con este anuncio de disponibilidad general, se incluirán en
el cálculo de puntuaciones. Si aún no ha hecho nada al respecto, esto podría afectar negativamente a su puntuación
segura. Corríjalas siempre que sea posible como se describe en Recomendaciones de corrección en Azure Security Center.

La integración de Microsoft Defender para punto de conexión con Azure Defender ahora es compatible con
Windows Server 2019 y Windows 10 Virtual Desktop (WVD) (en versión preliminar)
Microsoft Defender para punto de conexión es una solución integral de seguridad de punto de conexión que se
entrega en la nube. Proporciona funciones de administración y evaluación de vulnerabilidades basadas en
riesgos, así como de detección y respuesta de puntos de conexión (EDR). Para obtener una lista completa de las
ventajas del uso de Defender para punto de conexión junto con Azure Security Center, consulte Proteja los
puntos de conexión con la solución EDR integrada de Security Center: Microsoft Defender para punto de
conexión.
Cuando habilita Azure Defender para servidores en un servidor de Windows, el plan incluye una licencia de
Defender para punto de conexión. Si ya ha habilitado Azure Defender para servidores y tiene servidores de
Windows 2019 en la suscripción, los servidores recibirán automáticamente Defender para punto de conexión
con esta actualización. No se requiere ninguna acción manual.
Ahora se ha ampliado la compatibilidad para incluir Windows Server 2019 y Windows Virtual Desktop (WVD).

NOTE
Si está habilitando Defender para punto de conexión en un equipo con Windows Server 2019, asegúrese de que cumple
los requisitos previos descritos en Habilitar la integración de Microsoft Defender para punto de conexión.

Vínculo directo a la directiva desde la página de detalles de la recomendación

Cuando se revisan los detalles de una recomendación, a menudo resulta útil poder ver la directiva subyacente.
Para cada recomendación admitida en una directiva, hay un vínculo nuevo en la página de detalles de la
recomendación:

Use este vínculo para ver la definición de directiva y revisar la lógica de evaluación.
Si va a revisar la lista de recomendaciones de la guía de referencia de recomendaciones de seguridad, también
verá vínculos a las páginas de definición de directiva:
La recomendación de clasificación de datos SQL ya no afecta a la puntuación segura
La recomendación Los datos confidenciales de las bases de datos SQL deben clasificarse ya no afecta
a la puntuación segura. Esta es la única recomendación del control de seguridad Apply data classification
(Aplicar clasificación de datos), de modo que el control ahora tiene un valor de puntuación segura de 0.
Para obtener una lista completa de todos los controles de seguridad de Security Center, junto con sus
puntuaciones y una lista de las recomendaciones de cada uno, consulte Controles de seguridad y sus
recomendaciones.
Las automatizaciones de los flujos de trabajo se pueden desencadenar mediante cambios en las evaluaciones
de cumplimiento normativo (versión preliminar)
Hemos agregado un tercer tipo de datos a las opciones del desencadenador para las automatizaciones del flujo
de trabajo: cambios en las evaluaciones de cumplimiento normativo.
Aprenda a usar las herramientas de automatización del flujo de trabajo en Automatización de respuestas a
desencadenadores de Security Center.

Mejoras en la página de inventario de recursos

La página de inventario de recursos de Security Center se ha mejorado como se indica a continuación:
Los resúmenes de la parte superior de la página ahora incluyen suscripciones no registradas , que
muestran el número de suscripciones sin Security Center habilitado.
Se han expandido y mejorado los filtros, que incluyen:
Recuentos : cada filtro presenta el número de recursos que cumplen los criterios de cada
categoría.

.
Contiene filtro de exenciones (opcional): restrinja los resultados a los recursos que tienen o no
tienen exenciones. Este filtro no se muestra de forma predeterminada, pero se puede acceder a él
el botón Agregar filtro .
Más información sobre los procedimientos para explorar y administrar los recursos con el inventario de
recursos.

Enero de 2021
Las actualizaciones de enero incluyen:
Azure Security Benchmark es ahora la iniciativa de directivas predeterminada para Azure Security Center
La valoración de vulnerabilidades tanto para máquinas locales como las que están en varias nubes se ha
publicado en disponibilidad general (GA)
Puntuación segura para grupos de administración ya está disponible en versión preliminar
La API de Puntuación segura se ha publicado en disponibilidad general (GA)
Las protecciones de DNS pendientes se han agregado a Azure Defender para App Service
Los conectores de nubes múltiples se publican en disponibilidad general (GA)
Exclusión de recomendaciones completas de su puntuación segura para suscripciones y grupos de
administración
Los usuarios ya pueden solicitar visibilidad en todo el inquilino de su administrador global
Se han agregado 35 recomendaciones en versión preliminar para aumentar la cobertura de Azure Security
Benchmark.
Exportación de CSV de una lista filtrada de recomendaciones
Los recursos en estado "No aplicable" ahora se notifican como "Compatible" en las valoraciones de Azure
Policy
Exportación de instantáneas semanales de datos de cumplimiento normativo y puntuación segura con
exportación continua (versión preliminar)
Azure Security Benchmark es ahora la iniciativa de directivas predeterminada para Azure Security Center
Azure Security Benchmark es el conjunto de directrices específico de Azure creado por Microsoft para ofrecer
los procedimientos recomendados de seguridad y cumplimiento basados en marcos de cumplimiento comunes.
Este punto de referencia, que cuenta con un amplísimo respaldo, se basa en los controles del Centro de
seguridad de Internet (CIS) y del Instituto Nacional de Normas y Tecnología (NIST), con un enfoque en seguridad
centrada en la nube.
En los últimos meses, la lista de recomendaciones de seguridad integradas de Security Center ha crecido
considerablemente para ampliar la cobertura de este punto de referencia.
A partir de esta versión, el punto de referencia es la base de las recomendaciones de Security Center y está
totalmente integrado como iniciativa de directivas predeterminada.
Todos los servicios de Azure tienen una página de línea base de seguridad en su documentación. Por ejemplo,
esta es la línea base de Security Center. Estas líneas base se basan en el Azure Security Benchmark.
Si usa el panel de cumplimiento normativo de Security Center, verá dos instancias del punto de referencia
durante un período de transición:

Las recomendaciones existentes no se ven afectadas y a medida que crezca el punto de referencia, los cambios
se reflejarán automáticamente en Security Center.
Para más información, consulte las páginas siguientes:
Más información sobre Azure Security Benchmark
Personalización del conjunto de estándares en el panel de cumplimiento normativo
La valoración de vulnerabilidades tanto para máquinas locales como las que están en varias nubes se ha
publicado en disponibilidad general (GA )
En octubre, se anunció una versión preliminar para examinar servidores con Azure Arc habilitado con el
analizador de evaluación de vulnerabilidades integrado de Azure Defender para servidores (con tecnología de
Qualys).
Ahora se ha publicado en disponibilidad general (GA).
Al habilitar Azure Arc en máquinas que no son de Azure, Security Center le ofrecerá la opción de implementar
en ellas el analizador de vulnerabilidades integrado, manualmente y a escala.
Con esta actualización, puede aprovechar toda la capacidad de Azure Defender para ser vidores para
consolidar su programa de administración de vulnerabilidades en todos sus recursos, tanto si son de Azure
como si no.
Principales funcionalidades:
Supervisión del estado de aprovisionamiento del analizador de evaluación de vulnerabilidades en máquinas
de Azure Arc.
Aprovisionamiento del agente de evaluación de vulnerabilidades integrado en máquinas de Azure Arc
Windows y Linux (manualmente y a escala).
Recepción y análisis de vulnerabilidades detectadas por agentes implementados (manualmente y a escala).
Experiencia unificada para máquinas virtuales de Azure y máquinas de Azure Arc.
Obtenga más información sobre la implementación del analizador de vulnerabilidades integrado en las
máquinas híbridas.
Obtenga más información sobre los servidores habilitados para Azure Arc.
Puntuación segura para grupos de administración ya está disponible en versión preliminar
La página de puntuación segura ahora muestra las puntuaciones seguras agregadas para los grupos de
administración, además del nivel de suscripción. Por consiguiente, ahora puede ver la lista de grupos de
administración de la organización y la puntuación de cada uno de ellos.

Obtenga más información sobre la puntuación segura y los controles de seguridad en Azure Security Center.
La API de Puntuación segura se ha publicado en disponibilidad general (GA )
Ahora puede acceder a la puntuación a través de la API de puntuación segura. Los métodos de API proporcionan
la flexibilidad necesaria para consultar los datos y crear su propio mecanismo de creación de informes de las
puntuaciones seguras a lo largo del tiempo. Por ejemplo:
use la API Secure Scores para obtener la puntuación de una suscripción específica.
use la API Secure Score Controls para mostrar los controles de seguridad y la puntuación actual de las
suscripciones.
Conozca las herramientas externas que son posibles gracias a la API de puntuación segura en el área de
puntuación segura de la comunidad de GitHub.
Obtenga más información sobre la puntuación segura y los controles de seguridad en Azure Security Center.
Las protecciones de DNS pendientes se han agregado a Azure Defender para App Service
Las adquisiciones de subdominios son una amenaza muy grave que se producen de forma común en las
organizaciones. Una adquisición de subdominio puede producirse cuando se tiene un registro DNS que apunta
a un sitio web desaprovisionado. Estos registros DNS también se conocen como entradas "DNS pendientes". Los
registros CNAME son especialmente vulnerables a esta amenaza.
Las adquisiciones de subdominios permiten a los actores de las amenazas redirigir el tráfico destinado al
dominio de una organización a un sitio que realiza una actividad malintencionada.
Azure Defender para App Service ahora detecta las entradas DNS pendientes cuando se retira un sitio web de
App Service. Este es el momento en el que la entrada DNS apunta a un recurso que no existe y su sitio web es
vulnerable a la adquisición del subdominio. Estas protecciones están disponibles tanto si los dominios se
administran con Azure DNS como con un registrador de dominios externo y se aplican a App Service en
Windows y en Linux.
Más información:
Tabla de referencia de alertas de App Service: incluye dos nuevas alertas de Azure Defender que se
desencadenan cuando se detecta una entrada DNS pendiente
Evitar las entradas DNS pendientes y evitar la adquisición de subdominios: obtenga información sobre la
amenaza de la adquisición de subdominios y el aspecto de los DNS pendientes
Introducción a Azure Defender para App Service
Los conectores de nubes múltiples se publican en disponibilidad general (GA )
Las cargas de trabajo de nube abarcan normalmente varias plataformas de nube, por lo que los servicios de
seguridad de la nube deben hacer lo mismo.
Azure Security Center protege las cargas de trabajo de Azure, Amazon Web Services (AWS) y Google Cloud
Platform (GCP).
La conexión de las cuentas de AWS o GCP integra sus herramientas de seguridad nativas, como AWS Security
Hub y GCP Security Center, en Azure Security Center.
Esta capacidad significa que Security Center proporciona visibilidad y protección en los principales entornos de
nube. Algunas de las ventajas de esta integración son:
Aprovisionamiento automático de agentes (Security Center usa Azure Arc para implementar el agente de Log
Analytics en las instancias de AWS)
Administración de directivas
Administración de vulnerabilidades
Detección y respuesta de puntos de conexión (EDR) integrados
Detección de errores de configuración de seguridad
Una vista única que muestra recomendaciones de seguridad de todos los proveedores de nube
Incorporación de todos los recursos a los cálculos de puntuación segura de Security Center
Evaluaciones de cumplimiento normativo de los recursos de AWS y GCP
En el menú de Security Center, seleccione Multi cloud connectors (Conectores en varias nubes) y verá las
opciones para crear conectores:

Puede encontrar más información en:

Conexión de las cuentas de AWS a Azure Security Center
Conexión de las cuentas de GCP a Azure Security Center
Exclusión de recomendaciones completas de su puntuación segura para suscripciones y grupos de
administración
Estamos ampliando la capacidad de exención para incluir recomendaciones completas. Proporcionar más
opciones para ajustar las recomendaciones de seguridad que Security Center realiza para las suscripciones, el
grupo de administración o los recursos.
En ocasiones, un recurso se mostrará como incorrecto cuando se sepa que el problema se ha resuelto mediante
una herramienta de terceros que Security Center no ha detectado. O bien se mostrará una recomendación en un
ámbito al que cree que no pertenece. La recomendación podría no ser adecuada para una suscripción concreta.
O quizás la organización ha decidido aceptar los riesgos relacionados con la recomendación o el recurso
específicos.
Con esta característica en vista previa (GB), ahora puede crear una exención para que una recomendación:
Excluya un recurso para asegurarse de que no aparezca con los recursos incorrectos en el futuro y no
afecte a la puntuación de seguridad. El recurso se mostrará como no aplicable y el motivo aparecerá
como "exento" con la justificación específica que seleccione.
Excluir una suscripción o un grupo de administración para asegurarse de que la recomendación
no afecte a la puntuación de seguridad y no que no se muestre para la suscripción o el grupo de
administración en el futuro. Esto se refiere a los recursos existentes y cualquiera que cree en el futuro. La
recomendación se marcará con la justificación específica que seleccione para el ámbito que ha
seleccionado.
Puede obtener más información en Exención de recursos y recomendaciones de la puntuación de seguridad.
Los usuarios ya pueden solicitar visibilidad en todo el inquilino de su administrador global
Si algún usuario no tiene los permisos necesarios para ver los datos de Security Center, ahora verá un vínculo
para solicitar permisos al administrador global de su organización. La solicitud incluye el rol que desean y la
justificación de por qué es necesario.

Para más información, consulte Solicitud de permisos para todo el inquilino cuando el suyo sea insuficiente.
Se han agregado 35 recomendaciones en versión preliminar para aumentar la cobertura de Azure Security
Benchmark.
Azure Security Benchmark es la iniciativa de directivas predeterminada de Azure Security Center.
Para aumentar la cobertura del punto de referencia se han agregado a Security Center las
siguientes 35 recomendaciones en versión preliminar.
TIP
Las recomendaciones de la versión preliminar no representan un recurso incorrecto y no se incluyen en los cálculos de
una puntuación segura. Corríjalas siempre que sea posible, de tal forma que, cuando finalice el período de versión
preliminar, contribuyan a la puntuación. Puede encontrar más información sobre cómo responder a estas
recomendaciones en Recomendaciones de corrección en Azure Security Center.

C O N T RO L DE SEGURIDA D N UEVA S REC O M EN DA C IO N ES

Habilitación del cifrado de datos en reposo - Las cuentas de Azure Cosmos DB deben usar claves
administradas por el cliente para cifrar los datos en reposo.
- Las áreas de trabajo de Azure Machine Learning deben
cifrarse con una clave administrada por el cliente (CMK).
- La protección de datos de Bring Your Own Key debe estar
habilitada para los servidores MySQL.
- La protección de datos de Bring Your Own Key debe estar
habilitada para los servidores PostgreSQL.
- Las cuentas de Cognitive Services deben habilitar el cifrado
de datos con una clave administrada por el cliente (CMK).
- Las instancias de Container Registry se deben cifrar con
una clave administrada por el cliente (CMK).
- Las instancias administradas de SQL deben usar claves
administradas por el cliente para cifrar los datos en reposo.
- Los servidores SQL deben usar claves administradas por el
cliente para cifrar los datos en reposo.
- Las cuentas de almacenamiento deben usar la clave
administrada por el cliente (CMK) para el cifrado.

Implementación de procedimientos recomendados de - Las suscripciones deben tener una dirección de correo
seguridad electrónico de contacto para los problemas de seguridad.
- El aprovisionamiento automático del agente de Log
Analytics debe estar habilitado en su suscripción.
- La opción para enviar notificaciones por correo electrónico
para alertas de gravedad alta debe estar habilitada.
- La opción para enviar notificaciones por correo electrónico
al propietario de la suscripción en relación a alertas de
gravedad alta debe estar habilitada.
- Los almacenes de claves deben tener habilitada la
protección contra operaciones de purga.
- Los almacenes de claves deben tener habilitada la
eliminación temporal.

Administración de acceso y permisos - Las aplicaciones de funciones deben tener la opción

"Certificados de cliente (certificados de cliente entrantes)"
habilitada.

Protección de aplicaciones contra ataques DDoS - Web Application Firewall (WAF) debe estar habilitado para
Application Gateway.
- Web Application Firewall (WAF) debe estar habilitado para
Azure Front Door Service.
 C O N T RO L DE SEGURIDA D N UEVA S REC O M EN DA C IO N ES

Restricción de los accesos de red no autorizados - El firewall debe estar habilitado en Key Vault.
- Se debe configurar un punto de conexión privado para Key
Vault.
- App Configuration debe usar un vínculo privado.
- Azure Cache for Redis debe residir en una red virtual.
- Los dominios de Azure Event Grid deben usar un vínculo
privado.
- Los temas de Azure Event Grid deben usa un vínculo
privado.
- Las áreas de trabajo de Azure Machine Learning deben
usar un vínculo privado.
Azure SignalR Service debe usar un vínculo privado.
- Azure Spring Cloud debe usar la inserción de red.
-Las instancias de Container Registry no deben permitir el
acceso de red sin restricciones.
- Las instancias de Container Registry deben usar vínculo
privado.
-El acceso a redes públicas debe estar deshabilitado para los
servidores de MariaDB.
El acceso a las redes públicas debe estar deshabilitado para
los servidores de MySQL
- El acceso a redes públicas debe estar deshabilitado para los
servidores de PostgreSQL.
- La cuenta de almacenamiento debería utilizar una conexión
de vínculo privado
- Las cuentas de almacenamiento deben restringir el acceso
a la red mediante el uso de reglas de red virtual.
- Las plantillas de VM Image Builder deben usar un vínculo
privado.

Vínculos relacionados:
Más información sobre Azure Security Benchmark
Más información sobre Azure Database for MariaDB
Más información sobre Azure Database for MySQL
Más información sobre Azure Database for PostgreSQL
Exportación de CSV de una lista filtrada de recomendaciones
En noviembre de 2020, hemos agregado filtros a la página de recomendaciones (consulte La lista de
recomendaciones ahora incluye filtros). En diciembre, hemos expandido esos filtros (La página
Recomendaciones tiene nuevos filtros de entorno, gravedad y respuestas disponibles).
Con este anuncio, vamos a cambiar el comportamiento del botón Descargar como CSV para que la
exportación de CSV solo incluya las recomendaciones que se muestran actualmente en la lista filtrada.
Por ejemplo, en la imagen siguiente puede ver que la lista se ha filtrado a dos recomendaciones. El archivo CSV
que se genera incluye los detalles de estado de cada recurso afectado por esas dos recomendaciones.
Más información en Recomendaciones de seguridad en el Centro de seguridad de Azure
Los recursos en estado "No aplicable" ahora se notifican como "Compatible" en las valoraciones de Azure
Policy
Anteriormente, los recursos que se evaluaban para una recomendación y se detectaba que eran no aplicables
aparecían en in Azure Policy como "No compatible". Ninguna acción del usuario podría cambiar su estado a
"Compatible". Con este cambio, se notificarán como "Compatible" para aumentar la claridad.
El único impacto se verá en Azure Policy, donde el número de recursos compatibles aumentará. Esto no afectará
a la puntuación de seguridad de Azure Security Center.
Exportación de instantáneas semanales de datos de cumplimiento normativo y puntuación segura con
exportación continua (versión preliminar)
Hemos agregado una nueva característica en versión preliminar a las herramientas de exportación continua
para exportar instantáneas semanales de datos de cumplimiento normativo y puntuación segura.
Al definir una exportación continua, establezca la frecuencia de exportación:

Streaming : las evaluaciones se enviarán en tiempo real cuando se actualice el estado de mantenimiento de
un recurso (si no se produce ninguna actualización, no se enviarán datos).
Instantáneas : se enviará una instantánea del estado actual de todas las evaluaciones de cumplimiento
normativo cada semana (se trata de una característica en versión preliminar para las instantáneas semanales
de datos de cumplimiento normativo y puntuaciones seguras).
Puede encontrar más información sobre las funcionalidades completas de esta característica en Exportación
continua de alertas y recomendaciones de seguridad.

Diciembre de 2020
Las actualizaciones de diciembre incluyen:
Disponibilidad general de Azure Defender para servidores SQL Server en máquinas
Compatibilidad de Azure Defender para SQL para el grupo de SQL dedicado de Azure Synapse Analytics
 disponible con carácter general
Ahora, los administradores globales se pueden conceder a sí mismos permisos de nivel de inquilino
Dos nuevos planes de Azure Defender: Azure Defender para DNS y Azure Defender para Resource Manager
(en versión preliminar)
Nueva página de alertas de seguridad en Azure Portal (versión preliminar)
Experiencia de Security Center revitalizada en Azure SQL Database y SQL Managed Instance
Se han actualizado las herramientas y filtros para el inventario de recursos
La recomendación acerca de las aplicaciones web que solicitan certificados SSL ya no forma parte de la
puntuación segura
La página Recomendaciones tiene nuevos filtros de entorno, gravedad y respuestas disponibles
La exportación continua obtiene nuevos tipos de datos y directivas deployifnotexist mejoradas
Disponibilidad general de Azure Defender para servidores SQL Server en máquinas
Azure Security Center ofrece dos planes de Azure Defender para servidores SQL Server:
Azure Defender para ser vidores de bases de datos Azure SQL : defiende los servidores SQL Server
nativos de Azure.
Azure Defender para ser vidores SQL Ser ver en máquinas : amplía las mismas protecciones a los
servidores SQL Server en entornos híbridos, multinube y locales.
Con este anuncio, Azure Defender para SQL ahora protege las bases de datos y sus datos dondequiera que
se encuentren.
Azure Defender para SQL incluye funcionalidades de evaluación de vulnerabilidades. La herramienta de
evaluación de vulnerabilidades incluye las siguientes características avanzadas:
La configuración de línea de base (nuevo) para limitar de forma inteligente los resultados de los análisis
de vulnerabilidades a aquellas que podrían representar problemas de seguridad reales. Una vez establecido
el estado de seguridad de la línea de base, la herramienta de evaluación de vulnerabilidades solo informa de
las desviaciones con respecto a esa línea de base. Los resultados que coinciden con la línea de base se
consideran como correctos en análisis posteriores. Esto le permite a usted y a sus analistas centrar la
atención en lo que importa.
Información comparativa detallada para ayudarle a comprender los hechos detectados y por qué se
relacionan con los recursos.
Scripts de corrección para ayudarle a mitigar los riesgos identificados.
Más información sobre Azure Defender for SQL.
Compatibilidad de Azure Defender para SQL para Azure Synapse Analytics disponible con carácter general
Azure Synapse Analytics (anteriormente SQL Data Warehouse) es un servicio de análisis que combina
almacenamiento de datos empresariales con análisis de macrodatos. Los grupos de SQL dedicados son las
características de almacenamiento de datos empresariales de Azure Synapse. Más información en ¿Qué es
Azure Synapse Analytics (anteriormente SQL Data Warehouse)?
Azure Defender para SQL protege los grupos de SQL dedicados con:
Protección contra amenazas avanzada para detectar amenazas y ataques.
Funcionalidades de evaluación de vulnerabilidades para identificar y corregir configuraciones
erróneas de seguridad.
La compatibilidad de Azure Defender para SQL con los grupos de SQL de Azure Synapse Analytics se agrega
automáticamente al paquete de bases de datos SQL de Azure en Azure Security Center. Encontrará una nueva
pestaña "Azure Defender para SQL" en la página del área de trabajo de Synapse en Azure Portal.
Más información sobre Azure Defender for SQL.
Ahora, los administradores globales se pueden conceder a sí mismos permisos de nivel de inquilino.
Un usuario con el rol de administrador global de Azure Active Directory puede tener responsabilidades en
todo el inquilino, pero carecer de los permisos de Azure para ver la información de toda la organización en
Azure Security Center.
Para asignarse a sí mismo permisos de nivel de inquilino, siga las instrucciones que se indican en Concederse a
uno mismo permisos para todo el inquilino.
Dos nuevos planes de Azure Defender: Azure Defender para DNS y Azure Defender para Resource Manager
(en versión preliminar)
Se han agregado dos nuevas funcionalidades de protección contra amenazas con amplitud nativa de nube para
el entorno de Azure.
Estas nuevas protecciones mejoran enormemente la resistencia frente a los ataques de actores de amenazas y
aumentan considerablemente el número de recursos de Azure protegidos por Azure Defender.
Azure Defender para Resource Manager : supervisa automáticamente todas las operaciones de
administración de recursos realizadas en la organización. Para más información, consulte:
Introducción a Azure Defender para Resource Manager
Respuesta a las alertas de Azure Defender para Resource Manager
Lista de alertas proporcionadas por Azure Defender para Resource Manager
Azure Defender para DNS : supervisa continuamente todas las consultas de DNS de los recursos de
Azure. Para más información, consulte:
Introducción a Azure Defender para DNS
Respuesta a las alertas de Azure Defender para DNS
Lista de alertas proporcionadas por Azure Defender para DNS
Nueva página de alertas de seguridad en Azure Portal (versión preliminar)
La página de alertas de seguridad de Azure Security Center se ha rediseñado para proporcionar:
Mejora en la evaluación de prioridades en las aler tas : ahora es más fácil ayudar a reducir la fatiga de
las alertas y centrarse en las amenazas más importantes, la lista incluye filtros personalizables y opciones de
agrupación.
Más información en la lista de aler tas : por ejemplo las tácticas ATT y ACK de MITRE
Botón para crear aler tas de ejemplo : para evaluar las funcionalidades de Azure Defender y probar la
configuración de las alertas (para la integración de SIEM, las notificaciones por correo electrónico y las
automatizaciones de los flujos de trabajo), puede crear alertas de ejemplo desde todos los planes de Azure
Defender.
Alineación con la experiencia de incidentes de Azure Sentinel : para los clientes que usan ambos
productos, cambiar entre ellos ahora es más sencillo y es fácil que uno aprenda del otro.
Mejor rendimiento de listas de alertas grandes.
Desplazamiento mediante el teclado a través de la lista de alertas.
Aler tas de Azure Resource Graph : puede consultar las alertas en Azure Resource Graph, la API similar a
Kusto para todos los recursos. Esto también resulta útil si va a crear sus propios paneles de alertas. Más
información sobre Azure Resource Graph.
Para acceder a la nueva experiencia, use el vínculo "Intentarlo ahora" del banner de la parte superior de la
página de alertas de seguridad.
Para crear alertas de ejemplo a partir de la nueva experiencia de alertas, consulte el apartado Generación de
alertas de ejemplo de Azure Defender.
Experiencia de Security Center revitalizada en Azure SQL Database y SQL Managed Instance
La experiencia de Security Center en SQL proporciona acceso a las siguientes características de Security Center y
Azure Defender para SQL:
Recomendaciones de seguridad : Azure Security Center analiza periódicamente el estado de seguridad de
todos los recursos de Azure conectados para identificar posibles configuraciones erróneas de seguridad. A
continuación, proporciona recomendaciones sobre cómo corregir esas vulnerabilidades y mejorar la postura
de seguridad de las organizaciones.
Aler tas de seguridad : un servicio de detección que supervisa continuamente las actividades de Azure SQL
para detectar amenazas tales como la inyección de código SQL, ataques por fuerza bruta y abuso de
privilegios. Este servicio desencadena alertas de seguridad detalladas y orientadas a acciones en Security
Center, y proporciona opciones para continuar las investigaciones con Azure Sentinel, la solución SIEM nativa
de Microsoft Azure.
Conclusiones : un servicio de evaluación de vulnerabilidades que supervisa continuamente las
configuraciones de Azure SQL y ayuda a corregir las vulnerabilidades. Los análisis de evaluación
proporcionan una visión general de los estados de seguridad de Azure SQL junto con conclusiones
detalladas de seguridad.

Se han actualizado las herramientas y filtros para el inventario de recursos

La página Inventario de Azure Security Center se ha actualizado con los cambios siguientes:
Se han agregado guías y comentarios a la barra de herramientas. Esto permite abrir un panel con
 vínculos a información y herramientas relacionados.
Se ha agregado un filtro de suscripciones a los filtros predeterminados disponibles para los recursos.
Se ha agregado el enlace Abrir consulta para abrir las opciones de filtro actuales como una consulta de
Azure Resource Graph (anteriormente se denominaba "Ver en Resource Graph Explorer").
Opciones de operador para cada filtro. Ahora puede elegir entre más operadores lógicos adicionales
distintos de "=". Por ejemplo, puede que desee buscar todos los recursos con recomendaciones activas
cuyos títulos incluyan la cadena "Encrypt".

Más información acerca del inventario en Exploración y administración de los recursos con Asset Inventory.
La recomendación acerca de las aplicaciones web que solicitan certificados SSL ya no forma parte de la
puntuación segura
La recomendación "Las aplicaciones web deben solicitar un certificado SSL a todas las solicitudes entrantes" se
ha trasladado desde el control de seguridad Administración de acceso y permisos (con una puntuación
máxima de 4 puntos) a Implementación de procedimientos recomendados de seguridad (con ningún
punto).
Asegurarse de que una aplicación web solicita un certificado ciertamente hace que sea más segura. Sin
embargo, para las aplicaciones web de acceso público, esto es irrelevante. Si accede a su sitio a través de HTTP y
no de HTTPS, no recibirá ningún certificado de cliente. Por lo tanto, si la aplicación requiere certificados de
cliente, no debe permitir solicitudes a la aplicación mediante HTTP. Puede encontrar más información en
Configuración de la autenticación mutua de TLS en Azure App Service.
Con este cambio, la recomendación es ahora un procedimiento recomendado que no influye en la puntuación.
Obtenga información sobre qué recomendaciones se encuentran en cada control de seguridad en Controles de
seguridad y sus recomendaciones.
La página Recomendaciones tiene nuevos filtros de entorno, gravedad y respuestas disponibles
Azure Security Center supervisa todos los recursos conectados y genera recomendaciones de seguridad. Use
estas recomendaciones para fortalecer su postura en la nube híbrida y realizar un seguimiento del
cumplimiento de las directivas y los estándares importantes para su organización, sector y país.
A medida que Security Center amplía su cobertura y características, la lista de recomendaciones de seguridad
crece cada mes. Por ejemplo, consulte Se han agregado 29 recomendaciones en versión preliminar para
aumentar la cobertura de Azure Security Benchmark.
Con una lista en continuo crecimiento, existe la necesidad de filtrar las recomendaciones para encontrar las de
mayor interés. En noviembre, hemos agregado filtros a la página Recomendaciones (consulte La lista de
recomendaciones ahora incluye filtros).
Los filtros que se han agregado este mes proporcionan opciones para refinar la lista de recomendaciones según:
 El entorno : vea las recomendaciones para los recursos de AWS, GCP o Azure (o cualquier combinación).
La gravedad : vea las recomendaciones según la clasificación de gravedad establecida por Security
Center.
Las acciones de respuesta : vea las recomendaciones según la disponibilidad de las opciones de
respuesta de Security Center: Corrección rápida, denegación y aplicación

TIP
El filtro de acciones de respuesta reemplaza al filtro Solución rápida disponible (Sí/No) .
Puede aprender más información acerca de cada una de estas opciones de respuesta:
Solución por corrección rápida
Evitar errores de configuración con las recomendaciones Aplicar o Denegar.

La exportación continua obtiene nuevos tipos de datos y directivas deployifnotexist mejoradas

Las herramientas de exportación continua de Azure Security Center permiten exportar las recomendaciones y
alertas de Security Center para su uso con otras herramientas de supervisión de su entorno.
La exportación continua le permite personalizar completamente qué se exportará y a dónde irá. Para más
información, consulte Exportación continua de datos de Security Center.
Estas herramientas se han mejorado y ampliado de las siguientes maneras:
Se han mejorado las directivas deployifnotexist de la expor tación continua . Las directivas
ahora:
Comprueban si la configuración está habilitada. Si no es así, la directiva aparecerá como no
compatible y creará un recurso compatible. Obtenga más información acerca de las plantillas de
Azure Policy proporcionadas en la pestaña "Implementación a gran escala con Azure Policy"
deConfiguración de una exportación continua.
Compatibilidad con la expor tación de conclusiones de seguridad. Cuando usa las
plantillas de Azure Policy, puede configurar la exportación continua para que incluya conclusiones.
Esto es importante cuando se exportan recomendaciones que incluyen "subrecomendaciones",
como en el caso de los resultados de los escáneres de evaluación de vulnerabilidades o las
actualizaciones específicas del sistema para la recomendación principal "Se deben instalar
actualizaciones del sistema en las máquinas".
Compatibilidad con la expor tación de datos de puntuación de seguridad.
Se han agregado datos de evaluación de cumplimiento normativo (en versión preliminar).
Ahora puede exportar continuamente las actualizaciones de las evaluaciones de cumplimiento normativo,
incluidas las iniciativas personalizadas, a un área de trabajo Log Analytics o a un centro de eventos. Esta
característica no está disponible en las nubes nacionales o soberanas.

Noviembre de 2020
Las actualizaciones de noviembre incluyen:
Se han agregado 29 recomendaciones en versión preliminar para aumentar la cobertura de Azure Security
Benchmark.
Se ha agregado NIST SP 800 171 R2 al panel de cumplimiento normativo de Security Center.
La lista de recomendaciones ahora incluye filtros
Mejora y ampliación de la experiencia de aprovisionamiento automático
La puntuación de seguridad ahora está disponible en la exportación continua (versión preliminar)
La recomendación "Las actualizaciones del sistema deben estar instaladas en las máquinas" ahora incluye
recomendaciones secundarias
En la página de administración de directivas de Azure Portal ahora se muestra el estado de las asignaciones
de directivas predeterminadas
Se han agregado 29 recomendaciones en versión preliminar para aumentar la cobertura de Azure Security
Benchmark.
Azure Security Benchmark es el conjunto de directrices específico de Azure creado por Microsoft para ofrecer
los procedimientos recomendados de seguridad y cumplimiento basados en marcos de cumplimiento comunes.
Mas información sobre Azure Security Benchmark.
Se han agregado a Security Center las siguientes 29 recomendaciones en versión preliminar para aumentar la
cobertura de la prueba comparativa.
Las recomendaciones de la versión preliminar no representan un recurso incorrecto y no se incluyen en los
cálculos de una puntuación segura. Corríjalas siempre que sea posible, de tal forma que, cuando finalice el
período de versión preliminar, contribuyan a la puntuación. Puede encontrar más información sobre cómo
responder a estas recomendaciones en Recomendaciones de corrección en Azure Security Center.

C O N T RO L DE SEGURIDA D N UEVA S REC O M EN DA C IO N ES

Cifrado de los datos en tránsito - La aplicación de la conexión SSL debe estar habilitada para
los servidores de base de datos PostgreSQL.
- La aplicación de la conexión SSL debe estar habilitada para
los servidores de bases de datos MySQL.
- TLS debe actualizarse a la versión más reciente en la
aplicación de API.
- TLS debe actualizarse a la versión más reciente en la
aplicación de funciones.
- TLS debe actualizarse a la versión más reciente en la
aplicación web.
- Es necesario exigir FTPS en la aplicación de API.
- Es necesario exigir FTPS en la aplicación de funciones.
- Es necesario exigir FTPS en la aplicación web.

Administración de acceso y permisos - Las aplicaciones web deben solicitar un certificado SSL a
todas las solicitudes entrantes.
- Se debe usar una identidad administrada en la aplicación
de API.
- Se debe usar una identidad administrada en la aplicación
de funciones.
- Se debe usar una identidad administrada en la aplicación
web.
 C O N T RO L DE SEGURIDA D N UEVA S REC O M EN DA C IO N ES

Restricción de los accesos de red no autorizados - El punto de conexión privado debe estar habilitado para
servidores PostgreSQL.
- El punto de conexión privado debe estar habilitado para
servidores MariaDB.
- El punto de conexión privado debe estar habilitado para
servidores MySQL.

Habilitar auditoría y registro - Los registros de diagnóstico de App Services deben estar
habilitados

Implementación de procedimientos recomendados de - Azure Backup debería habilitarse en las máquinas virtuales.
seguridad - La copia de seguridad con redundancia geográfica debe
estar habilitada para Azure Database for MariaDB.
- La copia de seguridad con redundancia geográfica debe
estar habilitada para Azure Database for MySQL.
- La copia de seguridad con redundancia geográfica debe
estar habilitada para Azure Database for PostgreSQL.
- PHP debe actualizarse a la versión más reciente en la
aplicación de API.
- PHP debe actualizarse a la versión más reciente en la
aplicación web.
- Java debe actualizarse a la versión más reciente en la
aplicación de API.
- Java debe actualizarse a la versión más reciente en la
aplicación de funciones.
- Java debe actualizarse a la versión más reciente en la
aplicación web.
- Python debe actualizarse a la versión más reciente en la
aplicación de API.
- Python debe actualizarse a la versión más reciente en la
aplicación de funciones.
- Python debe actualizarse a la versión más reciente en la
aplicación web.
- La retención de la auditoría en los servidores SQL Server
debe establecerse en 90 días, como mínimo.

Vínculos relacionados:
Más información sobre Azure Security Benchmark
Más información sobre las aplicaciones de API de Azure
Más información sobre las aplicaciones de funciones de Azure
Más información sobre las aplicaciones web de Azure
Más información sobre Azure Database for MariaDB
Más información sobre Azure Database for MySQL
Más información sobre Azure Database for PostgreSQL
Se ha agregado NIST SP 800 171 R2 al panel de cumplimiento normativo de Security Center.
La norma NIST SP 800-171 R2 ahora está disponible como una iniciativa integrada para su uso con el panel de
cumplimiento normativo de Azure Security Center. Las asignaciones de los controles se describen en Detalles de
la iniciativa integrada de cumplimiento normativo NIST SP 800-171 R2.
Para aplicar la norma a sus suscripciones y supervisar continuamente el estado de cumplimiento, siga las
instrucciones que se describen en Personalización del conjunto de normas del panel de cumplimiento
normativo.
Para más información acerca de este estándar normativo, consulte NIST SP 800-171 R2.
La lista de recomendaciones ahora incluye filtros
Ahora puede filtrar la lista de recomendaciones de seguridad de acuerdo con una gama de criterios. En el
ejemplo siguiente, la lista de recomendaciones se ha filtrado para mostrar recomendaciones que:
estén disponibles con carácter general (es decir, no en versión preliminar).
sean para cuentas de almacenamiento .
admitan las correcciones de Corrección rápida .

Mejora y ampliación de la experiencia de aprovisionamiento automático

La característica de aprovisionamiento automático ayuda a reducir la sobrecarga de administración mediante la
instalación de las extensiones necesarias en máquinas virtuales de Azure nuevas y existentes para que puedan
beneficiarse de la protección de Security Center.
A medida que crece Azure Security Center, se han desarrollado más extensiones y Security Center puede
supervisar una lista más amplia de tipos de recursos. Las herramientas de aprovisionamiento automático ahora
se han ampliado para admitir otras extensiones y tipos de recursos que aprovechan las funcionalidades de
Azure Policy.
Ahora puede configurar el aprovisionamiento automático de:
 Agente de Log Analytics
(Nuevo) Complemento de Azure Policy para Kubernetes
(Nuevo) Microsoft Dependency Agent
Obtenga más información en Aprovisionamiento automático de agentes y extensiones de Azure Security Center.
La puntuación de seguridad ahora está disponible en la exportación continua (versión preliminar)
Con la exportación continua de la puntuación de seguridad, puede transmitir los cambios de la puntuación en
tiempo real a Azure Event Hubs o a un área de trabajo de Log Analytics. Use esta funcionalidad para:
Realizar un seguimiento de la puntuación de seguridad en el tiempo con informes dinámicos
Exportar datos de puntuación de seguridad a Azure Sentinel (o a cualquier otro SIEM)
Integrar estos datos con cualquier proceso que ya esté usando para supervisar la puntuación de seguridad
en la organización
Obtenga más información sobre la Exportación continua de datos de Security Center.
La recomendación "Las actualizaciones del sistema deben estar instaladas en las máquinas" ahora incluye
recomendaciones secundarias
La recomendación Las actualizaciones del sistema deben estar instaladas en las máquinas se ha
mejorado. La nueva versión incluye recomendaciones secundarias para cada actualización que falta y ofrece las
siguientes mejoras:
Una nueva experiencia en las páginas de Azure Security Center de Azure Portal. La página de detalles de
la recomendación Las actualizaciones del sistema deben estar instaladas en las máquinas
incluye la lista de conclusiones que se muestran a continuación. Al seleccionar una única búsqueda, se
abre el panel de detalles con un vínculo a la información de corrección y una lista de los recursos
afectados.
 Datos enriquecidos para la recomendación de Azure Resource Graph (ARG). ARG es un servicio de Azure
diseñado para proporcionar una exploración de recursos eficaz. Puede usar ARG para realizar consultas a
escala para un conjunto determinado de suscripciones a fin de controlar eficazmente su entorno.
Para Azure Security Center, puede usar ARG y el lenguaje de consulta Kusto (KQL) para consultar una
amplia variedad de datos de posición de seguridad.
Anteriormente, si consultaba esta recomendación en ARG, la única información disponible era que la
recomendación debía corregirse en una máquina. La siguiente consulta de la versión mejorada devolverá
las actualizaciones del sistema que faltan agrupadas por máquina.

securityresources
| where type =~ "microsoft.security/assessments/subassessments"
| where extract(@"(?i)providers/Microsoft.Security/assessments/([^/]*)", 1, id) == "4ab6e3c5-74dd-
8b35-9ab9-f61b30875b27"
| where properties.status.code == "Unhealthy"

En la página de administración de directivas de Azure Portal ahora se muestra el estado de las asignaciones de
directivas predeterminadas
Ahora puede ver si las suscripciones tienen la directiva de Security Center predeterminada asignada, en la
página Directiva de seguridad de Security Center en Azure Portal.
Octubre de 2020
Las actualizaciones de octubre incluyen:
Evaluación de vulnerabilidades para máquinas locales y en varias nubes (versión preliminar)
Recomendación sobre Azure Firewall agregada (versión preliminar)
La recomendación de que los intervalos IP autorizados deben definirse en los servicios de Kubernetes se ha
actualizado con una corrección rápida
El panel de cumplimiento normativo ahora incluye la opción para eliminar estándares
Tabla Microsoft.Security/securityStatuses quitada de Azure Resource Graph (ARG)
Evaluación de vulnerabilidades para máquinas locales y en varias nubes (versión preliminar)
El analizador de evaluación de vulnerabilidades integrado de Azure Defender para servidores (con tecnología de
Qualys) ahora analiza los servidores habilitados para Azure Arc.
Al habilitar Azure Arc en máquinas que no son de Azure, Security Center le ofrecerá la opción de implementar
en ellas el analizador de vulnerabilidades integrado, manualmente y a escala.
Con esta actualización, puede aprovechar toda la capacidad de Azure Defender para ser vidores para
consolidar su programa de administración de vulnerabilidades en todos sus recursos, tanto si son de Azure
como si no.
Principales funcionalidades:
Supervisión del estado de aprovisionamiento del analizador de evaluación de vulnerabilidades en máquinas
de Azure Arc.
Aprovisionamiento del agente de evaluación de vulnerabilidades integrado en máquinas de Azure Arc
Windows y Linux (manualmente y a escala).
Recepción y análisis de vulnerabilidades detectadas por agentes implementados (manualmente y a escala).
Experiencia unificada para máquinas virtuales de Azure y máquinas de Azure Arc.
Obtenga más información sobre la implementación del analizador de vulnerabilidades integrado en las
máquinas híbridas.
Obtenga más información sobre los servidores habilitados para Azure Arc.
Recomendación sobre Azure Firewall agregada (versión preliminar)
Se ha agregado una nueva recomendación para proteger todas las redes virtuales con Azure Firewall.
La recomendación Azure Firewall debe proteger las redes vir tuales le aconseja restringir el acceso a las
redes virtuales y evitar posibles amenazas mediante el uso de Azure Firewall.
Más información acerca de Azure Firewall.
La recomendación de que los intervalos IP autorizados deben definirse en los servicios de Kubernetes se ha
actualizado con una corrección rápida
La recomendación Authorized IP ranges should be defined on Kubernetes Ser vices (Los intervalos IP
autorizados deben definirse en los servicios de Kubernetes) ahora tiene una opción de corrección rápida.
Para más información sobre esta y todas las demás recomendaciones de Security Center, consulte Guía de
referencia sobre las recomendaciones de seguridad.

El panel de cumplimiento normativo ahora incluye la opción para eliminar estándares

En el panel de cumplimiento normativo de Security Center se proporciona información sobre su postura de
cumplimiento en función de cómo cumple los requisitos y controles de cumplimiento específicos.
El panel incluye un conjunto predeterminado de estándares normativos. Si alguno de ellos no es pertinente para
su organización, quitarlo de la interfaz de usuario ahora es un proceso sencillo en una suscripción. Los
estándares se pueden quitar solo en el nivel de suscripción, no en el ámbito del grupo de administración.
Encontrará más información en Eliminación de un estándar del panel.
Tabla Microsoft.Security/securityStatuses quitada de Azure Resource Graph (ARG )
Azure Resource Graph es un servicio de Azure diseñado para proporcionar una exploración de recursos eficaz
con la capacidad de consultar a escala a través de un conjunto especificado de suscripciones para que pueda
controlar eficazmente el entorno.
Para Azure Security Center, puede usar ARG y el lenguaje de consulta Kusto (KQL) para consultar una amplia
variedad de datos de posición de seguridad. Por ejemplo:
El inventario de recursos utiliza ARG.
 Hemos documentado una consulta de ARG de ejemplo sobre la Identificación de cuentas sin Multi-Factor
Authentication (MFA) habilitado.
En ARG hay tablas de datos que se pueden usar en las consultas.

TIP
La documentación de ARG muestra todas las tablas disponibles en la tabla de Azure Resource Graph y la referencia de
tipo de recurso.

A partir de esta actualización, se ha quitado la tabla Microsoft.Security/securityStatuses . La API

securityStatuses sigue estando disponible.
La tabla Microsoft.Security/Assessments puede usar sustitución de datos.
La diferencia principal entre Microsoft.Security/securityStatuses y Microsoft.Security/Assessments es que,
mientras que la primera muestra la agregación de las evaluaciones, la segunda contienen un único registro para
cada una.
Por ejemplo, Microsoft.Security/securityStatuses devolvería un resultado con una matriz de dos
policyAssessments:

{
id: "/subscriptions/449bcidd-3470-4804-ab56-2752595 felab/resourceGroups/mico-
rg/providers/Microsoft.Network/virtualNetworks/mico-rg-
vnet/providers/Microsoft.Security/securityStatuses/mico-rg-vnet",
name: "mico-rg-vnet",
type: "Microsoft.Security/securityStatuses",
properties: {
policyAssessments: [
{assessmentKey: "e3deicce-f4dd-3b34-e496-8b5381bazd7e", category: "Networking", policyName: "Azure
DDOS Protection Standard should be enabled",...},
{assessmentKey: "sefac66a-1ec5-b063-a824-eb28671dc527", category: "Compute", policyName: "",...}
],
securitystateByCategory: [{category: "Networking", securityState: "None" }, {category: "Compute",...],
name: "GenericResourceHealthProperties",
type: "VirtualNetwork",
securitystate: "High"
}
Por su parte, Microsoft.Security/Assessments contendrá un registro para cada una de estas evaluaciones de
directivas como se indica a continuación:

{
type: "Microsoft.Security/assessments",
id: "/subscriptions/449bc1dd-3470-4804-ab56-2752595f01ab/resourceGroups/mico-rg/providers/Microsoft.
Network/virtualNetworks/mico-rg-vnet/providers/Microsoft.Security/assessments/e3delcce-f4dd-3b34-e496-
8b5381ba2d70",
name: "e3deicce-f4dd-3b34-e496-8b5381ba2d70",
properties: {
resourceDetails: {Source: "Azure", Id: "/subscriptions/449bc1dd-3470-4804-ab56-
2752595f01ab/resourceGroups/mico-rg/providers/Microsoft.Network/virtualNetworks/mico-rg-vnet"...},
displayName: "Azure DDOS Protection Standard should be enabled",
status: (code: "NotApplicable", cause: "VnetHasNOAppGateways", description: "There are no Application
Gateway resources attached to this Virtual Network"...}
}

{
type: "Microsoft.Security/assessments",
id: "/subscriptions/449bc1dd-3470-4804-ab56-2752595f01ab/resourcegroups/mico-
rg/providers/microsoft.network/virtualnetworks/mico-rg-
vnet/providers/Microsoft.Security/assessments/80fac66a-1ec5-be63-a824-eb28671dc527",
name: "8efac66a-1ec5-be63-a824-eb28671dc527",
properties: {
resourceDetails: (Source: "Azure", Id: "/subscriptions/449bc1dd-3470-4804-ab56-
2752595f01ab/resourcegroups/mico-rg/providers/microsoft.network/virtualnetworks/mico-rg-vnet"...),
displayName: "Audit diagnostic setting",
status: {code: "Unhealthy"}
}

Ejemplo de conversión de una consulta de ARG existente usando securityStatuses para usar ahora
la tabla Assessments:
Consulta que hace referencia a SecurityStatuses:

SecurityResources
| where type == 'microsoft.security/securitystatuses' and properties.type == 'virtualMachine'
| where name in ({vmnames})
| project name, resourceGroup, policyAssesments = properties.policyAssessments, resourceRegion = location,
id, resourceDetails = properties.resourceDetails

Consulta de sustitución para la tabla Assessments:

securityresources
| where type == "microsoft.security/assessments" and id contains "virtualMachine"
| extend resourceName = extract(@"(?i)/([^/]*)/providers/Microsoft.Security/assessments", 1, id)
| extend source = tostring(properties.resourceDetails.Source)
| extend resourceId = trim(" ", tolower(tostring(case(source =~ "azure", properties.resourceDetails.Id,
source =~ "aws", properties.additionalData.AzureResourceId,
source =~ "gcp", properties.additionalData.AzureResourceId,
extract("^(.+)/providers/Microsoft.Security/assessments/.+$",1,id)))))
| extend resourceGroup = tolower(tostring(split(resourceId, "/")[4]))
| where resourceName in ({vmnames})
| project resourceName, resourceGroup, resourceRegion = location, id, resourceDetails =
properties.additionalData

Para más información, consulte los siguientes vínculos:

Creación de consultas con Azure Resource Graph Explorer
Lenguaje de consulta de Kusto (KQL)
 Próximos cambios importantes en Azure Security
Center
31/03/2021 • 11 minutes to read • Edit Online

IMPORTANT
La información de esta página está relacionada con productos o características en versión preliminar que pueden
modificarse sustancialmente antes de lanzarse comercialmente, si es que lo hacen finalmente. Microsoft no ofrece ningún
compromiso o garantía, ni expresa ni implícita, con respecto a la información que se proporciona aquí.

En esta página, obtendrá información sobre los cambios planeados para Security Center. Describe las
modificaciones planeadas en el producto que pueden afectar a aspectos como los flujos de trabajo o la
puntuación segura.
Si busca las notas de la versión más recientes, puede encontrarlas en Novedades de Azure Security Center.

Cambios planeados
C A M B IO P L A N EA DO F EC H A EST IM A DA DEL C A M B IO

Dos recomendaciones del control de seguridad "Aplicar Marzo de 2021

actualizaciones del sistema" entran en desuso

Desuso de 11 alertas de Azure Defender Marzo de 2021

21 recomendaciones de movimiento entre controles de Abril de 2021

seguridad

Otras dos recomendaciones del control de seguridad "Aplicar Abril de 2021

actualizaciones del sistema" entran en desuso

Las recomendaciones de AWS se lanzarán para disponibilidad Abril de 2021

general (GA)

Mejoras en la recomendación de clasificación de datos de Segundo trimestre de 2021

SQL

Dos recomendaciones del control de seguridad "Aplicar actualizaciones del sistema" entran en desuso
Fecha estimada del cambio: marzo de 2021
Las dos recomendaciones siguientes están programadas para dejar de usarse en febrero de 2021:
Las máquinas deben reiniciarse para aplicar las actualizaciones del sistema . Esto puede dar lugar a
un leve impacto en la puntuación de seguridad.
El agente de super visión debe instalarse en las máquinas . Esta recomendación solo está relacionada
con máquinas locales y parte de su lógica se transferirá a otra recomendación, Se deben resolver los
problemas de estado del agente de Log Analytics en las máquinas . Esto puede dar lugar a un leve
impacto en la puntuación de seguridad.
Se recomienda comprobar las configuraciones de exportación continua y de automatización del flujo de trabajo
para ver si estas recomendaciones están incluidas en ellas. Además, los paneles u otras herramientas de
supervisión que puedan estar usándolas se deben actualizar en consecuencia.
Más información sobre estas recomendaciones en la página de referencia de las recomendaciones de seguridad.
Desuso de 11 alertas de Azure Defender
Fecha estimada del cambio: marzo de 2021
El mes que viene, las once alertas de Azure Defender que se enumeran a continuación dejarán de usarse.
Las nuevas alertas reemplazarán estas dos y proporcionarán una mejor cobertura:

A L ERT T Y P E A L ERT DISP L AY N A M E

ARM_MicroBurstDomainInfo VERSIÓN PRELIMINAR: Se detectó la ejecución de la

función "Get-AzureDomainInfo" del kit de herramientas
de MicroBurst.

ARM_MicroBurstRunbook VERSIÓN PRELIMINAR: Se detectó la ejecución de la

función "Get-AzurePasswords" del kit de herramientas de
MicroBurst.

Estas nueve alertas se refieren a un conector de Azure Active Directory Identity Protection que ya está en
desuso:

A L ERT T Y P E A L ERT DISP L AY N A M E

UnfamiliarLocation Propiedades de inicio de sesión desconocidas

AnonymousLogin Dirección IP anónima

InfectedDeviceLogin Dirección IP vinculada al malware

ImpossibleTravel Viaje atípico

MaliciousIP Dirección IP malintencionada

LeakedCredentials Credenciales con fugas

PasswordSpray Difusión de contraseñas

LeakedCredentials Inteligencia de Azure AD sobre amenazas

AADAI IA de Azure AD

21 recomendaciones de movimiento entre controles de seguridad

Fecha estimada del cambio: abril de 2021
Las siguientes recomendaciones se van a mover a otro control de seguridad. Los controles de seguridad son
grupos lógico de recomendaciones de seguridad relacionadas y reflejan las superficies de ataque vulnerables.
Este traslado garantiza que cada una de estas recomendaciones está en el control más adecuado para cumplir
su objetivo.
Obtenga información sobre qué recomendaciones se encuentran en cada control de seguridad en Controles de
seguridad y sus recomendaciones.

REC O M EN DA C IÓ N C A M B IO E IM PA C TO

La evaluación de vulnerabilidades debe estar activada en sus Cambia de Corregir vulnerabilidades (con un valor de 6
servidores de SQL Server. puntos)
La evaluación de vulnerabilidad debe estar habilitada en las a Corregir configuraciones de seguridad (con un valor de 4
instancias administradas de SQL. puntos)
Las vulnerabilidades de sus bases de datos SQL deben En función del entorno, estas recomendaciones tendrán
remediarse ahora menor impacto en la puntuación.
Las vulnerabilidades de las bases de datos SQL en máquinas
virtuales deben corregirse

Debe haber más de un propietario asignado a su suscripción Cambia a Implementación de procedimientos

Las variables de cuenta de automatización deben cifrarse recomendados de seguridad .
Dispositivos IoT: el proceso auditado dejó de enviar eventos. Cuando una recomendación pasa al control de seguridad
Dispositivos IoT: error de validación de línea base del sistema Implementar prácticas recomendadas de seguridad, que no
operativo vale ningún punto, la recomendación deja de afectar a la
Dispositivos IoT: es preciso actualizar el conjunto de cifrado puntuación segura.
de TLS.
Dispositivos IoT: puertos abiertos en el dispositivo.
Dispositivos IoT: se encontró una directiva de firewall
permisiva en una de las cadenas.
Dispositivos IoT: se encontró una regla de firewall permisiva
en la cadena de entrada.
Dispositivos IoT: se encontró una regla de firewall permisiva
en la cadena de salida.
Los registros de diagnóstico de IoT Hub deben estar
habilitados
Dispositivos IoT: mensajes infrautilizados de envío del
agente.
Dispositivos IoT: la directiva de filtro de IP predeterminada
debe ser Denegar.
Dispositivos IoT: intervalo de IP amplio de la regla del filtro
de IP.
Dispositivos IoT: se deben ajustar tanto el tamaño como los
intervalos de los mensajes de los agentes
Dispositivos IoT: credenciales de autenticación idénticas
Dispositivos IoT: el proceso auditado dejó de enviar eventos.
Dispositivos IoT: la configuración de la línea base del sistema
operativo (SO) debe corregirse

Otras dos recomendaciones del control de seguridad "Aplicar actualizaciones del sistema" entran en desuso
Fecha estimada del cambio: abril de 2021
Las dos recomendaciones siguientes están en desuso:
La versión del sistema operativo debe actualizarse en los roles del ser vicio en la nube : de
manera predeterminada, Azure actualiza periódicamente el sistema operativo invitado a la imagen
compatible más reciente dentro de la familia de sistema operativo que ha especificado en la configuración
del servicio (.cscfg), como Windows Server 2016.
Los ser vicios de Kubernetes deben actualizarse a una versión de Kubernetes no vulnerable : las
evaluaciones de esta recomendación no son tan amplias como nos gustaría. La versión actual de esta
recomendación se reemplazará finalmente por una versión mejorada que se ajuste más a las necesidades de
seguridad de los clientes.
Las recomendaciones de AWS se lanzarán para disponibilidad general (GA )
Fecha estimada del cambio: abril de 2021
Azure Security Center protege las cargas de trabajo de Azure, Amazon Web Services (AWS) y Google Cloud
Platform (GCP).
Las recomendaciones que provienen de AWS Security Hub han estado en versión preliminar desde que se
introdujeron los conectores en la nube. Las recomendaciones marcadas como Versión preliminar no se
incluyen en los cálculos de la puntuación segura, sino que deben corregirse siempre que sea posible, de modo
que cuando el período de versión preliminar finalice, contribuyan a la puntuación.
Con este cambio, dos conjuntos de recomendaciones de AWS pasarán a disponibilidad general:
Controles de PCI DSS de Security Hub
Controles del banco de pruebas de CIS AWS Foundations de Security Hub
Cuando se encuentren en versión de disponibilidad general y las evaluaciones se ejecuten en los recursos de
AWS, los resultados afectarán a la puntuación segura combinada para todos los recursos de nube híbrida y
multinube.
Mejoras en la recomendación de clasificación de datos de SQL
Fecha estimada del cambio: Segundo trimestre de 2021
La recomendación Los datos confidenciales de las bases de datos SQL deben clasificarse del control
de seguridad Aplicación de la clasificación de datos se reemplazará por una nueva versión que esté más
alineada con la estrategia de clasificación de datos de Microsoft. Como consecuencia, el identificador de la
recomendación también cambiará (actualmente es b0df6f56-862d-4730-8597-38c0fd4ebd59).

Pasos siguientes
Para ver todos los cambios recientes realizados en el producto, consulte Novedades de Azure Security Center.
 Plataformas compatibles
30/03/2021 • 3 minutes to read • Edit Online

En esta página se muestran las plataformas y los entornos compatibles con Azure Security Center.

Combinaciones de entornos
Azure Security Center admite máquinas virtuales y servidores en diferentes tipos de entornos híbridos:
Solo Azure
Azure y entorno local
Azure y otras nubes
Azure, otras nubes y entorno local
En el caso de un entorno de Azure activado en una suscripción de Azure, Azure Security Center detectará
automáticamente los recursos de IaaS que se implementan en la suscripción.

Sistemas operativos admitidos

Security Center depende del agente de Log Analytics. Asegúrese de que las máquinas ejecutan uno de los
sistemas operativos compatibles con este agente, como se describe en las siguientes páginas:
Sistemas operativos Windows compatibles con el agente de Log Analytics
Sistemas operativos Linux compatibles con el agente de Log Analytics
Asegúrese también de que el agente de Log Analytics esté configurado correctamente para enviar datos a
Security Center
Para obtener más información acerca de las características de Security Center específicas que están disponibles
en Windows y Linux, consulte Cobertura de características para máquinas.

NOTE
Aunque Azure Defender está diseñado para proteger servidores, la mayoría de las funcionalidades de Azure Defender
para ser vidores son compatibles con máquinas con Windows 10. Una característica que no se admite actualmente es la
solución EDR integrada de Security Center: Microsoft Defender para punto de conexión.

Servicios de máquinas virtuales administradas

También se crean máquinas virtuales en una suscripción de cliente como parte de algunos servicios
administrados de Azure, como Azure Kubernetes (AKS), Azure Databricks, etc. Security Center detecta también
estas máquinas virtuales y el agente de Log Analytics se puede instalar y configurar si hay disponible un sistema
operativo compatible.

Cloud Services
También se admiten máquinas virtuales que se ejecuten en un servicio en la nube. Se supervisan los roles de
trabajo y web de servicios en la nube que se ejecutan en espacios de producción. Para más información sobre
Cloud Services, consulte la información general sobre Azure Cloud Services.
También se admite la protección para las máquinas virtuales que residan en Azure Stack Hub. Para más
información acerca de la integración de Security Center con Azure Stack Hub, consulte el artículo sobre
incorporación de máquinas virtuales de Azure Stack Hub a Security Center.

Pasos siguientes
Obtenga información sobre cómo Security Center recopila datos mediante el agente de Log Analytics.
Obtenga información sobre cómo Security Center administra y protege los datos.
Aprenda a planear y entender las consideraciones de diseño para adoptar Azure Security Center.
 Cobertura de características para las máquinas
13/03/2021 • 8 minutes to read • Edit Online

En las dos tablas siguientes se muestran las características de Azure Security Center disponibles para las
máquinas virtuales y los servidores Windows y Linux.

Características admitidas para máquinas virtuales y servidores

Máquinas Windows
Máquinas Linux

A Z URE VIRT UA L M Á Q UIN A S

A Z URE VIRT UA L M A C H IN E SC A L E H A B IL ITA DA S PA RA A Z URE DEF EN DER
C A RA C T ERÍST IC A M A C H IN ES SET S A Z URE A RC N EC ESA RIO

Integración de ✔ ✔ ✔ Sí
Microsoft Defender ✔ (en versiones ✔ (en versiones
for Endpoint admitidas) admitidas)

Análisis del ✔ ✔ ✔ Sí
comportamiento de
máquinas virtuales (y
alertas de seguridad)

Alertas de seguridad ✔ ✔ ✔ Sí
sin archivos

Alertas de seguridad ✔ ✔ - Sí
basadas en la red

Acceso de máquina ✔ - - Sí
virtual Just-In-Time

Evaluación de ✔ - ✔ Sí
vulnerabilidades
nativa

Supervisión de la ✔ ✔ ✔ Sí
integridad de los
archivos

Controles de ✔ - ✔ Sí
aplicación adaptables

Mapa de red ✔ ✔ - Sí

Protección de red ✔ - - Sí
adaptable

Panel e informes de ✔ ✔ ✔ Sí
cumplimiento
normativo
 A Z URE VIRT UA L M Á Q UIN A S
A Z URE VIRT UA L M A C H IN E SC A L E H A B IL ITA DA S PA RA A Z URE DEF EN DER
C A RA C T ERÍST IC A M A C H IN ES SET S A Z URE A RC N EC ESA RIO

Recomendaciones y - - - Sí
protección frente a
amenazas en
contenedores IaaS
hospedados en
Docker

Evaluación de ✔ ✔ ✔ Azure: No
revisiones de SO que
faltan Habilitada para Arc:
Sí

Evaluación de ✔ ✔ ✔ Azure: No
configuraciones de
seguridad incorrectas Habilitada para Arc:
Sí

Evaluación de ✔ ✔ ✔ Azure: No
EndPoint Protection
Habilitada para Arc:
Sí

Evaluación de Disk ✔ ✔ - No
Encryption (para escenarios
admitidos)

Evaluación de ✔ - ✔ No
vulnerabilidades de
terceros

Evaluación de la ✔ ✔ - No
seguridad de red

TIP
Para experimentar con características que solo están disponibles con Azure Defender, puede inscribirse en una evaluación
de treinta días. Consulte la página de preciospara obtener más información.

Soluciones de protección de punto de conexión compatibles

En la tabla siguiente se proporciona una matriz de:
Si puede usar Azure Security Center para instalar cada solución para usted.
Qué soluciones de protección de punto de conexión puede detectar Security Center. Si se detecta una de las
soluciones de protección de punto de conexión de esta lista, Security Center no recomendará instalar
ninguna.
Para más información sobre cuándo se generan recomendaciones para cada una de estas protecciones, vea
Evaluación y recomendaciones de Endpoint Protection.
 IN STA L A C IÓ N DE SEC URIT Y DET EC C IÓ N DE SEC URIT Y
EN DP O IN T P ROT EC T IO N P L ATA F O RM A S C EN T ER C EN T ER

Antivirus de Windows Server 2016 o No, se integra en el sistema Sí

Microsoft Defender posterior operativo.

System Center Endpoint Windows Server 2012 R2, Mediante extensión Sí

Protection (Microsoft 2012, 2008 R2 (consulte la
Antimalware) nota que hay a
continuación)

Trend Micro: Deep Security Familia de Windows Server No Sí

Symantec v12.1.1100+ Familia de Windows Server No Sí

McAfee v10 o posterior Familia de Windows Server No Sí

McAfee v10 o posterior Familia de Linux Server No Sí

Sophos V9+ Familia de Linux Server No Sí

NOTE
La detección de System Center Endpoint Protection (SCEP) en una máquina virtual de Windows Server 2008 R2 requiere
que SCEP se instale después de PowerShell 0 (v3.0 o una versión superior).

Compatibilidad de características en las nubes gubernamentales

SERVIC IO O C A RA C T ERÍST IC A US GO V C H IN A GO V

Acceso a máquinas virtuales Just-In- ✔ ✔

Time (1)

Supervisión de la integridad de los ✔ ✔

archivos (1)

Controles de aplicaciones adaptables ✔ ✔

(1)

Protección de red adaptable (1) - -

Protección de hosts de Docker (1) ✔ ✔

Evaluación integrada de - -
vulnerabilidades para las máquinas (1)

Microsoft Defender para puntos de ✔ -

conexión (1)

Conexión de cuentas de AWS (1) - -

Conexión de cuentas de GCP (1) - -

 SERVIC IO O C A RA C T ERÍST IC A US GO V C H IN A GO V

Exportación continua ✔ ✔

Automatización de flujos de trabajo ✔ ✔

(versión preliminar)

Reglas de exención de - -
recomendaciones

Reglas de eliminación de alertas ✔ ✔

Notificaciones de correo electrónico ✔ ✔

para alertas de seguridad

Inventario de recursos ✔ ✔

Azure Defender para App Service - -

Azure Defender para Storage ✔ -

Azure Defender para SQL ✔ ✔ (2)

Azure Defender para Key Vault - -

Azure Defender para Resource - -

Manager

Azure Defender para DNS - -

Azure Defender para registros de ✔ (2) ✔ (2)

contenedor

Azure Defender para Kubernetes ✔ ✔

Protección de cargas de trabajo de ✔ ✔

Kubernetes

(1) Se requiere Azure Defender para ser vidores .

(2) Parcial.

Pasos siguientes
Obtenga información sobre cómo Security Center recopila datos mediante el agente de Log Analytics.
Obtenga información sobre cómo Security Center administra y protege los datos.
Revise las plataformas compatibles con Security Center.
 Cobertura de características para los servicios de
PaaS de Azure
09/04/2021 • 2 minutes to read • Edit Online

En esta tabla se muestra la disponibilidad de características de Azure Security Center para los recursos de PaaS
de Azure compatibles.

EVA L UA C IÓ N DE
REC O M EN DA C IO N ES A L ERTA S DE SEGURIDA D VUL N ERA B IL IDA DES ( A Z URE
SERVIC IO ( GRAT UITO ) ( A Z URE DEF EN DER) DEF EN DER)

Azure App Service ✔ ✔ -

Cuenta de Azure ✔ - -
Automation

Cuenta de Azure Batch ✔ - -

Azure Blob Storage ✔ ✔ -

Azure Cache for Redis ✔ - -

Azure Cloud Services ✔ - -

Azure Cognitive Search ✔ - -

Azure Container Registry - - ✔

Azure Cosmos DB* - ✔ -

Análisis con Azure Data ✔ - -

Lake

Azure Data Lake Storage ✔ ✔ -

Azure Database for MySQL* - ✔ -

Azure Database for - ✔ -

PostgreSQL*

Espacio de nombres de ✔ - -
Azure Event Hubs

Aplicación Azure Functions ✔ - -

Azure Key Vault ✔ ✔ -

Azure Kubernetes Service ✔ ✔ -

 EVA L UA C IÓ N DE
REC O M EN DA C IO N ES A L ERTA S DE SEGURIDA D VUL N ERA B IL IDA DES ( A Z URE
SERVIC IO ( GRAT UITO ) ( A Z URE DEF EN DER) DEF EN DER)

Azure Load Balancer ✔ - -

Azure Logic Apps ✔ - -

Azure SQL Database ✔ ✔ ✔

Instancia administrada de ✔ ✔ ✔
Azure SQL

Espacio de nombres de ✔ - -
Azure Service Bus

Cuenta de Azure ✔ - -
Service Fabric

Cuentas de Azure Storage ✔ ✔ -

Azure Stream Analytics ✔ - -

Suscripción de Azure ✔ ** ✔ -

Azure Virtual Network ✔ - -

(incl. subredes, NIC y
grupos de seguridad de
red)

* Estas características se admiten actualmente en la versión preliminar.

** Las recomendaciones de Azure Active Directory (Azure AD) solo están disponibles para las suscripciones con
Azure Defender habilitado.
 Permisos en Azure Security Center
30/03/2021 • 4 minutes to read • Edit Online

Azure Security Center usa el control de acceso basado en rol de Azure (Azure RBAC), que proporciona roles
integrados que se pueden asignar a usuarios, grupos y servicios en Azure.
Security Center evalúa la configuración de los recursos para identificar problemas de seguridad y
vulnerabilidades. En Security Center, solo se muestra información relacionada con un recurso cuando tiene
asignado el rol de Propietario, Colaborador o Lector a la suscripción o grupo de recursos al que pertenece un
recurso.
Además de estos roles, hay dos roles específicos de Security Center:
Lector de seguridad : un usuario que pertenece a este rol tiene derechos de visualización en Security
Center. El usuario puede ver las recomendaciones, las alertas, una directiva de seguridad y los estados de
seguridad, pero no puede realizar cambios.
Administrador de seguridad : un usuario que pertenece a este rol tiene los mismos derechos que el lector
de seguridad, y puede actualizar la directiva de seguridad y descartar las alertas y las recomendaciones.

NOTE
Los roles de seguridad Lector de seguridad y Administrador de seguridad solo tienen acceso a Security Center. Los roles
de seguridad descritos no tienen acceso a otras áreas de servicio de Azure, como Storage, Web y móvil o Internet de las
cosas.

Roles y acciones permitidas

En la siguiente tabla se muestran los roles y las acciones permitidas en Security Center.

C O L A B O RA DO R
DEL GRUP O DE
REC URSO S /
L EC TO R DE P RO P IETA RIO C O L A B O RA DO R
SEGURIDA D / A DM IN IST RA DO DEL GRUP O DE DE L A P RO P IETA RIO DE
A C C IÓ N L EC TO R R DE SEGURIDA D REC URSO S SUSC RIP C IÓ N L A SUSC RIP C IÓ N

Editar directivas - ✔ - - ✔
de seguridad

Agregar o - - - - ✔
asignar
iniciativas
(incluidas las
normas de
cumplimiento
normativo)

Habilitación o - ✔ - - ✔
deshabilitación
de Azure
Defender
 C O L A B O RA DO R
DEL GRUP O DE
REC URSO S /
L EC TO R DE P RO P IETA RIO C O L A B O RA DO R
SEGURIDA D / A DM IN IST RA DO DEL GRUP O DE DE L A P RO P IETA RIO DE
A C C IÓ N L EC TO R R DE SEGURIDA D REC URSO S SUSC RIP C IÓ N L A SUSC RIP C IÓ N

Habilitar o - ✔ - ✔ ✔
deshabilitar el
aprovisionamient
o automático

Aplicar - - ✔ ✔ ✔
recomendacione
s de seguridad
en un recurso
(y utilizar la
corrección
rápida)

Descartar alertas - ✔ - ✔ ✔

Ver alertas y ✔ ✔ ✔ ✔ ✔
recomendacione
s

NOTE
Es recomendable que asigne el rol de menos permisos que los usuarios necesiten para realizar sus tareas. Por ejemplo,
asigne el rol Lector a los usuarios que solo necesiten ver información sobre el estado de seguridad de los recursos, pero
no llevar a cabo acciones como aplicar recomendaciones o editar directivas.

Pasos siguientes
En este artículo se ha explicado cómo Security Center usa RBAC de Azure para asignar permisos a los usuarios e
identifica las acciones permitidas para cada rol. Ahora que ya está familiarizado con las asignaciones de roles
necesarios para supervisar el estado de seguridad de su suscripción, editar directivas de seguridad y aplicar
recomendaciones, aprenderá los siguientes conceptos:
Establecer directivas de seguridad en Security Center
Administrar recomendaciones de seguridad en Security Center
Responder a alertas de seguridad en Security Center
Supervisar soluciones de seguridad de asociados
 Azure Security Center gratuito frente a Azure
Defender habilitado
31/03/2021 • 17 minutes to read • Edit Online

Azure Defender es gratis durante los primeros 30 días. Después de 30 días, si decide continuar usando el
servicio, empezaremos a cobrar automáticamente el uso.
Puede actualizar el producto desde la página Precios y configuración , tal y como se describe en Inicio rápido:
Habilitación de Azure Defender. Para obtener información sobre los precios en la moneda de su elección y de
acuerdo con su región, consulte los precios de Security Center.

¿Cuáles son las ventajas de habilitar Azure Defender?

Security Center se ofrece en dos modos:
Azure Defender DESACTIVADO (Gratis): Security Center sin Azure Defender está habilitado en todas
las suscripciones de Azure la primera vez que visite el panel de Azure Security Center en Azure Portal, o si
se habilitó mediante programación a través de una API. Este modo gratis proporciona recomendaciones
de directivas de seguridad, de evaluación continua de la seguridad y de seguridad que requieren acción
para que pueda proteger sus recursos de Azure.
Azure Defender ACTIVADO : la habilitación de Azure Defender amplía las capacidades del nivel Gratis a
las cargas de trabajo que se ejecutan en nubes privadas y otras nubes públicas, lo que ofrece una
administración de seguridad unificada y protección contra amenazas en todas sus cargas de trabajo de
nube híbrida. Algunas de las principales características de Azure Defender:
Microsoft Defender for Endpoint : Azure Defender para servidores incluye Microsoft Defender for
Endpoint para una completa detección y respuesta de puntos de conexión (EDR). Obtenga más
información sobre las ventajas de usar Microsoft Defender for Endpoint junto con Azure Defender en
Uso de la solución EDR integrada de Security Center.
Detección de vulnerabilidades de máquinas vir tuales y registros de contenedor :
implemente fácilmente un escáner en todas las máquinas virtuales que proporciona la solución más
avanzada del sector para la administración de vulnerabilidades. Vea, investigue y corrija los hallazgos
directamente dentro de Security Center.
Seguridad híbrida : Obtenga una vista unificada de la seguridad de todas sus cargas de trabajo
locales y en la nube. Aplique directivas de seguridad y evalúe constantemente la seguridad de las
cargas de trabajo de nube híbrida para garantizar el cumplimiento normativo con los estándares de
seguridad. Recopile, busque y analice datos de seguridad de varios orígenes, incluidos firewalls y otras
soluciones de partners.
Aler tas de protección contra amenazas : el análisis de comportamiento avanzado y Microsoft
Intelligent Security Graph proporcionan una ventaja frente a los ataques cibernéticos en evolución. La
funcionalidad integrada de análisis del comportamiento y aprendizaje automático puede identificar
ataques y vulnerabilidades de seguridad de día cero. Supervise las redes, las máquinas y los servicios
en la nube para detectar ataques entrantes y actividad posterior a una infracción de seguridad.
Optimice la investigación con herramientas interactivas e inteligencia de amenazas contextual.
Controles de acceso y de aplicación : bloquee el malware y otras aplicaciones no deseadas
aplicando recomendaciones de basadas en el aprendizaje automático, adaptadas a sus cargas de
trabajo específicas, para crear listas de permitidos y denegados. Reduzca la superficie de la red que
está expuesta a ataques mediante un acceso Just-In-Time controlado a los puertos de administración
 de las VM de Azure. Los controles de acceso y de aplicación reducen drásticamente la exposición a
ataques por fuerza bruta y otros tipos de ataque de red.
Características de seguridad de contenedor : Aproveche la administración de vulnerabilidades y
la protección contra amenazas en tiempo real en los entornos en contenedores. Al habilitar Azure
Defender para registros de contenedor , pueden pasar hasta 12 horas para que se habiliten todas
las características. Los cargos se basan en el número de imágenes de contenedor únicas insertadas en
el registro conectado. Una vez que se haya analizado una imagen, no se le cobrará de nuevo a menos
que se modifique e inserte una vez más.
Protección contra amenazas con amplitud para recursos conectados al entorno de Azure :
Azure Defender incluye protección contra amenazas con amplitud nativa de Azure para los servicios
de Azure comunes a todos los recursos: Azure Resource Manager, Azure DNS, capa de red de Azure y
Azure Key Vault. Azure Defender tiene una visibilidad exclusiva de la capa de administración de Azure
y la capa de Azure DNS, y, por tanto, puede proteger los recursos en la nube que están conectados a
esas capas.

Preguntas frecuentes sobre precios y facturación

¿Cómo se puede realizar un seguimiento de las personas de mi organización que habilitaron cambios de
Azure Defender en Security Center?
¿Cuáles son los planes que ofrece Security Center?
¿Cómo habilito Azure Defender para mi suscripción?
¿Puedo habilitar Azure Defender para servidores en un subconjunto de servidores de mi suscripción?
Si tengo una licencia de Microsoft Defender para punto de conexión, ¿puedo obtener un descuento en Azure
Defender?
Mi suscripción tiene Azure Defender para servidores habilitado, ¿pagaré por los servidores que no estén en
ejecución?
¿Se me cobrará por máquinas sin el agente de Log Analytics instalado?
Si un agente de Log Analytics envía notificaciones a diversas áreas de trabajo, ¿se me cobrará varias veces?
Si un agente de Log Analytics envía notificaciones a varias áreas de trabajo, ¿la ingesta de datos gratuita de
500 MB estará disponible en todas ellas?
¿Se calcula la ingesta de 500 MB de datos gratis para todo el área de trabajo o estrictamente por máquina?
¿Qué tipos de datos se incluyen en la asignación diaria de datos de 500 MB?
¿Cómo se puede realizar un seguimiento de las personas de mi organización que habilitaron cambios de
Azure Defender en Security Center?
Las suscripciones de Azure pueden tener varios administradores con permisos para cambiar la configuración de
precios. Para averiguar qué usuario realizó un cambio, use el registro de actividad de Azure.
Si la información del usuario no aparece en la columna Evento iniciado por , explore el JSON del evento para
ver los detalles pertinentes.

¿Cuáles son los planes que ofrece Security Center?

Security Center tiene dos ofertas:
Azure Security Center gratis
Azure Defender
¿Cómo habilito Azure Defender para mi suscripción?
Puede usar cualquiera de los siguientes métodos para habilitar Azure Defender para su suscripción:

M ÉTO DO IN ST RUC C IO N ES

Páginas de Azure Security Center en Azure Portal Habilitación de Azure Defender

API DE REST API de precios

Azure CLI az security pricing

PowerShell Set-AzSecurityPricing

Azure Policy Precios de conjunto

¿Puedo habilitar Azure Defender para servidores en un subconjunto de servidores de mi suscripción?

No. Al habilitar Azure Defender para servidores en una suscripción, Azure Defender protegerá todos los
servidores de la suscripción.
Una alternativa es habilitar Azure Defender para servidores en el nivel de área de trabajo de Log Analytics. Si lo
hace, solo se protegerán y facturarán los servidores que envían notificaciones a esa área de trabajo. Sin
embargo, varias funcionalidades no estarán disponibles, como el acceso a máquina virtual Just-in-Time, las
detecciones de red, el cumplimiento normativo, la protección de red adaptable y los controles de aplicaciones
adaptables, entre otras.
Si tengo una licencia de Microsoft Defender para punto de conexión, ¿puedo obtener un descuento en Azure
Defender?
Si ya tiene una licencia de Microsoft Defender para punto de conexión, no tendrá que pagar esa parte de la
licencia de Azure Defender.
Para confirmar su descuento, póngase en contacto con el equipo de soporte técnico de Security Center y
especifique el identificador de área de trabajo, la región y la información de licencia pertinentes de cada licencia.
Mi suscripción tiene Azure Defender para servidores habilitado, ¿pagaré por los servidores que no estén en
ejecución?
No. Si habilita Azure Defender para servidores en una suscripción, no se le cobrará por las máquinas que estén
en el estado de energía desasignado mientras estén en ese estado. Las máquinas se facturan según su estado de
energía, como se muestra en la tabla siguiente:

FA C T URA C IÓ N DEL USO DE L A

STAT E DESC RIP C IÓ N IN STA N C IA

Iniciando La máquina virtual se está iniciando. No facturado

En ejecución Estado de funcionamiento normal para Facturado

una máquina virtual

Deteniéndose Se trata de un estado transitorio. Facturado

Cuando haya terminado, aparecerá
como Detenido.

Detenido Se ha apagado la máquina virtual Facturado

desde dentro del sistema operativo
invitado o está utilizando las API de
PowerOff. El hardware aún está
asignado a la máquina virtual y
permanece en el host.

Desasignando Estado transitorio. Cuando haya No facturado

terminado, la máquina virtual
aparecerá como Desasignado.

Desasignado La máquina virtual se ha detenido No facturado

correctamente y se ha eliminado del
host.

¿Se me cobrará por máquinas sin el agente de Log Analytics instalado?

Sí. Al habilitar Azure Defender para servidores en una suscripción, las máquinas de esa suscripción obtienen una
serie de protecciones incluso si no ha instalado el agente de Log Analytics.
Si un agente de Log Analytics envía notificaciones a diversas áreas de trabajo, ¿se me cobrará varias veces?
Sí. Si ha configurado el agente de Log Analytics para enviar datos a dos o más áreas de trabajo de Log Analytics
diferentes (hospedaje múltiple), se le cobrará por cada área de trabajo que tenga instaladas soluciones de
seguridad o antimalware.
Si un agente de Log Analytics envía notificaciones a varias áreas de trabajo, ¿la ingesta de datos gratuita de
500 MB estará disponible en todas ellas?
Sí. Si ha configurado el agente de Log Analytics para enviar datos a dos o más áreas de trabajo de Log Analytics
diferentes (hospedaje múltiple), obtendrá una ingesta de datos gratuita de 500 MB. Se calcula por nodo, por
área de trabajo notificada y por día, y está disponible para cada área de trabajo que tenga instaladas soluciones
de seguridad o antimalware. Se le cobrarán los datos ingeridos por encima de 500 MB.
¿Se calcula la ingesta de 500 MB de datos gratis para todo el área de trabajo o estrictamente por máquina?
Obtendrá una ingesta de 500 MB de datos gratis al día para cada una de las máquinas conectadas al área de
trabajo. Específicamente para tipos de datos de seguridad recopilados directamente por Azure Security Center.
Estos datos son una tasa diaria promediada en todos los nodos. Por tanto, aunque algunas máquinas envíen
100 MB y otras 800 MB, si el total no supera el límite gratuito de [número de máquinas] x 500 MB , no se le
cobrará ningún cargo adicional.
¿Qué tipos de datos se incluyen en la asignación diaria de datos de 500 MB?
La facturación de Security Center está estrechamente vinculada a la facturación de Log Analytics. Security Center
proporciona una asignación de 500 MB/nodo/día frente al siguiente subconjunto de tipos de datos de
seguridad:
WindowsEvent
SecurityAlert
SecurityBaseline
SecurityBaselineSummary
SecurityDetection
SecurityEvent
WindowsFirewall
MaliciousIPCommunication
LinuxAuditLog
SysmonEvent
ProtectionStatus
Los tipos de datos Update y UpdateSummary cuando la solución Update Management no se está ejecutando
en el área de trabajo o el destino de la solución está habilitado.
Si el área de trabajo está en el plan de tarifa heredado por nodo, las asignaciones de Security Center y Log
Analytics se combinan y se aplican conjuntamente a todos los datos ingeridos facturables.

Pasos siguientes
En este artículo se explican las opciones de precios de Security Center. Para obtener material relacionado,
consulte:
Optimización de los costos de la carga de trabajo de Azure
Detalles de precios en la moneda de su elección y según su región
Quizá quiera administrar los costos y limitar la cantidad de datos recopilados para una solución mediante la
limitación a un conjunto determinado de agentes. La selección de destino de solución permite aplicar un
ámbito a la solución y tener como destino un subconjunto de equipos en el área de trabajo. Si usa la
selección de destino de solución, Security Center muestra el área de trabajo como si no tuviera una solución.
 Inicio rápido: Configuración de Azure Security
Center
22/03/2021 • 4 minutes to read • Edit Online

Azure Security Center proporciona administración unificada de la seguridad y protección contra amenazas para
cargas de trabajo híbridas y de varias nubes. Aunque las características gratuitas solo ofrecen una seguridad
limitada para los recursos de Azure, al habilitar Azure Defender, se amplían estas funcionalidades tanto en un
entorno local como en otras nubes. Azure Defender le ayuda a encontrar y corregir los puntos vulnerables de
seguridad, aplicar controles de acceso y de aplicación para bloquear actividades malintencionadas, detectar
amenazas mediante análisis e inteligencia, y responder rápidamente en caso de ataque. Puede probar Azure
Defender sin costo alguno. Para más información, consulte la página de precios.
Esta sección de inicio rápido le guiará por todos los pasos recomendados para habilitar Azure Security Center y
Azure Defender. Cuando haya completado todos los pasos de inicio rápido, tendrá:
Security Center habilitado en las suscripciones de Azure
Azure Defender habilitado en las suscripciones de Azure
Configuración de la recopilación automática de datos
Configuración de notificaciones por correo electrónico de alertas de seguridad
Las máquinas híbridas y de varias nubes conectadas a Azure

Prerrequisitos
Para empezar a trabajar con el Centro de seguridad, debe disponer de una suscripción a Microsoft Azure. Si no
tiene una suscripción, puede registrarse para obtener una cuenta gratuita.
Para habilitar Azure Defender en una suscripción, debe tener asignados los roles Propietario de la suscripción,
Colaborador de la suscripción o Administrador de seguridad.

Habilitación de Security Center en una suscripción de Azure

TIP
Para habilitar Security Center en todas las suscripciones de un grupo de administración, consulte el artículo sobre la
habilitación de Security Center en varias suscripciones de Azure.

1. Inicie sesión en el Portal de Azure.

2. En el menú del portal, seleccione Security Center .
Se abre la página de información general de Security Center.
 Security Center - Información general proporciona una vista unificada de la situación de seguridad
de las cargas de trabajo de la nube híbrida, lo que le permite detectar y evaluar la seguridad de las cargas
de trabajo e identificar y mitigar riesgos. Security Center habilita de forma automática y sin costo alguno
cualquiera de las suscripciones de Azure que no fueran incorporadas previamente por usted o por otro
usuario de la suscripción.
Puede ver la lista de suscripciones y filtrarla, si hace clic en el elemento de menú Suscripciones . Security
Center ajustará la pantalla para reflejar la postura de seguridad de las suscripciones seleccionadas.
A los pocos minutos de iniciar Security Center la primera vez, puede ver:
Recomendaciones de formas de mejorar la seguridad de los recursos de Azure.
Un inventario de los recursos que Security Center está evaluando, junto con la postura de seguridad de cada
uno.
Para sacar el máximo partido de Security Center, continúe con los pasos siguientes de la sección de inicio rápido.

Pasos siguientes
En esta guía de inicio rápido ha habilitado Azure Security Center. El siguiente paso consiste en habilitar Azure
Defender para la administración de seguridad unificada y protección contra amenazas en las cargas de trabajo
de la nube híbrida.
Inicio rápido: Habilitación de Azure Defender
 Inicio rápido: Habilitación de Azure Defender
22/03/2021 • 4 minutes to read • Edit Online

Para obtener información sobre las ventajas de Azure Defender, consulte Azure Security Center gratuito frente a
Azure Defender habilitado.

Prerrequisitos
Para seguir los inicios rápidos y tutoriales de Security Center, debe habilitar Azure Defender.
Puede proteger toda una suscripción de Azure con Azure Defender y todos los recursos de la suscripción
heredarán las protecciones.
Hay disponible una versión de evaluación gratuita de 30 días. Para obtener información sobre los precios en la
moneda de su elección y según su región, consulte Precios de Security Center.

Habilitación de Azure Defender desde Azure Portal

Para habilitar todas las características de Security Center, incluidas las funcionalidades de protección contra
amenazas, debe habilitar Azure Defender en la suscripción que contenga las cargas de trabajo aplicables. La
habilitación en el nivel de área de trabajo no habilita el acceso a VM Just-In-Time, los controles de aplicación
adaptables ni las detecciones de red para los recursos de Azure. Además, los únicos planes de Azure Defender
disponibles en el nivel de área de trabajo son Azure Defender para servidores y Azure Defender para servidores
SQL en máquinas.
Puede habilitar Azure Defender para cuentas de Storage en el nivel de suscripción o de recurso.
Puede habilitar Azure Defender para SQL en el nivel de suscripción o de recurso.
Puede habilitar la protección contra amenazas para Azure Database for MariaDB/MySQL/PostgreSQL
solo en el nivel de recurso.
Para habilitar Azure Defender en las suscripciones y áreas de trabajo:
Para habilitar Azure Defender en una suscripción:
1. En el menú principal de Security Center, seleccione Precios y configuración .
2. Seleccione la suscripción o el área de trabajo que desea proteger.
3. Seleccione Azure Defender está activado para actualizar.
4. Seleccione Guardar .

TIP
Observará que cada plan de Azure Defender tiene un precio independiente y se puede activar o desactivar de
forma independiente. Por ejemplo, puede que desee desactivar Azure Defender para App Service en suscripciones
que no tengan un plan de Azure App Service asociado.
Para habilitar Azure Defender en varias suscripciones o áreas de trabajo:
1. En la barra lateral de Security Center, seleccione Introducción .
La pestaña Actualizar muestra las suscripciones y áreas de trabajo aptas para la incorporación.
 2. En la lista Select subscriptions and workspaces to enable Azure Defender on (Seleccionar
las suscripciones y áreas de trabajo en las que habilitar Azure Defender), seleccione las
suscripciones y áreas de trabajo que desea actualizar y seleccione Upgrade (Actualizar) para
habilitar Azure Defender.
Si selecciona suscripciones y áreas de trabajo que no sean válidas para la evaluación, el paso
siguiente las actualizará y se iniciarán los cargos.
Si selecciona un área de trabajo apta para una evaluación gratuita, el siguiente paso comenzará
una evaluación gratuita.

Pasos siguientes
Ahora que ha habilitado Azure Defender, habilite la recopilación automática de datos mediante los agentes y las
extensiones necesarios descritos en Configuración del aprovisionamiento automático de agentes y extensiones
desde Azure Security Center.
 Configuración del aprovisionamiento automático de
agentes y extensiones desde Azure Security Center
30/03/2021 • 31 minutes to read • Edit Online

Azure Security Center recopila datos de los recursos con el agente o las extensiones correspondientes para ese
recurso y el tipo de recopilación de datos que ha habilitado. Siga los procedimientos que se indican a
continuación para asegurarse de que los recursos tengan los agentes y las extensiones necesarios utilizados por
Security Center.

Prerrequisitos
Para empezar a trabajar con el Centro de seguridad, debe disponer de una suscripción a Microsoft Azure. Si no
tiene ninguna suscripción, puede registrarse para obtener una cuenta gratuita.

Disponibilidad
A SP EC TO DETA L L ES

Estado de la versión: Característica : El aprovisionamiento automático está en

fase de disponibilidad general (GA)
Agente y extensiones : El agente de Log Analytics agente
para las máquinas virtuales de Azure está en fase de
disponibilidad general, el agente de Microsoft Dependency
está en versión preliminar y el complemento de Policy para
Kubernetes está en fase de disponibilidad general

Precios: Gratuito

Destinos admitidos: Máquinas de Azure

Máquinas de Azure Arc
Nodos de Kubernetes
Virtual Machine Scale Sets

Nubes: Nubes comerciales

US Gov, China Gov, otros gobiernos

¿Cómo recopila los datos Security Center?

Security Center recopila datos de las máquinas virtuales de Azure, los conjuntos de escalado de máquinas
virtuales, los contenedores de IaaS y de las máquinas que no son de Azure (incluidas las máquinas locales) para
supervisar las amenazas y vulnerabilidades de seguridad.
La recopilación de datos es necesaria para proporcionar visibilidad sobre actualizaciones que faltan, valores de
seguridad del sistema operativo mal configurados, estado de la protección de punto de conexión y protección
contra amenazas y del mantenimiento. La recopilación de datos solo es necesaria para los recursos de proceso,
como máquinas virtuales, conjuntos de escalado de máquinas virtuales, contenedores de IaaS y equipos que no
son de Azure.
Puede aprovechar las ventajas de Azure Security Center incluso si no aprovisiona agentes. Sin embargo, tendrá
una seguridad limitada y no se admitirán las funcionalidades indicadas anteriormente.
Los datos se recopilan mediante:
El agente de Log Analytics , que lee distintas configuraciones relacionadas con la seguridad y registros de
eventos de la máquina, y copia los datos en el área de trabajo para analizarlos. Estos son algunos ejemplos
de dichos datos: tipo y versión del sistema operativo, registros del sistema operativo (registros de eventos de
Windows), procesos en ejecución, nombre de la máquina, direcciones IP y usuario conectado.
Las extensiones de seguridad como, por ejemplo, el complemento de Azure Policy para Kubernetes, el
cual también puede proporcionar datos a Security Center relacionados con tipos de recursos especializados.

TIP
A medida que Security Center ha crecido, los tipos de recursos que se pueden supervisar también han crecido. El número
de extensiones también ha crecido. El aprovisionamiento automático se ha ampliado para admitir tipos de recursos
adicionales que aprovechan las funcionalidades de Azure Policy.

Motivos del uso del aprovisionamiento automático

Cualquiera de los agentes y extensiones que se describen en esta página puede instalarse manualmente
(consulte Instalación manual del agente de Log Analytics). Sin embargo, el aprovisionamiento automático
reduce la sobrecarga de administración mediante la instalación de todos los agentes y extensiones necesarios
en las máquinas existentes, y en las nuevas, para garantizar una cobertura de seguridad más rápida para todos
los recursos admitidos.
Se recomienda habilitar el aprovisionamiento automático, pero está deshabilitado de forma predeterminada.

¿Cómo funciona el aprovisionamiento automático?

La configuración del aprovisionamiento automático de Security Center tiene una opción de alternancia para
cada tipo de extensión admitida. Al habilitar el aprovisionamiento automático de una extensión, asigne la
directiva Implementar si no existe adecuada. Este tipo de directiva garantiza que la extensión esté
aprovisionada en todos los recursos existentes y futuros de ese tipo.

TIP
Obtenga más información sobre los efectos de Azure Policy, incluida la directiva "Implementar si no existe" en Comprender
los efectos de Azure Policy.

Habilitación del aprovisionamiento automático del agente y las

extensiones de Log Analytics
Si el aprovisionamiento automático está activado para el agente de Log Analytics, Security Center implementará
este agente en todas las máquinas virtuales de Azure compatibles y en las nuevas que se hayan creado.
Consulte Plataformas compatibles con Azure Security Center para ver una lista de plataformas compatibles.
Para habilitar el aprovisionamiento automático del agente de Log Analytics:
1. En el menú de Security Center, seleccione Precios y configuración .
2. Seleccione la suscripción correspondiente.
3. En la página Aprovisionamiento automático , establezca el estado del agente de Log Analytics en
Activo .
4. En el panel Opciones de configuración, defina el área de trabajo que se va a usar.

Conexión de máquinas vir tuales de Azure a las áreas de trabajo predeterminadas que
crea Security Center : Security Center crea un nuevo grupo de recursos y un área de trabajo
predeterminada en esa geolocalización y la conecta al agente. Si una suscripción contiene
máquinas virtuales de varias geolocalizaciones, Security Center crea varias áreas de trabajo para
garantizar el cumplimiento de los requisitos de privacidad de los datos.
La convención de nomenclatura del área de trabajo y el grupo de recursos es:
Área de trabajo: DefaultWorkspace-[subscription-ID]-[geo]
Grupo de recursos: DefaultResourceGroup-[geo]
Security Center habilita automáticamente una solución de Security Center en el área de trabajo de
acuerdo al plan de tarifa establecido para la suscripción.

TIP
Si tiene preguntas relacionadas con las áreas de trabajo predeterminadas, consulte:
¿Se me facturan los registros de Azure Monitor en las áreas de trabajo que creada Security Center?
¿Dónde se crea el área de trabajo Log Analytics predeterminada?
¿Puedo eliminar las áreas de trabajo predeterminadas creadas por Security Center?
 Conexión de máquinas vir tuales de Azure a un área de trabajo diferente : en la lista
desplegable, seleccione el área de trabajo donde se van a almacenar los datos recopilados. La lista
desplegable incluye todas las áreas de trabajo de todas las suscripciones. Puede usar esta opción
para recopilar datos de máquinas virtuales que se ejecutan en distintas suscripciones y
almacenarlos en el área de trabajo seleccionada.
Si ya tiene un área de trabajo de Log Analytics, es posible que desee utilizarla (necesita permisos
de lectura y escritura sobre ella). Esta opción es útil si está usando un área de trabajo centralizada
en la organización y desea usarla para la recopilación de datos de seguridad. Puede obtener más
información en Administración del acceso a los datos de registro y las áreas de trabajo en Azure
Monitor.
Si el área de trabajo seleccionada ya tiene una solución "Security" o "SecurityCenterFree"
habilitada, los precios se establecerán automáticamente. En caso contrario, instale una solución de
Security Center en el área de trabajo:
a. En el menú de Security Center, abra Precios y configuración .
b. Seleccione el área de trabajo a la que se conectarán los agentes.
c. Seleccione Azure Defender está activado o Azure Defender está desactivado .
5. En la opción Eventos de seguridad de Windows , seleccione la cantidad de datos de eventos sin
procesar que se van a almacenar:
Ninguno : deshabilita el almacenamiento de eventos de seguridad. Esta es la configuración
predeterminada.
Mínima : un pequeño conjunto de eventos para cuando quiere reducir el volumen de eventos.
Normal : un conjunto de eventos que satisface a la mayoría de los clientes y les proporciona un
registro de auditoría completo.
Todos los eventos : para clientes que quieren asegurarse de que se almacenan todos los eventos.

TIP
Para establecer estas opciones en el nivel del área de trabajo, consulte Configuración de las opciones de eventos
de seguridad en el nivel de área de trabajo.
Para más información acerca de estas opciones, consulte Opciones de eventos de seguridad de Windows para el
agente de Log Analytics.

6. Seleccione Aplicar en el panel de configuración.

7. Para habilitar el aprovisionamiento automático de una extensión distinta al agente de Log Analytics:
a. Si va a habilitar el aprovisionamiento automático para Microsoft Dependency Agent, asegúrese de
que el agente de Log Analytics está establecido en implementación automática.
b. Cambie el estado a Activo para la extensión que corresponda.

c. Seleccione Guardar . Se asigna la directiva de Azure y se crea una tarea de corrección.

 EXT EN SIÓ N DIREC T IVA

Complemento de Policy para Kubernetes Implementación del complemento de Azure Policy en

los clústeres de Azure Kubernetes Service

Microsoft Dependency Agent (versión preliminar) Implementación de Dependency Agent para

(Máquinas virtuales Windows) máquinas virtuales Windows

Microsoft Dependency Agent (versión preliminar) Implementación de Dependency Agent para

(Máquinas virtuales Linux) máquinas virtuales Linux

8. Seleccione Guardar . Si es necesario aprovisionar un área de trabajo, la instalación del agente puede
tardar hasta 25 minutos.
9. Se le preguntará si quiere volver a configurar las máquinas virtuales supervisadas que estaban
anteriormente conectadas a un área de trabajo predeterminada:

No : la nueva configuración del área de trabajo solo se aplica a aquellas máquinas virtuales recién
detectadas que no tienen instalado el agente de Log Analytics.
Sí : la nueva configuración del área de trabajo se aplicará a todas las máquinas virtuales y aquellas
máquinas virtuales conectadas actualmente a un área de trabajo de Security Center se volverán a
conectar a la nueva área de trabajo de destino.

NOTE
Si selecciona Sí, no elimine las áreas de trabajo creadas por Security Center hasta que todas las máquinas virtuales
se hayan vuelto a conectar a la nueva área de trabajo de destino. Esta operación no se lleva a cabo si se elimina un
área de trabajo demasiado pronto.

Opciones de eventos de seguridad de Windows para el agente de

Log Analytics
La selección de un nivel de recopilación de datos en Azure Security Center solo afecta al almacenamiento de
eventos de seguridad en el área de trabajo de Log Analytics. El agente de Log Analytics sigue recopilando y
analizando los eventos de seguridad necesarios para la protección contra amenazas de Security Center, con
independencia del nivel de eventos de seguridad que elija almacenar en el área de trabajo. Si elige almacenar
los eventos de seguridad, permitirá la investigación, búsqueda y auditoría de esos eventos en el área de trabajo.
Requisitos
Azure Defender es necesario para almacenar los datos de eventos de seguridad de Windows. Más información
sobre Azure Defender.
El almacenamiento de datos en Log Analytics podría incurrir en cargos adicionales por almacenamiento de
datos. Consulte la página de preciospara obtener más información.
Información para usuarios de Azure Sentinel
Usuarios de Azure Sentinel: tenga en cuenta que la recopilación de eventos de seguridad dentro del contexto de
un área de trabajo única se puede configurar desde el Azure Defender o desde Azure Sentinel, pero no con
ambas herramientas. Si tiene previsto agregar Azure Sentinel a un área de trabajo que ya recibe alertas de
Azure Security Center y está configurada para recopilar eventos de seguridad, tiene dos opciones:
Deje la recopilación de eventos de seguridad en Azure Security Center tal y como está. Podrá consultar y
analizar estos eventos tanto en Azure Sentinel como en Azure Defender. Sin embargo, no podrá supervisar el
estado de conectividad del conector ni cambiar su configuración en Azure Sentinel. Si esta acción le parece
importante, considere la segunda opción.
Deshabilite la recopilación de eventos de seguridad en Azure Security Center (estableciendo Eventos de
seguridad de Windows en Ninguno en la configuración del agente de Log Analytics). Después, agregue el
conector de eventos de seguridad en Azure Sentinel. Al igual que con la primera opción, podrá consultar y
analizar eventos en Azure Sentinel y Azure Defender (o ASC), pero ahora podrá supervisar el estado de
conectividad del conector o cambiar su configuración únicamente en Azure Sentinel.
¿Qué tipos de evento se almacenan para los niveles "Normal" y "Mínima"?
Estos conjuntos se han diseñado para abordar escenarios típicos. Asegúrese de evaluar cuál se ajusta a sus
necesidades antes de implementarlo.
Para determinar los eventos de las opciones Normal y Mínima , hemos colaborado con los clientes y los
estándares del sector para obtener información sobre la frecuencia sin filtrar de cada evento y su uso. En este
proceso se han empleado las siguientes directrices:
Mínimo : Asegúrese de que este conjunto abarque solamente los eventos que podrían indicar una brecha
correcta y eventos importantes que tengan un volumen muy bajo. Por ejemplo, este conjunto contiene un
inicio de sesión de usuario correcto y uno erróneo (identificadores de evento 4624 y 4625), pero no contiene
el cierre de sesión, que es importante para la auditoría pero no lo es para la detección y tiene un volumen
relativamente alto. La mayor parte del volumen de datos de este conjunto son los eventos de inicio de sesión
y el evento de creación de proceso (Id. de evento 4688).
Común : Proporcione una pista de auditoría de usuario completa en este conjunto. Por ejemplo, este
conjunto contiene los inicios de sesión y los cierres de sesión de usuario (identificador de evento 4634). Se
incluyen acciones de auditoría como cambios en los grupos de seguridad, operaciones de Kerberos en los
controladores de dominio de clave y otros eventos que recomiendan las organizaciones del sector.
Los eventos que tienen un volumen muy bajo se han incluido en el conjunto común, ya que la motivación
principal para elegirlo respecto de todos los eventos pasa por reducir el volumen, y no por filtrar eventos
específicos.
A continuación se muestra un desglose completo de los identificadores de evento de seguridad y de AppLocker
para cada conjunto:

C A PA DE DATO S IN DIC A DO RES DE EVEN TO S REC O P IL A DO S

mínimo 1102,4624,4625,4657,4663,4688,4700,4702,4719,4720,47
22,4723,4724,4727,4728,4732,4735,4737,4739,4740,4754,
4755,

4756,4767,4799,4825,4946,4948,4956,5024,5033,8001,80
02,8003,8004,8005,8006,8007,8222

Comunes 1,299,300,324,340,403,404,410,411,412,413,431,500,501,1
100,1102,1107,1108,4608,4610,4611,4614,4622,
 C A PA DE DATO S IN DIC A DO RES DE EVEN TO S REC O P IL A DO S

4624,4625,4634,4647,4648,4649,4657,4661,4662,4663,46
65,4666,4667,4688,4670,4672,4673,4674,4675,4689,4697,

4700,4702,4704,4705,4716,4717,4718,4719,4720,4722,47
23,4724,4725,4726,4727,4728,4729,4733,4732,4735,4737,

4738,4739,4740,4742,4744,4745,4746,4750,4751,4752,47
54,4755,4756,4757,4760,4761,4762,4764,4767,4768,4771,

4774,4778,4779,4781,4793,4797,4798,4799,4800,4801,48
02,4803,4825,4826,4870,4886,4887,4888,4893,4898,4902,

4904,4905,4907,4931,4932,4933,4946,4948,4956,4985,50
24,5033,5059,5136,5137,5140,5145,5632,6144,6145,6272,

6273,6278,6416,6423,6424,8001,8002,8003,8004,8005,80
06,8007,8222,26401,30004

NOTE
Si se usa un objeto de directiva de grupo (GPO), se recomienda habilitar el evento 4688 de creación de procesos de las
directivas de auditoría y el campo CommandLine del evento 4688. Para más información acerca del evento 4688 de
creación de procesos, consulte las preguntas más frecuentes acerca de Security Center. Para más información acerca de
estas directivas de auditoría, consulte Recomendaciones de la directiva de auditoría.
Para habilitar la recopilación de datos para Controles de aplicación adaptables, Security Center configura una directiva
de AppLocker local en el modo de auditoría que permite todas las aplicaciones. Con esto, AppLocker generará eventos
que luego Security Center recopilará y aprovechará. Es importante tener en cuenta que esta directiva no se configurará
en las máquinas en las que ya se haya configurado una directiva de AppLocker.
Para recopilar Windows Filtering Platform Event ID 5156, tiene que habilitar Auditar conexión de Plataforma de filtrado
(Auditpol /set /subcategory:"Filtering Platform Connection" /Success:Enable)

Configuración de la opción Evento de seguridad en el nivel del área de trabajo

Puede definir el nivel de datos de eventos de seguridad que se van a almacenar en el nivel del área de trabajo.
1. En el menú de Security Center de Azure Portal, seleccione Precios y configuración .
2. Seleccione el área de trabajo correspondiente. Los únicos eventos de recopilación de datos de un área de
trabajo son los eventos de seguridad de Windows que se describen en esta página.
3. Seleccione la cantidad de datos de eventos sin procesar que se van a almacenar y seleccione Guardar .

Aprovisionamiento manual del agente

Para instalar manualmente el agente de Log Analytics, haga lo siguiente:
1. Deshabilite el aprovisionamiento automático.
2. Opcionalmente, cree un área de trabajo.
3. Habilite Azure Defender en el área de trabajo en la que va a instalar el agente de Log Analytics:
a. En el menú de Security Center, seleccione Precios y configuración .
b. Establezca el área de trabajo en la que va a instalar el agente. Asegúrese de que el área de trabajo
está en la misma suscripción que se usa en Security Center y que tiene permisos de
lectura/escritura en el área de trabajo.
c. Seleccione Azure Defender está activado y Guardar .

NOTE
Si el área de trabajo ya tiene una solución Security o SecurityCenterFree habilitada, los precios se
establecerán automáticamente.

4. Para implementar agentes en las nuevas máquinas virtuales mediante una plantilla de Resource Manager,
instale el agente de Log Analytics:
Instalación del agente de Log Analytics para Windows
Instalación del agente de Log Analytics para Linux
5. Para implementar agentes en las máquinas virtuales existentes, siga las instrucciones que se indican en
Recopilación de datos acerca de máquinas virtuales de Azure (la sección Recopilación de datos de
eventos y rendimiento es opcional).
6. Para usar PowerShell para implementar los agentes, siga las instrucciones de la documentación de
máquinas virtuales:
Para máquinas Windows
Para máquinas Linux

TIP
Para obtener instrucciones sobre cómo incorporar Security Center mediante PowerShell, consulte Automatización de la
incorporación de Azure Security Center mediante PowerShell.

Aprovisionamiento automático en los casos de una instalación de

agente ya existente
Los siguientes casos de uso especifican cómo funciona el aprovisionamiento automático en los casos en los que
ya hay un agente o una extensión instalados.
El agente de Log Analytics está instalado en la máquina, pero no como una extensión
(agente directo) : si el agente de Log Analytics está instalado directamente en la máquina virtual (no
como una extensión de Azure), Security Center instalará la extensión del agente de Log Analytics y puede
que la actualice a la versión más reciente. El agente instalado continuará informando a las áreas de
trabajo ya configuradas y además informará al área de trabajo configurada en Security Center (el
hospedaje múltiple es compatible en máquinas Windows). Si el área de trabajo configurada es un área de
trabajo de usuario (no el área de trabajo predeterminada de Security Center), debe instalar la solución
"Security" o "SecurityCenterFree" para que Security Center empiece a procesar eventos de máquinas
virtuales y equipos que notifican a esa área de trabajo.
El hospedaje múltiple del agente todavía no es compatible con las máquinas Linux; por lo tanto, si se
detecta una instalación de agente existente, no se producirá el aprovisionamiento automático y no se
modificará la configuración de la máquina.
Para las máquinas existentes en suscripciones incorporadas a Security Center antes del 17 de marzo de
2019, cuando se detecte un agente existente, no se instalará la extensión del agente de Log Analytics y la
máquina no se modificará. Para estas máquinas, consulte la recomendación "Resolver incidencias de
supervisión de estado del agente en las máquinas" con el fin de resolver las incidencias de instalación del
agente en estas máquinas.
El agente de System Center Operations Manager está instalado en la máquina : Security Center
instalará la extensión del agente de Log Analytics en paralelo a la versión existente de Operations
Manager. El agente de Operations Manager existente continuará enviando informes con normalidad al
servidor de Operations Manager. El agente de Operations Manager y el agente de Log Analytics
comparten bibliotecas en tiempo de ejecución, las cuales se actualizarán a la versión más reciente
durante este proceso. Nota: si está instalada la versión 2012 del agente de Operations Manager, no
habilite el aprovisionamiento automático.
Está presente una extensión de máquina vir tual existente :
Cuando se instala Monitoring Agent como una extensión, la configuración de extensión permite enviar
informes a una sola área de trabajo. Security Center no invalida las conexiones existentes con áreas de
trabajo de usuario. Security Center almacenará datos de seguridad de la máquina virtual en el área de
trabajo que ya está conectada, siempre que se haya instalado en ella la solución "Security" o
"SecurityCenterFree". Durante este proceso, Security Center puede actualizar la versión de extensión a
la versión más reciente.
Para ver el área de trabajo, a la que la extensión existente está enviando datos, ejecute la prueba de
 Validación de la conectividad con Azure Security Center. También puede abrir las áreas de trabajo de
Log Analytics, seleccionar un área de trabajo, seleccionar la máquina virtual y examinar la conexión
del agente de Log Analytics.
Si tiene un entorno donde esté instalado el agente de Log Analytics en estaciones de trabajo de cliente
y esté informando a un área de trabajo de Log Analytics existente, revise la lista de sistemas
operativos compatibles con Azure Security Center para asegurarse de que el sistema operativo es
compatible. Para más información, consulte Clientes existentes de análisis de registros.

Deshabilitar aprovisionamiento automático

Si deshabilita el aprovisionamiento automático, los agentes no se aprovisionarán en nuevas máquinas virtuales.
Para desactivar el aprovisionamiento automático de un agente:
1. En el menú de Security Center del portal, seleccione Precios y configuración .
2. Seleccione la suscripción correspondiente.
3. Seleccione Aprovisionamiento automático .
4. Cambie el estado a Desactivado para el agente que corresponda.

5. Seleccione Guardar . Cuando el aprovisionamiento automático está deshabilitado, no se muestra la

sección de configuración del área de trabajo predeterminada:
 NOTE
La deshabilitación del aprovisionamiento automático no quita el agente de Log Analytics de las máquinas virtuales de
Azure en las que se aprovisionó el agente. Para más información acerca de cómo quitar la extensión de OMS, consulte
¿Cómo quito extensiones OMS instaladas por Security Center?.

Solución de problemas
Para identificar problemas de instalación del aprovisionamiento automático, consulte Supervisión de
problemas de Agent Health.
Para identificar los requisitos de red de agente de supervisión, consulte Solución de problemas de los
requisitos de red del agente de supervisión.
Para identificar problemas de incorporación manual, consulte Cómo solucionar problemas de incorporación
de Operations Management Suite.

Pasos siguientes
En esta página se explica cómo habilitar el aprovisionamiento automático para el agente de Log Analytics y
otras extensiones de Security Center. También se describe cómo definir un área de trabajo de Log Analytics en la
que almacenar los datos recopilados. Ambas operaciones son necesarias para habilitar la recopilación de datos.
El almacenamiento de datos en Log Analytics, independientemente de si usa un área de trabajo nueva o
existente, puede incurrir en más cargos por almacenamiento de datos. Para obtener información sobre los
precios en la moneda de su elección y según su región, consulte Precios de Security Center.
 Configuración de notificaciones de alertas de
seguridad por correo electrónico
24/03/2021 • 4 minutes to read • Edit Online

Las alertas de seguridad deben llegar a las personas adecuadas de la organización. De forma predeterminada,
Defender envía correos electrónicos a los propietarios de la suscripción cada vez que se desencadena una alerta
de alta gravedad para su suscripción. En esta página se explica cómo personalizar estas notificaciones.
Para definir sus propias preferencias para los correos electrónicos de notificación, la página de configuración
Notificaciones por correo electrónico de Azure Defender le permite elegir:
A quién se debe notificar : se pueden enviar mensajes de correo electrónico a usuarios individuales o a
cualquier persona con un rol de Azure especificado para una suscripción.
Qué se les debe notificar : modifique los niveles de gravedad para los que Defender debe enviar
notificaciones.
Para evitar un exceso de alertas, Security Center limita el volumen de correos salientes. Para cada suscripción,
Security Center envía:
un máximo de un correo electrónico cada 6 horas (4 correos electrónicos al día) para alertas de gravedad
alta .
un máximo de un correo electrónico cada 12 horas (2 correos electrónicos al día) para alertas de gravedad
media .
un máximo de un correo electrónico cada 24 horas (1 correo electrónico al día) para alertas de gravedad
baja .

Disponibilidad
 A SP EC TO DETA L L ES

Estado de la versión: Disponibilidad general (GA)

Precios: Gratuito

Roles y permisos necesarios: Administrador de seguridad

Propietario de la suscripción

Nubes: Nubes comerciales

Nacionales o soberanas (US Gov, China Gov, otros
gobiernos)

Personalización de las notificaciones de alertas de seguridad por

correo electrónico mediante el portal
Puede enviar notificaciones por correo electrónico a individuos o a todos los usuarios con roles de Azure
específicos.
1. En el área Precios y configuración de Defender, seleccione la suscripción correspondiente y
Notificaciones de correo electrónico .
2. Defina los destinatarios de las notificaciones con una o ambas de estas opciones:
En la lista desplegable, seleccione entre los roles disponibles.
Escriba direcciones de correo electrónico específicas, separadas por comas. No hay ningún límite en el
número de direcciones de correo electrónico que se pueden escribir.
3. Seleccione Guardar para aplicar la información de contacto de seguridad a su suscripción.

Personalización de las notificaciones de alertas por correo electrónico

mediante la API
También puede administrar las notificaciones por correo electrónico mediante la API REST proporcionada. Para
información completa, consulte la documentación de la API SecurityContacts.
Este es un cuerpo de solicitud de ejemplo para la solicitud PUT al crear una configuración de contacto de
seguridad:

{
"properties": {
"emails": [email protected];[email protected],
"notificationsByRole": {
"state": "On",
"roles": ["AccountAdmin", "Owner"]
},
"alertNotifications": {
"state": "On",
"minimalSeverity": "High"
},
"phone": ""
}
}

Consulte también
Para más información sobre las alertas de seguridad, consulte las siguientes páginas:
Alertas de seguridad: una guía de referencia: obtenga información sobre las alertas de seguridad que puede
ver en el módulo de protección contra amenazas de Azure Defender.
Administración y respuesta a las alertas de seguridad en Azure Defender: aprenda a administrar y responder
a alertas de seguridad.
Automatización de flujos de trabajo: automatice respuestas a alertas con lógica de notificación personalizada
 Conexión de máquinas que no son de Azure a
Security Center
23/03/2021 • 11 minutes to read • Edit Online

Defender puede supervisar la situación de seguridad de los equipos que no son de Azure, pero para ello antes
hay que conectarlos a Azure.
Puede conectar equipos que no son de Azure de alguna de las maneras siguientes:
Mediante servidores habilitados para Azure Arc (recomendable )
Desde las páginas de Security Center en Azure Portal (Introducción e Inventario )
En esta página se describen cada una de ellas.

Incorporación de máquinas que no son de Azure con Azure Arc

El uso de los servidores habilitados de Azure Arc es la manera preferida de agregar máquinas que no son de
Azure a Azure Security Center.
Una máquina con servidores habilitados de Azure Arc, se convierte en un recurso de Azure y aparece en
Security Center con recomendaciones igual que los otros recursos de Azure.
Además, los servidores habilitados de Azure Arc proporcionan funcionalidades mejoradas, como la opción de
habilitar directivas de configuración de invitados en la máquina, implementar el agente de Log Analytics como
una extensión, simplificar la implementación con otros servicios de Azure y mucho más. Para obtener
información general sobre las ventajas, consulte Escenarios admitidos.
Obtenga más información sobre los servidores habilitados de Azure Arc.
Para implementar Azure Arc:
En el caso de una máquina, siga las instrucciones de Inicio rápido: Conexión de máquinas híbridas con
servidores habilitados para Azure Arc.
Consulte Conexión de máquinas híbridas a Azure a gran escala para conectar varias máquinas a gran escala
a servidores habilitados de Azure Arc.

TIP
Si va a incorporar máquinas que se ejecutan en AWS, el conector de Security Center para AWS controla la implementación
de Azure Arc sin que se perciba. Obtenga más información en Conexión de las cuentas de AWS a Azure Security Center.

Adición de máquinas que no son de Azure desde Azure Portal

1. En el menú de Security Center, abra la página Introducción .
2. Seleccione la pestaña Introducción .
3. En Ser vidores que no son de Azure , seleccione Configurar .

TIP
También puede abrir el menú para agregar máquinas en el botón Agregar ser vidores que no sean de Azure
de la página Inventario .

Aparecerá una lista de las áreas de trabajo de Log Analytics. La lista incluye, si procede, el área de trabajo
predeterminada que Security Center crea automáticamente si el aprovisionamiento automático está
habilitado. Seleccione esta área de trabajo u otra que desee usar.
Puede agregar equipos a un área de trabajo existente o crear un área de trabajo.
4. Opcionalmente, para crear un área de trabajo, seleccione Crear área de trabajo nueva .
5. En la lista de áreas de trabajo, seleccione Agregar ser vidores para el área de trabajo correspondiente.
Se mostrará la página Administración de agentes .
Aquí, elija el procedimiento correspondiente que se indica a continuación en función del tipo de
máquinas en las que se va a incorporar:
Incorporación de máquinas virtuales de Azure Stack Hub
Incorporación de máquinas Linux
Incorporación de máquinas Windows
Incorporación de máquinas virtuales de Azure Stack Hub
Para agregar máquinas virtuales de Azure Stack Hub, se necesita no solo la información de la página
Administración de agentes , sino también configurar la extensión de máquina virtual Azure Monitor,
Update and Configuration Management en las máquinas virtuales que se ejecutan en la instancia de Azure
Stack Hub.
1. En la página Administración de agentes , copie los valores de Id. del área de trabajo y Clave principal
en el Bloc de notas.
2. Inicie sesión en el portal de Azure Stack Hub y abra la página Máquinas vir tuales .
3. Seleccione la máquina virtual que desea proteger con Security Center.

TIP
Para obtener información acerca de cómo crear una máquina virtual en Azure Stack Hub, consulte este inicio
rápido para máquinas virtuales Windows o este inicio rápido para máquinas virtuales Linux.

4. Seleccione Extensiones . Se muestra la lista de extensiones de máquina virtual instaladas en esta máquina
virtual.
5. Seleccione la pestaña Agregar . En el menú Nuevo recurso se muestra la lista de extensiones de máquina
virtual disponibles.
6. Seleccione la extensión Azure Monitor, Update and Configuration Management y seleccione Crear . Se
abre la página de configuración Instalar extensión .

NOTE
Si no ve la extensión Azure Monitor, Update and Configuration Management en Marketplace, póngase en
contacto con su operador de Azure Stack Hub para que se la proporcione.

7. En la página de configuración Instalar extensión , pegue el Id. del área de trabajo y la Clave del área
de trabajo (clave principal) que copió en el Bloc de notas en el paso anterior.
8. Una vez completada la configuración, seleccione Aceptar . El estado de la extensión se mostrará como
Aprovisionamiento realizado correctamente . La máquina virtual puede tardar hasta una hora en
aparecer en Security Center.
Incorporación de máquinas Linux
Para agregar máquinas Linux, necesita el comando WGET de la página Administración de agentes .
1. Desde la página Administración de agentes , copie el comando WGET en el Bloc de notas. Guarde este
archivo en una ubicación a la que se pueda acceder desde el equipo Linux.
2. En el equipo Linux, abra el archivo con el comando WGET. Seleccione todo el contenido, cópielo y péguelo en
una consola del terminal.
3. Una vez finalizada la instalación, puede validar que omsagent está instalado mediante la ejecución del
comando pgrep. El comando devolverá el PID de omsagent. Los registros del agente se pueden encontrar en:
/var/opt/microsoft/omsagent/<workspace id>/log/ . La nueva máquina Linux puede tardar hasta 30 minutos
en aparecer en Security Center.
Incorporación de máquinas Windows
Para agregar máquinas Windows, necesita la información de la página Administración de agentes y
descargar el archivo de agente adecuado (32/64 bits).
1. Seleccione el vínculo Descargar Agente para Windows correspondiente a su tipo de procesador del
equipo para descargar el archivo del programa de instalación.
2. En la página Administración de agentes , copie los valores de Id. del área de trabajo y Clave principal
en el Bloc de notas.
3. Copie el archivo de instalación descargado en el equipo de destino y ejecútelo.
4. Siga el Asistente para instalación (Siguiente , Acepto , Siguiente , Siguiente ).
a. En la página Azure Log Analytics , pegue el identificador del área de trabajo y la clave del área
 de trabajo (clave principal) que copió en el Bloc de notas.
b. Si el equipo tiene que notificar a un área de trabajo de Log Analytics en Azure Government Cloud,
seleccione Azure Gobierno de EE.UU. en la lista desplegable Azure Cloud .
c. Si el equipo necesita comunicarse a través de un servidor proxy con el servicio de Log Analytics,
seleccione Avanzado y proporcione la dirección URL y el número de puerto del servidor proxy.
d. Una establecida toda la configuración, seleccione Siguiente .
e. En la página Listo para instalar , revise la configuración que se va a aplicar y seleccione Instalar .
f. En la página Configuración completada correctamente , seleccione Finalizar .
Una vez completado el proceso, el Agente de administración de Microsoft aparece en el Panel de control .
Puede revisar ahí la configuración y verificar que el agente esté conectado.
Para más información sobre cómo instalar y configurar el agente, vea Conexión de máquinas Windows.

Comprobando
¡Enhorabuena! Ahora puede ver las máquinas de Azure y las que no son de Azure en un solo lugar. Abra la
página del inventario de recursos y filtre por los tipos de recursos correspondientes. Estos dos iconos distinguen
los tipos:

Máquina que no es de Azure

Azure VM

Servidor habilitado para Azure Arc

Pasos siguientes
En esta página se muestra cómo agregar las máquinas que no son de Azure a Azure Security Center. Para
supervisar su estado, utilice las herramientas de inventario, como se explica en la siguiente página:
Exploración y administración de los recursos con Asset Inventory
 Conexión de las cuentas de AWS a Azure Security
Center
09/04/2021 • 13 minutes to read • Edit Online

Las cargas de trabajo de nube abarcan normalmente varias plataformas de nube, por lo que los servicios de
seguridad de la nube deben hacer lo mismo.
Azure Security Center protege las cargas de trabajo de Azure, Amazon Web Services (AWS) y Google Cloud
Platform (GCP).
Al incorporar la cuenta de AWS a Security Center, se integran AWS Security Hub y Azure Security Center. Por lo
tanto, Security Center ofrece visibilidad y protección en ambos entornos de nube para proporcionar:
Aprovisionamiento automático de agentes (Security Center usa Azure Arc para implementar el agente de Log
Analytics en las instancias de AWS)
Administración de directivas
Administración de vulnerabilidades
Detección y respuesta de puntos de conexión (EDR) integrados
Detección de errores de configuración de seguridad
Una sola vista que muestra recomendaciones de Security Center y resultados de AWS Security Hub
Incorporación de los recursos de AWS a los cálculos de puntuación segura de Security Center
Evaluaciones de cumplimiento normativo de los recursos de AWS
En la captura de pantalla siguiente puede ver que se muestran cuentas de AWS en el panel de información
general de Security Center.

Disponibilidad
 A SP EC TO DETA L L ES

Estado de la versión: Disponibilidad general (GA)

Precios: Requiere Azure Defender para servidores.

Roles y permisos necesarios: Propietario en la suscripción de Azure en cuestión

Un colaborador también puede conectar una cuenta de
AWS si un propietario proporciona los detalles de la entidad
de servicio.

Nubes: Nubes comerciales

Nacionales o soberanas (US Gov, China Gov, otros
gobiernos)

Conexión de una cuenta de AWS

Siga los pasos que se indican a continuación para crear su conector de nube de AWS.
Paso 1. Configuración de AWS Security Hub:
1. Para ver recomendaciones de seguridad para varias regiones, repita los pasos siguientes para cada
región pertinente.

IMPORTANT
Si utiliza una cuenta maestra de AWS, repita los tres pasos siguientes para configurar la cuenta maestra y todas las
cuentas miembros conectadas de todas las regiones pertinentes.

a. Habilite AWS Config (Configuración de AWS).

b. Habilite AWS Security Hub.
c. Compruebe que hay datos que fluyen a Security Hub.
La primera vez que se habilita Security Hub, los datos pueden tardar varias horas en estar
disponibles.
Paso 2. Configuración de la autenticación para Security Center en AWS
Hay dos maneras de permitir que Security Center se autentique en AWS:
Crear un rol IAM para Security Center : este es el método más seguro y es el que se recomienda.
Usuario de AWS para Security Center : opción menos segura si no tiene IAM habilitado.
Creación de un rol IAM para Security Center
1. En la consola de Amazon Web Services, en Security, Identity & Compliance (Seguridad, identidad y
cumplimiento), seleccione IAM .
 2. Seleccione Roles (Roles) y Create role (Crear rol).
3. Seleccione Another AWS account (Otra cuenta de AWS).
4. Escriba la siguiente información:
Account ID (Id. de cuenta): escriba el identificador de la cuenta Microsoft (158177204117 ) que
aparece en la página del conector de AWS en Security Center.
Require External ID (Requerir id. externo): esta opción debe estar seleccionada.
External ID (Id. externo): escriba el identificador de suscripción que se muestra en la página del
conector de AWS en Security Center.
5. Seleccione Next (Siguiente).
6. En la sección Attach permission policies (Asociar directivas de permisos), seleccione las siguientes
directivas:
SecurityAudit
AmazonSSMAutomationRole
AWSSecurityHubReadOnlyAccess
7. Tiene la opción de agregar etiquetas. La acción de agregar etiquetas al usuario no afecta a la conexión.
8. Seleccione Next (Siguiente).
9. En la lista de roles, seleccione el rol que ha creado.
10. Guarde el nombre del recurso de Amazon (ARN) para más adelante.
Creación de un usuario de AWS para Security Center
1. Abra la pestaña Users (Usuarios) y seleccione Add user (Agregar usuario).
2. En el paso Details (Detalles), escriba un nombre de usuario para Security Center y asegúrese de
seleccionar Programmatic access (Acceso mediante programación) para el tipo de acceso de AWS.
3. Seleccione Next Permissions (Siguientes permisos).
4. Seleccione Attach existing policies directly (Asociar directivas existentes directamente):
SecurityAudit
AmazonSSMAutomationRole
AWSSecurityHubReadOnlyAccess
5. Seleccione Siguiente: Etiquetas . Tiene la opción de agregar etiquetas. La acción de agregar etiquetas al
usuario no afecta a la conexión.
6. Seleccione Review (Revisar).
7. Guarde el archivo CSV de Access key ID (Id. de clave de acceso) y Secret access key (Clave de acceso
secreta) generado automáticamente para más adelante.
8. Revise el resumen y luego haga clic en Create user (Crear usuario).
Paso 3. Configuración del agente SSM
Para automatizar las tareas entre los recursos de AWS, se requiere el administrador de sistemas de AWS. Si las
instancias de EC2 no tienen el agente SSM, siga las instrucciones pertinentes desde Amazon:
Instalación y configuración del agente SSM en instancias de Windows
Instalación y configuración del agente SSM en instancias de Linux de Amazon EC2
Paso 4. Cumplimiento de los requisitos previos de Azure Arc
1. Asegúrese de que están registrados los proveedores de recursos de Azure adecuados:
Microsoft.HybridCompute
Microsoft.GuestConfiguration
2. Cree una entidad de servicio para la incorporación a gran escala. Como propietario de la suscripción
que desea usar para la incorporación, cree una entidad de servicio para la incorporación de Azure Arc,
como se describe en Creación de una entidad de servicio para la incorporación a gran escala.
Paso 5. Conexión de AWS a Security Center
1. En el menú de Security Center, seleccione Conectores multinube .
2. Seleccione Add AWS account (Agregar cuenta de AWS).

3. Configure las opciones en la pestaña AWS authentication (Autenticación de AWS):

a. Escriba un nombre para mostrar para el conector.
b. Confirme que la suscripción es correcta. Se trata de la suscripción que incluirá las recomendaciones
del conector y de AWS Security Hub.
c. En función de la opción de autenticación elegida en Paso 2. Configuración de la autenticación para
Security Center en AWS:
Seleccione Assume Role (Asumir rol) y pegue el ARN de Creación de un rol IAM para
 Security Center.

O BIEN
Seleccione Credentials (Credenciales) y pegue la clave de acceso y la clave secreta del
archivo .csv que guardó en Creación de un usuario de AWS para Security Center.
4. Seleccione Next (Siguiente).
5. Configure las opciones de la pestaña Configuración de Azure Arc :
Security Center detecta las instancias de EC2 en la cuenta de AWS conectada y usa SSM para
incorporarlas a Azure Arc.

TIP
Para ver la lista de sistemas operativos compatibles, consulte la sección ¿Qué sistemas operativos son compatibles
con las instancias de EC2? en las preguntas frecuentes.

a. Seleccione el grupo de recursos y la región de Azure a los que se incorporarán las instancias
de AWS EC2 detectadas en la suscripción seleccionada.
b. Escriba el identificador de la entidad de ser vicio y el secreto de cliente de la entidad de
ser vicio de Azure Arc, como se describe en Creación de una entidad de servicio para la
incorporación a escala
c. Si la máquina se conecta a Internet mediante un servidor proxy, especifique la dirección IP del
servidor proxy o el nombre y el número de puerto que usará la máquina para comunicarse con él.
Escriba el valor con el formato http://<proxyURL>:<proxyport> .
d. Seleccione Revisar + crear .
Revisión de la información de resumen
En las secciones de etiquetas se enumeran todas las etiquetas de Azure que se crearán
automáticamente para cada instancia de EC2 incorporada con sus propios detalles pertinentes
para reconocerla fácilmente en Azure.
Más información sobre las etiquetas de Azure en Uso de etiquetas para organizar los recursos de
 Azure y la jerarquía de administración.
Paso 6. Confirmación
Cuando el conector se ha creado correctamente y AWS Security Hub se ha configurado adecuadamente:
Security Center examina el entorno en busca de las instancias de AWS EC2 y las incorpora a Azure Arc, lo que
permite instalar el agente de Log Analytics y proporcionar recomendaciones de seguridad y protección
contra amenazas.
El servicio ASC busca nuevas instancias de AWS EC2 cada 6 horas y las incorpora de acuerdo con la
configuración.
El estándar CIS de AWS se mostrará en el panel de cumplimiento normativo de Security Center.
Si está habilitada la directiva de Security Hub, las recomendaciones aparecerán en el portal de Security
Center y en el panel de cumplimiento normativo entre 5 y 10 minutos después de que finalice la
incorporación.

Supervisión de los recursos de AWS

Como se mostró anteriormente, en la página de recomendaciones de seguridad de Azure Security Center
aparecen los recursos de AWS junto con los recursos de Azure y GCP, lo que ofrece una verdadera vista de varias
nubes.
Para ver todas las recomendaciones activas de los recursos por tipo de recurso, use la página de inventario de
recursos de Security Center y filtre por el tipo de recurso de AWS que le interesa:

Preguntas frecuentes sobre AWS en Security Center

¿Qué sistemas operativos son compatibles con las instancias de EC2?
Sistema operativo compatible con la incorporación automática a Azure Arc para máquinas AWS
Ubuntu 16.04: el agente SSM está preinstalado de forma predeterminada
Ubuntu 18.04: el agente SSM está preinstalado de forma predeterminada
Windows Server: el agente-SSM está preinstalado de forma predeterminada
CentOS Linux 7: se debe instalar SSM manualmente o incorporarse por separado
SUSE Linux Enterprise Server (SLES) 15 (x64): se debe instalar SSM manualmente o incorporarse por
separado
Red Hat Enterprise Linux (RHEL) 7 (x64): se debe instalar SSM manualmente o incorporarse por separado

Pasos siguientes
La conexión de la cuenta de AWS forma parte de la experiencia de varias nubes disponible en Azure Security
Center. Para información relacionada, consulte la página siguiente:
Conexión de las cuentas de GCP a Azure Security Center
 Conexión de las cuentas de GCP a Azure Security
Center
09/04/2021 • 11 minutes to read • Edit Online

Las cargas de trabajo de nube abarcan normalmente varias plataformas de nube, por lo que los servicios de
seguridad de la nube deben hacer lo mismo.
Azure Security Center protege las cargas de trabajo de Azure, Amazon Web Services (AWS) y Google Cloud
Platform (GCP).
Al incorporar las cuentas de GCP a Security Center, se integran el centro de comandos de seguridad GCP y Azure
Security Center. Por lo tanto, Security Center ofrece visibilidad y protección en ambos entornos de nube para
proporcionar:
Detección de errores de configuración de seguridad
Una sola vista que muestra recomendaciones de Security Center y resultados del centro de comandos de
seguridad GCP
Incorporación de los recursos de GCP a los cálculos de puntuación segura de Security Center
Integración de recomendaciones del centro de comandos de seguridad GCP basadas en el estándar CIS en el
panel de cumplimiento de normativas de Security Center
En la captura de pantalla siguiente puede ver que se muestran proyectos de GCP en el panel de información
general de Security Center.

Disponibilidad
A SP EC TO DETA L L ES

Estado de la versión: Disponibilidad general (GA)

 A SP EC TO DETA L L ES

Precios: Requiere Azure Defender para servidores.

Roles y permisos necesarios: propietario o colaborador en la suscripción de Azure en

cuestión

Nubes: Nubes comerciales

Nacionales o soberanas (US Gov, China Gov, otros
gobiernos)

Conexión de una cuenta de GCP

Cree un conector para cada organización que desee supervisar desde Security Center.
Al conectar las cuentas de GCP a suscripciones de Azure específicas, tenga en cuenta la jerarquía de recursos de
Google Cloud y estas directrices:
Puede conectar las cuentas de GCP a ASC en el nivel de la organización.
Puede conectar varias organizaciones a una suscripción de Azure.
Puede conectar varias organizaciones a varias suscripciones de Azure.
Al conectar una organización, se agregan todos los proyectos de esa organización a Security Center.
Siga los pasos que se indican a continuación para crear su conector de nube de GCP.
Paso 1. Configurar el centro de comandos de seguridad GCP con el análisis del estado de seguridad
En el caso de todos los proyectos de GCP de la organización, también debe:
1. Configurar el centro de comandos de seguridad GCP mediante estas instrucciones de la documentación
de GCP.
2. Habilitar el análisis del estado de seguridad mediante estas instrucciones de la documentación de GCP.
3. Compruebe que hay datos que fluyen al centro de comandos de seguridad.
Las instrucciones para conectar el entorno de GCP para la configuración de seguridad siguen las
recomendaciones de Google para consumir recomendaciones de configuración de seguridad. La integración
aprovecha el centro de comandos de seguridad de Google y consumirá recursos adicionales que podrían afectar
a la facturación.
La primera vez que se habilita el análisis del estado de seguridad, los datos pueden tardar varias horas en estar
disponibles.
Paso 2. Habilitar la API del centro de comandos de seguridad GCP
1. En la biblioteca de API de la consola en la nube de Google, seleccione los proyectos de la organización
que desea conectar a Azure Security Center.
2. En la biblioteca de API, busque y seleccione la API del centro de comandos de seguridad .
3. En la página de la API, seleccione HABILITAR .
Obtenga más información sobre la API del centro de comandos de seguridad.
Paso 3. Crear una cuenta de servicio dedicada para la integración de la configuración de seguridad
1. En la consola de GCP , seleccione un proyecto de la organización donde vaya a crear la cuenta de
servicio necesaria.
 NOTE
Cuando esta cuenta de servicio se agrega en el nivel de organización, se usará para acceder a los datos
recopilados por Security Command Center de todos los demás proyectos habilitados en la organización.

2. En el menú de navegación , en las opciones IAM y administrador , seleccione Cuentas de ser vicio .
3. Seleccione CREACIÓN DE L A CUENTA DE SERVICIO .
4. Especifique un nombre de cuenta y seleccione Crear .
5. Especifique el Rol como Visor del administrador de Security Center y seleccione Continuar .
6. La sección sobre la concesión a los usuarios de acceso a esta cuenta de ser vicio es opcional.
Seleccione Listo .
7. Copie el valor Correo electrónico de la cuenta de servicio creada y guárdelo para usarlo
posteriormente.
8. En el menú de navegación , en las opciones IAM y administrador , seleccione IAM .
a. Cambie al nivel de organización.
b. Seleccione AGREGAR .
c. En el campo Nuevos miembros , pegue el valor Correo electrónico que copió anteriormente.
d. Especifique el rol como Visor del administrador de Security Center y, a continuación, seleccione
Guardar .

Paso 4. Crear una clave privada para la cuenta de servicio dedicada

1. Cambie al nivel de proyecto.
2. En el menú de navegación , en las opciones IAM y administrador , seleccione Cuentas de ser vicio .
3. Abra la cuenta de servicio dedicada y seleccione Editar.
4. En la sección Claves , seleccione AGREGAR CL AVE y, a continuación, Creación de una clave nueva .
5. En la pantalla Creación de una clave privada, seleccione JSON y, a continuación, seleccione CREAR .
6. Guarde este archivo JSON para su uso posterior.
Paso 5. Conectar GCP a Security Center
1. En el menú de Security Center, seleccione Conectores de nube .
2. Seleccione Agregar cuenta de GCP.
3. En la página Incorporación, haga lo siguiente y, a continuación, seleccione Siguiente .
a. Valide la suscripción elegida.
b. En el campo Nombre para mostrar , escriba un nombre para mostrar para el conector.
c. En el campo Id. de la organización , escriba el identificador de la organización. Si no lo sabe,
consulte el artículo sobre creación y administración de organizaciones.
d. En el cuadro Archivo de clave privada , vaya al archivo JSON que descargó en el paso 4. Cree una
clave privada para la cuenta de servicio dedicada.
Paso 6. Confirmación
Cuando el conector se ha creado correctamente y el centro de comandos de seguridad GCP se ha configurado
correctamente:
El estándar CIS de GCP se mostrará en el panel de cumplimiento de normativas de Security Center.
Las recomendaciones de seguridad para sus recursos de GCP aparecerán en el portal de Security Center y en
el panel de cumplimiento de normativas entre 5 y 10 minutos después de que finalice la incorporación:

Supervisión de los recursos de GCP

Como se mostró anteriormente, en la página de recomendaciones de seguridad de Azure Security Center
aparecen los recursos de GCP junto con los recursos de Azure y AWS, lo que ofrece una verdadera vista
multinube.
Para ver todas las recomendaciones activas de los recursos por tipo de recurso, use la página de inventario de
recursos de Security Center y filtre por el tipo de recurso de GCP que le interesa:
Preguntas más frecuentes sobre la conexión de las cuentas de GCP a
Azure Security Center
¿Puedo conectar varias organizaciones de GCP a Security Center?
Sí. El conector GCP de Security Center conecta los recursos de Google Cloud al nivel de organización.
Cree un conector para cada organización de GCP que desee supervisar desde Security Center. Al conectar una
organización, se agregan todos los proyectos de esa organización a Security Center.
Aprenda sobre la jerarquía de recursos de Google Cloud en los documentos en línea de Google.
¿Hay una API para conectar mis recursos de GCP a Security Center?
Sí. Para crear, editar o eliminar conectores en la nube en Security Center con una API REST, consulte los detalles
de Connectors API.

Pasos siguientes
La conexión de la cuenta de GCP forma parte de la experiencia multinube disponible en Azure Security Center.
Para información relacionada, consulte la página siguiente:
Conexión de las cuentas de AWS a Azure Security Center
Jerarquía de recursos de Google Cloud: aprenda sobre la jerarquía de recursos de Google Cloud en los
documentos en línea de Google.
 Inicio rápido: Creación de una respuesta automática
a una alerta de seguridad concreta mediante una
plantilla de Resource Manager
09/04/2021 • 5 minutes to read • Edit Online

En este inicio rápido se describe cómo usar una plantilla de Azure Resource Manager para crear una
automatización de flujos de trabajo que desencadene una aplicación lógica cuando Azure Security Center reciba
determinadas alertas de seguridad.
Una plantilla de Resource Manager es un archivo de notación de objetos JavaScript (JSON) que define la
infraestructura y la configuración del proyecto. La plantilla usa sintaxis declarativa. En la sintaxis declarativa, se
describe la implementación deseada sin escribir la secuencia de comandos de programación para crearla.
Si su entorno cumple los requisitos previos y está familiarizado con el uso de plantillas de Resource Manager,
seleccione el botón Implementar en Azure . La plantilla se abrirá en Azure Portal.

Prerrequisitos
Si no tiene una suscripción a Azure, cree una cuenta gratuita antes de empezar.
Para ver una lista de los roles y permisos necesarios para trabajar con la característica de automatización de
flujos de trabajo de Azure Security Center, consulte Automatización de flujos de trabajo.

Revisión de la plantilla
La plantilla usada en este inicio rápido forma parte de las plantillas de inicio rápido de Azure.

{
"$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
"contentVersion": "1.0.0.0",
"parameters": {
"automationName": {
"type": "string",
"minLength": 3,
"maxLength": 24
},
"location": {
"type": "string",
"defaultValue": "[resourceGroup().location]",
"metadata": {
"description": "Location for the automation"
}
},
"logicAppName": {
"type": "string",
"minLength": 3
},
"logicAppResourceGroupName": {
"type": "string",
"minLength": 3
},
"subscriptionId": {
"type": "string",
 "type": "string",
"defaultValue": "[subscription().subscriptionId]",
"metadata": {
"description": "The Azure resource GUID id of the subscription"
}
},
"alertSettings": {
"type": "object",
"metadata": {
"description": "The alert settings object used for deploying the automation"
}
}
},
"variables": {
"automationDescription": "automation description for subscription {0}",
"scopeDescription": "automation scope for subscription {0}"
},
"resources": [
{
"type": "Microsoft.Security/automations",
"apiVersion": "2019-01-01-preview",
"name": "[parameters('automationName')]",
"location": "[parameters('location')]",
"properties": {
"description": "[format(variables('automationDescription'),'{0}', parameters('subscriptionId'))]",
"isEnabled": true,
"actions": [
{
"actionType": "LogicApp",
"logicAppResourceId": "[resourceId('Microsoft.Logic/workflows', parameters('logicAppName'))]",
"uri": "[listCallbackURL(resourceId(parameters('subscriptionId'),
parameters('logicAppResourceGroupName'), 'Microsoft.Logic/workflows/triggers', parameters('logicAppName'),
'manual'), '2019-05-01').value]"
}
],
"scopes": [
{
"description": "[format(variables('scopeDescription'),'{0}', parameters('subscriptionId'))]",
"scopePath": "[subscription().id]"
}
],
"sources": [
{
"eventSource": "Alerts",
"eventVersionType": "Api",
"copy": [
{
"name": "ruleSets",
"count": "[length(parameters('alertSettings').alertSeverityMapping)]",
"input": {
"rules": [
{
"propertyJPath": "
[parameters('alertSettings').alertSeverityMapping[copyIndex('ruleSets')].jpath]",
"propertyType": "string",
"expectedValue": "
[parameters('alertSettings').alertSeverityMapping[copyIndex('ruleSets')].expectedValue]",
"operator": "
[parameters('alertSettings').alertSeverityMapping[copyIndex('ruleSets')].operator]"
},
{
"propertyJPath": "Severity",
"propertyType": "string",
"expectedValue": "
[parameters('alertSettings').alertSeverityMapping[copyIndex('ruleSets')].severity]",
"operator": "Equals"
}
]
}
}
 }
]
}
]
}
}
]
}

Recursos relevantes
Microsoft.Security/automations : La automatización que desencadenará la aplicación lógica al recibir una
alerta de Azure Security Center que contenga una cadena específica.
Microsoft.Logic/workflows : Una aplicación lógica vacía que se puede desencadenar.
Para ver otras plantillas de inicio rápido de Security Center, consulte estas plantillas de aportadas por la
comunidad.

Implementación de la plantilla
PowerShell :

New-AzResourceGroup -Name <resource-group-name> -Location <resource-group-location> #use this command

when you need to create a new resource group for your deployment
New-AzResourceGroupDeployment -ResourceGroupName <resource-group-name> -TemplateUri
https://raw.githubusercontent.com/Azure/azure-quickstart-templates/master/101-securitycenter-create-
automation-for-alertnamecontains/azuredeploy.json

CLI :

az group create --name <resource-group-name> --location <resource-group-location> #use this command

when you need to create a new resource group for your deployment
az deployment group create --resource-group <my-resource-group> --template-uri
https://raw.githubusercontent.com/Azure/azure-quickstart-templates/master/101-securitycenter-create-
automation-for-alertnamecontains/azuredeploy.json

Por tal :

Para más información acerca de esta opción de implementación, consulte Uso de un botón de
implementación para implementar plantillas desde el repositorio de GitHub.

Revisión de los recursos implementados

Use Azure Portal para comprobar que la automatización de flujos de trabajo se ha implementado.
1. En Azure Portal, abra Security Center .
2. En la barra de menús superior, seleccione el icono de filtro y, después, seleccione la suscripción específica en
la que ha implementado la nueva automatización de flujos de trabajo.
3. En la barra lateral de Security Center, abra la automatización de flujos de trabajo y busque la nueva
automatización.
 TIP
Si tiene muchas automatizaciones de flujos de trabajo en la suscripción, use la opción de filtrar por nombre .

Limpieza de recursos
Cuando ya no la necesite, elimine la automatización de flujos de trabajo mediante Azure Portal.
1. En Azure Portal, abra Security Center .
2. En la barra de menús superior, seleccione el icono de filtro y, después, seleccione la suscripción específica en
la que ha implementado la nueva automatización de flujos de trabajo.
3. En la barra lateral de Security Center, abra la automatización de flujos de trabajo y busque la
automatización que se va a eliminar.

4. Active la casilla correspondiente al elemento que se va a eliminar.

5. En la barra de herramientas, seleccione Eliminar .

Pasos siguientes
Para obtener un tutorial paso a paso que le guíe en el proceso de creación de una plantilla, consulte:
Tutorial: Creación e implementación de su primera plantilla de Resource Manager
 Personalización del conjunto de estándares en el
panel de cumplimiento normativo
30/03/2021 • 7 minutes to read • Edit Online

Azure Security Center compara continuamente la configuración de los recursos con los requisitos de los
estándares del sector, las regulaciones y los bancos de pruebas. En el panel de cumplimiento normativo se
proporciona información sobre su postura de cumplimiento en función de cómo cumple los requisitos de
cumplimiento específicos.

¿Cómo se representan los estándares de cumplimiento normativo en

Security Center?
Los estándares del sector, los estándares normativos y las pruebas comparativas se representan en el panel de
cumplimiento normativo de Security Center. Cada estándar es una iniciativa definida en Azure Policy.
Para ver los datos de cumplimiento asignados como evaluaciones en el panel, agregue un estándar de
cumplimiento a la suscripción o al grupo de administración desde la página Directiva de seguridad . Para
obtener más información sobre Azure Policy y las iniciativas, consulte Uso de directivas de seguridad.
Cuando haya asignado un estándar o una prueba comparativa al ámbito seleccionado, el estándar aparece en el
panel de cumplimiento normativo con todos los datos de cumplimiento asociados asignados como
evaluaciones. También puede descargar informes de resumen para cualquiera de los estándares que se hayan
asignado.
Microsoft realiza un seguimiento de los estándares normativos y mejora automáticamente su cobertura en
algunos de los paquetes a lo largo del tiempo. Cuando Microsoft publica contenido nuevo para la iniciativa,
aparece automáticamente en el panel a medida que se asignan directivas a los controles en el estándar.

¿Qué estándares de cumplimiento normativo están disponibles en

Security Center?
De manera predeterminada, cada suscripción tiene la Azure Security Benchmark asignado. Son las directrices
específicas de Azure creadas por Microsoft para ofrecer los procedimientos recomendados de seguridad y
cumplimiento basados en marcos de cumplimiento comunes. Mas información sobre Azure Security
Benchmark.
También puede agregar estándares como:
NIST SP 800-53 R4
SWIFT CSP CSCF-v2020
UK Official y UK NHS
Canada Federal PBMM
Azure CIS 1.1.0
Los estándares se agregan al panel a medida que están disponibles.

Adición de un estándar de cumplimiento al panel

En los pasos siguientes se explica cómo agregar un paquete para supervisar el cumplimiento de uno de los
estándares normativos admitidas.
 NOTE
Para agregar estándares al panel, la suscripción debe tener habilitado Azure Defender. Además, solo los usuarios que son
propietario o colaborador de directivas tienen los permisos necesarios para agregar estándares de cumplimiento.

1. En la barra lateral de Security Center, seleccione Cumplimiento normativo para abrir el panel de
cumplimiento normativo. Aquí puede ver los estándares de cumplimiento asignados actualmente a las
suscripciones que están seleccionadas.
2. En la parte superior de la página, seleccione Administrar directivas de cumplimiento . Se mostrará la
página Administración de directivas.
3. Seleccione la suscripción o el grupo de administración para el que desea administrar la postura de
cumplimiento normativo.

TIP
Se recomienda seleccionar el ámbito más alto para el que se aplica el estándar y así poder agregar y realizar un
seguimiento de los datos de cumplimiento para todos los recursos anidados.

4. Para agregar los estándares pertinentes para su organización, haga clic en Agregar más estándares .
5. En la página Adición de estándares de cumplimiento normativo , puede buscar cualquiera de los
estándares disponibles, incluidos:
NIST SP 800-53 R4
NIST SP 800 171 R2
SWIFT CSP CSCF v2020
UKO y UK NHS
Canada Federal PBMM
HIPAA/HITRUST
Azure CIS 1.1.0

6. Seleccione Agregar y escriba todos los detalles necesarios para la iniciativa específica, como el ámbito,
los parámetros y la corrección.
7. En la barra lateral de Security Center, vuelva a seleccionar Cumplimiento normativo para volver al
panel de cumplimiento normativo.
El nuevo estándar aparece ahora en la lista de estándares normativos y del sector.
 NOTE
Asimismo, un estándar recién agregado en el panel de cumplimiento puede tardar unas horas en aparecer en el
mismo.

Eliminación de un estándar del panel

Si alguno de los estándares normativos proporcionados no es relevante para su organización, quitarlo de la
interfaz de usuario es un proceso sencillo. Esto le permite personalizar aún más el panel de cumplimiento
normativo y centrarse solo en los estándares que se apliquen en su caso.
Para quitar un estándar:
1. En el menú de Security Center, seleccione Directiva de seguridad .
2. Seleccione la suscripción pertinente de la que desea quitar un estándar.

NOTE
Puede quitar un estándar de una suscripción, pero no de un grupo de administración.

Se abrirá la página de directivas de seguridad. En la suscripción seleccionada, se muestra la directiva

 predeterminada, el sector y los estándares normativos, así como las iniciativas personalizadas que haya
creado.

3. Para el estándar que desea quitar, seleccione Deshabilitar . Se abrirá una ventana de confirmación.

.
4. Seleccione Sí . Se quitará el estándar.

Pasos siguientes
En este artículo, ha aprendido cómo agregar estándares de cumplimiento para supervisar el cumplimiento
de estándares normativos y del sector.
Para obtener material relacionado, vea las páginas siguientes:
Azure Security Benchmark
Panel de cumplimiento normativo de Security Center: obtenga información sobre cómo hacer seguimiento
de los datos de cumplimiento normativo y cómo exportarlos con Security Center y herramientas externas.
Uso de las directivas de seguridad
 Guía de planeamiento y operaciones
30/03/2021 • 25 minutes to read • Edit Online

Esta guía está destinada a profesionales de tecnología de la información (TI), arquitectos de TI, analistas de
seguridad de la información y administradores de la nube que planean usar Azure Security Center.

Guía de planeamiento
Esta guía abarca una serie de tareas que se pueden seguir para optimizar el uso de Security Center en función
de los requisitos de seguridad y el modelo de administración de la nube de su organización. Para poder
beneficiarse plenamente de Security Center, es importante comprender cómo distintas personas o equipos de
su organización usarán el servicio para satisfacer las necesidades relativas al desarrollo y las operaciones
seguros, la supervisión, la gobernanza y la respuesta a incidentes. Las áreas clave que se deben tener en cuenta
al planear el uso de Security Center son:
Roles de seguridad y controles de acceso
Directivas de seguridad y recomendaciones
Recopilación de datos y almacenamiento
Incorporación de recursos que no son de Azure
Supervisión continuada de la seguridad
Respuesta a los incidentes
En la siguiente sección obtendrá información sobre cómo planear cada una de esas áreas y aplicar las
recomendaciones según sus requisitos.

NOTE
Lea en Preguntas más frecuentes sobre Azure Security Center una lista de preguntas habituales que también pueden ser
útiles durante la fase de diseño y planeamiento.

Roles de seguridad y controles de acceso

Según el tamaño y la estructura de su organización, puede que varias personas y equipos usen Security Center
para llevar a cabo diferentes tareas relacionadas con la seguridad. En el siguiente diagrama se ofrece un ejemplo
de personas ficticias y sus respectivos roles y responsabilidades en cuanto a la seguridad:
Security Center hace posible que estos usuarios cumplan estas diversas responsabilidades. Por ejemplo:
Jeff (Propietario de la carga de trabajo)
Administración de una carga de trabajo de nube y sus recursos relacionados
Responsable de la implementación y el mantenimiento de las protecciones de acuerdo con la directiva de
seguridad de la empresa
Ellen (CISO/CIO)
Responsable de todos los aspectos de seguridad de la empresa
Desea comprender la postura de la empresa en materia de seguridad con respecto a las cargas de trabajo de
nube
Se le debe informar de los riesgos y ataques principales
David (Seguridad de TI)
Define directivas de seguridad de la empresa para garantizar que existen las protecciones adecuadas
Supervisa el cumplimiento con directivas
Genera informes para la dirección ejecutiva o los auditores
Judy (Operaciones de seguridad)
Supervisa y responde a alertas de seguridad las 24 horas, los 7 días de la semana
Transfiere el problema al propietario de la carga de trabajo de nube o al analista de seguridad de TI
Sam (Analista de seguridad)
Investigación de los ataques
Trabajar con el propietario de la carga de trabajo de nube para aplicar correcciones
Security Center usa el control de acceso basado en rol de Azure (RBAC de Azure), que proporciona roles
integrados que se pueden asignar a usuarios, grupos y servicios en Azure. Cuando un usuario abre Security
Center, solo ve la información relacionada con los recursos a los que tienen acceso. Esto significa que al usuario
se le asigna el rol de Propietario, Colaborador o Lector para la suscripción o el grupo de recursos a los que
pertenece un recurso. Además de estos roles, hay dos roles específicos de Security Center:
Lector de seguridad : un usuario que pertenece a este rol solo puede ver las configuraciones de Security
Center, que incluyen recomendaciones, alertas, directivas y estados, pero no puede realizar cambios.
 Administrador de seguridad : igual que el lector de seguridad pero también puede actualizar la directiva
de seguridad o descartar recomendaciones y alertas.
Los roles de Security Center descritos anteriormente no tienen acceso a otras áreas de servicio de Azure, como
Storage, Web y móvil o Internet de las cosas.
Con las personas que se explican en el diagrama anterior, sería necesario el siguiente control de acceso basado
en rol de Azure:
Jeff (Propietario de la carga de trabajo)
Propietario o colaborador del grupo de recursos
Ellen (CISO/CIO)
Propietario o colaborador de la suscripción o administrador de seguridad
David (Seguridad de TI)
Propietario o colaborador de la suscripción o administrador de seguridad
Judy (Operaciones de seguridad)
Lector de suscripción o lector de seguridad para ver alertas
Debe ser propietario o colaborador de la suscripción o administrador de seguridad para descartar alertas
Sam (Analista de seguridad)
Lector de la suscripción para ver las alertas
Debe ser propietario o colaborador de la suscripción para descartar alertas
Puede requerir acceso al área de trabajo
Otra información importante que se debe tener en cuenta:
Solo los propietarios o colaboradores de la suscripción y los administradores de seguridad pueden editar
una directiva de seguridad
Los únicos que pueden aplicar recomendaciones de seguridad para un recurso son los propietarios y los
colaboradores de la suscripción y del grupo de recursos.
Cuando planee el control de acceso mediante RBAC de Azure para Security Center, asegúrese de comprender
qué personas de la organización van a usar Security Center. Planee también los tipos de tareas que realizarán y
luego configure RBAC de Azure en consecuencia.

NOTE
Es recomendable que asigne el rol de menos permisos que los usuarios necesiten para realizar sus tareas. Por ejemplo, a
los usuarios que solo necesiten ver información sobre el estado de seguridad de los recursos, pero no llevar a cabo
acciones como aplicar recomendaciones o editar directivas, se les debe asignar el rol Lector.

Directivas de seguridad y recomendaciones

Una directiva de seguridad define la configuración deseada de las cargas de trabajo. Además, ayuda a garantizar
el cumplimiento de los requisitos de seguridad normativos o de la empresa. En Security Center, puede definir
directivas para las suscripciones de Azure, que se pueden adaptar al tipo de carga de trabajo o la
confidencialidad de los datos.
Las directivas de Security Center contienen los componentes siguientes:
 Recopilación de datos: configuración de colección de datos y aprovisionamiento de agente.
Directiva de seguridad: instancia de Azure Policy que determina los controles que Security Center supervisa y
recomienda. También puede usar Azure Policy para crear definiciones, definir directivas adicionales y asignar
directivas en los grupos de administración.
Notificaciones por correo electrónico: configuración de contactos de seguridad y notificaciones.
Nivel de precios: con o sin Azure Defender, que determina qué características de Security Center están
disponibles para los recursos en el ámbito (se puede especificar para suscripciones y áreas de trabajo o para
grupos de recursos mediante la API).

NOTE
Al especificar un contacto de seguridad se garantiza que Azure puede llegar a la persona adecuada de su organización si
se produce un incidente de seguridad. Consulte Proporcionar detalles de contacto de seguridad en Azure Security Center
para más información sobre cómo habilitar esta recomendación.

Definiciones y recomendaciones de directivas de seguridad

Security Center crea automáticamente una directiva de seguridad predeterminada para cada una de las
suscripciones de Azure. Puede modificar la directiva en Security Center o usar Azure Policy para crear nuevas
definiciones, definir directivas adicionales y asignar directivas en grupos de administración (que pueden
representar toda la organización, una unidad de negocio de ella, etc.) y supervisar el cumplimiento de estas
directivas en estos ámbitos.
Antes de configurar las directivas de seguridad, revise cada una de las recomendaciones de seguridady
determine si son adecuadas para los diversos grupos de recursos y suscripciones. También es importante
entender qué acción debe realizarse para abordar las recomendaciones de seguridad y qué persona de su
organización será responsable de supervisar las nuevas recomendaciones y llevar a cabo los pasos necesarios.

Recopilación de datos y almacenamiento

Azure Security Center usa el agente de Log Analytics, que es el mismo agente que usa el servicio Azure Monitor,
para recopilar datos de seguridad de las máquinas virtuales. Los datos recopilados por este agente se
almacenan en las áreas de trabajo de Log Analytics.
Agente
Cuando el aprovisionamiento automático está habilitado en la directiva de seguridad, el agente de Log Analytics
(para Windows o Linux) se instala en todas las máquinas virtuales de Azure admitidas y en las nuevas que se
creen. Si la máquina virtual o el equipo ya tienen instalado el agente de Log Analytics, Azure Security Center
aprovechará el agente instalado actual. El proceso del agente está diseñado para que no sea invasivo y tenga un
impacto mínimo sobre el rendimiento de la máquina virtual.
El agente de Log Analytics para Windows requiere el uso del puerto TCP 443. Para más información, consulte el
artículo de solución de problemas.
Si en algún momento desea deshabilitar la recopilación de datos, puede desactivarla en la directiva de
seguridad. Sin embargo, como el agente de Log Analytics se puede usar en otros servicios de administración y
supervisión de Azure, el agente no se desinstalará automáticamente cuando desactive la recopilación de datos
en Security Center. En caso necesario, puede desinstalar el agente manualmente.

NOTE
Para encontrar una lista de máquinas virtuales admitidas, lea las preguntas frecuentes sobre Azure Security Center.

Área de trabajo
Un área de trabajo es un recurso de Azure que actúa como contenedor de los datos. Tanto usted como otros
miembros de la organización pueden usar varias áreas de trabajo para administrar diferentes conjuntos de
datos, recopilados a partir de toda la infraestructura de TI o de algunos de sus componentes.
Los datos recopilados por el agente de Log Analytics (en nombre de Azure Security Center) se almacenarán en
las áreas de trabajo de Log Analytics existentes asociadas con la suscripción de Azure o en unas nuevas áreas de
trabajo, según la región geográfica de la máquina virtual.
En el portal de Azure, puede realizar una exploración para ver una lista de las áreas de trabajo de Log Analytics,
incluidas las creadas por Azure Security Center. Se creará un grupo de recursos relacionado para las nuevas
áreas de trabajo. Ambas siguen esta convención de nomenclatura:
Área de trabajo: DefaultWorkspace-[subscription-ID]-[geo]
Grupo de recursos: DefaultResourceGroup-[geo]
En el caso de las áreas de trabajo creadas por Azure Security Center, los datos se conservan durante 30 días. En
las áreas de trabajo existentes, la retención se basa en el plan de tarifa del área de trabajo. Si lo desea, también
puede usar un área de trabajo existente.

NOTE
Microsoft está totalmente comprometido con la protección de la privacidad y la seguridad de estos datos. Microsoft se
adhiere a instrucciones estrictas de seguridad y cumplimiento de normas, desde la codificación hasta la operación de un
servicio. Para más información sobre el control de datos y la privacidad, lea Seguridad de datos de Azure Security Center.

Incorporación de recursos que no son de Azure

Security Center puede supervisar la situación de seguridad de los equipos que no son de Azure, pero para ello
antes hay que incorporar esos recursos. Para más información sobre cómo incorporar recursos que no son de
Azure, lea Incorporar equipos que no son de Azure.

Supervisión continuada de la seguridad

Después de la configuración inicial y la aplicación de las recomendaciones de Security Center, el siguiente paso
consiste en considerar los procesos operativos de Security Center.
La información general de Security Center proporciona una vista unificada de la seguridad en todos los recursos
de Azure y los recursos que no son de Azure que ha conectado. En el ejemplo siguiente se muestra un entorno
con muchos problemas que se deben solucionar:
 NOTE
Security Center no interferirá en los procedimientos operativos normales, sino que supervisará de forma pasiva las
implementaciones y proporcionará recomendaciones basadas en las directivas de seguridad que se hayan habilitado.

Cuando elige por primera vez usar Security Center para su entorno actual de Azure, debe asegurarse de revisar
todas las recomendaciones, lo cual se puede hacer en la página Recomendaciones .
Planee la visita a la opción de inteligencia sobre amenazas como parte de las operaciones de seguridad diarias.
Ahí puede identificar las amenazas de seguridad en el entorno, como determinar si un determinado equipo es
parte de una red de robots (botnet).
Supervisión de recursos nuevos o modificados
La mayoría de los entornos de Azure son dinámicos; en ellos se crean recursos, se activan o desactivan, se
reconfiguran y se cambian. Security Center ayuda a garantizar la visibilidad del estado de seguridad de estos
nuevos recursos.
Cuando agregue nuevos recursos (máquinas virtuales, bases de datos SQL) a su entorno de Azure, Security
Center los detectará automáticamente y empezará a supervisar su seguridad. Esto también incluye los roles web
de PaaS y los roles de trabajo. Si la recopilación de datos está habilitada en la directiva de seguridad, se
habilitarán automáticamente funcionalidades de supervisión adicionales para las máquinas virtuales.
También debería supervisar periódicamente los recursos existentes en busca de cambios de configuración que
podrían haber creado riesgos de seguridad, desviaciones de las bases de referencia recomendadas y alertas de
seguridad.
Protección de acceso y aplicaciones
Como parte de las operaciones de seguridad, también debe adoptar medidas preventivas para restringir el
acceso a las máquinas virtuales y controlar las aplicaciones que se ejecutan en ellas. Si bloquea el tráfico
entrante a las máquinas virtuales de Azure, reduce la exposición a los ataques y, al mismo tiempo, proporciona
un acceso fácil para conectarse a ellas cuando es necesario. Use la característica Acceso a VM Just-In-Time para
proteger el acceso a las máquinas virtuales.
Puede usar controles de aplicación adaptables para limitar las aplicaciones que se pueden ejecutar en las
máquinas virtuales que se encuentran en Azure. Entre otras ventajas, esto ayuda a proteger las máquinas
virtuales frente al malware. Con el aprendizaje automático, Security Center analiza los procesos que se ejecutan
en la máquina virtual para ayudarle a crear reglas de inclusión en la lista de permitidos.

Respuesta a los incidentes

Security Center detecta amenazas y alerta sobre ellas a medida que se producen. Las organizaciones deben
estar al tanto de las nuevas alertas de seguridad y tomar medidas según sea necesario para investigarlas o
solucionar el ataque. Para más información sobre cómo funciona la detección contra amenazas de Security
Center, lea ¿Cómo detecta Security Center las amenazas y responde a ellas?.
Aunque el objetivo de este artículo no es ayudarle a crear su propio plan de respuesta a incidentes, vamos a
usar las respuestas de seguridad de Microsoft Azure en el ciclo de vida de la nube como base para las fases de la
respuesta a incidentes. Estas fases se muestran en el diagrama siguiente:

NOTE
Puede usar la guía Computer Security Incident Handling Guide sobre el tratamiento de los incidentes de seguridad
informática del National Institute of Standards and Technology (NIST) de EE. UU. como ayuda para crear el suyo propio.

Puede utilizar alertas de Security Center durante las fases siguientes:

Detectar : identifique una actividad sospechosa en uno o varios recursos.
Evaluar : realice la evaluación inicial para más información acerca de la actividad sospechosa.
Diagnosticar : siga los pasos de corrección para llevar a cabo el procedimiento técnico para solucionar el
problema.
Cada alerta de seguridad proporciona información que sirve para comprender la naturaleza del ataque y sugerir
posibles mitigaciones. Algunas alertas también proporcionan vínculos a más datos o a otras fuentes de
información dentro de Azure. Puede usar la información proporcionada para proseguir la investigación y para
iniciar la mitigación, y también puede buscar datos relacionados con la seguridad que se almacenan en el área
de trabajo.
En el ejemplo siguiente se muestra una actividad sospechosa de RDP:
En esta página se muestran los detalles relacionados con la hora en que ocurrió el ataque, el nombre del host de
origen, la máquina virtual de destino y también pasos recomendados. En algunas circunstancias, la información
de origen del ataque puede estar vacía. Consulte Missing Source Information in Azure Security Center Alerts
(Falta de información de origen en las alertas de Azure Security Center) para más información acerca de este
tipo de comportamiento.
Una vez identificado el sistema en riesgo, puede ejecutar una automatización de flujos de trabajo creada
anteriormente. Se trata de una colección de procedimientos que se pueden ejecutar desde Security Center una
vez que se desencadene mediante una alerta.
En el vídeo Uso de Azure Security Center y Microsoft Operations Management Suite para dar respuesta a
incidentes, puede ver algunas demostraciones que muestran cómo se puede usar Security Center en cada una
de estas fases.

NOTE
Para más información acerca de cómo usar las funcionalidades de Security Center durante el proceso de respuesta ante
incidentes, consulte Administración y respuesta a las alertas de seguridad en Azure Security Center.

Pasos siguientes
En este documento, ha aprendido a planear la adopción de Security Center. Para más información sobre el
Centro de seguridad, consulte los siguientes recursos:
Administración y respuesta a las alertas de seguridad en el Centro de seguridad de Azure
Supervisión de las soluciones de asociados con Azure Security Center: aprenda a supervisar el estado de
mantenimiento de las soluciones de asociados.
Preguntas más frecuentes sobre Azure Security Center : encuentre las preguntas más frecuentes sobre el uso
del servicio.
Blog de seguridad de Azure : encuentre entradas de blog sobre el cumplimiento y la seguridad en Azure.
 Tutorial: Protección de los recursos con Azure
Security Center
24/03/2021 • 4 minutes to read • Edit Online

Security Center limita la exposición a amenazas mediante controles de acceso y aplicación para bloquear
actividades malintencionadas. El acceso a las máquinas virtuales Just-In-Time (JIT) reduce la exposición a
ataques mediante la posibilidad de denegar el acceso persistente a las máquinas virtuales. En su lugar, se
proporciona acceso controlado y auditado a VM solo cuando se necesita. Los controles de aplicación adaptables
ayudan a proteger las VM frente a malware controlando qué aplicaciones se pueden ejecutar en dichas VM.
Security Center usa el aprendizaje automático para analizar los procesos que se ejecutan en la máquina virtual y
le ayuda a aplicar reglas de inclusión en listas de permitidos con esta inteligencia.
En este tutorial, aprenderá a:
Configuración de una directiva de acceso a las máquinas virtuales Just-In-Time
Configuración de una directiva de control de aplicación

Prerrequisitos
Para recorrer las características descritas en este tutorial, debe tener habilitado Azure Defender. Hay una
evaluación gratuita disponible. Para actualizar, consulte Habilitación de Azure Defender.

Administración de acceso a VM
El acceso a VM JIT se puede usar para bloquear el tráfico entrante a las VM de Azure. Para ello, se reduce la
exposición a ataques al mismo tiempo que se proporciona un acceso sencillo para conectarse a las VM cuando
sea necesario.
No es necesario que los puertos de administración estén abiertos en todo momento. Solo deben estar abiertos
mientras se está conectado a la máquina virtual, por ejemplo, para realizar tareas de administración o
mantenimiento. Cuando se habilita Just-In-Time, Security Center usa las reglas del grupo de seguridad de red
(NSG), que restringen el acceso a los puertos de administración para que no puedan ser objeto de ataques.
Siga las instrucciones de Protección de los puertos de administración con el acceso Just-in-Time.

Proteger VM frente a malware

Los controles de aplicación adaptables ayudan a definir un conjunto de aplicaciones que se pueden ejecutar en
grupos de recursos configurados que, entre otras ventajas, le ayuda a proteger las VM frente a malware.
Security Center usa el aprendizaje automático para analizar los procesos que se ejecutan en la máquina virtual y
le ayuda a aplicar reglas de inclusión en listas de permitidos con esta inteligencia.
Siga las instrucciones de Uso de controles de aplicaciones adaptables para reducir las superficies de ataque de
las máquinas.

Pasos siguientes
En este tutorial, aprendió a limitar la exposición a amenazas mediante:
La configuración de un directiva de acceso a las máquinas virtuales Just-In-Time para proporcionar acceso
controlado y auditado a las máquinas virtuales solo cuando sea necesario
 La configuración de una directiva de controles de aplicación adaptables para controlar qué aplicaciones se
pueden ejecutar en las VM
Pase al siguiente tutorial para aprender a responder a incidentes relacionados con la seguridad.
Tutorial: Respuesta a incidentes de seguridad
 Tutorial: Evaluación de prioridades, investigación y
respuesta a alertas de seguridad
30/03/2021 • 8 minutes to read • Edit Online

Security Center analiza continuamente las cargas de trabajo de la nube híbrida y usa el análisis avanzado y la
inteligencia sobre amenazas para alertarle de cualquier actividad potencialmente malintencionada en los
recursos en la nube. También puede integrar alertas de otros productos y servicios de seguridad en Security
Center. Una vez que se genera una alerta, es necesario investigarla y corregir el posible problema de seguridad.
En este tutorial, aprenderá a:
Evaluar las prioridades de las alertas de seguridad
Investigar una alerta de seguridad para determinar la causa raíz
Responder a una alerta de seguridad y mitigar la causa principal
Si no tiene una suscripción a Azure, cree una cuenta gratuita antes de empezar.

Prerrequisitos
Para recorrer las características descritas en este tutorial, debe tener habilitado Azure Defender. Puede probar
Azure Defender sin costo alguno. Para más información, consulte la página de precios. La guía de inicio rápido
Introducción a Security Center le guiará en la actualización.

Evaluación de las prioridades de las alertas de seguridad

Security Center proporciona una vista unificada de todas las alertas de seguridad. Las alertas de seguridad se
clasifican en función de la gravedad de la actividad detectada.
Evalúe la prioridad de las alertas en la página Aler tas de seguridad :
Esta página se usa para revisar las alertas de seguridad activas en su entorno para decidir qué alerta hay que
investigar primero.
Al evaluar la prioridad de las alertas de seguridad, asigne prioridad a las alertas en función de la gravedad de la
alerta solucionando en primer lugar las alertas con una mayor gravedad. Obtenga más información sobre la
gravedad de las alertas en ¿Cómo se clasifican las alertas?.

TIP
Azure Security Center se puede conectar a las soluciones SIEM más populares, como Azure Sentinel, y consumir las alertas
de la herramienta que prefiera. Puede encontrar más información en Transmisión de alertas a una solución de
administración de servicios de TI, SIEM o SOAR.

Investigación de una alerta de seguridad

Cuando haya decidido qué alerta desea investigar primero:
1. Seleccione la alerta que desee.
2. En la página de información general de alertas, seleccione el recurso que desea investigar en primer
lugar.
3. Comience la investigación en el panel izquierdo, que muestra información de alto nivel sobre la alerta de
seguridad.
 Este panel muestra:
Gravedad de la alerta, estado y tiempo de actividad.
Descripción que explica la actividad precisa detectada.
Recursos afectados.
Intención de la cadena de eliminación de la actividad en la matriz de MITRE ATT & CK
4. Para obtener información más detallada que pueda ayudarle a investigar la actividad sospechosa,
examine la pestaña Detalles de la aler ta .
5. Cuando haya repasado la información de esta página, puede que sea suficiente para continuar con una
respuesta. Si necesita más detalles:
Póngase en contacto con el propietario del recurso para comprobar si la actividad detectada es un
falso positivo.
Investigue los registros sin procesar que ha generado el recurso atacado.

Respuesta a una alerta de seguridad

Después de investigar una alerta y conocer su ámbito, puede responder a la alerta de seguridad desde Azure
Security Center:
1. Abra la pestaña Tomar medidas para ver las respuestas recomendadas.
2. Consulte la sección Mitigación de la amenaza para ver los pasos de investigación manual necesarios
para mitigar el problema.
3. Para proteger los recursos y evitar futuros ataques de este tipo, lleve a cabo las recomendaciones de
seguridad que se indican en la sección Prevención ante futuros ataques .
4. Para desencadenar una aplicación lógica con pasos de respuesta automatizados, use la sección
Desencadenamiento de respuesta automatizada .
5. Si la actividad detectada no es malintencionada, puede suprimir las alertas futuras de este tipo mediante
la sección Supresión de aler tas similares .
6. Cuando haya completado la investigación en la alerta y respondido de la manera adecuada, cambie el
estado a Descar tado .

Así se elimina la alerta de la lista de alertas principales. Puede usar el filtro de la página de la lista de
alertas para ver todas las alertas con el estado Descar tado .
7. Le recomendamos que proporcione comentarios sobre la alerta a Microsoft:
a. Marque la alerta como Útil o No útil .
b. Seleccione un motivo y agregue un comentario.
 TIP
Examinamos sus comentarios para mejorar nuestros algoritmos y proporcionar mejores alertas de seguridad.

Finalización del tutorial

Otras guías de inicio rápido y tutoriales de esta colección se basan en los valores de esta. Si tiene previsto seguir
trabajando con las guías de inicio rápido y los tutoriales posteriores, mantenga el aprovisionamiento automático
y Azure Defender habilitados.
Si no tiene previsto continuar o desea deshabilitar cualquiera de estas características:
1. Vuelva al menú principal de Security Center y seleccione Precios y configuración .
2. Seleccione la suscripción correspondiente.
3. Para cambiar a una versión anterior, seleccione Azure Defender off (Azure Defender desactivado).
4. Para deshabilitar el aprovisionamiento automático, abra la página Recopilación de datos y establezca
Aprovisionamiento automático en Desactivado .
5. Seleccione Guardar .

NOTE
La deshabilitación del aprovisionamiento automático no quita el agente de Log Analytics de las máquinas virtuales de
Azure que ya lo tienen. La deshabilitación del aprovisionamiento automático limita la supervisión de seguridad de los
recursos.

Pasos siguientes
En este tutorial, ha obtenido información acerca de las características de Security Center que se deben usar
cuando se responde a una alerta de seguridad. Para obtener material relacionado, vea lo siguiente:
Respuesta a las alertas de Azure Defender para Key Vault
Alertas de seguridad: una guía de referencia
Introducción a Azure Defender
 Tutorial: Mejora del cumplimiento normativo
09/04/2021 • 20 minutes to read • Edit Online

Azure Security Center resulta de gran ayuda para simplificar el proceso necesario para cumplir los requisitos de
cumplimiento normativo, para lo que se usa el panel de cumplimiento normativo. .
Security Center evalúa continuamente el entorno de nube híbrida para analizar los factores de riesgo con
arreglo a los controles y los procedimientos recomendados establecidos en los estándares que se aplican a las
suscripciones. El panel refleja el estado de cumplimiento con respecto a estos estándares.
Cuando habilite Security Center en una suscripción de Azure, se asignará automáticamente a esta suscripción el
estándar Azure Security Benchmark. Este punto de referencia ampliamente respetado está basado en los
controles del Centro de seguridad de Internet (CIS) y del National Institute of Standards and Technology (NIST) y
hace hincapié en la seguridad centrada en la nube.
En el panel de cumplimiento normativo se indica el estado de todas estas valoraciones realizadas en el entorno
conforme a las normativas y los estándares elegidos. Al actuar sobre las recomendaciones y reducir los factores
de riesgo en su entorno, su estado de cumplimiento normativo mejora.
En este tutorial, aprenderá a:
Evaluar su cumplimiento normativo mediante el panel de cumplimiento normativo.
Mejorar su estado de cumplimiento normativo mediante la realización de acciones sobre las
recomendaciones
Configurar alertas sobre los cambios en la estado de cumplimiento
Exportar los datos de cumplimiento como una secuencia continua y como instantáneas semanales
Si no tiene una suscripción a Azure, cree una cuenta gratuita antes de empezar.

Prerrequisitos
Para recorrer las características descritas en este tutorial:
Azure Defender debe estar habilitado. Puede probar Azure Defender gratis durante 30 días.
Debe haber iniciado sesión con una cuenta que tenga acceso de lectura a los datos de cumplimiento de
directivas (Lector de seguridad no es suficiente). El rol Lector global para la suscripción funcionará.
Como mínimo, necesitará tener asignados los roles Colaborador de directivas de recursos y
Administrador de seguridad .

Mejora del cumplimiento de reglamentaciones

El panel de cumplimiento normativo muestra los estándares normativos seleccionados, con todos sus requisitos.
Los requisitos compatibles se asignarán a las evaluaciones de seguridad correspondientes. El estado de estas
evaluaciones refleja el estado de cumplimiento con respecto a los estándares.
Utilice el panel de cumplimiento normativo para centrarse en las deficiencias relativas al cumplimiento de las
normativas y estándares elegidos. Esta vista focalizada también le permite supervisar continuamente su
puntuación de cumplimiento a lo largo del tiempo para entornos híbrido y de nube dinámicos.
1. En el menú de Security Center, seleccione Cumplimiento normativo .
En la parte superior de la pantalla hay un panel con información general sobre su estado de
cumplimiento con respecto a las normativas compatibles. Allí se indica la puntuación global de
 cumplimiento y el número de valoraciones aprobadas y suspendidas asociadas a cada estándar.

2. Seleccione la pestaña de la norma que le interese (1). Verá las suscripciones en las que se aplica la norma
(2) y la lista de todos los controles de esa norma (3). Para saber qué controles se pueden aplicar, puede
ver los detalles de las evaluaciones superadas y no superadas asociadas a ese control (4) y el número de
recursos afectados (5). Algunos controles aparecen atenuados, no tienen valoraciones de Security Center
asociadas. Compruebe sus requisitos y evalúelos en el entorno. Es posible que algunos de ellos estén
relacionados con los procesos y no sean técnicos.
3. Para generar un informe PDF con un resumen de su estado de cumplimiento actual en relación con un
estándar concreto, seleccione Descargar informe .
El informe proporciona un resumen general sobre el estado de cumplimiento del estándar seleccionado
en función de los datos de las evaluaciones de Security Center. El informe se organiza según los controles
de ese estándar determinado. El informe se puede compartir con las partes interesadas competentes y
puede proporcionar evidencia a los auditores internos y externos.

Mejora de su estado de cumplimiento de la norma

El panel contiene información que le ayudará a mejorar el cumplimiento normativo y le permitirá resolver las
recomendaciones directamente en él.
1. Seleccione cualquiera de las evaluaciones no superadas que aparecen en el panel para ver los detalles de
dicha recomendación. Cada recomendación incluye un conjunto de pasos de corrección para resolver el
problema.
2. Seleccione un recurso concreto para ver más detalles y resolver la recomendación relacionada.
Por ejemplo, en el estándar Azure CIS 1.1.0 , seleccione la recomendación El cifrado de disco se debe
aplicar en las máquinas vir tuales .
3. En este ejemplo, si selecciona Realizar acción en la página de detalles de la recomendación, accederá
Azure Portal, a las páginas de la máquina virtual de Azure, donde podrá abrir la pestaña Seguridad y
habilitar el cifrado:

Para más información sobre cómo aplicar las recomendaciones, consulte Implementación de
recomendaciones de seguridad en Azure Security Center.
4. Una vez realizadas las acciones necesarias para resolver las recomendaciones, podrá ver el resultado en
el informe del panel de cumplimiento, ya que la puntuación de cumplimiento mejora.
 NOTE
Las valoraciones se ejecutan aproximadamente cada 12 horas, por lo que el efecto sobre los datos de
cumplimiento solo se constatará tras la ejecución siguiente de la valoración en cuestión.

Exportación de los datos de estado de cumplimiento

Si desea hacer un seguimiento del estado de cumplimiento con otras herramientas de supervisión de su
entorno, Security Center dispone de un mecanismo de exportación que facilita esta tarea. Configure la
expor tación continua para enviar una selección de los datos a un centro de eventos de Azure o un área de
trabajo de Log Analytics.
Utilice los datos de exportación continua con un centro de eventos de Azure o un área de trabajo de Log
Analytics:
Exporte todos los datos de cumplimiento normativo en un flujo continuo :

Exporte instantáneas semanales de los datos de cumplimiento normativo:

También puede exportar un informe PDF/CSV de los datos de cumplimiento directamente desde el panel:

Para más información, consulte este artículo sobre la exportación continua de datos de Security Center.

Ejecución de automatizaciones de flujos de trabajo cuando se

producen cambios en el cumplimiento
La característica de automatización de flujos de trabajo de Security Center puede desencadenar Logic Apps cada
vez que una de las evaluaciones de cumplimiento normativo cambie el estado.
Por ejemplo, si quiere que Security Center envíe un correo electrónico a un usuario específico cuando no se
supere una valoración de cumplimiento, primero tendrá que crear la aplicación lógica (mediante Azure Logic
Apps) y después tendrá que configurar el desencadenador en una nueva automatización de flujos de trabajo, tal
y como se explica en Automatización de respuestas a desencadenadores de Security Center.

Preguntas frecuentes sobre el panel de cumplimiento normativo

¿Qué estándares se admiten en el panel de cumplimiento?
¿Por qué algunos controles aparecen atenuados?
¿Cómo se puede quitar del panel un estándar integrado, como PCI-DSS, ISO 27001 o SOC2 TSP?
He realizado el cambio sugerido según la recomendación, pero no aparece reflejado en el panel
¿Qué permisos necesito para acceder al panel de cumplimiento?
No se carga el panel de cumplimiento normativo
¿Cómo puedo ver un informe de los controles superados y no superados por estándar en mi panel?
¿Cómo puedo descargar un informe con datos de cumplimiento en un formato distinto de PDF?
¿Cómo puedo crear excepciones para algunas de las directivas en el panel de cumplimiento normativo?
¿Qué planes o licencias de Azure Defender necesito para usar el panel de cumplimiento normativo?
¿Qué estándares se admiten en el panel de cumplimiento?
De forma predeterminada, el panel de cumplimiento normativo muestra Azure Security Benchmark. Azure
Security Benchmark es el conjunto de directrices específico de Azure creado por Microsoft para ofrecer los
procedimientos recomendados de seguridad y cumplimiento basados en marcos de cumplimiento comunes.
Puede obtener más información en Introducción a las pruebas comparativas de seguridad de Azure.
Para hacer un seguimiento del cumplimiento con cualquier otro estándar, deberá agregarlo explícitamente al
panel.
Puede agregar estándares como Azure CIS 1.1.0 (nuevo), NIST SP 800-53 R4, NIST SP 800-171 R2, SWIFT CSP
CSCF-v2020, UK Official y UK NHS, HIPAA HITRUST, Canada Federal PBMM, ISO 27001, SOC2-TSP y PCI-DSS
3.2.1.
Se agregarán más estándares al panel y se incluirán en la información sobre cómo personalizar el conjunto de
estándares en el panel de cumplimiento normativo.
¿Por qué algunos controles aparecen atenuados?
Cada estándar de cumplimiento incluido en el panel incluye una lista de los controles del estándar. Para saber
qué controles se pueden aplicar, puede ver los detalles de las evaluaciones superadas y no superadas.
Algunos controles aparecen atenuados, no tienen valoraciones de Security Center asociadas. Algunos pueden
estar relacionados con el procedimiento o el proceso y, por lo tanto, no se pueden comprobar mediante Security
Center. Otros todavía no tienen ninguna directiva o evaluación automatizada implementada, pero la tendrán en
el futuro. Y otros controles pueden ser responsabilidad de la plataforma, como se explica en Responsabilidad
compartida en la nube.
¿Cómo se puede quitar del panel un estándar integrado, como PCI -DSS, ISO 27001 o SOC2 TSP?
Para personalizar el panel de cumplimiento normativo y centrarse solo en los estándares aplicables, puede
quitar cualquiera de los estándares normativos incluidos que no sean aplicables para su organización. Para
quitar un estándar, siga las instrucciones de Eliminación de un estándar del panel.
He realizado el cambio sugerido según la recomendación, pero no aparece reflejado en el panel
Después de tomar medidas para resolver las recomendaciones, espere 12 horas para ver los cambios en los
datos de cumplimiento. Las evaluaciones se ejecutan aproximadamente cada 12 horas, por lo que este es el
tiempo que tardará en verse el efecto en los datos de cumplimiento.
¿Qué permisos necesito para acceder al panel de cumplimiento?
Para ver los datos de cumplimiento, debe tener también al menos acceso de lectura a los datos de
cumplimiento de directivas; por lo tanto, el acceso de lector de seguridad solo no será suficiente. Si es lector
global de la suscripción, también será suficiente.
El conjunto mínimo de roles para acceder al panel y administrar los estándares es Colaborador de la
directiva de recursos y Administrador de seguridad .
No se carga el panel de cumplimiento normativo
Para usar el panel de cumplimiento normativo, Azure Security Center debe tener Azure Defender habilitado en
el nivel de suscripción. Si el panel no se carga correctamente, pruebe los pasos siguientes:
1. Borre la caché del explorador.
2. Pruebe con otro explorador.
3. Intente abrir el panel desde otra ubicación de red.
¿Cómo puedo ver un informe de los controles superados y no superados por estándar en mi panel?
En el panel principal, puede ver un informe de los controles superados y no superados de (1) los 4 principales
estándares de cumplimiento con el resultado más bajo en el panel. Para ver todo el estado de todos los
controles superados y no superados, seleccione (2) Mostrar todo x (donde x es el número de estándares de los
que está realizando el seguimiento). Un plano de contexto muestra el estado de cumplimiento de cada uno de
los estándares de los que se realiza el seguimiento.
¿Cómo puedo descargar un informe con datos de cumplimiento en un formato distinto de PDF?
Al seleccionar Descargar Informe , puede seleccionar el estándar y el formato (PDF o CSV). El informe
resultante reflejará el conjunto actual de suscripciones que ha seleccionado en el filtro del portal.
El informe PDF muestra el estado resumido del estándar seleccionado.
El informe CSV proporciona resultados detallados por recurso, ya que los relaciona con las directivas
asociadas a cada control.
Actualmente, no se admite la descarga del informe de una directiva personalizada, solo se pueden descargar los
estándares normativos proporcionados.
¿Cómo puedo crear excepciones para algunas de las directivas en el panel de cumplimiento normativo?
En el caso de las directivas integradas en Security Center y que se incluyen en la puntuación de seguridad,
puede crear exenciones para uno o más recursos directamente en el portal, tal como se explica en Exención de
recursos y recomendaciones de la puntuación de seguridad.
En el caso de otras directivas, puede crear una exención directamente en la propia directiva, siguiendo las
instrucciones de Estructura de exención de Azure Policy.
¿Qué planes o licencias de Azure Defender necesito para usar el panel de cumplimiento normativo?
Si tiene cualquiera de los paquetes de Azure Defender habilitado en cualquiera de los tipos de recursos de
Azure, tiene acceso al panel de cumplimiento normativo, con todos sus datos, en Security Center.

Pasos siguientes
En este tutorial ha aprendido a utilizar el panel de cumplimiento normativo de Security Center para:
Vea y supervise su estado de cumplimiento con arreglo a los estándares y regulaciones que le interesen.
Mejorar el estado de cumplimiento mediante la resolución de las recomendaciones pertinentes y la
observación de la mejora en la puntuación del cumplimiento.
El panel de cumplimiento normativo puede simplificar considerablemente el proceso de cumplimiento y reducir
en gran medida el tiempo necesario para recopilar las pruebas de cumplimiento en un entorno de Azure, un
entorno híbrido y un entorno con varias nubes.
Para más información, consulte los artículos relacionados:
Personalización del conjunto de estándares en el panel de cumplimiento normativo: aprenda a seleccionar
los estándares que aparecen en el panel de cumplimiento normativo.
Recomendaciones de seguridad en Azure Security Center: aprenda a usar las recomendaciones de Security
Center como ayuda para la protección de los recursos de Azure.
 Administrar directivas de seguridad
22/03/2021 • 8 minutes to read • Edit Online

En este artículo se explica cómo configurar directivas de seguridad y cómo visualizarlas en Security Center.

¿Quién puede editar directivas de seguridad?

Puede editar directivas de seguridad mediante el portal de Azure Policy, la API REST o con Windows PowerShell.
Security Center usa el control de acceso basado en roles de Azure (Azure RBAC), que proporciona roles
integrados que puede asignar a usuarios, grupos y servicios de Azure. Cuando un usuario abre Security Center,
solo ve la información relacionada con los recursos a los que puede tener acceso. Esto significa que a los
usuarios se les asigna el rol de propietario, colaborador o lector para la suscripción del recurso. También hay dos
roles de Security Center específicos:
Lector de seguridad : tiene derechos para ver elementos de Security Center como recomendaciones,
alertas, directiva y estado. No se pueden realizar cambios.
Administrador de seguridad : tiene los mismos derechos de visualización que el lector de seguridad.
También se puede actualizar la directiva de seguridad y descartar alertas.

Administración de las directivas de seguridad

Para ver las directivas de seguridad de Security Center:
1. En el panel de Security Center , seleccione Directiva de seguridad .
 En la pantalla Administración de directivas , puede ver el número de grupos de administración,
suscripciones y áreas de trabajo, así como la estructura del grupo de administración.
2. Seleccione el grupo de administración o la suscripción cuyas directivas desea ver.
3. Aparecerá la página de directiva de seguridad de la suscripción o el grupo de administración. Esta
muestra las directivas disponibles y asignadas.

NOTE
Si hay una etiqueta "MG Inherited" junto a la directiva predeterminada, significa que la directiva se ha asignado a
un grupo de administración y que la ha heredado la suscripción que está viendo.

4. Elija entre las opciones disponibles en esta página:

a. Para usar estándares del sector, seleccione Agregar más estándares . Para más información,
consulte Personalización del conjunto de estándares en el panel de cumplimiento normativo.
b. Para asignar y administrar iniciativas personalizadas, seleccione Agregar iniciativas
 personalizadas . Para obtener más información, consulte Uso de iniciativas y directivas de
seguridad personalizadas.
c. Para ver y editar la iniciativa predeterminada, seleccione Ver directiva efectiva y continúe tal
como se describe a continuación.

La pantalla de directiva de seguridad refleja las acciones que realizaron las directivas asignadas
en el grupo de administración o la suscripción que seleccionó.
En la parte superior, use los vínculos proporcionados para abrir cada asignación de
directiva que se aplique al grupo de administración o la suscripción. Puede usar esos
vínculos para obtener acceso a la asignación y editar o deshabilitar la directiva. Por ejemplo,
si ve que una asignación de directiva determinada está denegando la protección de puntos
de conexión, puede usar el vínculo para editar o deshabilitar la directiva.
En la lista de directivas, puede ver la aplicación efectiva de la directiva en su suscripción o
grupo de administración. Esto significa que se tiene en cuenta la configuración de cada
directiva que se aplica al ámbito y se proporciona el resultado acumulado de la acción que
realiza esa directiva. Por ejemplo, si en una asignación la directiva está deshabilitada, pero
en otra está definida en AuditIfNotExist, el efecto acumulado aplica AuditIfNotExist. El efecto
 más activo siempre tiene prioridad.
El efecto de las directivas puede ser: Append, Audit, AuditIfNotExists, Deny,
DeployIfNotExists, Disabled. Para más información sobre cómo se aplican los efectos,
consulte Descripción de los efectos de Policy.

NOTE
Cuando vea directivas asignadas, puede ver varias asignaciones y cómo se configura cada asignación
individualmente.

Deshabilitar las directivas de seguridad y recomendaciones

Si su iniciativa de seguridad desencadena una recomendación que no es relevante para su entorno, puede evitar
que esa recomendación vuelva a aparecer. Para deshabilitar una recomendación, deshabilite la directiva
específica que la genera.
La recomendación que desea deshabilitar seguirá apareciendo si es necesaria para un cumplimiento normativo
aplicado con las herramientas de cumplimiento normativo de Security Center. Incluso si ha deshabilitado una
directiva en la iniciativa integrada, una directiva en la iniciativa del cumplimiento normativo seguirá
desencadenando la recomendación si hace falta para el cumplimiento. No puede deshabilitar directivas de
iniciativas de cumplimiento normativo.
Para más información sobre las recomendaciones, consulte Administración de las recomendaciones de
seguridad.
1. En Security Center, en la sección Directiva y cumplimiento , seleccione Directiva de seguridad .
2. Seleccione el grupo de administración o de suscripción para el que quiere deshabilitar la recomendación.

NOTE
Recuerde que un grupo de administración aplica sus directivas a sus suscripciones. Por lo tanto, si deshabilita la
directiva de una suscripción y la suscripción pertenece a un grupo de administración que todavía usa la misma
directiva, seguirá recibiendo las recomendaciones de la directiva. La directiva se seguirá aplicando desde el nivel de
administración y las recomendaciones se seguirán generando.

3. Seleccione Ver directiva efectiva .

4. Seleccione la directiva asignada.

5. En la sección PARÁMETROS , busque la directiva que invoca la recomendación que quiere deshabilitar y,
en la lista desplegable, seleccione Deshabilitado
6. Seleccione Guardar .

NOTE
Los cambios de deshabilitación de directiva pueden tardar hasta 12 horas en surtir efecto.

Pasos siguientes
En esta página se explicaron las directivas de seguridad. Para obtener información relacionada, consulte las
páginas siguientes:
Obtenga información sobre cómo establecer directivas con PowerShell.
Obtenga información sobre cómo editar una directiva de seguridad en Azure Policy.
Obtenga información sobre cómo establecer una directiva en varias suscripciones o grupos de
administración con Azure Policy.
Obtenga información sobre cómo habilitar Security Center en todas las suscripciones de un grupo de
administración.
 ¿Qué son las directivas de seguridad, las iniciativas y
las recomendaciones?
24/03/2021 • 9 minutes to read • Edit Online

Security Center aplica iniciativas de seguridad a las suscripciones. Estas iniciativas contienen una o varias
directivas de seguridad. Cada una de esas directivas da como resultado una recomendación de seguridad para
mejorar la posición de seguridad. En esta página se explica con detalle cada una de estas ideas.

¿Qué es una directiva de seguridad?

Una definición de directiva de Azure, creada en Azure Policy, es una regla sobre condiciones de seguridad
específicas que quiere controlar. Las definiciones integradas incluyen elementos como el control del tipo de
recursos que se pueden implementar o la aplicación del uso de etiquetas en todos los recursos. También puede
crear su propia definición de directiva personalizada.
Para implementar estas definiciones de directiva (tanto integradas como personalizadas), será preciso
asignarlas. Puede asignar cualquiera de estas directivas a través de Azure Portal, PowerShell o la CLI de Azure.
Hay diferentes tipos de directivas en Azure Policy. Security Center utiliza principalmente directivas de "auditoría"
que comprueban condiciones y configuraciones específicas y, luego, notifican el cumplimiento. También hay
directivas de "aplicación" que se pueden usar para aplicar una configuración segura.

¿Qué es una iniciativa de seguridad?

Una iniciativa de Azure es una colección de definiciones de directivas de Azure, o reglas, agrupadas para
satisfacer un objetivo o propósito concreto. Las iniciativas de Azure simplifican la administración de las
directivas al agrupar conjuntos de directivas, de manera lógica, en un único elemento.
Una iniciativa de seguridad define la configuración deseada de las cargas de trabajo y le ayuda a garantizar el
cumplimiento de los requisitos de seguridad normativos o corporativos.
Al igual que las directivas de seguridad, las iniciativas de Security Center también se crean en Azure Policy.
Puede usar Azure Policy para administrar las directivas y crear iniciativas y asignarlas a varias suscripciones o a
grupos de administración completos.
La iniciativa predeterminada asignada automáticamente a todas las suscripciones en Azure Security Center es
Azure Security Benchmark. Este punto de referencia es el conjunto de directrices específico de Azure y creado
por Microsoft relativo a los procedimientos recomendados de seguridad y cumplimiento basados en marcos de
cumplimiento comunes. Esta prueba comparativa, que cuenta con amplísimo respaldo, se basa en los controles
del Centro de seguridad de Internet (CIS) y del Instituto Nacional de Normas y Tecnología (NIST), con un
enfoque en seguridad centrada en la nube. Mas información sobre Azure Security Benchmark.
Security Center le ofrece las siguientes opciones para trabajar con iniciativas y directivas de seguridad:
Ver y editar la iniciativa predeterminada integrada : al habilitar Security Center, la iniciativa
denominada "Azure Security Benchmark" se asigna automáticamente a todas las suscripciones
registradas de Security Center. Para personalizar esta iniciativa, puede habilitar o deshabilitar directivas
individuales en ella mediante la edición de los parámetros de una directiva. Consulte la lista de directivas
de seguridad integradas para comprender las opciones disponibles.
Agregar sus propias directivas personalizadas : si quiere personalizar las iniciativas de seguridad
que se aplican a su suscripción, puede hacerlo en Security Center. A continuación, recibirá
 recomendaciones si las máquinas no siguen las directivas que creó. Para instrucciones sobre la creación y
asignación de directivas personalizadas, consulte Uso de iniciativas y directivas de seguridad
personalizadas.
Agregar estándares de cumplimiento normativo como iniciativas : el panel de cumplimiento
normativo de Security Center muestra el estado de todas las evaluaciones del entorno, en el contexto de
una normativa o estándar determinado (por ejemplo, Azure CIS, NIST SP 800-53 R4 o SWIFT CSP CSCF-
v2020). Para obtener más información, consulte Mejora del cumplimiento normativo.

¿Qué es una recomendación de seguridad?

Mediante las directivas, Security Center analiza periódicamente el estado de cumplimiento de los recursos para
identificar posibles debilidades o errores de configuración de seguridad. Luego, proporciona recomendaciones
sobre cómo corregir esos problemas. Las recomendaciones son el resultado de la evaluación de los recursos
con respecto a las directivas pertinentes y la identificación de los recursos que no cumplen los requisitos
definidos.
Security Center realiza sus recomendaciones de seguridad en función de las iniciativas elegidas. Cuando una
directiva de una iniciativa se compara con los recursos y se encuentra que uno o varios no se ajustan al
cumplimiento normativo, se presenta como una recomendación en Security Center.
Las recomendaciones son acciones que se deben llevar a cabo para proteger y consolidar los recursos. Cada
recomendación proporciona la siguiente información:
Descripción breve del problema
Pasos de corrección que se deben llevar a cabo para implementar la recomendación.
Recursos afectados.
En la práctica, funciona de la siguiente manera:
1. Azure Security Benchmark es una iniciativa .
2. Incluye una directiva que exige que todas las cuentas de Azure Storage restrinjan el acceso a la red para
reducir la superficie expuesta a ataques. Esta directiva se denomina "Storage accounts should restrict
network access using virtual network rules" (Las cuentas de almacenamiento deben restringir el acceso a la
red mediante reglas de red virtual) y se puede deshabilitar o habilitar en Azure Policy.
3. Si Azure Security Center encuentra una cuenta de Azure Storage en cualquiera de las suscripciones
protegidas, evalúa esas cuentas para ver si están protegidas con reglas de red virtual. Si no es así, se muestra
una recomendación para corregir esa situación y reforzar la seguridad de esos recursos.
Por lo tanto, una iniciativa (1) incluye directivas (2) que generan recomendaciones cuando corresponda (3).

Visualización de la relación entre una recomendación y una directiva

Como se mencionó anteriormente, las recomendaciones integradas de Security Center se basan en la prueba
comparativa de seguridad de Azure. Casi todas las recomendaciones tienen una directiva subyacente derivada
de un requisito en la prueba comparativa.
Cuando se revisan los detalles de una recomendación, a menudo resulta útil poder ver la directiva subyacente.
Para cada recomendación compatible con una directiva, use el vínculo View policy definition (Ver definición
de directiva) de la página de detalles de la recomendación para ir directamente a la entrada Azure Policy de la
directiva pertinente:
Use este vínculo para ver la definición de directiva y revisar la lógica de evaluación.
Si va a revisar la lista de recomendaciones de la guía de referencia de recomendaciones de seguridad, también
verá vínculos a las páginas de definición de directiva:

Pasos siguientes
En esta página se explica, en líneas generales, los conceptos básicos y las relaciones entre las directivas, las
iniciativas y las recomendaciones. Para obtener información relacionada, consulte:
Creación de iniciativas personalizadas
Deshabilitación de las directivas de seguridad para desactivar las recomendaciones
Obtenga información sobre cómo editar una directiva de seguridad en Azure Policy.
 Puntuación de seguridad de Azure Security Center
30/03/2021 • 58 minutes to read • Edit Online

Introducción a Puntuación de seguridad

Azure Security Center tiene dos objetivos principales:
ayudarle a entender su situación de seguridad actual
ayudarle a mejorar la seguridad de forma eficaz
La característica principal de Security Center que le ayuda a conseguir estos objetivos es la puntuación de
seguridad .
Security Center evalúa continuamente los recursos, suscripciones y la organización en busca de problemas de
seguridad. A continuación, agrega todos los resultados a una sola puntuación para que pueda conocer de un
vistazo la situación de la seguridad actual: cuanto mayor sea la puntuación, menor será el nivel de riesgo
identificado.
La puntuación de seguridad se muestra en las páginas de Azure Portal como un valor de porcentaje, pero los
valores subyacentes también se presentan claramente:

Para aumentar la seguridad, revise la página de recomendaciones de Security Center en busca de las acciones
pendientes necesarias para aumentar la puntuación. Cada recomendación incluye instrucciones para ayudarle a
corregir el problema específico.
Las recomendaciones se agrupan en controles de seguridad . Cada control es un grupo lógico de
recomendaciones de seguridad relacionadas y refleja las superficies de ataque vulnerables. La puntuación solo
mejora cuando corrige todas las recomendaciones para un solo recurso de un control. Para ver cómo protege su
organización cada todas y cada una de las superficies expuesta a ataques, revise las puntuaciones de cada
control de seguridad.
Para más información, consulte Cálculo de la puntuación de seguridad a continuación.

Cálculo de la puntuación de seguridad

La contribución de cada control de seguridad en la puntuación de seguridad total aparece con claridad en la
página de recomendaciones.
Para obtener todos los puntos posibles de un control de seguridad, todos sus recursos deben cumplir todas las
recomendaciones de seguridad de dicho control. Por ejemplo, Security Center tiene varias recomendaciones
sobre cómo proteger los puertos de administración. Deberá corregirlas todas para que la puntuación de
seguridad mejore.
Por ejemplo, el control de seguridad denominado "Aplicar actualizaciones del sistema" tiene una puntuación
máxima de seis puntos, como puede ver en la información sobre herramientas sobre el potencial valor de
mejora del control:

La puntuación máxima para este control, "Aplicar actualizaciones del sistema", es siempre 6. En este ejemplo,
hay 50 recursos. Por tanto, dividimos la puntuación máxima entre 50 y el resultado es que cada recurso aporta
0,12 puntos.
Mejora potencial (0,12 x 8 recursos con estado incorrecto = 0,96): los puntos restantes disponibles para el
usuario en el control. Esto significa que si corrige todas las recomendaciones de este control, la puntuación
aumentará en un 2 % (en este caso, 0,96 puntos, que se redondean en 1 punto).
Puntuación actual (0,12 x 42 recursos con estado correcto = 5,04): puntuación actual para este control.
 Cada control contribuye a la puntuación total. En este ejemplo, el control contribuye con 5,04 puntos a la
puntuación total de seguridad actual.
Puntuación máxima : el número máximo de puntos que puede obtener al completar todas las
recomendaciones de un control. La puntuación máxima de un control indica la importancia relativa de ese
control. Use los valores de puntuación máxima para evaluar la prioridad de los problemas.
Cálculos: Descripción de la puntuación
M ÉT RIC A F Ó RM UL A Y E JEM P LO

Puntuación actual del control de

seguridad

Cada control de seguridad individual

contribuye a la puntuación de
seguridad. Cada recurso afectado por
una recomendación dentro del control
contribuye a la puntuación actual de
este. La puntuación actual de cada
control es una medida del estado de
los recursos que están dentro del
control.

En este ejemplo, la puntuación máxima

de 6 se divide entre 78, ya que esta es
la suma de los recursos correctos e
incorrectos.
6 / 78 = 0,0769
La multiplicación de esa cifra por el
número de recursos correctos (4) da
como resultado la puntuación actual:
0.0769 * 4 = 0.31
M ÉT RIC A F Ó RM UL A Y E JEM P LO

Puntuación segura
Suscripción única

En este ejemplo, hay una suscripción

única con todos los controles de
seguridad disponibles (una puntuación
máxima posible de 60 puntos). La
puntuación muestra 28 puntos de los
60 posibles y los 32 puntos restantes
se reflejan en las cifras de "Posible
aumento de puntuación" de los
controles de seguridad.
 M ÉT RIC A F Ó RM UL A Y E JEM P LO

Puntuación segura
Varias suscripciones

Al calcular la puntuación combinada

para varias suscripciones, Security
Center incluye una ponderación para
cada suscripción. Las ponderaciones
relativas de las suscripciones se
determinan mediante Security Center
en función de factores como el número
de recursos.
La puntuación actual de cada
suscripción se calcula de la misma
manera que para una sola suscripción,
pero la ponderación se aplica como se
muestra en la ecuación.
Cuando se ven varias suscripciones, la
puntuación de seguridad evalúa todos
los recursos de todas las directivas
habilitadas y agrupa su impacto
combinado en la puntuación máxima
de cada control de seguridad.

La puntuación combinada no es un
promedio; en vez de eso, es la posición
evaluada del estado de todos los
recursos de todas las suscripciones.
También en este caso, si va a la página
de recomendaciones y suma los
puntos posibles disponibles, observará
que esta es la diferencia entre la
puntuación actual (24) y la puntuación
máxima disponible (60).

¿Qué recomendaciones se incluyen en los cálculos de la puntuación de seguridad?

Solo las recomendaciones integradas afectan a la puntuación de seguridad.
Las recomendaciones marcadas como Versión preliminar no se incluyen en los cálculos de la puntuación de
seguridad. Aun así, deben corregirse siempre que sea posible, de tal forma que, cuando finalice el período de
versión preliminar, contribuyan a la puntuación.
Un ejemplo de una recomendación en versión preliminar:
Mejora de su puntuación de seguridad
Para mejorar la puntuación de seguridad, corrija las recomendaciones de seguridad de la lista de
recomendaciones. Puede corregir cada recomendación manualmente para cada recurso o utilizar la opción
Corrección rápida (si está disponible) para aplicar rápidamente una corrección de una recomendación a un
grupo de recursos. Para más información, consulte Corrección de recomendaciones.
Otra forma de mejorar la puntuación y de asegurarse de que los usuarios no creen recursos que afecten
negativamente a la puntuación es configurar las opciones de aplicar y denegar en las recomendaciones
pertinentes. Más información en Evitar errores de configuración con Aplicar/Denegar.

Controles de seguridad y sus recomendaciones

En la tabla siguiente se enumeran los controles de seguridad de Azure Security Center. Para cada control, puede
ver el número máximo de puntos que puede sumar a la puntuación de seguridad si corrige todas las
recomendaciones enumeradas en el control, para todos los recursos.
El conjunto de recomendaciones de seguridad proporcionadas con Security Center se adapta a los recursos
disponibles en el entorno de cada organización. Las recomendaciones se pueden personalizar aún más
deshabilitando directivas y excluyendo recursos específicos de una recomendación.
Se recomienda que cada organización revise cuidadosamente sus iniciativas de Azure Policy asignadas.

TIP
Para obtener información detallada sobre cómo revisar y editar iniciativas, vea Trabajo con directivas de seguridad.

Aunque la iniciativa de seguridad predeterminada de Security Center se basa en los estándares y

procedimientos recomendados del sector, hay escenarios en los que es posible que las recomendaciones
integradas que se indican a continuación no se ajusten completamente a su organización. Por lo tanto, a veces
será necesario ajustar la iniciativa predeterminada, sin comprometer la seguridad, para asegurarse de que está
alineada con las directivas propias de su organización, así como con estándares del sector, estándares
normativos y pruebas comparativas que tiene la obligación de cumplir.

C O N T RO L DE SEGURIDA D Y
P UN T UA C IÓ N SEGURA DESC RIP C IÓ N REC O M EN DA C IO N ES
 C O N T RO L DE SEGURIDA D Y
P UN T UA C IÓ N SEGURA DESC RIP C IÓ N REC O M EN DA C IO N ES

10 Habilitar MFA - MFA debe estar habilitada en las

cuentas con permisos de propietario
10 Enable MFA en la suscripción.
Si para autenticar a un usuario -MFA debe estar habilitada en las
solo usa una contraseña, deja un cuentas con permisos de escritura en
vector desprotegido frente a los la suscripción.
ataques. Si la contraseña es débil o
se ha expuesto en otro lugar,
¿cómo saber si es el usuario quien
inicia sesión realmente con el
nombre de usuario y la
contraseña?
Con MFA habilitada, las cuentas
son más seguras y los usuarios
aún podrán autenticarse en casi
cualquier aplicación con inicio de
sesión único (SSO).

8 Protección de los puer tos de - Las máquinas virtuales a las que se

administración puede acceder desde Internet deben
8 estar protegidas con grupos de
Secure management por ts seguridad de red.
Los ataques por fuerza bruta - Los puertos de administración de las
tienen como destino los puertos máquinas virtuales deben protegerse
de administración para obtener con el control de acceso de red Just-
acceso a una máquina virtual. In-Time.
Dado que no siempre es necesario - Se deben cerrar los puertos de
abrir los puertos, una estrategia de administración en las máquinas
mitigación consiste en reducir la virtuales.
exposición a los puertos mediante
controles de acceso a la red Just-
in-Time, grupos de seguridad de
red y administración de puertos de
máquina virtual.
Dado que muchas organizaciones
de TI no bloquean las
comunicaciones SSH salientes de
su red, los atacantes pueden crear
túneles cifrados que permitan a los
puertos RDP de los sistemas
infectados comunicarse con el
comando del atacante para
controlar los servidores. Los
atacantes pueden usar el
subsistema de Administración
remota de Windows para moverse
lateralmente por el entorno y usar
credenciales robadas para acceder
a otros recursos de una red.
 C O N T RO L DE SEGURIDA D Y
P UN T UA C IÓ N SEGURA DESC RIP C IÓ N REC O M EN DA C IO N ES

6 Aplicación de actualizaciones - Kubernetes Services se debe

del sistema actualizar a una versión de Kubernetes
6 no vulnerable.
Apply system updates - Los problemas de estado del agente
Las actualizaciones del sistema de Log Analytics se deben resolver en
proporcionan a las organizaciones sus máquinas
la capacidad de mantener la - El agente de Log Analytics debe estar
eficacia operativa, reducir las instalado en las máquinas de Azure Arc
vulnerabilidades de seguridad y que usan Linux
proporcionar un entorno más - El agente de Log Analytics debe
estable para los usuarios finales. instalarse en su máquina virtual
No aplicar actualizaciones deja - El agente de Log Analytics debe
vulnerabilidades sin revisiones y da instalarse en sus conjuntos de escalado
lugar a entornos susceptibles a de máquinas virtuales
ataques. Estas vulnerabilidades se - El agente de Log Analytics debe
pueden aprovechar y provocar instalarse en las máquinas de Azure
problemas como la pérdida de Arc que usan Windows
datos, la filtración de datos, el - El agente de supervisión debe
ransomware y el uso abusivo de instalarse en las máquinas.
recursos. Para implementar - La versión del sistema operativo
actualizaciones del sistema, puede debe actualizarse para los roles de
usar la solución Update servicio en la nube.
Management para administrar las - Se deben instalar las actualizaciones
actualizaciones y las revisiones de del sistema en los conjuntos de
las máquinas virtuales. La escalado de máquinas virtuales.
administración de actualizaciones - Se deben instalar las actualizaciones
es el proceso mediante el que se del sistema en las máquinas.
controla la implementación y el - Se deben instalar las actualizaciones
mantenimiento de las versiones de del sistema en las máquinas (con la
software. tecnología del Centro de actualización)
- Las máquinas deben reiniciarse para
aplicar las actualizaciones del sistema.
 C O N T RO L DE SEGURIDA D Y
P UN T UA C IÓ N SEGURA DESC RIP C IÓ N REC O M EN DA C IO N ES

6 Corrección de - Debe habilitarse una solución de

vulnerabilidades valoración de vulnerabilidades en las
6 máquinas virtuales.
Remediate vulnerabilities - Azure Defender para SQL debe estar
Una vulnerabilidad es un punto habilitado en las instancias
débil que un actor de amenazas administradas.
podría aprovechar para poner en - Azure Defender para SQL debe estar
peligro la confidencialidad, la habilitado en los servidores SQL
disponibilidad o la integridad de Server.
un recurso. La administración de - El complemento Azure Policy para
vulnerabilidades reduce la Kubernetes debe estar instalado y
exposición de la organización, habilitado en sus clústeres.
protege el área expuesta del punto - Solo deben implementarse imágenes
de conexión, aumenta la de contenedor de registros de
resistencia de la organización y confianza
reduce la superficie de ataque de - Habilitar la solución de valoración de
los recursos. La administración de vulnerabilidades integrada en las
amenazas y vulnerabilidades máquinas virtuales.
permite detectar errores de - Las vulnerabilidades de las imágenes
configuración de software y de Azure Container Registry deben
seguridad y proporciona corregirse (con tecnología de Qualys).
recomendaciones para mitigarlos. - Las vulnerabilidades de las máquinas
virtuales deben corregirse.
- Se deben corregir las vulnerabilidades
mediante una solución de evaluación
de vulnerabilidades.
- Las conclusiones de la evaluación de
vulnerabilidades de las bases de datos
SQL deben corregirse.
- Las conclusiones de la evaluación de
vulnerabilidades de los servidores
SQL Server en las máquinas deben
corregirse.
- La evaluación de vulnerabilidades
debe estar habilitada en las instancias
administradas de SQL.
- La evaluación de vulnerabilidades
debe estar habilitada en sus servidores
de SQL Server.
- La solución de evaluación de
vulnerabilidades debe instalarse en sus
máquinas virtuales.
 C O N T RO L DE SEGURIDA D Y
P UN T UA C IÓ N SEGURA DESC RIP C IÓ N REC O M EN DA C IO N ES

4 Cifrado de los datos en - Se debe acceder a la aplicación de

tránsito API App solo a través de HTTPS.
4 - La aplicación de una conexión SSL
Encr ypt data in transit debe estar habilitado en los servidores
Los datos están "en tránsito" de bases de datos MySQL
cuando se transfieren datos entre - La aplicación de la conexión SSL debe
componentes, ubicaciones o estar habilitada para los servidores de
programas. Las organizaciones que base de datos PostgreSQL
no protegen los datos en tránsito - Es necesario exigir FTPS en la
son susceptibles a los ataques del aplicación de API
tipo "Man in the middle", a la - Es necesario exigir FTPS en la
interceptación y al secuestro de aplicación de funciones
sesión. Para intercambiar datos, se - Es necesario exigir FTPS en la
deben usar protocolos SSL/TLS y aplicación web
se recomienda utilizar una VPN. Al - Acceso a Function App solo a través
enviar datos cifrados entre una de HTTPS.
máquina virtual de Azure y una - Dispositivos IoT: es preciso actualizar
ubicación local a través de el conjunto de cifrado de TLS.
Internet, puede usar una puerta - Solo se deben habilitar las conexiones
de enlace de red virtual como seguras a Redis Cache.
Azure VPN Gateway para enviar - Se debe habilitar la transferencia
tráfico cifrado. segura a las cuentas de
almacenamiento.
- TLS debe actualizarse a la versión
más reciente en la aplicación de API
- TLS debe actualizarse a la versión
más reciente en la aplicación de
funciones
- TLS debe actualizarse a la versión
más reciente en la aplicación web
- Acceso a la aplicación web solo a
través de HTTPS.

4 Restricción de los accesos de -Las recomendaciones de protección

red no autorizados de red adaptable se deben aplicar en
4 las máquinas virtuales accesibles desde
Restrict unauthorized network Internet
access - En los grupos de seguridad de red
Los puntos de conexión de una asociados a la máquina virtual, todos
organización proporcionan una los puertos de red deben estar
conexión directa desde la red restringidos.
virtual a los servicios de Azure - App Configuration debe usar un
compatibles. Las máquinas vínculo privado.
virtuales de una subred pueden - Azure Cache for Redis debe residir en
comunicarse con todos los una red virtual.
recursos. Para limitar la - Los dominios de Azure Event Grid
comunicación hacia y desde todos deben usar un vínculo privado.
los recursos de una subred, cree - Los temas de Azure Event Grid
un grupo de seguridad de red y deben usar un vínculo privado.
asócielo a la subred. Las - Las áreas de trabajo de Azure
organizaciones pueden limitar el Machine Learning deben usar un
tráfico no autorizado y protegerse vínculo privado.
mediante la creación de reglas de - El complemento Azure Policy para
entrada y salida. Kubernetes debe estar instalado y
habilitado en sus clústeres.
- Azure SignalR Service debe usar un
vínculo privado.
- Azure Spring Cloud debe usar la
inserción de red.
- Las instancias de Container Registry
no deben permitir el acceso de red sin
 restricciones.
C O N T RO L DE SEGURIDA D Y
P UN T UA C IÓ N SEGURA DESC RIP C IÓ N -RECLasO instancias
M EN DA C IOde Container Registry
N ES
deben usar un vínculo privado.
- Los contenedores solo deben
escuchar en los puertos permitidos.
- CORS no debe permitir que todos los
recursos accedan a la aplicación de API.
- CORS no debe permitir que todos los
recursos accedan a Function App.
- CORS no debe permitir que todos los
recursos accedan a sus aplicaciones
web.
- La directiva del filtro de IP
predeterminada debe ser Denegar.
- El firewall debe estar habilitado en
Key Vault.
- Las máquinas virtuales a las que se
puede acceder desde Internet deben
estar protegidas con grupos de
seguridad de red.
-Dispositivos IoT: puertos abiertos en
el dispositivo.
-Dispositivos IoT: se encontró una
directiva de firewall permisiva en una
de las cadenas.
- Dispositivos IoT: se encontró una
regla de firewall permisiva en la cadena
de entrada.
- Dispositivos IoT: se encontró una
regla de firewall permisiva en la cadena
de salida.
-Intervalo IP amplio de la regla del
filtro de IP.
- El reenvío de IP en la máquina virtual
debe estar deshabilitado.
- El servidor de Services Management
API de Kubernetes debe configurarse
con acceso restringido.
- Se debe configurar un punto de
conexión privado para Key Vault.
- El punto de conexión privado debe
estar habilitado para servidores
MariaDB
- El punto de conexión privado debe
estar habilitado para servidores
MySQL
- El punto de conexión privado debe
estar habilitado para servidores
PostgreSQL
- El acceso a redes públicas debe estar
deshabilitado para los servidores de
MariaDB.
- El acceso a las redes públicas debe
estar deshabilitado para los servidores
de MySQL.
- El acceso a redes públicas debe estar
deshabilitado para los servidores de
PostgreSQL.
- Los servicios solo deben escuchar en
los puertos permitidos.
- La cuenta de almacenamiento debe
usar una conexión con un vínculo
privado
- Las cuentas de almacenamiento
deben restringir el acceso mediante el
 uso de las reglas de red virtual.
C O N T RO L DE SEGURIDA D Y
P UN T UA C IÓ N SEGURA DESC RIP C IÓ N -REC
El uso deDA
O M EN puertos
C IO N ESy redes de hosts
debe estar restringido.
-Azure Firewall debe proteger las redes
virtuales.
- Las plantillas de Azure VM Image
Builder deben usar un vínculo privado.

4 Habilitación del cifrado de - Las variables de cuenta de

datos en reposo Automation deben cifrarse.
4 -Las cuentas de Azure Cosmos DB
Enable encr yption at rest deben usar claves administradas por el
El cifrado en reposo proporciona cliente para cifrar los datos en reposo.
protección de datos para los datos -Las áreas de trabajo de Azure
almacenados. Los ataques contra Machine Learning deben cifrarse con
los datos en reposo incluyen una tecla administrada por el cliente
intentos de obtener acceso físico al (CMK).
hardware en el que se almacenan -La protección de datos de Bring Your
los datos. Azure usa el cifrado Own Key debe estar habilitada para los
simétrico para cifrar y descifrar servidores MySQL.
grandes cantidades de datos en -La protección de datos de Bring Your
reposo. Se usa una clave de cifrado Own Key debe estar habilitada para los
simétrico para cifrar datos servidores PostgreSQL.
mientras se escriben en el -Las cuentas de Cognitive Services
almacenamiento. Esa clave de deben habilitar el cifrado de datos con
cifrado también se utiliza para una clave administrada por el cliente
descifrar los datos tal y como se (CMK).
prepararon para su uso en la -Las instancias de Container Registry
memoria. Las claves deben se deben cifrar con una clave
almacenarse en una ubicación administrada por el cliente (CMK).
segura con el control de acceso - El cifrado de discos debe aplicarse en
basado en identidades y directivas las máquinas virtuales.
de auditoría. Una ubicación segura - Se debe establecer la propiedad
es Azure Key Vault. Si un atacante ClusterProtectionLevel en
obtiene los datos cifrados pero no EncryptAndSign en los clústeres de
las claves de cifrado, no podrá Service Fabric.
acceder a los datos sin romper el -Las instancias administradas de SQL
cifrado. deben usar claves administradas por el
cliente para cifrar los datos en reposo.
-Los servidores SQL deben usar claves
administradas por el cliente para cifrar
los datos en reposo.
-Las cuentas de almacenamiento
deben usar claves administradas por el
cliente (CMK) para el cifrado.
- El cifrado de datos transparente en
bases de datos SQL debe estar
habilitado.
 C O N T RO L DE SEGURIDA D Y
P UN T UA C IÓ N SEGURA DESC RIP C IÓ N REC O M EN DA C IO N ES

4 Administración de acceso y - La autenticación en máquinas Linux

permisos debe requerir claves SSH.
4 - El complemento Azure Policy para
Manage access and Kubernetes debe estar instalado y
permissions habilitado en sus clústeres.
Una parte fundamental de un - Se deben evitar los contenedores con
programa de seguridad es elevación de privilegios.
asegurarse de que los usuarios - Se deben evitar los contenedores que
tengan el acceso necesario para comparten espacios de nombres de
realizar sus trabajos, pero no más: host confidenciales.
el modelo de acceso con privilegios - Las cuentas en desuso deben
mínimos. quitarse de la suscripción.
Controle el acceso a los recursos - Las cuentas en desuso con permisos
mediante la creación de de propietario deben quitarse de la
asignaciones de roles con el suscripción.
control de acceso basado en roles - Las cuentas externas con permisos
de Azure (Azure RBAC). Una de propietario deben quitarse de la
asignación de roles consta de tres suscripción.
elementos: - Las cuentas externas con permisos
- Entidad de seguridad : el de escritura deben quitarse de la
objeto al que el usuario solicita suscripción.
acceso. - Las aplicaciones de funciones deben
- Definición de roles : los tener la opción de certificados de
permisos. cliente (certificados de cliente
- Ámbito : conjunto de recursos a entrantes" habilitada).
los que se aplican los permisos. -Credenciales de autenticación
idénticas
- El sistema de archivos raíz inmutable
(de solo lectura) debe aplicarse en los
contenedores
- Deben aplicarse funcionalidades de
Linux con privilegios mínimos para los
contenedores
- Se debe usar una identidad
administrada en la aplicación de API.
- Se debe usar una identidad
administrada en la aplicación de
funciones.
- Se debe usar una identidad
administrada en la aplicación web.
- Deben evitarse los contenedores con
privilegios.
- Se debe usar el control de acceso
basado en rol en los servicios de
Kubernetes.
- Se debe evitar ejecutar contenedores
como usuario raíz.
- Los clústeres de Service Fabric solo
deben usar Azure Active Directory
para la autenticación de cliente.
- Para proteger las suscripciones,
deben usarse entidades de servicio en
lugar de certificados de administración.
- No se debe permitir el acceso público
a la cuenta de almacenamiento.
- Debe haber más de un propietario
asignado a la suscripción.
- El uso de montajes de volúmenes
HostPath de pod debe restringirse a
una lista conocida, con el fin de limitar
el acceso a los nodos de los
contenedores en peligro
 contenedores en peligro
C O N T RO L DE SEGURIDA D Y
P UN T UA C IÓ N SEGURA DESC RIP C IÓ N REC O M EN DA C IO N ES
4 Corrección de configuraciones - El complemento Azure Policy para
de seguridad Kubernetes debe estar instalado y
4 habilitado en sus clústeres.
Remediate security - Dispositivos IoT: el proceso auditado
configurations dejó de enviar eventos.
Los recursos de TI incorrectamente - Dispositivos IoT: error de validación
configurados presentan un riesgo de línea base del sistema operativo
mayor de sufrir ataques. Al - Los problemas de estado del agente
implementar recursos e intentar de Log Analytics se deben resolver en
ajustarse a unos plazos sus máquinas
determinados, suelen pasarse por - El agente de Log Analytics debe estar
alto acciones de protección instalado en las máquinas de Azure Arc
básicas. Puede haber que usan Linux
configuraciones de seguridad - El agente de Log Analytics debe
incorrectas a cualquier nivel de la instalarse en su máquina virtual
infraestructura: desde los sistemas - El agente de Log Analytics debe
operativos y los dispositivos de red instalarse en sus conjuntos de escalado
hasta los recursos en la nube. de máquinas virtuales
Azure Security Center compara - El agente de Log Analytics debe
continuamente la configuración de instalarse en las máquinas de Azure
los recursos con los requisitos de Arc que usan Windows
los estándares del sector, las - El agente de supervisión debe
regulaciones y los bancos de instalarse en las máquinas.
pruebas. Una vez que haya -La opción de reemplazar o
configurado los "paquetes de deshabilitar el perfil de AppArmor de
cumplimiento" (estándares y de los contenedores debe estar
referencia) pertinentes para su restringida.
organización, las carencias darán -Se deben definir las directivas de
lugar a recomendaciones de seguridad de pod en los servicios de
seguridad que incluyen el CCEID y Kubernetes (en desuso).
una explicación del posible impacto -En la máquina virtual Linux debe estar
en la seguridad. habilitado el arranque seguro.
Los paquetes que se usan -Se debe dar fe del estado de la
habitualmente son Azure Security integridad de arranque de las
Benchmark y CIS Microsoft Azure máquinas virtuales
Foundations Benchmark, - La extensión "Configuración de
versión 1.1.0. invitado" de las máquinas virtuales
debe implementarse con una identidad
administrada asignada por el sistema.
- Se deben corregir las vulnerabilidades
en las configuraciones de seguridad de
contenedor.
- Se deben corregir las vulnerabilidades
en la configuración de seguridad de las
máquinas.
- Se deben corregir las vulnerabilidades
en la configuración de seguridad de los
conjuntos de escalado de máquinas
virtuales.
 C O N T RO L DE SEGURIDA D Y
P UN T UA C IÓ N SEGURA DESC RIP C IÓ N REC O M EN DA C IO N ES

3 Aplicación de controles de - Las máquinas deben tener

aplicaciones adaptables habilitados controles de aplicaciones
3 adaptables para definir aplicaciones
Apply adaptive application seguras
control - Se deben actualizar las reglas de la
El control de aplicaciones lista de permitidos de la directiva de
adaptables (AAC) es una solución controles de aplicaciones adaptables
de un extremo a otro inteligente y - Los problemas de estado del agente
automatizada que permite de Log Analytics se deben resolver en
controlar qué aplicaciones se sus máquinas
pueden ejecutar en las máquinas - El agente de Log Analytics debe estar
virtuales de Azure y que no son de instalado en las máquinas de Azure Arc
Azure. También ayuda a proteger que usan Linux
los equipos frente a malware. - El agente de Log Analytics debe
Security Center usa el aprendizaje instalarse en su máquina virtual
automático para crear una lista de - El agente de Log Analytics debe
aplicaciones seguras conocidas instalarse en las máquinas de Azure
para un grupo de máquinas. Arc que usan Windows
Este enfoque innovador de - El agente de supervisión debe
inclusión de aplicaciones en listas instalarse en las máquinas.
ofrece ventajas de seguridad sin la
complejidad de la administración.
El control de aplicaciones
adaptables es especialmente
adecuado para servidores
específicos que necesitan ejecutar
un conjunto concreto de
aplicaciones.

2 Proteja sus aplicaciones con -Debe estar habilitada la versión

las soluciones para redes Estándar de Azure DDoS Protection.
2 avanzadas de Azure. - El complemento Azure Policy para
Kubernetes debe estar instalado y
Protect your applications with habilitado en sus clústeres.
Azure advanced networking - Se deben aplicar los límites de CPU y
solutions memoria de los contenedores.
- Web Application Firewall (WAF) debe
estar habilitado para Application
Gateway.
- Web Application Firewall (WAF) debe
estar habilitado en el servicio Azure
Front Door Service.
 C O N T RO L DE SEGURIDA D Y
P UN T UA C IÓ N SEGURA DESC RIP C IÓ N REC O M EN DA C IO N ES

2 Habilitación de Endpoint - Los errores de estado de protección

Protection de puntos de conexión se deben
2 corregir en los conjuntos de escalado
Enable endpoint protection de máquinas virtuales.
Para asegurarse de que los puntos - Los problemas de estado de
de conexión están protegidos protección de puntos de conexión se
contra malware, los sensores de deben resolver en las máquinas.
comportamiento recopilan y - Los problemas de estado de
procesan datos de los sistemas protección de puntos de conexión se
operativos de los puntos de deben resolver en las máquinas.
conexión y envían estos datos a la -La protección de los puntos de
nube privada para su análisis. El conexión debe instalarse en las
análisis de seguridad utiliza Big máquinas.
Data, el aprendizaje automático y - La solución de protección de puntos
otras fuentes para recomendar de conexión se debe instalar en los
respuestas a las amenazas. Por conjuntos de escalado de máquinas
ejemplo, ATP de Microsoft virtuales.
Defender usa la inteligencia sobre -La supervisión de la integridad de
amenazas para identificar métodos archivos debe estar habilitada en los
de ataque y generar alertas de servidores.
seguridad. - Instale la solución de protección de
Security Center admite las puntos de conexión en máquinas
siguientes soluciones de virtuales.
protección de los puntos de - Instale la solución de protección de
conexión: Windows Defender, puntos de conexión en las máquinas.
System Center Endpoint - Los problemas de estado del agente
Protection, Trend Micro, Symantec de Log Analytics se deben resolver en
v12.1.1.1100, McAfee v10 para sus máquinas
Windows, McAfee v10 para Linux y - El agente de Log Analytics debe estar
Sophos v9 para Linux. Si Security instalado en las máquinas de Azure Arc
Center detecta alguna de estas que usan Linux
soluciones, dejará de mostrarse la - El agente de Log Analytics debe
recomendación de instalar instalarse en su máquina virtual
protección de puntos de conexión. - El agente de Log Analytics debe
instalarse en sus conjuntos de escalado
de máquinas virtuales
- El agente de Log Analytics debe
instalarse en las máquinas de Azure
Arc que usan Windows
- El agente de supervisión debe
instalarse en las máquinas.
 C O N T RO L DE SEGURIDA D Y
P UN T UA C IÓ N SEGURA DESC RIP C IÓ N REC O M EN DA C IO N ES

1 Habilitación de la auditoría y - La auditoría de SQL Server debe

el registro estar habilitada.
1 - Los registros de diagnóstico de Azure
Enable auditing and logging Data Lake Store deben estar
Los datos de registro habilitados.
proporcionan conclusiones sobre - Los registros de diagnóstico de Azure
problemas anteriores, evitan Stream Analytics deben estar
problemas potenciales, pueden habilitados.
mejorar el rendimiento de las - Los registros de diagnóstico de las
aplicaciones y proporcionan la cuentas de Batch deben estar
capacidad de automatizar acciones habilitados.
que de otro modo deberían - Los registros de diagnóstico de Data
realizarse manualmente. Lake Analytics deben estar habilitados.
Los - registros de control y - Los registros de diagnóstico de Event
administración proporcionan Hubs deben estar habilitados.
información sobre las operaciones - Los registros de diagnóstico de IoT
de Azure Resource Manager. Hub deben estar habilitados.
Los - registros del plano de - Los registros de diagnóstico de Key
datos proporcionan información Vault deben estar habilitados.
sobre los eventos desencadenados -Los registros de diagnóstico de los
como parte del uso de los recursos servicios Search deben estar
de Azure. habilitados.
Los - eventos procesados - Los registros de diagnóstico de
proporcionan información sobre Service Bus deben estar habilitados.
eventos y alertas analizados que - Los registros de diagnóstico de
se han procesado. Virtual Machine Scale Sets deben estar
habilitados.
- Los registros de diagnóstico de las
aplicaciones lógicas deben estar
habilitados.
-Los registros de diagnóstico deben
habilitarse en App Service.

0 Implementación de - Debe designar un máximo de tres

procedimientos propietarios para la suscripción.
0 recomendados de seguridad - Se debe restringir el acceso a las
cuentas de almacenamiento con
Implement security best configuraciones de red virtual y
practices firewall.
Las prácticas de seguridad - Todos los tipos de Advanced Threat
modernas "asumen la brecha" del Protection deben habilitarse en la
perímetro de red. Por ese motivo, configuración de Advanced Data
muchos de los procedimientos Security de la instancia administrada
recomendados de este control se de SQL.
centran en la administración de - Todos los tipos de Advanced Threat
identidades. Protection deben habilitarse en la
La pérdida de claves y credenciales configuración de Advanced Data
es un problema común. Azure Key Security del servidor SQL Server.
Vault protege las claves y los - Se debe aprovisionar el
secretos mediante el cifrado de administrador de
claves, archivos .pfx y contraseñas. Azure Active Directory para servidores
Las redes privadas virtuales (VPN) SQL Server.
son una forma segura de acceder a - Los servicios de API Management
las máquinas virtuales. Si no hay deben usar una red virtual.
VPN disponibles, asegúrese de - La retención de la auditoría en los
usar frases de contraseña servidores de SQL Server debe
complejas y la autenticación en establecerse en 90 días, como mínimo
dos fases (como Azure AD Multi- -El aprovisionamiento automático del
Factor Authentication). La agente de Log Analytics debe
autenticación en dos fases evita las habilitarse en la suscripción.
- Azure Backup debería habilitarse en
 debilidades inherentes al uso las máquinas virtuales
C O N T RO L DE SEGURIDA D Y
P UN T UA C IÓ N SEGURA exclusivo
DESC RIP CdeIÓ Nnombres de usuario y -REC
LasO cuentas
M EN DA Cde
IO Azure
N ES Cosmos DB
contraseñas. deben tener reglas de firewall.
El uso de plataformas sólidas de - Las cuentas de Cognitive Services
autenticación y autorización es deben tener habilitado el cifrado de
otro procedimiento recomendado. datos.
El uso de identidades federadas - Las cuentas de Cognitive Services
permite a las organizaciones deben restringir el acceso a la red.
delegar la administración de - Las cuentas de Cognitive Services
identidades autorizadas. Esto deben usar un almacenamiento
también es importante cuando los propiedad del cliente o tener habilitado
empleados abandonan la empresa el cifrado de datos.
y es necesario revocar su acceso. -La notificación por correo electrónico
de las alertas de gravedad alta debe
estar habilitada.
-La notificación por correo electrónico
al propietario de la suscripción en
alertas de gravedad alta debe estar
habilitada.
- Asegúrese de que la aplicación de
API tenga la opción "Certificados de
clientes (Certificados de clientes
entrantes)" activada.
- Las cuentas externas con permisos
de lectura se deben eliminar de la
suscripción.
- La copia de seguridad con
redundancia geográfica debe estar
habilitada para Azure Database for
MariaDB
- La copia de seguridad con
redundancia geográfica debe estar
habilitada para Azure Database for
MySQL
- La copia de seguridad con
redundancia geográfica debe estar
habilitada para Azure Database for
PostgreSQL
- La extensión "Configuración de
invitado" debe estar instalada en las
máquinas.
- Dispositivo IoT: mensajes
infrautilizados de envío del agente.
- Java debe actualizarse a la versión
más reciente en la aplicación de API
- Java debe actualizarse a la versión
más reciente en la aplicación de
funciones
- Java debe actualizarse a la versión
más reciente en la aplicación web
- Las claves de Key Vault deben tener
una fecha de expiración.
- Los secretos de Key Vault deben
tener una fecha de expiración.
- Los almacenes de claves deben tener
habilitada la protección contra
operaciones de purga.
- Los almacenes de claves deben tener
habilitada la eliminación temporal.
- Los clústeres de Kubernetes solo
deben ser accesibles mediante HTTPS.
- MFA debe estar habilitada en las
cuentas con permisos de lectura en la
suscripción.
- El agente de recopilación de datos
 del tráfico de red debe estar instalado
C O N T RO L DE SEGURIDA D Y
P UN T UA C IÓ N SEGURA DESC RIP C IÓ N en
RECmáquinas
O M EN DA Cvirtuales
IO N ES Linux.
- El agente de recopilación de datos
del tráfico debe estar instalado en
máquinas virtuales Windows.
- Network Watcher debe estar
habilitado.
- Las máquinas virtuales sin conexión a
Internet deben protegerse con grupos
de seguridad de red.
- PHP debe actualizarse a la versión
más reciente en la aplicación de API
- PHP debe actualizarse a la versión
más reciente en la aplicación web
- Las conexiones de punto de conexión
privado en Azure SQL Database deben
estar habilitadas.
- Debe deshabilitarse el acceso a redes
públicas en Azure SQL Database.
- El acceso a la red pública se debe
deshabilitar para las cuentas de
Cognitive Services.
- Python debe actualizarse a la versión
más reciente en la aplicación de API
- Python debe actualizarse a la versión
más reciente en la aplicación de
funciones
- Python debe actualizarse a la versión
más reciente en la aplicación web
- Se debe desactivar la depuración
remota para la aplicación de API.
- Se debe desactivar la depuración
remota para Function App.
- Se debe desactivar la depuración
remota para las aplicaciones web.
- Se deben migrar las cuentas de
almacenamiento a los nuevos recursos
de Azure Resource Manager.
- Las subredes deben estar asociadas
con un grupo de seguridad de red.
- Las suscripciones deben tener una
dirección de correo electrónico de
contacto para los problemas de
seguridad.
- El período de validez de los
certificados almacenados en Azure Key
Vault no debe superar los 12 meses.
- Se deben migrar las máquinas
virtuales a los nuevos recursos de
Azure Resource Manager.
- Las aplicaciones web deben solicitar
un certificado SSL a todas las
solicitudes entrantes
- La protección contra vulnerabilidades
de seguridad de Windows Defender
debe estar habilitada en las máquinas.
- Los servidores web de Windows
deben estar configurados para usar
protocolos de comunicación seguros.
 C O N T RO L DE SEGURIDA D Y
P UN T UA C IÓ N SEGURA DESC RIP C IÓ N REC O M EN DA C IO N ES

0 Aplicación de la clasificación - Los datos confidenciales de las bases

de datos de datos SQL deben clasificarse
0
Apply data classification
La clasificación de los datos de su
organización por confidencialidad e
impacto empresarial le permite
determinar y asignar valor a los
datos, y proporciona la estrategia
y la base para la gobernanza.
Azure Information Protection
puede ayudarle a clasificar los
datos. Este servicio usa directivas
de cifrado, identidad y autorización
para proteger los datos y restringir
el acceso a ellos. Algunas de las
clasificaciones que Microsoft utiliza
son No empresarial, Público,
General, Confidencial y
Extremadamente confidencial.

0 Habilitación de Protección - Se debe habilitar Azure Defender

contra amenazas avanzada para App Service.
0 -Se debe habilitar Azure Defender para
Enable Advanced Threat servidores de Microsoft Azure SQL
Protection Database.
Los planes opcionales de -Se debe habilitar Azure Defender para
protección contra amenazas de registros de contenedor.
Azure Defender de Azure Security -Se debe habilitar Azure Defender para
Center proporcionan defensas Key Vault.
completas para el entorno. -Se debe habilitar Azure Defender para
Cuando Security Center detecta Kubernetes.
una amenaza en cualquiera de las -Se debe habilitar Azure Defender para
áreas del entorno, genera una servidores.
alerta. Estas alertas describen los -Se debe habilitar Azure Defender para
detalles de los recursos afectados, servidores SQL Server en las
los pasos de corrección sugeridos máquinas.
y, en algunos casos, una opción -Se debe habilitar Azure Defender para
para desencadenar una aplicación Storage.
lógica como respuesta.
Cada plan de Azure Defender es
una oferta independiente y
opcional que puede habilitar con la
recomendación correspondiente
en este control de seguridad.
Más información sobre la
protección contra amenazas en
Security Center.

Preguntas frecuentes sobre la puntuación de seguridad

Si solo se corrigen tres de las cuatro recomendaciones de un control de seguridad, ¿cambiará mi puntuación
de seguridad?
No. No cambiará hasta que corrija todas las recomendaciones para un único recurso. Para obtener la puntuación
máxima de un control, debe corregir todas las recomendaciones de todos los recursos.
Si una recomendación no es aplicable a mí y la deshabilito en la directiva, ¿se cumplirá mi control de
seguridad y se actualizará mi puntuación de seguridad?
Sí. Se recomienda deshabilitar las recomendaciones cuando no son aplicables a su entorno. Para obtener
instrucciones sobre cómo deshabilitar una recomendación específica, consulte Deshabilitar las directivas de
seguridad.
Si un control de seguridad ofrece cero puntos a mi puntuación de seguridad, ¿debería ignorarlo?
En algunos casos verá una puntuación máxima del control mayor que cero, pero el impacto es nulo. Cuando la
puntuación incremental para corregir recursos es insignificante, se redondea a cero. Aún así, no ignore estas
recomendaciones ya que pueden aportarle mejoras en seguridad. La única excepción es el control de
"procedimiento recomendado adicional". La corrección de estas recomendaciones no aumentará la puntuación,
pero mejorará la seguridad en general.

Pasos siguientes
En este artículo se describe la puntuación de seguridad y los controles de seguridad que presenta. Para obtener
material relacionado, consulte los siguientes artículos:
Más información sobre los distintos elementos de una recomendación
Recomendaciones de corrección
Ver las herramientas basadas en GitHub para trabajar mediante programación con la puntuación de
seguridad
Acceso y seguimiento de la puntuación segura
 Guía de referencia sobre las recomendaciones de
seguridad
31/03/2021 • 159 minutes to read • Edit Online

En este artículo se enumeran las recomendaciones que puede ver en Azure Security Center. Las
recomendaciones que se muestran en su entorno dependen de los recursos que se van a proteger y de la
configuración personalizada.
Las recomendaciones de Security Center se basan en Azure Security Benchmark. Azure Security Benchmark es el
conjunto de directrices específico de Azure creado por Microsoft para ofrecer los procedimientos recomendados
de seguridad y cumplimiento basados en marcos de cumplimiento comunes. Esta prueba comparativa, que
cuenta con un amplísimo respaldo, se basa en los controles del Centro de seguridad de Internet (CIS) y del
Instituto Nacional de Normas y Tecnología (NIST), con un enfoque en seguridad centrada en la nube.
Para obtener información acerca de cómo responder a estas recomendaciones, consulte Recomendaciones de
corrección en Azure Security Center.
La puntuación de seguridad se basa en el número de recomendaciones de Security Center que se han
completado. Para decidir qué recomendaciones se resuelven en primer lugar, examine la gravedad de cada una
de ellas y su posible impacto en la puntuación de seguridad.

TIP
Si la descripción de una recomendación indica "No hay ninguna directiva relacionada", suele deberse a que esta
recomendación depende de una recomendación distinta y de su directiva. Por ejemplo, la recomendación "Los errores de
estado de Endpoint Protection deberían corregirse..." se basa en la recomendación que comprueba si una solución de
Endpoint Protection está incluso instalada ("La solución de Endpoint Protection debe estar instalada..."). La recomendación
subyacente tiene una directiva. Limitar las directivas a únicamente la recomendación básica simplifica la administración de
directivas.

Recomendaciones de AppServices
Hay 31 recomendaciones en esta categoría.

REC O M EN DA C IÓ N DESC RIP C IÓ N SEVERIT Y

Acceso a API App solo a través de El uso de HTTPS garantiza la Media

HTTPS autenticación del servicio y el servidor,
y protege los datos en tránsito frente a
ataques de intercepción de nivel de
red.
(Directiva relacionada: solo se debe
poder acceder a una aplicación de API
a través de HTTPS)
REC O M EN DA C IÓ N DESC RIP C IÓ N SEVERIT Y

Se debe habilitar Azure Defender para Azure Defender para App Service Alto
App Service aprovecha la escalabilidad de la nube, y
la visibilidad que ofrece Azure como
proveedor de servicios en la nube,
para supervisar si se producen ataques
comunes a aplicaciones web.
Azure Defender para App Service
puede detectar ataques en las
aplicaciones, además de identificar
ataques emergentes.

Importante: La corrección de esta

recomendación dará lugar a cargos por
la protección de los planes de App
Service. Si no tiene ningún plan de App
Service en esta suscripción, no se
aplicarán cargos.
Si, en el futuro, crea cualquier número
de planes de App Service en esta
suscripción, estos se protegerán
automáticamente y a partir de ese
momento, se iniciarán los cargos.
Más información sobre Azure Defender
para App Service.
(Directiva relacionada: se debe habilitar
Azure Defender para App Service)

CORS no debería permitir que todos El uso compartido de recursos entre Bajo
los recursos accedan a la aplicación de orígenes (CORS) no debe permitir que
API. todos los dominios accedan a la
aplicación de API. Permita la
interacción con API solo de los
dominios requeridos.
(Directiva relacionada: CORS no debe
permitir que todos los recursos
accedan a una aplicación de API)

CORS no debe permitir que todos los El uso compartido de recursos entre Bajo
recursos accedan a Function App orígenes (CORS) no debe permitir que
todos los dominios accedan a la
aplicación de funciones. Permita la
interacción con la aplicación de
funciones solo de los dominios
requeridos.
(Directiva relacionada: CORS no debe
permitir que todos los recursos
accedan a sus aplicaciones de
funciones)

CORS no debe permitir que todos los El uso compartido de recursos entre Bajo
recursos accedan a las aplicaciones orígenes (CORS) no debe permitir que
web todos los dominios accedan a la
aplicación web. Permita la interacción
con la aplicación web solo de los
dominios requeridos.
(Directiva relacionada: CORS no debe
permitir que todos los recursos
accedan a sus aplicaciones web)
REC O M EN DA C IÓ N DESC RIP C IÓ N SEVERIT Y

Los registros de diagnóstico deben Permite auditar la habilitación de Media

habilitarse en App Service registros de diagnóstico en la
aplicación.
Esto le permite volver a crear
seguimientos de actividad con fines de
investigación si se produce un
incidente de seguridad o se pone en
peligro la red.
(Directiva relacionada: los registros de
diagnóstico de App Services deben
estar habilitados)

Asegurarse de que la aplicación de API Los certificados de cliente permiten Media

tenga la opción de "certificados de que la aplicación solicite un certificado
cliente (certificados de cliente para las solicitudes entrantes. Solo los
entrantes)" activada clientes que tienen un certificado
válido podrán acceder a la aplicación.
(Directiva relacionada: Asegurarse de
que la aplicación de API tenga la
opción de "certificados de cliente
(certificados de cliente entrantes)"
activada)

Es necesario exigir FTPS en la Habilite el cumplimiento con FTPS para Alto

aplicación de API. mejorar la seguridad.
(Directiva relacionada: FTPS solo debe
exigirse en una aplicación de API)

Es necesario exigir FTPS en la Habilite el cumplimiento con FTPS para Alto

aplicación de funciones. mejorar la seguridad.
(Directiva relacionada: FTPS solo debe
exigirse en su aplicación de funciones)

Es necesario exigir FTPS en la Habilite el cumplimiento con FTPS para Alto

aplicación web. mejorar la seguridad.
(Directiva relacionada: FTPS debe
exigirse en su aplicación web)

Acceso a Function App solo a través El uso de HTTPS garantiza la Media

de HTTPS autenticación del servicio y el servidor,
y protege los datos en tránsito frente a
ataques de intercepción de nivel de
red.
(Directiva relacionada: a la aplicación
de funciones solo se puede acceder a
través de HTTPS)

Las aplicaciones de funciones deben Los certificados de cliente permiten Media

tener la opción "Certificados de cliente que la aplicación solicite un certificado
(certificados de cliente entrantes)" para las solicitudes entrantes. Solo los
habilitada clientes con certificados válidos
pueden acceder a la aplicación.
(Directiva relacionada: las aplicaciones
de funciones deben tener la opción
"Certificados de cliente [certificados de
cliente entrantes]" habilitada)
REC O M EN DA C IÓ N DESC RIP C IÓ N SEVERIT Y

Java debe actualizarse a la versión más A causa de errores de seguridad o para Media
reciente en la aplicación de API incluir funcionalidades, se publican de
forma periódica versiones más
recientes de Java.
Para las aplicaciones de API, se
recomienda usar la versión más
reciente de Python con el fin de
aprovechar las correcciones de
seguridad, de haberlas, o las nuevas
funcionalidades de la versión más
reciente.
(Directiva relacionada: asegúrese de
que la "versión de Java" es la más
reciente, si se usa como parte de la
aplicación de API)

Java debe actualizarse a la versión más A causa de errores de seguridad o para Media
reciente en la aplicación de funciones incluir funcionalidades, se publican de
forma periódica versiones más
recientes del software de Java.
Para las aplicaciones de funciones, se
recomienda usar la versión más
reciente de Java con el fin de
aprovechar las correcciones de
seguridad, de haberlas, o las nuevas
funcionalidades de la versión más
reciente.
(Directiva relacionada: asegúrese de
que la "versión de Java" es la más
reciente, si se usa como parte de la
aplicación de funciones)

Java debe actualizarse a la versión más A causa de errores de seguridad o para Media
reciente en la aplicación web incluir funcionalidades, se publican de
forma periódica versiones más
recientes del software de Java.
Para las aplicaciones web, se
recomienda usar la versión más
reciente de Java con el fin de
aprovechar las correcciones de
seguridad, de haberlas, o las nuevas
funcionalidades de la versión más
reciente.
(Directiva relacionada: asegúrese de
que la "versión de Java" es la más
reciente, si se usa como parte de la
aplicación web)
REC O M EN DA C IÓ N DESC RIP C IÓ N SEVERIT Y

Se debe usar una identidad Para mejorar la seguridad de la Media

administrada en la aplicación de API autenticación, utilice una identidad
administrada.
En Azure, las identidades
administradas eliminan la necesidad de
que los desarrolladores administren
credenciales, al proporcionar una
identidad para el recurso de Azure en
Azure AD y usarla para obtener tokens
de Azure Active Directory (Azure AD).
(Directiva relacionada: se debe usar
una identidad administrada en la
aplicación de API)

Se debe usar una identidad Para mejorar la seguridad de la Media

administrada en la aplicación de autenticación, utilice una identidad
funciones administrada.
En Azure, las identidades
administradas eliminan la necesidad de
que los desarrolladores administren
credenciales, al proporcionar una
identidad para el recurso de Azure en
Azure AD y usarla para obtener tokens
de Azure Active Directory (Azure AD).
(Directiva relacionada: se debe usar
una identidad administrada en la
aplicación de funciones)

Se debe usar una identidad Para mejorar la seguridad de la Media

administrada en la aplicación web autenticación, utilice una identidad
administrada.
En Azure, las identidades
administradas eliminan la necesidad de
que los desarrolladores administren
credenciales, al proporcionar una
identidad para el recurso de Azure en
Azure AD y usarla para obtener tokens
de Azure Active Directory (Azure AD).
(Directiva relacionada: se debe usar
una identidad administrada en la
aplicación web)

PHP debe actualizarse a la versión más A causa de errores de seguridad o para Media
reciente en la aplicación de API incluir funcionalidades, se publican de
forma periódica versiones más
recientes del software de PHP.
Para las aplicaciones de API, se
recomienda usar la versión más
reciente de PHP con el fin de
aprovechar las correcciones de
seguridad, de haberlas, o las nuevas
funcionalidades de la versión más
reciente.
(Directiva relacionada: asegúrese de
que la "versión de PHP" es la más
reciente, en caso de que se use como
parte de la aplicación de API)
REC O M EN DA C IÓ N DESC RIP C IÓ N SEVERIT Y

PHP debe actualizarse a la versión más A causa de errores de seguridad o para Media
reciente en la aplicación web incluir funcionalidades, se publican de
forma periódica versiones más
recientes del software de PHP.
Para las aplicaciones web, se
recomienda usar la versión más
reciente de PHP con el fin de
aprovechar las correcciones de
seguridad, de haberlas, o las nuevas
funcionalidades de la versión más
reciente.
(Directiva relacionada: asegúrese de
que la "versión de PHP" es la más
reciente, si se usa como parte de la
aplicación web)

Python debe actualizarse a la versión A causa de errores de seguridad o para Media

más reciente en la aplicación de API incluir funcionalidades, se publican de
forma periódica versiones más
recientes del software de Python.
Para las aplicaciones de API, se
recomienda usar la versión más
reciente de Python con el fin de
aprovechar las correcciones de
seguridad, de haberlas, o las nuevas
funcionalidades de la versión más
reciente.
(Directiva relacionada: asegúrese de
que la "versión de Python" es la más
reciente, en caso de que se use como
parte de la aplicación de API)

Python debe actualizarse a la versión A causa de errores de seguridad o para Media

más reciente en la aplicación de incluir funcionalidades, se publican de
funciones forma periódica versiones más
recientes del software de Python.
Para las aplicaciones de funciones, se
recomienda usar la versión más
reciente de Python con el fin de
aprovechar las correcciones de
seguridad, de haberlas, o las nuevas
funcionalidades de la versión más
reciente.
(Directiva relacionada: asegúrese de
que la "versión de Python" es la más
reciente, si se usa como parte de la
aplicación de funciones)
REC O M EN DA C IÓ N DESC RIP C IÓ N SEVERIT Y

Python debe actualizarse a la versión A causa de errores de seguridad o para Media

más reciente en la aplicación web incluir funcionalidades, se publican de
forma periódica versiones más
recientes del software de Python.
Para las aplicaciones web, se
recomienda usar la versión más
reciente de Python con el fin de
aprovechar las correcciones de
seguridad, de haberlas, o las nuevas
funcionalidades de la versión más
reciente.
(Directiva relacionada: Asegúrese de
que la "versión de Python" es la más
reciente, en caso de que se use como
parte de la aplicación web)

Se debe desactivar la depuración La depuración remota requiere que se Bajo

remota para aplicaciones de API abran puertos de entrada en una
aplicación de API. Se debe desactivar la
depuración remota.
(Directiva relacionada: se debe
desactivar la depuración remota en API
Apps)

Recomendación de desactivación de la La depuración remota requiere Bajo

depuración remota para Function App puertos de entrada que se abran en
una aplicación de funciones. Se debe
desactivar la depuración remota.
(Directiva relacionada: se debe
desactivar la depuración remota en las
instancias de Function App)

Se debe desactivar la depuración La depuración remota requiere Bajo

remota para las aplicaciones web puertos de entrada que se abran en
una aplicación web. La depuración
remota se encuentra actualmente
habilitada. Si no necesita usar la
depuración remota, se debe desactivar.
(Directiva relacionada: se debe
desactivar la depuración remota para
las aplicaciones web)

TLS debe actualizarse a la versión más Actualiza a la versión más reciente de Alto
reciente en la aplicación de API TLS.
(Directiva relacionada: en la aplicación
de API se debe usar la versión de TLS
más reciente)

TLS debe actualizarse a la versión más Actualiza a la versión más reciente de Alto
reciente en la aplicación de funciones TLS.
(Directiva relacionada: en la aplicación
de funciones se debe usar la versión de
TLS más reciente)

TLS debe actualizarse a la versión más Actualiza a la versión más reciente de Alto
reciente en la aplicación web TLS.
(Directiva relacionada: en la aplicación
web se debe usar la versión de LTS
más reciente)
 REC O M EN DA C IÓ N DESC RIP C IÓ N SEVERIT Y

Acceso a la aplicación web solo a El uso de HTTPS garantiza la Media

través de HTTPS autenticación del servicio y el servidor,
y protege los datos en tránsito frente a
ataques de intercepción de nivel de
red.
(Directiva relacionada: el acceso a la
aplicación web solo se debe poder
realizar a través de HTTPS)

Las aplicaciones web deben solicitar un Los certificados de cliente permiten Media
certificado SSL a todas las solicitudes que la aplicación solicite un certificado
entrantes para las solicitudes entrantes.
Solo los clientes que tienen un
certificado válido podrán acceder a la
aplicación.
(Directiva relacionada: asegúrese de
que la aplicación web tenga la opción
de "certificados de cliente (certificados
de cliente entrantes)" activada)

Recomendaciones de proceso
Hay 54 recomendaciones en esta categoría.

REC O M EN DA C IÓ N DESC RIP C IÓ N SEVERIT Y

Debe habilitarse una solución de Instale la extensión para habilitar una Media
evaluación de vulnerabilidades en sus solución de valoración de
máquinas virtuales vulnerabilidades en las máquinas
virtuales.
(Directiva relacionada: debe habilitarse
una solución de evaluación de
vulnerabilidades en las máquinas
virtuales)

Los controles de aplicaciones Habilite controles de aplicaciones para Alto

adaptables para definir aplicaciones definir la lista de aplicaciones seguras
seguras deben estar habilitados en las conocidas que se ejecutan en las
máquinas. máquinas, y recibir avisos cuando se
ejecuten otras aplicaciones. Esta
directiva también ayuda a proteger las
máquinas frente al malware. Para
simplificar el proceso de configuración
y mantenimiento de las reglas, Security
Center usa el aprendizaje automático
para analizar las aplicaciones que se
ejecutan en cada máquina y sugerir la
lista de aplicaciones seguras conocidas.
(Directiva relacionada: las máquinas
deben tener habilitados controles de
aplicaciones adaptables para definir
aplicaciones seguras)
REC O M EN DA C IÓ N DESC RIP C IÓ N SEVERIT Y

Se deben actualizar las reglas de la lista Supervise los cambios en el Alto

de permitidos de la directiva de comportamiento de los grupos de
controles de aplicaciones adaptables máquinas configurados para la
auditoría mediante controles de
aplicaciones adaptables de Azure
Security Center. Security Center usa el
aprendizaje automático para analizar
los procesos en ejecución en las
máquinas y sugerir una lista de
aplicaciones seguras conocidas. Estas
se presentan como aplicaciones
recomendadas que se deben permitir
en directivas de control de aplicaciones
adaptables.
(Directiva relacionada: Se deben
actualizar las reglas de la lista de
permitidos de la directiva de controles
de aplicaciones adaptables)

La autenticación en máquinas Linux Aunque el propio SSH proporciona una Media

debe requerir claves SSH. conexión cifrada, el uso de contraseñas
con SSH deja la máquina virtual
vulnerable a ataques por fuerza bruta.
La opción más segura para
autenticarse en una máquina virtual
Linux de Azure mediante SSH es con
un par de claves pública y privada,
también conocido como claves SSH.
Más información:
https://docs.microsoft.com/azure/virtu
al-machines/linux/create-ssh-keys-
detailed.
(Directiva relacionada: Auditar las
máquinas Linux que no usan clave SSH
para la autenticación)

Las variables de cuenta de Es importante habilitar el cifrado de Alto

automatización deben cifrarse recursos de variables de cuentas de
Automation al almacenar datos
confidenciales.
(Directiva relacionada: las variables de
cuenta de Automation deben cifrarse)

Azure Backup debería habilitarse en las Proteja los datos de las máquinas Bajo
máquinas virtuales virtuales de Azure con Azure Backup.
Azure Backup es una solución de
protección de datos rentable y nativa
de Azure.
Crea puntos de recuperación que se
almacenan en almacenes de
recuperación con redundancia
geográfica.
Cuando se realiza una restauración
desde un punto de recuperación, se
puede restaurar toda la máquina
virtual o determinados archivos.
(Directiva relacionada: Azure Backup
debe habilitarse en las máquinas
virtuales)
REC O M EN DA C IÓ N DESC RIP C IÓ N SEVERIT Y

Se debe habilitar Azure Defender para Azure Defender para servidores Alto
servidores proporciona protección en tiempo real
contra amenazas para las cargas de
trabajo del servidor y genera
recomendaciones de protección, así
como alertas sobre la actividad
sospechosa.
Esta información se puede usar para
corregir problemas de seguridad y
mejorar la seguridad de los servidores
rápidamente.

Importante: la corrección de esta

recomendación dará lugar a cargos por
la protección de los servidores. Si no
tiene ningún servidor en esta
suscripción, no se aplicarán cargos.
Si, en el futuro, crea cualquier número
de servidores en esta suscripción,
estos se protegerán automáticamente
y a partir de ese momento, se iniciarán
los cargos.
Más información sobre Azure Defender
para servidores.
(Directiva relacionada: se debe habilitar
Azure Defender para servidores)

Se deben habilitar los registros de Habilite los registros y consérvelos Bajo

diagnóstico en Azure Stream Analytics hasta un año. Esto le permite volver a
crear seguimientos de actividad con
fines de investigación cuando se
produce un incidente de seguridad o
se pone en peligro la red.
(Directiva relacionada: los registros de
diagnóstico de Azure Stream Analytics
debe estar habilitados)

Se deben habilitar los registros de Habilite los registros y consérvelos Bajo

diagnóstico en las cuentas de Batch hasta un año. Esto le permite volver a
crear seguimientos de actividad con
fines de investigación cuando se
produce un incidente de seguridad o
se pone en peligro la red.
(Directiva relacionada: los registros de
diagnóstico de las cuentas de Batch
deben estar habilitados)

Los registros de diagnóstico del centro Habilite los registros y consérvelos Bajo
de eventos deben estar habilitados hasta un año. Esto le permite volver a
crear seguimientos de actividad con
fines de investigación cuando se
produce un incidente de seguridad o
se pone en peligro la red.
(Directiva relacionada: los registros de
diagnóstico de Event Hubs deben estar
habilitados)
REC O M EN DA C IÓ N DESC RIP C IÓ N SEVERIT Y

Los registros de diagnóstico de los Habilite los registros y consérvelos Bajo

servicios de Search deben estar hasta un año. Esto le permite volver a
habilitados. crear seguimientos de actividad con
fines de investigación cuando se
produce un incidente de seguridad o
se pone en peligro la red.
(Directiva relacionada: los registros de
diagnóstico de los servicios Search
deben estar habilitados)

Los registros de diagnóstico de Service Habilite los registros y consérvelos Bajo

Bus deben estar habilitados hasta un año. Esto le permite volver a
crear seguimientos de actividad con
fines de investigación cuando se
produce un incidente de seguridad o
se pone en peligro la red.
(Directiva relacionada: los registros de
diagnóstico de Service Bus deben estar
habilitados)

Los registros de diagnóstico de Virtual Habilite los registros y consérvelos Bajo

Machine Scale Sets deben estar hasta un año. Esto le permite volver a
habilitados crear seguimientos de actividad con
fines de investigación cuando se
produce un incidente de seguridad o
se pone en peligro la red.
(Directiva relacionada: los registros de
diagnóstico de Virtual Machine Scale
Sets deben estar habilitados)

Los registros de diagnóstico de las Para asegurarse de que puede volver a Bajo
aplicaciones lógicas deben estar crear trazos de actividad con fines de
habilitados. investigación cuando se produce un
incidente de seguridad o se pone en
peligro la red, habilite el registro. Si los
registros de diagnóstico no se envían a
un área de trabajo Log Analytics, una
cuenta de Azure Storage o Azure Event
Hubs, asegúrese de que ha
configurado los valores de diagnóstico
para enviar las métricas de la
plataforma y los registros de la
plataforma a los destinos
correspondientes. Más información en
Creación de una configuración de
diagnóstico para enviar los registros y
las métricas de la plataforma a
diferentes destinos.
(Directiva relacionada: los registro de
diagnóstico de Logic Apps deben estar
habilitados)
REC O M EN DA C IÓ N DESC RIP C IÓ N SEVERIT Y

El cifrado de discos debe aplicarse en Cifre los discos de máquina virtual Alto
máquinas virtuales mediante Azure Disk Encryption para
máquinas virtuales Windows y Linux.
Azure Disk Encryption (ADE)
aprovecha la característica BitLocker de
Windows estándar del sector y la
característica DM-Crypt de Linux para
proporcionar cifrado del disco de datos
y del sistema operativo a fin de
proteger sus datos y ayudar a asumir
las responsabilidades de seguridad y
cumplimiento de la organización en un
almacén de claves de Azure del cliente.
Cuando sus requisitos de
cumplimiento y seguridad exijan que
cifre los datos de extremo a extremo
con sus claves de cifrado, incluido el
cifrado del disco efímero (temporal
adjunto localmente), utilice Azure Disk
Encryption. Como alternativa, los
discos de Managed Disks se cifran en
reposo de manera predeterminada
mediante Azure Storage Service
Encryption, donde las claves de cifrado
son claves administradas por Microsoft
en Azure. Si esto cumple sus requisitos
de seguridad y cumplimiento, puede
aprovechar el cifrado predeterminado
de Managed Disks para satisfacer sus
necesidades.
(Directiva relacionada: el cifrado de
discos debe aplicarse en las máquinas
virtuales)

Habilitar la solución de evaluación de Instale la extensión Qualys (integrada Media

vulnerabilidades integrada en las en el nivel estándar de Azure Security
máquinas virtuales Center) para habilitar la solución de
evaluación de vulnerabilidades en las
máquinas virtuales líder del sector.
(Directiva relacionada: debe habilitarse
una solución de evaluación de
vulnerabilidades en las máquinas
virtuales)

Los errores de estado de protección de Corrija los errores de estado de la Bajo

puntos de conexión deben corregirse protección de puntos de conexión en
en conjuntos de escalado de máquinas conjuntos de escalado de sus
virtuales máquinas virtuales para protegerlas de
amenazas y vulnerabilidades.
(Directiva relacionada: la solución de
protección de puntos de conexión
debe estar instalada en los conjuntos
de escalado de máquinas virtuales)
REC O M EN DA C IÓ N DESC RIP C IÓ N SEVERIT Y

Los problemas de estado de Para una protección completa de Media

protección de puntos de conexión se Security Center, resuelva los problemas
deben resolver en las máquinas del agente de supervisión en las
máquinas siguiendo las instrucciones
de la guía de solución de problemas.
(Directiva relacionada: supervisar la
falta de protección de puntos de
conexión en Azure Security Center)

Los problemas de estado de Resuelva los problemas del estado de Media

protección de puntos de conexión se la protección de los puntos de
deben resolver en las máquinas conexión en las máquinas virtuales
para protegerlas frente a amenazas y
vulnerabilidades más recientes. Aquí se
documentan las soluciones de
protección de puntos de conexión
compatibles de Azure Security Center:
https://docs.microsoft.com/azure/secur
ity-center/security-center-services?
tabs=features-windows#supported-
endpoint-protection-solutions- La
valoración de la protección de los
puntos de conexión se documenta
aquí:
https://docs.microsoft.com/azure/secur
ity-center/security-center-endpoint-
protection
(Directiva relacionada: supervisar la
falta de protección de puntos de
conexión en Azure Security Center)

La protección de los puntos de Para proteger las máquinas frente a Alto

conexión debe instalarse en las amenazas y vulnerabilidades, instale
máquinas una solución Endpoint Protection
compatible.
Obtenga más información sobre la
forma en que se evalúa Endpoint
Protection para máquinas.
(Directiva relacionada: supervisar la
falta de Endpoint Protection en Azure
Security Center)

La solución de protección del punto de Instale una solución Endpoint Alto

conexión debe instalarse en las Protection en los conjuntos de
máquinas virtuales escalado de máquinas virtuales para
protegerlos frente a amenazas y
vulnerabilidades.
(Directiva relacionada: la solución
Endpoint Protection debe estar
instalada en los conjuntos de escalado
de máquinas virtuales)
REC O M EN DA C IÓ N DESC RIP C IÓ N SEVERIT Y

La supervisión de la integridad de Azure Security Center ha identificado Alto

archivos debe estar habilitada en los máquinas virtuales a las que les falta
servidores una solución de supervisión de
integridad de archivos. Para supervisar
los cambios en archivos críticos, claves
del registro, etc. en los servidores,
habilite la supervisión de la integridad
de los archivos. Más información >
(Ninguna directiva relacionada)

La extensión "Configuración de Para garantizar la seguridad de la Media

invitado" debe estar instalada en las configuración de invitado, instale la
máquinas. extensión "Configuración de invitado".
La configuración de invitado
supervisada en la extensión engloba la
configuración del sistema operativo, la
configuración o presencia de las
aplicaciones y la configuración del
entorno. Una vez instaladas, las
directivas de invitado estarán
disponibles como "La protección
contra vulnerabilidades de Windows
debe estar habilitada.". Más
información.
(Directiva relacionada: las máquinas
virtuales deben tener la extensión
Configuración de invitado).

Instalar una solución de protección de Instale una solución de protección de Alto

punto de conexión en máquinas punto de conexión en las máquinas
virtuales virtuales para protegerlas frente a
amenazas y vulnerabilidades.
(Directiva relacionada: supervisar la
falta de Endpoint Protection en Azure
Security Center)

Instalar una solución de protección de Instale una solución de protección de Media

punto de conexión en las máquinas punto de conexión en las máquinas
virtuales Windows y Linux para
protegerlas frente a amenazas y
vulnerabilidades.
(Ninguna directiva relacionada)

Los problemas de estado del agente Security Center usa el agente de Log Media
de Log Analytics se deben resolver en Analytics, que anteriormente se
sus máquinas denominaba Microsoft Monitoring
Agent (MMA). Para tener la certeza de
que las máquinas virtuales tienen la
supervisión correcta, es preciso
asegurarse no solo de que el agente
está instalado en ellas, sino también de
que recopila adecuadamente los
eventos de seguridad en el área de
trabajo configurada.
(Directiva relacionada: los problemas
de estado del agente de Log Analytics
se deben resolver en sus máquinas)
REC O M EN DA C IÓ N DESC RIP C IÓ N SEVERIT Y

El agente de Log Analytics debe estar Security Center usa el agente de Log Alto
instalado en las máquinas de Azure Analytics (también conocido como
Arc basadas en Linux. OMS) para recopilar eventos de
seguridad de las máquinas de Azure
Arc. Para implementar el agente en
todas las máquinas de Azure Arc, siga
los pasos de corrección.
(Directiva relacionada: el agente de log
Analytics debe estar instalado en las
máquinas Linux de Azure Arc)

El agente de Log Analytics debe estar Security Center recopila datos de las Alto
instalado en su máquina virtual máquinas virtuales de Azure para
supervisar las amenazas y
vulnerabilidades de la seguridad. Para
realizar esta operación, se usa el
agente de Log Analytics, que
anteriormente se conocía como
Microsoft Monitoring Agent (MMA),
que lee distintas configuraciones
relacionadas con la seguridad y
distintos registros de eventos de la
máquina y copia los datos en el área
de trabajo de Log Analytics para
analizarlos. Este agente también es
necesario si algún servicio
administrado de Azure, como Azure
Kubernetes Service o Azure Service
Fabric, utiliza sus máquinas virtuales.
Se recomienda configurar el
aprovisionamiento automático para
que implemente el agente
automáticamente. Si decida no usar el
aprovisionamiento automático,
implemente el agente de forma
manual en sus máquinas virtuales y,
para hacerlo, siga las instrucciones de
los pasos para la corrección.
(Directiva relacionada: el agente de Log
Analytics debe instalarse en la máquina
virtual para la supervisión de Azure
Security Center)
REC O M EN DA C IÓ N DESC RIP C IÓ N SEVERIT Y

El agente de Log Analytics debe Security Center recopila datos de las Alto
instalarse en sus conjuntos de máquinas virtuales de Azure para
escalado de máquinas virtuales supervisar las amenazas y
vulnerabilidades de la seguridad. Para
realizar esta operación, se usa el
agente de Log Analytics, que
anteriormente se conocía como
Microsoft Monitoring Agent (MMA),
que lee distintas configuraciones
relacionadas con la seguridad y
distintos registros de eventos de la
máquina y copia los datos en el área
de trabajo para analizarlos. También
tendrá que realizar ese procedimiento
si algún servicio administrado de
Azure, como Azure Kubernetes Service
o Azure Service Fabric, utiliza sus
máquinas virtuales. No se puede
configurar el aprovisionamiento
automático del agente para los
conjuntos de escalado de máquinas
virtuales de Azure. Para implementar el
agente en los conjuntos de escalado
de máquinas virtuales (incluidos los
que se usan en los servicios
administrados de Azure, como Azure
Kubernetes Service y Azure Service
Fabric), siga el procedimiento descrito
en los pasos de corrección.
(Directiva relacionada: el agente de Log
Analytics debe instalarse en sus
conjuntos de escalado de máquinas
virtuales para supervisar Azure
Security Center)

El agente de Log Analytics debe estar Security Center usa el agente de Log Alto
instalado en las máquinas de Azure Analytics (también conocido como
Arc basadas en Windows MMA) para recopilar eventos de
seguridad de las máquinas de Azure
Arc. Para implementar el agente en
todas las máquinas de Azure Arc, siga
los pasos de corrección.
(Directiva relacionada: el agente de Log
Analytics debe estar instalado en las
máquinas Windows de Azure Arc)

Los puertos de administración de las Azure Security Center identificó en los Alto
máquinas virtuales deben protegerse puertos de administración del grupo
con el control de acceso de red Just- de seguridad de red que algunas de las
In-Time. reglas de entrada son demasiado
permisivas. Habilite el control de
acceso Just-in-Time para proteger la
máquina virtual frente a los ataques
por fuerza bruta que se realizan a
través de Internet. Más información.
(Directiva relacionada: los puertos de
administración de las máquinas
virtuales deben protegerse con el
control de acceso de red Just-In-Time)
REC O M EN DA C IÓ N DESC RIP C IÓ N SEVERIT Y

El agente de supervisión debe Esta acción instala un agente de Alto

instalarse en las máquinas. supervisión en las máquinas virtuales
seleccionadas. Seleccione un área de
trabajo a la que informará el agente.
(Ninguna directiva relacionada)

El agente de recopilación de datos de Security Center usa Microsoft Media

tráfico de red debe instalarse en Dependency Agent para recopilar
máquinas virtuales Linux. datos del tráfico de red de sus
máquinas virtuales de Azure y así
poder habilitar características
avanzadas de protección de red, como
la visualización del tráfico en el mapa
de red, las recomendaciones de
refuerzo de la red y las amenazas de
red específicas.
(Directiva relacionada: el agente de
recopilación de datos del tráfico de red
debe estar instalado en máquinas
virtuales Linux)

El agente de recopilación de datos de Security Center usa Microsoft Media

tráfico de red debe instalarse en las Dependency Agent para recopilar
máquinas virtuales Windows. datos del tráfico de red de sus
máquinas virtuales de Azure y así
poder habilitar características
avanzadas de protección de red, como
la visualización del tráfico en el mapa
de red, las recomendaciones de
refuerzo de la red y las amenazas de
red específicas.
(Directiva relacionada: el agente de
recopilación de datos del tráfico debe
estar instalado en máquinas virtuales
Windows)

La versión del SO debe actualizarse Actualice la versión de sistema Alto

para los roles de servicio en la nube operativo (SO) para los roles de
servicio en la nube a la versión más
reciente disponible para la familia de
sistema operativo.
(Directiva relacionada: la versión del
sistema operativo debe ser la más
reciente de los roles del servicio en la
nube)

Se deben definir las directivas de (En desuso) Defina las directivas de Alto
seguridad de pod en los servicios de seguridad de pod para reducir el
Kubernetes (en desuso) vector de ataque mediante la
eliminación de privilegios de aplicación
innecesarios. Se recomienda configurar
las directivas de seguridad de pods
para asegurarse de que los pods que
solicitan recursos que no se permiten
no se pueden ejecutar en el clúster de
AKS.
(Ninguna directiva relacionada)
REC O M EN DA C IÓ N DESC RIP C IÓ N SEVERIT Y

En la máquina virtual debe estar La habilitación del arranque seguro en Bajo

habilitado el arranque seguro la máquina virtual ayuda a mitigar los
cambios malintencionados y no
autorizados en la cadena de arranque.
Una vez habilitado, solo se permitirá la
ejecución de código firmado en la
máquina virtual o en el servidor.
(Ninguna directiva relacionada)

Se debe establecer la propiedad Service Fabric proporciona tres niveles Alto

ClusterProtectionLevel en de protección (None, Sign y
EncryptAndSign en los clústeres de EncryptAndSign) para la comunicación
Service Fabric de nodo a nodo mediante un
certificado de clúster principal.
Establezca el nivel de protección para
asegurarse de que todos los mensajes
de nodo a nodo se cifran y se firman
digitalmente.
(Directiva relacionada: se debe
establecer la propiedad
ClusterProtectionLevel en
EncryptAndSign en los clústeres de
Service Fabric)

Los clústeres de Service Fabric solo Realice la autenticación de clientes solo Alto
deben usar Azure Active Directory mediante Azure Active Directory en
para la autenticación de cliente Service Fabric
(Directiva relacionada: los clústeres de
Service Fabric solo deben usar
Azure Active Directory para la
autenticación de cliente)

Se deben instalar las actualizaciones Instale actualizaciones faltantes de Alto

del sistema en los conjuntos de seguridad y críticas para proteger sus
escalado de máquinas virtuales conjuntos de escalado de máquinas
virtuales de Windows y Linux.
(Directiva relacionada: se deben
instalar las actualizaciones del sistema
en los conjuntos de escalado de
máquinas virtuales)

Se deben instalar actualizaciones del Instale actualizaciones faltantes de Alto

sistema en las máquinas seguridad y críticas para proteger sus
máquinas virtuales y equipos de
Windows y Linux.
(Directiva relacionada: se deben
instalar las actualizaciones del sistema
en las máquinas)
REC O M EN DA C IÓ N DESC RIP C IÓ N SEVERIT Y

Se deben instalar las actualizaciones A las máquinas les faltan Alto

del sistema en las máquinas (con la actualizaciones del sistema, de
tecnología del Centro de actualización) seguridad y actualizaciones críticas. Las
actualizaciones de software a menudo
incluyen revisiones críticas para las
vulnerabilidades de seguridad. Dichas
vulnerabilidades se aprovechan con
frecuencia en ataques de malware, por
lo que es fundamental mantener el
software actualizado. Para instalar
todas las revisiones pendientes y
proteger las máquinas, siga los pasos
de corrección.
(Ninguna directiva relacionada)

Se debe dar fe del estado de la Security Center no puede dar fe de Media

integridad de arranque de las que la máquina virtual ejecuta código
máquinas virtuales firmado y de confianza. Esto podría
indicar un riesgo de la cadena de
arranque, que podría ser el resultado
de una infección persistente de bootkit
o rootkit. Para tener la certeza de que
la máquina virtual se ejecuta en un
estado seguro, es aconsejable
investigarla o volver a implementarla
desde una imagen de sistema
operativo de confianza.
(Ninguna directiva relacionada)

Se deben migrar las máquinas Virtual Machines (clásico) quedó en Alto

virtuales a nuevos recursos de Azure desuso y estás máquinas virtuales se
Resource Manager deben migrar a Azure Resource
Manager.
Dado que Azure Resource Manager
tiene ahora funcionalidades completas
de IaaS y otras mejoras, hemos puesto
en desuso las máquinas virtuales (VM)
de IaaS mediante Azure Service
Manager (ASM) el 28 de febrero de
2020. Esta funcionalidad se retirará por
completo el 1 de marzo de 2023.

Recursos disponibles e información

sobre esta herramienta y de la
migración:
1. Información general sobre el desuso
de Virtual Machines (clásico), el
proceso detallado de la migración y los
recursos de Microsoft disponibles.
2. Detalles sobre la migración a la
herramienta de migración de Azure
Resource Manager.
3. Migre a la herramienta de migración
de Azure Resource Manager mediante
PowerShell.
(Directiva relacionada: Virtual
Machines debe migrar a los nuevos
recursos de Azure Resource Manager)
REC O M EN DA C IÓ N DESC RIP C IÓ N SEVERIT Y

La extensión "Configuración de La extensión Configuración de invitado Mediana

invitado" de las máquinas virtuales requiere una identidad administrada
debe implementarse con una identidad asignada por el sistema. Si las
administrada asignada por el sistema. máquinas virtuales de Azure incluidas
en el ámbito de esta directiva tienen
instalada la extensión "Configuración
de invitado" pero no tienen una
identidad administrada asignada por el
sistema, no cumplirán los requisitos
establecidos. Más información
(Directiva relacionada: la extensión
Configuración de invitado se debe
implementar en las máquinas virtuales
de Azure con una identidad
administrada asignada por el sistema).

Se deben corregir las vulnerabilidades Corrija vulnerabilidades en la Alto

en las configuraciones de seguridad de configuración de seguridad en equipos
contenedor con Docker instalado para protegerlos
de ataques.
(Directiva relacionada: se deben
corregir las vulnerabilidades en las
configuraciones de seguridad de
contenedor)

Se deben corregir las vulnerabilidades Corrija vulnerabilidades en la Bajo

en la configuración de seguridad en las configuración de seguridad en las
máquinas máquinas para protegerlas de ataques.
(Directiva relacionada: se deben
corregir las vulnerabilidades en la
configuración de seguridad de las
máquinas)

Se deben corregir las vulnerabilidades Corrija vulnerabilidades en la Alto

en la configuración de seguridad de los configuración de seguridad en
conjuntos de escalado de máquinas conjuntos de escalado de máquinas
virtuales virtuales para protegerlas de ataques.
(Directiva relacionada: se deben
corregir las vulnerabilidades en la
configuración de seguridad de los
conjuntos de escalado de máquinas
virtuales)

Es necesario corregir las Supervisa las conclusiones de las Bajo

vulnerabilidades de las máquinas vulnerabilidades en máquinas virtuales
virtuales que descubrió la solución de
evaluación de vulnerabilidades
integrada de Azure Security Center
(con tecnología de Qualys).
(Directiva relacionada: debe habilitarse
una solución de evaluación de
vulnerabilidades en las máquinas
virtuales)
REC O M EN DA C IÓ N DESC RIP C IÓ N SEVERIT Y

Se deben corregir las vulnerabilidades Las máquinas virtuales para las que se Alto
mediante una solución de evaluación implementa una solución de
de vulnerabilidades evaluación de vulnerabilidades de
terceros se evalúan de forma continua
en relación con las vulnerabilidades de
la aplicación y del sistema operativo.
Cada vez que se encuentran
vulnerabilidades de este tipo, es
posible obtener más información sobre
ellas como parte de la recomendación.
(Directiva relacionada: se deben
corregir las vulnerabilidades mediante
una solución de evaluación de
vulnerabilidades)

La solución de evaluación de Instale una solución de evaluación de Media

vulnerabilidades debe instalarse en sus la vulnerabilidad en sus máquinas
máquinas virtuales virtuales.
(Directiva relacionada: se deben
corregir las vulnerabilidades mediante
una solución de evaluación de
vulnerabilidades)

La Protección contra vulnerabilidades La protección contra vulnerabilidades Media

de seguridad de Windows Defender de seguridad de Windows Defender
debe estar habilitada en las máquinas. utiliza el agente de configuración de
invitado de Azure Policy. La protección
contra vulnerabilidades de seguridad
tiene cuatro componentes diseñados
para bloquear dispositivos en una
amplia variedad de vectores de ataque
y comportamientos de bloque
utilizados habitualmente en ataques de
malware, al tiempo que permiten a las
empresas equilibrar los requisitos de
productividad y riesgo de seguridad
(solo Windows).
(Directiva relacionada: auditar las
máquinas Windows en las que
Protección contra vulnerabilidades de
seguridad de Windows Defender no
está habilitado).
 REC O M EN DA C IÓ N DESC RIP C IÓ N SEVERIT Y

Los servidores web de Windows deben Para proteger la privacidad de la Alto

estar configurados para usar información que se comunica a través
protocolos de comunicación seguros de Internet, los servidores web deben
usar la versión más reciente del
protocolo criptográfico estándar del
sector, Seguridad de la capa de
transporte (TLS). TLS protege las
comunicaciones que se realizan a
través de una red mediante el uso de
certificados de seguridad para cifrar
una conexión entre máquinas. TLS 1.3
es más rápido y más seguro que las
versiones anteriores: TLS 1.0-1.2 y
SSL 2-3, que se consideran protocolos
heredados.
(Directiva relacionada: Auditoría de los
servidores web Windows que no estén
usando los protocolos de
comunicación segura)

Las máquinas deben reiniciarse para Reinicie sus máquinas para aplicar las Media
aplicar las actualizaciones del sistema actualizaciones del sistema y
protegerlas ante vulnerabilidades.
(Directiva relacionada: las
actualizaciones del sistema deben estar
instaladas en las máquinas)

Recomendaciones del contenedor

Hay 24 recomendaciones en esta categoría.

REC O M EN DA C IÓ N DESC RIP C IÓ N SEVERIT Y

REC O M EN DA C IÓ N DESC RIP C IÓ N SEVERIT Y

Se debe habilitar Azure Defender para Para crear cargas de trabajo seguras en Alto
registros de contenedor contenedores, asegúrese de que las
imágenes en las que se basan están
libres de vulnerabilidades conocidas.
Azure Defender para registros de
contenedor examina el registro en
busca de vulnerabilidades de seguridad
en cada imagen de contenedor
insertada y expone resultados
detallados por imagen.
Para mejorar la posición de seguridad
de los contenedores y protegerlos de
ataques, habilite Azure Defender para
registros de contenedor.

Importante: la corrección de esta

recomendación dará lugar a cargos por
la protección de los registros de
contenedor. Si no tiene registros de
contenedor en esta suscripción, no se
aplicarán cargos.
Si, en el futuro, crea cualquier número
de registros de contenedor en esta
suscripción, estos se protegerán
automáticamente y a partir de ese
momento, se iniciarán los cargos.
Más información sobre Azure Defender
para registros de contenedor.
(Directiva relacionada: se debe habilitar
Azure Defender para registros de
contenedor)

Se debe habilitar Azure Defender para Azure Defender para Kubernetes Alto
Kubernetes proporciona protección en tiempo real
contra amenazas para entornos en
contenedores y genera alertas en caso
de actividad sospechosa.
Puede usar esta información para
corregir problemas de seguridad y
mejorar la seguridad de los
contenedores rápidamente.

Importante: la corrección de esta

recomendación dará lugar a cargos por
la protección de los clústeres de
Kubernetes. Si no tiene ningún clúster
de Kubernetes en esta suscripción, no
se aplicarán cargos.
Si, en el futuro, crea cualquier número
de clústeres de Kubernetes en esta
suscripción, estos se protegerán
automáticamente y a partir de ese
momento, se iniciarán los cargos.
Más información sobre Azure Defender
para Kubernetes.
(Directiva relacionada: se debe habilitar
Azure Defender para Kubernetes)
REC O M EN DA C IÓ N DESC RIP C IÓ N SEVERIT Y

El complemento Azure Policy para El complemento Azure Policy para Alto

Kubernetes debería estar instalado y Kubernetes amplía Gatekeeper v3, un
habilitado en sus clústeres webhook del controlador de admisión
de Open Policy Agent (OPA), para
aplicar imposiciones y medidas de
seguridad a escala en los clústeres de
forma centralizada y coherente.
Security Center requiere que el
complemento audite y aplique las
funcionalidades de seguridad y el
cumplimiento en los clústeres. Más
información.
Requiere Kubernetes v 1.14.0 o
posterior.

(Directiva relacionada: el complemento

Azure Policy para Kubernetes Service
(AKS) debería estar instalado y
habilitado en sus clústeres)

Debe aplicar los límites de CPU y La aplicación de límites de CPU y Media

memoria de los contenedores. memoria evita los ataques de
agotamiento de recursos (una forma
de ataque de denegación de servicio).
Se recomienda establecer los
límites de los contenedores para
asegurarse de que el tiempo de
ejecución impide que el
contenedor use más del límite de
recursos configurado.

(Directiva relacionada: asegúrese de

que los límites de los recursos de
memoria y CPU del contenedor no
superan los límites especificados en el
clúster de Kubernetes)

Las imágenes de contenedor solo Las imágenes que se ejecutan en el Alto

deben implementarse desde registros clúster de Kubernetes deben provenir
de confianza de registros de imagen de contenedor
conocidos y supervisados. Los
registros de confianza reducen el
riesgo de exposición del clúster, ya que
limitan la posibilidad de que se
introduzcan vulnerabilidades
desconocidas, problemas de seguridad
e imágenes malintencionadas.
(Directiva relacionada: asegúrese de
que solo hay las imágenes de
contenedor permitidas en el clúster de
Kubernetes)
REC O M EN DA C IÓ N DESC RIP C IÓ N SEVERIT Y

Las instancias de Container Registry se Use claves administradas por el cliente Media
deben cifrar con una clave para administrar el cifrado en reposo
administrada por el cliente (CMK) del contenido de los registros. De
manera predeterminada, los datos se
cifran en reposo con claves
administradas por el servicio, pero las
claves administradas por el cliente
(CMK) suelen ser necesarias para
cumplir estándares de cumplimiento
normativo. Las CMK permiten cifrar los
datos con una clave de Azure Key
Vault creada por el usuario y
propiedad de este. Tiene control y
responsabilidad totales del ciclo de
vida de la clave, incluidos la rotación y
administración. Más información sobre
el cifrado de CMK en
https://aka.ms/acr/CMK.
(Directiva relacionada: las instancias de
Container Registry se deben cifrar con
una clave administrada por el cliente
[CMK])

Las instancias de Container Registry De manera predeterminada, las Media

no deben permitir el acceso de red sin instancias de Azure Container Registry
restricciones aceptan conexiones a través de
Internet de hosts de cualquier red.
Para protegerlas frente a posibles
amenazas, permita el acceso solo
desde direcciones IP públicas
específicas o intervalos de direcciones.
Si el registro no tiene una regla de
IP/firewall o una red virtual
configurada, aparece en los recursos
incorrectos. Obtenga más información
sobre las reglas de red de Container
Registry aquí:
https://aka.ms/acr/portal/public-
network y aquí
https://aka.ms/acr/vnet.
(Directiva relacionada: las instancias de
Container Registry no deben permitir
el acceso de red sin restricciones)

Las instancias de Container Registry Azure Private Link permite conectar la Media
deben usar Private Link red virtual a servicios de Azure sin una
dirección IP pública en el origen o el
destino. La plataforma Private Link
controla la conectividad entre el
consumidor y los servicios a través de
la red troncal de Azure. Al asignar
puntos de conexión privados a las
instancias de Container Registry en
lugar de a todo el servicio, además se
protege frente a riesgos de pérdida de
datos. Más información en:
https://aka.ms/acr/private-link.
(Directiva relacionada: las instancias de
Container Registry deben usar un
vínculo privado)
REC O M EN DA C IÓ N DESC RIP C IÓ N SEVERIT Y

Debe evitar los contenedores con Los contenedores no deben ejecutarse Media
elevación de privilegios. con una elevación de privilegios a la
raíz en el clúster de Kubernetes.
El atributo AllowPrivilegeEscalation
controla si un proceso puede obtener
más privilegios que el proceso
primario.
(Directiva relacionada: los clústeres de
Kubernetes no deben permitir la
elevación de privilegios del
contenedor)

Deben evitarse los contenedores que Para protegerse frente a la elevación Media
comparten espacios de nombres de de privilegios fuera del contenedor,
host confidenciales. evite el acceso del pod a espacios de
nombres de hosts confidenciales (id. de
proceso de host e IPC de host) en un
clúster de Kubernetes.
(Directiva relacionada: los
contenedores del clúster de
Kubernetes no deben compartir el
identificador de proceso del host ni el
espacio de nombres IPC del host)

Los contenedores solo deben escuchar Para reducir la superficie expuesta a Media
en los puertos permitidos. ataques de un clúster de Kubernetes,
restrinja el acceso al mismo, para lo
que debe limitar el acceso de los
contenedores a los puertos
configurados.
(Directiva relacionada: asegúrese de
que los contenedores solo escuchan en
los puertos permitidos en el clúster de
Kubernetes)

El sistema de archivos raíz inmutable Los contenedores deben ejecutarse Media

(de solo lectura) debe aplicarse para con un sistema de archivos raíz de solo
los contenedores. lectura en el clúster de Kubernetes. El
sistema de archivos inmutable protege
los contenedores frente a cambios en
el entorno de ejecución que implican la
adición de archivos binarios
malintencionados a PATH.
(Directiva relacionada: los
contenedores del clúster de
Kubernetes deben ejecutarse con un
sistema de archivos raíz de solo
lectura)
REC O M EN DA C IÓ N DESC RIP C IÓ N SEVERIT Y

Los clústeres de Kubernetes solo El uso de HTTPS garantiza la Alto

deben ser accesibles mediante HTTPS autenticación y protege los datos en
tránsito frente a ataques de
intercepción de nivel de red. Esta
funcionalidad está disponible
actualmente con carácter general para
Kubernetes Service (AKS) y en versión
preliminar para el motor de AKS y
Kubernetes con Azure Arc habilitado.
Para más información, visite
https://aka.ms/kubepolicydoc
(Directiva relacionada: Exigir la entrada
HTTPS en el clúster de Kubernetes)

El servidor de Service Management Para asegurarse de que las aplicaciones Alto

API de Kubernetes debe configurarse de las redes, máquinas o subredes
con acceso restringido permitidas son las únicas que pueden
acceder al clúster, restrinja el acceso al
servidor de Service Management API
de Kubernetes. Para restringir el
acceso, defina los intervalos de IP
autorizados o configure los servidores
de la API como clústeres privados,
como se explica en
https://docs.microsoft.com/azure/aks/p
rivate-clusters.
(Directiva relacionada: los intervalos IP
autorizados deben definirse en
Servicios de Kubernetes)

Kubernetes Services se debe actualizar Actualice el clúster de servicio de Alto

a una versión de Kubernetes no Kubernetes a una versión de
vulnerable. Kubernetes posterior para protegerse
frente a vulnerabilidades conocidas en
la versión actual de Kubernetes. La
vulnerabilidad CVE-2019-9946 se ha
revisado en las
versiones 1.11.9+, 1.12.7+, 1.13.5+
y 1.14.0+ de Kubernetes
(Directiva relacionada: los servicios de
Kubernetes se debe actualizar a una
versión de Kubernetes no vulnerable)

Deben aplicarse funcionalidades de Para reducir la superficie expuesta a Media

Linux con privilegios mínimos para los ataques del contenedor, restrinja las
contenedores funcionalidades de Linux y conceda
privilegios específicos a los
contenedores sin conceder todos los
privilegios del usuario raíz. Se
recomienda eliminar todas las
funcionalidades y agregar después las
que se necesiten
(Directiva relacionada: los
contenedores de clúster de Kubernetes
solo deben usar funcionalidades
permitidas)
REC O M EN DA C IÓ N DESC RIP C IÓ N SEVERIT Y

La opción de reemplazar o deshabilitar Los contenedores que se ejecutan en Alto

el perfil de AppArmor de los el clúster de Kubernetes se deben
contenedores debe estar restringida. limitar solo a perfiles de AppArmor
permitidos.
AppArmor (Application Armor) es un
módulo de seguridad de Linux que
protege un sistema operativo y sus
aplicaciones frente a amenazas de
seguridad. Para usarlo, el
administrador del sistema asocia un
perfil de seguridad de AppArmor a
cada programa.
(Directiva relacionada: los
contenedores de clúster de Kubernetes
solo deben usar perfiles de AppArmor
permitidos)

Deben evitarse los contenedores con Para evitar el acceso a los hosts sin Media
privilegios. restricciones, siempre que sea posible,
evite los contenedores con privilegios.
Los contenedores con privilegios
tienen todas las capacidades raíz
de un equipo host. Se pueden usar
no solo como puntos de entrada
para ataques, sino también para
distribuir código malintencionado
o malware en aplicaciones, hosts y
redes en peligro.

(Directiva relacionada: no permitir

contenedores con privilegios en un
clúster de Kubernetes)

Se debe usar el control de acceso Para proporcionar un filtrado detallado Alto

basado en rol en los servicios de de las acciones que los usuarios
Kubernetes pueden realizar, use el control de
acceso basado en rol (RBAC) para
administrar los permisos en los
clústeres de Kubernetes Service y
configurar las directivas de
autorización correspondientes. Para
obtener más información, consulte
Control de acceso basado en roles de
Azure.
(Directiva relacionada: Se debe usar el
control de acceso basado en rol en los
servicios de Kubernetes)
REC O M EN DA C IÓ N DESC RIP C IÓ N SEVERIT Y

Debe evitar la ejecución de Los contenedores se deben ejecutar Alto

contenedores como usuario raíz. como usuario no raíz en el clúster de
Kubernetes. La ejecución de un
proceso como el usuario raíz dentro de
un contenedor lo ejecuta como raíz en
el host. En caso de peligro, el atacante
tiene la raíz en el contenedor, y
cualquier configuración errónea resulta
más fácil de aprovechar.
(Directiva relacionada: los
contenedores y pods de clúster de
Kubernetes solo deben ejecutarse con
identificadores de usuario y grupo
aprobados)

Los servicios solo deben escuchar en Para reducir la superficie expuesta a Media
los puertos permitidos. ataques del clúster de Kubernetes,
restrinja el acceso a este limitando el
acceso de los servicios a los puertos
configurados.
(Directiva relacionada: asegúrese de
que los servicios solo realizan escuchas
en los puertos permitidos del clúster
de Kubernetes)

El uso de puertos y redes de hosts Restringe el acceso de los pods a la red Media
debe estar restringido. del host y el intervalo de puertos de
host permitidos en un clúster de
Kubernetes. Los pods creados con el
atributo hostNetwork habilitado
compartirán el espacio de red del
nodo. Para evitar que el contenedor en
peligro rastree el tráfico de red, se
recomienda no colocar los pods en la
red del host. Si tiene que exponer un
puerto de contenedor en la red del
nodo y el uso de un puerto de nodo
del servicio Kubernetes no satisface
sus necesidades, otra posibilidad es
especificar un atributo hostPort para el
contenedor en la especificación del
pod.
(Directiva relacionada: los pods del
clúster de Kubernetes solo pueden
usar redes de host e intervalos de
puerto permitidos)

El uso de montajes de volúmenes Se recomienda limitar los montajes de Media

HostPath de pod debe restringirse a volúmenes HostPath de pod en el
una lista conocida, con el fin de clúster de Kubernetes a las rutas de
restringir el acceso a los nodos de los acceso de host permitidas
contenedores en peligro configuradas. En caso de peligro, se
debe restringir el acceso del nodo
contenedor desde los contenedores
(Directiva relacionada: los volúmenes
hostPath del pod del clúster de
Kubernetes solo deben usar rutas de
host permitidas)
 REC O M EN DA C IÓ N DESC RIP C IÓ N SEVERIT Y

Es necesario corregir las La evaluación de vulnerabilidades de la Alto

vulnerabilidades de las imágenes de imagen de contenedor examina el
Azure Container Registry (con registro en busca de vulnerabilidades
tecnología de Qualys) de seguridad y expone los resultados
detallados en cada imagen. La
resolución de las vulnerabilidades
puede mejorar considerablemente la
posición de seguridad de los
contenedores y protegerlos frente a
ataques.
(Directiva relacionada: se deben
corregir las vulnerabilidades de las
imágenes de Azure Container Registry)

Recomendaciones de datos
En esta categoría, hay 64 recomendaciones.

REC O M EN DA C IÓ N DESC RIP C IÓ N SEVERIT Y

Todos los tipos de protección contra Se recomienda habilitar todos los tipos Media
amenazas avanzada deben habilitarse de protección contra amenazas
en la configuración de la seguridad avanzada en las instancias
avanzada de datos de las instancias administradas de SQL. La habilitación
administradas de SQL. de todos los tipos protege contra la
inyección de código SQL, las
vulnerabilidades de base de datos y
cualquier otra actividad anómala.
(Ninguna directiva relacionada)

Todos los tipos de Advanced Threat Se recomienda habilitar todos los tipos Media
Protection deben habilitarse en la de protección contra amenazas
configuración de Advanced Data avanzada en los servidores SQL Server.
Security del servidor SQL Server. La habilitación de todos los tipos
protege contra la inyección de código
SQL, las vulnerabilidades de base de
datos y cualquier otra actividad
anómala.
(Ninguna directiva relacionada)

El administrador de Azure Active Aprovisione un administrador de Azure Alto

Directory debe aprovisionarse para AD para SQL Server a fin de habilitar la
servidores SQL Server autenticación de Azure AD. La
autenticación de Azure AD permite la
administración simplificada de
permisos y la administración
centralizada de identidades de usuarios
de base de datos y otros servicios de
Microsoft.
(Directiva relacionada: debe
aprovisionarse un administrador de
Azure Active Directory para los
servidores de SQL Server)
REC O M EN DA C IÓ N DESC RIP C IÓ N SEVERIT Y

Los servicios de API Management La implementación de Azure Virtual Media

deben usar una red virtual Network ofrece una seguridad y
aislamiento mejorados, y permite
colocar el servicio de API Management
en una red enrutable sin conexión a
Internet cuyo acceso puede controlar.
Estas redes se pueden conectar a las
redes locales mediante diversas
tecnologías de VPN, lo que permite el
acceso a los servicios de back-end
dentro de la red o de forma local. El
portal para desarrolladores y la puerta
de enlace de API pueden configurarse
para que sea accesible desde Internet
o solo dentro de la red virtual.
(Directiva relacionada: Los servicios de
API Management deben usar una red
virtual)

App Configuration debe usar Private Azure Private Link permite conectar la Media
Link red virtual a servicios de Azure sin una
dirección IP pública en el origen o el
destino. La plataforma Private Link
administra la conectividad entre el
consumidor y los servicios a través de
la red troncal de Azure. Mediante la
asignación de puntos de conexión
privados a las instancias de App
Configuration en lugar de a todo el
servicio, además se protege frente a
riesgos de pérdida de datos. Más
información en:
https://aka.ms/appconfig/private-
endpoint.
(Directiva relacionada: App
Configuration debe usar un vínculo
privado)

La retención de la auditoría en los Audite los servidores SQL Server Bajo

servidores de SQL Server debe configurados con un período de
establecerse en 90 días, como mínimo retención de auditoría de menos de
90 días.
(Directiva relacionada: los servidores
de SQL Server se deben configurar con
una retención de auditoría de 90 días,
o más.)

La auditoría de SQL Server debe estar Habilite la auditoría en SQL Server Bajo
habilitada para realizar un seguimiento de las
actividades de todas las bases de datos
del servidor y guardarlas en un
registro de auditoría.
(Directiva relacionada: la auditoría de
SQL Server debe estar habilitada)
REC O M EN DA C IÓ N DESC RIP C IÓ N SEVERIT Y

El aprovisionamiento automático del A fin de supervisar las amenazas y Bajo

agente de Log Analytics debe estar vulnerabilidades de seguridad, Azure
habilitado en la suscripción Security Center recopila datos de las
máquinas virtuales de Azure. El agente
de Log Analytics, anteriormente
conocido como Microsoft Monitoring
Agent (MMA), recopila los datos al leer
distintas configuraciones relacionadas
con la seguridad y distintos registros
de eventos de la máquina y copiar los
datos en el área de trabajo de Log
Analytics para analizarlos. Se
recomienda habilitar el
aprovisionamiento automático para
implementar automáticamente el
agente en todas las máquinas virtuales
de Azure admitidas y en las nuevas
que se creen.
(Directiva relacionada: el
aprovisionamiento automático del
agente de Log Analytics debe estar
habilitado en la suscripción)

Azure Cache for Redis debe residir en La implementación de Azure Virtual Media
una red virtual Network (VNet) proporciona seguridad
y aislamiento mejorados para Azure
Cache for Redis, así como subredes,
directivas de control de acceso y otras
características para restringir aún más
el acceso. Cuando una instancia de
Azure Cache for Redis está configurada
con una instancia de VNet, no está
disponible públicamente y solo se
puede acceder a ella desde máquinas
virtuales y aplicaciones de la instancia
de VNet.
(Directiva relacionada: Azure Cache for
Redis debe residir en una red virtual)

Las cuentas de Azure Cosmos DB Se deben definir reglas de firewall en Media

deben tener reglas de firewall. las cuentas de Azure Cosmos DB para
evitar el tráfico desde orígenes no
autorizados. Las cuentas que tienen al
menos una regla de IP definida con el
filtro de red virtual habilitado se
consideran compatibles. Las cuentas
que deshabilitan el acceso público
también se consideran compatibles.
(Directiva relacionada: Las cuentas de
Azure Cosmos DB deben tener reglas
de firewall)
REC O M EN DA C IÓ N DESC RIP C IÓ N SEVERIT Y

Las cuentas de Azure Cosmos DB Use claves administradas por el cliente Alto
deben usar claves administradas por el para administrar el cifrado en reposo
cliente para cifrar los datos en reposo de la instancia de Azure Cosmos DB.
De manera predeterminada, los datos
se cifran en reposo con claves
administradas por el servicio, pero las
claves administradas por el cliente
(CMK) suelen ser necesarias para
cumplir estándares de cumplimiento
normativo. Las CMK permiten cifrar los
datos con una clave de Azure Key
Vault creada por el usuario y
propiedad de este. Tiene control y
responsabilidad totales del ciclo de
vida de la clave, incluidos la rotación y
administración. Más información sobre
el cifrado de CMK en
https://aka.ms/cosmosdb-cmk.
(Directiva relacionada: las cuentas de
Azure Cosmos DB deben usar claves
administradas por el cliente para cifrar
los datos en reposo)

Se debe habilitar Azure Defender para Azure Defender para SQL es un Alto
servidores de Azure SQL Database paquete unificado que ofrece
funcionalidad avanzada de seguridad
de SQL.
Incluye una funcionalidad para mostrar
y mitigar las vulnerabilidades
potenciales de una base de datos,
mediante la detección de actividades
anómalas que puedan indicar una
amenaza para dicha base de datos, y el
descubrimiento y clasificación de datos
confidenciales.

Importante: La corrección de esta

recomendación dará lugar a cargos por
la protección de los servidores de
Azure SQL Database. Si no tiene
ningún servidor Azure SQL Database
en esta suscripción, no se aplicarán
cargos.
Si, en el futuro, crea cualquier número
de servidores de Azure SQL Database
en esta suscripción, estos se
protegerán automáticamente y a partir
de ese momento, se iniciarán los
cargos.
Más información sobre Azure Defender
para servidores de Microsoft Azure
SQL Database.
(Directiva relacionada: se debe habilitar
Azure Defender para servidores de
Microsoft Azure SQL Database)
REC O M EN DA C IÓ N DESC RIP C IÓ N SEVERIT Y

Se debe habilitar Azure Defender para Azure Defender para SQL es un Alto
servidores SQL Server en las máquinas paquete unificado que ofrece
funcionalidad avanzada de seguridad
de SQL.
Incluye una funcionalidad para mostrar
y mitigar las vulnerabilidades
potenciales de una base de datos,
mediante la detección de actividades
anómalas que puedan indicar una
amenaza para dicha base de datos, y el
descubrimiento y clasificación de datos
confidenciales.

Importante: La corrección de esta

recomendación dará lugar a cargos por
la protección de los servidores
SQL Server en las máquinas. Si no
tiene ningún servidor SQL Server en
las máquinas de esta suscripción, no se
aplicarán cargos.
Si, en el futuro, crea cualquier número
de servidores SQL Server en las
máquinas de esta suscripción, estos se
protegerán automáticamente y a partir
de ese momento, se iniciarán los
cargos.
Más información sobre Azure Defender
para servidores de SQL Server en las
máquinas.
(Directiva relacionada: se debe habilitar
Azure Defender para servidores
SQL Server en las máquinas)

Azure Defender para SQL debe estar Azure Defender para SQL es un Alto
habilitada en las instancias paquete unificado que ofrece
administradas funcionalidad avanzada de seguridad
de SQL. Expone y mitiga posibles
vulnerabilidades de la base de datos y
detecta actividades anómalas que
podrían indicar una amenaza para la
base de datos. Azure Defender para
SQL se factura como se muestra en la
página de precios.
(Directiva relacionada: Advanced Data
Security debe estar habilitado en
Instancia administrada de SQL)

Azure Defender para SQL debe estar Azure Defender para SQL es un Alto
habilitada en los servidores de SQL paquete unificado que ofrece
funcionalidad avanzada de seguridad
de SQL. Expone y mitiga posibles
vulnerabilidades de la base de datos y
detecta actividades anómalas que
podrían indicar una amenaza para la
base de datos. Azure Defender para
SQL se factura como se muestra en la
página de precios.
(Directiva relacionada: Advanced Data
Security debe estar habilitado en los
servidores de SQL Server)
REC O M EN DA C IÓ N DESC RIP C IÓ N SEVERIT Y

Se debe habilitar Azure Defender para Azure Defender para Storage detecta Alto
Storage intentos inusuales y potencialmente
perjudiciales de acceder a las cuentas
de almacenamiento o de vulnerarlas.

Importante: La corrección de esta

recomendación dará lugar a cargos por
la protección de las cuentas de Azure
Storage. Si no tiene ninguna cuenta de
Azure Storage en esta suscripción, no
se aplicarán cargos.
Si, en el futuro, crea cualquier número
de cuentas de Azure Storage en esta
suscripción, estas se protegerán
automáticamente y a partir de ese
momento, se iniciarán los cargos.
Más información sobre Azure Defender
para Storage
(Directiva relacionada: se debe habilitar
Azure Defender para Storage)

Los dominios de Azure Event Grid Azure Private Link permite conectar la Media
deben usar Private Link red virtual a servicios de Azure sin una
dirección IP pública en el origen o el
destino. La plataforma de Private Link
controla la conectividad entre el
consumidor y los servicios en la red
troncal de Azure. Al asignar puntos de
conexión privados a los dominios de
Event Grid en lugar de a todo el
servicio, además se protege frente a
riesgos de pérdida de datos. Más
información en:
https://aka.ms/privateendpoints.
(Directiva relacionada: los dominios de
Azure Event Grid deben usar un
vínculo privado)

Los temas de Azure Event Grid deben Azure Private Link permite conectar la Media
usar Private Link red virtual a servicios de Azure sin una
dirección IP pública en el origen o el
destino. La plataforma Private Link
administra la conectividad entre el
consumidor y los servicios a través de
la red troncal de Azure. Mediante la
asignación de puntos de conexión
privados a los temas en lugar de a
todo el servicio, además se protege
frente a riesgos de pérdida de datos.
Más información en:
https://aka.ms/privateendpoints.
(Directiva relacionada: los temas de
Azure Event Grid deben usar un
vínculo privado)
REC O M EN DA C IÓ N DESC RIP C IÓ N SEVERIT Y

Las áreas de trabajo de Azure Machine Administre el cifrado en reposo de los Media
Learning deben cifrarse con una clave datos del área de trabajo de Azure
administrada por el cliente (CMK). Machine Learning con claves
administradas por el cliente (CMK). De
manera predeterminada, los datos del
cliente se cifran con claves
administradas por el servicio, pero las
CMK suelen ser necesarias para
cumplir estándares de cumplimiento
normativo. Las CMK permiten cifrar los
datos con una clave de Azure Key
Vault creada por el usuario y
propiedad de este. Tiene control y
responsabilidad totales del ciclo de
vida de la clave, incluidos la rotación y
administración. Más información sobre
el cifrado de CMK en
https://aka.ms/azureml-workspaces-
cmk.
(Directiva relacionada: las áreas de
trabajo de Azure Machine Learning
deben cifrarse con una tecla
administrada por el cliente [CMK])

Las áreas de trabajo de Azure Machine Azure Private Link permite conectar la Media
Learning deben usar un vínculo red virtual a servicios de Azure sin una
privado. dirección IP pública en el origen o el
destino. La plataforma Private Link
administra la conectividad entre el
consumidor y los servicios a través de
la red troncal de Azure. Mediante la
asignación de puntos de conexión
privados a las áreas de Azure Machine
Learning en lugar de a todo el servicio,
además se protege frente a riesgos de
pérdida de datos. Más información en:
https://aka.ms/azureml-workspaces-
privatelink.
(Directiva relacionada: las áreas de
trabajo de Azure Machine Learning
deben usar un vínculo privado)

Azure SignalR Service debe usar Azure Private Link permite conectar la Media
Private Link red virtual a servicios de Azure sin una
dirección IP pública en el origen o el
destino. La plataforma Private Link
administra la conectividad entre el
consumidor y los servicios a través de
la red troncal de Azure. Mediante la
asignación de puntos de conexión
privados a los recursos de SignalR en
lugar de a todo el servicio, además se
protege frente a riesgos de pérdida de
datos. Más información en:
https://aka.ms/asrs/privatelink.
(Directiva relacionada: Azure SignalR
Service debe usar un vínculo privado)
REC O M EN DA C IÓ N DESC RIP C IÓ N SEVERIT Y

Azure Spring Cloud debe usar la Las instancias de Azure Spring Cloud Media
inserción de red deberían utilizar la inserción de red
virtual con los fines siguientes: 1. Aislar
Azure Spring Cloud de Internet. 2.
Permitir que Azure Spring Cloud
interactúe con sistemas en centros de
datos locales o con el servicio de Azure
en otras redes virtuales. 3. Permite a
los clientes controlar las
comunicaciones de red entrantes y
salientes para Azure Spring Cloud.
(Directiva relacionada: Azure Spring
Cloud debe usar la inserción de red)

La protección de datos Bring Your Use claves administradas por el cliente Media
Own Key debe estar habilitada para los para administrar el cifrado en reposo
servidores MySQL de los servidores MySQL. De manera
predeterminada, los datos se cifran en
reposo con claves administradas por el
servicio, pero las claves administradas
por el cliente (CMK) suelen ser
necesarias para cumplir estándares de
cumplimiento normativo. Las CMK
permiten cifrar los datos con una clave
de Azure Key Vault creada por el
usuario y propiedad de este. Tiene
control y responsabilidad totales del
ciclo de vida de la clave, incluidos la
rotación y administración.
(Directiva relacionada: la protección de
datos de Bring Your Own Key debe
estar habilitada para los servidores
MySQL)

La protección de datos Bring Your Use claves administradas por el cliente Media
Own Key debe estar habilitada para los para administrar el cifrado en reposo
servidores PostgreSQL de los servidores PostgreSQL. De
manera predeterminada, los datos se
cifran en reposo con claves
administradas por el servicio, pero las
claves administradas por el cliente
(CMK) suelen ser necesarias para
cumplir estándares de cumplimiento
normativo. Las CMK permiten cifrar los
datos con una clave de Azure Key
Vault creada por el usuario y
propiedad de este. Tiene control y
responsabilidad totales del ciclo de
vida de la clave, incluidos la rotación y
administración.
(Directiva relacionada: la protección de
datos de Bring Your Own Key debe
habilitarse para los servidores
PostgreSQL)
REC O M EN DA C IÓ N DESC RIP C IÓ N SEVERIT Y

Las cuentas de Cognitive Services Esta directiva audita las cuentas de Media
deben tener habilitado el cifrado de Cognitive Services sin usar el cifrado
datos de datos. Para cada cuenta de
Cognitive Services con
almacenamiento, debe habilitar el
cifrado de datos con una clave
administrada por el cliente o por
Microsoft.
(Directiva relacionada: Las cuentas de
Cognitive Services deben habilitar el
cifrado de datos)

Las cuentas de Cognitive Services Las claves administradas por el cliente Media
deben habilitar el cifrado de datos con (CMK) suelen ser necesarias para
una clave administrada por el cliente cumplir estándares de cumplimiento
(CMK) normativo. Las CMK permiten cifrar los
datos almacenados en Cognitive
Services con una clave de Azure Key
Vault creada por el usuario y
propiedad de este. Tiene control y
responsabilidad totales del ciclo de
vida de la clave, incluidos la rotación y
administración. Más información sobre
el cifrado de CMK en
https://aka.ms/cosmosdb-cmk.
(Directiva relacionada: las cuentas de
Cognitive Services deben habilitar el
cifrado de datos con una clave
administrada por el cliente [CMK])

Las cuentas de Cognitive Services Se debe restringir el acceso de red a las Media
deben restringir el acceso a la red cuentas de Cognitive Services.
Configure reglas de red, de forma que
solo las aplicaciones de redes
permitidas pueden acceder a la cuenta
de Cognitive Services. Para permitir
conexiones desde clientes específicos
locales o de Internet, se puede
conceder acceso al tráfico procedente
de redes virtuales de Azure específicas
o a intervalos de direcciones IP de
Internet públicas.
(Directiva relacionada: Se debe
restringir el acceso de red a las cuentas
de Cognitive Services)

Las cuentas de Cognitive Services Esta directiva audita las cuentas de Media
deben usar un almacenamiento Cognitive Services sin usar cifrado de
propiedad del cliente o tener datos ni almacenamiento propiedad
habilitado el cifrado de datos. del cliente. Para cada cuenta de
Cognitive Services con
almacenamiento, use el
almacenamiento propiedad del cliente
o habilite el cifrado de datos.
(Directiva relacionada: Las cuentas de
Cognitive Services deben usar un
almacenamiento propiedad del cliente
o tener habilitado el cifrado de datos.)
REC O M EN DA C IÓ N DESC RIP C IÓ N SEVERIT Y

Los registros de diagnóstico de Azure Habilite los registros y consérvelos Bajo

Data Lake Store deben estar hasta un año. Esto le permite volver a
habilitados crear seguimientos de actividad con
fines de investigación cuando se
produce un incidente de seguridad o
se pone en peligro la red.
(Directiva relacionada: los registros de
diagnóstico de Azure Data Lake Store
deben estar habilitados)

Los registros de diagnóstico de Data Habilite los registros y consérvelos Bajo

Lake Analytics deben estar habilitados hasta un año. Esto le permite volver a
crear seguimientos de actividad con
fines de investigación cuando se
produce un incidente de seguridad o
se pone en peligro la red.
(Directiva relacionada: s registros de
diagnóstico de Data Lake Analytics
deben estar habilitados)

La opción para enviar notificaciones Para asegurarse de que las personas Bajo
por correo electrónico para alertas de pertinentes de la organización reciban
gravedad alta debe estar habilitada una notificación cuando se produzca
una vulneración de seguridad potencial
en una de las suscripciones, habilite las
notificaciones por correo electrónico de
alertas de gravedad alta en Security
Center.
(Directiva relacionada: la notificación
por correo electrónico de las alertas de
gravedad alta debe estar habilitada)

La opción para enviar notificaciones Para asegurarse de que los Media

por correo electrónico al propietario de propietarios de suscripciones reciban
la suscripción en relación a alertas de una notificación cuando se produzca
gravedad alta debe estar habilitada una vulneración de seguridad potencial
en sus suscripciones, establezca
notificaciones por correo electrónico a
los propietarios de las suscripciones de
alertas de gravedad alta en Security
Center.
(Directiva relacionada: la notificación
por correo electrónico al propietario de
la suscripción en alertas de gravedad
alta debe estar habilitada)
REC O M EN DA C IÓ N DESC RIP C IÓ N SEVERIT Y

La aplicación de la conexión SSL debe Azure Database for MySQL permite Media
estar habilitada para los servidores de conectar el servidor de Azure Database
bases de datos MySQL for MySQL con aplicaciones cliente
mediante Capa de sockets seguros
(SSL).
La aplicación de conexiones SSL entre
el servidor de bases de datos y las
aplicaciones cliente facilita la protección
frente a ataques de tipo "Man in the
middle" al cifrar el flujo de datos entre
el servidor y la aplicación.
Esta configuración exige que SSL esté
siempre habilitado para el acceso al
servidor de bases de datos.
(Directiva relacionada: la aplicación de
la conexión SSL debe estar habilitada
para los servidor de bases de datos
MySQL)

La aplicación de la conexión SSL debe Azure Database for PostgreSQL Media

estar habilitada para los servidores de permite conectar el servidor de Azure
bases de datos PostgreSQL Database for PostgreSQL a las
aplicaciones cliente mediante la Capa
de sockets seguros (SSL).
La aplicación de conexiones SSL entre
el servidor de bases de datos y las
aplicaciones cliente facilita la protección
frente a ataques de tipo "Man in the
middle" al cifrar el flujo de datos entre
el servidor y la aplicación.
Esta configuración exige que SSL esté
siempre habilitado para el acceso al
servidor de bases de datos.
(Directiva relacionada: la aplicación de
la conexión SSL debe estar habilitada
para los servidores de base de datos
PostgreSQL)

La copia de seguridad con redundancia Azure Database for MariaDB le permite Bajo
geográfica debe estar habilitada para elegir la opción de redundancia para el
Azure Database for MariaDB. servidor de bases de datos.
Se puede establecer en un
almacenamiento de copia de seguridad
con redundancia geográfica donde los
datos no solo se almacenan dentro de
la región en la que se hospeda el
servidor, sino que también se replican
en una región emparejada para
proporcionar opciones de recuperación
en caso de que se produzca un error
en la región.
La configuración de almacenamiento
con redundancia geográfica para copia
de seguridad solo se permite durante
la creación del servidor.
(Directiva relacionada: la copia de
seguridad con redundancia geográfica
debe estar habilitada para Azure
Database for MariaDB)
REC O M EN DA C IÓ N DESC RIP C IÓ N SEVERIT Y

La copia de seguridad con redundancia Azure Database for MySQL le permite Bajo
geográfica debe estar habilitada para elegir la opción de redundancia para el
Azure Database for MySQL. servidor de bases de datos.
Se puede establecer en un
almacenamiento de copia de seguridad
con redundancia geográfica donde los
datos no solo se almacenan dentro de
la región en la que se hospeda el
servidor, sino que también se replican
en una región emparejada para
proporcionar opciones de recuperación
en caso de que se produzca un error
en la región.
La configuración de almacenamiento
con redundancia geográfica para copia
de seguridad solo se permite durante
la creación del servidor.
(Directiva relacionada: la copia de
seguridad con redundancia geográfica
debe estar habilitada para Azure
Database for MySQL)

La copia de seguridad con redundancia Azure Database for PostgreSQL le Bajo

geográfica debe estar habilitada para permite elegir la opción de
Azure Database for PostgreSQL. redundancia para el servidor de bases
de datos.
Se puede establecer en un
almacenamiento de copia de seguridad
con redundancia geográfica donde los
datos no solo se almacenan dentro de
la región en la que se hospeda el
servidor, sino que también se replican
en una región emparejada para
proporcionar opciones de recuperación
en caso de que se produzca un error
en la región.
La configuración de almacenamiento
con redundancia geográfica para copia
de seguridad solo se permite durante
la creación del servidor.
(Directiva relacionada: la copia de
seguridad con redundancia geográfica
debe estar habilitada para Azure
Database for PostgreSQL)

Network Watcher debe estar habilitado Network Watcher es un servicio Bajo

regional que permite supervisar y
diagnosticar problemas en un nivel de
escenario de red mediante Azure. La
supervisión del nivel de escenario
permite diagnosticar problemas en una
vista de nivel de red de un extremo a
otro. Las herramientas de visualización
y diagnóstico de red que incluye
Network Watcher le ayudan a conocer,
diagnosticar y obtener información
acerca de cualquier red de Azure.
(Directiva relacionada: Network
Watcher debe estar habilitado)
REC O M EN DA C IÓ N DESC RIP C IÓ N SEVERIT Y

Solo se deben habilitar las conexiones Habilite solo las conexiones a Redis Alto
seguras a Redis Cache Cache que pasan por SSL. El uso de
conexiones seguras garantiza la
autenticación entre el servidor y el
servicio, y protege los datos en
tránsito de ataques de nivel de red,
como "man in-the-middle",
interceptación y secuestro de sesión.
(Directiva relacionada: solo se deben
habilitar conexiones seguras a la
instancia de Azure Cache for Redis)

Las conexiones de punto de conexión Las conexiones de punto de conexión Media

privado en Azure SQL Database deben privado garantizan una comunicación
estar habilitadas segura al habilitar la conectividad
privada con Azure SQL Database.
(Directiva relacionada: Las conexiones
de punto de conexión privado en
Azure SQL Database deben estar
habilitadas)

El punto de conexión privado debe Las conexiones de punto de conexión Media

estar habilitado para servidores privado garantizan una comunicación
MariaDB segura al permitir la conectividad
privada con Azure Database for
MariaDB.
Configure una conexión de punto de
conexión privado para permitir el
acceso al tráfico que solo proviene de
redes conocidas y evitar el acceso
desde todas las demás direcciones IP,
incluido desde Azure.
(Directiva relacionada: el punto de
conexión privado debe estar habilitado
para servidores MariaDB)

El punto de conexión privado debe Las conexiones de punto de conexión Media

estar habilitado para servidores privado garantizan una comunicación
MySQL segura al permitir la conectividad
privada a Azure Database for MySQL.
Configure una conexión de punto de
conexión privado para permitir el
acceso al tráfico que solo proviene de
redes conocidas y evitar el acceso
desde todas las demás direcciones IP,
incluido desde Azure.
(Directiva relacionada: el punto de
conexión privado debe estar habilitado
para servidores MySQL)
REC O M EN DA C IÓ N DESC RIP C IÓ N SEVERIT Y

El punto de conexión privado debe Las conexiones de punto de conexión Media

estar habilitado para servidores privado garantizan una comunicación
PostgreSQL segura al permitir la conectividad
privada con Azure Database for
PostgreSQL.
Configure una conexión de punto de
conexión privado para permitir el
acceso al tráfico que solo proviene de
redes conocidas y evitar el acceso
desde todas las demás direcciones IP,
incluido desde Azure.
(Directiva relacionada: el punto de
conexión privado debe estar habilitado
para servidores PostgreSQL)

Debe deshabilitarse el acceso a redes Al deshabilitar la propiedad de acceso Media

públicas en Azure SQL Database a la red pública, se mejora la seguridad
al garantizar que solo se pueda
acceder a la instancia de Azure SQL
Database desde un punto de conexión
privado. Esta configuración deniega
todos los inicios de sesión que
coincidan con las reglas de firewall
basadas en IP o redes virtuales.
(Directiva relacionada: Se debe
deshabilitar el acceso de red público en
Azure SQL Database)

El acceso a la red pública se debe Esta directiva audita las cuentas de Media
deshabilitar para las cuentas de Cognitive Services del entorno con
Cognitive Services acceso a la red pública habilitado. El
acceso a la red pública debe estar
deshabilitado, de forma que solo se
permitan conexiones desde puntos de
conexión privados.
(Directiva relacionada: Se debe
deshabilitar el acceso de red público
para las cuentas de Cognitive Services)

El acceso a redes públicas debe estar Deshabilite la propiedad de acceso a la Media

deshabilitado para los servidores red pública para mejorar la seguridad y
MariaDB garantizar que solo se pueda acceder a
la instancia de Azure Database for
MariaDB desde un punto de conexión
privado. Esta configuración deshabilita
estrictamente el acceso desde
cualquier espacio de direcciones
público que esté fuera del intervalo de
direcciones IP de Azure y deniega
todos los inicios de sesión que
coincidan con las reglas de firewall
basadas en IP o en red virtual.
(Directiva relacionada: el acceso a redes
públicas debe estar deshabilitado para
los servidores de MariaDB)
REC O M EN DA C IÓ N DESC RIP C IÓ N SEVERIT Y

El acceso a las redes públicas debe Deshabilite la propiedad de acceso a la Media

estar deshabilitado para los servidores red pública para mejorar la seguridad y
MySQL garantizar que solo se pueda acceder a
la instancia de Azure Database for
MySQL desde un punto de conexión
privado. Esta configuración deshabilita
estrictamente el acceso desde
cualquier espacio de direcciones
público que esté fuera del intervalo de
direcciones IP de Azure y deniega
todos los inicios de sesión que
coincidan con las reglas de firewall
basadas en IP o en red virtual.
(Directiva relacionada: el acceso a las
redes públicas debe estar deshabilitado
para los servidores de MySQL)

El acceso a redes públicas debe estar Deshabilite la propiedad de acceso a la Media

deshabilitado para los servidores red pública para mejorar la seguridad y
PostgreSQL garantizar que solo se pueda acceder a
la instancia de Azure Database for
PostgreSQL desde un punto de
conexión privado. Esta configuración
deshabilita el acceso desde cualquier
espacio de direcciones público que esté
fuera del intervalo de direcciones IP de
Azure y deniega todos los inicios de
sesión que coinciden con las reglas de
firewall basadas en la IP o en la red
virtual.
(Directiva relacionada: el acceso a redes
públicas debe estar deshabilitado para
los servidores de PostgreSQL)

Los datos confidenciales de las bases La clasificación y detección de datos de Alto

de datos SQL deben clasificarse Azure SQL DB proporciona
funcionalidades para detectar, clasificar,
etiquetar y proteger la información
confidencial de las bases de datos. Una
vez que se clasifican los datos, puede
usar la auditoría de Azure SQL DB para
auditar el acceso y supervisar la
información confidencial.
Azure SQL DB también permite las
características de Advanced Threat
Protection que crean alertas
inteligentes basadas en cambios en los
patrones de acceso a la información
confidencial.
(Directiva relacionada: los datos
confidenciales de las bases de datos
SQL deben clasificarse)
REC O M EN DA C IÓ N DESC RIP C IÓ N SEVERIT Y

Las instancias administradas de SQL La implementación de Cifrado de datos Bajo

deben usar claves administradas por el transparente (TDE) con una clave
cliente para cifrar los datos en reposo propia proporciona una mayor
transparencia y control sobre el
protector de TDE, ofrece mayor
seguridad con un servicio externo
respaldado con HSM y permite la
separación de tareas. Esta
recomendación se aplica a las
organizaciones con un requisito de
cumplimiento relacionado.
(Directiva relacionada: Las instancias
administradas de SQL deben usar
claves administradas por el cliente para
cifrar los datos en reposo).

Los servidores SQL deben usar claves La implementación de Cifrado de datos Bajo
administradas por el cliente para cifrar transparente (TDE) con una clave
los datos en reposo propia proporciona una mayor
transparencia y control sobre el
protector de TDE, ofrece mayor
seguridad con un servicio externo
respaldado con HSM y permite la
separación de tareas. Esta
recomendación se aplica a las
organizaciones con un requisito de
cumplimiento relacionado.
(Directiva relacionada: los servidores
SQL deben usar claves administradas
por el cliente para cifrar los datos en
reposo)

La cuenta de almacenamiento debería Los vínculos privados aplican la Media

utilizar una conexión de vínculo comunicación segura al proporcionar
privado conectividad privada a la cuenta de
almacenamiento.
(Directiva relacionada: la cuenta de
almacenamiento debe usar una
conexión con un vínculo privado)

Se deben migrar las cuentas de Para beneficiarse de las nuevas Bajo

almacenamiento a los nuevos recursos funcionalidades de Resource Manager,
de Azure Resource Manager puede migrar las implementaciones
existentes desde el modelo de
implementación clásica. Resource
Manager permite disfrutar de mejoras
en la seguridad como: mayor control
de acceso (RBAC), mejor auditoría,
gobernanza e implementación basados
en ARM, acceso a identidades
administradas, acceso a secretos de
Key Vault, autenticación basada en
Azure AD y compatibilidad con
etiquetas y grupos de recursos para
facilitar la administración de seguridad.
Más información
(Directiva relacionada: las cuentas de
almacenamiento se deben migrar a los
nuevos recursos de Azure Resource
Manager)
REC O M EN DA C IÓ N DESC RIP C IÓ N SEVERIT Y

Las cuentas de almacenamiento deben Proteja las cuentas de almacenamiento Media

restringir el acceso a la red mediante el frente a amenazas potenciales
uso de reglas de red virtual mediante reglas de red virtual como
método preferente en lugar de filtrado
basado en IP. La deshabilitación del
filtrado basado en IP evita que las
direcciones IP públicas accedan a las
cuentas de almacenamiento.
(Directiva relacionada: las cuentas de
almacenamiento deben restringir el
acceso mediante el uso de las reglas de
red virtual)

Las cuentas de almacenamiento deben Proteja su cuenta de almacenamiento Media

usar claves administradas por el cliente con mayor flexibilidad mediante el uso
(CMK) para el cifrado de claves administradas por el cliente
(CMK). Cuando se especifica una CMK,
esa clave se usa para proteger y
controlar el acceso a la clave que cifra
los datos. El uso de claves CMK
proporciona funciones adicionales para
controlar la rotación de la clave de
cifrado de claves o para borrar datos
mediante criptografía.
(Directiva relacionada: las cuentas de
almacenamiento deben usar claves
administradas por el cliente (CMK)
para el cifrado)

Las suscripciones deben tener una Para asegurarse de que las personas Bajo
dirección de correo electrónico de pertinentes de la organización reciban
contacto para los problemas de una notificación cuando se produzca
seguridad una vulneración de seguridad potencial
en una de las suscripciones, establezca
un contacto de seguridad para la
recepción de notificaciones por correo
electrónico de Security Center.
(Directiva relacionada: las suscripciones
deben tener una dirección de correo
electrónico de contacto para los
problemas de seguridad)

Se debe permitir el cifrado de datos Habilite el cifrado de datos Bajo

transparente en bases de datos SQL transparente para proteger los datos
en reposo y cumplir los requisitos de
cumplimiento
(Directiva relacionada: el cifrado de
datos transparente en bases de datos
SQL debe estar habilitado)
REC O M EN DA C IÓ N DESC RIP C IÓ N SEVERIT Y

Las plantillas de VM Image Builder Audite las plantillas de VM Image Media

deben usar Private Link Builder que no tengan ninguna red
virtual configurada. Cuando una red
virtual no está configurada, se crea y
se usa una IP pública en su lugar que
puede exponer recursos directamente
a Internet y aumentar la superficie
expuesta a ataques potencial.
(Directiva relacionada: las plantillas de
Azure VM Image Builder deben usar
un vínculo privado)

Se deben corregir las conclusiones de La evaluación de vulnerabilidades de Alto

la evaluación de vulnerabilidades de las SQL examina la base de datos en
bases de datos SQL busca de vulnerabilidades de seguridad
y expone las posibles desviaciones de
los procedimientos recomendados,
como errores de configuración,
permisos excesivos y datos
confidenciales sin protección. La
corrección de las vulnerabilidades
detectadas puede mejorar
considerablemente la posición de
seguridad de la base de datos. Más
información
(Directiva relacionada: se deben
corregir las vulnerabilidades de las
bases de datos SQL)

Es necesario corregir los resultados de La evaluación de vulnerabilidades de Alto

la evaluación de vulnerabilidades de SQL examina la base de datos en
los servidores SQL Server en las busca de vulnerabilidades de seguridad
máquinas y expone las posibles desviaciones de
los procedimientos recomendados,
como errores de configuración,
permisos excesivos y datos
confidenciales sin protección. La
corrección de las vulnerabilidades
detectadas puede mejorar
considerablemente la posición de
seguridad de la base de datos. Más
información
(Directiva relacionada: Es necesario
corregir las vulnerabilidades de los
servidores SQL en la máquina).

La evaluación de vulnerabilidad debe La evaluación de vulnerabilidades Alto

estar habilitada en las instancias permite detectar las vulnerabilidades
administradas de SQL. potenciales de la base de datos, así
como hacer un seguimiento y ayudar a
corregirlas.
(Directiva relacionada: debe habilitarse
la valoración de las vulnerabilidades en
SQL Managed Instance)
 REC O M EN DA C IÓ N DESC RIP C IÓ N SEVERIT Y

La evaluación de vulnerabilidades debe La evaluación de vulnerabilidades Alto

estar activada en sus servidores de permite detectar las vulnerabilidades
SQL Server. potenciales de la base de datos, así
como hacer un seguimiento y ayudar a
corregirlas.
(Directiva relacionada: la valoración de
las vulnerabilidades debe habilitarse en
los servidores de SQL Server)

El firewall de aplicaciones web (WAF) Implemente Azure Web Application Bajo

debe estar habilitado para Application Firewall (WAF) delante de las
Gateway aplicaciones web de acceso público
para una inspección adicional del
tráfico entrante. Web Application
Firewall (WAF) ofrece una protección
centralizada de las aplicaciones web
frente a vulnerabilidades de seguridad
comunes, como la inyección de SQL, el
scripting entre sitios y las ejecuciones
de archivos locales y remotas. También
permite restringir el acceso a las
aplicaciones web por países, intervalos
de direcciones IP y otros parámetros
http(s) por medio de reglas
personalizadas.
(Directiva relacionada: Web Application
Firewall (WAF) debe estar habilitado
para Application Gateway)

Web Application Firewall (WAF) debe Implemente Azure Web Application Bajo
estar habilitado en Azure Front Door Firewall (WAF) delante de las
Service aplicaciones web de acceso público
para una inspección adicional del
tráfico entrante. Web Application
Firewall (WAF) ofrece una protección
centralizada de las aplicaciones web
frente a vulnerabilidades de seguridad
comunes, como la inyección de SQL, el
scripting entre sitios y las ejecuciones
de archivos locales y remotas. También
permite restringir el acceso a las
aplicaciones web por países, intervalos
de direcciones IP y otros parámetros
http(s) por medio de reglas
personalizadas.
(Directiva relacionada: Web Application
Firewall (WAF) debe estar habilitado
para el servicio Azure Front Door
Service)

Recomendaciones de IdentityAndAccess
Hay 21 recomendaciones en esta categoría.
REC O M EN DA C IÓ N DESC RIP C IÓ N SEVERIT Y

Debe designar un máximo de tres Para reducir la posibilidad de que se Alto

propietarios para la suscripción produzcan vulneraciones en las
cuentas de propietario en peligro, es
aconsejable limitar el número de
cuentas de propietario a un máximo
de 3
(Directiva relacionada: se debe
designar un máximo de tres
propietarios para la suscripción)

Se debe habilitar Azure Defender para Azure Security Center incluye Azure Alto
Key Vault Defender para Key Vault, lo que
proporciona una capa adicional de
inteligencia de seguridad.
Azure Defender para Key Vault detecta
intentos inusuales y potencialmente
perjudiciales de acceder a las cuentas
de Key Vault o de vulnerarlas.

Importante: La corrección de esta

recomendación dará lugar a cargos por
la protección de los almacenes de
claves. Si no tiene ningún almacén de
claves en esta suscripción, no se
aplicarán cargos.
Si, en el futuro, crea cualquier número
de almacenes de claves en esta
suscripción, estos se protegerán
automáticamente y a partir de ese
momento, se iniciarán los cargos.
Más información sobre Azure Defender
para Key Vault
(Directiva relacionada: se debe habilitar
Azure Defender para Key Vault)

Las cuentas en desuso deben quitarse Las cuentas de usuario cuyo inicio de Alto
de la suscripción sesión se ha bloqueado deben quitarse
de las suscripciones.
Estas cuentas pueden ser objetivo de
los atacantes que buscan formas de
acceder a los datos sin ser detectados.
(Directiva relacionada: las cuentas en
desuso deben quitarse de la
suscripción)

Las cuentas en desuso con permisos Las cuentas de usuario cuyo inicio de Alto
de propietario deben quitarse de la sesión se ha bloqueado deben quitarse
suscripción de las suscripciones.
Estas cuentas pueden ser objetivo de
los atacantes que buscan formas de
acceder a los datos sin ser detectados.
(Directiva relacionada: las cuentas en
desuso con permisos de propietario
deben quitarse de la suscripción)
REC O M EN DA C IÓ N DESC RIP C IÓ N SEVERIT Y

Los registros de diagnóstico en Key Habilite los registros y consérvelos Bajo

Vault deben estar habilitados hasta un año. Esto le permite volver a
crear seguimientos de actividad con
fines de investigación cuando se
produce un incidente de seguridad o
se pone en peligro la red.
(Directiva relacionada: los registros de
diagnóstico de Key Vault deben
habilitarse)

Las cuentas externas con permisos de Las cuentas con permisos de Alto
propietario deben quitarse de la propietario que tienen nombres de
suscripción dominio diferentes (cuentas externas)
se deben eliminar de la suscripción.
Esto evita el acceso no supervisado.
Estas cuentas pueden ser objetivo de
los atacantes que buscan formas de
acceder a los datos sin ser detectados.
(Directiva relacionada: Las cuentas
externas con permisos de propietario
deben quitarse de la suscripción)

Las cuentas externas con permisos de Las cuentas con permisos de lectura Alto
lectura deben quitarse de la que tienen nombres de dominio
suscripción diferentes (cuentas externas) se deben
eliminar de la suscripción. Esto evita el
acceso no supervisado. Estas cuentas
pueden ser objetivo de los atacantes
que buscan formas de acceder a los
datos sin ser detectados.
(Directiva relacionada: Las cuentas
externas con permisos de lectura se
deben eliminar de la suscripción)

Las cuentas externas con permisos de Las cuentas con permisos de escritura Alto
escritura deben quitarse de la que tienen nombres de dominio
suscripción diferentes (cuentas externas) se deben
eliminar de la suscripción. Esto evita el
acceso no supervisado. Estas cuentas
pueden ser objetivo de los atacantes
que buscan formas de acceder a los
datos sin ser detectados.
(Directiva relacionada: Las cuentas
externas con permisos de escritura
deben quitarse de la suscripción)

El firewall debe estar habilitado en Key El firewall del almacén de claves evita Media
Vault que el tráfico no autorizado lo alcance
y proporciona una capa adicional de
protección para los secretos. Habilite el
firewall para asegurarse de que solo el
tráfico de las redes permitidas pueda
acceder al almacén de claves.
(Directiva relacionada: el firewall debe
estar habilitado en Key Vault)
REC O M EN DA C IÓ N DESC RIP C IÓ N SEVERIT Y

Las claves de Key Vault deben tener Las claves criptográficas deben tener Alto
una fecha de expiración una fecha de expiración definida y no
ser permanentes. Las claves que no
expiran proporcionan a los posibles
atacantes más tiempo para hacerse
con ellas. Por ello, se recomienda como
práctica de seguridad establecer fechas
de expiración en las claves
criptográficas.
(Directiva relacionada: las claves de Key
Vault deben tener una fecha de
expiración)

Los secretos de Key Vault deben tener Los secretos deben tener una fecha de Alto
una fecha de expiración expiración definida y no ser
permanentes. Los secretos que no
expiran proporcionan a un posible
atacante más tiempo para ponerlos en
peligro. Por ello, se recomienda como
práctica de seguridad establecer fechas
de expiración en los secretos.
(Directiva relacionada: los secretos de
Key Vault deben tener una fecha de
expiración)

Los almacenes de claves deben tener La eliminación malintencionada de un Media

habilitada la protección contra almacén de claves puede provocar una
operaciones de purga pérdida de datos permanente. Un
usuario malintencionado de la
organización puede eliminar y purgar
los almacenes de claves. La protección
contra purgas le protege frente a
ataques internos mediante la
aplicación de un período de retención
obligatorio para almacenes de claves
eliminados temporalmente. Ningún
usuario de su organización o Microsoft
podrá purgar los almacenes de claves
durante el período de retención de
eliminación temporal.
(Directiva relacionada: los almacenes
de claves deben tener habilitada la
protección contra operaciones de
purga)
REC O M EN DA C IÓ N DESC RIP C IÓ N SEVERIT Y

Los almacenes de claves deben tener Si se elimina un almacén de claves que Alto
habilitada la eliminación temporal no tenga habilitada la eliminación
temporal, se eliminarán
permanentemente todos los secretos,
claves y certificados almacenados en
ese almacén de claves. La eliminación
accidental de un almacén de claves
puede provocar una pérdida de datos
permanente. La eliminación temporal
permite recuperar un almacén de
claves eliminado accidentalmente
durante un período de retención
configurable.
(Directiva relacionada: los almacenes
de claves deben tener habilitada la
eliminación temporal)

MFA debe estar habilitada en las Multi-Factor Authentication (MFA) Alto

cuentas con permisos de propietario debe estar habilitada para todas las
en la suscripción cuentas de la suscripción que tengan
permisos de propietario, a fin de evitar
una brecha de seguridad en las
cuentas o los recursos.
(Directiva relacionada: debe habilitarse
la autenticación multifactor en las
cuentas con permisos de propietario
de la suscripción)

MFA debe estar habilitada en las Multi-Factor Authentication (MFA) Alto

cuentas con permisos de lectura en la debe estar habilitada para todas las
suscripción cuentas de la suscripción que tengan
permisos de lectura, a fin de evitar una
brecha de seguridad en las cuentas o
los recursos.
(Directiva relacionada: debe habilitarse
la autenticación multifactor en las
cuentas con permisos de lectura de la
suscripción)

MFA debe estar habilitada en las Multi-Factor Authentication (MFA) Alto

cuentas con permisos de escritura en debe estar habilitada para todas las
la suscripción cuentas de la suscripción que tengan
permisos de escritura, a fin de evitar
una brecha de seguridad en las
cuentas o los recursos.
(Directiva relacionada: debe habilitarse
la autenticación multifactor en las
cuentas con permisos de escritura de
la suscripción)

Se debe configurar un punto de Private Link proporciona una manera Media

conexión privado para Key Vault de conectar Key Vault a los recursos de
Azure sin enviar tráfico a través de la
red pública de Internet. Un vínculo
privado proporciona varios niveles de
protección contra la filtración de datos.
(Directiva relacionada: se debe
configurar un punto de conexión
privado para Key Vault)
 REC O M EN DA C IÓ N DESC RIP C IÓ N SEVERIT Y

Para proteger las suscripciones se Los certificados de administración Media

deben usar entidades de servicio, en permiten a quien se autentica con ellos
lugar de certificados de administración administrar las suscripciones a las que
están asociados. Para administrar las
suscripciones de forma más segura, al
usar entidades de servicio con
Resource Manager se recomienda
limitar el radio de explosión si el
certificado corre peligro. También
automatiza la administración de
recursos.
(Directiva relacionada: para proteger
las suscripciones, se deben usar
entidades de servicio, en lugar de
certificados de administración)

No se debe permitir el acceso público a El acceso de lectura público anónimo a Media

la cuenta de almacenamiento contenedores y blobs en Azure Storage
es una manera cómoda de compartir
datos, pero también puede plantear
riesgos para la seguridad. Para evitar
las infracciones de datos producidas
por el acceso anónimo no deseado,
Microsoft recomienda impedir el
acceso público a una cuenta de
almacenamiento a menos que su
escenario lo requiera.
(Directiva relacionada: no se debe
permitir el acceso público a la cuenta
de almacenamiento)

Debe haber más de un propietario Designe a más de un propietario de la Alto

asignado a su suscripción suscripción para tener redundancia de
acceso de administrador.
(Directiva relacionada: debe hacer más
de un propietario asignado a la
suscripción)

El período de validez de los certificados Asegúrese de que los certificados no Media

almacenados en Azure Key Vault no tienen un período de validez que
debe superar los 12 meses supere los 12 meses.
(Directiva relacionada: los certificados
deben tener el periodo de máximo de
validez que se haya especificado)

Recomendaciones de IoT
There are 12 recommendations in this category.

REC O M M EN DAT IO N DESC RIP T IO N SEVERIT Y

Default IP Filter Policy should be Deny IP Filter Configuration should have Medium
rules defined for allowed traffic and
should deny all other traffic by default
(No related policy)
REC O M M EN DAT IO N DESC RIP T IO N SEVERIT Y

Diagnostic logs in IoT Hub should be Enable logs and retain them up to a Low
enabled year. This enables you to recreate
activity trails for investigation purposes
when a security incident occurs or your
network is compromised.
(Related policy: Diagnostic logs in IoT
Hub should be enabled)

Identical Authentication Credentials Identical authentication credentials to High

the IoT Hub used by multiple devices.
This could indicate an illegitimate
device impersonating a legitimate
device. It also exposes the risk of
device impersonation by an attacker
(No related policy)

IoT Devices - Agent sending IoT agent message size capacity is Low
underutilized messages currently underutilized, causing an
increase in the number of sent
messages. Adjust message intervals for
better utilization
(No related policy)

IoT Devices - Auditd process stopped Security events originated from Auditd High
sending events process are no longer received from
this device
(No related policy)

IoT Devices - Open Ports On Device A listening endpoint was found on the Medium
device
(No related policy)

IoT Devices - Operating system Security related system configuration Medium

baseline validation failure issues identified
(No related policy)

IoT Devices - Permissive firewall policy An allowed firewall policy was found in Medium
in one of the chains was found main firewall Chains (INPUT/OUTPUT).
The policy should Deny all traffic by
default define rules to allow necessary
communication to/from the device
(No related policy)

IoT Devices - Permissive firewall rule in A rule in the firewall has been found Medium
the input chain was found that contains a permissive pattern for
a wide range of IP addresses or Ports
(No related policy)

IoT Devices - Permissive firewall rule in A rule in the firewall has been found Medium
the output chain was found that contains a permissive pattern for
a wide range of IP addresses or ports
(No related policy)

IoT Devices - TLS cipher suite upgrade Unsecure TLS configurations detected. Medium
needed Immediate TLS cipher suite upgrade
recommended
(No related policy)
 REC O M M EN DAT IO N DESC RIP T IO N SEVERIT Y

IP Filter rule large IP range An Allow IP Filter rule's source IP range Medium
is too large. Overly permissive rules
might expose your IoT hub to
malicious intenders
(No related policy)

Recomendaciones de redes
Hay 14 recomendaciones en esta categoría.

REC O M EN DA C IÓ N DESC RIP C IÓ N SEVERIT Y

Se debe restringir el acceso a las Examine los valores del acceso de red Bajo
cuentas de almacenamiento con en la configuración del firewall de su
configuraciones de red virtual y firewall cuenta de almacenamiento. Se
recomienda configurar reglas de red
que solo permitan que se acceda a la
cuenta de almacenamiento desde
redes permitidas. Para permitir
conexiones desde clientes específicos
locales o de Internet, se puede
conceder acceso al tráfico procedente
de redes virtuales de Azure específicas
o a intervalos de direcciones IP de
Internet públicas.
(Directiva relacionada: se debe
restringir el acceso de red a las cuentas
de almacenamiento)

Las recomendaciones de protección de Azure Security Center ha analizado los Alto

red adaptable se deben aplicar en las patrones de comunicación del tráfico
máquinas virtuales accesibles desde de Internet de las máquinas virtuales
Internet que se indican a continuación y ha
determinado que las reglas existentes
de los NSG asociados son
excesivamente permisivas, lo que
incrementa la posible superficie
expuesta a ataques.
Esto suele ocurrir cuando esta
dirección IP no se comunica con
regularidad con este recurso. Como
alternativa, la dirección IP se ha
marcado como malintencionada en los
orígenes de inteligencia sobre
amenazas de Security Center. más
información
(Directiva relacionada: las
recomendaciones de protección de red
adaptable se deben aplicar en las
máquinas virtuales accesibles desde
Internet)
REC O M EN DA C IÓ N DESC RIP C IÓ N SEVERIT Y

Todos los puertos de red deben estar Azure Security Center identificó que Alto
restringidos en los grupos de algunas de las reglas de entrada de sus
seguridad de red asociados a la grupos de seguridad de red son
máquina virtual demasiado permisivas. Las reglas de
entrada no deben permitir el acceso
desde los intervalos "Cualquiera" o
"Internet". Esto podría permitir que los
atacantes pudieran acceder a sus
recursos.
(Directiva relacionada: en los grupos de
seguridad de red asociados a la
máquina virtual, todos los puertos de
red deben estar restringidos)

Azure DDoS Protection Estándar debe Security Center ha detectado redes Media
estar habilitado. virtuales en las que el servicio de
protección contra DDoS no protege
recursos de Application Gateway. Estos
recursos contienen direcciones IP
públicas. Permita la mitigación de los
ataques volumétricos de red y
protocolo.
(Directiva relacionada: Azure DDoS
Protection Estándar debe estar
habilitado)

Las máquinas virtuales a las que se Para proteger su máquina virtual de Alto
puede acceder desde Internet deben posibles amenazas, limite el acceso a la
estar protegidas con grupos de misma con un grupo de seguridad de
seguridad de red red (NSG). Los grupos de seguridad de
red contienen reglas de la lista de
control de acceso (ACL) que permiten
o deniegan el tráfico de red a la
máquina virtual desde otras instancias,
que se encuentran tanto en la misma
subred como fuera de ella.
Tenga en cuenta que para mantener la
máquina tan protegida como sea
posible, se debe restringir el acceso de
la máquina virtual a Internet y se debe
habilitar un grupo de seguridad de red
en la subred.
Las máquinas virtuales con una
gravedad "alta" son aquellas a las que
se puede acceder desde Internet.
(Directiva relacionada: las máquinas
virtuales a las que se puede acceder
desde Internet deben estar protegidas
con grupos de seguridad de red)
REC O M EN DA C IÓ N DESC RIP C IÓ N SEVERIT Y

El reenvío de IP en la máquina virtual Azure Security Center ha descubierto Media

debe estar deshabilitado que el reenvío de IP está habilitado en
algunas de las máquinas virtuales.
Habilitar el reenvío de IP en la NIC de
la máquina virtual permite que la
máquina reciba tráfico dirigido a otros
destinos. El reenvío de IP rara vez es
necesario (por ejemplo, cuando se usa
la máquina virtual como una aplicación
virtual de red) y, por lo tanto, el equipo
de seguridad de red debe revisarlo.
(Directiva relacionada: El reenvío de IP
en la máquina virtual debe estar
deshabilitado)

Los puertos de administración de las Azure Security Center identificó en los Alto
máquinas virtuales deben protegerse puertos de administración del grupo
con el control de acceso de red Just- de seguridad de red que algunas de las
In-Time. reglas de entrada son demasiado
permisivas. Habilite el control de
acceso Just-in-Time para proteger la
máquina virtual frente a los ataques
por fuerza bruta que se realizan a
través de Internet. Más información.
(Directiva relacionada: los puertos de
administración de las máquinas
virtuales deben protegerse con el
control de acceso de red Just-In-Time)

Se deben cerrar los puertos de Los puertos de administración remota Media

administración en las máquinas abiertos exponen la máquina virtual a
virtuales un alto nivel de riesgo de recibir
ataques basados en Internet. Estos
ataques intentan averiguar las
credenciales por medio de fuerza bruta
a fin de obtener acceso de
administrador a la máquina
(Directiva relacionada: Los puertos de
administración deben estar cerrados
en las máquinas virtuales)

El agente de recopilación de datos de Security Center usa Microsoft Media

tráfico de red debe instalarse en Dependency Agent para recopilar
máquinas virtuales Linux. datos del tráfico de red de sus
máquinas virtuales de Azure y así
poder habilitar características
avanzadas de protección de red, como
la visualización del tráfico en el mapa
de red, las recomendaciones de
refuerzo de la red y las amenazas de
red específicas.
(Directiva relacionada: el agente de
recopilación de datos del tráfico de red
debe estar instalado en máquinas
virtuales Linux)
REC O M EN DA C IÓ N DESC RIP C IÓ N SEVERIT Y

El agente de recopilación de datos de Security Center usa Microsoft Media

tráfico de red debe instalarse en las Dependency Agent para recopilar
máquinas virtuales Windows. datos del tráfico de red de sus
máquinas virtuales de Azure y así
poder habilitar características
avanzadas de protección de red, como
la visualización del tráfico en el mapa
de red, las recomendaciones de
refuerzo de la red y las amenazas de
red específicas.
(Directiva relacionada: el agente de
recopilación de datos del tráfico debe
estar instalado en máquinas virtuales
Windows)

Las máquinas virtuales sin conexión a Para proteger de posibles amenazas a Bajo
Internet deben protegerse con grupos cualquier máquina virtual a la que no
de seguridad de red. se pueda acceder desde Internet, limite
el acceso a ella con un grupo de
seguridad de red (NSG). Los grupos de
seguridad de red contienen reglas de
la lista de control de acceso (ACL) que
permiten o deniegan el tráfico de red a
la máquina virtual desde otras
instancias, independientemente de que
se encuentren en la misma subred o
fuera de ella.
Tenga en cuenta que para mantener la
máquina tan protegida como sea
posible, se debe restringir su acceso a
Internet y se debe habilitar un grupo
de seguridad de red en la subred.
(Directiva relacionada: las máquinas
virtuales sin conexión a Internet deben
protegerse con grupos de seguridad
de red)

Se debe habilitar la transferencia La transferencia segura es una opción Alto

segura a las cuentas de que obliga a la cuenta de
almacenamiento. almacenamiento a aceptar solamente
solicitudes de conexiones seguras
(HTTPS). El uso de HTTPS garantiza la
autenticación entre el servidor y el
servicio, y protege los datos en
tránsito de ataques de nivel de red,
como "man in-the-middle",
interceptación y secuestro de sesión.
(Directiva relacionada: se debe habilitar
la transferencia segura a las cuentas de
almacenamiento)
 REC O M EN DA C IÓ N DESC RIP C IÓ N SEVERIT Y

Las subredes deben estar asociadas Proteja la subred de posibles amenazas Bajo
con un grupo de seguridad de red mediante la restricción del acceso con
un grupo de seguridad de red (NSG).
Estos grupos contienen las reglas de la
lista de control de acceso (ACL) que
permiten o deniegan el tráfico de red a
la subred. Cuando un grupo de
seguridad de red está asociado a una
subred, las reglas de ACL se aplican
tanto a todas las instancias de la
máquina virtual como a los servicios
integrados de esa subred, pero no se
aplican al tráfico interno de la subred.
Para proteger los recursos de la misma
subred entre sí, habilite el grupo de
seguridad de red directamente en los
recursos.
(Directiva relacionada: las subredes
deben estar asociadas con un grupo
de seguridad de red)

Azure Firewall debe proteger las redes Algunas de sus redes virtuales no Bajo
virtuales están protegidas con un firewall. Use
Azure Firewall para restringir el acceso
a las redes virtuales y evitar posibles
amenazas. Más información sobre
Azure Firewall.
(Directiva relacionada: todo el tráfico
de Internet debe enrutarse mediante la
instancia de Azure Firewall
implementada)

Recomendaciones en desuso
¿ESTÁ H A B IL ITA DA
DESC RIP C IÓ N Y L A C O RREC C IÓ N
DIREC T IVA RÁ P IDA ? ( M Á S
REC O M EN DA C IÓ N REL A C IO N A DA SEVERIT Y IN F O RM A C IÓ N ) T IP O DE REC URSO

Se debe restringir Cambie la Alto N App Service

el acceso a App configuración de red
Ser vices para restringir el
acceso a App
Services y denegar el
tráfico entrante
desde intervalos
demasiado amplios.
(Directiva relacionada
[versión preliminar]:
Se debe restringir el
acceso a App
Services).
 ¿ESTÁ H A B IL ITA DA
DESC RIP C IÓ N Y L A C O RREC C IÓ N
DIREC T IVA RÁ P IDA ? ( M Á S
REC O M EN DA C IÓ N REL A C IO N A DA SEVERIT Y IN F O RM A C IÓ N ) T IP O DE REC URSO

Se deben proteger Se ha protegido el Alto N Máquina virtual

las reglas de las grupo de seguridad
aplicaciones web de red (NSG) de las
en los NSG de máquinas virtuales
IaaS que ejecutan
aplicaciones web con
reglas de NSG que
son demasiado
permisivas con
respecto a los
puertos de la
aplicación web.
(Directiva
relacionada: Se deben
proteger las reglas de
NSG para las
aplicaciones web en
IaaS).

Las directivas de Defina las directivas Media N Recursos de proceso

seguridad de pod de seguridad de pod (contenedores)
deben definirse para reducir el vector
para reducir el de ataque mediante
vector de ataque la eliminación de
mediante la privilegios de
eliminación de aplicación
privilegios de innecesarios. Se
aplicación recomienda
innecesarios configurar las
(versión directivas de
preliminar) seguridad de pod
para que los pods
solo puedan obtener
acceso a los recursos
a los que se les
permita el acceso.
(Directiva relacionada
[versión preliminar]:
Las directivas de
seguridad de pod
deben definirse en
los servicios de
Kubernetes).

Instalación de Instale Azure Security Bajo N Dispositivo IoT

Azure Security Center para el
Center para el módulo de seguridad
módulo de de IoT con el fin de
seguridad de IoT obtener una mayor
para obtener más visibilidad en los
visibilidad en los dispositivos de IoT.
dispositivos de IoT

Pasos siguientes
Para obtener más información sobre las recomendaciones, consulte:
¿Qué son las directivas de seguridad, las iniciativas y las recomendaciones?
Examen de las recomendaciones de seguridad
 Incidentes y alertas de seguridad en Azure Security
Center
09/04/2021 • 21 minutes to read • Edit Online

Security Center genera alertas para los recursos implementados en sus entornos locales y de nube híbrida de
Azure.
Las alertas de seguridad se activan mediante detecciones avanzadas y solo están disponibles con Azure
Defender. Puede actualizar el producto desde la página Precios y configuración , tal y como se describe en
Inicio rápido: Habilitación de Azure Defender. Hay disponible una versión de evaluación gratuita de 30 días. Para
obtener información sobre los precios en la moneda de su elección y según su región, consulte Precios de
Security Center.

¿Qué son las alertas de seguridad y los incidentes de seguridad?

Las aler tas son notificaciones que Security Center genera cuando detecta amenazas en los recursos. Security
Center asigna prioridades y enumera las alertas, junto con la información necesaria para que pueda investigar
rápidamente el problema. Security Center también proporciona recomendaciones sobre el modo en que puede
corregir un ataque.
Un incidente de seguridad es una recopilación de alertas relacionadas, en lugar de una enumeración de
alertas individuales. Security Center usa la correlación de alertas inteligentes en la nube para poner en
correlación diferentes alertas y señales de baja fidelidad en incidentes de seguridad.
Utilizando los incidentes, Security Center proporciona una vista única de una campaña de ataques y todas las
alertas relacionadas. Esta vista le permite comprender rápidamente las acciones que ha realizado el atacante y
qué recursos se han visto afectados.

Respuesta a las amenazas actuales

En los últimos 20 años, las amenazas han cambiado considerablemente. Por lo general, en el pasado, las
compañías solo tenían que preocuparse por las alteraciones que atacantes individuales realizaban en sus sitios
web, quienes normalmente solo pretendían comprobar “qué es lo que eran capaces de hacer”. Hoy en día, los
atacantes son mucho más sofisticados y están más organizados. Normalmente, se mueven por un fin
económico o estratégico. También disponen de más recursos, ya que a veces podrían estar financiados por
estados o por el crimen organizado.
Estas realidades cambiantes han propiciado un nivel de profesionalidad entre los atacantes que no tiene
precedentes. Ya no les interesa alterar los sitios web. Ahora, lo que buscan es robar información, cuentas
financieras y datos privados, que pueden usar con fines lucrativos en el mercado libre o para sacar provecho de
una determinada situación política, militar o empresarial. Si los atacantes con un objetivo financiero son motivo
de preocupación, aún lo son más los que pretenden abrir una brecha en las redes para dañar la infraestructura o
infligir daños personales.
Como respuesta, las organizaciones suelen implementar varias soluciones específicas, que se centran en
defender el perímetro o los puntos de conexión de la empresa mediante la búsqueda de firmas de ataque
conocidas. Estas soluciones suelen generar un gran número de alertas con un bajo nivel de confiabilidad, lo que
requiere que un analista de seguridad las cribe e investigue. La mayor parte de las organizaciones no disponen
de la experiencia ni del tiempo necesarios para responder a estas alertas, por lo que muchas quedan
desatendidas.
Además, los atacantes han mejorado sus métodos para debilitar muchas de las defensas basadas en firmas y
para adaptarse a los entornos en la nube. Por tanto, se necesitan nuevos enfoques que permitan identificar con
mayor rapidez las nuevas amenazas, así como acelerar su detección y respuesta.

Supervisión y evaluaciones continuas

Azure Security Center se beneficia de la existencia de equipos de científicos de datos e investigadores de
seguridad de Microsoft que supervisan sin descanso los cambios que se registran en el terreno de las amenazas.
Estos son algunas de las iniciativas que llevan a cabo:
Super visión de la inteligencia sobre amenazas : la inteligencia sobre amenazas incluye mecanismos,
indicadores, implicaciones y notificaciones para las amenazas nuevas o existentes. Esta información se
comparte con la comunidad de seguridad, y Microsoft supervisa sin descanso las fuentes de orígenes
internos y externos.
Uso compar tido de señales : la información que recopilan los equipos de seguridad en la amplia cartera
de servicios tanto locales como en la nube, de servidores y de dispositivos cliente de punto de conexión de
Microsoft se comparte y se analiza.
Especialistas en seguridad de Microsoft colaboración continua con equipos de Microsoft que trabajan
en campos de seguridad especializados, como análisis forense y detección de ataques web.
Ajuste de la detección : los algoritmos se ejecutan en conjuntos de datos de clientes reales y los
investigadores de seguridad trabajan en conjunción con los clientes para validar los resultados. Los falsos
positivos y los positivos verdaderos se utilizan para perfeccionar los algoritmos de aprendizaje automático.
Toda esta combinación de esfuerzos culmina en nuevas y mejoradas técnicas de detección, de las que puede
beneficiarse al instante sin ninguna acción por su parte.

¿Cómo detecta Security Center las amenazas?

Los investigadores de seguridad de Microsoft trabajan sin descanso para localizar amenazas. Dada nuestra
presencia global en la nube y en sistemas locales, tenemos acceso a un amplio conjunto de recursos de
telemetría. La amplitud y diversidad de estos conjuntos de datos nos permite detectar nuevos patrones y
tendencias de ataque tanto en nuestros productos locales, destinados a particulares y empresas, como en
nuestros servicios en línea. Como resultado, Security Center es capaz de actualizar rápidamente los algoritmos
de detección a medida que los atacantes idean nuevas y más sofisticadas vulnerabilidades de seguridad. Este
enfoque le ayuda a mantenerse al día en entornos llenos de amenazas que cambian continuamente.
Para detectar amenazas reales y reducir los falsos positivos, Security Center recopila, analiza e integra los datos
de registro de los recursos de Azure y de la red. También funciona con soluciones de asociados conectados,
como firewalls y soluciones de protección de puntos de conexión. Security Center analiza estos datos (a
menudo, relacionando la información de diferentes orígenes) para identificar las amenazas.
Security Center utiliza análisis avanzados que superan con creces los enfoques basados en firmas. Los grandes
avances registrados en las tecnologías de macrodatos y aprendizaje automático se utilizan para evaluar eventos
en todo el tejido de la nube, lo que permite detectar amenazas que no se podrían identificar mediante enfoques
manuales, así como predecir la evolución de los ataques. Estas técnicas de análisis son:
Información integrada sobre amenazas : Microsoft dispone de una ingente cantidad de información
sobre amenazas globales. Los recursos telemétricos proceden de diferentes fuentes, como Azure,
Microsoft 365, Microsoft CRM Online, Microsoft Dynamics AX, outlook.com, MSN.com, la Unidad de
crímenes digitales de Microsoft (DCU) y Microsoft Security Response Center (MSRC). Los investigadores
también reciben información sobre amenazas que comparten con los principales proveedores de
servicios en la nube y que procede de fuentes de otros terceros. Azure Security Center puede usar todos
estos datos para avisarle de las amenazas procedentes de actores malintencionados conocidos.
Análisis del compor tamiento : El análisis del comportamiento es una técnica que analiza datos y los
compara con una serie de patrones conocidos. No obstante, estos patrones no son simples firmas, sino
que están determinados por unos complejos algoritmos de aprendizaje automático que se aplican a
conjuntos de datos masivos. También se determinan por medio de un análisis cuidadoso, llevado a cabo
por analistas expertos, de los comportamientos malintencionados. Azure Security Center puede utilizar el
análisis del comportamiento para identificar recursos en peligro a partir del análisis de registros de las
máquinas virtuales, registros de los dispositivos de redes virtuales, registros de los tejidos y otros
orígenes.
Detección de anomalías : Azure Security Center también utiliza la detección de anomalías para
identificar amenazas. A diferencia del análisis del comportamiento, que depende de patrones conocidos
obtenidos a partir de grandes conjuntos de datos, la detección de anomalías es una técnica más
"personalizada" y se basa en referencias que son específicas de las implementaciones. El aprendizaje
automático se aplica para determinar la actividad normal de las implementaciones. A partir de ahí, se
generan reglas para definir condiciones de valores atípicos que podrían constituir un evento de
seguridad.
¿Cómo se clasifican las alertas?
Security Center asigna una gravedad a las alertas, que le ayudan a priorizar el orden en el que asiste a cada
alerta, de modo que cuando un recurso está en peligro, puede obtenerlo inmediatamente. La gravedad se basa
en la confianza que tiene Security Center en la búsqueda o en el análisis utilizados para emitir la alerta, así como
en el nivel de confianza de que ha habido un intento malintencionado detrás de la actividad que ha provocado la
alerta.

NOTE
La gravedad de las alertas aparece de manera diferente en el portal y en las versiones de la API REST anteriores a 01-01-
2019. Si usa una versión anterior de la API, actualícela para conseguir la experiencia coherente que se describe a
continuación.

SEVERIT Y RESP UESTA REC O M EN DA DA

Alta hay una probabilidad elevada de que el recurso esté en

peligro. Debe investigarse de inmediato. El grado de certeza
de Security Center sobre la mala intención de la acción y los
hallazgos utilizados para emitir la alerta es elevado. Una
alerta de este tipo sería podría detectar la ejecución de una
herramienta malintencionada conocida; por ejemplo,
Mimikatz, una herramienta que se usa habitualmente para
robar credenciales.

Media es probable que sea una actividad sospechosa que podría

indicar que un recurso está en peligro. El grado de certeza
de Security Center sobre el análisis o los hallazgos es medio,
mientras que el grado de certeza sobre la mala intención es
medio o alto. Suelen tratarse de detecciones basadas en
anomalías o aprendizaje automático. Por ejemplo, un intento
de inicio de sesión desde una ubicación anómala.

Baja podría tratarse de un hallazgo benigno o de un ataque

bloqueado. Security Center no tiene la certeza suficiente de
que la intención fuera mala y la actividad pudiera ser
inofensiva. Por ejemplo, borrar un registro es una acción que
podría producirse si un atacante intenta ocultar sus huellas,
pero en muchos casos es una operación rutinaria que
realizan los administradores. Por lo general, Security Center
no avisa cuando se bloquean ataques a menos que se
considere un caso interesante que convenga examinar.

Informational (Informativo) solo verá las alertas informativas cuando explore en

profundidad un incidente de seguridad, o si usa la API REST
con un determinado identificador de alerta. Normalmente,
las incidencias se componen de varias alertas, algunas de las
cuales podrían parecer meramente informativas, aunque a
tenor de otras alertas podría ser conveniente investigarlas.

Exportación de alertas
Tiene una variedad de opciones para ver las alertas fuera de Security Center, entre ellas:
La descarga del informe de CSV en el panel de alertas proporciona una exportación única a CSV.
La expor tación continua de los precios y la configuración permite configurar flujos de alertas de
seguridad y recomendaciones a áreas de trabajo de Log Analytics y a Event Hubs. Más información sobre la
 exportación continua
El conector de Azure Sentinel transmite las alertas de seguridad de Azure Security Center a Azure
Sentinel. Más información sobre la conexión de Azure Security Center con Azure Sentinel

Correlación de alertas inteligentes en la nube en Azure Security

Center (incidentes)
Azure Security Center analiza continuamente las cargas de trabajo de la nube híbrida mediante el análisis
avanzado e información sobre amenazas para alertarle de cualquier actividad malintencionada.
La magnitud de la cobertura de las amenazas está creciendo. La necesidad de detectar incluso el peligro más
ligero es importante y puede ser difícil para los analistas de seguridad evaluar las distintas alertas e identificar
un ataque real. Security Center ayuda a los analistas a afrontar este exceso de alertas. Ayuda a diagnosticar los
ataques a medida que se producen, al correlacionar las distintas alertas y señales de baja fidelidad en incidentes
de seguridad.
El análisis de fusión es la tecnología y el back-end analítico que permite generar los incidentes de Security
Center, al poner en correlación diferentes alertas y señales contextuales entre sí. La fusión examina las distintas
señales informadas en una suscripción en todos los recursos. La fusión encuentra patrones que revelan la
progresión de los ataques o las señales con información contextual compartida, lo que indica que debe utilizar
un procedimiento de respuesta unificado para ellos.
El análisis de fusión combina el conocimiento de dominios de seguridad con inteligencia artificial para analizar
las alertas y detectar nuevos patrones de ataque cuando se producen.
Security Center utiliza la matriz de ataque MITRE para asociar alertas con su intención percibida, lo que ayuda a
formalizar el conocimiento de dominios de seguridad. Además, mediante el uso de la información recopilada
para cada paso de un ataque, Security Center puede descartar actividades que parecen ser pasos de un ataque,
pero en realidad no lo son.
Dado que los ataques se producen a menudo a través de distintos inquilinos, Security Center puede combinar
algoritmos de inteligencia artificial para analizar las secuencias de ataque que se notifican en cada suscripción.
Esta técnica identifica las secuencias de ataque como patrones de alerta más frecuentes, en lugar de asociarse
simplemente entre sí.
Durante la investigación de un incidente, los analistas a menudo necesitan más contexto para llegar a un
veredicto sobre la naturaleza de la amenaza y cómo mitigarla. Por ejemplo, incluso cuando se detecta una
anomalía de red, sin saber qué más sucede en la red o con respecto al recurso objetivo, es difícil determinar las
medidas que se deben tomar a continuación. En estos casos, pueden ser de utilidad los artefactos, los eventos
relacionados y la información que un incidente de seguridad puede incluir. La información adicional disponible
de los incidentes de seguridad variará según el tipo de amenaza detectada y la configuración de su entorno.

TIP
Para obtener una lista de alertas de incidentes de seguridad que se pueden producir en el análisis de fusión, consulte la
tabla de referencia de alertas.
Para administrar los incidentes de seguridad, consulte Cómo administrar los incidentes de seguridad en Azure
Security Center.

Pasos siguientes
En este artículo, ha aprendido obtenido información sobre los distintos tipos de alertas disponibles en Security
Center. Para más información, consulte:
Alertas de seguridad en el registro de actividad de Azure: además de estar disponibles en Azure Portal o
mediante programación, las alertas y los incidentes de seguridad se auditan como eventos en el registro de
actividad de Azure.
Tabla de referencia de las alertas de Azure Defender
Responder a alertas de seguridad
 Alertas de seguridad: una guía de referencia
22/03/2021 • 221 minutes to read • Edit Online

En este artículo se muestran las alertas de seguridad que puede recibir de Azure Security Center y los planes de
Azure Defender que haya habilitado. Las alertas que se muestran en su entorno dependen de los recursos y
servicios que va a proteger, así como de la configuración personalizada.
En la parte inferior de esta página, hay una tabla que describe la cadena de eliminación de Azure Security Center
que está en línea con la versión 7 de MITRE ATT&CK Matrix.
Aprenda a responder a estas alertas.
Aprenda a exportar alertas.

Alertas de máquinas Windows

Más detalles y notas

TÁ C T IC A S M IT RE
A L ERTA DESC RIP C IÓ N ( M Á S IN F O RM A C IÓ N ) SEVERIT Y

Se ha detectado un Se produjo una - Alto

inicio de sesión desde autenticación remota
una dirección IP correcta para la cuenta
malintencionada [cuenta] y el proceso
[proceso]. Sin embargo, la
dirección IP de inicio de
sesión (x.x.x.x) se ha
notificado previamente
como malintencionada o
muy inusual. Es probable
que se haya producido un
ataque correcto.

Se ha detectado un Se produjo una - Alto

inicio de sesión desde autenticación remota
una dirección IP correcta para la cuenta
malintencionada. [Se ha [cuenta] y el proceso
detectado varias veces]. [proceso]. Sin embargo, la
dirección IP de inicio de
sesión (x.x.x.x) se ha
notificado previamente
como malintencionada o
muy inusual. Es probable
que se haya producido un
ataque correcto. Los
archivos con las extensiones
.src son archivos del
protector de pantalla y
suelen residir en el
directorio del sistema de
Windows, así como
ejecutarse desde este.
 TÁ C T IC A S M IT RE
A L ERTA DESC RIP C IÓ N ( M Á S IN F O RM A C IÓ N ) SEVERIT Y

Adición de una cuenta El análisis de datos del host - Media

de invitado al grupo de ha detectado la adición de
administradores locales la cuenta de invitado
integrada al grupo de
administradores locales en
el host %{Compromised
Host}, lo que está
estrechamente asociado
con la actividad de los
atacantes.

Se ha borrado un Los registros de la máquina - Informativo

registro de eventos indican que el usuario "%
{user name}" ha realizado
una operación de borrado
del registro de eventos
sospechoso en la máquina
"%{CompromisedEntity}". Se
borró el registro %{log
channel}.

Acción antimalware Microsoft Antimalware para - Media

realizada Azure ha realizado una
acción para proteger esta
máquina contra malware u
otro software
potencialmente no deseado.

Error en la acción Microsoft Antimalware ha - Media

antimalware encontrado un error al
realizar una acción en
malware u otro software
potencialmente no deseado.

Se detectaron El análisis de datos de host - Alto

indicadores de en %{Compromised Host}
ransomware de Petya. detectó indicadores
asociados al ransomware de
Petya. Consulte
https://blogs.technet.micros
oft.com/mmpc/2017/06/27
/new-ransomware-old-
techniques-petya-adds-
worm-capabilities/ para
obtener más información.
Revise la línea de comandos
asociada a esta alerta y
escale dicha alerta al equipo
de seguridad.

Se detectaron acciones El análisis de datos del host - Media

que indican la detectó acciones que
deshabilitación y muestran que se
eliminación de archivos inhabilitaron o eliminaron
de registro de IIS archivos de registro de IIS.
 TÁ C T IC A S M IT RE
A L ERTA DESC RIP C IÓ N ( M Á S IN F O RM A C IÓ N ) SEVERIT Y

Se detectó una El análisis de datos del host - Media

combinación anómala en %{Compromised Host}
de caracteres en detectó una línea de
mayúsculas y comandos con una
minúsculas en la línea combinación anómala de
de comandos . caracteres en mayúsculas y
minúsculas. Aunque
posiblemente este tipo de
patrón es benigno, también
es típico de los atacantes
que intentan ocultarse de la
regla basada en hash o que
distingue mayúsculas de
minúsculas al realizar tareas
administrativas en un host
en peligro.

Se detectó un cambio El análisis de datos del host - Media

en una clave del en %{Compromised Host}
Registro que se puede detectó que se cambió una
usar para omitir UAC. clave del Registro que se
puede usar para omitir UAC
(Control de cuentas de
usuario). Aunque
posiblemente este tipo de
configuración es benigno,
también es típico de la
actividad de los atacantes
cuando intentan pasar de la
obtención de acceso sin
privilegios (usuario
estándar) a un acceso con
privilegios (por ejemplo,
administrador) en un host
en peligro.

Se detectó la El análisis de datos del host - Alto

descodificación de un en %{Compromised Host}
archivo ejecutable detectó que certutil.exe,
mediante la herramienta una utilidad de
integrada cer tutil.exe. administrador integrada, se
usaba para descodificar un
archivo ejecutable en lugar
de para su finalidad
estándar relacionada con la
manipulación de
certificados y datos de
certificados. Se sabe que los
atacantes abusan de la
funcionalidad de
herramientas de
administrador legítimas
para realizar acciones
malintencionadas; por
ejemplo, utilizan una
herramienta como
certutil.exe para descodificar
un ejecutable
malintencionado que se
ejecutará posteriormente.
 TÁ C T IC A S M IT RE
A L ERTA DESC RIP C IÓ N ( M Á S IN F O RM A C IÓ N ) SEVERIT Y

Se detectó la El análisis de datos del host - Media

habilitación de la clave detectó un cambio en la
del Registro clave del Registro
UseLogonCredential de HKLM\SYSTEM\CurrentCon
WDigest. trolSet\Control\SecurityProv
iders\WDigest\
"UseLogonCredential".
Concretamente, esta clave
se ha actualizado para
permitir que las credenciales
de inicio de sesión se
almacenen en texto no
cifrado en la memoria LSA.
Una vez se habilita, un
atacante puede volcar
contraseñas de texto no
cifrado de la memoria LSA
con herramientas de
recopilación de credenciales
como Mimikatz.

Se detectó un archivo El análisis de datos del host - Alto

ejecutable codificado en en %{Compromised Host}
los datos de la línea de ha detectado un archivo
comandos. con codificación Base 64.
Esto se ha asociado
previamente con atacantes
que intentan crear archivos
ejecutables sobre la marcha
mediante una secuencia de
comandos e intentan eludir
los sistemas de detección
de intrusiones al asegurarse
de que ningún comando
individual desencadena una
alerta. Esto podría indicar
una actividad legítima o que
un host se encuentra en
peligro.

Se detectó una línea de Los atacantes usan técnicas - Informativo

comandos ofuscada de ofuscación cada vez más
complejas para eludir las
detecciones que se ejecutan
con los datos subyacentes.
El análisis de datos del host
en %{Compromised Host}
detectó indicadores
sospechosos de ofuscación
en la línea de comandos.
 TÁ C T IC A S M IT RE
A L ERTA DESC RIP C IÓ N ( M Á S IN F O RM A C IÓ N ) SEVERIT Y

Se detectó una posible El análisis de datos del host - Media

ejecución del archivo en %{Compromised Host}
ejecutable keygen. detectó la ejecución de un
proceso cuyo nombre indica
que se trata de una
herramienta keygen. Estas
herramientas se utilizan
normalmente para anular
los mecanismos de licencia
de software, pero su
descarga suele estar
incluida con otro software
malintencionado. Se sabe
que el grupo de actividad
GOLD usa archivos keygen
para obtener acceso de
manera encubierta por la
puerta trasera a los hosts a
los que pone en peligro.

Se detectó una posible El análisis de datos del host - Alto

ejecución de un en %{Compromised Host}
instalador de malware. detectó un nombre de
archivo que se ha asociado
previamente a uno de los
métodos del grupo de
actividad GOLD de
instalación de malware en el
host de las víctimas.

Se detectó una posible El análisis de datos del host -

actividad de en %{Compromised Host}
reconocimiento local. detectó una combinación
de comandos systeminfo
que se ha asociado
previamente a uno de los
métodos del grupo de
actividad GOLD de
realización de la actividad
de reconocimiento. Aunque
"systeminfo.exe" es una
herramienta de Windows
legítima, su ejecución dos
veces seguidas de la forma
en que se ha producido
aquí es poco frecuente.
 TÁ C T IC A S M IT RE
A L ERTA DESC RIP C IÓ N ( M Á S IN F O RM A C IÓ N ) SEVERIT Y

Se detectó un uso El análisis de datos del host - Media

potencialmente muestra la instalación de
sospechoso de la Telegram, un servicio de
herramienta Telegram. mensajería instantánea
gratuito basado en la nube
que existe tanto para
móviles como para sistemas
de escritorio. Se sabe que
los atacantes usan este
servicio para transferir
archivos binarios
malintencionados a
cualquier otro equipo,
teléfono o tableta.

Se detectó la supresión El análisis de datos del host - Bajo

del aviso legal que se en %{Compromised Host}
muestra a los usuarios detectó cambios en la clave
en el inicio de sesión. del Registro que controla si
se muestra un aviso legal a
los usuarios cuando inician
sesión. El análisis de
seguridad de Microsoft ha
determinado que se trata
de una actividad que
habitualmente llevan a cabo
los atacantes después de
poner en peligro un host.

Se detectó una Los atacantes usan - Media

combinación mshta.exe (host de
sospechosa de HTA y aplicación HTML de
PowerShell. Microsoft), que es un
archivo binario firmado de
Microsoft, para iniciar
comandos de PowerShell
malintencionados. A
menudo, los atacantes
recurren a tener un archivo
HTA con VBScript alineado.
Cuando una víctima navega
hasta el archivo HTA y elige
ejecutarlo, se ejecutan los
comandos y los scripts de
PowerShell que contiene. El
análisis de datos del host en
%{Compromised Host}
detectó que mshta.exe inicia
comandos de PowerShell.

Se detectaron El análisis de datos del host - Alto

argumentos de la línea en %{Compromised Host}
de comandos detectó que se han usado
sospechosos. argumentos de la línea de
comandos sospechosos
junto con un shell inverso
que utiliza el grupo de
actividad HYDROGEN.
 TÁ C T IC A S M IT RE
A L ERTA DESC RIP C IÓ N ( M Á S IN F O RM A C IÓ N ) SEVERIT Y

Se detectó una línea de El análisis de datos del host - Media

comandos sospechosa ha detectado la ejecución
que se usa para iniciar de un proceso sospechoso
todos los archivos en el host %{Compromised
ejecutables en un Host}. La línea de comandos
directorio. indica un intento de iniciar
todos los archivos
ejecutables (*.exe) que
pueden residir en un
directorio. Esto podría
indicar que un host se
encuentra en peligro.

Se detectaron El análisis de datos del host - Alto

credenciales en %{Compromised Host}
sospechosas en la línea detectó una contraseña
de comandos. sospechosa que el grupo de
actividad BORON usa para
ejecutar un archivo. Se sabe
que este grupo de actividad
utiliza esta contraseña para
ejecutar malware de Pirpi en
el host de las víctimas.

Se detectaron El análisis de datos del host - Alto

credenciales de en %{Compromised Host}
documentos detectó un hash de
sospechosas. contraseña precalculado
común y sospechoso que
usa el malware para
ejecutar un archivo. Se sabe
que el grupo de actividad
HYDROGEN utiliza esta
contraseña para ejecutar
malware en el host de las
víctimas.

Se detectó la ejecución El análisis de datos del host - Media

sospechosa del en %{Compromised Host}
comando detectó la ejecución del
VBScript.Encode. comando VBScript.Encode.
Este codifica los scripts en
texto ilegible, lo que
dificulta que los usuarios
examinen el código. La
investigación de amenazas
de Microsoft muestra que
los atacantes suelen usar
archivos VBscript
codificados como parte de
su ataque para eludir los
sistemas de detección. Esto
podría indicar una actividad
legítima o que un host se
encuentra en peligro.
 TÁ C T IC A S M IT RE
A L ERTA DESC RIP C IÓ N ( M Á S IN F O RM A C IÓ N ) SEVERIT Y

Se detectó una El análisis de datos del host - Alto

ejecución sospechosa en %{Compromised Host}
mediante el archivo detectó que se ha utilizado
rundll32.exe. el archivo rundll32.exe para
ejecutar un proceso con un
nombre no común. Esto se
ha hecho de forma
coherente con el esquema
de nomenclatura del
proceso que anteriormente
ha utilizado el grupo de
actividad GOLD al instalar la
primera fase del implante
en un host en peligro.

Se detectaron El análisis de datos del host - Alto

comandos de limpieza en %{Compromised Host}
de archivos detectó una combinación
sospechosos. de comandos systeminfo
que se ha asociado
previamente a uno de los
métodos del grupo de
actividad GOLD de
realización de la actividad
de autolimpieza después de
la puesta en peligro.
Aunque "systeminfo.exe" es
una herramienta legítima de
Windows, ejecutarla dos
veces consecutivas, seguida
de un comando de
eliminación en la forma en
que se ha producido aquí es
poco frecuente.

Se detectó la creación El análisis de datos del host - Alto

de un archivo en %{Compromised Host}
sospechoso. detectó la creación o la
ejecución de un proceso
que anteriormente ha
indicado que se trataba de
una acción llevada a cabo
en el host de las víctimas
por parte del grupo de
actividad BARIUM después
de la puesta en peligro. Se
ha sabido que este grupo
de actividad usa esta
técnica para descargar
malware adicional en un
host en peligro después de
abrir un archivo adjunto en
un documento de
suplantación de identidad
(phishing).
 TÁ C T IC A S M IT RE
A L ERTA DESC RIP C IÓ N ( M Á S IN F O RM A C IÓ N ) SEVERIT Y

Se detectaron El análisis de datos del host - Alto

comunicaciones de en %{Compromised Host}
canalización con detectó datos que se
nombre sospechosas. escriben en una canalización
con nombre local desde un
comando de la consola
Windows. Se sabe que los
atacantes utilizan
canalizaciones con nombre
a fin de realizar tareas y
comunicarse con un
implante malintencionado.
Esto podría indicar una
actividad legítima o que un
host se encuentra en
peligro.

Se detectó una El análisis del tráfico de red - Bajo

actividad de red desde el host %
sospechosa. {Compromised Host}
detectó una actividad de
red sospechosa. Aunque
posiblemente este tráfico es
benigno, suele utilizarlo un
atacante para comunicarse
con servidores
malintencionados para la
descarga de herramientas,
el comando y control y la
filtración de datos. La
actividad de atacante
relacionada típica incluye la
copia de herramientas de
administración remota en
un host en peligro y la
extracción de los datos del
usuario a partir de dicha
copia.

Se detectó una nueva El análisis de datos del host - Media

regla de firewall ha detectado que se ha
sospechosa. agregado una nueva regla
de firewall a través de
netsh.exe para permitir el
tráfico desde un archivo
ejecutable en una ubicación
sospechosa.
 TÁ C T IC A S M IT RE
A L ERTA DESC RIP C IÓ N ( M Á S IN F O RM A C IÓ N ) SEVERIT Y

Se detectó un uso Los atacantes usan - Media

sospechoso de Cacls innumerables métodos,
para reducir el estado como la fuerza bruta, el
de seguridad del phishing de objetivo
sistema definido, etc., para realizar
una vulneración inicial y
obtener una posición en la
red. Una vez que se
consigue la vulneración
inicial, a menudo se llevan a
cabo pasos para reducir la
configuración de seguridad
de un sistema. Cacls, que es
la abreviatura de "cambiar
la lista de control de
acceso", es la utilidad de la
línea de comandos nativa
de Microsoft Windows que
se usa a menudo para
modificar el permiso de
seguridad en carpetas y
archivos. En muchas
ocasiones, los atacantes
usan el archivo binario para
reducir la configuración de
seguridad de un sistema.
Para ello, se concede a
todos los usuarios acceso
completo a algunos de los
archivos binarios del
sistema, como ftp.exe,
net.exe, wscript.exe, etc. El
análisis de datos del host en
%{Compromised Host}
detectó un uso sospechoso
de Cacls para reducir la
seguridad de un sistema.

Se detectó un uso El análisis de datos de - Media

sospechoso del creación de procesos en el
modificador -s de FTP. host %{Compromised Host}
ha detectado el uso del
modificador "-s:filename"
del FTP. Este modificador se
usa para especificar un
archivo de script FTP para
que lo ejecute el cliente. Se
sabe que el malware o los
procesos malintencionados
usan este conmutador FTP
(-s:filename) para apuntar a
un archivo de script que
está configurado para
conectarse a un servidor
FTP remoto y descargar
archivos binarios
malintencionados
adicionales.
 TÁ C T IC A S M IT RE
A L ERTA DESC RIP C IÓ N ( M Á S IN F O RM A C IÓ N ) SEVERIT Y

Se detectó un uso El análisis de datos del host - Media

sospechoso del archivo en %{Compromised Host}
Pcalua. exe para iniciar detectó el uso del archivo
código ejecutable. pcalua.exe para iniciar
código ejecutable. El archivo
Pcalua.exe es un
componente del "Asistente
para la compatibilidad de
programas" de
Microsoft Windows que
detecta problemas de
compatibilidad durante la
instalación o la ejecución de
un programa. Se sabe que
los atacantes usan la
funcionalidad de las
herramientas del sistema
Windows legítimas para
realizar acciones
malintencionadas, por
ejemplo, usan el archivo
pcalua.exe con el
modificador -a para iniciar
archivos ejecutables
malintencionados
localmente o desde
recursos compartidos
remotos.

Se detectó la El análisis de datos del host - Media

deshabilitación de en %{Compromised Host}
ser vicios críticos. detectó la ejecución del
comando "net.exe stop" que
se usa para detener
servicios críticos como
SharedAccess o Windows
Security Center. La
detención de cualquiera de
estos servicios puede ser
una indicación de un
comportamiento
malintencionado.

Se detectó un El análisis de datos del host - Alto

compor tamiento en %{Compromised Host}
relacionado con la detectó la ejecución de un
minería de datos de proceso o comando que
moneda digital. normalmente se asocia con
la minería de moneda
digital.
 TÁ C T IC A S M IT RE
A L ERTA DESC RIP C IÓ N ( M Á S IN F O RM A C IÓ N ) SEVERIT Y

Construcción dinámica El análisis de datos del host - Media

del script de PS en %{Compromised Host}
detectó un script de
PowerShell que se está
construyendo
dinámicamente. A veces, los
atacantes usan esta técnica
para generar
progresivamente un script
con el fin de eludir los
sistemas IDS. Podría
tratarse de una actividad
legítima o de una señal de
que una de las máquinas se
ha puesto en peligro.

Se encontró un archivo El análisis de datos del host - Alto

ejecutable que se detectó un archivo
ejecuta desde una ejecutable en el host %
ubicación sospechosa. {Compromised Host} que se
está ejecutando desde una
ubicación comuna de
archivos sospechosos
conocidos. Este archivo
ejecutable podría indicar
una actividad legítima o que
un host se encuentra en
peligro.
 TÁ C T IC A S M IT RE
A L ERTA DESC RIP C IÓ N ( M Á S IN F O RM A C IÓ N ) SEVERIT Y

Se detectó una técnica La memoria del proceso DefenseEvasion/Ejecución Alto

de ataque sin archivos especificado a continuación
contiene una evidencia de
una técnica de ataque sin
archivos: Los atacantes
usan los ataques sin
archivos para ejecutar
código y evitar ser
detectados por el software
de seguridad. Entre sus
comportamientos
específicos se incluyen los
siguientes:
1) Shellcode, que es un
pequeño fragmento de
código que se usa
normalmente como carga
útil para aprovechar una
vulnerabilidad de software.
2) Imagen ejecutable
insertada en el proceso,
como en un ataque por
inyección de código.
3) Conexiones de red
activas. Consulte
NetworkConnections a
continuación para más
información.
4) Llamadas de función a
interfaces del sistema
operativo confidenciales.
Consulte Funcionalidades a
continuación para ver las
funcionalidades del sistema
operativo a las que se hace
referencia.
5) Vaciado de proceso, que
es una técnica utilizada por
malware en la que se carga
un proceso legítimo en el
sistema para actuar como
contenedor de código
hostil.
6) Contiene un subproceso
que se inició en un
segmento de código
asignado dinámicamente.
Se trata de un patrón
común de los ataques por
inyección de procesos.
 TÁ C T IC A S M IT RE
A L ERTA DESC RIP C IÓ N ( M Á S IN F O RM A C IÓ N ) SEVERIT Y

Compor tamiento de La memoria del proceso DefenseEvasion Bajo

ataque sin archivos especificado contiene
detectado comportamientos utilizados
habitualmente por ataques
sin archivos. Entre sus
comportamientos
específicos se incluyen los
siguientes:
1) Shellcode, que es un
pequeño fragmento de
código que se usa
normalmente como carga
útil para aprovechar una
vulnerabilidad de software.
2) Conexiones de red
activas. Consulte
NetworkConnections a
continuación para más
información.
3) Llamadas de función a
interfaces del sistema
operativo confidenciales.
Consulte Funcionalidades a
continuación para ver las
funcionalidades del sistema
operativo a las que se hace
referencia.
4) Contiene un subproceso
que se inició en un
segmento de código
asignado dinámicamente.
Se trata de un patrón
común de los ataques por
inyección de procesos.
 TÁ C T IC A S M IT RE
A L ERTA DESC RIP C IÓ N ( M Á S IN F O RM A C IÓ N ) SEVERIT Y

Kit de herramientas de La memoria del proceso DefenseEvasion Media

ataques sin archivos especificado contiene un kit
detectado de herramientas de ataques
sin archivos: [nombre del kit
de herramientas]. Los kits
de herramientas de ataques
sin archivos usan técnicas
que minimizan o eliminan el
rastro de malware en el
disco y reducen
considerablemente las
posibilidades de detección
mediante soluciones de
análisis de malware basadas
en disco. Entre sus
comportamientos
específicos se incluyen los
siguientes:
1) Kits de herramientas
conocidas y software de
minería de datos de cifrado.
2) Shellcode, que es un
pequeño fragmento de
código que se usa
normalmente como carga
útil para aprovechar una
vulnerabilidad de software.
3) Archivo ejecutable
malintencionado insertado
en la memoria de proceso.

Se detectó un software El análisis de datos del host - Media

de alto riesgo. de %{Compromised Host}
detectó que anteriormente
se ha asociado el uso de
software con la instalación
de malware. Una técnica
común que se emplea en la
distribución de software
malintencionado consiste
en empaquetarlo con otras
herramientas benignas,
como la que se ha
detectado en esta alerta. Al
usar estas herramientas, el
malware se puede instalar
de forma silenciosa en
segundo plano.
 TÁ C T IC A S M IT RE
A L ERTA DESC RIP C IÓ N ( M Á S IN F O RM A C IÓ N ) SEVERIT Y

Se enumeraron Los registros de la máquina - Informativo

miembros del grupo de indican una enumeración
administradores locales. correcta en el grupo %
{Enumerated Group
Domain Name}%
{Enumerated Group Name}.
En concreto, el elemento %
{Enumerating User Domain
Name}%{Enumerating User
Name} enumeraba de forma
remota los miembros del
grupo %{Enumerated
Group Domain Name}%
{Enumerated Group Name}.
Esta actividad puede ser
una actividad legítima o
puede indicar que una
máquina de la organización
se ha puesto en peligro y se
ha usado para el
reconocimiento de la
máquina virtual %
{vmname}.

Actividad SQL Los registros de la máquina - Alto

malintencionada indican que la cuenta %
{user name} ejecutó el
proceso "%{process name}".
Esta actividad se considera
malintencionada.

El implante del ser vidor Se creó una regla de firewall - Alto

ZINC creó una regla de mediante técnicas que
firewall malintencionada coinciden con un actor
[Se detectó varias conocido, ZINC. Es posible
veces]. que la regla se usara para
abrir un puerto en el host
%{Compromised Host} a fin
de permitir las
comunicaciones del
comando y control. Este
comportamiento se ha
detectado [x] veces en la
actualidad en las siguientes
máquinas: [nombres de las
máquinas].

Se consultaron varias El análisis de datos del host - Media

cuentas de dominio. ha determinado que se está
realizando una consulta en
un número inusual de
cuentas de dominio
distintas en un breve
período desde el host %
{Compromised Host}. Este
tipo de actividad podría ser
legítimo, pero también
puede ser una indicación de
un riesgo.
 TÁ C T IC A S M IT RE
A L ERTA DESC RIP C IÓ N ( M Á S IN F O RM A C IÓ N ) SEVERIT Y

Se detectó un posible El análisis de datos del host - Media

volcado de credenciales ha detectado que una
[Se ha detectado varias herramienta nativa de
veces]. Windows (por ejemplo,
sqldumper.exe) se usa de
una manera que permite
extraer credenciales de la
memoria. A menudo, los
atacantes usan estas
técnicas para extraer las
credenciales que
posteriormente usan para el
movimiento lateral y la
escalación de privilegios.
Este comportamiento se ha
detectado [x] veces en la
actualidad en las siguientes
máquinas: [nombres de las
máquinas].

Se detectó un posible El análisis de datos del host - Alto

intento de omitir en %{Compromised Host}
AppLocker. ha detectado un posible
intento de omitir las
restricciones de AppLocker.
AppLocker se puede
configurar para
implementar una directiva
que limite los archivos
ejecutables que se pueden
ejecutar en un sistema
Windows. El patrón de la
línea de comandos similar al
identificado en esta alerta
se ha asociado
anteriormente con intentos
por parte del atacante de
eludir la directiva de
AppLocker mediante el uso
de archivos ejecutables de
confianza (permitidos por la
directiva de AppLocker)
para ejecutar código que no
es de confianza. Esto podría
indicar una actividad
legítima o que un host se
encuentra en peligro.

Se detectó la ejecución El análisis de datos del host - Informativo

de PsExec. indica que la utilidad PsExec
ejecutó el proceso %
{Process Name}. PsExec se
puede usar para ejecutar
procesos de forma remota.
Esta técnica se puede
utilizar con fines
malintencionados.
 TÁ C T IC A S M IT RE
A L ERTA DESC RIP C IÓ N ( M Á S IN F O RM A C IÓ N ) SEVERIT Y

Se detectaron El análisis de datos del host - Alto

indicadores de indica una actividad
ransomware [Se han sospechosa
detectado varias veces]. tradicionalmente asociada a
la pantalla de bloqueo y a
ransomware de cifrado. El
ransomware de la pantalla
de bloqueo muestra un
mensaje de pantalla
completa que impide el uso
interactivo del host y el
acceso a sus archivos. El
ransomware de cifrado
impide el acceso mediante
el cifrado de archivos de
datos. En ambos casos,
normalmente se muestra
un mensaje de rescate, en el
que se solicita el pago para
restaurar el acceso a los
archivos. Este
comportamiento se ha
detectado [x] veces en la
actualidad en las siguientes
máquinas: [nombres de las
máquinas].

Se detectaron El análisis de datos del host - Alto

indicadores de indica una actividad
ransomware. sospechosa
tradicionalmente asociada a
la pantalla de bloqueo y a
ransomware de cifrado. El
ransomware de la pantalla
de bloqueo muestra un
mensaje de pantalla
completa que impide el uso
interactivo del host y el
acceso a sus archivos. El
ransomware de cifrado
impide el acceso mediante
el cifrado de archivos de
datos. En ambos casos,
normalmente se muestra
un mensaje de rescate, en el
que se solicita el pago para
restaurar el acceso a los
archivos.

Se ejecutó un grupo de Se ha observado que el - Informativo

ser vicio SVCHOST proceso del sistema
inusual. SVCHOST se ejecuta en un
grupo de servicio poco
frecuente. A menudo, el
malware usa SVCHOST para
enmascarar su actividad
malintencionada.
 TÁ C T IC A S M IT RE
A L ERTA DESC RIP C IÓ N ( M Á S IN F O RM A C IÓ N ) SEVERIT Y

Se detectó un ataque de El análisis de datos del host - Media

teclas especiales. indica que un atacante
puede haber alterado un
archivo binario de
accesibilidad (por ejemplo,
las teclas especiales, el
teclado en pantalla o el
narrador) para proporcionar
una puerta trasera de
acceso al host %
{Compromised Host}.

Ataque por fuerza bruta Se detectaron varios - Medio/Alt

correcto intentos de iniciar sesión
procedentes del mismo
origen. Algunos se
autenticaron correctamente
en el host.
Esto se parece a un ataque
por ráfagas, en el que un
atacante realiza numerosos
intentos de autenticación
para buscar las credenciales
de cuenta válidas.

Nivel de integridad El análisis de datos del host - Media

sospechoso que indica ha detectado que el archivo
un secuestro de RDP tscon.exe se ejecuta con
privilegios SYSTEM. Esto
puede indicar que un
atacante utiliza este archivo
binario para cambiar el
contexto al de cualquier
otro usuario que haya
iniciado sesión en este host.
Se trata de una técnica
conocida de los atacantes a
fin de comprometer las
cuentas de usuario
adicionales y moverse
lateralmente a través de
una red.
 TÁ C T IC A S M IT RE
A L ERTA DESC RIP C IÓ N ( M Á S IN F O RM A C IÓ N ) SEVERIT Y

Instalación sospechosa El análisis de datos del host - Media

de un ser vicio detectó la instalación del
archivo tscon.exe como
servicio. Este archivo binario
iniciado como un servicio
puede permitir que un
atacante cambie de forma
trivial a cualquier otro
usuario que haya iniciado
sesión en este host
mediante el secuestro de
conexiones RDP. Se trata de
una técnica conocida de los
atacantes a fin de
comprometer las cuentas
de usuario adicionales y
moverse lateralmente a
través de una red.

Se obser vó una El análisis de datos del host - Media

sospecha de parámetros detecta parámetros de la
de ataque golden ticket línea de comandos
de Kerberos. coherentes con un ataque
golden ticket de Kerberos.

Se detectó la creación El análisis de datos del host - Media

de una cuenta en %{Compromised Host}
sospechosa. detectó la creación o el uso
de una cuenta local %
{Suspicious account name}.
El nombre de esta cuenta se
parece mucho al nombre de
un grupo o una cuenta de
Windows estándar "%
{Similar To Account Name}".
Esto significa que es posible
que se trate de una cuenta
no autorizada creada por
un atacante, que la
denomina de esta forma a
fin de evitar que la detecte
un administrador humano.

Se detectó una El análisis de datos del host - Media

actividad sospechosa. ha detectado una secuencia
de uno o más procesos que
se ejecutan en %{machine
name} y que se han
asociado históricamente a
una actividad
malintencionada. Aunque
los comandos individuales
pueden parecer benignos, la
alerta se califica según una
agregación de estos
comandos. Esto podría
indicar una actividad
legítima o que un host se
encuentra en peligro.
 TÁ C T IC A S M IT RE
A L ERTA DESC RIP C IÓ N ( M Á S IN F O RM A C IÓ N ) SEVERIT Y

Se detectó una El análisis de datos del host - Alto

actividad de PowerShell detectó un script de
sospechosa. PowerShell que se ejecuta
en el host %{Compromised
Host} que tiene
características en común
con scripts sospechosos
conocidos. Este script
podría indicar una actividad
legítima o que un host se
encuentra en peligro.

SE ejecutaron cmdlets El análisis de datos del host - Media

de PowerShell indica la ejecución de
sospechosos. cmdlets malintencionados
conocidos de PowerSploit
de PowerShell.

Actividad de SQL Los registros de la máquina - Media

sospechosa indican que la cuenta %
{user name} ejecutó el
proceso "%{process name}".
Esta actividad no es
habitual en esta cuenta.

Se ejecutó el proceso Se ha observado la - Alto

SVCHOST sospechoso. ejecución del proceso del
sistema SVCHOST en un
contexto anómalo. A
menudo, el malware usa
SVCHOST para enmascarar
su actividad
malintencionada.

Se ejecutó un proceso Se observó que el proceso - Media

del protector de "%{process name}" se
pantalla sospechoso. estaba ejecutando desde
una ubicación no común.
Los archivos con las
extensiones .src son
archivos del protector de
pantalla y suelen residir en
el directorio del sistema de
Windows, así como
ejecutarse desde este.
 TÁ C T IC A S M IT RE
A L ERTA DESC RIP C IÓ N ( M Á S IN F O RM A C IÓ N ) SEVERIT Y

Actividad de El análisis de datos del host - Alto

instantánea de volumen ha detectado una actividad
sospechosa de eliminación de
instantáneas en el recurso.
Instantáneas de volumen
(VSC) es un artefacto
importante que almacena
instantáneas de datos.
Cierto malware y, en
concreto, el ransomware,
dirige el VSC a las
estrategias de copia de
seguridad de sabotaje.

Se detectó un valor de El análisis de datos del host - Bajo

registro de en %{Compromised Host}
WindowPosition detectó un intento de
sospechoso. cambio de configuración del
registro de WindowPosition,
lo que puede indicar que se
han intentado ocultar
ventanas de la aplicación en
secciones no visibles del
escritorio. Esto podría
indicar una actividad
legítima o que una máquina
se ha puesto en peligro.
Este tipo de actividad se ha
asociado previamente con
adware conocido (o
software no deseado) como
Win32/OneSystemCare y
Win32/SystemHealer, y
malware como
Win32/Creprote. Cuando el
valor de WindowPosition se
establece en 201329664,
(hexadecimal: 0x0c00 0c00,
correspondiente al eje X =
0c00 y al eje Y = 0c00), la
ventana de la aplicación de
consola se coloca en una
sección que no es visible de
la pantalla del usuario de un
área que está oculta en la
vista de la barra de tareas o
el menú Inicio visible. El
valor hexadecimal
sospechoso conocido
incluye c000c000, pero no
se limita a este.
 TÁ C T IC A S M IT RE
A L ERTA DESC RIP C IÓ N ( M Á S IN F O RM A C IÓ N ) SEVERIT Y

Actividad de Aunque ninguna de las - Media

autenticación autenticaciones se completó
sospechosa correctamente, algunas
usaban cuentas que el host
reconoció. Esto es parecido
a un ataque por diccionario,
en el que un atacante
realiza numerosos intentos
de autenticación mediante
un diccionario de nombres
y contraseñas de cuentas
predefinidos a fin de
encontrar credenciales
válidas para acceder al host.
Indica que algunos de los
nombres de cuentas de su
host pueden existir en un
diccionario de nombres de
cuentas conocido.

Se detectó un segmento Indica que se ha asignado - Media

de código sospechoso. un segmento de código con
métodos no estándar, como
el vaciado de proceso y la
inserción reflexiva. La alerta
ofrece características
adicionales del segmento de
código que se han
procesado para
proporcionar un contexto
para las funcionalidades y
los comportamientos del
segmento de código
notificado.

Ejecución de comando Los registros de la máquina -

sospechosa indican una ejecución de la
línea de comandos
sospechosa realizada por
parte del usuario %{user
name}.

Se ejecutó un archivo El análisis de datos del host - Alto

de extensión doble indica una ejecución de un
sospechoso. proceso con una extensión
doble sospechosa. Esta
extensión pueden engañar
a los usuarios para que
piensen que es seguro abrir
los archivos y puede indicar
la presencia de malware en
el sistema.
 TÁ C T IC A S M IT RE
A L ERTA DESC RIP C IÓ N ( M Á S IN F O RM A C IÓ N ) SEVERIT Y

Se detectó una descarga El análisis de datos del host - Media

sospechosa mediante en %{Compromised Host}
Cer tUtil. [Se ha detectó que certutil.exe,
detectado varias veces]. una utilidad de
administrador integrada, se
usaba para la descarga de
un archivo binario en lugar
de para su finalidad
estándar relacionada con la
manipulación de
certificados y datos de
certificados. Se sabe que los
atacantes usan la
funcionalidad de
herramientas de
administrador legítimas
para realizar acciones
malintencionadas. Por
ejemplo, utilizan certutil.exe
para descargar y
descodificar un archivo
ejecutable malintencionado
que se ejecutará
posteriormente. Este
comportamiento se ha
detectado [x] veces en la
actualidad en las siguientes
máquinas: [nombres de las
máquinas].

Se detectó una descarga El análisis de datos del host - Media

sospechosa mediante en %{Compromised Host}
Cer tUtil. detectó que certutil.exe,
una utilidad de
administrador integrada, se
usaba para la descarga de
un archivo binario en lugar
de para su finalidad
estándar relacionada con la
manipulación de
certificados y datos de
certificados. Se sabe que los
atacantes usan la
funcionalidad de
herramientas de
administrador legítimas
para realizar acciones
malintencionadas. Por
ejemplo, utilizan certutil.exe
para descargar y
descodificar un archivo
ejecutable malintencionado
que se ejecutará
posteriormente.
 TÁ C T IC A S M IT RE
A L ERTA DESC RIP C IÓ N ( M Á S IN F O RM A C IÓ N ) SEVERIT Y

Se ejecutó un proceso Los registros de la máquina - Alto

sospechoso. [Se ha indican que el proceso
detectado varias veces]. sospechoso "%{Suspicious
Process}" se estaba
ejecutando en la máquina,
lo que a menudo se asocia
a intentos por parte del
atacante de acceder a las
credenciales. Este
comportamiento se ha
detectado [x] veces en la
actualidad en las siguientes
máquinas: [nombres de las
máquinas].

Se ejecutó un proceso Los registros de la máquina - Alto

sospechoso. indican que el proceso
sospechoso "%{Suspicious
Process}" se estaba
ejecutando en la máquina,
lo que a menudo se asocia
a intentos por parte del
atacante de acceder a las
credenciales.

Se ejecutó un proceso El análisis de datos del host - Media

con un nombre en %{Compromised Host}
sospechoso. [Se ha detectó un proceso cuyo
detectado varias veces]. nombre es sospechoso, por
ejemplo, porque
corresponde a una
herramienta conocida de los
atacantes o tiene un
nombre similar al que
usarían los atacantes para
las herramientas a fin de
que no se puedan detectar
a simple vista. Este proceso
podría indicar una actividad
legítima o que una de sus
máquinas se ha puesto en
peligro. Este
comportamiento se ha
detectado [x] veces en la
actualidad en las siguientes
máquinas: [nombres de las
máquinas].
 TÁ C T IC A S M IT RE
A L ERTA DESC RIP C IÓ N ( M Á S IN F O RM A C IÓ N ) SEVERIT Y

Se detectó un nombre El análisis de datos del host - Media

de proceso sospechoso. en %{Compromised Host}
detectó un proceso cuyo
nombre es sospechoso, por
ejemplo, porque
corresponde a una
herramienta conocida de los
atacantes o tiene un
nombre similar al que
usarían los atacantes para
las herramientas a fin de
que no se puedan detectar
a simple vista. Este proceso
podría indicar una actividad
legítima o que una de sus
máquinas se ha puesto en
peligro.

Ráfaga de terminación El análisis de datos del host - Bajo

de procesos sospechosa indica que se produjo una
ráfaga de terminación de
procesos sospechosa en %
{Machine Name}. En
concreto, se eliminaron %
{NumberOfCommands}
procesos entre %{Begin} y
%{Ending}.

Se ejecutó un proceso Se observó que la ejecución - Alto

del sistema sospechoso. del proceso del sistema %
{process name} en un
contexto anómalo. A
menudo, el malware usa
este nombre de proceso
para enmascarar su
actividad malintencionada.

Se detectó un proceso El análisis de datos del host - Media

con nombre en %{Compromised Host}
sospechoso. detectó un proceso cuyo
nombre es muy similar a un
proceso de ejecución muy
común (%{Similar To Process
Name}). Aunque este
proceso podría ser benigno,
se sabe que los atacantes a
veces asignan nombres a
sus herramientas
malintencionadas para que
se parezcan a otros del
proceso legítimo y no se
puedan detectar a simple
vista.
 TÁ C T IC A S M IT RE
A L ERTA DESC RIP C IÓ N ( M Á S IN F O RM A C IÓ N ) SEVERIT Y

Se detectó una El análisis de datos del host - Alto

ejecución de procesos en %{Compromised Host}
poco frecuente. detectó la ejecución de un
proceso por parte del
usuario %{User Name} que
es poco habitual. Las
cuentas como %{User
Name} tienden a realizar un
conjunto limitado de
operaciones, por lo que se
determinó que esta
ejecución no es comuna y
puede ser sospechosa.

Se detectó la asignación Se ha detectado la creación - Alto

de un objeto HTTP de de un archivo VBScript
VBScript. mediante el símbolo del
sistema. El siguiente script
contiene el comando de
asignación de objetos HTTP.
Esta acción se puede usar
para descargar archivos
malintencionados.

Se detectó un método El análisis de datos del host - Bajo

de persistencia del ha detectado un intento de
Registro de Windows. conservar un archivo
ejecutable en el registro de
Windows. El malware suele
utilizar esta técnica para
sobrevivir a un reinicio.

Alertas de máquinas Linux

Más detalles y notas

TÁ C T IC A S M IT RE
A L ERTA ( T IP O DE A L ERTA ) DESC RIP C IÓ N ( M Á S IN F O RM A C IÓ N ) SEVERIT Y
 TÁ C T IC A S M IT RE
A L ERTA ( T IP O DE A L ERTA ) DESC RIP C IÓ N ( M Á S IN F O RM A C IÓ N ) SEVERIT Y

Se detectó un acceso al El análisis de datos del host - Media

archivo htaccess. en %{Compromised Host}
detectó una posible
manipulación de un archivo
htaccess. Htaccess es un
archivo de configuración
eficaz que le permite hacer
varios cambios en un
servidor web que ejecuta el
software web Apache,
incluida la funcionalidad
básica de
redireccionamiento, o
funciones más avanzadas,
como la protección de
contraseña básica. A
menudo, los atacantes
modificarán archivos
htaccess en máquinas que
han puesto en peligro a fin
de lograr persistencia.

Se ha borrado un El análisis de datos del host - Media

archivo del historial. indica que se ha borrado el
archivo de registro del
historial de comandos. Los
atacantes pueden hacer
esto para cubrir sus
seguimientos. El usuario "%
{user name}" realizó la
operación.

Se detectó un intento El análisis de datos del host - Bajo

de detener el ser vicio en %{Compromised Host}
apt-daily-upgrade.timer. detectó un intento de
[Se ha detectado varias detener el servicio apt-
veces]. daily-upgrade.timer. En
algunos ataques recientes,
se ha observado que los
atacantes detienen este
servicio para descargar
archivos malintencionados y
conceder privilegios de
ejecución para su ataque.
Este comportamiento se ha
detectado [x] veces en la
actualidad en las siguientes
máquinas: [nombres de las
máquinas].
 TÁ C T IC A S M IT RE
A L ERTA ( T IP O DE A L ERTA ) DESC RIP C IÓ N ( M Á S IN F O RM A C IÓ N ) SEVERIT Y

Se detectó un intento El análisis de datos del host - Bajo

de detener el ser vicio en %{Compromised Host}
apt-daily-upgrade.timer. detectó un intento de
detener el servicio apt-
daily-upgrade.timer. En
algunos ataques recientes,
se ha observado que los
atacantes detienen este
servicio para descargar
archivos malintencionados y
conceder privilegios de
ejecución para su ataque.

Se detectó un El análisis de datos del host - Media

compor tamiento similar en %{Compromised Host}
a los bots comunes de detectó la ejecución de un
Linux. [Se ha detectado proceso que normalmente
varias veces]. se asocia con las redes de
robots (botnets) comunes
de Linux. Este
comportamiento se ha
detectado [x] veces en la
actualidad en las siguientes
máquinas: [nombres de las
máquinas].

Se detectó un El análisis de datos del host - Media

compor tamiento similar en %{Compromised Host}
a los bots comunes de detectó la ejecución de un
Linux. proceso que normalmente
se asocia con las redes de
robots (botnets) comunes
de Linux.

Se detectó un El análisis de datos del host - Media

compor tamiento similar en %{Compromised Host}
al del ransomware detectó la ejecución de los
Fair ware. [Se ha comandos rm -rf aplicados
detectado varias veces]. a ubicaciones sospechosas.
Dado que rm -rf elimina
archivos de manera
recursiva, normalmente se
usa en carpetas discretas.
En este caso, se usa en una
ubicación que podría quitar
una gran cantidad de datos.
El ransomware Fairware es
conocido por ejecutar
comandos de rm -rf en esta
carpeta. Este
comportamiento se ha
detectado [x] veces en la
actualidad en las siguientes
máquinas: [nombres de las
máquinas].
 TÁ C T IC A S M IT RE
A L ERTA ( T IP O DE A L ERTA ) DESC RIP C IÓ N ( M Á S IN F O RM A C IÓ N ) SEVERIT Y

Se detectó un El análisis de datos del host - Media

compor tamiento similar en %{Compromised Host}
al de ransomware detectó la ejecución de los
Fair ware. comandos rm -rf aplicados
a ubicaciones sospechosas.
Dado que rm -rf elimina
archivos de manera
recursiva, normalmente se
usa en carpetas discretas.
En este caso, se usa en una
ubicación que podría quitar
una gran cantidad de datos.
El ransomware Fairware es
conocido por ejecutar
comandos de rm -rf en esta
carpeta.

Se detectó un El análisis de datos del host - Alto

compor tamiento similar en %{Compromised Host}
al del ransomware. [Se detectó la ejecución de
ha detectado varias archivos que parecen
veces]. ransomware conocido y que
pueden impedir que los
usuarios accedan a los
archivos del sistema o
personales, y exigen el pago
de un rescate para
recuperar el acceso. Este
comportamiento se ha
detectado [x] veces en la
actualidad en las siguientes
máquinas: [nombres de las
máquinas].

Se ha detectado un Los registros de la máquina - Alto

contenedor con la indican que se ha ejecutado
imagen de un extractor un contenedor de Docker
que ejecuta una imagen
asociada a una minería de
moneda digital. Este
comportamiento puede
indicar que posiblemente se
está realizando un uso
fraudulento de los recursos.
 TÁ C T IC A S M IT RE
A L ERTA ( T IP O DE A L ERTA ) DESC RIP C IÓ N ( M Á S IN F O RM A C IÓ N ) SEVERIT Y

Se detectó una El análisis de datos del host - Media

combinación anómala en %{Compromised Host}
de caracteres en detectó una línea de
mayúsculas y comandos con una
minúsculas en la línea combinación anómala de
de comandos. caracteres en mayúsculas y
minúsculas. Aunque
posiblemente este tipo de
patrón es benigno, también
es típico de los atacantes
que intentan ocultarse de la
regla basada en hash o que
distingue mayúsculas de
minúsculas al realizar tareas
administrativas en un host
en peligro.

Se detectó una descarga El análisis de datos del host - Media

de archivos desde un ha detectado la descarga de
origen malintencionado un archivo desde un origen
conocido. [Se ha de malware conocido en %
detectado varias veces]. {Compromised Host}. Este
comportamiento se ha
detectado más de [x] veces
en la actualidad en las
siguientes máquinas:
[nombres de las máquinas].

Se detectó una descarga El análisis de datos del host - Media

de archivos desde un ha detectado la descarga de
origen malintencionado un archivo desde un origen
conocido. de malware conocido en %
{Compromised Host}.

Se detectó un intento El análisis de datos del host - Media

de persistencia. [Se ha en %{Compromised Host}
detectado varias veces]. detectó la instalación de un
script de inicio para el modo
de usuario único. No es en
absoluto habitual que los
procesos legítimos tengan
que ejecutarse de ese
modo, por lo que este
síntoma podría indicar que
un atacante ha agregado
un proceso
malintencionado a cada
nivel de ejecución para
garantizar la persistencia.
Este comportamiento se ha
detectado [x] veces en la
actualidad en las siguientes
máquinas: [nombres de las
máquinas].
 TÁ C T IC A S M IT RE
A L ERTA ( T IP O DE A L ERTA ) DESC RIP C IÓ N ( M Á S IN F O RM A C IÓ N ) SEVERIT Y

Se ha detectado un El análisis de datos del host Persistencia Media

intento de persistencia ha detectado que se ha
instalado un script de inicio
para el modo de usuario
único.
Como no es habitual que
los procesos legítimos se
ejecuten de ese modo, este
síntoma podría indicar que
un atacante ha agregado
un proceso
malintencionado a cada
nivel de ejecución para
garantizar la persistencia.

Se detectó una descarga El análisis de datos del host - Bajo

de archivos sospechosa. ha detectado una descarga
[Se ha detectado varias sospechosa de un archivo
veces]. remoto en el host %
{Compromised Host}. Este
comportamiento se ha
detectado 10 veces en la
actualidad en las siguientes
máquinas: [nombre de la
máquina].

Se detectó una descarga El análisis de datos del host - Bajo

de archivos sospechosa. ha detectado una descarga
sospechosa de un archivo
remoto en el host %
{Compromised Host}.

Se detectó una El análisis del tráfico de red - Bajo

actividad de red desde el host %
sospechosa. {Compromised Host}
detectó una actividad de
red sospechosa. Aunque
posiblemente este tráfico es
benigno, suele utilizarlo un
atacante para comunicarse
con servidores
malintencionados para la
descarga de herramientas,
el comando y control y la
filtración de datos. La
actividad de atacante
relacionada típica incluye la
copia de herramientas de
administración remota en
un host en peligro y la
extracción de los datos del
usuario a partir de dicha
copia.
 TÁ C T IC A S M IT RE
A L ERTA ( T IP O DE A L ERTA ) DESC RIP C IÓ N ( M Á S IN F O RM A C IÓ N ) SEVERIT Y

Se detectó un uso El análisis de datos del host - Media

sospechoso del ha detectado un uso
comando useradd. [Se sospechoso del comando
ha detectado varias useradd en el host %
veces]. {Compromised Host}. Este
comportamiento se ha
detectado [x] veces en la
actualidad en las siguientes
máquinas: [nombres de las
máquinas].

Se detectó un uso El análisis de datos del host - Media

sospechoso del ha detectado un uso
comando useradd. sospechoso del comando
useradd en el host %
{Compromised Host}.

Se detectó un El análisis de datos del host - Alto

compor tamiento en %{Compromised Host}
relacionado con la detectó la ejecución de un
minería de datos de proceso o comando que
moneda digital. normalmente se asocia con
la minería de moneda
digital.

Deshabilitación de los El sistema de auditoría de - Bajo

registros de auditd [se Linux proporciona una
ha detectado varias manera de hacer un
veces]. seguimiento de información
relacionada con la
seguridad en el sistema.
Registra tanta información
como sea posible sobre los
eventos que se producen
en el sistema. Deshabilitar
los registros de auditd
puede interrumpir la
detección de infracciones de
las directivas de seguridad
usadas en el sistema. Este
comportamiento se ha
detectado [x] veces en la
actualidad en las siguientes
máquinas: [nombres de las
máquinas].

Se encontró un archivo El análisis de datos del host - Alto

ejecutable que se detectó un archivo
ejecuta desde una ejecutable en el host %
ubicación sospechosa. {Compromised Host} que se
está ejecutando desde una
ubicación comuna de
archivos sospechosos
conocidos. Este archivo
ejecutable podría indicar
una actividad legítima o que
un host se encuentra en
peligro.
 TÁ C T IC A S M IT RE
A L ERTA ( T IP O DE A L ERTA ) DESC RIP C IÓ N ( M Á S IN F O RM A C IÓ N ) SEVERIT Y

Aprovechamiento de la El análisis de datos del host - Media

vulnerabilidad de Xorg en %{Compromised Host}
[se ha detectado varias detectó el usuario de Xorg
veces]. con argumentos
sospechosos. Los atacantes
pueden utilizar esta técnica
en los intentos de
escalación de privilegios.
Este comportamiento se ha
detectado [x] veces en la
actualidad en las siguientes
máquinas: [nombres de las
máquinas].

Se ha detectado un Los registros de la máquina - Media

demonio de Docker indican que el demonio de
expuesto Docker (dockerd) expone un
socket TCP. De manera
predeterminada, la
configuración de Docker no
usa cifrado ni autenticación
cuando un socket TCP está
habilitado. Permite que
cualquiera con acceso al
puerto pertinente pueda
obtener acceso total al
demonio de Docker.

Error en el ataque por Se detectaron ataques por - Media

fuerza bruta de SSH fuerza bruta con errores de
los siguientes atacantes: %
{Attackers}. Los atacantes
intentaban acceder al host
con los siguientes nombres
de usuario: %{Accounts
used on failed sign in to
host attempts}.

Se detectó un La memoria del proceso Ejecución Media

compor tamiento de especificado a continuación
ataque sin archivos contiene comportamientos
(AppServices_FilelessAttackB utilizados habitualmente
ehaviorDetection) por ataques sin archivos.
Los comportamientos
específicos incluyen: {list of
observed behaviors}
 TÁ C T IC A S M IT RE
A L ERTA ( T IP O DE A L ERTA ) DESC RIP C IÓ N ( M Á S IN F O RM A C IÓ N ) SEVERIT Y

Se detectó una técnica La memoria del proceso Ejecución Alto

de ataque sin archivos especificado a continuación
(VM_FilelessAttackTechniqu contiene una evidencia de
e.Linux) una técnica de ataque sin
archivos: Los atacantes
usan los ataques sin
archivos para ejecutar
código y evitar ser
detectados por el software
de seguridad.
Los comportamientos
específicos incluyen: {list of
observed behaviors}

Se ha detectado un kit La memoria del proceso DefenseEvasion, ejecución Alto

de herramientas de especificado a continuación
ataque sin archivos contiene un kit de
(VM_FilelessAttackToolkit.Li herramientas de ataque sin
nux) archivos: {ToolKitName}. Los
kits de herramientas de
ataque sin archivos no
tienen presencia en el
sistema de archivos, lo que
dificulta la detección
mediante el software
antivirus tradicional.
Los comportamientos
específicos incluyen: {list of
observed behaviors}

Se detectó una El análisis de datos del host - Informativo

ejecución de archivos indica que %{user name}
oculta. ejecutó un archivo oculto.
Esta actividad podría indicar
una actividad legítima o que
un host se encuentra en
peligro.

Se detectaron El análisis de datos del host - Media

indicadores asociados al en %{Compromised Host}
kit de herramientas de detectó nombres de archivo
DDOS. [Se ha detectado que forman parte de un kit
varias veces]. de herramientas asociado
con malware capaz de
iniciar ataques DDoS, de
abrir puertos y servicios y
de tener un control total
sobre el sistema infectado.
También se podría tratar de
una actividad legítima. Este
comportamiento se ha
detectado [x] veces en la
actualidad en las siguientes
máquinas: [nombres de las
máquinas].
 TÁ C T IC A S M IT RE
A L ERTA ( T IP O DE A L ERTA ) DESC RIP C IÓ N ( M Á S IN F O RM A C IÓ N ) SEVERIT Y

Se detectaron El análisis de datos del host - Media

indicadores asociados al en %{Compromised Host}
kit de herramientas de detectó nombres de archivo
DDOS. que forman parte de un kit
de herramientas asociado
con malware capaz de
iniciar ataques DDoS, de
abrir puertos y servicios y
de tener un control total
sobre el sistema infectado.
También se podría tratar de
una actividad legítima.

Se detectó un El análisis de datos del host - Media

reconocimiento de host en %{Compromised Host}
local. [Se ha detectado detectó la ejecución de un
varias veces]. comando que normalmente
se asocia con el
reconocimiento de bots
comunes de Linux. Este
comportamiento se ha
detectado [x] veces en la
actualidad en las siguientes
máquinas: [nombres de las
máquinas].

Se detectó un El análisis de datos del host - Media

reconocimiento de host en %{Compromised Host}
local. detectó la ejecución de un
comando que normalmente
se asocia con el
reconocimiento de bots
comunes de Linux.

Se detectó una El análisis de datos del host - Media

manipulación del en %{Compromised Host}
firewall del host. [Se ha detectó una posible
detectado varias veces]. manipulación del firewall en
el host. A menudo, los
atacantes lo deshabilitan
para filtrar datos. Este
comportamiento se ha
detectado [x] veces en la
actualidad en las siguientes
máquinas: [nombres de las
máquinas].

Se detectó una El análisis de datos del host - Media

manipulación del en %{Compromised Host}
firewall del host. detectó una posible
manipulación del firewall en
el host. A menudo, los
atacantes lo deshabilitan
para filtrar datos.
 TÁ C T IC A S M IT RE
A L ERTA ( T IP O DE A L ERTA ) DESC RIP C IÓ N ( M Á S IN F O RM A C IÓ N ) SEVERIT Y

Se ha detectado un Los registros de la máquina All Media

agente de MITRE indican que el proceso
Caldera sospechoso "%{Suspicious
(VM_MitreCalderaTools) Process}" se estaba
ejecutando en el host %
{Compromised Host}. Esto a
menudo se asocia con el
agente MITRE 54ndc47,
que podría usarse de forma
malintencionada para atacar
a otras máquinas de alguna
forma.

Se agregó una nueva Se agregó una nueva clave - Bajo

clave SSH. [Se ha SSH al archivo de claves
detectado varias veces]. autorizado. Este
comportamiento se ha
detectado [x] veces en la
actualidad en las siguientes
máquinas: [nombres de las
máquinas].

Se agregó una nueva Se agregó una nueva clave - Bajo

clave SSH. SSH al archivo de claves
autorizado.

Se detectó una posible Los registros de la máquina - Media

herramienta de ataque. indican que el proceso
[Se ha detectado varias sospechoso "%{Suspicious
veces]. Process}" se estaba
ejecutando en el host %
{Compromised Host}. A
menudo, esta herramienta
se asocia a usuarios
malintencionados que
atacan otras máquinas de
alguna manera. Este
comportamiento se ha
detectado [x] veces en la
actualidad en las siguientes
máquinas: [nombres de las
máquinas].

Se detectó una posible Los registros de la máquina - Media

herramienta de ataque. indican que el proceso
sospechoso "%{Suspicious
Process}" se estaba
ejecutando en el host %
{Compromised Host}. A
menudo, esta herramienta
se asocia a usuarios
malintencionados que
atacan otras máquinas de
alguna manera.
 TÁ C T IC A S M IT RE
A L ERTA ( T IP O DE A L ERTA ) DESC RIP C IÓ N ( M Á S IN F O RM A C IÓ N ) SEVERIT Y

Se detectó una posible El análisis de datos del host - Media

puer ta trasera. [Se ha ha detectado la descarga de
detectado varias veces]. un archivo sospechoso y su
posterior ejecución en el
host %{Compromised Host}
de su suscripción.
Anteriormente, esta
actividad se ha asociado
con la instalación de una
puerta trasera. Este
comportamiento se ha
detectado [x] veces en la
actualidad en las siguientes
máquinas: [nombres de las
máquinas].

Se detectó una posible Los registros de la máquina - Media

herramienta de acceso a indican que se estaba
credenciales. [Se ha ejecutando una posible
detectado varias veces]. herramienta de acceso a
credenciales conocida en el
host %{Compromised Host}
que inició el proceso "%
{Suspicious Process}". A
menudo, esta herramienta
está asociada a intentos de
los atacantes para acceder a
las credenciales. Este
comportamiento se ha
detectado [x] veces en la
actualidad en las siguientes
máquinas: [nombres de las
máquinas].

Se detectó una posible Los registros de la máquina - Media

herramienta de acceso a indican que se estaba
credenciales. ejecutando una posible
herramienta de acceso a
credenciales conocida en el
host %{Compromised Host}
que inició el proceso "%
{Suspicious Process}". A
menudo, esta herramienta
está asociada a intentos de
los atacantes para acceder a
las credenciales.

Posible El análisis de datos del host - Media

aprovechamiento de en %{Compromised Host}
Hadoop Yarn detectó el posible
aprovechamiento del
servicio Hadoop Yarn.

Se ha detectado una El análisis de datos de host Explotación Media

posible vulnerabilidad en %{Compromised Host}
de seguridad del ha detectado una ejecución
ser vidor de correo inusual en la cuenta del
(VM_MailserverExploitation servidor de correo
)
 TÁ C T IC A S M IT RE
A L ERTA ( T IP O DE A L ERTA ) DESC RIP C IÓ N ( M Á S IN F O RM A C IÓ N ) SEVERIT Y

Se detectó una posible El análisis de datos del host - Media

actividad de en %{Compromised Host}
manipulación de detectó una posible
registros. [Se ha eliminación de archivos que
detectado varias veces]. realizan un seguimiento de
la actividad del usuario
durante el transcurso de su
operación. A menudo, los
atacantes intentan evitar
ser detectados y eliminan
estos archivos de registro a
fin de no dejar ningún
rastro de las actividades
malintencionadas. Este
comportamiento se ha
detectado [x] veces en la
actualidad en las siguientes
máquinas: [nombres de las
máquinas].

Se detectó una posible El análisis de datos del host - Media

actividad de en %{Compromised Host}
manipulación de detectó una posible
registros. eliminación de archivos que
realizan un seguimiento de
la actividad del usuario
durante el transcurso de su
operación. A menudo, los
atacantes intentan evitar
ser detectados y eliminan
estos archivos de registro a
fin de no dejar ningún
rastro de las actividades
malintencionadas.

Se detectó una posible Un análisis de datos del - Media

pérdida de datos. [Se ha host en %{Compromised
detectado varias veces]. Host} detectó una posible
condición de salida de
datos. A menudo, los
atacantes extraen datos de
las máquinas que han
puesto en peligro. Este
comportamiento se ha
detectado [x] veces en la
actualidad en las siguientes
máquinas: [nombres de las
máquinas].

Se detectó una posible Un análisis de datos del - Media

pérdida de datos. host en %{Compromised
Host} detectó una posible
condición de salida de
datos. A menudo, los
atacantes extraen datos de
las máquinas que han
puesto en peligro.
 TÁ C T IC A S M IT RE
A L ERTA ( T IP O DE A L ERTA ) DESC RIP C IÓ N ( M Á S IN F O RM A C IÓ N ) SEVERIT Y

Se detectó un posible El análisis de datos del host - Media

shell web en %{Compromised Host}
malintencionado. [Se ha detectó el uso de un posible
detectado varias veces]. shell web. A menudo, los
atacantes cargan un shell
web en una máquina que
han puesto en peligro para
obtener persistencia o para
realizar un mayor
aprovechamiento. Este
comportamiento se ha
detectado [x] veces en la
actualidad en las siguientes
máquinas: [nombres de las
máquinas].

Se detectó un posible El análisis de datos del host - Media

shell web en %{Compromised Host}
malintencionado. detectó el uso de un posible
shell web. A menudo, los
atacantes cargan un shell
web en una máquina que
han puesto en peligro para
obtener persistencia o para
realizar un mayor
aprovechamiento.

Se detectó un posible El análisis de datos del host - Media

cambio de contraseña en %{Compromised Host}
mediante el método de detectó un cambio de
cifrado. [Se ha contraseña mediante el
detectado varias veces]. método de cifrado. Los
atacantes pueden realizar
este cambio para seguir
accediendo y obteniendo
persistencia después de la
vulneración. Este
comportamiento se ha
detectado [x] veces en la
actualidad en las siguientes
máquinas: [nombres de las
máquinas].

Posible invalidación de El análisis de datos del host - Media

archivos comunes [se ha ha detectado que se
detectado varias veces]. sobrescriben archivos
ejecutables comunes en el
host %{Compromised Host}.
Los atacantes sobrescribirán
los archivos comunes a fin
de ofuscar sus acciones o
por motivos de persistencia.
Este comportamiento se ha
detectado [x] veces en la
actualidad en las siguientes
máquinas: [nombres de las
máquinas].
 TÁ C T IC A S M IT RE
A L ERTA ( T IP O DE A L ERTA ) DESC RIP C IÓ N ( M Á S IN F O RM A C IÓ N ) SEVERIT Y

Posible invalidación de El análisis de datos del host - Media

archivos comunes ha detectado que se
sobrescriben archivos
ejecutables comunes en el
host %{Compromised Host}.
Los atacantes sobrescribirán
los archivos comunes a fin
de ofuscar sus acciones o
por motivos de persistencia.

Posible reenvío de El análisis de datos del host - Media

puer tos a la dirección IP en %{Compromised Host}
externa [se ha detectó el inicio del reenvío
detectado varias veces]. de puertos a una dirección
IP externa. Este
comportamiento se ha
detectado [x] veces en la
actualidad en las siguientes
máquinas: [nombres de las
máquinas].

Posible reenvío de El análisis de datos del host Exfiltración/CommandAndC Media

puer tos a la dirección IP detectó el inicio del reenvío ontrol
externa de puertos a una dirección
IP externa.

Se detectó un posible Un análisis de los datos del - Media

shell inverso. [Se ha host en %{Compromised
detectado varias veces]. Host} ha detectado el uso
de un shell inverso posible.
Se usan para hacer que una
máquina en peligro
devuelva una llamada a una
máquina de un atacante.
Este comportamiento se ha
detectado [x] veces en la
actualidad en las siguientes
máquinas: [nombres de las
máquinas].

Se detectó un posible Un análisis de los datos del - Media

shell inverso. host en %{Compromised
Host} ha detectado el uso
de un shell inverso posible.
Se usan para hacer que una
máquina en peligro
devuelva una llamada a una
máquina de un atacante.

Se ha ejecutado un Los registros de la máquina - Bajo

comando con privilegios indican que se ha ejecutado
en el contenedor un comando con privilegios
en un contenedor de
Docker con privilegios. Un
comando con privilegios ha
extendido sus privilegios a
la máquina host.
 TÁ C T IC A S M IT RE
A L ERTA ( T IP O DE A L ERTA ) DESC RIP C IÓ N ( M Á S IN F O RM A C IÓ N ) SEVERIT Y

Se ha detectado un Los registros de la máquina - Bajo

contenedor con indican que se está
privilegios ejecutando un contenedor
de Docker con privilegios.
Un contenedor con
privilegios tiene acceso total
a los recursos del host. Si se
pone en peligro, un
atacante puede usar el
contenedor con privilegios
para acceder a la máquina
host.

Se detectó un proceso El análisis de datos del host - Media

asociado con la minería en %{Compromised Host}
de moneda digital. [Se detectó la ejecución de un
ha detectado varias proceso que normalmente
veces]. se asocia con la minería de
moneda digital. Este
comportamiento se ha
detectado más de
100 veces en la actualidad
en las siguientes máquinas:
[nombre de la máquina].

Se ha detectado un El análisis de datos del host Explotación/Ejecución Media

proceso relacionado con detectó la ejecución de un
la minería de datos de proceso que normalmente
moneda digital se asocia con la minería de
datos de moneda digital.

Se ha obser vado un Se ha accedido a un archivo -

proceso accediendo al de claves autorizadas SSH
archivo de claves de una manera similar a
autorizadas SSH de campañas de malware
manera inusual conocidas. Este acceso
puede indicar que un
atacante está intentando
conseguir acceso
persistente a una máquina.

Se detectó una El análisis de datos del host - Bajo

aplicación de descarga en %{Compromised Host}
codificada con Python. detectó la ejecución de
[Se ha detectado varias Python codificado que
veces]. descarga y ejecuta código
desde una ubicación
remota. Esto puede indicar
que se trata de una
actividad malintencionada.
Este comportamiento se ha
detectado [x] veces en la
actualidad en las siguientes
máquinas: [nombres de las
máquinas].
 TÁ C T IC A S M IT RE
A L ERTA ( T IP O DE A L ERTA ) DESC RIP C IÓ N ( M Á S IN F O RM A C IÓ N ) SEVERIT Y

Captura de pantalla El análisis de datos del host - Bajo

tomada en el host [se en %{Compromised Host}
ha detectado varias detectó el usuario de una
veces]. herramienta de captura de
pantalla. Los atacantes
pueden utilizar estas
herramientas para acceder a
los datos privados. Este
comportamiento se ha
detectado [x] veces en la
actualidad en las siguientes
máquinas: [nombres de las
máquinas].

Se detectó un error de El análisis de datos del host - Media

coincidencia con la en %{Compromised Host}
extensión del script. [Se ha detectado un error de
ha detectado varias coincidencia entre el
veces]. intérprete del script y la
extensión del archivo de
script proporcionado como
entrada. Con frecuencia
esto se ha asociado con
ejecuciones de scripts de
atacantes. Este
comportamiento se ha
detectado [x] veces en la
actualidad en las siguientes
máquinas: [nombres de las
máquinas].

Se detectó un error de El análisis de datos del host - Media

coincidencia con la en %{Compromised Host}
extensión del script. ha detectado un error de
coincidencia entre el
intérprete del script y la
extensión del archivo de
script proporcionado como
entrada. Con frecuencia
esto se ha asociado con
ejecuciones de scripts de
atacantes.

Se detectó shellcode. El análisis de datos del host - Media

[Se ha detectado varias en %{Compromised Host}
veces]. detectó que se generó
shellcode desde la línea de
comandos. Este proceso
podría indicar una actividad
legítima o que una de sus
máquinas se ha puesto en
peligro. Este
comportamiento se ha
detectado [x] veces en la
actualidad en las siguientes
máquinas: [nombres de las
máquinas].
 TÁ C T IC A S M IT RE
A L ERTA ( T IP O DE A L ERTA ) DESC RIP C IÓ N ( M Á S IN F O RM A C IÓ N ) SEVERIT Y

Se ejecuta un ser vidor Los registros de la máquina - Media

SSH dentro de un indican que se está
contenedor ejecutando un servidor SSH
en un contenedor de
Docker. Aunque este
comportamiento puede ser
intencionado, con
frecuencia indica que un
contenedor está mal
configurado o que es
vulnerable.

Ataque por fuerza bruta El análisis de datos del host - Alto

de SSH correcto ha detectado un ataque por
fuerza bruta correcto. Se
detectó que la IP %
{Attacker source IP}
realizaba varios intentos de
inicio de sesión. Se
realizaron inicios de sesión
correctos desde esa IP con
los siguientes usuarios: %
{Accounts used to
successfully sign in to host}.
Esto significa que es posible
que el host se encuentre en
peligro y que lo controle un
actor malintencionado.

Se detectó la creación El análisis de datos del host - Media

de una cuenta en %{Compromised Host}
sospechosa. detectó la creación o el uso
de una cuenta local %
{Suspicious account name}.
El nombre de esta cuenta se
parece mucho al nombre de
un grupo o una cuenta de
Windows estándar "%
{Similar To Account Name}".
Esto significa que es posible
que se trate de una cuenta
no autorizada creada por
un atacante, que la
denomina de esta forma a
fin de evitar que la detecte
un administrador humano.
 TÁ C T IC A S M IT RE
A L ERTA ( T IP O DE A L ERTA ) DESC RIP C IÓ N ( M Á S IN F O RM A C IÓ N ) SEVERIT Y

Se detectó una El análisis de datos del host - Media

compilación sospechosa. en %{Compromised Host}
[Se ha detectado varias detectó una compilación
veces]. sospechosa. A menudo, los
atacantes compilarán
vulnerabilidades de
seguridad en un equipo que
han puesto en peligro a fin
de elevar los privilegios.
Este comportamiento se ha
detectado [x] veces en la
actualidad en las siguientes
máquinas: [nombres de las
máquinas].

Se detectó una El análisis de datos del host - Media

compilación sospechosa. en %{Compromised Host}
detectó una compilación
sospechosa. A menudo, los
atacantes compilarán
vulnerabilidades de
seguridad en un equipo que
han puesto en peligro a fin
de elevar los privilegios.

Se detectó un módulo El análisis de datos del host - Media

de kernel sospechoso. en %{Compromised Host}
[Se ha detectado varias detectó la carga de un
veces]. archivo objeto compartido
como un módulo del kernel.
Podría tratarse de una
actividad legítima o de una
señal de que una de las
máquinas se ha puesto en
peligro. Este
comportamiento se ha
detectado [x] veces en la
actualidad en las siguientes
máquinas: [nombres de las
máquinas].

Acceso a contraseñas El análisis de datos del host - Informativo

sospechoso [se ha ha detectado un acceso
detectado varias veces]. sospechoso a las
contraseñas de usuario
cifradas en el host %
{Compromised Host}. Este
comportamiento se ha
detectado [x] veces en la
actualidad en las siguientes
máquinas: [nombres de las
máquinas].

Acceso a contraseñas El análisis de datos del host - Informativo

sospechoso ha detectado un acceso
sospechoso a las
contraseñas de usuario
cifradas en el host %
{Compromised Host}.
 TÁ C T IC A S M IT RE
A L ERTA ( T IP O DE A L ERTA ) DESC RIP C IÓ N ( M Á S IN F O RM A C IÓ N ) SEVERIT Y

Ejecución de PHP Los registros de la máquina - Media

sospechoso detectada indican que se está
ejecutando un proceso PHP
sospechoso. La acción
incluye un intento de
ejecutar comandos del
sistema operativo o código
PHP desde la línea de
comandos mediante el
proceso PHP. Aunque este
comportamiento puede ser
legítimo, en aplicaciones
web también se observa en
actividades
malintencionadas, como
intentos de infectar sitios
web con shells web.

Solicitud sospechosa a Los registros de la máquina - Media

la API de Kubernetes indican que se ha realizado
una solicitud sospechosa a
la API de Kubernetes. La
solicitud se envió desde un
nodo Kubernetes,
posiblemente desde uno de
los contenedores que se
ejecutan en el nodo.
Aunque este
comportamiento puede ser
intencionado, podría indicar
que el nodo ejecuta un
contenedor en peligro.

Alertas de Azure App Service

Más detalles y notas

TÁ C T IC A S M IT RE
A L ERTA ( T IP O DE A L ERTA ) DESC RIP C IÓ N ( M Á S IN F O RM A C IÓ N ) SEVERIT Y

Intento de ejecución de El análisis de procesos de - Media

comandos de Linux en App Service ha detectado
una instancia de App un intento de ejecutar un
Ser vice de Windows comando de Linux en una
(AppServices_LinuxComman instancia de App Service de
dOnWindows) Windows. La aplicación web
estaba ejecutando esta
acción. Este
comportamiento se ve a
menudo en campañas que
aprovechan una
vulnerabilidad en una
aplicación web común
(se aplica a: App Service en
Windows)
 TÁ C T IC A S M IT RE
A L ERTA ( T IP O DE A L ERTA ) DESC RIP C IÓ N ( M Á S IN F O RM A C IÓ N ) SEVERIT Y

Se ha encontrado en El registro de FTP de Azure InitialAccess Media

Información sobre App Service indica una
amenazas una dirección conexión desde una
IP que se ha conectado dirección de origen que se
a la interfaz de FTP de ha encontrado en la fuente
Azure App Ser vice de inteligencia sobre
(AppServices_IncomingTiClie amenazas. Durante esta
ntIpFtp) conexión, un usuario ha
accedido a las páginas que
aquí se indican.
(se aplica a: App Service en
Windows y App Service en
Linux)

Intento de ejecución de El análisis de procesos de - Media

comando con privilegios App Service ha detectado
elevados detectado un intento de ejecutar un
(AppServices_HighPrivilegeC comando que requiere
ommand) privilegios elevados.
El comando se ejecutó en el
contexto de la aplicación
web. Aunque este
comportamiento puede ser
legítimo, en aplicaciones
web también se observa en
actividades
malintencionadas.
(se aplica a: App Service en
Windows)

Aler ta de prueba de Esta es una alerta de - Alto

Azure Security Center prueba generada por Azure
para App Ser vice (no Security Center. No es
una amenaza) necesario realizar ninguna
(AppServices_EICAR) acción adicional.
(se aplica a: App Service en
Windows y App Service en
Linux)

Conexión a página web El registro de actividad de InitialAccess Media

desde una dirección IP Azure App Service indica
anómala detectada una conexión a una página
(AppServices_AnomalousPa web confidencial desde una
geAccess) dirección IP de origen que
no se había conectado a ella
antes. Esto podría indicar
que alguien está intentando
realizar un ataque por
fuerza bruta en las páginas
de administración de la
aplicación web. También
puede deberse a que un
usuario legítimo esté
utilizando una nueva
dirección IP.
(se aplica a: App Service en
Windows y App Service en
Linux)
 TÁ C T IC A S M IT RE
A L ERTA ( T IP O DE A L ERTA ) DESC RIP C IÓ N ( M Á S IN F O RM A C IÓ N ) SEVERIT Y

Registro de DNS Se ha detectado un registro - Alto

pendiente para un DNS que apunta a un
recurso de App Ser vice recurso de App Service que
detectado se ha eliminado
(AppServices_DanglingDom recientemente (también
ain) conocido como entrada
"DNS pendiente"). Esto
permite que puedan realizar
una adquisición de un
subdominio. Las adquisición
de subdominios permiten a
los actores
malintencionados redirigir el
tráfico destinado al dominio
de una organización a un
sitio que realiza una
actividad malintencionada.
(se aplica a: App Service en
Windows y App Service en
Linux)

Se detectó un archivo El análisis de datos del host DefenseEvasion, ejecución Alto

ejecutable codificado en en {Compromised host} ha
los datos de la línea de detectado un archivo
comandos. ejecutable con codificación
(AppServices_Base64Encode Base 64. Esto se ha
dExecutableInCommandLin asociado previamente con
eParams) atacantes que intentan
crear archivos ejecutables
sobre la marcha mediante
una secuencia de comandos
e intentan eludir los
sistemas de detección de
intrusiones al asegurarse de
que ningún comando
individual desencadena una
alerta. Esto podría indicar
una actividad legítima o que
un host se encuentra en
peligro.
(se aplica a: App Service en
Windows)

Se detectó una descarga El análisis de datos del host PrivilegeEscalation, Media

de archivos desde un ha detectado la descarga de Execution, Exfiltration,
origen malintencionado un archivo desde un origen CommandAndControl
conocido. de malware conocido en el
(AppServices_SuspectDownl host
oad) (se aplica a: App Service en
Linux)
 TÁ C T IC A S M IT RE
A L ERTA ( T IP O DE A L ERTA ) DESC RIP C IÓ N ( M Á S IN F O RM A C IÓ N ) SEVERIT Y

Se detectó un El análisis de datos del host Ejecución Alto

compor tamiento en Inn-Flow-WebJobs
relacionado con la detectó la ejecución de un
minería de datos de proceso o comando que
moneda digital. normalmente se asocia con
(AppServices_DigitalCurrenc la minería de moneda
yMining) digital.
(se aplica a: App Service en
Windows y App Service en
Linux)

Archivo ejecutable El análisis de datos del host DefenseEvasion, ejecución Alto

descodificado mediante en [Entidad en peligro]
cer tutil detectó que certutil.exe,
(AppServices_ExecutableDec una utilidad de
odedUsingCertutil) administración integrada, se
usaba para descodificar un
archivo ejecutable en lugar
de para su finalidad
estándar relacionada con la
manipulación de
certificados y datos de
certificados. Se sabe que los
atacantes abusan de la
funcionalidad de
herramientas de
administrador legítimas
para realizar acciones
malintencionadas; por
ejemplo, utilizan una
herramienta como
certutil.exe para descodificar
un ejecutable
malintencionado que se
ejecutará posteriormente.
(se aplica a: App Service en
Windows)

Se detectó un La memoria del proceso Ejecución Media

compor tamiento de especificado a continuación
ataque sin archivos contiene comportamientos
(AppServices_FilelessAttackB utilizados habitualmente
ehaviorDetection) por ataques sin archivos.
Los comportamientos
específicos incluyen: {list of
observed behaviors}
(se aplica a: App Service en
Windows y App Service en
Linux)
 TÁ C T IC A S M IT RE
A L ERTA ( T IP O DE A L ERTA ) DESC RIP C IÓ N ( M Á S IN F O RM A C IÓ N ) SEVERIT Y

Se detectó una técnica La memoria del proceso Ejecución Alto

de ataque sin archivos especificado a continuación
(AppServices_FilelessAttackT contiene una evidencia de
echniqueDetection) una técnica de ataque sin
archivos: Los atacantes
usan los ataques sin
archivos para ejecutar
código y evitar ser
detectados por el software
de seguridad.
Los comportamientos
específicos incluyen: {list of
observed behaviors}
(se aplica a: App Service en
Windows y App Service en
Linux)

Se ha detectado un kit La memoria del proceso DefenseEvasion, ejecución Alto

de herramientas de especificado a continuación
ataque sin archivos contiene un kit de
(AppServices_FilelessAttackT herramientas de ataque sin
oolkitDetection) archivos: {ToolKitName}. Los
kits de herramientas de
ataque sin archivos no
tienen presencia en el
sistema de archivos, lo que
dificulta la detección
mediante el software
antivirus tradicional.
Los comportamientos
específicos incluyen: {list of
observed behaviors}
(se aplica a: App Service en
Windows y App Service en
Linux)

Exploración de NMap El registro de actividad de PreAttack Media

detectada Azure App Service indica
(AppServices_Nmap) una posible actividad de
huella digital web en su
recurso de App Service.
La actividad sospechosa
detectada está asociada a
NMAP. Los atacantes
utilizan a menudo esta
herramienta para sondear la
aplicación web en busca de
vulnerabilidades.
(se aplica a: App Service en
Windows y App Service en
Linux)
 TÁ C T IC A S M IT RE
A L ERTA ( T IP O DE A L ERTA ) DESC RIP C IÓ N ( M Á S IN F O RM A C IÓ N ) SEVERIT Y

Contenido de Dirección URL que se ha Colección Alto

suplantación de usado para el ataque de
identidad hospedado en suplantación de identidad
Azure Web Apps detectado en el sitio web de
(AppServices_PhishingConte Azure App Services. Esta
nt) dirección URL formaba
parte de un ataque de
suplantación de identidad
enviado a clientes de
Microsoft 365.
Normalmente, el contenido
empuja a los visitantes a
introducir sus credenciales
corporativas o información
financiera en un sitio web
de aspecto legítimo.
(se aplica a: App Service en
Windows y App Service en
Linux)

Archivo PHP en la El registro de actividad de Ejecución Media

carpeta de carga Azure App Service indica
(AppServices_PhpInUploadF que se ha accedido a una
older) página PHP sospechosa
ubicada en la carpeta de
carga.
Este tipo de carpeta no
suele contener archivos
PHP. La existencia de este
tipo de archivo podría
indicar un ataque que
aprovecha vulnerabilidades
de carga de archivos
arbitrarias.
(se aplica a: App Service en
Windows y App Service en
Linux)

Se ha detectado la El análisis de datos del host DefenseEvasion, Media

posible descarga de ha detectado la descarga de CommandAndControl,
Cr yptocoinminer un archivo que Exploitation
(AppServices_CryptoCoinMi normalmente se asocia con
nerDownload) la minería de moneda
digital
(se aplica a: App Service en
Linux)
 TÁ C T IC A S M IT RE
A L ERTA ( T IP O DE A L ERTA ) DESC RIP C IÓ N ( M Á S IN F O RM A C IÓ N ) SEVERIT Y

Se ha detectado un Se ha detectado un registro - Bajo

potencial registro de DNS que apunta a un
DNS pendiente para un recurso de App Service que
recurso de App Ser vice se ha eliminado
detectado recientemente (también
(AppServices_PotentialDang conocido como entrada
lingDomain) "DNS pendiente"). Esto
permite que puedan realizar
una adquisición de un
subdominio. Las adquisición
de subdominios permiten a
los actores
malintencionados redirigir el
tráfico destinado al dominio
de una organización a un
sitio que realiza una
actividad malintencionada.
En este caso, se encontró
un registro de texto con el
identificador de
comprobación de dominio.
Estos registros de texto
impiden la adquisición de
subdominios, pero aun así,
se recomienda quitar el
dominio pendiente. Si deja
el registro de DNS
apuntando al subdominio,
correrá peligro si cualquiera
de su organización elimina
el archivo TXT o el registro
en el futuro.
(se aplica a: App Service en
Windows y App Service en
Linux)

Se detectó un posible Un análisis de los datos del Exfiltration, Exploitation Media

shell inverso. host ha detectado un
(AppServices_ReverseShell) posible shell inverso. Se
usan para hacer que una
máquina en peligro
devuelva una llamada a una
máquina de un atacante.
(se aplica a: App Service en
Linux)
 TÁ C T IC A S M IT RE
A L ERTA ( T IP O DE A L ERTA ) DESC RIP C IÓ N ( M Á S IN F O RM A C IÓ N ) SEVERIT Y

Se detectó una descarga El análisis de los procesos Ejecución Media

de datos sin procesar. de App Service detectó un
(AppServices_DownloadCod intento de descarga de
eFromWebsite) código desde sitios web de
datos sin procesar como
Pastebin. Esta acción la
ejecutó un proceso de PHP.
Este comportamiento está
asociado a intentos de
descargar shells web u
otros componentes
malintencionados en App
Service.
(se aplica a: App Service en
Windows)

Se detectó el El análisis de los procesos - Bajo

almacenamiento de la de App Service detectó la
salida de cURL en el ejecución de un comando
disco. de cURL en el que la salida
(AppServices_CurlToDisk) se guardó en el disco.
Aunque este
comportamiento puede ser
legítimo, en aplicaciones
web también se observa en
actividades
malintencionadas, como
intentos de infectar sitios
web con shells web.
(se aplica a: App Service en
Windows)

Se detectó un origen de El registro de actividad de - Bajo

referencia de la carpeta Azure App Service indica
de correo no deseado. que se produjo actividad
(AppServices_SpamReferrer) web que se identificó como
procedente de un sitio web
asociado a la actividad de
spam. Esto puede ocurrir si
el sitio web está en peligro
y se usa para una actividad
de spam.
(se aplica a: App Service en
Windows y App Service en
Linux)
 TÁ C T IC A S M IT RE
A L ERTA ( T IP O DE A L ERTA ) DESC RIP C IÓ N ( M Á S IN F O RM A C IÓ N ) SEVERIT Y

Acceso sospechoso a El registro de actividad de - Bajo

página web Azure App Service indica
posiblemente vulnerable que se ha accedido a una
detectado página web que parece ser
(AppServices_ScanSensitiveP confidencial. Esta actividad
age) sospechosa se ha originado
en una dirección IP de
origen cuyo patrón de
acceso es similar al de un
escáner web.
Esta actividad suele estar
asociada a un intento de un
atacante de examinar la red
para intentar obtener
acceso a páginas web
confidenciales o vulnerables.
(se aplica a: App Service en
Windows y App Service en
Linux)

Referencia de nombre Un análisis de los datos de Exfiltración Bajo

de dominio sospechoso host detectó una referencia
(AppServices_Commandline a un nombre de dominio
SuspectDomain) sospechoso. Esta actividad,
aunque posiblemente se
trate de un
comportamiento legítimo
del usuario, a menudo
indica la descarga o
ejecución de software
malintencionado. Entre las
actividades típicas de los
atacantes suelen incluirse la
descarga y la ejecución de
software malintencionado o
herramientas de
administración remota
adicionales.
(se aplica a: App Service en
Linux)
 TÁ C T IC A S M IT RE
A L ERTA ( T IP O DE A L ERTA ) DESC RIP C IÓ N ( M Á S IN F O RM A C IÓ N ) SEVERIT Y

Se detectó una descarga El análisis de datos del host Ejecución Media

sospechosa mediante en {NAME} detectó que
Cer tUtil. certutil.exe, una utilidad de
(AppServices_DownloadUsin administración integrada, se
gCertutil) usaba para la descarga de
un archivo binario en lugar
de para su finalidad
estándar relacionada con la
manipulación de
certificados y datos de
certificados. Se sabe que los
atacantes usan la
funcionalidad de
herramientas de
administrador legítimas
para realizar acciones
malintencionadas. Por
ejemplo, utilizan certutil.exe
para descargar y
descodificar un archivo
ejecutable malintencionado
que se ejecutará
posteriormente.
(se aplica a: App Service en
Windows)

Ejecución de PHP Los registros de la máquina Ejecución Media

sospechoso detectada indican que se está
(AppServices_SuspectPhp) ejecutando un proceso PHP
sospechoso. La acción
incluye un intento de
ejecutar comandos del
sistema operativo o código
PHP desde la línea de
comandos mediante el
proceso PHP. Aunque este
comportamiento puede ser
legítimo, en aplicaciones
web podría indicar
actividades
malintencionadas, como
intentos de infectar sitios
web con shells web.
(se aplica a: App Service en
Windows y App Service en
Linux)

SE ejecutaron cmdlets El análisis de datos del host Ejecución Media

de PowerShell indica la ejecución de
sospechosos. cmdlets malintencionados
(AppServices_PowerShellPo conocidos de PowerSploit
werSploitScriptExecution) de PowerShell.
(se aplica a: App Service en
Windows)
 TÁ C T IC A S M IT RE
A L ERTA ( T IP O DE A L ERTA ) DESC RIP C IÓ N ( M Á S IN F O RM A C IÓ N ) SEVERIT Y

Se ejecutó un proceso Los registros de la máquina CredentialAccess Alto

sospechoso. indican que el proceso
(AppServices_KnownCreden sospechoso "%{process
tialAccessTools) path}" se estaba ejecutando
en la máquina, lo que a
menudo se asocia a
intentos por parte de un
atacante de acceder a las
credenciales.
(se aplica a: App Service en
Windows)

Se detectó un nombre El análisis de datos del host Persistencia, DefenseEvasion Media

de proceso sospechoso. en {NAME} detectó un
(AppServices_ProcessWithK proceso cuyo nombre es
nownSuspiciousExtension) sospechoso, por ejemplo,
porque corresponde a una
herramienta conocida de
ataque o tiene un nombre
similar al que usarían los
atacantes para las
herramientas, con el fin de
que no se puedan detectar
a simple vista. Este proceso
podría indicar una actividad
legítima o que una de sus
máquinas se ha puesto en
peligro.
(se aplica a: App Service en
Windows)

Se ejecutó el proceso Se ha observado la DefenseEvasion, ejecución Alto

SVCHOST sospechoso. ejecución del proceso del
(AppServices_SVCHostFrom sistema SVCHOST en un
InvalidPath) contexto anómalo. A
menudo, el malware usa
SVCHOST para enmascarar
su actividad
malintencionada.
(se aplica a: App Service en
Windows)

Se detectó un agente de El registro de actividad de InitialAccess Media

usuario sospechoso. Azure App Service indica
(AppServices_UserAgentInje que se realizaron solicitudes
ction) con un agente de usuario
sospechoso. Este
comportamiento puede
indicar que se realizaron
intentos para aprovechar
una vulnerabilidad en la
aplicación de App Service.
(se aplica a: App Service en
Windows y App Service en
Linux)
 TÁ C T IC A S M IT RE
A L ERTA ( T IP O DE A L ERTA ) DESC RIP C IÓ N ( M Á S IN F O RM A C IÓ N ) SEVERIT Y

Invocación de tema de El registro de actividad de Ejecución Alto

WordPress sospechoso Azure App Service indica
detectada una posible actividad de
(AppServices_WpThemeInje inyección de código en un
ction) recurso de App Service.
La actividad sospechosa
detectada se parece a la de
una manipulación de un
tema de WordPress para
permitir la ejecución de
código en el servidor,
seguida de una solicitud
web directa para invocar el
archivo con el tema
manipulado.
En el pasado, este tipo de
actividad se ha observado
como parte de una
campaña de ataques a
través de WordPress.
(se aplica a: App Service en
Windows y App Service en
Linux)

Se detectó un detector El registro de actividad de PreAttack Media

de vulnerabilidades. Azure App Service indica
(AppServices_DrupalScanner que es posible que se usara
) un detector de
vulnerabilidades en su
recurso de App Service.
La actividad sospechosa
detectada es similar a la de
las herramientas que tienen
como destino un sistema de
administración de
contenido (CMS).
(se aplica a: App Service en
Windows)

Se detectó un detector El registro de actividad de PreAttack Media

de vulnerabilidades. Azure App Service indica
(AppServices_JoomlaScanne que es posible que se usara
r) un detector de
vulnerabilidades en su
recurso de App Service.
La actividad sospechosa
detectada es similar a la de
las herramientas que tienen
como destino aplicaciones
de Joomla.
(se aplica a: App Service en
Windows y App Service en
Linux)
 TÁ C T IC A S M IT RE
A L ERTA ( T IP O DE A L ERTA ) DESC RIP C IÓ N ( M Á S IN F O RM A C IÓ N ) SEVERIT Y

Se detectó un detector El registro de actividad de PreAttack Media

de vulnerabilidades. Azure App Service indica
(AppServices_WpScanner) que es posible que se usara
un detector de
vulnerabilidades en su
recurso de App Service.
La actividad sospechosa
detectada es similar a la de
las herramientas que tienen
como destino aplicaciones
de WordPress.
(se aplica a: App Service en
Windows y App Service en
Linux)

Huella digital web El registro de actividad de PreAttack Media

detectada Azure App Service indica
(AppServices_WebFingerpri una posible actividad de
nting) huella digital web en su
recurso de App Service.
La actividad sospechosa
detectada está asociada con
una herramienta llamada
Blind Elephant. La
herramienta crea una huella
digital de servidores web e
intenta detectar las
aplicaciones instaladas y su
versión.
Los atacantes utilizan a
menudo esta herramienta
para sondear la aplicación
web en busca de
vulnerabilidades.
(se aplica a: App Service en
Windows y App Service en
Linux)

El sitio web se etiqueta El sitio web, tal como se Colección Media

como malintencionado describe a continuación, se
en una fuente de marca como un sitio
inteligencia sobre malintencionado mediante
amenazas Windows SmartScreen. Si
(AppServices_SmartScreen) cree que se trata de un
falso positivo, póngase en
contacto con Windows
SmartScreen mediante el
vínculo de comentarios de
informe proporcionado.
(se aplica a: App Service en
Windows y App Service en
Linux)

Alertas para contenedores: clústeres de Azure Kubernetes Service

Más detalles y notas
 TÁ C T IC A S M IT RE
A L ERTA DESC RIP C IÓ N ( M Á S IN F O RM A C IÓ N ) SEVERIT Y

Se han detectado El análisis de registros de DefenseEvasion Bajo

solicitudes de API de auditoría de Kubernetes
AKS desde direcciones detectó solicitudes de API
IP de proxy. en el clúster desde una
(AKS_TI_Proxy) dirección IP que está
asociada a servicios proxy,
como TOR. Aunque este
comportamiento puede ser
legítimo, a menudo se
consideran como
actividades
malintencionadas, cuando
los atacantes intentan
ocultar su origen.

Se han detectado El análisis de registros de Ejecución Bajo

solicitudes de API de auditoría de Kubernetes
AKS desde direcciones detectó solicitudes de API
IP de proxy. en el clúster desde una
(AKS_TI_Proxy) dirección IP que está
asociada a servicios proxy,
como TOR. Aunque este
comportamiento puede ser
legítimo, a menudo se
consideran como
actividades
malintencionadas, cuando
los atacantes intentan
ocultar su dirección IP de
origen.

Se detectó un El análisis del registro de PrivilegeEscalation Media

contenedor con un auditoría de Kubernetes
volumen confidencial detectó un nuevo
montado . contenedor con un
(AKS_SensitiveMount) volumen confidencial
montado. El volumen
detectado es del tipo
hostPath, que monta una
carpeta o un archivo
confidenciales del nodo en
el contenedor. Si el
contenedor se ve en
peligro, el atacante puede
usar este montaje para
obtener acceso al nodo.
 TÁ C T IC A S M IT RE
A L ERTA DESC RIP C IÓ N ( M Á S IN F O RM A C IÓ N ) SEVERIT Y

Se detectó una El análisis de registros de LateralMovement Bajo

modificación de auditoría de Kubernetes
CoreDNS en detectó una modificación de
Kubernetes. la configuración de
(AKS_CoreDnsModification) CoreDNS. La configuración
de CoreDNS se puede
modificar mediante la
sustitución de su archivo
configmap. Aunque esta
actividad puede ser
legítima, si los atacantes
tienen permisos para
modificar el archivo
configmap, pueden cambiar
el comportamiento del
servidor DNS del clúster y
manipularlo.

Se ha detectado la El análisis de registros de Acceso a credenciales, Bajo

creación de una auditoría de Kubernetes persistencia
configuración del detectó una nueva
webhook de admisión. configuración del webhook
(AKS_AdmissionController) de admisión. Kubernetes
tiene dos controladores de
admisión genéricos
integrados:
MutatingAdmissionWebhoo
ky
ValidatingAdmissionWebho
ok. El comportamiento de
estos controladores de
admisión viene
determinado por un
webhook de admisión que
el usuario implementa en el
clúster. El uso de estos
controladores de admisión
puede ser legítimo, sin
embargo, los atacantes
pueden usar estos
webhooks para modificar
las solicitudes (en el caso de
MutatingAdmissionWebhoo
k) o inspeccionar las
solicitudes y obtener
información confidencial (en
el caso de
ValidatingAdmissionWebho
ok).

Se detectó un El análisis del registro de Ejecución Alto

contenedor de minería auditoría de Kubernetes
de datos de moneda detectó un contenedor que
digital. tiene una imagen asociada
(AKS_MaliciousContainerIm a una herramienta de
age) minería de monedas
digitales.
 TÁ C T IC A S M IT RE
A L ERTA DESC RIP C IÓ N ( M Á S IN F O RM A C IÓ N ) SEVERIT Y

Panel de Kubeflow El análisis de registros de InitialAccess Media

expuesto detectado auditoría de Kubernetes
(AKS_ExposedKubeflow) detectó la exposición de la
entrada de Istio mediante
un equilibrador de carga en
un clúster que ejecuta
Kubeflow. Esta acción podría
exponer el panel de
Kubeflow a Internet. Si el
panel se expone a Internet,
los atacantes pueden
acceder a él y ejecutar
código o contenedores
malintencionados en el
clúster. Encontrará más
detalles en el siguiente
artículo:
https://www.microsoft.com/
security/blog/2020/06/10/
misconfigured-kubeflow-
workloads-are-a-security-
risk

Se detectó un panel de El análisis del registro de InitialAccess Alto

Kubernetes expuesto . auditoría de Kubernetes
(AKS_ExposedDashboard) detectó la exposición del
panel de Kubernetes por un
servicio LoadBalancer. Un
panel expuesto permite el
acceso sin autenticación a la
administración del clúster, lo
que supone una amenaza
para la seguridad.

Se detectó el ser vicio de El análisis del registro de InitialAccess Media

Kubernetes expuesto auditoría de Kubernetes
(AKS_ExposedService) detectó la exposición de un
servicio mediante un
equilibrador de carga. Este
servicio está relacionado
con una aplicación
confidencial que permite
operaciones de alto impacto
en el clúster, como la
ejecución de procesos en el
nodo o la creación de
contenedores. En algunos
casos, este servicio no
requiere autenticación. Si el
servicio no requiere
autenticación, su exposición
a Internet supone un riesgo
de seguridad.
 TÁ C T IC A S M IT RE
A L ERTA DESC RIP C IÓ N ( M Á S IN F O RM A C IÓ N ) SEVERIT Y

Se detectó el ser vicio de El análisis del registro de InitialAccess Bajo

Redis expuesto en AKS auditoría de Kubernetes
(AKS_ExposedRedis) detectó la exposición de un
servicio de Redis mediante
un equilibrador de carga. Si
el servicio no requiere
autenticación, su exposición
a Internet supone un riesgo
de seguridad.

Se han eliminado Security Center ha DefenseEvasion Media

eventos de Kubernetes. detectado que se han
(AKS_DeleteEvents) eliminado algunos eventos
Kubernetes. Los eventos de
Kubernetes son objetos de
Kubernetes que contienen
información sobre los
cambios en el clúster. Los
atacantes podrían eliminar
esos eventos para ocultar
sus operaciones en el
clúster.

Se ha detectado la El análisis de registros de Ejecución Bajo

herramienta de pruebas auditoría de Kubernetes ha
de penetración de detectado el uso de la
Kubernetes. herramienta de pruebas de
(AKS_PenTestToolsKubeHunt penetración de Kubernetes
er) en el clúster de AKS.
Aunque este
comportamiento puede ser
legítimo, los atacantes
podrían usar estas
herramientas públicas con
fines malintencionados.

Se detectó un El análisis del registro de Persistencia Bajo

contenedor nuevo en el auditoría de Kubernetes
espacio de nombres detectó un contenedor
kube-system . nuevo en el espacio de
(AKS_KubeSystemContainer nombres kube-system que
) no está entre los
contenedores que se
ejecutan normalmente en
este espacio de nombres.
Los espacios de nombres de
kube-system no deben
contener recursos de
usuario. Los atacantes
pueden usar este espacio
de nombres para ocultar
componentes
malintencionados.
 TÁ C T IC A S M IT RE
A L ERTA DESC RIP C IÓ N ( M Á S IN F O RM A C IÓ N ) SEVERIT Y

Se detectó un nuevo rol El análisis del registro de Persistencia Bajo

con privilegios elevados . auditoría de Kubernetes
(AKS_HighPrivilegesRole) detectó un nuevo rol con
privilegios elevados. Un
enlace a un rol con
privilegios elevados concede
al usuario o grupo
privilegios elevados en el
clúster. Los privilegios
innecesarios pueden dar
lugar a una elevación de
privilegios en el clúster.

Se detectó un El análisis del registro de PrivilegeEscalation Bajo

contenedor con auditoría de Kubernetes
privilegios detectó un contenedor
(AKS_PrivilegedContainer) nuevo con privilegios. Un
contenedor con privilegios
tiene acceso a los recursos
del nodo y rompe el
aislamiento entre
contenedores. Si se pone en
peligro, un atacante puede
usar el contenedor con
privilegios para acceder al
nodo.

Se detectó un enlace de El análisis del registro de Persistencia Bajo

rol al rol de auditoría de Kubernetes ha
administrador de detectado un nuevo enlace
clústeres . al rol de administrador del
(AKS_ClusterAdminBinding) clúster, lo que proporciona
privilegios de administrador.
Los privilegios de
administrador innecesarios
pueden provocar una
elevación de privilegios en
el clúster.

Alertas para contenedores: nivel de host

Las alertas de Azure Defender para hosts de contenedores no se limitan a las alertas siguientes. Muchas de las
alertas que se enumeran en las tablas alertas de la capa de red de Azure, alertas para máquinas Windows y
alertas para máquinas Linux también se pueden activar en los hosts de contenedores. El equipo de inteligencia
de amenazas global de Microsoft mide y optimiza continuamente muchos tipos de alertas en los clústeres de
Kubernetes para optimizar la detección y reducir los falsos positivos.
Más detalles y notas
 TÁ C T IC A S M IT RE
A L ERTA DESC RIP C IÓ N ( M Á S IN F O RM A C IÓ N ) SEVERIT Y

Se ha detectado un Los registros de la máquina Ejecución Alto

contenedor con la indican que se ha ejecutado
imagen de un extractor un contenedor de Docker
(VM_MinerInContainerImag que ejecuta una imagen
e) asociada a una minería de
moneda digital.

Se ha detectado una Los registros de la máquina DefenseEvasion Bajo

operación de creación indican una operación de
de Docker en un nodo creación de una imagen de
de Kubernetes. contenedor en un nodo de
(VM_ImageBuildOnNode) Kubernetes. Aunque este
comportamiento podría ser
legítimo, los atacantes
podrían crear sus imágenes
malintencionadas
localmente para evitar la
detección.

Se ha detectado un Los registros de la máquina Ejecución, vulnerabilidad de Media

demonio de Docker indican que el demonio de seguridad
expuesto Docker (dockerd) expone un
(VM_ExposedDocker) socket TCP. De manera
predeterminada, la
configuración de Docker no
usa cifrado ni autenticación
cuando un socket TCP está
habilitado. Permite que
cualquiera con acceso al
puerto pertinente pueda
obtener acceso total al
demonio de Docker.

Se ha ejecutado un Los registros de la máquina PrivilegeEscalation Bajo

comando con privilegios indican que se ha ejecutado
en el contenedor un comando con privilegios
(VM_PrivilegedExecutionInC en un contenedor de
ontainer) Docker con privilegios. Un
comando con privilegios ha
extendido sus privilegios a
la máquina host.

Se ha detectado un Los registros de la máquina Elevación de privilegios, Bajo

contenedor con indican que se está ejecución
privilegios ejecutando un contenedor
(VM_PrivilegedContainerArt de Docker con privilegios.
ifacts) Un contenedor con
privilegios tiene acceso total
a los recursos del host. Si se
pone en peligro, un
atacante puede usar el
contenedor con privilegios
para acceder a la máquina
host.
 TÁ C T IC A S M IT RE
A L ERTA DESC RIP C IÓ N ( M Á S IN F O RM A C IÓ N ) SEVERIT Y

Se ejecuta un ser vidor Los registros de la máquina Ejecución Media

SSH dentro de un indican que se está
contenedor ejecutando un servidor SSH
(VM_ContainerSSH) en un contenedor de
Docker. Aunque este
comportamiento puede ser
intencionado, con
frecuencia indica que un
contenedor está mal
configurado o que es
vulnerable.

Solicitud sospechosa a Los registros de la máquina Ejecución Media

la API de Kubernetes indican que se ha realizado
(VM_KubernetesAPI) una solicitud sospechosa a
la API de Kubernetes. La
solicitud se envió desde un
nodo Kubernetes,
posiblemente desde uno de
los contenedores que se
ejecutan en el nodo.
Aunque este
comportamiento puede ser
intencionado, podría indicar
que el nodo ejecuta un
contenedor en peligro.

Solicitud sospechosa al Los registros de la máquina Desplazamiento lateral Media

panel de Kubernetes indican que se ha realizado
(VM_KubernetesDashboard) una solicitud sospechosa al
panel de Kubernetes. La
solicitud se envió desde un
nodo Kubernetes,
posiblemente desde uno de
los contenedores que se
ejecutan en el nodo.
Aunque este
comportamiento puede ser
intencionado, podría indicar
que el nodo ejecuta un
contenedor en peligro.

Alertas de SQL Database y Azure Synapse Analytics

TÁ C T IC A S M IT RE
M Á S DETA L L ES Y (MÁS
N OTA S A L ERTA DESC RIP C IÓ N IN F O RM A C IÓ N ) SEVERIT Y
 TÁ C T IC A S M IT RE
M Á S DETA L L ES Y (MÁS
N OTA S A L ERTA DESC RIP C IÓ N IN F O RM A C IÓ N ) SEVERIT Y

Una posible Una aplicación ha - Media

vulnerabilidad a la generado una
inyección de instrucción SQL
código SQL errónea en la base de
datos. Esto puede
indicar una posible
vulnerabilidad ante
ataques por
inyección de código
SQL. Hay dos
razones posibles para
una instrucción
errónea. Es posible
que haya un defecto
en el código de la
aplicación que esté
creando la
instrucción SQL
errónea. O bien, el
código de la
aplicación o los
procedimientos
almacenados no
corrigen los datos
que proporciona el
usuario al construir la
instrucción SQL
errónea, lo que se
puede aprovechar
para ataques por
inyección de código
SQL.

Intento de inicio Una aplicación PreAttack Alto

de sesión desde potencialmente
una aplicación dañina intentó
potencialmente acceder a la instancia
dañina de SQL Server "
{nombre}".
 TÁ C T IC A S M IT RE
M Á S DETA L L ES Y (MÁS
N OTA S A L ERTA DESC RIP C IÓ N IN F O RM A C IÓ N ) SEVERIT Y

Inicio de sesión Se ha producido un Sondeo Bajo

desde un centro cambio en el patrón
de datos de Azure de acceso a
inusual SQL Server por el
que alguien ha
iniciado sesión en el
servidor desde un
centro de datos de
Azure inusual. En
algunos casos, la
alerta detecta que se
trata de una acción
legítima (una nueva
aplicación o un
servicio de Azure). En
otros casos, la alerta
detecta que la acción
es malintencionada
(el atacante realizó la
acción desde un
recurso vulnerado de
Azure).

Inicio de sesión Se ha producido un Explotación Media

desde una cambio en el patrón
ubicación inusual de acceso a
SQL Server por el
que alguien ha
iniciado sesión en el
servidor desde una
ubicación geográfica
inusual. En algunos
casos, la alerta
detecta una acción
legítima (una nueva
aplicación o el
mantenimiento de un
desarrollador). En
otros casos, la alerta
detecta una acción
malintencionada (un
antiguo empleado o
un atacante externo).
 TÁ C T IC A S M IT RE
M Á S DETA L L ES Y (MÁS
N OTA S A L ERTA DESC RIP C IÓ N IN F O RM A C IÓ N ) SEVERIT Y

Inicio de sesión de Un usuario principal Explotación Media

un usuario que no se ha visto en
principal que no los últimos 60 días
se ha visto en 60 ha iniciado sesión en
días la base de datos. Si
esta base de datos es
nueva o este es el
comportamiento
esperado causado
por cambios
recientes en los
usuarios que acceden
a la base de datos,
Defender identificará
los cambios
significativos en los
patrones de acceso e
intentará evitar
futuros falsos
positivos.

Inicio de sesión Se ha accedido PreAttack Media

desde una correctamente al
dirección IP recurso desde una
sospechosa dirección IP que la
inteligencia sobre
amenazas de
Microsoft ha
asociado con
actividad sospechosa.

Posible intento de Se produjo un Sondeo Alto

ataque de fuerza número
bruta de SQL anormalmente
elevado de intentos
de inicio de sesión
con error con
distintas credenciales.
En algunos casos, la
alerta detecta la
realización de
pruebas de
seguridad. En otros
casos, la alerta
detecta ataques por
fuerza bruta.
 TÁ C T IC A S M IT RE
M Á S DETA L L ES Y (MÁS
N OTA S A L ERTA DESC RIP C IÓ N IN F O RM A C IÓ N ) SEVERIT Y

Posible ataque por Se ha producido una - Alto

inyección de vulnerabilidad de la
código SQL seguridad activa
contra una aplicación
identificada como
vulnerable a la
inyección de SQL.
Esto significa que un
atacante está
intentando inyectar
instrucciones SQL
malintencionadas
mediante el código
de la aplicación
vulnerable o
procedimientos
almacenados.

Acción Se intentó realizar - Alto

potencialmente una acción
insegura potencialmente no
segura en la base de
datos "{name}" del
servidor "{name}".

Posible ataque por Se ha detectado un PreAttack Alto

fuerza bruta posible ataque por
mediante un fuerza bruta en el
usuario válido recurso. El atacante
usa el usuario válido
sa que tiene
permisos para iniciar
sesión.

Sospecha de Se ha detectado un PreAttack Alto

ataque por fuerza posible ataque por
bruta fuerza bruta en el
servidor de
SQL Server "{name}".

Sospecha de Un inicio de sesión PreAttack Alto

ataque por fuerza con éxito se ha
bruta con éxito producido después
de un aparente
ataque por fuerza
bruta en el recurso

Ubicación de Alguien ha extraído Exfiltración Alto

expor tación una cantidad masiva
inusual de datos de la
instancia de
SQL Server "{name}"
a una ubicación
inusual.
Alertas para Resource Manager
Más detalles y notas

TÁ C T IC A S M IT RE
A L ERTA ( T IP O DE A L ERTA ) DESC RIP C IÓ N ( M Á S IN F O RM A C IÓ N ) SEVERIT Y

Exclusión amplia de Se ha detectado una Media

archivos antimalware en exclusión de archivos de la
la máquina vir tual extensión antimalware con
(versión preliminar) regla de exclusión amplia en
(ARM_AmBroadFilesExclusio la máquina virtual al
n) analizar las operaciones de
Azure Resource Manager en
la suscripción. Esta exclusión
deshabilita prácticamente la
protección antimalware.
Los atacantes podrían
excluir archivos del análisis
antimalware en la máquina
virtual para evitar la
detección mientras ejecutan
código arbitrario o infectan
la máquina con malware.

Antimalware Antimalware deshabilitado Alto

deshabilitado y al mismo tiempo que se
ejecución de código en ejecuta código en la
la máquina vir tual máquina virtual. Esto se ha
(versión preliminar) detectado al analizar las
(ARM_AmDisablementAndC operaciones de Azure
odeExecution) Resource Manager de su
suscripción.
Los atacantes deshabilitan
los escáneres antimalware
para evitar la detección
mientras ejecutan
herramientas no
autorizadas o infectan la
máquina con malware.

Antimalware Antimalware deshabilitado Media

deshabilitado en la en la máquina virtual. Esto
máquina vir tual (versión se ha detectado al analizar
preliminar) las operaciones de Azure
(ARM_AmDisablement) Resource Manager de su
suscripción.
Los atacantes podrían
deshabilitar el antimalware
en la máquina virtual para
evitar la detección.
 TÁ C T IC A S M IT RE
A L ERTA ( T IP O DE A L ERTA ) DESC RIP C IÓ N ( M Á S IN F O RM A C IÓ N ) SEVERIT Y

Exclusión de archivo Archivo excluido del escáner Alto

antimalware y ejecución antimalware al mismo
de código en la tiempo que se ha ejecutado
máquina vir tual (versión código mediante una
preliminar) extensión de script
(ARM_AmFileExclusionAndC personalizado en la
odeExecution) máquina virtual. Esto se ha
detectado al analizar las
operaciones de Azure
Resource Manager de su
suscripción.
Los atacantes podrían
excluir archivos del análisis
antimalware en la máquina
virtual para evitar la
detección mientras ejecutan
herramientas no
autorizadas o infectan la
máquina con malware.

Exclusión de archivos Se ha detectado una Alto

antimalware y ejecución exclusión de archivos
de código en la temporal de la extensión
máquina vir tual (versión antimalware en paralelo a la
preliminar) ejecución de código
(ARM_AmTempFileExclusion mediante una extensión de
AndCodeExecution) script personalizado en la
máquina virtual al analizar
las operaciones de Azure
Resource Manager en la
suscripción.
Los atacantes podrían
excluir archivos del análisis
antimalware en la máquina
virtual para evitar la
detección mientras ejecutan
código arbitrario o infectan
la máquina con malware.

Exclusión de archivos Archivo excluido del escáner Media

antimalware en la antimalware de la máquina
máquina vir tual (versión virtual. Esto se ha
preliminar) detectado al analizar las
(ARM_AmTempFileExclusion) operaciones de Azure
Resource Manager de su
suscripción.
Los atacantes podrían
excluir archivos del análisis
antimalware en la máquina
virtual para evitar la
detección mientras ejecutan
herramientas no
autorizadas o infectan la
máquina con malware.
 TÁ C T IC A S M IT RE
A L ERTA ( T IP O DE A L ERTA ) DESC RIP C IÓ N ( M Á S IN F O RM A C IÓ N ) SEVERIT Y

Protección antimalware Se ha detectado que se ha Media

en tiempo real deshabilitado la protección
deshabilitada en la en tiempo real de la
máquina vir tual (versión extensión antimalware en la
preliminar) máquina virtual al analizar
(ARM_AmRealtimeProtectio las operaciones de Azure
nDisabled) Resource Manager en la
suscripción.
Los atacantes podrían
deshabilitar la protección en
tiempo real del análisis
antimalware en la máquina
virtual para evitar la
detección mientras ejecutan
código arbitrario o infectan
la máquina con malware.

Protección antimalware Se ha detectado que se ha Media

en tiempo real deshabilitado
deshabilitada temporalmente la
temporalmente en la protección en tiempo real
máquina vir tual (versión de la extensión antimalware
preliminar) en la máquina virtual al
(ARM_AmTempRealtimeProt analizar las operaciones de
ectionDisablement) Azure Resource Manager en
la suscripción.
Los atacantes podrían
deshabilitar la protección en
tiempo real del análisis
antimalware en la máquina
virtual para evitar la
detección mientras ejecutan
código arbitrario o infectan
la máquina con malware.

Protección antimalware Se ha detectado que se ha Alto

en tiempo real deshabilitado
deshabilitada temporalmente la
temporalmente protección en tiempo real
mientras se ejecuta de la extensión antimalware
código en la máquina en paralelo a la ejecución de
vir tual (versión código mediante una
preliminar) extensión de script
(ARM_AmRealtimeProtectio personalizado en la
nDisablementAndCodeExec) máquina virtual al analizar
las operaciones de Azure
Resource Manager en la
suscripción.
Los atacantes podrían
deshabilitar la protección en
tiempo real del análisis
antimalware en la máquina
virtual para evitar la
detección mientras ejecutan
código arbitrario o infectan
la máquina con malware.
 TÁ C T IC A S M IT RE
A L ERTA ( T IP O DE A L ERTA ) DESC RIP C IÓ N ( M Á S IN F O RM A C IÓ N ) SEVERIT Y

Antimalware Antimalware deshabilitado Media

deshabilitado temporalmente en la
temporalmente en la máquina virtual. Esto se ha
máquina vir tual (versión detectado al analizar las
preliminar) operaciones de Azure
(ARM_AmTemporarilyDisabl Resource Manager de su
ement) suscripción.
Los atacantes podrían
deshabilitar el antimalware
en la máquina virtual para
evitar la detección.

Exclusión de archivos Se ha detectado una Media

antimalware inusual en exclusión de archivos
la máquina vir tual inusual de la extensión
(versión preliminar) antimalware en la máquina
(ARM_UnusualAmFileExclusi virtual al analizar las
on) operaciones de Azure
Resource Manager en la
suscripción.
Los atacantes podrían
excluir archivos del análisis
antimalware en la máquina
virtual para evitar la
detección mientras ejecutan
código arbitrario o infectan
la máquina con malware.

Extensión de script Se ha detectado una Ejecución Media

personalizado con un extensión de script
comando sospechoso en personalizado con un
la máquina vir tual comando sospechoso en la
(versión preliminar) máquina virtual al analizar
(ARM_CustomScriptExtensio las operaciones de Azure
nSuspiciousCmd) Resource Manager en la
suscripción.
Los atacantes podrían usar
la extensión de script
personalizado para ejecutar
un código malintencionado
en la máquina virtual
mediante Azure Resource
Manager.
 TÁ C T IC A S M IT RE
A L ERTA ( T IP O DE A L ERTA ) DESC RIP C IÓ N ( M Á S IN F O RM A C IÓ N ) SEVERIT Y

Extensión de script Se ha detectado una Ejecución Media

personalizado con un extensión de script
punto de entrada personalizado con un punto
sospechoso en la de entrada sospechoso en
máquina vir tual (versión la máquina virtual al
preliminar) analizar las operaciones de
(ARM_CustomScriptExtensio Azure Resource Manager en
nSuspiciousEntryPoint) la suscripción. El punto de
entrada hace referencia a
un repositorio de GitHub
sospechoso.
Los atacantes podrían usar
extensiones de script
personalizado para ejecutar
un código malintencionado
en la máquina virtual
mediante Azure Resource
Manager.

Extensión de script Se ha detectado una Ejecución Media

personalizado con una extensión de script
carga útil sospechosa personalizado con una
en la máquina vir tual carga útil de un repositorio
(versión preliminar) de GitHub sospechoso en la
(ARM_CustomScriptExtensio máquina virtual al analizar
nSuspiciousPayload) las operaciones de Azure
Resource Manager en la
suscripción.
Los atacantes podrían usar
extensiones de script
personalizado para ejecutar
un código malintencionado
en la máquina virtual
mediante Azure Resource
Manager.

Kit de herramientas de El módulo de recopilación Alto

explotación MicroBurst de información de
usado para enumerar MicroBurst se ha ejecutado
los recursos de las en su suscripción. Esta
suscripciones (versión herramienta se puede usar
preliminar) para detectar recursos,
(ARM_MicroBurst.AzDomai permisos y estructuras de
nInfo) red. Esto se ha detectado al
analizar los registros de
actividad de Azure y las
operaciones de
administración de recursos
de su suscripción.
 TÁ C T IC A S M IT RE
A L ERTA ( T IP O DE A L ERTA ) DESC RIP C IÓ N ( M Á S IN F O RM A C IÓ N ) SEVERIT Y

Kit de herramientas de El módulo de recopilación Alto

explotación MicroBurst de información de
usado para enumerar MicroBurst se ha ejecutado
los recursos de las en su suscripción. Esta
suscripciones (versión herramienta se puede usar
preliminar) para detectar recursos,
(ARM_MicroBurst.AzureDo permisos y estructuras de
mainInfo) red. Esto se ha detectado al
analizar los registros de
actividad de Azure y las
operaciones de
administración de recursos
de su suscripción.

Kit de herramientas de El kit de herramientas de Alto

explotación MicroBurst explotación MicroBurst se
usado para ejecutar ha usado para ejecutar
código en la máquina código en las máquinas
vir tual (versión virtuales. Esto se ha
preliminar) detectado al analizar las
(ARM_MicroBurst.AzVMBul operaciones de Azure
kCMD) Resource Manager de su
suscripción.

Kit de herramientas de El kit de herramientas de Alto

explotación MicroBurst explotación MicroBurst se
usado para ejecutar ha usado para ejecutar
código en la máquina código en las máquinas
vir tual (versión virtuales. Esto se ha
preliminar) detectado al analizar las
(RM_MicroBurst.AzureRmV operaciones de Azure
MBulkCMD) Resource Manager de su
suscripción.

Kit de herramientas de El kit de herramientas de Alto

explotación MicroBurst explotación MicroBurst se
usado para extraer ha usado para extraer
claves de los almacenes claves de los almacenes de
de claves de Azure claves de Azure. Esto se ha
(versión preliminar) detectado al analizar los
(ARM_MicroBurst.AzKeyVau registros de actividad de
ltKeysREST) Azure y las operaciones de
administración de recursos
de su suscripción.

Kit de herramientas de El kit de herramientas de Alto

explotación MicroBurst explotación MicroBurst se
usado para extraer ha usado para extraer
claves de las cuentas de claves de las cuentas de
almacenamiento almacenamiento. Esto se ha
(versión preliminar) detectado al analizar los
(ARM_MicroBurst.AZStorag registros de actividad de
eKeysREST) Azure y las operaciones de
administración de recursos
de su suscripción.
 TÁ C T IC A S M IT RE
A L ERTA ( T IP O DE A L ERTA ) DESC RIP C IÓ N ( M Á S IN F O RM A C IÓ N ) SEVERIT Y

Kit de herramientas de El kit de herramientas de Alto

explotación MicroBurst explotación MicroBurst se
usado para extraer ha usado para extraer
secretos de los secretos de los almacenes
almacenes de claves de de claves de Azure. Esto se
Azure (versión ha detectado al analizar los
preliminar) registros de actividad de
(ARM_MicroBurst.AzKeyVau Azure y las operaciones de
ltSecretsREST) administración de recursos
de su suscripción.

Kit de herramientas de El kit de herramientas de Alto

explotación PowerZure explotación PowerZure se
usado para elevar los ha usado para elevar los
privilegios de acceso de privilegios de acceso de
Azure AD a Azure Azure AD a Azure. Esto se
(versión preliminar) ha detectado al analizar las
(ARM_PowerZure.AzureElev operaciones de Azure
atedPrivileges) Resource Manager de su
inquilino.

Kit de herramientas de El kit de herramientas de Alto

explotación PowerZure explotación PowerZure se
usado para enumerar ha usado para enumerar
recursos (versión recursos en nombre de una
preliminar) cuenta de usuario legítima
(ARM_PowerZure.GetAzureT de su organización. Esto se
argets) ha detectado al analizar las
operaciones de Azure
Resource Manager de su
suscripción.

Kit de herramientas de El kit de herramientas de Alto

explotación PowerZure explotación PowerZure se
usado para enumerar ha usado para enumerar
recursos compar tidos, recursos compartidos,
tablas y contenedores tablas y contenedores de
de almacenamiento almacenamiento. Esto se ha
(versión preliminar) detectado al analizar las
(ARM_PowerZure.ShowStora operaciones de Azure
geContent) Resource Manager de su
suscripción.

Kit de herramientas de El kit de herramientas de Alto

explotación PowerZure explotación PowerZure se
usado para ejecutar un ha usado para ejecutar un
runbook en su runbook. Esto se ha
suscripción (versión detectado al analizar las
preliminar) operaciones de Azure
(ARM_PowerZure.StartRunb Resource Manager de su
ook) suscripción.
 TÁ C T IC A S M IT RE
A L ERTA ( T IP O DE A L ERTA ) DESC RIP C IÓ N ( M Á S IN F O RM A C IÓ N ) SEVERIT Y

Kit de herramientas de El kit de herramientas de Alto

explotación PowerZure explotación PowerZure se
usado para extraer el ha usado para extraer el
contenido de runbooks contenido de runbooks.
(versión preliminar) Esto se ha detectado al
(ARM_PowerZure.AzureRun analizar las operaciones de
bookContent) Azure Resource Manager de
su suscripción.

Error de ejecución Se ha detectado un error Ejecución Media

sospechoso de sospechoso de una
extensión de script extensión de script
personalizado en la personalizado en la
máquina vir tual (versión máquina virtual al analizar
preliminar) las operaciones de Azure
(ARM_CustomScriptExtensio Resource Manager en la
nSuspiciousFailure) suscripción.
Estos errores pueden estar
asociados a scripts
malintencionados
ejecutados por esta
extensión.

Restablecimiento de Se ha detectado un CredentialAccess Media

configuración inusual en restablecimiento de
la máquina vir tual configuración inusual en la
(versión preliminar) máquina virtual al analizar
(ARM_VMAccessUnusualCo las operaciones de Azure
nfigReset) Resource Manager en la
suscripción.
Aunque esta acción puede
ser legítima, los atacantes
pueden intentar usar la
extensión de acceso de la
máquina virtual para
restablecer la configuración
de la máquina virtual y
ponerla en peligro.

Eliminación inusual de Se ha detectado una Ejecución Media

extensión de script eliminación inusual de una
personalizado en la extensión de script
máquina vir tual (versión personalizado en la
preliminar) máquina virtual al analizar
(ARM_CustomScriptExtensio las operaciones de Azure
nUnusualDeletion) Resource Manager en la
suscripción.
Los atacantes podrían usar
extensiones de script
personalizado para ejecutar
un código malintencionado
en la máquina virtual
mediante Azure Resource
Manager.
 TÁ C T IC A S M IT RE
A L ERTA ( T IP O DE A L ERTA ) DESC RIP C IÓ N ( M Á S IN F O RM A C IÓ N ) SEVERIT Y

Ejecución inusual de Se ha detectado una Ejecución Media

extensión de script ejecución inusual de una
personalizado en la extensión de script
máquina vir tual (versión personalizado en la
preliminar) máquina virtual al analizar
(ARM_CustomScriptExtensio las operaciones de Azure
nUnusualExecution) Resource Manager en la
suscripción.
Los atacantes podrían usar
extensiones de script
personalizado para ejecutar
un código malintencionado
en la máquina virtual
mediante Azure Resource
Manager.

Restablecimiento de Se ha detectado un CredentialAccess Media

contraseña de usuario restablecimiento de
inusual en la máquina contraseña de usuario en la
vir tual (versión máquina virtual al analizar
preliminar) las operaciones de Azure
(ARM_VMAccessUnusualPas Resource Manager en la
swordReset) suscripción.
Aunque esta acción puede
ser legítima, los atacantes
pueden intentar usar la
extensión de acceso de la
máquina virtual para
restablecer las credenciales
de un usuario local de la
máquina virtual y ponerla
en peligro.

Restablecimiento de Se ha detectado un CredentialAccess Media

clave SSH de usuario restablecimiento de clave
inusual en la máquina SSH de usuario en la
vir tual (versión máquina virtual al analizar
preliminar) las operaciones de Azure
(ARM_VMAccessUnusualSS Resource Manager en la
HReset) suscripción.
Aunque esta acción puede
ser legítima, los atacantes
pueden intentar usar la
extensión de acceso de la
máquina virtual para
restablecer la clave SSH de
una cuenta de usuario de la
máquina virtual y ponerla
en peligro.
 TÁ C T IC A S M IT RE
A L ERTA ( T IP O DE A L ERTA ) DESC RIP C IÓ N ( M Á S IN F O RM A C IÓ N ) SEVERIT Y

Uso del kit de Uso del kit de herramientas Alto

herramientas de de explotación MicroBurst
explotación MicroBurst para ejecutar un código
para ejecutar un código arbitrario o extraer
arbitrario o extraer credenciales de usuario de
credenciales de cuenta Azure Automation. Esto se
de Azure Automation ha detectado al analizar las
(versión preliminar) operaciones de Azure
(ARM_MicroBurst.RunCode Resource Manager de su
OnBehalf) suscripción.

Uso de técnicas de Uso de la técnica de Alto

NetSPI para mantener la persistencia de NetSPI para
persistencia en el crear una puerta trasera de
entorno de Azure webhook y mantener la
(versión preliminar) persistencia en el entorno
(ARM_NetSPI.MaintainPersis de Azure. Esto se ha
tence) detectado al analizar las
operaciones de Azure
Resource Manager de su
suscripción.

Uso del kit de Se ha detectado que el kit Alto

herramientas de de herramientas de
explotación PowerZure explotación PowerZure ha
para ejecutar un código intentado ejecutar código o
arbitrario o extraer extraer credenciales de
credenciales de cuenta usuario de Azure
de Azure Automation Automation. Esto se ha
(versión preliminar) detectado al analizar las
(ARM_PowerZure.RunCode operaciones de Azure
OnBehalf) Resource Manager de su
suscripción.

Uso de la función Se ha detectado que el kit Alto

PowerZure para de herramientas de
mantener la persistencia explotación PowerZure ha
en el entorno de Azure creado una puerta trasera
(versión preliminar) de webhook para mantener
(ARM_PowerZure.MaintainP la persistencia en el entorno
ersistence) de Azure. Esto se ha
detectado al analizar las
operaciones de Azure
Resource Manager de su
suscripción.
 TÁ C T IC A S M IT RE
A L ERTA ( T IP O DE A L ERTA ) DESC RIP C IÓ N ( M Á S IN F O RM A C IÓ N ) SEVERIT Y

VERSIÓN PRELIMINAR: Se ha detectado actividad - Media

actividad desde de usuarios desde una
direcciones IP de riesgo dirección IP que se ha
(ARM.MCAS_ActivityFromA identificado como una
nonymousIPAddresses) dirección IP de proxy
anónima.
Estos servidores proxy los
usan los usuarios que
quieren ocultar la dirección
IP del dispositivo y es
posible que se usen con
fines malintencionados. Esta
detección usa un algoritmo
de aprendizaje automático
que reduce los falsos
positivos, como las
direcciones IP mal
etiquetadas que otros
usuarios de la organización
usan ampliamente.
Requiere una licencia activa
de Microsoft Cloud App
Security.

VERSIÓN PRELIMINAR: Se ha producido actividad - Media

actividad desde un país desde una ubicación que
poco frecuente ningún usuario de la
(ARM.MCAS_ActivityFromIn organización ha visitado
frequentCountry) recientemente o nunca.
Esta detección tiene en
cuenta las ubicaciones de
actividad anteriores para
determinar las ubicaciones
nuevas e infrecuentes. El
motor de detección de
anomalías almacena
información sobre las
ubicaciones anteriores
utilizadas por los usuarios
de la organización.
Requiere una licencia activa
de Microsoft Cloud App
Security.
 TÁ C T IC A S M IT RE
A L ERTA ( T IP O DE A L ERTA ) DESC RIP C IÓ N ( M Á S IN F O RM A C IÓ N ) SEVERIT Y

VERSIÓN PRELIMINAR: Se han producido dos - Media

actividad de viaje actividades de usuario (en
imposible una o varias sesiones) con
(ARM.MCAS_ImpossibleTrav origen en ubicaciones
elActivity) geográficamente distantes.
Han tenido lugar en un
período de tiempo más
corto que el que tardaría el
usuario en viajar de la
primera ubicación a la
segunda. Esto indica que
otro usuario está usando
las mismas credenciales.
Esta detección usa un
algoritmo de aprendizaje
automático que omite los
falsos positivos obvios que
contribuyen a las
condiciones de viaje
imposible, como las VPN y
las ubicaciones que otros
usuarios de la organización
usan con regularidad. La
detección tiene un período
de aprendizaje inicial de
siete días, durante el cual
aprende el patrón de
actividad del nuevo usuario.
Requiere una licencia activa
de Microsoft Cloud App
Security.

VERSIÓN PRELIMINAR: Se ha detectado la ejecución - Alto

se detectó la ejecución de un conocido kit de
del kit de herramientas herramientas de
de Azurite. reconocimiento de entornos
(ARM_Azurite) de nube en su entorno. Un
atacante (o evaluador de
penetración) puede usar la
herramienta Azurite para
asignar recursos de sus
suscripciones e identificar
configuraciones poco
seguras.

VERSIÓN PRELIMINAR: El análisis de registros de Persistencia Media

se detectó una sesión actividad de suscripción ha
de administración detectado un
sospechosa que usa comportamiento
PowerShell. sospechoso. Una entidad de
(ARM_UnusedAppPowershe seguridad que no usa con
llPersistence) frecuencia PowerShell para
administrar el entorno de
suscripción ahora usa
PowerShell y realiza
acciones que pueden
garantizar la persistencia de
un atacante.
 TÁ C T IC A S M IT RE
A L ERTA ( T IP O DE A L ERTA ) DESC RIP C IÓ N ( M Á S IN F O RM A C IÓ N ) SEVERIT Y

VERSIÓN PRELIMINAR: El análisis de registros de Persistencia Media

se detectó una sesión actividad de suscripción ha
de administración detectado un
sospechosa con una comportamiento
cuenta inactiva. sospechoso. Una entidad de
(ARM_UnusedAccountPersis seguridad que no se ha
tence) usado durante un largo
período de tiempo ahora
está realizando acciones
que pueden garantizar la
persistencia de un atacante.

VERSIÓN PRELIMINAR: El análisis de registros de - Media

se detectó una sesión actividad de la suscripción
de administración ha detectado un
sospechosa que usa comportamiento
Azure Por tal. sospechoso. Una entidad de
(ARM_UnusedAppIbizaPersi seguridad que
stence) normalmente no usa Azure
Portal (Ibiza) para
administrar el entorno de la
suscripción (no ha usado
Azure Portal para la
administración durante los
últimos 45 días, ni una
suscripción que administra
de manera activa), ahora
usa Azure Portal y realiza
acciones que pueden
garantizar la persistencia de
un atacante.

Alertas de DNS
Más detalles y notas

TÁ C T IC A S M IT RE
A L ERTA ( T IP O DE A L ERTA ) DESC RIP C IÓ N ( M Á S IN F O RM A C IÓ N ) SEVERIT Y
 TÁ C T IC A S M IT RE
A L ERTA ( T IP O DE A L ERTA ) DESC RIP C IÓ N ( M Á S IN F O RM A C IÓ N ) SEVERIT Y

Uso de protocolo de red El análisis de transacciones Exfiltración -

anómalo (versión DNS de %
preliminar) {CompromisedEntity} ha
(AzureDNS_ProtocolAnomal detectado un uso de
y) protocolo anómalo. Dicho
tráfico, aunque
posiblemente benigno,
puede indicar un abuso de
este protocolo común para
omitir el filtrado del tráfico
de red. La actividad de
atacante relacionada típica
incluye la copia de
herramientas de
administración remota en
un host en peligro y la
extracción de los datos del
usuario a partir de dicha
copia.

Actividad de red de El análisis de transacciones Exfiltración -

anonimato (versión DNS de %
preliminar) {CompromisedEntity} ha
(AzureDNS_DarkWeb) detectado una actividad de
red de anonimato. Esta
actividad, aunque
posiblemente sea un
comportamiento legítimo
del usuario, suele ser
utilizada por los atacantes
para eludir el seguimiento y
la huella digital de las
comunicaciones de red.
Entre las actividades típicas
de los atacantes suelen
incluirse la descarga y la
ejecución de software
malintencionado o
herramientas de
administración remota.
 TÁ C T IC A S M IT RE
A L ERTA ( T IP O DE A L ERTA ) DESC RIP C IÓ N ( M Á S IN F O RM A C IÓ N ) SEVERIT Y

Actividad de red de El análisis de transacciones Exfiltración -

anonimato mediante DNS de %
proxy web (versión {CompromisedEntity} ha
preliminar) detectado una actividad de
(AzureDNS_DarkWebProxy) red de anonimato. Esta
actividad, aunque
posiblemente sea un
comportamiento legítimo
del usuario, suele ser
utilizada por los atacantes
para eludir el seguimiento y
la huella digital de las
comunicaciones de red.
Entre las actividades típicas
de los atacantes suelen
incluirse la descarga y la
ejecución de software
malintencionado o
herramientas de
administración remota.

Intento de El análisis de transacciones Exfiltración -

comunicación con DNS de %
dominio de sinkhole {CompromisedEntity} ha
sospechoso (versión detectado una solicitud
preliminar) para un dominio de
(AzureDNS_SinkholedDomai sinkhole. Esta actividad,
n) aunque posiblemente se
trate de un
comportamiento legítimo
del usuario, a menudo
indica la descarga o
ejecución de software
malintencionado. Entre las
actividades típicas de los
atacantes suelen incluirse la
descarga y la ejecución de
software malintencionado o
herramientas de
administración remota
adicionales.

Comunicación con El análisis de transacciones Exfiltración -

posible dominio de DNS de %
suplantación de {CompromisedEntity} ha
identidad (versión detectado una solicitud
preliminar) para un posible dominio de
(AzureDNS_PhishingDomain suplantación de identidad.
) Esta actividad, aunque
posiblemente benigna,
suele ser realizada por los
atacantes para obtener
credenciales en servicios
remotos. Entre las
actividades típicas de los
atacantes suele incluirse la
explotación de credenciales
en el servicio legítimo.
 TÁ C T IC A S M IT RE
A L ERTA ( T IP O DE A L ERTA ) DESC RIP C IÓ N ( M Á S IN F O RM A C IÓ N ) SEVERIT Y

Comunicación con un El análisis de transacciones Exfiltración -

dominio generado por DNS de %
algoritmo sospechoso {CompromisedEntity} ha
(versión preliminar) detectado un posible uso
(AzureDNS_DomainGenerati de un algoritmo de
onAlgorithm) generación de dominios.
Esta actividad, aunque
posiblemente benigna,
suele ser realizada por los
atacantes para eludir la
supervisión y el filtrado de
red. Entre las actividades
típicas de los atacantes
suelen incluirse la descarga
y la ejecución de software
malintencionado o
herramientas de
administración remota.

Comunicación con un Se ha detectado la InitialAccess Media

dominio sospechoso comunicación con un
identificado por dominio sospechoso
inteligencia sobre mediante el análisis de las
amenazas (versión transacciones de DNS desde
preliminar) el recurso y la comparación
(AzureDNS_ThreatIntelSusp con los dominios
ectDomain) malintencionados conocidos
identificados por las fuentes
de inteligencia sobre
amenazas. A menudo, los
atacantes realizan
comunicación con dominios
malintencionados y pueden
implicar que el recurso se ve
comprometido.

Comunicación con un El análisis de transacciones Exfiltración -

nombre de dominio DNS de %
aleatorio sospechoso {CompromisedEntity} ha
(versión preliminar) detectado un uso de un
(AzureDNS_RandomizedDo nombre de dominio
main) generado aleatoriamente
sospechoso. Esta actividad,
aunque posiblemente
benigna, suelen realizarla
los atacantes para eludir la
supervisión y el filtrado de
red. Entre las actividades
típicas de los atacantes
suelen incluirse la descarga
y la ejecución de software
malintencionado o
herramientas de
administración remota.
 TÁ C T IC A S M IT RE
A L ERTA ( T IP O DE A L ERTA ) DESC RIP C IÓ N ( M Á S IN F O RM A C IÓ N ) SEVERIT Y

Actividad de minería de El análisis de transacciones Exfiltración -

datos de moneda digital DNS de %
(vista previa) {CompromisedEntity} ha
(AzureDNS_CurrencyMining detectado una actividad de
) minería de datos de
moneda digital. Esta
actividad, aunque
posiblemente se trate de un
comportamiento legítimo
del usuario, suelen realizarla
los atacantes tras poner en
peligro los recursos. Entre
las actividades típicas de los
atacantes suelen incluirse la
descarga y la ejecución de
herramientas de minería de
datos comunes.

Activación de la firma El análisis de transacciones Exfiltración -

de detección de DNS de %
intrusiones de red {CompromisedEntity} ha
(versión preliminar) detectado una firma de red
(AzureDNS_SuspiciousDoma malintencionada conocida.
in) Esta actividad, aunque
posiblemente se trate de un
comportamiento legítimo
del usuario, a menudo
indica la descarga o
ejecución de software
malintencionado. Entre las
actividades típicas de los
atacantes suelen incluirse la
descarga y la ejecución de
software malintencionado o
herramientas de
administración remota
adicionales.

Posible descarga de El análisis de transacciones Exfiltración -

datos a través de un DNS de %
túnel DNS (versión {CompromisedEntity} ha
preliminar) detectado un posible túnel
(AzureDNS_DataInfiltration) DNS. Esta actividad, aunque
posiblemente se trate de un
comportamiento legítimo
del usuario, suelen realizarla
los atacantes para eludir la
supervisión y el filtrado de
red. Entre las actividades
típicas de los atacantes
suelen incluirse la descarga
y la ejecución de software
malintencionado o
herramientas de
administración remota.
 TÁ C T IC A S M IT RE
A L ERTA ( T IP O DE A L ERTA ) DESC RIP C IÓ N ( M Á S IN F O RM A C IÓ N ) SEVERIT Y

Posible filtración de El análisis de transacciones Exfiltración -

datos a través de un DNS de %
túnel DNS (versión {CompromisedEntity} ha
preliminar) detectado un posible túnel
(AzureDNS_DataExfiltration) DNS. Esta actividad, aunque
posiblemente se trate de un
comportamiento legítimo
del usuario, suelen realizarla
los atacantes para eludir la
supervisión y el filtrado de
red. Entre las actividades
típicas de los atacantes
suelen incluirse la descarga
y la ejecución de software
malintencionado o
herramientas de
administración remota.

Posible transferencia de El análisis de transacciones Exfiltración -

datos a través de un DNS de %
túnel DNS (versión {CompromisedEntity} ha
preliminar) detectado un posible túnel
(AzureDNS_DataObfuscatio DNS. Esta actividad, aunque
n) posiblemente se trate de un
comportamiento legítimo
del usuario, suelen realizarla
los atacantes para eludir la
supervisión y el filtrado de
red. Entre las actividades
típicas de los atacantes
suelen incluirse la descarga
y la ejecución de software
malintencionado o
herramientas de
administración remota.

Alertas de Azure Storage

Más detalles y notas

TÁ C T IC A S M IT RE
A L ERTA ( T IP O DE A L ERTA ) DESC RIP C IÓ N ( M Á S IN F O RM A C IÓ N ) SEVERIT Y
 TÁ C T IC A S M IT RE
A L ERTA ( T IP O DE A L ERTA ) DESC RIP C IÓ N ( M Á S IN F O RM A C IÓ N ) SEVERIT Y

Acceso desde un nodo Indica que se accedió a esta Sondeo/Explotación Alto

de salida de Tor a una cuenta correctamente
cuenta de desde una dirección IP
almacenamiento conocida como nodo de
(Storage.Blob_TorAnomaly salida activo de Tor (proxy
Storage.Files_TorAnomaly) anónimo). La gravedad de
esta alerta considera el tipo
de autenticación usado (si
existe) y si es la primera vez
que se produce tal acceso.
Las causas posibles pueden
ser un atacante que haya
tenido acceso a su cuenta
de almacenamiento
mediante Tor o un usuario
legítimo que haya tenido
acceso a su cuenta de
almacenamiento mediante
Tor.
Se aplica a: Azure Blob
Storage, Azure Files, Azure
Data Lake Storage Gen2

Acceso desde una Indica que se ha producido Explotación Bajo

ubicación inusual a una un cambio en el patrón de
cuenta de acceso a una cuenta de
almacenamiento Azure Storage. Alguien
(Storage.Blob_GeoAnomaly accedió a esta cuenta desde
Storage.Files_GeoAnomaly) una dirección IP que se
considera desconocida en
comparación con la
actividad reciente. Un
atacante obtuvo acceso a la
cuenta o un usuario
legítimo se conectó desde
una ubicación geográfica
nueva o inusual. Un
ejemplo de esto último es el
mantenimiento remoto
desde una nueva aplicación
o desarrollador.
Se aplica a: Azure Blob
Storage, Azure Files, Azure
Data Lake Storage Gen2
 TÁ C T IC A S M IT RE
A L ERTA ( T IP O DE A L ERTA ) DESC RIP C IÓ N ( M Á S IN F O RM A C IÓ N ) SEVERIT Y

Acceso anónimo a una Indica que se ha producido Explotación Alto

cuenta de un cambio en el patrón de
almacenamiento acceso a una cuenta de
(Storage.Blob_AnonymousA almacenamiento. Por
ccessAnomaly) ejemplo, se ha accedido de
forma anónima a la cuenta
(sin autenticación), algo que
resulta inesperado si se
tiene en cuenta el patrón de
acceso reciente en la
cuenta. Una causa posible
es que un atacante se haya
aprovechado del acceso de
lectura público a un
contenedor que incluye
almacenamiento en blobs.
Se aplica a: Azure Blob
Storage

Posible malware Indica que un blob que LateralMovement Alto

cargado en una cuenta contiene malware potencial
de almacenamiento se ha cargado en un
(Storage.Blob_MalwareHash contenedor de blobs o un
Reputation recurso compartido de
Storage.Files_MalwareHashR archivos de una cuenta de
eputation) almacenamiento. Esta alerta
se basa en el análisis de
reputación de hash que
aprovecha la eficacia de la
inteligencia sobre amenazas
de Microsoft, que incluye
los valores hash de virus,
troyanos, spyware y
ransomware. Entre las
posibles causas de ello, se
pueden incluir una carga
intencional del malware por
parte de un atacante o una
carga involuntaria de un
blob potencialmente
malintencionado por parte
de un usuario legítimo.
Se aplica a: Azure Blob
Storage, Azure Files (solo
para transacciones a través
de la API de REST)
Obtenga más información
sobre el análisis de
reputación de hash de
Azure para malware.
Obtenga más información
sobre las funcionalidades de
inteligencia sobre amenazas
de Microsoft.
 TÁ C T IC A S M IT RE
A L ERTA ( T IP O DE A L ERTA ) DESC RIP C IÓ N ( M Á S IN F O RM A C IÓ N ) SEVERIT Y

VERSIÓN PRELIMINAR: Indica que se ha accedido Acceso inicial Media

acceso desde una correctamente a esta
dirección IP sospechosa cuenta de almacenamiento
(Storage.Blob_SuspiciousIp desde una dirección IP que
Storage.Files_SuspiciousIp) se considera sospechosa.
Esta alerta está basada en
la inteligencia sobre
amenazas de Microsoft.
Obtenga más información
sobre las funcionalidades de
inteligencia sobre amenazas
de Microsoft.
Se aplica a: Azure Blob
Storage, Azure Files, Azure
Data Lake Storage Gen2

Versión preliminar : Una dirección URL que se Colección Alto

contenido de usa en un ataque de
suplantación de suplantación de identidad
identidad (phishing) (phishing) apunta a su
hospedado en una cuenta de Azure Storage.
cuenta de Esta dirección URL formaba
almacenamiento parte de un ataque de
(Storage.Blob_PhishingCont suplantación de identidad
ent que afectaba a los usuarios
Storage.Files_PhishingConte de Microsoft 365.
nt) Normalmente, el contenido
hospedado en esas páginas
está diseñado para engañar
a los visitantes para que
escriban sus credenciales
corporativas o información
financiera en un formulario
web que parece legítimo.
Esta alerta está basada en
la inteligencia sobre
amenazas de Microsoft.
Obtenga más información
sobre las funcionalidades de
inteligencia sobre amenazas
de Microsoft.
Se aplica a: Azure Blob
Storage, Azure Files

Inspección de acceso Indica que los permisos de Colección Media

inusual en una cuenta acceso de una cuenta de
de almacenamiento almacenamiento se han
(Storage.Blob_AccessInspect inspeccionado de un modo
ionAnomaly no habitual, en
Storage.Files_AccessInspecti comparación con la
onAnomaly) actividad reciente de esta
cuenta. Una posible causa
es que un atacante ha
realizado un reconocimiento
para un ataque futuro.
Se aplica a: Azure Blob
Storage, Azure Files
 TÁ C T IC A S M IT RE
A L ERTA ( T IP O DE A L ERTA ) DESC RIP C IÓ N ( M Á S IN F O RM A C IÓ N ) SEVERIT Y

Cantidad inusual de Indica que se ha extraído Exfiltración Media

datos extraídos de una una cantidad de datos
cuenta de inusualmente grande en
almacenamiento comparación con la
(Storage.Blob_DataExfiltratio actividad reciente en este
n.AmountOfDataAnomaly contenedor de
Storage.Blob_DataExfiltratio almacenamiento. Una causa
n.NumberOfBlobsAnomaly posible es que un atacante
Storage.Files_DataExfiltratio haya extraído una gran
n.AmountOfDataAnomaly cantidad de datos de un
Storage.Files_DataExfiltratio contenedor que incluye
n.NumberOfFilesAnomaly) almacenamiento en blobs.
Se aplica a: Azure Blob
Storage, Azure Files, Azure
Data Lake Storage Gen2

Acceso de una Indica que una aplicación Explotación Media

aplicación inusual a una inusual ha accedido a esta
cuenta de cuenta de almacenamiento.
almacenamiento Una posible causa es que
(Storage.Blob_ApplicationAn un atacante ha accedido a
omaly la cuenta de
Storage.Files_ApplicationAn almacenamiento mediante
omaly) el uso de una aplicación
nueva.
Se aplica a: Azure Blob
Storage, Azure Files

Cambio inusual de Indica que los permisos de Persistencia Media

permisos de acceso en acceso a un contenedor de
una cuenta de almacenamiento se han
almacenamiento cambiado de un modo
(Storage.Blob_PermissionsC inusual. Una causa posible
hangeAnomaly es que un atacante ha
Storage.Files_PermissionsCh cambiado los permisos del
angeAnomaly) contenedor para debilitar su
posición de seguridad o
para ganar persistencia.
Se aplica a: Azure Blob
Storage, Azure Files, Azure
Data Lake Storage Gen2

Exploración de datos Indica que los blobs o los Colección Media

inusual en una cuenta contenedores de una
de almacenamiento cuenta de almacenamiento
(Storage.Blob_DataExplorati se han enumerado de un
onAnomaly modo anómalo, en
Storage.Files_DataExploratio comparación con la
nAnomaly) actividad reciente de esta
cuenta. Una posible causa
es que un atacante ha
realizado un reconocimiento
para un ataque futuro.
Se aplica a: Azure Blob
Storage, Azure Files
 TÁ C T IC A S M IT RE
A L ERTA ( T IP O DE A L ERTA ) DESC RIP C IÓ N ( M Á S IN F O RM A C IÓ N ) SEVERIT Y

Eliminación inusual en Indica que se han Exfiltración Media

una cuenta de producido una o varias
almacenamiento operaciones de eliminación
(Storage.Blob_DeletionAno inesperadas en una cuenta
maly de almacenamiento, en
Storage.Files_DeletionAnom comparación con la
aly) actividad reciente en la
cuenta. Una posible causa
es que un atacante haya
eliminado datos de la
cuenta de almacenamiento.
Se aplica a: Azure Blob
Storage, Azure Files, Azure
Data Lake Storage Gen2

Carga inusual de .cspkg Indica que se ha cargado un LateralMovement/Ejecución Media

en una cuenta de paquete de Azure Cloud
almacenamiento Services (archivo .cspkg) en
(Storage.Blob_CspkgUpload una cuenta de
Anomaly) almacenamiento de manera
inusual, en comparación
con la actividad reciente en
esta cuenta. Una posible
causa es que un atacante
ha estado preparándose
para implementar código
malintencionado desde la
cuenta de almacenamiento
en un servicio en la nube de
Azure.
Se aplica a: Azure Blob
Storage, Azure Data Lake
Storage Gen2

Carga inusual de un Indica que se ha cargado un LateralMovement/Ejecución Media

archivo .exe en una archivo .exe en una cuenta
cuenta de de almacenamiento de
almacenamiento manera inusual, en
(Storage.Blob_ExeUploadAn comparación con la
omaly actividad reciente en esta
Storage.Files_ExeUploadAno cuenta. Una posible causa
maly) es que un atacante haya
cargado un archivo
ejecutable malintencionado
en su cuenta de
almacenamiento o que un
usuario legítimo haya
cargado un archivo
ejecutable.
Se aplica a: Azure Blob
Storage, Azure Files, Azure
Data Lake Storage Gen2

Alertas de Azure Cosmos DB (versión preliminar)

Más detalles y notas
 TÁ C T IC A S M IT RE
A L ERTA DESC RIP C IÓ N ( M Á S IN F O RM A C IÓ N ) SEVERIT Y

VERSIÓN PRELIMINAR: Indica que se ha producido Explotación Media

acceso desde una un cambio en el patrón de
ubicación inusual a una acceso a una cuenta de
cuenta de Cosmos DB Azure Cosmos DB. Alguien
ha tenido acceso a esta
cuenta desde una dirección
IP desconocida, en
comparación con la
actividad reciente. Un
atacante ha tenido acceso a
la cuenta, o bien un usuario
legítimo ha accedido a ella
desde una ubicación
geográfica nueva e inusual.
Un ejemplo de esto último
es el mantenimiento
remoto desde una nueva
aplicación o desarrollador.

VERSIÓN PRELIMINAR: Indica que se ha producido Exfiltración Media

cantidad inusual de un cambio en el patrón de
datos extraídos de una extracción de datos desde
cuenta de Cosmos DB una cuenta de
Azure Cosmos DB. Alguien
ha extraído una cantidad de
datos inusual en
comparación con la
actividad reciente. Un
atacante podría haber
extraído una gran cantidad
de datos de una base de
datos de Azure Cosmos DB
(por ejemplo, la filtración de
datos o una transferencia
de datos no autorizada). O
bien, una aplicación o un
usuario legítimos podrían
haber extraído una cantidad
de datos inusual de un
contenedor (por ejemplo,
para la actividad de copia
de seguridad de
mantenimiento).

Alertas de la capa de red de Azure

Más detalles y notas

TÁ C T IC A S M IT RE
A L ERTA DESC RIP C IÓ N ( M Á S IN F O RM A C IÓ N ) SEVERIT Y
 TÁ C T IC A S M IT RE
A L ERTA DESC RIP C IÓ N ( M Á S IN F O RM A C IÓ N ) SEVERIT Y

Se detectó una El análisis del tráfico de red - Media

comunicación de red indica que la máquina (IP %
con una máquina {Victim IP}) se ha
malintencionada. comunicado con lo que
posiblemente es un centro
de comando y control.
Cuando el recurso que se
encuentra en peligro es un
equilibrador de carga o una
puerta de enlace de
aplicaciones, la actividad
sospechosa podría indicar
que uno o varios de los
recursos del grupo de back-
end (del equilibrador de
carga o de la puerta de
enlace de aplicaciones) se
han comunicado con lo que
posiblemente es un centro
de comando y control.

Se detectó una posible La información sobre - Media

máquina en peligro. amenazas indica que un
malware de tipo Conficker
puede haber puesto en
peligro la máquina (con la
IP %{Machine IP}). Conficker
es un gusano de equipos
que tiene como destino el
sistema operativo
Microsoft Windows y que
se detectó por primera vez
en noviembre de 2008. Ha
infectado millones de
equipos, incluidos equipos
gubernamentales,
empresariales y particulares
de más de 200 países o
regiones, lo que lo
convierte en la infección de
gusanos de equipos más
importante, desde el
gusano Welchia de 2003.
 TÁ C T IC A S M IT RE
A L ERTA DESC RIP C IÓ N ( M Á S IN F O RM A C IÓ N ) SEVERIT Y

Se detectaron posibles El análisis de tráfico de red - Media

intentos de ataques por detectó una comunicación
fuerza bruta entrantes entrante del servicio %
del ser vicio %{Ser vice {Service Name} dirigida a la
Name}. IP %{Victim IP}, que está
asociada al recurso %
{Compromised Host} de la
IP %{Attacker IP}. Cuando el
recurso que se encuentra
en peligro es un
equilibrador de carga o una
puerta de enlace de
aplicaciones, significa que el
tráfico entrante sospechoso
se ha reenviado a uno o
varios de los recursos del
grupo de back-end (del
equilibrador de carga o de
la puerta de enlace de
aplicaciones). En concreto,
los datos de red del ejemplo
muestran la actividad
sospechosa entre las %
{Start Time} y las %{End
Time} en el puerto %{Victim
Port}. Esta actividad es
coherente con los intentos
de ataque por fuerza bruta
contra los servidores del
servicio %{Service Name}.

Se detectaron posibles El análisis de tráfico de red - Media

intentos de ataques por detectó una comunicación
fuerza bruta de SQL entrante de SQL dirigida a
entrantes. la IP %{Victim IP}, que está
asociada al recurso %
{Compromised Host} de la
IP %{Attacker IP}. Cuando el
recurso que se encuentra
en peligro es un
equilibrador de carga o una
puerta de enlace de
aplicaciones, significa que el
tráfico entrante sospechoso
se ha reenviado a uno o
varios de los recursos del
grupo de back-end (del
equilibrador de carga o de
la puerta de enlace de
aplicaciones). En concreto,
los datos de red del ejemplo
muestran la actividad
sospechosa entre las %
{Start Time} y las %{End
Time} en el puerto %{Port
Number} (%{SQL Service
Type}). Esta actividad es
coherente con los intentos
de ataque por fuerza bruta
contra servidores SQL.
 TÁ C T IC A S M IT RE
A L ERTA DESC RIP C IÓ N ( M Á S IN F O RM A C IÓ N ) SEVERIT Y

Se detectó un posible El análisis del tráfico de red - Media

ataque por denegación detectó una actividad de
de ser vicio de salida. salida anómala procedente
del host %{Compromised
Host}, un recurso de la
implementación. Esta
actividad puede indicar que
el recurso se puso en
peligro y ahora está
llevando a cabo ataques por
denegación de servicio
contra puntos de conexión
externos. Cuando el recurso
que se encuentra en peligro
es un equilibrador de carga
o una puerta de enlace de
aplicaciones, la actividad
sospechosa puede indicar
que se pusieron en peligro
uno o varios de los recursos
del grupo de back-end (del
equilibrador de carga o de
la puerta de enlace de
aplicaciones). Según el
volumen de las conexiones,
creemos que es posible que
las siguientes direcciones IP
sean los destinos del ataque
DoS: %{Possible Victims}.
Tenga en cuenta que puede
que la comunicación con
algunas de estas direcciones
IP sea legítima.
 TÁ C T IC A S M IT RE
A L ERTA DESC RIP C IÓ N ( M Á S IN F O RM A C IÓ N ) SEVERIT Y

Se detectó una posible El análisis del tráfico de red - Media

actividad de detección detectó la presencia de
de puer tos de salida. tráfico saliente sospechoso
desde el host %
{Compromised Host}. Este
tráfico puede derivarse de
una actividad de detección
de puertos. Cuando el
recurso que se encuentra
en peligro es un
equilibrador de carga o una
puerta de enlace de
aplicaciones, significa que el
tráfico saliente sospechoso
se ha originado en uno o
varios de los recursos del
grupo de back-end (del
equilibrador de carga o de
la puerta de enlace de
aplicaciones). Si este
comportamiento es
intencionado, tenga en
cuenta que la detección de
puertos se realiza de
acuerdo con los términos
del servicio de Azure. Si este
comportamiento no es
intencionado, puede
significar que el recurso se
ha puesto en peligro.
 TÁ C T IC A S M IT RE
A L ERTA DESC RIP C IÓ N ( M Á S IN F O RM A C IÓ N ) SEVERIT Y

Actividad de red RDP El análisis de tráfico de red - Media

entrante sospechosa detectó una comunicación
procedente de varios entrante anómala del
orígenes Protocolo de escritorio
remoto dirigida a la IP %
{Victim IP}, que está
asociada al recurso %
{Compromised Host} de
varios orígenes. Cuando el
recurso que se encuentra
en peligro es un
equilibrador de carga o una
puerta de enlace de
aplicaciones, significa que el
tráfico entrante sospechoso
se ha reenviado a uno o
varios de los recursos del
grupo de back-end (del
equilibrador de carga o de
la puerta de enlace de
aplicaciones). En concreto,
los datos de red del ejemplo
indican que hay %{Number
of Attacking IPs} direcciones
IP únicas conectadas a su
recurso, lo que se considera
anómalo para este entorno.
Esta actividad puede indicar
un intento de ataque por
fuerza bruta al punto de
conexión de RDP desde
varios hosts (botnet).
 TÁ C T IC A S M IT RE
A L ERTA DESC RIP C IÓ N ( M Á S IN F O RM A C IÓ N ) SEVERIT Y

Actividad de red RDP El análisis de tráfico de red - Media

entrante sospechosa detectó una comunicación
entrante anómala del
Protocolo de escritorio
remoto dirigida a la IP %
{Victim IP}, que está
asociada al recurso %
{Compromised Host} de la
IP %{Attacker IP}. Cuando el
recurso que se encuentra
en peligro es un
equilibrador de carga o una
puerta de enlace de
aplicaciones, significa que el
tráfico entrante sospechoso
se ha reenviado a uno o
varios de los recursos del
grupo de back-end (del
equilibrador de carga o de
la puerta de enlace de
aplicaciones). En concreto,
los datos de red del ejemplo
indican que hay %{Number
of Connections} conexiones
entrantes a su recurso, lo
que se considera anómalo
para este entorno. Esta
actividad puede indicar un
intento de ataque por
fuerza bruta al punto de
conexión de RDP.
 TÁ C T IC A S M IT RE
A L ERTA DESC RIP C IÓ N ( M Á S IN F O RM A C IÓ N ) SEVERIT Y

Actividad de red SSH El análisis de tráfico de red - Media

entrante sospechosa detectó una comunicación
procedente de varios entrante anómala de SSH
orígenes dirigida a la IP %{Victim IP},
que está asociada al recurso
%{Compromised Host} de
varios orígenes. Cuando el
recurso que se encuentra
en peligro es un
equilibrador de carga o una
puerta de enlace de
aplicaciones, significa que el
tráfico entrante sospechoso
se ha reenviado a uno o
varios de los recursos del
grupo de back-end (del
equilibrador de carga o de
la puerta de enlace de
aplicaciones). En concreto,
los datos de red del ejemplo
indican que hay %{Number
of Attacking IPs} direcciones
IP únicas conectadas a su
recurso, lo que se considera
anómalo para este entorno.
Esta actividad puede indicar
un intento de ataque por
fuerza bruta al punto de
conexión de SSH desde
varios hosts (botnet).

Actividad de red SSH El análisis de tráfico de red - Media

entrante sospechosa detectó una comunicación
entrante anómala de SSH
dirigida a la IP %{Victim IP},
que está asociada al recurso
%{Compromised Host} de la
IP %{Attacker IP}. Cuando el
recurso que se encuentra
en peligro es un
equilibrador de carga o una
puerta de enlace de
aplicaciones, significa que el
tráfico entrante sospechoso
se ha reenviado a uno o
varios de los recursos del
grupo de back-end (del
equilibrador de carga o de
la puerta de enlace de
aplicaciones). En concreto,
los datos de red del ejemplo
indican que hay %{Number
of Connections} conexiones
entrantes a su recurso, lo
que se considera anómalo
para este entorno. Esta
actividad puede indicar un
intento de ataque por
fuerza bruta al punto de
conexión de SSH.
 TÁ C T IC A S M IT RE
A L ERTA DESC RIP C IÓ N ( M Á S IN F O RM A C IÓ N ) SEVERIT Y

Se detectó tráfico El análisis del tráfico de red - Media

sospechoso del detectó la presencia de
protocolo %{Attacked tráfico saliente sospechoso
Protocol} saliente. desde el host %
{Compromised Host} al
puerto de destino %{Most
Common Port}. Cuando el
recurso que se encuentra
en peligro es un
equilibrador de carga o una
puerta de enlace de
aplicaciones, significa que el
tráfico saliente sospechoso
se ha originado en uno o
varios de los recursos del
grupo de back-end (del
equilibrador de carga o de
la puerta de enlace de
aplicaciones). Este
comportamiento puede
indicar que el recurso
participa en intentos de
ataques por fuerza bruta o
de barrido de puertos en el
protocolo %{Attacked
Protocol}.
 TÁ C T IC A S M IT RE
A L ERTA DESC RIP C IÓ N ( M Á S IN F O RM A C IÓ N ) SEVERIT Y

Actividad de red RDP El análisis de tráfico de red - Alto

saliente sospechosa detectó una comunicación
hacia varios destinos saliente anómala del
Protocolo de escritorio
remoto (RDP) dirigida a
varios destinos y
procedente del host %
{Compromised Host} (de la
IP %{Attacker IP}), un
recurso de su
implementación. Cuando el
recurso que se encuentra
en peligro es un
equilibrador de carga o una
puerta de enlace de
aplicaciones, significa que el
tráfico saliente sospechoso
se ha originado en uno o
varios de los recursos del
grupo de back-end (del
equilibrador de carga o de
la puerta de enlace de
aplicaciones). En concreto,
los datos de red del ejemplo
indican que su máquina se
conecta a %{Number of
Attacked IPs} direcciones IP
únicas, lo que se considera
anómalo para este entorno.
Esta actividad puede indicar
que el recurso está en
peligro y ahora se utiliza
para realizar ataques por
fuerza bruta contra puntos
de conexión de RDP
externos. Tenga en cuenta
que este tipo de actividad
puede dar lugar a que
entidades externas
marquen su dirección IP
como malintencionada.
 TÁ C T IC A S M IT RE
A L ERTA DESC RIP C IÓ N ( M Á S IN F O RM A C IÓ N ) SEVERIT Y

Actividad de red RDP El análisis de tráfico de red - Alto

saliente sospechosa detectó una comunicación
saliente anómala del
Protocolo de escritorio
remoto (RDP) dirigida a la
IP %{Victim IP} y
procedente del host %
{Compromised Host} (de la
IP %{Attacker IP}), un
recurso de su
implementación. Cuando el
recurso que se encuentra
en peligro es un
equilibrador de carga o una
puerta de enlace de
aplicaciones, significa que el
tráfico saliente sospechoso
se ha originado en uno o
varios de los recursos del
grupo de back-end (del
equilibrador de carga o de
la puerta de enlace de
aplicaciones). En concreto,
los datos de red del ejemplo
indican que hay %{Number
of Connections} conexiones
salientes desde su recurso,
lo que se considera
anómalo para este entorno.
Esta actividad puede indicar
que el equipo está en
peligro y ahora se utiliza
para ataques por fuerza
bruta contra puntos de
conexión de RDP externos.
Tenga en cuenta que este
tipo de actividad puede dar
lugar a que entidades
externas marquen su
dirección IP como
malintencionada.
 TÁ C T IC A S M IT RE
A L ERTA DESC RIP C IÓ N ( M Á S IN F O RM A C IÓ N ) SEVERIT Y

Actividad de red de SSH El análisis de tráfico de red - Media

saliente sospechosa detectó una comunicación
hacia varios destinos saliente anómala de SSH
dirigida a varios destinos y
procedente del host %
{Compromised Host} (de la
IP %{Attacker IP}), un
recurso de su
implementación. Cuando el
recurso que se encuentra
en peligro es un
equilibrador de carga o una
puerta de enlace de
aplicaciones, significa que el
tráfico saliente sospechoso
se ha originado en uno o
varios de los recursos del
grupo de back-end (del
equilibrador de carga o de
la puerta de enlace de
aplicaciones). En concreto,
los datos de red del ejemplo
indican que su recurso se
conecta a %{Number of
Attacked IPs} direcciones IP
únicas, lo que se considera
anómalo para este entorno.
Esta actividad puede indicar
que el recurso está en
peligro y ahora se utiliza
para realizar ataques por
fuerza bruta contra puntos
de conexión de SSH
externos. Tenga en cuenta
que este tipo de actividad
puede dar lugar a que
entidades externas
marquen su dirección IP
como malintencionada.
 TÁ C T IC A S M IT RE
A L ERTA DESC RIP C IÓ N ( M Á S IN F O RM A C IÓ N ) SEVERIT Y

Actividad de red de SSH El análisis de tráfico de red - Media

saliente sospechosa detectó una comunicación
saliente anómala de SSH
dirigida a la IP %{Victim IP}
y procedente del host %
{Compromised Host} (de la
IP %{Attacker IP}), un
recurso de su
implementación. Cuando el
recurso que se encuentra
en peligro es un
equilibrador de carga o una
puerta de enlace de
aplicaciones, significa que el
tráfico saliente sospechoso
se ha originado en uno o
varios de los recursos del
grupo de back-end (del
equilibrador de carga o de
la puerta de enlace de
aplicaciones). En concreto,
los datos de red del ejemplo
indican que hay %{Number
of Connections} conexiones
salientes desde su recurso,
lo que se considera
anómalo para este entorno.
Esta actividad puede indicar
que el recurso está en
peligro y ahora se utiliza
para realizar ataques por
fuerza bruta contra puntos
de conexión de SSH
externos. Tenga en cuenta
que este tipo de actividad
puede dar lugar a que
entidades externas
marquen su dirección IP
como malintencionada.

Se detectó tráfico desde Azure Security Center Sondeo Bajo

direcciones IP detectó tráfico entrante
recomendadas para el procedente de direcciones
bloqueo. IP que le recomendamos
que bloquee. Esto suele
ocurrir cuando esta
dirección IP no se comunica
con regularidad con este
recurso. Como alternativa,
la dirección IP se ha
marcado como
malintencionada en los
orígenes de inteligencia
sobre amenazas de Security
Center.

Alertas de Azure Key Vault

Más detalles y notas

TÁ C T IC A S M IT RE
A L ERTA ( T IP O DE A L ERTA ) DESC RIP C IÓ N ( M Á S IN F O RM A C IÓ N ) SEVERIT Y

Acceso desde un nodo Se ha accedido a un CredentialAccess Media

de salida de TOR a un almacén de claves desde un
almacén de claves nodo de salida de TOR
KV_TORAccess conocido. Esto podría
indicar que un atacante ha
accedido al almacén de
claves y está usando la red
TOR para ocultar su
ubicación de origen. Se
recomienda seguir
investigando.

Gran volumen de Un usuario, una entidad de CredentialAccess Media

operaciones en un servicio o un almacén de
almacén de claves claves concretos han
KV_OperationVolumeAnom realizado un número
aly anómalo de operaciones de
almacén de claves. Este
patrón de actividad
anómala puede ser legítimo,
pero también podría ser
una indicación de que un
atacante ha obtenido
acceso al almacén de claves
y a los secretos que este
contiene. Se recomienda
seguir investigando.

Cambio sospechoso de Un usuario o una entidad CredentialAccess Media

directiva y consulta de de servicio han realizado
secretos en un almacén una operación anómala de
de claves cambio de directiva put de
KV_PutGetAnomaly almacén seguida de una o
varias operaciones get para
secretos. Este patrón no lo
suelen realizar el usuario o
la entidad de servicio
especificados. Puede ser
una actividad legítima, pero
también podría ser una
indicación de que un
atacante ha actualizado la
directiva del almacén de
claves para acceder a
secretos a los que antes no
se podía acceder. Se
recomienda seguir
investigando.
 TÁ C T IC A S M IT RE
A L ERTA ( T IP O DE A L ERTA ) DESC RIP C IÓ N ( M Á S IN F O RM A C IÓ N ) SEVERIT Y

Lista y consulta de Un usuario o una entidad CredentialAccess Media

secretos sospechosos de servicio han realizado
en un almacén de claves una operación list para
KV_ListGetAnomaly secretos seguida de una o
varias operaciones get para
secretos. Este patrón no lo
suelen realizar el usuario o
la entidad de servicio
especificados y se suele
asociar con el volcado de
secretos. Puede tratarse de
una actividad legítima, pero
también podría ser una
indicación de que un
atacante ha obtenido
acceso al almacén de claves
e intenta detectar secretos
que se pueden usar para
realizar un ataque por
desplazamiento lateral a
través de la red o acceder a
recursos confidenciales. Se
recomienda seguir
investigando.

Acceso de una Una entidad de servicio que CredentialAccess Media

aplicación inusual a un normalmente no accede a
almacén de claves un almacén de claves lo ha
KV_AppAnomaly hecho. Este patrón de
acceso anómalo puede ser
una actividad legítima, pero
también podría ser una
indicación de que un
atacante ha obtenido
acceso al almacén de claves
en un intento de acceder a
los secretos que este
contiene. Se recomienda
seguir investigando.

Patrón de operación Un usuario, una entidad de CredentialAccess Media

inusual en un almacén servicio o un almacén de
de claves claves concretos han
KV_OperationPatternAnom realizado un patrón
aly anómalo de operaciones del
almacén de claves. Este
patrón de actividad
anómala puede ser legítimo,
pero también podría ser
una indicación de que un
atacante ha obtenido
acceso al almacén de claves
y a los secretos que este
contiene. Se recomienda
seguir investigando.
 TÁ C T IC A S M IT RE
A L ERTA ( T IP O DE A L ERTA ) DESC RIP C IÓ N ( M Á S IN F O RM A C IÓ N ) SEVERIT Y

Acceso de un usuario Un usuario que CredentialAccess Media

inusual a un almacén de normalmente no accede a
claves un almacén de claves, lo ha
KV_UserAnomaly hecho. Este patrón de
acceso anómalo puede ser
una actividad legítima, pero
también podría ser una
indicación de que un
atacante ha obtenido
acceso al almacén de claves
en un intento de acceder a
los secretos que este
contiene. Se recomienda
seguir investigando.

Acceso de un par Un par usuario-entidad de CredentialAccess Media

inusual de usuario y servicio que normalmente
aplicación a un almacén no accede a un almacén de
de claves claves lo ha hecho. Este
KV_UserAppAnomaly patrón de acceso anómalo
puede ser una actividad
legítima, pero también
podría ser una indicación de
que un atacante ha
obtenido acceso al almacén
de claves en un intento de
acceder a los secretos que
este contiene. Se
recomienda seguir
investigando.

Acceso de un usuario a Un usuario o una entidad CredentialAccess Media

un gran volumen de de servicio han accedido a
almacenes de claves un volumen anómalo de
KV_AccountVolumeAnomal almacenes de claves. Este
y patrón de acceso anómalo
puede ser una actividad
legítima, pero también
podría ser una indicación de
que un atacante ha
obtenido acceso a varios
almacenes de claves en un
intento de acceder a los
secretos que estos
contienen. Se recomienda
seguir investigando.

Alertas de Azure DDoS Protection

Más detalles y notas
 TÁ C T IC A S M IT RE
A L ERTA DESC RIP C IÓ N ( M Á S IN F O RM A C IÓ N ) SEVERIT Y

Se detectó un ataque Se detectó un ataque DDoS Sondeo Alto

DDoS de la dirección IP de la dirección IP pública y
pública. se está mitigando.

Se mitigó un ataque Se mitigó un ataque DDoS Sondeo Bajo

DDoS de la dirección IP de la dirección IP pública
pública. (dirección IP).

Alertas de incidente de seguridad

Más detalles y notas

TÁ C T IC A S M IT RE
A L ERTA DESC RIP C IÓ N ( M Á S IN F O RM A C IÓ N ) SEVERIT Y

Incidente de seguridad El incidente que se inició a - Alto

detectado con proceso las {hora de inicio (UTC)} y
compar tido que se detectó
recientemente a las {hora
de detección (UTC)} indica
que un atacante ha {acción
realizada} su recurso {host}

Incidente de seguridad El incidente que se inició a - Media

detectado en varios las {hora de inicio (UTC)} y
recursos que se detectó
recientemente a las {hora
detectada (UTC)} indica que
se realizaron métodos de
ataque similares en los
recursos en la nube {host}

Incidente de seguridad El incidente que se inició a - Alto

detectado del mismo las {hora de inicio (UTC)} y
origen que se detectó
recientemente a las {hora
de detección (UTC)} indica
que un atacante ha {acción
realizada} su recurso {host}

Incidente de seguridad El incidente que se inició a - Media

detectado en varias las {hora de inicio (UTC)} y
máquinas que se detectó
recientemente a las {hora
de detección (UTC)} indica
que un atacante ha {acción
realizada} sus recursos
{host}

Tácticas de MITRE ATT&CK

Comprender la intención de un ataque puede ayudarle a investigar y notificar el evento más fácilmente. Para
ayudarle en estos esfuerzos, las alertas de Azure Security Center incluyen tácticas de MITRE con muchas de las
alertas.
La serie de pasos que describen la progresión de un ciberataque desde el reconocimiento a la exfiltración de
datos se denomina a menudo "cadena de eliminación".
Las intenciones de la cadena de eliminación admitidas de Security Center se basan en la versión 7 de MITRE
ATT&CK Matrix y se describen en la tabla siguiente.

TÁ C T IC A DESC RIP C IÓ N

PreAttack PreAttack podría ser un intento de

tener acceso a un recurso
determinado, con independencia de
que se trate de un intento
malintencionado, o bien un error al
intentar obtener acceso a un sistema
de destino para recopilar información
antes de la explotación. Este paso se
detecta normalmente como un
intento, que se origina desde fuera de
la red, para examinar el sistema de
destino e identificar un punto de
entrada.

InitialAccess InitialAccess es la fase en la que un

atacante se encarga de poner en
marcha el recurso atacado. Esta fase es
importante para los hosts de proceso
y recursos, como las cuentas de
usuario, los certificados, etc. Los
actores de amenazas suelen ser
capaces de controlar el recurso
después de esta fase.

Persistencia La persistencia es cualquier cambio en

el acceso, la acción o la configuración
de un sistema que proporcione a un
actor de amenaza una presencia
persistente en ese sistema. Los actores
de amenazas suelen necesitar
mantener el acceso a los sistemas a
través de interrupciones, como
reinicios del sistema, pérdida de
credenciales u otros errores que
requieran que se reinicie una
herramienta de acceso remoto o que
proporcionen una puerta trasera
alternativa para recuperar el acceso.
TÁ C T IC A DESC RIP C IÓ N

PrivilegeEscalation La elevación de privilegios es el

resultado de una serie de acciones que
permiten a un adversario obtener un
mayor nivel de permisos en un sistema
o red. Ciertas herramientas o acciones
requieren un mayor nivel de privilegios
para trabajar y es probable que
necesiten muchos puntos a lo largo de
una operación. Las cuentas de usuario
con permisos para acceder a sistemas
específicos o realizar funciones
específicas necesarias para que los
adversarios alcancen su objetivo
también se pueden considerar como
una elevación de privilegios.

DefenseEvasion La evasión defensiva consiste en una

serie de técnicas que un adversario
puede usar para evadir la detección o
evitar otras defensas. A veces, estas
acciones son las mismas que las
técnicas (o variaciones de) de otras
categorías que tienen la ventaja
adicional de revertir una defensa o
mitigación determinada.

CredentialAccess El acceso a credenciales representa

técnicas que tienen como resultado el
acceso o el control sobre las
credenciales del sistema, dominio o
servicio que se usan en un entorno
empresarial. Los adversarios
probablemente intentarán obtener
credenciales legítimas de usuarios o
cuentas de administrador
(administrador del sistema local o
usuarios del dominio con acceso de
administrador) para usarlas dentro de
la red. Con el acceso suficiente dentro
de una red, un adversario puede crear
cuentas para su uso posterior en el
entorno.

Detección La detección consiste en una serie de

técnicas que permiten al adversario
obtener información sobre el sistema y
la red interna. Cuando los adversarios
obtienen acceso a un nuevo sistema,
deben orientarse a lo que ahora tienen
el control y lo que las ventajas que
aportan ese sistema a su objetivo
actual o a sus objetivos generales
durante la intrusión. El sistema
operativo proporciona muchas
herramientas nativas que ayudan en
esta fase de recopilación de
información que se pone en peligro.
TÁ C T IC A DESC RIP C IÓ N

LateralMovement El movimiento lateral se compone de

técnicas que permiten a un adversario
tener acceso y controlar sistemas
remotos en una red y, pero no
necesariamente, incluir la ejecución de
herramientas en sistemas remotos. Las
técnicas de movimiento lateral podrían
permitir que un adversario recopile
información de un sistema sin
necesidad de herramientas adicionales,
como una herramienta de acceso
remoto. Un adversario puede usar el
movimiento lateral para muchos
propósitos, como la ejecución remota
de herramientas, la dinamización de
sistemas adicionales, el acceso a
información específica o archivos, el
acceso a credenciales adicionales o la
causa de un efecto.

Ejecución La táctica de ejecución representa una

serie de técnicas para ejecutar código
controlado por adversarios en un
sistema local o remoto. Esta táctica
suele usarse junto con el movimiento
lateral para expandir el acceso a los
sistemas remotos de una red.

Colección La colección consta de técnicas que se

utilizan para identificar y recopilar
información, como archivos
confidenciales, de una red de destino
antes de la exfiltración. Esta categoría
también abarca ubicaciones en un
sistema o una red donde el adversario
puede buscar información para el
filtrado.

Exfiltración La exfiltración hace referencia a

técnicas y atributos que permiten o
ayudan a que el adversario elimine
archivos e información de una red de
destino. Esta categoría también abarca
ubicaciones en un sistema o una red
donde el adversario puede buscar
información para el filtrado.

CommandAndControl La táctica de control y comando

representa la forma en la que los
adversarios se comunican con los
sistemas bajo su control en una red de
destino.
 TÁ C T IC A DESC RIP C IÓ N

Impacto Los eventos de impacto intentan

principalmente reducir directamente la
disponibilidad o la integridad de un
sistema, servicio o red; incluida la
manipulación de datos para afectar a
un proceso empresarial o operativo.
Esto suele hacer referencia a técnicas
como ransomware, desmiración,
manipulación de datos y otros.

NOTE
En el caso de las alertas que están en versión preliminar: Los Términos de uso complementarios para las versiones
preliminares de Azure incluyen los términos legales adicionales que se aplican a las características de Azure que se
encuentran en la versión beta, en versión preliminar o que todavía no se han publicado con disponibilidad general.

Pasos siguientes
Para más información sobre las alertas, consulte lo siguiente:
Alertas de seguridad en el Centro de seguridad de Azure
Administración y respuesta a alertas de seguridad en Azure Security Center
Exportación continua de datos de Security Center
 Página de información general de Azure Security
Center
22/03/2021 • 4 minutes to read • Edit Online

Al abrir Azure Security Center, la primera página que aparece es la página de información general.
Este panel interactivo proporciona una vista unificada de la posición de seguridad de las cargas de trabajo de la
nube híbrida. Además, muestra alertas de seguridad, información de cobertura y mucho más.
Puede seleccionar cualquier elemento de la página para obtener información más detallada.

Características de la página de información general

La barra de menús superior ofrece:

Suscripciones : puede ver y filtrar la lista de suscripciones seleccionando este botón. Security Center
ajustará la pantalla para reflejar la postura de seguridad de las suscripciones seleccionadas.
Novedades : abre las notas de la versión para que pueda mantenerse al día de nuevas características,
 correcciones de errores y funcionalidad en desuso.
Números de alto nivel para las cuentas de nube conectadas, para mostrar el contexto de la información en
los iconos principales siguientes. También se muestran el número de recursos evaluados, las
recomendaciones activas y las alertas de seguridad. Seleccione el número de recursos evaluados para
acceder al inventario de recursos. Obtenga más información sobre la conexión de las cuentas de AWS y los
proyectos de GCP.
En el centro de la página, hay cuatro iconos centrales , y cada uno de ellos está vinculado a un panel dedicado
para obtener más información:
Puntuación de seguridad : Security Center evalúa continuamente los recursos, las suscripciones y la
organización en busca de problemas de seguridad. A continuación, agrega todos los resultados a una sola
puntuación para que pueda conocer de un vistazo la situación de la seguridad actual: cuanto mayor sea la
puntuación, menor será el nivel de riesgo identificado. Más información.
Cumplimiento normativo : Security Center proporciona información detallada acerca de su estado de
cumplimiento basada en la evaluación continua de su entorno de Azure. Security Center analiza los factores
de riesgo en su entorno de nube híbrida según los procedimientos recomendados de seguridad. Estas
valoraciones se asignan a los controles de cumplimiento desde un conjunto de estándares compatible. Más
información.
Azure Defender : es la plataforma de protección de cargas de trabajo en la nube (CWPP) integrada en
Security Center para la protección avanzada e inteligente de las cargas de trabajo híbridas y de Azure. El
icono muestra la cobertura de los recursos conectados (para las suscripciones seleccionadas actualmente) y
las alertas recientes, codificadas con colores según la gravedad. Más información.
Firewall Manager : este icono muestra el estado de los concentradores y redes desde Azure Firewall
Manager.
En el panel de Insights se ofrecen elementos personalizados para su entorno, incluidos los siguientes:
Recursos más atacados
Los controles de seguridad que tienen el máximo potencial de aumentar la puntuación de seguridad.
Recomendaciones activas con la mayoría de los recursos afectados
Entradas de blog recientes de expertos en Azure Security Center

Pasos siguientes
En esta página se presentó la página de información general de Security Center. Para obtener información
relacionada, consulte:
Explore y administre los recursos con las herramientas de administración e inventario de recursos.
Puntuación de seguridad de Azure Security Center
 Panel de Azure Defender
24/03/2021 • 3 minutes to read • Edit Online

El panel de Azure Defender proporciona lo siguiente:

Visibilidad de la cobertura de Azure Defender en los diferentes tipos de recursos
Vínculos para configurar las funcionalidades avanzadas de protección contra amenazas
Estado de incorporación e instalación del agente
Alertas de detección de amenazas de Azure Defender
Para acceder al panel de Azure Defender, seleccione Azure Defender en la sección Seguridad en la nube del
menú de Security Center.

¿Qué se muestra en el panel?

El panel incluye las secciones siguientes:

1. Cober tura de Azure Defender : aquí puede ver los tipos de recursos que se encuentran en su
suscripción y que pueden protegerse mediante Azure Defender. Siempre que proceda, tendrá también la
opción de actualizar. Si desea actualizar todos los recursos válidos posibles, seleccione Actualizar todo .
2. Aler tas de seguridad : cuando Azure Defender detecta una amenaza en cualquiera de las áreas del
entorno, genera una alerta. Estas alertas describen los detalles de los recursos afectados, los pasos de
corrección sugeridos y, en algunos casos, una opción para desencadenar una aplicación lógica como
respuesta. Al seleccionar cualquier parte de este gráfico, se abre la página de aler tas de seguridad .
3. Protección avanzada : Azure Defender incluye muchas capacidades avanzadas de protección contra
 amenazas para máquinas virtuales, bases de datos SQL, contenedores, aplicaciones web, la red y mucho
más. En esta sección de protección avanzada, puede ver el estado de los recursos de las suscripciones
seleccionadas para cada una de estas protecciones. Seleccione cualquiera de ellas para ir directamente al
área de configuración de ese tipo de protección.
4. Información detallada : este panel continuo de noticias, lecturas sugeridas y alertas de alta prioridad
aporta a Security Center información sobre aspectos de seguridad apremiantes que son pertinentes para
usted y su suscripción. Ya sea que se trate de una lista de vulnerabilidades y exposiciones comunes de
alta gravedad descubiertas en sus máquinas virtuales por una herramienta de análisis de
vulnerabilidades, o una nueva publicación de blog de un miembro del equipo de Security Center, lo
encontrará en el panel de información detallada de su panel de Azure Defender .

Pasos siguientes
En este artículo, aprendió las características del panel de Azure Defender.
Para más información sobre Azure Defender, consulte Introducción a Azure Defender.
Habilitación de Azure Defender
 Acceso y seguimiento de la puntuación segura
25/03/2021 • 7 minutes to read • Edit Online

Encontrará la puntuación de seguridad general, así como la puntuación por suscripción, mediante Azure Portal o
mediante programación, tal como se describe en las secciones siguientes:

TIP
Para obtener una explicación detallada de cómo se calculan las puntuaciones, consulte Cálculos: Descripción de la
puntuación.

Obtención de la puntuación de seguridad desde el portal

Security Center muestra la puntuación de forma destacada en el portal: es el primer icono principal de la página
de información general de Security Center. Al seleccionar este icono, irá a la página dedicada de puntuación de
seguridad, donde verá la puntuación dividida por suscripciones. Seleccione una suscripción única para ver la
lista detallada de las recomendaciones prioritarias y del posible impacto que su corrección tendrá en la
puntuación de la suscripción.
En resumen, la puntuación de seguridad se muestra en las siguientes ubicaciones en las páginas del portal de
Security Center.
En un icono en la página Información general (panel principal) de Security Center:

En la página dedicada Puntuación de seguridad , puede ver la puntuación de seguridad de la

suscripción y los grupos de administración:
 NOTE
Los grupos de administración para los que no tenga permisos suficientes mostrarán su puntuación como
"Restringido".

En la parte superior de la página Recomendaciones :

Obtención de la puntuación de seguridad desde la API de REST
Puede acceder a la puntuación a través de la API de puntuación segura. Los métodos de API proporcionan la
flexibilidad necesaria para consultar los datos y crear su propio mecanismo de creación de informes de las
puntuaciones seguras a lo largo del tiempo. Por ejemplo, puede usar Secure Scores API para obtener la
puntuación de una suscripción específica. Además, puede usar Secure Score Controls API para mostrar los
controles de seguridad y la puntuación actual de las suscripciones.

Para ver ejemplos de herramientas basadas en la API de puntuación de seguridad, consulte el área de
puntuación de seguridad de la comunidad de GitHub.

Obtención de la puntuación de seguridad desde Azure Resource

Graph
Azure Resource Graph proporciona acceso instantáneo a la información de los recursos en los entornos en la
nube con funcionalidades sólidas para filtrar, agrupar y ordenar. Es una forma rápida y eficaz de consultar
información en las suscripciones de Azure mediante programación o desde Azure Portal. Más información sobre
Azure Resource Graph.
Para acceder a la puntuación de seguridad de varias suscripciones con Azure Resource Graph:
1. Desde Azure Portal, abra el Explorador de Azure Resource Graph .

2. Escriba la consulta de Kusto (utilice los ejemplos siguientes como guía).

Esta consulta devuelve el identificador de la suscripción, la puntuación actual en puntos y como
porcentaje, y la puntuación máxima de la suscripción.

SecurityResources
| where type == 'microsoft.security/securescores'
| extend current = properties.score.current, max = todouble(properties.score.max)
| project subscriptionId, current, max, percentage = ((current / max)*100)

Esta consulta devuelve el estado de todos los controles de seguridad. Para cada control, obtendrá
el número de recursos incorrectos, la puntuación actual y la puntuación máxima.

SecurityResources
| where type == 'microsoft.security/securescores/securescorecontrols'
| extend SecureControl = properties.displayName, unhealthy =
properties.unhealthyResourceCount, currentscore = properties.score.current, maxscore =
properties.score.max
| project SecureControl , unhealthy, currentscore, maxscore

3. Seleccione Ejecutar consulta .

Seguimiento de la puntuación de seguridad a lo largo del tiempo

Informe de puntuación de seguridad a lo largo del tiempo en la página de libros
La página de libros de Security Center incluye un informe ya preparado para realizar un seguimiento visual de
las puntuaciones de las suscripciones, los controles de seguridad, etc. Obtenga más información en Creación de
informes completos e interactivos de los datos de Security Center.
Paneles de Power BI Pro
Si es un usuario de Power BI con una cuenta Pro, puede usar el panel de Power BI de puntuación de
seguridad a lo largo del tiempo para realizar un seguimiento de la puntuación de seguridad a lo largo del
tiempo e investigar los cambios.

TIP
Puede encontrar este panel, así como otras herramientas para trabajar mediante programación con la puntuación de
seguridad, en el área dedicada de la comunidad de Azure Security Center en GitHub: https://github.com/Azure/Azure-
Security-Center/tree/master/Secure%20Score.

El panel contiene los dos informes siguientes para ayudarle a analizar el estado de seguridad:
Resumen de los recursos : proporciona datos resumidos sobre el estado de los recursos.
Resumen de la puntuación de seguridad : proporciona datos resumidos sobre el progreso de la
puntuación. Use el gráfico "Secure score over time per subscription" para ver los cambios en la puntuación.
Si observa un cambio drástico en la puntuación, consulte la tabla "detected changes that may affect your
secure score" para buscar posibles cambios que puedan haber producido la variación. En esta tabla se
presentan recursos eliminados, recursos recién implementados o recursos que su estado de seguridad
cambió para una de las recomendaciones.
Pasos siguientes
En este artículo se describe cómo acceder a la puntuación de seguridad y realizar su seguimiento. Para obtener
material relacionado, consulte los siguientes artículos:
Más información sobre los distintos elementos de una recomendación
Recomendaciones de corrección
Ver las herramientas basadas en GitHub para trabajar mediante programación con la puntuación de
seguridad
 Exploración y administración de los recursos con
Asset Inventory
30/03/2021 • 12 minutes to read • Edit Online

La página de inventario de recursos de Azure Security Center proporciona una sola página para ver la posición
de seguridad de los recursos que se han conectado a Security Center.
Security Center analiza periódicamente el estado de seguridad de los recursos de Azure para identificar posibles
puntos vulnerables de la seguridad. A continuación, se proporcionan recomendaciones sobre cómo corregir
dichos puntos vulnerables.
Cuando algún recurso tenga recomendaciones pendientes, aparecerán en el inventario.
Use esta vista y sus filtros para abordar preguntas como:
¿Cuál de mis suscripciones con Azure Defender habilitado tiene recomendaciones pendientes?
¿A cuál de mis máquinas con la etiqueta "producción" le falta el agente de Log Analytics?
¿Cuántas máquinas, etiquetadas con una etiqueta específica, tienen recomendaciones pendientes?
¿Cuántos recursos de un grupo de recursos específico tienen resultados de seguridad de un servicio de
evaluación de vulnerabilidades?
Las posibilidades de administración de recursos de esta herramienta son sustanciales y continúan creciendo.

TIP
Las recomendaciones de seguridad de la página del inventario de recursos son las mismas que las de la página
Recomendaciones , pero aquí se muestran según el recurso afectado. Para más información sobre cómo resolver las
recomendaciones, consulte Implementación de recomendaciones de seguridad en Azure Security Center.

Disponibilidad
A SP EC TO DETA L L ES

Estado de la versión: Disponibilidad general (GA)

Precios: Gratuito

Roles y permisos necesarios: Todos los usuarios

Nubes: Nubes comerciales

Nacionales o soberanas (US Gov, China Gov, otros
gobiernos)

¿Cuáles son las características clave del inventario de recursos?

La página de inventario proporciona las siguientes herramientas:
1: Resúmenes
Antes de definir ningún filtro, una franja destacada de valores en la parte superior de la vista de inventario
muestra lo siguiente:
Recursos totales : número total de recursos conectados a Security Center.
Recursos con estado incorrecto : recursos con recomendaciones de seguridad activas. Más información
sobre las recomendaciones de seguridad.
Unmonitored resources (Recursos no supervisados): recursos con problemas de supervisión del agente;
tienen implementado el agente de Log Analytics, pero no envía datos o tiene otros problemas de estado.
Suscripciones no registradas : cualquier suscripción del ámbito seleccionado que todavía no se ha
conectado a Azure Security Center.
2: Filtros
Los distintos filtros de la parte superior de la página proporcionan una manera de refinar rápidamente la lista
de recursos según la pregunta que intenta responder. Por ejemplo, si quisiera responder a la pregunta ¿A cuáles
de mis máquinas con la etiqueta "Producción" les falta el agente de Log Analytics? , podría combinar el filtro
Super visión del agente con el filtro Etiquetas .
En cuanto haya aplicado filtros, los valores de resumen se actualizarán para relacionarlos con los resultados de
la consulta.
3: Herramientas de administración de recursos y exportación
Opciones de expor tación : el inventario incluye una opción para exportar los resultados de las opciones de
filtro seleccionadas a un archivo CSV. También puede exportar la consulta propiamente dicha a Azure Resource
Graph Explorer para refinar aún más, guardar o modificar la consulta del lenguaje de consulta Kusto (KQL).

TIP
La documentación de KQL proporciona una base de datos con algunos datos de ejemplo junto con algunas consultas
sencillas para saber cómo funciona el lenguaje. Más información en este tutorial de KQL.

Opciones de administración de recursos : el inventario le permite realizar consultas de detección complejas.

Cuando haya encontrado los recursos que coinciden con las consultas, el inventario proporciona accesos
directos a operaciones como:
Asignación de etiquetas a los recursos filtrados: active las casillas junto a los recursos que quiere etiquetar.
Incorporación de nuevos servidores a Security Center: use el botón de la barra de herramientas Agregar
ser vidores que no son de Azure .
 Automatización de cargas de trabajo con Azure Logic Apps: use el botón Desencadenar aplicación lógica
para ejecutar una aplicación lógica en uno o varios recursos. Las aplicaciones lógicas deben prepararse de
antemano y aceptar el tipo de desencadenador correspondiente (solicitud HTTP). Más información sobre las
aplicaciones lógicas

¿Cómo funciona el inventario de recursos?

El inventario de recursos emplea Azure Resource Graph (ARG), un servicio de Azure que proporciona la
capacidad de consultar los datos de la posición de seguridad de Security Center en varias suscripciones.
ARG está diseñado para proporcionar una exploración de recursos eficaz con la posibilidad de realizar consultas
a escala.
Con el lenguaje de consulta de Kusto (KQL), el inventario de recursos puede generar rápidamente información
detallada gracias a la referencia cruzada de los datos de ASC con otras propiedades de recursos.

Uso del inventario de recursos

1. En la barra lateral de Security Center, seleccione Inventario .
2. Use el cuadro Filtrar por nombre para mostrar un recurso específico o use los filtros como se describe
a continuación.
3. Seleccione las opciones correspondientes de los filtros para crear la consulta específica que quiere
realizar.
De forma predeterminada, los recursos se ordenan por el número de recomendaciones de seguridad
activas.

IMPORTANT
Las opciones de cada filtro son específicas de los recursos de las suscripciones seleccionadas actualmente y de las
selecciones de los otros filtros.
Por ejemplo, si ha seleccionado solo una suscripción y esta no tiene ningún recurso con recomendaciones de
seguridad pendientes de corregir (0 recursos incorrectos), el filtro Recomendaciones no tendrán ninguna opción.

4. Para usar el filtro Security findings contain (Las conclusiones de seguridad contienen), escriba texto
libre para el identificador, la comprobación de seguridad o el nombre de CVE de una conclusión de
vulnerabilidad para filtrar los recursos afectados:
 TIP
Los filtros Security findings contain (Las conclusiones de seguridad contienen) y Etiquetas solo aceptan un
único valor. Para filtrar por más de uno, use Agregar filtros .

5. Para usar el filtro Azure Defender , seleccione una o varias opciones (Desactivado, Activado o Parcial):
Desactivado : recursos que no están protegidos por un plan de Azure Defender. Puede hacer clic
con el botón derecho en cualquiera de ellos y actualizarlos:

Activado : recursos que están protegidos por un plan de Azure Defender.

Parcial : esto se aplica a suscripciones que tienen algunos planes de Azure Defender
deshabilitados, pero no todos. Por ejemplo, la siguiente suscripción tiene cinco planes de Azure
Defender deshabilitados.
6. Para examinar más detalladamente los resultados de la consulta, seleccione los recursos que le interesen.
7. Para ver las opciones de filtro seleccionadas actualmente en forma de consulta en Resource Graph
Explorer, seleccione Abrir consulta .

8. Para ejecutar una aplicación lógica definida previamente con

9. Si ha definido algunos filtros y ha dejado la página abierta, Security Center no actualizará los resultados
de forma automática. Cualquier cambio en los recursos no afectará a los resultados mostrados a menos
que se vuelva a cargar manualmente la página o se seleccione Actualizar .

Preguntas frecuentes sobre el inventario

¿Por qué no se muestran todas las suscripciones, máquinas, cuentas de almacenamiento, etc.?
En la vista de inventario se muestran los recursos conectados de Security Center desde la perspectiva de la
administración de la posición de seguridad en la nube (CSPM). Los filtros no devuelven todos los recursos del
entorno; solo los que tengan recomendaciones pendientes (o "activas").
Por ejemplo, en la captura de pantalla siguiente se muestra un usuario con acceso a 38 suscripciones, pero solo
10 tienen recomendaciones actualmente. Por tanto, cuando se filtran por Tipo de recurso = Suscripciones ,
solo las 10 suscripciones con recomendaciones activas aparecen en el inventario:
¿Por qué algunos de mis recursos muestran valores en blanco en las columnas de supervisión del agente o de
Azure Defender?
No todos los recursos supervisados de Security Center tienen agentes. Por ejemplo, no los tienen las cuentas de
Azure Storage ni los recursos PaaS, como discos, Logic Apps, Data Lake Analytics y Event Hubs.
Cuando el precio o la supervisión del agente no son pertinentes para un recurso, no se mostrará nada en esas
columnas de inventario.

Pasos siguientes
En este artículo se describe la página del inventario de recursos de Azure Security Center.
Para más información sobre las herramientas relacionadas, consulte las siguientes páginas:
Azure Resource Graph (AGR)
Lenguaje de consulta de Kusto (KQL)
 Creación de informes completos e interactivos de
los datos de Security Center
30/03/2021 • 10 minutes to read • Edit Online

Los libros de Azure Monitor proporcionan un lienzo flexible para el análisis de datos y la creación de informes
visuales completos en Azure Portal. Permiten acceder a varios orígenes de datos desde Azure y combinarlos en
experiencias interactivas unificadas.
Los libros proporcionan un amplio conjunto de funcionalidades para visualizar los datos de Azure. Para obtener
ejemplos detallados de cada tipo de visualización, consulte la documentación y ejemplos de visualizaciones.
Dentro de Azure Security Center, puede acceder a los informes integrados para realizar un seguimiento de la
postura de seguridad de su organización. También puede crear informes personalizados para ver una amplia
gama de datos de Security Center u otros orígenes de datos admitidos.

Disponibilidad
A SP EC TO DETA L L ES

Estado de la versión: Versión preliminar

Los Términos de uso complementarios para las versiones
preliminares de Azure incluyen los términos legales
adicionales que se aplican a las características de Azure que
se encuentran en la versión beta, en versión preliminar o que
todavía no se han publicado con disponibilidad general.

Precios: Gratuito

Roles y permisos necesarios: Para guardar los libros, debe tener al menos permisos de
Colaborador de libros en el grupo de recursos de destino.
 A SP EC TO DETA L L ES

Nubes: Nubes comerciales

Nacionales o soberanas (US Gov, China Gov, otros
gobiernos)

Galería de libros en Azure Security Center

Con la funcionalidad integrada de los libros de Azure, Azure Security Center facilita la creación de sus propios
informes personalizados e interactivos. Security Center también incluye una galería de libros con los siguientes
informes listos para su personalización:
Puntuación de seguridad a lo largo del tiempo : Puede realizar el seguimiento de las puntuaciones de
las suscripciones y de los cambios en las recomendaciones sobre sus recursos.
Actualizaciones del sistema : puede ver las actualizaciones del sistema que faltan por recursos, sistema
operativo, gravedad, etc.
Conclusiones de la evaluación de vulnerabilidad : Puede ver los resultados de los exámenes de
vulnerabilidades de los recursos de Azure.

Elija uno de los informes proporcionados o cree uno propio.

TIP
Use el botón Editar para personalizar a su gusto cualquiera de los informes proporcionados. Cuando haya terminado de
editar, seleccione Guardar , y los cambios se guardarán en un nuevo libro.

Uso del informe Puntuación de seguridad a lo largo del tiempo

En este informe se usan los datos de la puntuación de seguridad del área de trabajo Log Analytics. Esos datos se
tienen que exportar desde la herramienta de exportación continua, como se describe en Configuración de la
exportación continua desde las páginas de Security Center en Azure Portal.
Al configurar la exportación continua, establezca la frecuencia de exportación en las streaming updates
(actualizaciones de streaming) e instantáneas .

NOTE
Las instantáneas se exportan semanalmente, por lo que tendrá que esperar al menos una semana para que se exporte la
primera instantánea para poder ver los datos en este informe.

TIP
Para configurar la exportación continua en toda la organización, use las directivas DeployIfNotExist de Azure Policy
proporcionadas que se describen en Configuración de la exportación continua a escala.

El informe de puntuación de seguridad a lo largo del tiempo tiene cinco gráficos para las suscripciones que
informan a las áreas de trabajo seleccionadas:

GRA F O E JEM P LO

Tendencias de puntuación de la última semana y el

último mes
Use esta sección para supervisar la puntuación actual y las
tendencias generales de las puntuaciones de las
suscripciones.

Puntuación agregada para todas las suscripciones

seleccionadas
Mantenga el puntero sobre cualquier punto de la línea de
tendencia para ver la puntuación agregada en cualquier
fecha del intervalo de tiempo seleccionado.
 GRA F O E JEM P LO

Recomendaciones con el mayor número de recursos

incorrectos
Esta tabla le ayuda a evaluar las recomendaciones para el
mayor número de recursos cuyo estado ha cambiado a
incorrecto durante el período seleccionado.

Puntuaciones de controles de seguridad específicos

Los controles de seguridad de Security Center son
agrupaciones lógicas de recomendaciones. En este gráfico se
muestran, de un vistazo, las puntuaciones semanales de
todos los controles.

Cambios en los recursos

Aquí se enumeran las recomendaciones con el mayor
número de recursos que han cambiado de estado (correcto,
incorrecto o no aplicable) durante el período seleccionado.
Seleccione cualquier recomendación de la lista para abrir una
nueva tabla donde se muestren los recursos específicos.

Uso del informe Actualizaciones del sistema

Este informe se basa en la recomendación de seguridad "Las actualizaciones del sistema deben estar instaladas
en las máquinas".
El informe le ayuda a identificar las máquinas con actualizaciones pendientes.
Puede ver la situación de las suscripciones seleccionadas según:
La lista de recursos con actualizaciones pendientes
La lista de actualizaciones que faltan en los recursos
Uso del informe Conclusiones de la evaluación de vulnerabilidades
Security Center incluye examinadores de vulnerabilidades para sus máquinas, contenedores en registros de
contenedor y servidores SQL Server.
Más información sobre el uso de estos examinadores:
Análisis de máquinas con el examinador de VA integrado
Búsqueda de vulnerabilidades en las imágenes del registro
Examen de recursos de SQL en busca de vulnerabilidades
Los resultados de cada uno de estos examinadores se informan en recomendaciones independientes:
Es necesario corregir las vulnerabilidades de las máquinas virtuales
Es necesario corregir las vulnerabilidades de las imágenes de Azure Container Registry (con tecnología de
Qualys)
Se deben corregir las conclusiones de la evaluación de vulnerabilidades de las bases de datos SQL
Es necesario corregir los resultados de la evaluación de vulnerabilidades de los servidores SQL Server en las
máquinas
Este informe recopila estas conclusiones y las organiza por gravedad, tipo de recurso y categoría.
Importación de libros desde otras galerías de libros
Si ha creado libros en otros servicios de Azure y quiere moverlos a la galería de libros de Azure Security Center:
1. Abra el libro de destino.
2. En la barra de herramientas, seleccione Editar .

3. En la barra de herramientas, seleccione </> para ir al Editor avanzado.

4. Copie el archivo JSON de la plantilla de la galería del libro.

5. Abra la galería de libros en Security Center y, en la barra de menús, seleccione Nuevo .
6. Seleccione </> para ir al Editor avanzado.
7. Pegue todo el código JSON de la plantilla de la galería.
8. Seleccione Aplicar .
9. En la barra de herramientas, seleccione Guardar como .
10. Escriba los detalles necesarios para guardar el libro:
a. Un nombre para el libro.
b. La región deseada.
c. Una suscripción, un grupo de recursos y el uso compartido, según corresponda.
Encontrará el libro guardado en la categoría Libros modificados recientemente .

Pasos siguientes
En este artículo se describe la página de libros de Azure Monitor integrada de Security Center con los informes
integrados y la opción de crear sus propios informes personalizados e interactivos.
Obtenga más información sobre los libros de Azure Monitor.
Los informes integrados extraen sus datos de las recomendaciones de Security Center. Obtenga información
sobre las diversas recomendaciones de seguridad en Guía de referencia sobre las recomendaciones de
seguridad.
 Examen de las recomendaciones de seguridad
30/03/2021 • 4 minutes to read • Edit Online

En este tema se explica cómo ver y entender las recomendaciones de Azure Security Center para ayudar a
proteger los recursos de Azure.

Supervisión de recomendaciones
Security Center analiza el estado de seguridad de los recursos para identificar posibles vulnerabilidades.
1. En el menú de Security Center, abra la página Recomendaciones para ver las recomendaciones
aplicables a su entorno. Las recomendaciones se agrupan en controles de seguridad.

2. Para encontrar recomendaciones específicas para el tipo de recurso, la gravedad, el entorno u otros
criterios que sean importantes para usted, utilice los filtros opcionales que se encuentran encima de la
lista de recomendaciones.
3. Expanda un control y seleccione una recomendación concreta para ver la página de detalles de las
recomendaciones.

La página incluye:
a. En el caso de las recomendaciones admitidas, en la barra de navegación superior se muestran algunos
 o todos los botones siguientes:
Aplicar y Denegar (vea Evitar errores de configuración con las recomendaciones Aplicar o
Denegar).
View policy definition (Ver definición de directiva) para ir directamente a la entrada Azure
Policy de la directiva subyacente.
b. Indicador de gravedad
c. Inter valo de actualización (si procede).
d. Recuento de recursos exentos si existen exenciones para esta recomendación; se muestra el
número de recursos exentos.
e. Descripción : una breve descripción del problema
f. Pasos de corrección : una descripción de los pasos manuales necesarios para corregir el problema
de seguridad en los recursos afectados Para obtener recomendaciones con "corrección rápida", puede
seleccionar Ver lógica de corrección antes de aplicar la corrección sugerida a los recursos.
g. Recursos afectados : los recursos se agrupan en pestañas:
Recursos con estado correcto : recursos relevantes que no se ven afectados o en los que
ya se ha corregido el problema.
Recursos con estado incorrecto : recursos que todavía se ven afectados por el problema
identificado.
Recursos no aplicables : recursos para los que la recomendación no puede dar una
respuesta definitiva. La pestaña no aplicable también incluye las razones de cada recurso.

.
h. Botones de acción para corregir la recomendación o desencadenar una aplicación lógica.

Recomendaciones de la versión preliminar

Las recomendaciones marcadas como Versión preliminar no se incluyen en los cálculos de la puntuación de
seguridad.
Aun así, deben corregirse siempre que sea posible, de tal forma que, cuando finalice el período de versión
preliminar, contribuyan a la puntuación.
Un ejemplo de una recomendación en versión preliminar:
Pasos siguientes
En este documento, se han presentando las recomendaciones de seguridad del Centro de seguridad. Para
obtener información relacionada, visite:
Recomendaciones de corrección : aprenda a configurar directivas de seguridad para las suscripciones y los
grupos de recursos de Azure.
Evitar errores de configuración con las recomendaciones Aplicar o Denegar.
Creación de respuestas automáticas a alertas y recomendaciones con automatización del flujo de trabajo:
automatice las respuestas a las recomendaciones
Exclusión de un recurso de una recomendación
Guía de referencia sobre las recomendaciones de seguridad
 Recomendaciones de corrección en Azure Security
Center
30/03/2021 • 4 minutes to read • Edit Online

Las recomendaciones ofrecen sugerencias sobre cómo proteger mejor los recursos. Para implementar una
recomendación, siga los pasos de corrección proporcionados en la recomendación.

Pasos de corrección
Después de revisar todas las recomendaciones, decida cuál se corrige primero. Se recomienda priorizar los
controles de seguridad con el máximo potencial de aumentar la puntuación de seguridad.
1. En la lista, seleccione una recomendación.
2. Siga las instrucciones de la sección Pasos para la corrección . Cada recomendación tiene su propio
conjunto de instrucciones. En la siguiente captura de pantalla se muestran los pasos de corrección para
configurar aplicaciones, a fin de permitir solo el tráfico a través de HTTPS.
3. Una vez completado, aparece una notificación que le informa de si el problema se ha resuelto.

Solución por corrección rápida

Para simplificar la corrección y mejorar la seguridad del entorno (y aumentar la puntuación segura), muchas
recomendaciones incluyen una opción de corrección rápida.
La corrección rápida le ayuda a solucionar rápidamente una recomendación en varios recursos.
 TIP
Las soluciones de corrección rápida solo están disponibles para recomendaciones específicas. Para encontrar las
recomendaciones que tienen una corrección rápida disponible, use el filtro Acciones de respuesta para ver la lista de
recomendaciones:

Para implementar una solución de corrección rápida:

1. En la lista de recomendaciones que tienen la etiqueta Corrección rápida , , seleccione una
recomendación.

2. En la pestaña Recursos con estado incorrecto , seleccione los recursos en los que desea implementar
la recomendación y seleccione Corregir .

NOTE
Algunos de los recursos enumerados podrían estar deshabilitados porque no tiene los permisos adecuados para
modificarlos.

3. En el cuadro de confirmación, lea los detalles y las implicaciones de la corrección.

 NOTE
Las implicaciones se muestran en el cuadro gris de la ventana Corregir recursos que se abre después de hacer
clic en Corregir . Estas enumeran los cambios que se producen al continuar con la solución por corrección rápida.

4. Inserte los parámetros pertinentes si es necesario y apruebe la corrección.

NOTE
Una vez completada la corrección, pueden pasar varios minutos hasta que los recursos se vean en la pestaña
Recursos con estado correcto . Para ver las acciones de la corrección, consulte el registro de actividad.

5. Una vez completada, aparece una notificación que le informa si la corrección se ha realizado
correctamente.

Registro de la corrección rápida en el registro de actividad

La operación de corrección usa una implementación de plantilla o una llamada API REST PATCH para aplicar la
configuración en el recurso. Estas operaciones se registran en el registro de actividad de Azure.

Pasos siguientes
En este documento, se mostró cómo aplicar las recomendaciones de corrección de Security Center. Para obtener
más información sobre Security Center, vea las páginas siguientes:
Establecimiento de directivas de seguridad en Azure Security Center: aprenda a configurar directivas de
seguridad para las suscripciones y los grupos de recursos de Azure
¿Qué son las directivas de seguridad, las iniciativas y las recomendaciones?
 Evitar errores de configuración con las
recomendaciones Aplicar o Denegar
24/03/2021 • 9 minutes to read • Edit Online

Los errores de configuración de seguridad son una causa principal de los incidentes de seguridad. Security
Center ofrece ahora la posibilidad de ayudar a evitar errores de configuración de los nuevos recursos con
respecto a recomendaciones específicas.
Esta característica puede ayudar a mantener las cargas de trabajo seguras y a estabilizar la puntuación de
seguridad.
La aplicación de una configuración segura, basada en una recomendación específica, se ofrece mediante dos
opciones:
Con el efecto Denegar de Azure Policy, puede impedir que se creen recursos incorrectos.
Con la opción Aplicar , puede sacar partido del efecto DeployIfNotExist de Azure Policy y corregir
automáticamente los recursos no compatibles tras la creación.
Esta opción se puede encontrar en la parte superior de la página de detalles del recurso de las recomendaciones
de seguridad seleccionadas (consulte Recomendaciones con las opciones denegar o aplicar).

Impedir la creación de recursos

1. Abra la recomendación que deben satisfacer los nuevos recursos y seleccione el botón Denegar en la
parte superior de la página.

Se abre el panel de configuración con las opciones de ámbito.

2. Establezca el ámbito seleccionando la suscripción o el grupo de administración en cuestión.

TIP
Puede usar los tres puntos que hay al final de la fila para cambiar una única suscripción, o bien usar las casillas
para seleccionar varias suscripciones o grupos y, luego, elegir Change to Deny (Cambiar a Denegar).

Aplicación de una configuración segura

1. Abra la recomendación para la que se implementará una plantilla si los nuevos recursos no la satisfacen y
seleccione el botón Aplicar en la parte superior de la página.
Se abre el panel de configuración con todas las opciones de configuración de directiva.
2. Establezca el ámbito, el nombre de la asignación y otras opciones pertinentes.
3. Seleccione Revisar + crear .

Recomendaciones con las opciones denegar o aplicar

Estas recomendaciones se pueden usar con la opción Denegar :
Se debe restringir el acceso a las cuentas de almacenamiento con configuraciones de red virtual y firewall.
Las cuentas de almacenamiento deben tener el acceso de red restringido.
Las variables de la cuenta de Automation deben cifrarse. Las variables de la cuenta de Automation deben
cifrarse.
Azure Cache for Redis debe residir en una red virtual
Las cuentas de Azure Cosmos DB deben usar claves administradas por el cliente para cifrar los datos en
reposo
Las áreas de trabajo de Azure Machine Learning deben cifrarse con una clave administrada por el cliente
(CMK).
Azure Spring Cloud debe usar la inserción de red
Las cuentas de Cognitive Services deben habilitar el cifrado de datos con una clave administrada por el
cliente (CMK)
Debe aplicar los límites de CPU y memoria de los contenedores.
Las imágenes de contenedor solo deben implementarse desde registros de confianza
 Las instancias de Container Registry se deben cifrar con una clave administrada por el cliente (CMK)
Debe evitar los contenedores con elevación de privilegios.
Deben evitarse los contenedores que comparten espacios de nombres de host confidenciales.
Los contenedores solo deben escuchar en los puertos permitidos.
El sistema de archivos raíz inmutable (de solo lectura) debe aplicarse para los contenedores.
Las claves de Key Vault deben tener una fecha de expiración
Los secretos de Key Vault deben tener una fecha de expiración
Los almacenes de claves deben tener habilitada la protección contra operaciones de purga
Los almacenes de claves deben tener habilitada la eliminación temporal
Deben aplicarse funcionalidades de Linux con privilegios mínimos para los contenedores
Solo deben habilitarse las conexiones seguras a su instancia de Redis Cache. Solo deben habilitarse las
conexiones seguras a su instancia de Azure Cache for Redis.
La opción de reemplazar o deshabilitar el perfil de AppArmor de los contenedores debe estar restringida.
Deben evitarse los contenedores con privilegios.
Debe evitar la ejecución de contenedores como usuario raíz.
La transferencia segura a las cuentas de almacenamiento debe habilitarse. La transferencia segura a las
cuentas de almacenamiento debe estar habilitada.
Los clústeres de Service Fabric deben tener la propiedad ClusterProtectionLevel establecida en
EncryptAndSign Service Fabric. Los clústeres deben tener la propiedad ClusterProtectionLevel establecida en
EncryptAndSign.
Los clústeres de Service Fabric solo deben usar Azure Active Directory para la autenticación de cliente. Los
clústeres de Service Fabric solo deben usar Azure Active Directory para la autenticación de cliente.
Los servicios solo deben escuchar en los puertos permitidos.
No se debe permitir el acceso público a la cuenta de almacenamiento
Las cuentas de almacenamiento se deben migrar a nuevos recursos de Azure Resource Manager. Las cuentas
de almacenamiento se deben migrar a nuevos recursos de Azure Resource Manager.
Las cuentas de almacenamiento deben restringir el acceso a la red mediante el uso de reglas de red virtual
El uso de puertos y redes de hosts debe estar restringido.
El uso de montajes de volúmenes HostPath de pod debe restringirse a una lista conocida, con el fin de
restringir el acceso a los nodos de los contenedores en peligro
El período de validez de los certificados almacenados en Azure Key Vault no debe superar los 12 meses
Las máquinas virtuales se deben migrar a nuevos recursos de Azure Resource Manager. Las máquinas
virtuales se deben migrar a nuevos recursos de Azure Resource Manager.
El firewall de aplicaciones web (WAF) debe estar habilitado para Application Gateway
Web Application Firewall (WAF) debe estar habilitado en Azure Front Door Service
Estas recomendaciones se pueden usar con la opción Aplicar :
La auditoría de SQL Server debe estar habilitada
Azure Backup debería habilitarse en las máquinas virtuales
Azure Defender para SQL debe estar habilitada en los servidores de SQL
El complemento Azure Policy para Kubernetes debería estar instalado y habilitado en sus clústeres
Se deben habilitar los registros de diagnóstico en Azure Stream Analytics
Se deben habilitar los registros de diagnóstico en las cuentas de Batch
Los registros de diagnóstico de Data Lake Analytics deben estar habilitados
Los registros de diagnóstico del centro de eventos deben estar habilitados
Los registros de diagnóstico en Key Vault deben estar habilitados
Los registros de diagnóstico de Logic Apps deben estar habilitados
Los registros de diagnóstico de los servicios de Search deben estar habilitados.
Los registros de diagnóstico de Service Bus deben estar habilitados
 Automatización de respuestas a desencadenadores
de Security Center
24/03/2021 • 13 minutes to read • Edit Online

Cada programa de seguridad incluye varios flujos de trabajo para la respuesta a incidentes. Estos procesos
pueden incluir notificaciones para las partes interesadas competentes, iniciar un proceso de administración de
cambios y aplicar pasos de corrección específicos. Los expertos en seguridad recomiendan automatizar tantos
pasos de esos procedimientos como sea posible. Recuerde que la automatización reduce la sobrecarga. También
puede mejorar la seguridad asegurándose de que los pasos del proceso se realizan de forma rápida, coherente y
según sus requisitos predefinidos.
En este artículo se describe la característica de automatización de flujos de trabajo de Azure Security Center. Esta
característica puede desencadenar aplicaciones lógicas sobre alertas de seguridad, recomendaciones y cambios
en el cumplimiento normativo. Por ejemplo, si quiere que Security Center envíe un correo electrónico a un
usuario específico cuando se produce una alerta. También aprenderá a crear instancias de Logic Apps con Azure
Logic Apps.

Disponibilidad
A SP EC TO DETA L L ES

Estado de la versión: Disponibilidad general (GA)

Precios: Gratuito

Roles y permisos necesarios: Rol Administrador de seguridad o Propietario en el

grupo de recursos
También debe tener permisos de escritura para el recurso de
destino.

Para trabajar con flujos de trabajo de Azure Logic Apps,

también debe tener los siguientes roles o permisos de Logic
Apps:
Son necesarios los permisos de - Operador de aplicación
lógica o el acceso de lectura o desencadenamiento de
aplicación lógica (este rol no puede crear ni editar
aplicaciones lógicas, solo ejecutar las existentes).
Los permisos de - Colaborador de la aplicación lógica son
necesarios para la creación y modificación de aplicaciones
lógicas.
Si quiere usar conectores de aplicaciones lógicas, es posible
que necesite credenciales adicionales para iniciar sesión en
sus servicios respectivos (por ejemplo, en las instancias de
Outlook, Teams o Slack).

Nubes: Nubes comerciales

Nacionales o soberanas (US Gov, China Gov, otros
gobiernos)

Creación de una aplicación lógica y definición de cuándo debería

ejecutarse automáticamente
1. En la barra lateral de Security Center, seleccione Automatización de flujos de trabajo .

Desde esta página puede crear nuevas reglas de automatización, así como habilitar, deshabilitar o
eliminar las existentes.
2. Para definir un nuevo flujo de trabajo, haga clic en Add workflow automation (Agregar automatización
de flujos de trabajo).
Aparecerá un panel con las opciones de la nueva automatización. Aquí puede escribir lo siguiente:
a. Un nombre y descripción para la automatización.
b. Los desencadenadores que iniciarán este flujo de trabajo automático. Por ejemplo, cuando quiera
que la aplicación lógica se ejecute cuando se genere una alerta de seguridad que contenga "SQL".

NOTE
Si el desencadenador es una recomendación que tiene "recomendaciones secundarias", por ejemplo Se
deben remediar los resultados de evaluación de vulnerabilidades en las bases de datos SQL ,
la aplicación lógica no se desencadenará para cada nueva búsqueda de seguridad; solo cuando cambie el
estado de la recomendación primaria.

c. La aplicación lógica que se ejecutará cuando se cumplan las condiciones del desencadenador.
3. En la sección Acciones, haga clic en Crear una nueva para comenzar el proceso de creación de la
aplicación lógica.
Se le dirigirá a Azure Logic Apps.

4. Escriba un nombre, un grupo de recursos y una ubicación, y haga clic en Crear .

5. En la nueva aplicación lógica, puede decidir si quiere usar plantillas predefinidas integradas en la
categoría de seguridad. También puede definir un flujo de eventos personalizado para que se active
cuando se desencadene este proceso.
 TIP
A veces, en una aplicación lógica, los parámetros se incluyen en el conector como parte de una cadena y no en su
propio campo. Para ver un ejemplo de cómo extraer parámetros, consulte el paso 14 de Trabajo con parámetros
de aplicaciones lógicas en la creación de automatizaciones de flujo de trabajo de Azure Security Center.

El diseñador de aplicaciones lógicas admite estos desencadenadores de Security Center:

Cuando se crea o se desencadena una recomendación de Azure Security Center : si la
aplicación lógica se basa en una recomendación que entra en desuso o se reemplaza, la
automatización dejará de funcionar y deberá actualizar el desencadenador. Para hacer un
seguimiento de los cambios en las recomendaciones, vea las notas de la versión de Azure Security
Center.
Cuando se crea o se desencadena una aler ta de Azure Security Center : puede
personalizar el desencadenador para que se refiera solo a las alertas con los niveles de gravedad
que le interesen.
When a Security Center regulator y compliance assessment is created or triggered
(Cuando se crea o se desencadena una evaluación de cumplimiento normativo de Security Center):
se desencadenan automatizaciones según las actualizaciones de las evaluaciones de cumplimiento
normativo.

NOTE
Si utiliza el desencadenador heredado "Cuando se desencadena una respuesta a una alerta de Azure Security
Center", la característica de automatización de flujos de trabajo no iniciará su instancia de aplicación lógica. En su
lugar, use cualquiera de los desencadenadores mencionados anteriormente.

6. Una vez que haya definido la aplicación lógica, vuelva al panel de la definición de automatización del flujo
de trabajo ("Agregar automatización de flujos de trabajo"). Haga clic en Actualizar para asegurarse de
que la nueva aplicación lógica está disponible en la selección.
7. Seleccione la aplicación lógica y guarde la automatización. Tenga en cuenta que la lista desplegable de
aplicaciones lógicas solo muestra las aplicaciones lógicas con los conectores de Security Center
complementarios mencionados anteriormente.

Desencadenar manualmente una aplicación lógica

También puede ejecutar Logic Apps manualmente al ver una alerta o recomendación de seguridad.
Para ejecutar manualmente una aplicación lógica, abra una alerta o recomendación y haga clic en
Desencadenar aplicación lógica :

Configuración de la automatización de flujos de trabajo a escala

mediante las directivas suministradas
La automatización de los procesos de supervisión y respuesta ante incidentes de la organización puede mejorar
considerablemente el tiempo necesario para investigar y mitigar los incidentes de seguridad.
Para implementar las configuraciones de automatización en la organización, use las directivas
"DeployIfNotExist" de Azure Policy proporcionadas que se describen a continuación para crear y configurar los
procedimientos de automatización de flujos de trabajo.
Empiece a usar las plantillas de automatización de flujos de trabajo.
Para implementar estas directivas:
1. Desde la tabla siguiente, seleccione la directiva que quiere aplicar:

O B JET IVO DIREC T IVA ID. DE DIREC T IVA

Automatización de flujos de trabajo Implementar la automatización del f1525828-9a90-4fcf-be48-

para alertas de seguridad flujo de trabajo para las alertas de 268cdd02361e
Azure Security Center

Automatización de flujos de trabajo Implementar la automatización del 73d6ab6c-2475-4850-afd6-

para recomendaciones de seguridad área de trabajo para las 43795f3492ef
recomendaciones de Azure Security
Center

Automatización del flujo de trabajo Implementación de la 509122b9-ddd9-47ba-a5f1-

para cambios de cumplimiento automatización del flujo de trabajo d0dac20be63c
normativo para el cumplimiento normativo de
Azure Security Center

TIP
También puede encontrarlos buscando Azure Policy:
1. Abra Azure Policy.

2. En el menú Azure Policy, seleccione Definiciones y realice la búsqueda por nombre.

2. En la página pertinente de Azure Policy, seleccione Asignar .

3. Abra cada pestaña y establezca los parámetros como quiera:

a. En la pestaña Aspectos básicos , establezca el ámbito de la directiva. Para usar la administración
centralizada, asigne la directiva al grupo de administración que contiene las suscripciones que
usarán la automatización de flujos de trabajo.
b. En la pestaña Parámetros , establezca el grupo de recursos y los detalles del tipo de datos.
 TIP
Cada parámetro tiene información sobre herramientas que explica las opciones disponibles.
La pestaña Parámetros de Azure Policy (1) proporciona acceso a opciones de configuración similares, como
la página de automatización de flujos de trabajo de Security Center (2).

c. Opcionalmente, para aplicar esta asignación a las suscripciones existentes, abra la pestaña
Corrección y seleccione la opción para crear una tarea de corrección.
4. Revise la página de resumen y seleccione Crear .

Esquemas de tipos de datos

Para ver los esquemas de eventos sin procesar de las alertas de seguridad o los eventos de recomendaciones
que se pasan a la instancia de aplicación lógica, consulte los Esquemas de tipos de datos de automatización de
flujo de trabajo. Puede resultar útil en los casos en que no se usan los conectores de aplicación lógica integrados
de Security Center mencionados anteriormente, sino que alternativamente se usa el conector HTTP genérico de
la aplicación lógica; puede usar el esquema JSON del evento para analizarlo manualmente como considere
oportuno.

Preguntas más frecuentes relacionadas con la automatización de

flujos de trabajo
¿La automatización de flujos de trabajo es compatible con los escenarios de continuidad empresarial o
recuperación ante desastres (BCDR )?
Al preparar el entorno para escenarios de BCDR, en los que el recurso de destino está experimentando una
interrupción u otro desastre, la organización tiene la responsabilidad de evitar la pérdida de datos mediante la
preparación de copias de seguridad de acuerdo con las instrucciones de Azure Event Hubs, el área de trabajo de
Log Analytics y la aplicación lógica.
Para cada automatización activa, se recomienda crear una automatización idéntica (deshabilitada) y almacenarla
en una ubicación diferente. Cuando se produce una interrupción, puede habilitar estas automatización de copias
de seguridad y mantener las operaciones normales.
Obtenga más información sobre continuidad empresarial y recuperación ante desastres para Azure Logic Apps.

Pasos siguientes
En este artículo, ha obtenido información sobre cómo crear aplicaciones lógicas, automatizar su ejecución en
Security Center y ejecutarlas manualmente.
Para obtener material relacionado, consulte:
Módulo de Microsoft Learn sobre cómo la automatización de flujos de trabajo para automatizar una
respuesta de seguridad
Recomendaciones de seguridad en Azure Security Center
Alertas de seguridad en el Centro de seguridad de Azure
Acerca de Azure Logic Apps
Conectores para Azure Logic Apps
Esquemas de tipos de datos de automatización de flujo de trabajo
 Exención de recursos y recomendaciones de la
puntuación de seguridad
24/03/2021 • 13 minutes to read • Edit Online

Una prioridad básica de cada equipo de seguridad es asegurarse de que los analistas puedan centrarse en las
tareas y los incidentes que importan en la organización. Security Center presenta muchas características para
personalizar la experiencia y garantizar que la puntuación de seguridad refleje las prioridades de seguridad de la
organización. La opción Exención es una característica de este tipo.
Cuando se investigan recomendaciones de seguridad en Azure Security Center, uno de los primeros datos que
se revisan es la lista de recursos afectados.
En ocasiones, aparecerá un recurso que no debe estar incluido. O se mostrará una recomendación en un ámbito
en el que cree que no pertenece. Es posible que el recurso lo haya corregido un proceso del que Security Center
no ha realizado un seguimiento. La recomendación podría no ser adecuada para una suscripción específica. O
quizás la organización ha decidido simplemente aceptar los riesgos relacionados con la recomendación o el
recurso específico.
En tales casos, puede crear una exención para una recomendación para:
Excluir un recurso para asegurarse de que no aparezca con los recursos en mal estado en el futuro y
no afecte a la puntuación de seguridad. El recurso se mostrará como no aplicable y el motivo aparecerá
como "exento" con la justificación específica que seleccione.
Excluir una suscripción o un grupo de administración para asegurarse de que la recomendación
no afecte a la puntuación de seguridad y no que no se muestre para la suscripción o el grupo de
administración en el futuro. Esto se refiere a los recursos existentes y cualquiera que cree en el futuro. La
recomendación se marcará con la justificación específica que seleccione para el ámbito que ha
seleccionado.

Disponibilidad
A SP EC TO DETA L L ES

Estado de la versión: Versión preliminar

Los Términos de uso complementarios para las versiones
preliminares de Azure incluyen los términos legales
adicionales que se aplican a las características de Azure que
se encuentran en la versión beta, en versión preliminar o que
todavía no se han publicado con disponibilidad general.

Precios: Se trata de una funcionalidad premium de Azure Policy que

se ofrece a los clientes de Azure Defender sin costo adicional.
En el caso de otros usuarios, pueden aplicarse cargos en el
futuro.

Roles y permisos necesarios: propietario de la suscripción o colaborador de la

directiva para crear una exención.
Para crear una regla, necesita permisos para editar directivas
en Azure Policy.
Obtenga más información en Permisos de Azure RBAC en
Azure Policy.
 A SP EC TO DETA L L ES

Nubes: Nubes comerciales

Nacionales o soberanas (US Gov, China Gov, otros
gobiernos)

Definición de una exención

Para ajustar las recomendaciones de seguridad que Security Center realiza para las suscripciones, el grupo de
administración o los recursos, puede crear una regla de exención para:
Marcar una recomendación específica o como "Mitigada" o "Riesgo aceptado". Puede crear exenciones de
recomendación para una suscripción, varias suscripciones o un grupo de administración completo.
Marcar uno o más recursos como "Mitigado" o "Riesgo aceptado" para una recomendación concreta.

TIP
También puede crear exenciones mediante la API. Para obtener un ejemplo de JSON y una explicación de las estructuras
pertinentes, consulte Estructura de exención de Azure Policy.

Para crear una regla de exención:

1. Abra la página de detalles de recomendaciones de la recomendación específica.
2. En la barra de herramientas de la parte superior de la página, haga clic en Configuración .

3. En el panel Exención :
a. Seleccione el ámbito de esta regla de exención:
Si selecciona un grupo de administración, la recomendación se excluirá de todas las
suscripciones de ese grupo.
Si va a crear esta regla para excluir uno o varios recursos de la recomendación, elija "Recursos
seleccionados" y seleccione los correspondientes en la lista.
b. Escriba un nombre para esta regla de exención.
c. Opcionalmente, puede establecer una fecha de expiración.
d. Seleccione la categoría de la exención:
Se resuelve a través de terceros (mitigada) : si está usando un servicio de terceros
que Security Center no ha identificado.

NOTE
Cuando se excluye de una recomendación como mitigada, no se proporcionan puntos hacia la
puntuación de seguridad. No obstante, dado que los puntos no se quitan para los recursos
incorrectos, el resultado es que aumentará la puntuación.

Riesgo aceptado (renuncia) : si ha decidido aceptar el riesgo de no mitigar esta

recomendación.
e. Si lo desea, escriba una descripción.
f. Seleccione Crear .
 Cuando la exención surte efecto (puede tardar hasta 30 minutos):
La recomendación o los recursos no afectarán a la puntuación de seguridad.
Si ha excluido recursos específicos, se mostrarán en la pestaña No aplicable de la página de
detalles de la recomendación.
Si ha excluido una recomendación, se ocultará de manera predeterminada en la página de
recomendaciones de Security Center. Esto se debe a que las opciones predeterminadas del filtro de
estado de recomendación de la página indican que se excluyan las recomendaciones No
aplicables . Lo mismo sucede si se excluyen todas las recomendaciones en un control de
seguridad.

La franja de información en la parte superior de la página de detalles de la recomendación

actualiza el número de recursos exentos:

4. Para revisar los recursos exentos, abra la pestaña No aplicable :

La razón de cada exención se incluye en la tabla (1).

Para modificar o eliminar una exención, seleccione el menú de puntos suspensivos ("...") como se muestra
(2).
5. Para revisar todas las reglas de exención de la suscripción, seleccione Ver exenciones desde la franja de
información:

IMPORTANT
Para ver las exenciones específicas relacionadas con una recomendación, filtre la lista según el ámbito pertinente y
el nombre de la recomendación.

TIP
Como alternativa, use Azure Resource Graph para encontrar recomendaciones con exenciones.

Supervisión de las exenciones creadas en las suscripciones

Como se explicó anteriormente en esta página, las reglas de exención son una herramienta eficaz que
proporciona un control pormenorizado sobre las recomendaciones que afectan a los recursos de las
suscripciones y los grupos de administración.
Para realizar un seguimiento de cómo los usuarios están ejerciendo esta funcionalidad, hemos creado una
plantilla de Azure Resource Manager (ARM) que implementa un cuaderno de estrategias de aplicaciones lógicas
y todas las conexiones de API necesarias para recibir una notificación cuando se ha creado una exención.
Para más información sobre los cuadernos de estrategias, vea la entrada de blog de la comunidad
tecnológica Seguimiento de las exenciones de recursos en Azure Security Center.
Encontrará la plantilla de ARM en el repositorio de GitHub de Azure Security Center.
Para implementar todos los componentes necesarios, use este proceso automatizado.

Uso de Azure Resource Graph para encontrar recomendaciones con

exenciones
Azure Resource Graph (ARG) proporciona acceso instantáneo a la información de los recursos en los entornos
en la nube con funcionalidades sólidas para filtrar, agrupar y ordenar. Es una forma rápida y eficaz de consultar
información en las suscripciones de Azure mediante programación o desde Azure Portal.
Para ver todas las recomendaciones que tienen reglas de exención:
1. Abra Azure Resource Graph Explorer .

2. Escriba la siguiente consulta y seleccione Ejecutar consulta .

securityresources
| where type == "microsoft.security/assessments"
// Get recommendations in useful format
| project
['TenantID'] = tenantId,
['SubscriptionID'] = subscriptionId,
['AssessmentID'] = name,
['DisplayName'] = properties.displayName,
['ResourceType'] = tolower(split(properties.resourceDetails.Id,"/").[7]),
['ResourceName'] = tolower(split(properties.resourceDetails.Id,"/").[8]),
['ResourceGroup'] = resourceGroup,
['ContainsNestedRecom'] = tostring(properties.additionalData.subAssessmentsLink),
['StatusCode'] = properties.status.code,
['StatusDescription'] = properties.status.description,
['PolicyDefID'] = properties.metadata.policyDefinitionId,
['Description'] = properties.metadata.description,
['RecomType'] = properties.metadata.assessmentType,
['Remediation'] = properties.metadata.remediationDescription,
['Severity'] = properties.metadata.severity,
['Link'] = properties.links.azurePortal
| where StatusDescription contains "Exempt"

Más información en las siguientes páginas:

Más información sobre Azure Resource Graph.
Creación de consultas con Azure Resource Graph Explorer
Lenguaje de consulta de Kusto (KQL)

Preguntas más frecuentes sobre las reglas de exención

¿Qué ocurre cuando una recomendación está en varias iniciativas de directivas?
A veces, se muestra una recomendación de seguridad en más de una iniciativa de directiva. Si tiene varias
instancias de la misma recomendación asignadas a la misma suscripción y crea una exención para la
recomendación, afectará a todas las iniciativas para las que tenga permiso de edición.
Por ejemplo, la recomendación **** forma parte de la iniciativa de directivas predeterminada asignada a todas
las suscripciones de Azure mediante Azure Security Center. También en XXXXX.
Si intenta crear una exención para esta recomendación, verá uno de los dos mensajes siguientes:
Si tiene los permisos necesarios para editar ambas iniciativas, verá el siguiente mensaje:
 Esta recomendación se incluye en varias iniciativas de directiva: [nombres de las iniciativas separados por
comas]. Se crearán exenciones en todas ellas.
Si no tiene permisos suficientes en ambas iniciativas, verá este mensaje en su lugar:
Tiene permisos limitados para aplicar la exención en todas las iniciativas de directiva. Las exenciones se
crearán solo en las iniciativas con permisos suficientes.

Pasos siguientes
En este artículo, aprendió a eximir un recurso de una recomendación para que no afecte a la puntuación segura.
Para más información sobre la puntuación segura, consulte:
Puntuación de seguridad de Azure Security Center
 Creación de directivas e iniciativas de seguridad
personalizadas
30/03/2021 • 10 minutes to read • Edit Online

Para ayudarle a proteger los sistemas y el entorno, Azure Security Center genera recomendaciones de
seguridad. Estas recomendaciones se basan en los procedimientos recomendados del sector, que se incorporan
a la directiva de seguridad predeterminada genérica que se proporciona a todos los clientes. Estas
recomendaciones también pueden provenir de los conocimientos de Security Center acerca del sector y de los
estándares normativos.
Gracias a esta característica, puede agregar sus propias iniciativas personalizadas. A continuación, recibirá
recomendaciones si el entorno no sigue las directivas que creó. Cualquier iniciativa personalizada que cree
aparecerá junto a las iniciativas integradas en el panel de cumplimiento normativo, según se describe en el
tutorial Mejora del cumplimiento normativo.
Como se explicó en la documentación de Azure Policy, cuando se especifica una ubicación para la iniciativa
personalizada, debe ser un grupo de administración o una suscripción.

TIP
Para obtener información general sobre los conceptos clave de esta página, consulte ¿Qué son las directivas de seguridad,
las iniciativas y las recomendaciones?

Agregar una iniciativa personalizada a la suscripción

1. En la barra lateral de Security Center, abra la página Directiva de seguridad .
2. Seleccione una suscripción o un grupo de administración al que quiera agregar una iniciativa
personalizada.
 NOTE
Debe agregar estándares personalizados en el nivel de suscripción (o superior) para que se evalúen y se muestren
en Security Center.
Cuando se agrega un estándar personalizado, este asigna una iniciativa a ese ámbito. Por lo tanto, se recomienda
seleccionar el ámbito más amplio necesario para esa asignación.

3. En la página Directiva de seguridad, en Sus iniciativas personalizadas, haga clic en Agregar una
iniciativa personalizada .

Aparece la siguiente página:

4. En la página para agregar iniciativas personalizadas, revise la lista de directivas personalizadas ya creadas
en la organización. Si ve una que quiera asignar a la suscripción, haga clic en Agregar . Si no hay una
iniciativa en la lista que satisfaga sus necesidades, omita este paso.
5. Para crear una nueva iniciativa personalizada:
a. Haga clic en Crear nueva .
b. Escriba la ubicación y el nombre de la definición.
c. Seleccione las directivas que quiera incluir y haga clic en Agregar .
d. Escriba los parámetros que quiera.
e. Haga clic en Save (Guardar).
f. En la página Adición de iniciativas personalizadas, haga clic en Actualizar. La nueva iniciativa se
 mostrará como disponible.
g. Haga clic en Agregar y asígnela a su suscripción.

NOTE
Recuerde que la creación de nuevas iniciativas requiere credenciales de propietario de la suscripción. Para obtener
más información sobre los roles de Azure, consulte los permisos en Azure Security Center.

Su nueva iniciativa se aplica y puede ver el impacto de las dos formas siguientes:
En la barra lateral de Security Center, en Directiva y cumplimiento, seleccione Cumplimiento
normativo . El panel de cumplimiento se abre para mostrar su nueva iniciativa personalizada
junto a las iniciativas integradas.
Empezará a recibir recomendaciones si el entorno no sigue las directivas que ha definido.
6. Para ver las recomendaciones resultantes de la directiva, haga clic en Recomendaciones de la barra
lateral para abrir la página recomendaciones. Las recomendaciones aparecerán con una etiqueta
"Personalizada" y estarán disponibles en aproximadamente una hora.

Configuración de una directiva de seguridad mediante la API de REST

Como parte de la integración nativa con Azure Policy, Azure Security Center le permite aprovechar la API REST
de Azure Policy para crear asignaciones de directivas. Las siguientes instrucciones le guiarán en la creación de
asignaciones de directivas, así como en la personalización de asignaciones existentes.
Conceptos importantes de Azure Policy:
Una definición de directiva es una regla.
Una iniciativa es una colección de definiciones de directivas (reglas).
Una asignación es una aplicación de una iniciativa o una directiva para un ámbito concreto (grupo de
administración o suscripción, entre otros).
Security Center tiene una iniciativa integrada, Azure Benchmark, que incluye todas sus directivas de seguridad.
Para evaluar las directivas de Security Center sobre los recursos de Azure, debe crear una asignación en el grupo
de administración o en la suscripción que quiera evaluar.
De forma predeterminada, lºa iniciativa integrada tiene todas las directivas de Security Center habilitadas. Puede
optar por deshabilitar determinadas directivas de la iniciativa integrada. Por ejemplo, para aplicar todas las
directivas de Security Center excepto el firewall de aplicaciones web , cambie el valor del parámetro de
efecto de la directiva a Deshabilitado .

Ejemplos de API
En los siguientes ejemplos, reemplace estas variables:
 {scope} escriba el nombre de la suscripción o el grupo de administración al que va a aplicar la directiva.
{policyAssignmentName} escriba el nombre de la asignación de directiva pertinente.
{name} escriba su nombre o el nombre del administrador que aprobó el cambio de directiva.
En este ejemplo se muestra cómo asignar la iniciativa integrada de Security Center a una suscripción o grupo de
administración.

PUT

https://management.azure.com/{scope}/providers/Microsoft.Authorization/policyAssignments/{policyAssignmentNa
me}?api-version=2018-05-01

Request Body (JSON)

"properties":{

"displayName":"Enable Monitoring in Azure Security Center",

"metadata":{

"assignedBy":"{Name}"

},

"policyDefinitionId":"/providers/Microsoft.Authorization/policySetDefinitions/1f3afdf9-d0c9-4c3d-847f-
89da613e70a8",

"parameters":{},

En este ejemplo se muestra cómo asignar la iniciativa integrada de Security Center a una suscripción, con las
siguientes directivas deshabilitadas:
Actualizaciones del sistema ("systemUpdatesMonitoringEffect")
Configuraciones de seguridad ("systemConfigurationsMonitoringEffect")
Protección de extremos ("endpointProtectionMonitoringEffect")
 PUT
https://management.azure.com/{scope}/providers/Microsoft.Authorization/policyAssignments/{policyAssignmentNa
me}?api-version=2018-05-01

Request Body (JSON)

"properties":{

"displayName":"Enable Monitoring in Azure Security Center",

"metadata":{

"assignedBy":"{Name}"

},

"policyDefinitionId":"/providers/Microsoft.Authorization/policySetDefinitions/1f3afdf9-d0c9-4c3d-847f-
89da613e70a8",

"parameters":{

"systemUpdatesMonitoringEffect":{"value":"Disabled"},

"systemConfigurationsMonitoringEffect":{"value":"Disabled"},

"endpointProtectionMonitoringEffect":{"value":"Disabled"},

},

En este ejemplo se muestra cómo quitar una asignación:

DELETE

https://management.azure.com/{scope}/providers/Microsoft.Authorization/policyAssignments/{policyAssignmentNa
me}?api-version=2018-05-01

Mejora de las recomendaciones personalizadas con información

detallada
Las recomendaciones integradas que se suministran con Azure Security Center incluyen detalles como los
niveles de gravedad y las instrucciones de corrección. Si desea agregar este tipo de información a las
recomendaciones personalizadas para que aparezca en Azure Portal o donde acceda a las recomendaciones,
debe usar la API de REST.
Los dos tipos de información que puede agregar son:
RemediationDescription , cadena
Severity , enumeración [Low, Medium, High]
Los metadatos deben agregarse a la definición de la directiva para una directiva que forme parte de la iniciativa
personalizada. Debe estar en la propiedad "securityCenter", como se muestra a continuación:
 "metadata": {
"securityCenter": {
"RemediationDescription": "Custom description goes here",
"Severity": "High"
},

A continuación se muestra un ejemplo de una directiva personalizada que incluye la propiedad

metadata/securityCenter:

{
"properties": {
"displayName": "Security - ERvNet - AuditRGLock",
"policyType": "Custom",
"mode": "All",
"description": "Audit required resource groups lock",
"metadata": {
"securityCenter": {
"RemediationDescription": "Resource Group locks can be set via Azure Portal -> Resource Group ->
Locks",
"Severity": "High"
}
},
"parameters": {
"expressRouteLockLevel": {
"type": "String",
"metadata": {
"displayName": "Lock level",
"description": "Required lock level for ExpressRoute resource groups."
},
"allowedValues": [
"CanNotDelete",
"ReadOnly"
]
}
},
"policyRule": {
"if": {
"field": "type",
"equals": "Microsoft.Resources/subscriptions/resourceGroups"
},
"then": {
"effect": "auditIfNotExists",
"details": {
"type": "Microsoft.Authorization/locks",
"existenceCondition": {
"field": "Microsoft.Authorization/locks/level",
"equals": "[parameters('expressRouteLockLevel')]"
}
}
}
}
}
}

Para ver otro ejemplo del uso de la propiedad de securityCenter, consulte esta sección de la documentación de la
API de REST.

Pasos siguientes
En este artículo, ha aprendido a crear directivas de seguridad personalizadas.
Para obtener material relacionado, consulte los siguientes artículos:
Introducción a las directivas de seguridad
Lista de directivas de seguridad integradas
 Introducción a Azure Defender para servidores
22/03/2021 • 12 minutes to read • Edit Online

Azure Defender para servidores agrega la detección de amenazas y defensas avanzadas para las máquinas
Windows y Linux.
Para Windows, Azure Defender se integra con servicios de Azure para supervisar y proteger las máquinas
Windows. Security Center presenta las alertas y las sugerencias de corrección de todos estos servicios en un
formato fácil de usar.
Para Linux, Azure Defender recopila registros de auditoría de máquinas Linux mediante auditd , uno de los
marcos de trabajo de Linux más comunes. auditd se encuentra en el kernel de línea principal.

¿Cuáles son las ventajas de Azure Defender para servidores?

Las funcionalidades de detección de amenazas y protección que se proporcionan con Azure Defender para
servidores incluyen:
Licencia integrada para Microsoft Defender for Endpoint (solo Windows) : Azure Defender para
servidores incluye Microsoft Defender for Endpoint. Esta integración ofrece funcionalidades completas de
detección y respuesta (EDR) de puntos de conexión. Para más información, consulte Proteja los puntos de
conexión con la solución EDR integrada de Security Center: Microsoft Defender para punto de conexión.
Cuando Defender for Endpoint detecta una amenaza, desencadena una alerta. La alerta se muestra en
Security Center. En Security Center, también puede dinamizar hasta la consola de Defender for Endpoint
para realizar una investigación detallada y descubrir el alcance del ataque. Obtenga más información
acerca de Microsoft Defender for Endpoint.

IMPORTANT
El sensor de Microsoft Defender for Endpoint se habilita automáticamente en los servidores Windows que
usan Security Center.

Análisis de la evaluación de vulnerabilidades en máquinas vir tuales : el detector de

vulnerabilidades incluido con Azure Security Center cuenta con la tecnología de Qualys.
El detector de Qualys es una de las herramientas líderes para identificar en tiempo real las
vulnerabilidades en las máquinas virtuales híbridas y de Azure. No se necesita ninguna licencia ni cuenta
de Qualys, ya que todo se administra sin problemas en Security Center. Para más información, consulte
Solución de evaluación de vulnerabilidades integrada en Azure Defender para Azure y máquinas híbridas.
Acceso Just-In-Time (JIT) a máquinas vir tuales : los agentes de amenazas buscan activamente
máquinas accesibles con puertos de administración abiertos, como RDP o SSH. Todas las máquinas
virtuales son objetivos potenciales para un ataque. Cuando se consigue poner en peligro a una máquina
virtual, se usa como punto de entrada para atacar más recursos dentro de su entorno.
Una vez habilitado Azure Defender para servidores, puede usar el acceso Just-In-Time a máquinas
virtuales ara bloquear el tráfico entrante a las máquinas virtuales, lo que reduce la exposición a ataques
al mismo tiempo que proporciona un acceso sencillo para conectarse a las máquinas virtuales cuando
sea necesario. Para más información, consulte Descripción del acceso a la máquina virtual Just-in-Time
(JIT).
Super visión de la integridad de los archivos (FIM) : la supervisión de la integridad de los archivos
(FIM), conocida también como supervisión de los cambios, examina los archivos y los registros del
sistema operativo, el software de aplicación y demás para comprobar la existencia de cambios que
podrían indicar un ataque. Para determinar si el estado actual del archivo es diferente del último examen
del archivo, se usa un método de comparación. Puede aprovechar esta comparación para determinar si
se han realizado modificaciones sospechosas o válidas en los archivos.
Una vez habilitado Azure Defender para servidores, puede usar FIM para validar la integridad de los
archivos de Windows, los registros de Windows y los archivos de Linux. Para más información, consulte
Supervisión de la integridad de los archivos en Azure Security Center.
Controles de aplicaciones adaptables (ACC) : los controles de aplicaciones adaptables son una
solución inteligente y automatizada que permite definir listas de aplicaciones permitidas seguras
conocidas para las máquinas.
Cuando haya habilitado y configurado controles de aplicaciones adaptables, recibirá alertas de seguridad
si alguna aplicación ejecuta otros distintos a los definidos como seguros. Para más información, consulte
Uso de controles de aplicaciones adaptables para reducir las superficies de ataque de las máquinas.
Protección de red adaptable (ANH) : la aplicación de grupos de seguridad de red (NSG) para filtrar el
tráfico hacia y desde los recursos mejora la posición de seguridad de red. Sin embargo, aún puede haber
algunos casos en los que el tráfico real que fluye a través del NSG es un subconjunto de las reglas de
NSG definidas. En estos casos, puede mejorar la postura de seguridad al proteger aún más las reglas de
NSG, según los patrones de tráfico real.
La protección de red adaptable proporciona recomendaciones para proteger mejor las reglas de NSG.
Usa un algoritmo de aprendizaje automático que tiene en cuenta el tráfico real, la configuración de
confianza conocida, la inteligencia de amenazas y otros indicadores de riesgo, y luego proporciona
recomendaciones para permitir el tráfico solo desde tuplas IP y puerto específicas. Para más información,
consulte Mejora de la posición de seguridad de red con la protección de redes adaptativa.
Protección de host de Docker : Azure Security Center identifica contenedores no administrados y que
están hospedados en VM de IaaS Linux u otras máquinas Linux que ejecutan contenedores de Docker.
Security Center evalúa continuamente las configuraciones de estos contenedores. A continuación, las
compara con el Banco de prueba para Docker del Centro de seguridad de Internet (CIS). Security Center
incluye todo el conjunto de reglas del banco de prueba de Docker de CIS y le avisa si los contenedores no
cumplen ninguno de los controles. Para más información, consulte Protección de los hosts de Docker.
Detección de ataques sin archivos (solo Windows) : los ataques sin archivos inyectan cargas
malintencionadas en la memoria para evitar la detección mediante técnicas de detección basadas en
disco. Luego, la carga del atacante se conserva dentro de la memoria de los procesos en peligro y realiza
una amplia variedad de actividades malintencionadas.
Con la detección de ataques sin archivos, las técnicas forense de memoria automatizadas identifican kits
de herramientas, técnicas y comportamientos de los ataques sin archivos. Esta solución examina
periódicamente la máquina en tiempo de ejecución y extrae conclusiones directamente de la memoria de
los procesos. Las conclusiones específicas incluyen la identificación de:
Kits de herramientas conocidas y software de minería de datos de cifrado.
Shellcode, que es un pequeño fragmento de código que se usa normalmente como carga útil para
aprovechar una vulnerabilidad de software.
Archivo ejecutable malintencionado insertado en la memoria de proceso.
La detección de ataques sin archivos genera alertas de seguridad detalladas que contienen las
descripciones con metadatos de proceso adicionales, como la actividad de red. Esto acelera la evaluación
 de prioridades de alertas, la correlación y el tiempo de respuesta descendente. Este enfoque
complementa a las soluciones EDR basadas en eventos y proporciona mayor cobertura de detección.
Para obtener detalles de las alertas de detección de ataques sin archivo, consulte la Tabla de referencia de
alertas.
Integración de las aler tas de auditd de Linux y el agente de Log Analytics (solo Linux) : el
sistema de auditd consta de un subsistema de nivel de kernel, que es responsable de supervisar las
llamadas del sistema. Las filtra según un conjunto de reglas especificado y escribe mensajes para ellas en
un socket. Security Center integra funcionalidades del paquete auditd dentro del agente de Log Analytics.
Esta integración permite una colección de eventos de auditd en todas las distribuciones de Linux
admitidas sin requisitos previos.
Los registros de auditd se recopilan, enriquecen y agregan en eventos mediante el agente de Log
Analytics para Linux. Security Center agrega continuamente análisis nuevos que usan señales de Linux
para detectar comportamientos malintencionados en máquinas Linux locales y en la nube. De manera
similar a las funcionalidades de Windows, estos análisis abarcan varios procesos sospechosos, intentos
de inicio de sesión dudosos, carga de módulos de kernel y otras actividades. Estas actividades pueden
indicar que una máquina está sufriendo un ataque o se ha vulnerado.
Para obtener una lista de las alertas de Linux, consulte la Tabla de referencia de alertas.

Simulación de alertas
Puede simular alertas mediante la descarga de alguno de los cuadernos de estrategias:
Para Windows: Cuaderno de estrategias de Azure Security Center: alertas de seguridad
Para Linux: Cuaderno de estrategias de Azure Security Center: Detecciones de Linux.

Pasos siguientes
En este artículo, ha obtenido información sobre Azure Defender para servidores.
Para obtener material relacionado, consulte los siguientes artículos:
Tanto si Security Center genera una alerta, como si la recibe de un producto de seguridad diferente,
puede exportarla. Para exportar las alertas a Azure Sentinel, a cualquier SIEM de terceros o a cualquier
otra herramienta externa, siga las instrucciones de Exportación de alertas a un SIEM.
Habilitación de Azure Defender
 Solución de evaluación de vulnerabilidades
integrada en Azure Defender para Azure y
máquinas híbridas
24/03/2021 • 21 minutes to read • Edit Online

Un componente fundamental de cada programa de seguridad y riesgo cibernético es la identificación y el

análisis de las vulnerabilidades.
Security Center comprueba regularmente las máquinas conectadas para asegurarse de que están ejecutando
herramientas de evaluación de vulnerabilidades.
Cuando se detecta una máquina que no tiene implementada una solución de evaluación de vulnerabilidades,
Security Center genera la siguiente recomendación de seguridad:
Debe habilitarse una solución de evaluación de vulnerabilidades en sus máquinas vir tuales
Use esta recomendación para implementar la solución de evaluación de vulnerabilidades en las máquinas
virtuales de Azure y en las máquinas híbridas habilitadas para Azure Arc.
Implemente la solución de evaluación de vulnerabilidades que mejor se adapte a sus necesidades y
presupuesto:
Solución de evaluación de vulnerabilidades integrada (con tecnología de Qualys) : Azure
Defender incluye el examen de vulnerabilidades de las máquinas sin costo adicional. No se necesita
ninguna licencia ni cuenta de Qualys, ya que todo se administra sin problemas en Security Center. En esta
página se proporcionan detalles de este detector e instrucciones para implementarlo.

TIP
La solución de evaluación de vulnerabilidades integrada de admite tanto máquinas virtuales de Azure como
máquinas híbridas. Para implementar el analizador de evaluación de vulnerabilidades en máquinas locales y en
varias nubes, conéctelas primero a Azure con Azure Arc, tal como se describe en Conexión de máquinas que no
son de Azure a Security Center.
La solución de evaluación de vulnerabilidades integrada en Security Center funciona perfectamente con Azure Arc.
Cuando haya implementado el Azure Arc,las máquinas aparecerán en Security Center y no se requiere ningún
agente de Log Analytics.

Soluciones Traiga su propia licencia (BYOL) : Security Center admite la integración de herramientas
de otros proveedores, pero deberá controlar los costos de las licencias, la implementación y la
configuración. Al implementar su herramienta con Security Center, obtendrá información sobre a qué
máquinas virtuales de Azure les falta la herramienta. También podrá ver los resultados en Security Center.
Si prefiere usar la licencia de Qualys o Rapid7 privada de la organización en lugar de la licencia de Qualys
incluida en Azure Defender, consulte Implementación de una solución de BYOL.

Disponibilidad
A SP EC TO DETA L L ES

Estado de la versión: Disponibilidad general (GA)

 A SP EC TO DETA L L ES

Tipos de máquinas (escenarios híbridos): Azure Virtual Machines

Máquinas habilitadas para Azure Arc

Precios: Requiere Azure Defender para servidores.

Roles y permisos necesarios: El propietario del recurso puede implementar el

analizador.
El Lector de seguridad puede ver los resultados.

Nubes: Nubes comerciales

Nacionales o soberanas (US Gov, China Gov, otros
gobiernos)

Información general del detector de vulnerabilidades integrado

El detector de vulnerabilidades incluido con Azure Security Center cuenta con la tecnología de Qualys. El
detector de Qualys es una de las herramientas líderes para identificar en tiempo real las vulnerabilidades. Solo
está disponible con Azure Defender para servidores. No se necesita ninguna licencia ni cuenta de Qualys, ya que
todo se administra sin problemas en Security Center.
Funcionamiento del detector de vulnerabilidades integrado
La extensión de detector de vulnerabilidades funciona de la siguiente manera:
1. Implementación : Azure Security Center supervisa las máquinas y proporciona recomendaciones para
implementar la extensión de Qualys en las máquinas seleccionadas.
2. Recopilación de información : la extensión recopila artefactos y los envía para su análisis en el servicio
en la nube de Qualys de la región definida.
3. Análisis : el servicio en la nube de Qualys realiza la evaluación de vulnerabilidades y envía los resultados
a Security Center.

IMPORTANT
Para garantizar la privacidad, la confidencialidad y la seguridad de nuestros clientes, no compartimos la
información de los clientes con Qualys. Obtenga más información sobre los estándares de privacidad integrados
en Azure.

4. Informe : los resultados están disponibles en Security Center.

Implementación del analizador integrado en las máquinas híbridas y
de Azure
1. En Azure Portal, abra Security Center .
2. En el menú de Security Center, abra la página Recomendaciones .
3. Seleccione la recomendación La solución de evaluación de vulnerabilidades debe estar
habilitada en sus máquinas vir tuales .
 TIP
La máquina "Server16-test" anterior es una máquina habilitada para Azure Arc. Para implementar el detector de
evaluación de vulnerabilidades en máquinas locales y en varias nubes, consulte Conexión de máquinas que no son
de Azure a Security Center.
Security Center funciona perfectamente con Azure Arc. Cuando haya implementado el Azure Arc,las máquinas
aparecerán en Security Center y no se requiere ningún agente de Log Analytics.

Las máquinas aparecerán en uno o varios de los siguientes grupos:

Recursos correctos : Security Center ha detectado una solución de evaluación de
vulnerabilidades que se ejecuta en estas máquinas.
Recursos incorrectos : la extensión del detector de vulnerabilidades se puede implementar en
estas máquinas.
Recursos no aplicables : no se puede implementar la extensión del detector de vulnerabilidades
en estas máquinas. Es posible que la máquina esté en esta pestaña porque es una imagen de un
clúster de AKS, forma parte de un conjunto de escalado de máquinas virtuales o no ejecuta uno de
los sistemas operativos compatibles con el examen de vulnerabilidades integrado:

P RO VEEDO R SIST EM A O P ERAT IVO VERSIO N ES C O M PAT IB L ES

Microsoft Windows All

Red Hat Enterprise Linux 5.4+, 6, 7.0-7.8, 8.0-8.1

Red Hat CentOS 5.4+, 6, 7.0-7.7, 8.0-8.1

Red Hat Fedora 22-31

SUSE Linux Enterprise Server (SLES) 11, 12, 15

SUSE OpenSUSE 12, 13, 15.0-15.2

SUSE Leap 42.1

Oracle Enterprise Linux 5.11, 6, 7.0-7.5

Debian Debian 7.x-10.x

Ubuntu Ubuntu 12.04 LTS, 14.04 LTS, 15.x, 16.04

LTS, 18.04 LTS, 19.10, 20.04 LTS

4. En la lista de máquinas incorrectas, seleccione las que recibirán una solución de evaluación de
vulnerabilidades y seleccione Corregir .
 IMPORTANT
En función de la configuración, esta lista puede aparecer de manera diferente.
Si no tiene un detector de vulnerabilidades de terceros configurado, no se le ofrecerá la oportunidad de
implementarlo.
Si las máquinas seleccionadas no están protegidas con Azure Defender, la opción de examen de
vulnerabilidades integrada de ASC no estará disponible.

5. Elija la opción recomendada, Deploy ASC integrated vulnerability scanner (Implementar el detector
de vulnerabilidades integrado de ASC) y Continuar .
6. Se le pedirá una confirmación adicional. Seleccione Corregir .
La extensión del escáner se instalará en todas las máquinas seleccionadas en unos minutos.
El examen se iniciará automáticamente en cuanto se implemente correctamente la extensión. Luego, los
exámenes se ejecutarán a intervalos de cuatro horas. Este intervalo no es configurable.

IMPORTANT
Si se produce un error en el proceso de implementación en una o más máquinas, asegúrese de que las máquinas
de destino puedan comunicarse con el servicio en la nube de Qualys; para ello, agregue las siguientes direcciones
URL a sus listas de elementos admitidos (a través del puerto 443, que es el predeterminado para HTTPS):
https://qagpublic.qg3.apps.qualys.com: centro de datos de Qualys en los EE. UU.
https://qagpublic.qg2.apps.qualys.eu: centro de datos de Qualys en Europa.
Si la máquina se encuentra en una región europea de Azure, sus artefactos se procesarán en el centro de datos
europeo de Qualys. Los artefactos para máquinas virtuales ubicadas en cualquier otro lugar se envían al centro de
datos de EE. UU.

Automatización de implementaciones a escala

 NOTE
Todas las herramientas que se describen en esta sección están disponibles en el Repositorio de la comunidad de GitHub de
Security Center. En él puede encontrar scripts, automatizaciones y otros recursos útiles que puede usar a lo largo de la
implementación de ASC.
Algunas de estas herramientas solo afectan a las nuevas máquinas conectadas después de habilitar la implementación a
escala. Asimismo, otras también se implementan en los equipos existentes. Igualmente puede combinar varios enfoques.

Aquí tiene algunas de las formas para automatizar la implementación a escala del escáner integrado:
Azure Resource Manager : este método está disponible en la vista de recomendaciones lógicas de
Azure Portal. El script de corrección incluye la plantilla de ARM pertinente que puede usar para la
automatización:

Directiva DeployIfNotExists : es una directiva personalizada que se usa para garantizar que todos los
equipos recién creados reciben el escáner. Seleccione Implementar en Azure y establezca los parámetros
pertinentes. Puede asignar esta directiva en el nivel de grupos de recursos, suscripciones o grupos de
administración.
Script de PowerShell : use el script Update qualys-remediate-unhealthy-vms.ps1 para implementar la
extensión de todas las máquinas virtuales incorrectas. Para realizar instalaciones en nuevos recursos,
automatice el script con Azure Automation. El script busca todos los equipos incorrectos que haya detectado
la recomendación y ejecuta una llamada a Azure Resource Manager.
Azure Logic Apps : le permite compilar una aplicación lógica basada en la aplicación de ejemplo. Use las
herramientas de automatización del flujo de trabajo de Security Center para desencadenar la aplicación
lógica y así implementar el escáner cada vez que deba generar la recomendación A vulnerability
assessment solution should be enabled on your vir tual machines (Una solución de evaluación de
vulnerabilidades debe habilitarse en las máquinas virtuales) para un recurso.
API de REST : para implementar la solución de evaluación de vulnerabilidades integrada mediante la API de
REST de Security Center, realice una solicitud PUT en la siguiente dirección URL y agregue el id. de recurso
pertinente:
https://management.azure.com/<resourceId>/providers/Microsoft.Security/serverVulnerabilityAssessments/default?
api-Version=2015-06-01-preview
.

Desencadenamiento de un examen a petición

Puede desencadenar un examen a petición desde la propia máquina, mediante scripts u objetos de directiva de
grupo (GPO) ejecutados de forma local o remota. Como alternativa, puede integrarlo en las herramientas de
distribución de software al final de un trabajo de implementación de revisiones.
Los siguientes comandos desencadenan un examen a petición:
Máquinas Windows :
REG ADD HKLM\SOFTWARE\Qualys\QualysAgent\ScanOnDemand\Vulnerability /v "ScanOnDemand" /t REG_DWORD /d "1"
/f
Máquinas Linux : sudo /usr/local/qualys/cloud-agent/bin/cloudagentctl.sh action=demand type=vm

P+F: Detector de vulnerabilidades integrado (con tecnología de

Qualys)
¿Hay cargos adicionales por la licencia de Qualys?
No. El examen integrado es gratuito para todos los usuarios de Azure Defender. La recomendación implementa
el detector con la información de configuración y licencias. No se requieren licencias adicionales.
¿Qué requisitos previos y permisos son necesarios para instalar la extensión de Qualys?
Necesitará permisos de escritura para cualquier máquina en la que quiera implementar la extensión.
La extensión de evaluación de vulnerabilidades de Azure Security Center (con tecnología de Qualys), al igual que
otras extensiones, se ejecuta sobre el agente de máquina virtual de Azure. Por lo tanto, se ejecuta como host
local en Windows y raíz en Linux.
Durante la instalación, Security Center comprueba que la máquina puede comunicarse con los dos centros de
datos de Qualys siguientes (a través del puerto 443, el valor predeterminado para HTTPS):
https://qagpublic.qg3.apps.qualys.com: centro de datos de Qualys en los EE. UU.
https://qagpublic.qg2.apps.qualys.eu: centro de datos de Qualys en Europa.
La extensión no acepta actualmente ningún detalle de configuración de proxy.
¿Se puede quitar la extensión de Qualys de Security Center?
Si quiere quitar la extensión de una máquina, puede hacerlo manualmente o con cualquiera de las herramientas
de programación.
Necesitará los siguientes detalles:
En Linux, la extensión se denomina "LinuxAgent.AzureSecurityCenter" y el nombre del editor es "Qualys".
En Windows, la extensión se denomina "WindowsAgent.AzureSecurityCenter" y el nombre del proveedor es
"Qualys".
¿Cómo se actualiza la extensión?
Al igual que el propio agente de Azure Security Center y el resto de extensiones de Azure, las actualizaciones
secundarias del detector Qualys se podrían realizar automáticamente en segundo plano. Todos los agentes y
extensiones se prueban exhaustivamente antes de implementarse automáticamente.
¿Por qué muestra mi máquina el mensaje "no aplicable" en la recomendación?
La página de detalles de la recomendación agrupa las máquinas en las siguientes listas: correcta , incorrecta y
no aplicable .
Si tiene máquinas en el grupo de recursos no aplicables significa que Security Center no puede implementar
la extensión del detector de vulnerabilidades en esas máquinas.
Es posible que la máquina esté en esta pestaña porque:
 No está protegida por Azure Defender: como se explicó anteriormente, el examen de vulnerabilidades
incluido en Azure Security Center solo está disponible para las máquinas protegidas por Azure Defender
para servidores.
Se trata de una imagen en un clúster de AKS o parte de un conjunto de escalado de máquinas virtuales.
Esta extensión no es compatible con las VM que son recursos de PaaS.
No se ejecuta uno de los sistemas operativos compatibles:

P RO VEEDO R SIST EM A O P ERAT IVO VERSIO N ES C O M PAT IB L ES

Microsoft Windows All

Red Hat Enterprise Linux 5.4+, 6, 7.0-7.8, 8.0-8.1

Red Hat CentOS 5.4+, 6, 7.0-7.7, 8.0-8.1

Red Hat Fedora 22-31

SUSE Linux Enterprise Server (SLES) 11, 12, 15

SUSE OpenSUSE 12, 13, 15.0-15.2

SUSE Leap 42.1

Oracle Enterprise Linux 5.11, 6, 7.0-7.5

Debian Debian 7.x-10.x

Ubuntu Ubuntu 12.04 LTS, 14.04 LTS, 15.x, 16.04

LTS, 18.04 LTS, 19.10, 20.04 LTS

¿Qué examina el detector de vulnerabilidades integrado?

El analizador se ejecuta en la máquina para buscar vulnerabilidades de la propia máquina. Desde la máquina no
puede examinar la red.
¿Se integra el detector con mi consola de Qualys ya existente?
La extensión de Security Center es una herramienta independiente del detector Qualys existente. Las
restricciones de licencia significan que solo se pueden usar en Azure Security Center.
Microsoft Defender para puntos de conexión también incluye administración de amenazas y vulnerabilidades
(TVM ). ¿En qué se diferencia la extensión de evaluación de vulnerabilidades de Azure Defender?
Microsoft se encuentra en proceso de desarrollo de un servicio de administración de vulnerabilidades de
primera clase con la solución de administración de amenazas y vulnerabilidades de Microsoft Defender para
puntos de conexión integrada en Windows.
En la actualidad, la extensión de valoración de vulnerabilidades de Azure Security Center cuenta con tecnología
de Qualys. La extensión de Qualys garantiza la compatibilidad con las máquinas Windows y Linux. La extensión
también se beneficia de los conocimientos propios de Qualys de las vulnerabilidades que todavía no tienen CVE.
¿Con qué rapidez identificará el detector las vulnerabilidades críticas recién reveladas?
48 horas después de la divulgación de una vulnerabilidad crítica, Qualys incorpora la información en su proceso
y puede identificar las máquinas afectadas.
Pasos siguientes
Corrección de los resultados de las soluciones de evaluación de vulnerabilidades
Security Center también ofrece análisis de vulnerabilidades para:
SQL Database: consulte Exploración de los informes de evaluación de vulnerabilidades en el panel de
evaluación de vulnerabilidades.
Imágenes de Azure Container Registry: consulte Uso de Azure Defender para registros de contenedor para
examinar las imágenes en busca de vulnerabilidades
 Implemente una solución de evaluación de
vulnerabilidades BYOL (traiga su propia licencia)
11/03/2021 • 10 minutes to read • Edit Online

Si habilitó Azure Defender para ser vidores , puede usar la herramienta de evaluación de vulnerabilidades
integrada de Azure Security Center, tal y como se describe en Detector de vulnerabilidades integrado para
máquinas virtuales. Esta herramienta se integra en Azure Defender y no requiere ninguna licencia externa, todo
se controla sin problemas en Security Center. Además, el analizador integrado admite máquinas habilitadas para
Azure Arc.
Como alternativa, es posible que quiera implementar su propia solución de evaluación de vulnerabilidades con
licencia privada de Qualys o Rapid7. Puede instalar una de estas soluciones de asociados en varias máquinas
virtuales que pertenezcan a la misma suscripción (pero no máquinas habilitadas para Azure Arc).

Disponibilidad
A SP EC TO DETA L L ES

Estado de la versión: Disponibilidad general (GA)

Tipos de máquinas (escenarios híbridos): Azure Virtual Machines

Máquinas habilitadas para Azure Arc

Precios: Gratuito

Roles y permisos necesarios: El propietario del recurso puede implementar el

analizador.
El Lector de seguridad puede ver los resultados.

Nubes: Nubes comerciales

Nacionales o soberanas (US Gov, China Gov, otros
gobiernos)

Implementación de una solución BYOL desde Azure Portal

Las opciones BYOL hacen referencia a soluciones de evaluación de vulnerabilidades de terceros compatibles.
Actualmente se admiten los proveedores de Qualys y Rapid7.
Las soluciones compatibles notifican los datos de vulnerabilidades a la plataforma de administración del
asociado. A su vez, esa plataforma proporciona datos de supervisión del estado y las vulnerabilidades a Security
Center. Puede identificar las máquinas virtuales vulnerables desde el panel de Security Center y conmutar a la
consola de administración de socios comerciales directamente desde Security Center para más información e
informes.
1. En Azure Portal, abra Security Center .
2. En el menú de Security Center, abra la página Recomendaciones .
3. Seleccione la recomendación La solución de evaluación de vulnerabilidades debe estar
 habilitada en sus máquinas vir tuales .

Las máquinas virtuales aparecerán en uno o varios de los siguientes grupos:

Recursos correctos : Security Center ha detectado una solución de evaluación de vulnerabilidades
que se ejecuta en estas máquinas virtuales.
Recursos incorrectos : la extensión del detector de vulnerabilidades se puede implementar en estas
máquinas virtuales.
Recursos no aplicables : no se puede implementar la extensión del detector de vulnerabilidades en
estas máquinas virtuales.
4. En la lista de máquinas incorrectas, seleccione las que recibirán una solución de evaluación de
vulnerabilidades y seleccione Corregir .

IMPORTANT
En función de la configuración, es posible que solo vea un subconjunto de esta lista.
Si no tiene un detector de vulnerabilidades de terceros configurado, no se le ofrecerá la oportunidad de
implementarlo.
Si las máquinas virtuales seleccionadas no están protegidas con Azure Defender, la opción de detector de
vulnerabilidades integrado de ASC no estará disponible.
5. Si va a establecer una nueva configuración de BYOL, seleccione Configure a new third-par ty
vulnerability scanner (Configurar un nuevo detector de vulnerabilidades de terceros), seleccione la
extensión correspondiente, Continuar y escriba los detalles del proveedor de la siguiente manera:
a. En Grupo de recursos , seleccione Usar existente .
b. En Ubicación , seleccione el lugar en el que la solución se encuentra geográficamente localizada.
c. Para Qualys, escriba la licencia proporcionada por Qualys en el campo Código de licencia .
d. Para Rapid7, cargue el archivo de configuración de Rapid7 .
e. En el cuadro Clave pública , escriba la información de la clave pública que proporciona el asociado.
f. Para instalar automáticamente un agente de evaluación de vulnerabilidades en todas las VM
detectadas en la suscripción de esta solución Qualys, seleccione Implementación automática .
g. Seleccione Aceptar .
6. Si ya ha configurado la solución BYOL, seleccione Deploy your configured third-par ty vulnerability
scanner (Implementar el detector de vulnerabilidades de terceros configurado), seleccione la extensión
correspondiente y luego Continuar .
Una vez instalada la solución de evaluación de vulnerabilidades en las máquinas de destino, Security Center
realiza un análisis para detectar e identificar las vulnerabilidades en el sistema y en la aplicación. El primer
examen puede tardar un par de horas en completarse. Después, se ejecuta cada hora.

Implementación de una solución BYOL mediante PowerShell y la API

REST
Para implementar mediante programación su propia solución de valoración de vulnerabilidades con licencia
privada desde Qualys o Rapid7, use el script proporcionado PowerShell > Solución de vulnerabilidad. Este script
usa la API de REST para crear una nueva solución de seguridad en ASC. Necesitará una licencia y una clave que
proporciona el proveedor de servicios (Qualys o Rapid7).
 IMPORTANT
Solo se puede crear una solución por licencia. Se producirá un error al intentar crear otra solución con el mismo nombre,
licencia o clave.

Prerrequisitos
Módulos de PowerShell necesarios:
Install-module Az
Install-module Az.security
Ejecute el script.
Para ejecutar el script, necesitará la información pertinente para los parámetros siguientes.

PA RÁ M ET RO O B L IGATO RIO N OTA S

SubscriptionId ✔ Valor de subscriptionID de la

suscripción de Azure que contiene los
recursos que quiere analizar.

ResourceGroupName ✔ Nombre del grupo de recursos. Use

cualquier grupo de recursos existente
que incluya el valor predeterminado
("DefaultResourceGroup-xxx"). Dado
que la solución no es un recurso de
Azure, no aparecerá en el grupo de
recursos, pero está conectada a este.

vaSolutionName ✔ Nombre de la nueva solución.

vaType ✔ Qualys o Rapid7.

licenseCode ✔ Cadena de licencia proporcionada por

el proveedor.

publicKey ✔ Clave pública proporcionada por el

proveedor.

autoUpdate - Habilite (true) o deshabilite (false) la

implementación automática para esta
solución de VA. Cuando está
habilitada, todas las VM nuevas de la
suscripción intentarán vincularse
automáticamente a la solución.
(Valor predeterminado: False)

Sintaxis:

.\New-ASCVASolution.ps1 -subscriptionId <Subscription Id> -resourceGroupName <RG Name>

-vaSolutionName <New solution name> -vaType <Qualys / Rapid7> -autoUpdate <true/false>
-licenseCode <License code from vendor> -publicKey <Public Key received from vendor>

Ejemplo (en este ejemplo no se incluyen detalles de licencia válidos):

 .\New-ASCVASolution.ps1 -subscriptionId 'f4cx1b69-dtgb-4ch6-6y6f-ea2e95373d3b' -resourceGroupName
'DefaultResourceGroup-WEU' -vaSolutionName 'QualysVa001' -vaType 'Qualys' -autoUpdate 'false' `
-licenseCode
'eyJjaWQiOiJkZDg5OTYzXe4iMTMzLWM4NTAtODM5FD2mZWM1N2Q3ZGU5MjgiLCJgbTYuOiIyMmM5NDg3MS1lNTVkLTQ1OGItYjhlMC03OTR
hMmM3YWM1ZGQiLCJwd3NVcmwiOiJodHRwczovL3FhZ3B1YmxpYy1wMDEuaW50LnF1YWx5cy5jb20vQ2xvdSKJY6VudC8iLCJwd3NQb3J0Ijo
iNDQzIn0=' `
-publicKey
'MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQCOiOLXjOywMfLZIBGPZLwSocf1Q64GASLK9OHFEmanBl1nkJhZDrZ4YD5lM98fThYbAx1
Rde2iYV1ze/wDlX4cIvFAyXuN7HbdkeIlBl6vWXEBZpUU17bOdJOUGolzEzNBhtxi/elEZLghq9Chmah82me/okGMIhJJsCiTtglVQIDAQAB
'

Preguntas frecuentes: detector de vulnerabilidades BYOL

Si implemento un agente de Qualys, ¿qué configuración de comunicaciones se necesita?
Qualys Cloud Agent está diseñado para comunicarse con el SOC de Qualys a intervalos regulares para recibir
actualizaciones, así como para realizar las distintas operaciones necesarias para la funcionalidad del producto.
Para permitir que el agente se comunique sin problemas con el SOC, configure la seguridad de red para permitir
el tráfico entrante y saliente a las direcciones URL del SOC de Qualys.
Hay varias plataformas de Qualys en varias ubicaciones geográficas. El CIDR y las direcciones URL de SOC
variarán en función de la plataforma de host de su suscripción a Qualys. Para identificar la plataforma de host de
Qualys, use la siguiente página: https://www.qualys.com/platform-identification/.

Pasos siguientes
Corrección de los resultados de las soluciones de evaluación de vulnerabilidades
Security Center también ofrece análisis de vulnerabilidades para:
SQL Database: consulte Exploración de los informes de evaluación de vulnerabilidades en el panel de
evaluación de vulnerabilidades.
Imágenes de Azure Container Registry: consulte Uso de Azure Defender para registros de contenedor para
examinar las imágenes en busca de vulnerabilidades
 Visualización y corrección de los resultados de las
soluciones de evaluación de vulnerabilidades en las
máquinas virtuales
30/03/2021 • 5 minutes to read • Edit Online

Cuando la herramienta de evaluación de vulnerabilidades notifica vulnerabilidades a Security Center, este

presenta los resultados y la información relacionada como recomendaciones. Además, los resultados incluyen
información relacionada, como pasos de corrección, CVE pertinentes, puntuaciones de CVSS, etc. Se pueden ver
las vulnerabilidades identificadas para una o varias suscripciones, o para una máquina virtual específica.

Visualización de los resultados de los análisis de las máquinas

virtuales
Para ver los resultados de la evaluación de vulnerabilidades (de todos los exámenes configurados) y corregir las
vulnerabilidades identificadas:
1. Abra Azure Security Center y vaya a la página Recomendaciones .
2. Seleccione la recomendación Es necesario corregir las vulnerabilidades de las máquinas
vir tuales .
Security Center le muestra todos los resultados de todas las máquinas virtuales de las suscripciones
seleccionadas actualmente. Los resultados se ordenan por gravedad.

3. Para filtrar los resultados por una máquina virtual específica, abra la sección "Recursos afectados" y haga
 clic en la máquina virtual que le interese. También puede seleccionar una máquina virtual en la vista
Estado de los recursos y ver todas las recomendaciones pertinentes para ese recurso.
En Security Center se muestran los resultados de esa máquina virtual, ordenados por gravedad.
4. Para obtener más información acerca de una vulnerabilidad específica, selecciónela.

El panel Detalles que aparece contiene información detallada acerca de la vulnerabilidad e incluye:
Vínculos a todos los CVE pertinentes (si están disponibles)
Pasos de corrección
Cualquier página de referencia adicional
5. Para corregir un resultado, siga los pasos de corrección de este panel Detalles.

Deshabilitación de resultados específicos (versión preliminar)

Si tiene la necesidad organizativa de omitir un resultado, en lugar de corregirlo, tiene la opción de deshabilitarlo.
Los resultados deshabilitados no afectan a la puntuación de seguridad ni generan ruido no deseado.
Cuando un resultado coincide con los criterios que ha definido en las reglas de deshabilitación, no aparecerá en
la lista de resultados. Entre los escenarios típicos se incluyen:
Deshabilitar resultados con gravedad inferior a media
Deshabilitar resultados que no se pueden revisar
Deshabilitar resultados con una puntuación de CVSS por debajo de 6,5
Deshabilitar resultados con texto específico en la categoría o la comprobación de seguridad (por ejemplo,
"RedHat", "actualización de seguridad de CentOS para sudo")

IMPORTANT
Para crear una regla, necesita permisos para editar directivas en Azure Policy. Obtenga más información en Permisos de
Azure RBAC en Azure Policy.
Para crear una regla:
1. En la página de detalles de recomendaciones para Es necesario corregir las vulnerabilidades de las
máquinas vir tuales , seleccione Deshabilitar regla .
2. Seleccione el ámbito pertinente.
3. Defina los criterios. Puede utilizar cualquiera de los criterios siguientes:
Identificador del resultado
Category
Comprobación de seguridad
Puntuaciones de CVSS (v2, v3)
Gravedad
Estado revisable
4. Seleccione Aplicar regla .

IMPORTANT
Los cambios pueden tardar hasta 24 horas en surtir efecto.

5. Para ver, invalidar o eliminar una regla:

a. Seleccione Deshabilitar regla .
b. En la lista de ámbitos, las suscripciones con reglas activas se muestran como Regla aplicada .
 c. Para ver o eliminar la regla, seleccione el menú de puntos suspensivos ("...").

Exportación de los resultados

Para exportar los resultados de la valoración de vulnerabilidades, se debe usar Azure Resource Graph (ARG).
Esta herramienta proporciona acceso instantáneo a la información de recursos en los entornos de nube con
capacidades sólidas para filtrar, agrupar y ordenar. Es una forma rápida y eficaz de consultar información en las
suscripciones de Azure mediante programación o desde Azure Portal.
Para obtener instrucciones completas y una consulta de ARG de ejemplo, vea la siguiente publicación de Tech
Community: Exportación de los resultados de valoración de vulnerabilidades en Azure Security Center.

Pasos siguientes
En este artículo se ha descrito la extensión de evaluación de vulnerabilidades de Azure Security Center (con
tecnología de Qualys) para examinar las VM. Para obtener material relacionado, consulte los siguientes artículos:
Más información sobre los distintos elementos de una recomendación
Recomendaciones de corrección
 Visualización y corrección de los resultados de las
soluciones de evaluación de vulnerabilidades en las
máquinas virtuales
30/03/2021 • 5 minutes to read • Edit Online

Cuando la herramienta de evaluación de vulnerabilidades notifica vulnerabilidades a Security Center, este

presenta los resultados y la información relacionada como recomendaciones. Además, los resultados incluyen
información relacionada, como pasos de corrección, CVE pertinentes, puntuaciones de CVSS, etc. Se pueden ver
las vulnerabilidades identificadas para una o varias suscripciones, o para una máquina virtual específica.

Visualización de los resultados de los análisis de las máquinas

virtuales
Para ver los resultados de la evaluación de vulnerabilidades (de todos los exámenes configurados) y corregir las
vulnerabilidades identificadas:
1. Abra Azure Security Center y vaya a la página Recomendaciones .
2. Seleccione la recomendación Es necesario corregir las vulnerabilidades de las máquinas
vir tuales .
Security Center le muestra todos los resultados de todas las máquinas virtuales de las suscripciones
seleccionadas actualmente. Los resultados se ordenan por gravedad.

3. Para filtrar los resultados por una máquina virtual específica, abra la sección "Recursos afectados" y haga
 clic en la máquina virtual que le interese. También puede seleccionar una máquina virtual en la vista
Estado de los recursos y ver todas las recomendaciones pertinentes para ese recurso.
En Security Center se muestran los resultados de esa máquina virtual, ordenados por gravedad.
4. Para obtener más información acerca de una vulnerabilidad específica, selecciónela.

El panel Detalles que aparece contiene información detallada acerca de la vulnerabilidad e incluye:
Vínculos a todos los CVE pertinentes (si están disponibles)
Pasos de corrección
Cualquier página de referencia adicional
5. Para corregir un resultado, siga los pasos de corrección de este panel Detalles.

Deshabilitación de resultados específicos (versión preliminar)

Si tiene la necesidad organizativa de omitir un resultado, en lugar de corregirlo, tiene la opción de deshabilitarlo.
Los resultados deshabilitados no afectan a la puntuación de seguridad ni generan ruido no deseado.
Cuando un resultado coincide con los criterios que ha definido en las reglas de deshabilitación, no aparecerá en
la lista de resultados. Entre los escenarios típicos se incluyen:
Deshabilitar resultados con gravedad inferior a media
Deshabilitar resultados que no se pueden revisar
Deshabilitar resultados con una puntuación de CVSS por debajo de 6,5
Deshabilitar resultados con texto específico en la categoría o la comprobación de seguridad (por ejemplo,
"RedHat", "actualización de seguridad de CentOS para sudo")

IMPORTANT
Para crear una regla, necesita permisos para editar directivas en Azure Policy. Obtenga más información en Permisos de
Azure RBAC en Azure Policy.
Para crear una regla:
1. En la página de detalles de recomendaciones para Es necesario corregir las vulnerabilidades de las
máquinas vir tuales , seleccione Deshabilitar regla .
2. Seleccione el ámbito pertinente.
3. Defina los criterios. Puede utilizar cualquiera de los criterios siguientes:
Identificador del resultado
Category
Comprobación de seguridad
Puntuaciones de CVSS (v2, v3)
Gravedad
Estado revisable
4. Seleccione Aplicar regla .

IMPORTANT
Los cambios pueden tardar hasta 24 horas en surtir efecto.

5. Para ver, invalidar o eliminar una regla:

a. Seleccione Deshabilitar regla .
b. En la lista de ámbitos, las suscripciones con reglas activas se muestran como Regla aplicada .
 c. Para ver o eliminar la regla, seleccione el menú de puntos suspensivos ("...").

Exportación de los resultados

Para exportar los resultados de la valoración de vulnerabilidades, se debe usar Azure Resource Graph (ARG).
Esta herramienta proporciona acceso instantáneo a la información de recursos en los entornos de nube con
capacidades sólidas para filtrar, agrupar y ordenar. Es una forma rápida y eficaz de consultar información en las
suscripciones de Azure mediante programación o desde Azure Portal.
Para obtener instrucciones completas y una consulta de ARG de ejemplo, vea la siguiente publicación de Tech
Community: Exportación de los resultados de valoración de vulnerabilidades en Azure Security Center.

Pasos siguientes
En este artículo se ha descrito la extensión de evaluación de vulnerabilidades de Azure Security Center (con
tecnología de Qualys) para examinar las VM. Para obtener material relacionado, consulte los siguientes artículos:
Más información sobre los distintos elementos de una recomendación
Recomendaciones de corrección
 Descripción del acceso a la máquina virtual Just-in-
Time (JIT)
09/04/2021 • 7 minutes to read • Edit Online

En esta página se explican los principios en los que se basa la característica de acceso a la máquina virtual Just-
in-Time (JIT) de Azure Security Center y la lógica que hay detrás de la recomendación.
Para obtener información sobre cómo aplicar JIT a las máquinas virtuales mediante Azure Portal (ya sea Security
Center o Azure Virtual Machines) o mediante programación, vea Procedimientos para proteger los puertos de
administración con JIT.

Riesgos de abrir los puertos de administración abiertos en una

máquina virtual
Los actores de amenazas buscan activamente máquinas accesibles con puertos de administración abiertos,
como RDP o SSH. Todas las máquinas virtuales son objetivos potenciales para un ataque. Cuando se consigue
poner en peligro a una máquina virtual, se usa como punto de entrada para atacar más recursos dentro de su
entorno.

¿Por qué el acceso a la máquina virtual JIT es la solución?

Al igual que con todas las técnicas de prevención de ciberseguridad, el objetivo debería ser reducir la superficie
expuesta a ataques. En este caso, eso significa tener menos puertos abiertos, especialmente puertos de
administración.
Los usuarios legítimos también usan estos puertos, por lo que no resulta práctico mantenerlos cerrados.
Para solucionar este dilema, Azure Security Center ofrece JIT. Gracias a JIT, se puede bloquear el tráfico entrante
a las máquinas virtuales. Para ello, se reduce la exposición a ataques al mismo tiempo que se proporciona un
acceso sencillo para conectarse a las máquinas virtuales cuando sea necesario.

Funcionamiento de JIT con grupos de seguridad de red y Azure

Firewall
Cuando se habilita el acceso a la máquina virtual Just-in-Time, se pueden seleccionar los puertos en la máquina
virtual en los que se bloqueará el tráfico entrante. Security Center garantiza que existen reglas para "denegar
todo el tráfico entrante" de los puertos seleccionados en el grupo de seguridad de red (NSG) y las reglas de
firewall de Azure. Estas reglas restringen el acceso a los puertos de administración de las máquinas virtuales de
Azure y los defienden frente a ataques.
En caso de que ya existan otras reglas relativas a los puertos seleccionados, las reglas existentes tendrán
prioridad sobre las nuevas reglas para "denegar todo el tráfico entrante". Si no hay ninguna regla existente en
los puertos seleccionados, las nuevas reglas tendrán prioridad principal en los grupos de seguridad de red y
Azure Firewall.
Cuando un usuario solicita acceso a una máquina virtual, Security Center comprueba que este tenga permisos
de control de acceso basado en rol (RBAC de Azure) para ella. Si la solicitud se aprueba, Security Center
configura los grupos de seguridad de red y Azure Firewall para permitir el tráfico entrante a los puertos
seleccionados desde las direcciones (o rangos) IP relevantes durante el periodo especificado. Una vez
transcurrido ese tiempo, Security Center restaura los NSG a su estado anterior. Las conexiones que ya están
establecidas no se interrumpen.
 NOTE
JIT no admite las máquinas virtuales que protegen los firewalls de Azure controlados mediante Azure Firewall Manager.

Cómo identifica Security Center qué máquinas virtuales deben tener

JIT aplicado
En el diagrama siguiente se muestra la lógica que Security Center aplica al decidir cómo clasificar las máquinas
virtuales compatibles:

Cuando Security Center encuentra una máquina que puede beneficiarse de JIT, agrega esa máquina a la pestaña
Recursos incorrectos de la recomendación.
Preguntas frecuentes: preguntas sobre el acceso a la máquina virtual
Just-in-Time
¿Cuáles son los permisos necesarios para configurar y usar Just-In-Time?
JIT necesita que Azure Defender para servidores esté habilitado en la suscripción.
Los roles Lector y SecurityReader pueden ver el estado y los parámetros de JIT.
Si quiere crear roles personalizados que puedan funcionar con JIT, necesita los detalles de la tabla siguiente.

TIP
Para crear un rol con privilegios mínimos para los usuarios que necesiten solicitar acceso JIT a una máquina virtual y no
realizar ninguna otra operación JIT, use el script Set-JitLeastPrivilegedRole de las páginas de la comunidad de GitHub de
Security Center.

PA RA P ERM IT IR A LO S USUA RIO S: P ERM ISO S Q UE SE DEB EN ESTA B L EC ER

Configurar o editar una directiva JIT para una VM Asigne estas acciones al rol.
En el ámbito de una suscripción o un grupo de
recursos asociados a la máquina virtual:
Microsoft.Security/locations/jitNetworkAccessPolicies/write
En el ámbito de una suscripción o grupo de recursos
de una máquina virtual:
Microsoft.Compute/virtualMachines/write
 PA RA P ERM IT IR A LO S USUA RIO S: P ERM ISO S Q UE SE DEB EN ESTA B L EC ER

Solicitud de acceso Just-In-Time a una máquina virtual Asigne estas acciones al usuario.
En el ámbito de una suscripción o un grupo de
recursos asociados a la máquina virtual:
Microsoft.Security/locations/jitNetworkAccessPolicies/initiate/action
En el ámbito de una suscripción o un grupo de
recursos asociados a la máquina virtual:
Microsoft.Security/locations/jitNetworkAccessPolicies/*/read
En el ámbito de una suscripción, un grupo de
recursos o una máquina virtual:
Microsoft.Compute/virtualMachines/read
En el ámbito de una suscripción, un grupo de
recursos o una máquina virtual:
Microsoft.Network/networkInterfaces/*/read

Leer directivas JIT Asigne estas acciones al usuario.

Microsoft.Security/locations/jitNetworkAccessPolicies/read

Microsoft.Security/locations/jitNetworkAccessPolicies/initiate/action
Microsoft.Security/policies/read
Microsoft.Security/pricings/read
Microsoft.Compute/virtualMachines/read
Microsoft.Network/*/read

Pasos siguientes
En esta página se ha explicado por qué se debe usar el acceso a la máquina virtual (VM) Just-in-Time (JIT).
Avance al artículo de procedimientos para obtener información sobre cómo habilitar Just-In-Time y solicitar
acceso a las máquinas virtuales habilitadas para acceso Just-In-Time:
Procedimientos para proteger los puertos de administración con acceso Just-in-Time
 Protección de los puertos de administración con
acceso Just-in-Time
30/03/2021 • 21 minutes to read • Edit Online

Bloquee el tráfico de entrada a Azure Virtual Machines con la característica de acceso a máquinas virtuales (VM)
Just-in-Time (JIT) de Azure Security Center. Esto reduce la exposición a los ataques a la vez que proporciona un
acceso sencillo cuando necesita conectarse a una máquina virtual.
Para obtener una explicación completa sobre cómo funciona JIT y la lógica subyacente, consulte la explicación
sobre Just-in-Time.
Esta página le enseña cómo incluir JIT en el programa de seguridad. Aprenderá a:
Habilitar JIT en las máquinas vir tuales : puede habilitar JIT con sus propias opciones personalizadas para
una o más máquinas virtuales mediante Security Center, PowerShell o la API REST. Como alternativa, puede
habilitar JIT con parámetros predeterminados codificados de forma rígida de las máquinas virtuales de
Azure. Cuando se habilita, JIT bloquea el tráfico entrante a las máquinas virtuales de Azure mediante la
creación de una regla en el grupo de seguridad de red.
Solicitar acceso a una máquina vir tual con JIT habilitado : el objetivo de JIT es asegurarse de que,
aunque el tráfico entrante esté bloqueado, Security Center sigue facilitando el acceso para conectarse a las
máquinas virtuales cuando sea necesario. Puede solicitar acceso a una máquina virtual habilitada para JIT
desde Security Center, Azure Virtual Machines, PowerShell o la API REST.
Auditar la actividad : para asegurarse de que las máquinas virtuales estén protegidas correctamente, revise
los accesos a las máquinas virtuales habilitadas para JIT como parte de las comprobaciones de seguridad
periódicas.

Disponibilidad
A SP EC TO DETA L L ES

Estado de la versión: Disponibilidad general (GA)

Precios: Requiere Azure Defender para servidores.

Máquinas virtuales admitidas: Máquinas virtuales implementadas mediante Azure

Resource Manager.
Máquinas virtuales con modelos de implementación
clásica. Más información acerca de estos modelos de
implementación.
Máquinas virtuales que las instancias de Azure Firewall
protegen y que Azure Firewall Manager controla.
 A SP EC TO DETA L L ES

Roles y permisos necesarios: Los roles Lector y SecurityReader pueden ver el estado y
los parámetros de JIT.
Para crear roles personalizados que puedan funcionar con
JIT, consulte ¿Cuáles son los permisos necesarios para
configurar y usar Just-In-Time?.
Para crear un rol con privilegios mínimos para los usuarios
que necesiten solicitar acceso JIT a una máquina virtual y no
realizar ninguna otra operación JIT, use el script Set-
JitLeastPrivilegedRole de las páginas de la comunidad de
GitHub de Security Center.

Nubes: Nubes comerciales

Nacionales o soberanas (US Gov, China Gov, otros
gobiernos)

Habilitación del acceso a máquinas virtuales JIT

Puede habilitar el acceso a máquinas virtuales JIT con sus propias opciones personalizadas para una o más
máquinas virtuales mediante Security Center o mediante programación.
Como alternativa, puede habilitar JIT con parámetros predeterminados codificados de forma rígida de las
máquinas virtuales de Azure.
Cada una de estas opciones se explica en una pestaña independiente a continuación.
Azure Security Center
Máquinas vir tuales de Azure
PowerShell
API DE REST

Habilitación de JIT en las máquinas virtuales desde Azure Security Center

Desde Security Center, puede habilitar y configurar el acceso a máquinas virtuales JIT.
1. Abra el panel de Azure Defender y, en el área de protección avanzada, seleccione Acceso a máquinas
vir tuales Just-In-Time .
Se abrirá la página Acceso de máquina vir tual Just-In-Time con las máquinas virtuales agrupadas
en las siguientes pestañas:
Configurado : máquinas virtuales que ya se han configurado para admitir el acceso a máquinas
virtuales Just-In-Time. Para cada máquina virtual, la pestaña Configurado muestra:
el número de solicitudes JIT aprobadas en los últimos siete días
la fecha y hora del último acceso
los detalles de la conexión configurados
el último usuario
No configurado : máquinas virtuales sin JIT habilitado, pero que pueden admitir JIT. Se recomienda
habilitar JIT para estas máquinas virtuales.
No admitido : máquinas virtuales sin JIT habilitado y que no admiten la característica. Es posible que
su máquina virtual esté en esta pestaña por las siguientes razones:
Falta el grupo de seguridad de red (NSG): JIT requiere que se configure un NSG
Máquina virtual clásica: JIT es compatible con las máquinas virtuales que se implementan a
través de Azure Resource Manager, no con la "implementación clásica". Obtenga más
información sobre los modelos de implementación clásica y de Resource Manager.
Otro: la máquina virtual puede estar en esta pestaña si la solución JIT está deshabilitada en la
directiva de seguridad de la suscripción o el grupo de recursos.
2. En la pestaña No configurado , marque las máquinas virtuales que desea proteger con JIT y seleccione
Habilitar JIT en VM .
Se abre la página de acceso a máquinas virtuales JIT en la que se enumeran los puertos que Security
 Center recomienda proteger:
22 - SSH
3389 - RDP
5985 - WinRM
5986 - WinRM
Para aceptar la configuración predeterminada, seleccione Guardar .
3. Para personalizar las opciones de JIT:
Agregue puertos personalizados con el botón Agregar .
Modifique uno de los puertos predeterminados seleccionándolo en la lista.
Para cada puerto (personalizado y predeterminado), el panel Agregar configuración de puer to ofrece
las siguientes opciones:
Protocolo : el protocolo que se permite en este puerto cuando se aprueba una solicitud.
Direcciones IP de origen permitidas : los intervalos de direcciones IP que se permiten en este
puerto cuando se aprueba una solicitud.
Tiempo de solicitud máximo : el período de tiempo máximo durante el que puede estar abierto un
puerto específico.
a. Establezca la seguridad del puerto según sus necesidades.
b. Seleccione Aceptar .
4. Seleccione Guardar .
Edición de la configuración JIT en una máquina virtual habilitada para JIT mediante con Security Center
Puede modificar la configuración Just-In-Time de una máquina virtual agregando y configurando un puerto
nuevo que proteja dicha máquina virtual, o bien cambiando otro valor relacionado con un puerto ya protegido.
Para editar las reglas JIT existentes para una máquina virtual:
1. Abra el panel de Azure Defender y, en el área de protección avanzada, seleccione Controles de
aplicaciones adaptables .
2. En la pestaña Configurado , haga clic con el botón derecho en la máquina virtual a la que desea agregar
un puerto y seleccione Editar.

3. En Configuración de acceso a máquina vir tual del tipo JIT , puede modificar la configuración
 existente de un puerto protegido, o bien agregar un puerto personalizado.
4. Cuando haya terminado de editar los puertos, seleccione Guardar .

Solicitud de acceso a una máquina virtual habilitada para JIT

Puede solicitar acceso a una máquina virtual habilitada para JIT desde Azure Portal (en Security Center o Azure
Virtual Machines) o mediante programación.
Cada una de estas opciones se explica en una pestaña independiente a continuación.
Azure Security Center
Máquinas vir tuales de Azure
PowerShell
API DE REST

Solicitud de acceso a una máquina virtual habilitada para JIT desde Azure Security Center
Cuando una máquina virtual tiene JIT habilitado, tiene que solicitar acceso para conectarse a ella. Puede solicitar
acceso de cualquiera de las maneras admitidas, independientemente de cómo haya habilitado JIT.

1. En la página Acceso de máquina vir tual Just-In-Time , seleccione la pestaña Configurado .

2. Marque las máquinas virtuales a las que desea acceder.
El icono de la columna Detalles de la conexión indica si JIT está habilitado en el grupo de
seguridad de red o el firewall. Si está habilitado en ambos, solo aparece el icono de firewall.
En la columna Detalles de la conexión se proporciona la información necesaria para conectarse
a la máquina virtual y sus puertos abiertos.
3. Seleccione Solicitar acceso . Se abre la ventana Solicitar acceso .
4. En Solicitar acceso , configure para cada máquina virtual los puertos que desee que se abran y las
direcciones IP de origen en que se abre el puerto y el tiempo durante el que permanecerá abierto. Solo
será posible solicitar acceso a los puertos configurados. Cada puerto tiene un tiempo máximo permitido
que se basa en la configuración JIT que ha creado.
5. Seleccione Open por ts (Abrir puertos).

NOTE
Si un usuario que solicita acceso está detrás de un proxy, es posible que la opción de Mi IP no funcione. Es posible que
necesite definir todo el intervalo de direcciones IP de la organización.

Auditoría de la actividad de acceso JIT en Security Center

Puede usar la búsqueda de registros para obtener información sobre las actividades de las máquinas virtuales.
Para ver los registros:
1. En Acceso de máquina vir tual Just-In-Time , seleccione la pestaña Configurado .
2. Para la máquina virtual que desea auditar, abra el menú de puntos suspensivos al final de la fila.
3. Seleccione Registro de actividades en el menú.

El registro de actividades proporciona una vista filtrada de las operaciones anteriores para esa máquina
virtual, junto con el tiempo, la fecha y la suscripción.
4. Para descargar la información de registro, seleccione Descargar como CSV .

Pasos siguientes
En este artículo, ha aprendido a configurar y usar el acceso a máquinas virtuales Just-in-Time. Para saber por
qué se debe usar JIT, lea el artículo del concepto en el que se explican las amenazas contra las que se está
defendiendo:
JIT explicado
 Proteja los puntos de conexión con la solución EDR
integrada de Security Center: Microsoft Defender
para punto de conexión
30/03/2021 • 12 minutes to read • Edit Online

Microsoft Defender para punto de conexión es una solución integral de seguridad de punto de conexión que se
entrega en la nube. Sus principales características son:
Evaluación y administración de vulnerabilidades basadas en riesgos.
Reducción de la superficie expuesta a ataques
Protección basada en el comportamiento y con tecnología de nube.
Detección y respuesta de puntos de conexión (EDR).
Investigación y corrección automatizadas.
Servicios de búsqueda administrados.

TIP
Originalmente se inició como ATP de Windows Defender , pero se cambió el nombre de este producto de Detección y
respuesta de puntos de conexión (EDR) en 2019 a ATP de Microsoft Defender .
En Ignite 2020, lanzamos el conjunto Microsoft Defender XDR y se cambió el nombre del componente EDR a Microsoft
Defender para punto de conexión .

Disponibilidad
A SP EC TO DETA L L ES

Estado de la versión: Disponible con carácter general

Precios: Requiere Azure Defender para servidores.

Plataformas compatibles: • Máquinas de Azure que ejecutan Windows.

• Máquinas de Azure Arc que ejecutan Windows.

Versiones compatibles de Windows: • Disponibilidad general (GA): detección en Windows

Server 2016, 2012 R2 y 2008 R2 SP1
• Versión preliminar : detección en Windows Server 2019,
Windows Virtual Desktop (WVD) y Sesión múltiple de
Windows 10 Enterprise [anteriormente Enterprise para
escritorios virtuales (EVD)]

Sistemas operativos no admitidos: • Windows 10 (excepto EVD o WVD)

• Linux
 A SP EC TO DETA L L ES

Roles y permisos necesarios: Para habilitar o deshabilitar la integración: Administrador

de seguridad o Propietario
Para ver las alertas de MDATP en Security Center: Lector
de seguridad , Lector , Colaborador del grupo de
recursos , Propietario del grupo de recursos ,
Administrador de seguridad , Propietario de la
suscripción o Colaborador de la suscripción

Nubes: Nubes comerciales

US Gov
China Gov, otros gobiernos

Características de Microsoft Defender para punto de conexión en

Security Center
Microsoft Defender para punto de conexión proporciona lo siguiente:
Sensores de detección avanzados posteriores a las brechas . Los sensores de Defender para punto
de conexión para máquinas de Windows recopilan una amplia gama de señales de comportamiento.
Detección posterior a las brechas basada en el análisis y con tecnología de nube . Defender
para punto de conexión se adapta rápidamente a las amenazas cambiantes. Utiliza análisis avanzados y
macrodatos. Asimismo, se amplía gracias a la eficacia de Intelligent Security Graph con señales a través
de Windows, Azure y Office para detectar amenazas desconocidas. Proporciona alertas que requieren
intervención y le permite responder rápidamente.
Información sobre amenazas . Defender para punto de conexión crea alertas cuando identifica las
herramientas, las técnicas y los procedimientos de los atacantes. Usa datos generados por los equipos de
seguridad y los buscadores de amenazas de Microsoft, con la ayuda de mecanismos de inteligencia que
aportan los partners.
Mediante la integración de Defender para punto de conexión con Security Center, también puede beneficiarse de
las siguientes funcionalidades adicionales:
Incorporación automatizada . Security Center habilita automáticamente el sensor de Microsoft
Defender para punto de conexión en todos los servidores Windows que supervisa Security Center.
Panel único . la consola de Security Center muestra las alertas de Microsoft Defender para punto de
conexión. Para obtener más detalles, use las páginas del portal de Microsoft Defender para punto de
conexión, donde verá información adicional, como el árbol de procesos de alerta y el gráfico de
incidentes. También puede ver una escala de tiempo de la máquina detallada que muestra cada
comportamiento durante un período histórico de hasta seis meses.
Ubicación del inquilino de Microsoft Defender para punto de
conexión
Al usar Azure Security Center para supervisar los servidores, se crea automáticamente un inquilino
Microsoft Defender para punto de conexión. Los datos que recopila Defender para punto de conexión se
almacenan en la ubicación geográfica del inquilino identificada durante el aprovisionamiento. Los datos de
cliente en formato seudonimizado también se pueden almacenar en los sistemas de procesamiento y
almacenamiento central en el Estados Unidos.
Una vez configurada la ubicación, no se puede cambiar. Si tiene su propia licencia de Microsoft Defender para el
punto de conexión y necesita trasladar los datos a otra ubicación, póngase en contacto con Soporte técnico de
Microsoft para restablecer el inquilino.

Habilitar la integración de Microsoft Defender para punto de

conexión
1. Compruebe que el equipo cumple los requisitos necesarios para Defender para punto de conexión:
Para todas las versiones de Windows :
Configure las opciones de red descritas en Configurar el proxy de dispositivo y la configuración
de conectividad a Internet.
Si va a implementar Defender para punto de conexión en máquinas locales, conéctelo a
Azure Arc como se explica en Conexión de una máquina híbrida con servidores habilitados
para Azure Arc.
Además, en el caso de las máquinas con Windows Ser ver 2019 , compruebe que están ejecutando
un agente válido y que tienen la extensión MicrosoftMonitoringAgent.
2. Habilite Azure Defender para los ser vidores . Consulte Inicio rápido: Habilitación de Azure Defender.
3. Si ya ha obtenido una licencia e implementado Microsoft defender para punto de conexión en sus
servidores, quítelo mediante el procedimiento descrito en la Retirada de servidores de Windows.
4. En el menú de Security Center, seleccione Precios y configuración .
5. Seleccione la suscripción que desea cambiar.
6. Seleccione Detección de amenazas .
7. Seleccione Permitir que Microsoft Defender for Endpoint acceda a mis datos y luego Guardar .
 Azure Security Center incorporará automáticamente los servidores en Microsoft Defender para punto de
conexión. Este proceso de incorporación puede tardar hasta 24 horas.

Acceso al portal de Microsoft Defender para punto de conexión

1. Asegúrese de que la cuenta de usuario tenga los permisos necesarios. Obtenga más información en
Asignar acceso de usuario al Centro de seguridad de Microsoft Defender.
2. Compruebe si tiene un proxy o firewall que esté bloqueando el tráfico anónimo. El sensor de Defender
para punto de conexión se conecta desde el contexto del sistema, por lo que se debe permitir el tráfico
anónimo. Para garantizar un acceso sin obstáculos al portal de Defender para punto de conexión, siga las
instrucciones de Habilitar el acceso a las direcciones URL de servicio en el servidor proxy.
3. Abra el portal del Centro de seguridad de Microsoft Defender. Obtenga más información sobre las
características e iconos del portal, en Información general del portal del Centro de seguridad de
Microsoft Defender.

Envío de una alerta de prueba

Para generar una alerta de prueba benigna de Microsoft Defender para punto de conexión:
1. Cree una carpeta "C:\test-MDATP-test".
2. Use el Escritorio remoto para acceder a su máquina.
3. Abra una ventana de línea de comandos.
4. En el símbolo del sistema, copie el siguiente comando y ejecútelo. La ventana del símbolo del sistema se
cerrará automáticamente.

powershell.exe -NoExit -ExecutionPolicy Bypass -WindowStyle Hidden (New-Object

System.Net.WebClient).DownloadFile('http://127.0.0.1/1.exe', 'C:\\test-MDATP-test\\invoice.exe');
Start-Process 'C:\\test-MDATP-test\\invoice.exe'
5. Si el comando se ejecuta correctamente, verá una nueva alerta en el panel de Azure Security Center y el
portal de Microsoft Defender para punto de conexión. Esta alerta puede tardar unos minutos en aparecer.
6. Para revisar la alerta en Security Center, vaya a Security Aler ts (Aler tas de seguridad) > Suspicious
Powershell CommandLine (Línea de comandos de PowerShell sospechosa) .
7. En la ventana de la investigación, seleccione el vínculo para ir al portal de Microsoft Defender para punto
de conexión.

TIP
La alerta se desencadena con gravedad Información .

Preguntas más frecuentes sobre la instancia de Microsoft Defender

para punto de conexión integrada en Security Center
¿Cuáles son los requisitos de licencia de Microsoft Defender para punto de conexión?
Si tengo una licencia de Microsoft Defender para punto de conexión, ¿puedo obtener un descuento en Azure
Defender?
¿Cómo puedo cambiar una herramienta de EDR de terceros?
¿Cuáles son los requisitos de licencia de Microsoft Defender para punto de conexión?
Defender para punto de conexión se incluye sin costo adicional en los ser vidores de Azure Defender . Como
alternativa, se puede adquirir por separado para 50 máquinas o más.
Si tengo una licencia de Microsoft Defender para punto de conexión, ¿puedo obtener un descuento en Azure
Defender?
Si ya tiene una licencia de Microsoft Defender para punto de conexión, no tendrá que pagar esa parte de la
licencia de Azure Defender.
Para confirmar su descuento, póngase en contacto con el equipo de soporte técnico de Security Center y
especifique el identificador de área de trabajo, la región y la información de licencia pertinentes de cada licencia.
¿Cómo puedo cambiar una herramienta de EDR de terceros?
Las instrucciones completas para cambiarse de una solución de punto de conexión que no es de Microsoft están
disponibles en la documentación de Microsoft Defender para punto de conexión: Información general sobre la
migración.

Pasos siguientes
Características y plataformas compatibles con Azure Security Center
Administración de recomendaciones de seguridad en el Centro de seguridad de Azure: aprenda cómo las
recomendaciones le ayudarán a proteger los recursos de Azure.
 Uso de controles de aplicaciones adaptables para
reducir las superficies de ataque de las máquinas
30/03/2021 • 19 minutes to read • Edit Online

Conozca las ventajas de los controles de aplicaciones adaptables de Azure Security Center y cómo puede
mejorar la seguridad con esta característica inteligente controlada por datos.

¿Qué son los controles de aplicaciones adaptables de Security

Center?
Los controles de aplicaciones adaptables son una solución inteligente y automatizada que permite definir listas
de aplicaciones permitidas seguras conocidas para las máquinas.
A menudo, las organizaciones tienen colecciones de máquinas que ejecutan de forma rutinaria los mismos
procesos. Security Center usa el aprendizaje automático para analizar las aplicaciones que se ejecutan en las
máquinas y crear una lista del software seguro conocido. Las listas de permitidos se basan en las cargas de
trabajo específicas de Azure, y se pueden personalizar aún más las recomendaciones mediante las instrucciones
siguientes.
Cuando haya habilitado y configurado controles de aplicaciones adaptables, recibirá alertas de seguridad si
alguna aplicación ejecuta otros distintos a los definidos como seguros.

¿Cuáles son las ventajas de los controles de aplicaciones adaptables?

Al definir listas de aplicaciones seguras conocidas y generar alertas cuando se ejecuta algo diferente, puede
conseguir varios objetivos de protección:
Identificar posible malware, incluso el que podría faltar en las soluciones antimalware
Mejorar el cumplimiento de las directivas de seguridad locales que dictan el uso exclusivo de software con
licencia
Evitar la ejecución de aplicaciones antiguas o no admitidas
Impedir software específico prohibido por la organización
Aumentar la supervisión de las aplicaciones que acceden a datos confidenciales
Actualmente no hay opciones de cumplimiento disponibles. El fin de los controles de aplicaciones adaptables es
generar alertas de seguridad si alguna aplicación ejecuta elementos que no son los que se han definido como
seguros.

Disponibilidad
A SP EC TO DETA L L ES

Estado de la versión: Disponibilidad general (GA)

Precios: Requiere Azure Defender para servidores.

Máquinas admitidas: Máquinas de Azure y que no son de Azure que ejecutan

Windows y Linux
Máquinas de Azure Arc
 A SP EC TO DETA L L ES

Roles y permisos necesarios: Los roles Lector de seguridad y Lector pueden ver
grupos y las listas de aplicaciones seguras conocidas.
Los roles Colaborador y Administrador de seguridad
pueden editar grupos y las listas de aplicaciones seguras
conocidas.

Nubes: Nubes comerciales

Nacionales o soberanas (US Gov, China Gov, otros
gobiernos)

Habilitación de controles de aplicaciones en un grupo de máquinas

Si Security Center ha identificado grupos de máquinas en las suscripciones que ejecutan sistemáticamente un
conjunto similar de aplicaciones, se le avisará con la siguiente recomendación: Adaptive application controls
for defining safe applications should be enabled on your machines (Los controles de aplicaciones
adaptables para definir aplicaciones seguras deben estar habilitados en las máquinas).
Seleccione la recomendación o abra la página de controles de aplicaciones adaptables para ver la lista de grupos
de máquinas y aplicaciones seguras conocidas.
1. Abra el panel de Azure Defender y, en el área de protección avanzada, seleccione Controles de
aplicaciones adaptables .

Se abre la página Controles de aplicaciones adaptables con las máquinas virtuales agrupadas en las
siguientes pestañas:
Configuradas : grupos de máquinas que ya tienen una lista de aplicaciones permitidas. Para cada
grupo, en la pestaña Configuradas se muestra:
el número de máquinas en el grupo
las alertas recientes
Recomendadas : grupos de máquinas que ejecutan de forma sistemática las mismas aplicaciones
 y no tienen configurada una lista de permitidos. Se recomienda habilitar los controles de
aplicaciones adaptables para estos grupos.

TIP
Si ve un nombre de grupo con el prefijo "REVIEWGROUP", contiene máquinas con una lista de aplicaciones
parcialmente coherente. Security Center no puede encontrar un patrón, pero recomienda revisar este
grupo para ver si puede definir manualmente algunas reglas de controles de aplicaciones adaptables,
como se describe en Edición de una regla de controles de aplicaciones adaptables de un grupo.
También puede mover máquinas de este grupo a otro, como se describe en Movimiento de una máquina
virtual de un grupo a otro.

Ninguna recomendación : máquinas sin una lista de aplicaciones permitidas definida y que no
admiten la característica. Es posible que su máquina virtual esté en esta pestaña por las siguientes
razones:
Falta un agente de Log Analytics
El agente de Log Analytics no envía eventos
Es una máquina Windows con una directiva de AppLocker ya existente habilitada por un GPO o
una directiva de seguridad local.

TIP
Security Center necesita al menos dos semanas de datos para definir las recomendaciones únicas por
grupo de máquinas. Las máquinas que se han creado recientemente, o que pertenecen a suscripciones
que solo se habilitaron recientemente con Azure Defender, aparecerán en la pestaña Ninguna
recomendación .

2. Seleccione la pestaña Recomendadas . Aparecen los grupos de máquinas con listas de permitidos
recomendados.

3. Seleccione un grupo.
4. Para configurar la nueva regla, revise las distintas secciones de la página Configure application
control rules (Configurar reglas de control de aplicaciones) y el contenido, que será único para este
grupo de máquinas específico:
 a. Seleccionar máquinas : de forma predeterminada, se seleccionan todas las máquinas del grupo
identificado. Para excluir alguna de ellas de esta regla, anule su selección.
b. Aplicaciones recomendadas : revise esta lista de aplicaciones que son comunes a las máquinas
de este grupo y que se recomienda que tengan permiso para ejecutarse.
c. Más aplicaciones : revise esta lista de aplicaciones que se ven con menos frecuencia en las
máquinas de este grupo o que tienen vulnerabilidades conocidas. Un icono de advertencia indica
que un atacante podría usar una determinada aplicación para pasar por alto una lista de
aplicaciones permitidas. Se recomienda que revise atentamente estas aplicaciones.

TIP
Ambas listas de aplicaciones incluyen la opción de restringir una aplicación específica a determinados
usuarios. Adopte el principio de privilegios mínimos siempre que sea posible.
Los editores definen las aplicaciones; si una aplicación no tiene información del editor (está sin firmar), se
crea una regla de ruta de acceso para la ruta de acceso completa de la aplicación específica.

d. Para aplicar la regla, seleccione Auditar .

Edición de una regla de controles de aplicaciones adaptables de un

grupo
Puede que decida editar la lista de permitidos de un grupo de máquinas debido a cambios conocidos en la
organización.
Para editar las reglas de un grupo de máquinas:
1. Abra el panel de Azure Defender y, en el área de protección avanzada, seleccione Controles de
aplicaciones adaptables .
2. En la pestaña Configuradas , seleccione el grupo con la regla que quiere editar.
3. Revise las distintas secciones de la página Configure application control rules (Configurar reglas de
control de aplicaciones), como se describe en Habilitación de controles de aplicaciones adaptables en un
 grupo de máquinas.
4. Opcionalmente, agregue una o varias reglas personalizadas:
a. Seleccione Agregar regla .

b. Si va a definir una ruta de acceso segura conocida, cambie Tipo de regla a "Ruta de acceso" y
escriba una ruta única. Puede incluir caracteres comodín en la ruta de acceso.

TIP
Algunos escenarios en los que pueden resultar útiles los caracteres comodín en una ruta de acceso son:
El uso de un carácter comodín al final de una ruta de acceso para permitir todos los ejecutables dentro
de esta carpeta y sus subcarpetas.
El uso de un carácter comodín en medio de una ruta de acceso para permitir un nombre conocido de
ejecutable con un nombre de carpeta variable (por ejemplo, carpetas de usuario personales que
contienen un archivo ejecutable conocido, nombres de carpeta generados automáticamente, etc.).

c. Defina los usuarios permitidos y los tipos de archivo protegidos.

d. Cuando haya terminado de definir la regla, seleccione Agregar .
5. Seleccione Guardar para aplicar los cambios.

Revisión y edición de la configuración de un grupo

1. Para ver los detalles y la configuración de su grupo, seleccione Configuración de grupo .
En este panel se muestra el nombre del grupo (que se puede modificar), el tipo de sistema operativo, la
ubicación y otros detalles pertinentes.
2. Opcionalmente, puede modificar el nombre del grupo o los modos de protección de tipos de archivo.
3. Seleccione Aplicar y Guardar .

Respuesta a la recomendación "Allowlist rules in your adaptive

application control policy should be updated" (Se deben actualizar las
reglas de listas de permitidos de la directiva de control de
aplicaciones adaptables)
Esta recomendación aparece cuando la funcionalidad de aprendizaje automático de Security Center identifica un
comportamiento potencialmente legítimo que no se ha permitido anteriormente. La recomendación sugiere
nuevas reglas para las definiciones existentes con el fin de reducir el número de alertas de falsos positivos.
Para corregir los problemas:
1. En la página de recomendaciones, seleccione la recomendación Allowlist rules in your adaptive
application control policy should be updated (Se deben actualizar las reglas de listas de permitidos
de la directiva de control de aplicaciones adaptables) para ver los grupos con un comportamiento
potencialmente legítimo identificado recientemente.
2. Seleccione el grupo con la regla que quiere editar.
3. Revise las distintas secciones de la página Configure application control rules (Configurar reglas de
control de aplicaciones), como se describe en Habilitación de controles de aplicaciones adaptables en un
grupo de máquinas.
4. Para aplicar los cambios, seleccione Auditar .

Auditoría de alertas e infracciones

1. Abra el panel de Azure Defender y, en el área de protección avanzada, seleccione Controles de
aplicaciones adaptables .
2. Para ver los grupos con máquinas que tienen alertas recientes, revise los grupos que aparecen en la
pestaña Configurados .
3. Para investigar más, seleccione un grupo.

4. Para tener más detalles, junto con la lista de máquinas afectadas, seleccione una alerta.
En la página de alertas se muestran los detalles adicionales de las alertas y se proporciona un vínculo
Realizar acción con recomendaciones sobre cómo mitigar la amenaza.
 NOTE
Los controles de aplicaciones adaptables calculan los eventos una vez cada doce horas. La "hora de inicio de la
actividad" que se muestra en la página Alertas es la hora a la que los controles de aplicaciones adaptables crearon
la alerta, no el tiempo que estuvo activo el proceso sospechoso.

Movimiento de una máquina virtual de un grupo a otro

Cuando se mueve una máquina de un grupo a otro, la directiva de control de aplicaciones que se le ha aplicado
cambia a la configuración del grupo al que se ha movido. También se puede mover una máquina de un grupo
configurado a uno no configurado, y se quitarán las reglas de control de aplicaciones que se aplicaron a la
máquina.
1. Abra el panel de Azure Defender y, en el área de protección avanzada, seleccione Controles de
aplicaciones adaptables .
2. En la página Controles de aplicaciones adaptables , en la pestaña Configurados , seleccione el grupo
que contiene la máquina que se va a mover.
3. Abra la lista de Máquinas configuradas .
4. Abra el menú de la máquina en los tres puntos que aparecen al final de la fila y seleccione Mover . Se
abre el panel Move machine to a different group (Mover la máquina a un grupo diferente).
5. Seleccione el grupo de destino y elija Move machine (Mover máquina).
6. Para guardar los cambios, seleccione Guardar .

Administración de controles de aplicaciones a través de la API REST

Para administrar los controles de aplicaciones adaptables mediante programación, use nuestra API REST.
La documentación de API pertinente está disponible en la sección Controles de aplicación adaptables de la
documentación de la API de Security Center.
Algunas de las funciones que están disponibles en la API REST:
List recupera todas las recomendaciones de grupo y proporciona un archivo JSON con un objeto para
cada grupo.
Get recupera el archivo JSON con los datos completos de la recomendación (es decir, la lista de
máquinas, el editor, las reglas de ruta de acceso, etc.).
Put configura la regla (use el archivo JSON que recuperó con Get como cuerpo de esta solicitud).

IMPORTANT
La función Put espera menos parámetros de los que contiene el archivo JSON devuelto por el comando Get.
Antes de usar el archivo JSON en la solicitud Put, quite las siguientes propiedades: recommendationStatus,
configurationStatus, issues, location y sourceSystem.

Preguntas frecuentes: controles de aplicaciones adaptables

¿Hay alguna opción para aplicar los controles de aplicaciones?
Actualmente no hay ninguna opción disponible. El fin de los controles de aplicaciones adaptables es generar
aler tas de seguridad si alguna aplicación ejecuta elementos que no son los que se han definido como
seguros. Tienen una serie de ventajas (¿Cuáles son las ventajas de los controles de aplicación adaptables?) y son
extremadamente personalizables, como se muestra en esta página.

Pasos siguientes
En este documento ha aprendido a usar los controles de aplicaciones adaptables de Azure Security Center para
definir listas de aplicaciones permitidas que se ejecutan en máquinas de Azure y que no son de Azure. Para más
información sobre algunas de las otras características de protección de la carga de trabajo en la nube de
Security Center, consulte:
Descripción del acceso a la máquina virtual Just-in-Time (JIT)
Protección de los clústeres de Azure Kubernetes
 Supervisión de la integridad de los archivos en
Azure Security Center
24/03/2021 • 17 minutes to read • Edit Online

Aprenda a configurar la supervisión de la integridad de los archivos (FIM) en Azure Security Center mediante
este tutorial.

Disponibilidad
A SP EC TO DETA L L ES

Estado de la versión: Disponibilidad general (GA)

Precios: Requiere Azure Defender para servidores.

FIM carga datos en el área de trabajo de Log Analytics. Se
aplican cargos de datos, según la cantidad de datos que
cargue. Para más información, consulte Precios de Log
Analytics.

Roles y permisos necesarios: El propietario del área de trabajo puede habilitar o

deshabilitar FIM (para obtener más información, consulte
Roles de Azure para Log Analytics).
El lector puede ver los resultados.

Nubes: Nubes comerciales

Nacionales o soberanas (US Gov, China Gov, otros
gobiernos)
Solo se admite en las regiones en las que está disponible la
solución de seguimiento de cambios de Azure Automation.
Dispositivos habilitados para Azure Arc.
Consulte Regiones admitidas para el área de trabajo de Log
Analytics vinculada.
Más información sobre el seguimiento de cambios.

¿Qué la supervisión de la integridad de los archivos (FIM) Security

Center?
La supervisión de la integridad de los archivos (FIM), conocida también como supervisión de los cambios,
examina los archivos del sistema operativo, los registros de Windows, el software de aplicación, los archivos del
sistema Linux, etc., para comprobar la existencia de cambios que podrían indicar un ataque.
Security Center recomienda que las entidades se supervisen con FIM. Además, puede definir sus propias
directivas o entidades de FIM para supervisar. FIM le alerta sobre actividades sospechosas como:
Eliminación y creación de archivos y clave del Registro
Modificaciones de archivos (cambios en el tamaño de archivo, listas de control de acceso y hash del
contenido)
Modificaciones del Registro (cambios en el tamaño, listas de control de acceso, tipo y contenido)
En este tutorial, aprenderá a:
 Revisar la lista de entidades sugeridas para supervisar con FIM.
Definir sus propias reglas de FIM personalizadas.
Auditar los cambios en las entidades supervisadas.
Utilizar caracteres comodín para simplificar el seguimiento a través de directorios.

¿Cómo funciona FIM?

Al comparar el estado actual de estos elementos con el estado durante el examen anterior, FIM le avisa si se han
realizado modificaciones sospechosas.
FIM emplea la solución Azure Change Tracking para realizar el seguimiento de los cambios e identificarlos en su
entorno. Cuando la supervisión de la integridad de los archivos está habilitada, tendrá un recurso Change
Tracking de tipo Solución . Para obtener detalles sobre la frecuencia de recopilación de datos, consulte Detalles
de la recopilación de datos de Change Tracking.

NOTE
Si quita el recurso Change Tracking , deshabilitará también la característica de supervisión de la integridad de los
archivos en Security Center.

¿Qué archivos se deben supervisar?

Al elegir los archivos que quiere supervisar, es conveniente que piense en los archivos que son críticos para su
sistema y aplicaciones. Supervise archivos que no espera que cambien sin haberlo planeado. Si elige archivos
que las aplicaciones o el sistema operativo cambian con frecuencia (por ejemplo, archivos de registro y archivos
de texto), se genera mucho ruido que dificulta la identificación de un ataque.
Security Center proporciona la siguiente lista de elementos cuya supervisión se recomienda según los patrones
de ataque conocidos.

C L AVES DEL REGIST RO DE W IN DO W S

A RC H IVO S DE L IN UX A RC H IVO S DE W IN DO W S ( H K L M = H K EY _LO C A L _M A C H IN E)

/bin/login C:\autoexec.bat HKLM\SOFTWARE\Microsoft\Cryptogr

aphy\OID\EncodingType
0\CryptSIPDllRemoveSignedDataMsg{
C689AAB8-8E78-11D0-8C47-
00C04FC295EE}

/bin/passwd C:\boot.ini HKLM\SOFTWARE\Microsoft\Cryptogr

aphy\OID\EncodingType
0\CryptSIPDllRemoveSignedDataMsg{
603BCC1F-4B59-4E08-B724-
D2C6297EF351}

/etc/*.conf C:\config.sys HKLM\SOFTWARE\Microsoft\Windows

NT\CurrentVersion\IniFileMapping\SYS
TEM.ini\boot

/usr/bin C:\Windows\system.ini HKLM\SOFTWARE\Microsoft\Windows

NT\CurrentVersion\Windows

/usr/sbin C:\Windows\win.ini HKLM\SOFTWARE\Microsoft\Windows

NT\CurrentVersion\Winlogon
 C L AVES DEL REGIST RO DE W IN DO W S
A RC H IVO S DE L IN UX A RC H IVO S DE W IN DO W S ( H K L M = H K EY _LO C A L _M A C H IN E)

/bin C:\Windows\regedit.exe HKLM\SOFTWARE\Microsoft\Windows

\CurrentVersion\Explorer\Shell Folders

/sbin C:\Windows\System32\userinit.exe HKLM\SOFTWARE\Microsoft\Windows

\CurrentVersion\Explorer\User Shell
Folders

/boot C:\Windows\explorer.exe HKLM\SOFTWARE\Microsoft\Windows

\CurrentVersion\Run

/usr/local/bin C:\Archivos de programa\Microsoft HKLM\SOFTWARE\Microsoft\Windows

Security Client\msseces.exe \CurrentVersion\RunOnce

/usr/local/sbin HKLM\SOFTWARE\Microsoft\Windows
\CurrentVersion\RunOnceEx

/opt/bin HKLM\SOFTWARE\Microsoft\Windows
\CurrentVersion\RunServices

/opt/sbin HKLM\SOFTWARE\Microsoft\Windows
\CurrentVersion\RunServicesOnce

/etc/crontab HKLM\SOFTWARE\WOW6432Node\Mi
crosoft\Cryptography\OID\EncodingTy
pe
0\CryptSIPDllRemoveSignedDataMsg{
C689AAB8-8E78-11D0-8C47-
00C04FC295EE}

/etc/init.d HKLM\SOFTWARE\WOW6432Node\Mi
crosoft\Cryptography\OID\EncodingTy
pe
0\CryptSIPDllRemoveSignedDataMsg{
603BCC1F-4B59-4E08-B724-
D2C6297EF351}

/etc/cron.hourly HKLM\SOFTWARE\WOW6432Node\Mi
crosoft\Windows
NT\CurrentVersion\IniFileMapping\syst
em.ini\boot

/etc/cron.daily HKLM\SOFTWARE\WOW6432Node\Mi
crosoft\Windows
NT\CurrentVersion\Windows

/etc/cron.weekly HKLM\SOFTWARE\WOW6432Node\Mi
crosoft\Windows
NT\CurrentVersion\Winlogon

/etc/cron.monthly HKLM\SOFTWARE\WOW6432Node\Mi
crosoft\Windows\CurrentVersion\Explo
rer\Shell Folders
 C L AVES DEL REGIST RO DE W IN DO W S
A RC H IVO S DE L IN UX A RC H IVO S DE W IN DO W S ( H K L M = H K EY _LO C A L _M A C H IN E)

HKLM\SOFTWARE\WOW6432Node\Mi
crosoft\Windows\CurrentVersion\Explo
rer\User Shell Folders

HKLM\SOFTWARE\WOW6432Node\Mi
crosoft\Windows\CurrentVersion\Run

HKLM\SOFTWARE\WOW6432Node\Mi
crosoft\Windows\CurrentVersion\Run
Once

HKLM\SOFTWARE\WOW6432Node\Mi
crosoft\Windows\CurrentVersion\Run
OnceEx

HKLM\SOFTWARE\WOW6432Node\Mi
crosoft\Windows\CurrentVersion\RunS
ervices

HKLM\SOFTWARE\WOW6432Node\Mi
crosoft\Windows\CurrentVersion\RunS
ervicesOnce

HKLM\SYSTEM\CurrentControlSet\Con
trol\hivelist

HKLM\SYSTEM\CurrentControlSet\Con
trol\Session Manager\KnownDLLs

HKLM\SYSTEM\CurrentControlSet\Ser
vices\SharedAccess\Parameters\Firewall
Policy\DomainProfile

HKLM\SYSTEM\CurrentControlSet\Ser
vices\SharedAccess\Parameters\Firewall
Policy\PublicProfile

HKLM\SYSTEM\CurrentControlSet\Ser
vices\SharedAccess\Parameters\Firewall
Policy\StandardProfile

Habilitación de la supervisión de la integridad de los archivos

FIM solo está disponible desde las páginas de Security Center en Azure Portal. Actualmente no hay ninguna API
REST que funcione con FIM.
1. En el área Protección avanzada del panel de Azure Defender , seleccione Super visión de la
integridad de los archivos .
 Se abre la página de configuración Super visión de la integridad de los archivos .
Se proporciona la siguiente información para cada área de trabajo:
Número total de cambios que se produjeron durante la última semana (puede ver un guion "-" si FIM
no está habilitado en el área de trabajo)
Número total de equipos y las máquinas virtuales que informan al área de trabajo
Ubicación geográfica del área de trabajo
Suscripción de Azure en la que se encuentra el área de trabajo
2. Use esta página para:
Acceder y ver el estado y la configuración de cada área de trabajo.
Actualizar el área de trabajo para usar Azure Defender. Este icono indica que el área
de trabajo o la suscripción no están protegidas por Azure Defender. Para usar las características
FIM, la suscripción debe estar protegida por Azure Defender. Para más información, consulte Azure
Security Center gratuito frente a Azure Defender habilitado.
Habilitar FIM en todas las máquinas del área de trabajo y configurar las opciones de
FIM. Este icono indica que FIM no está habilitada en el área de trabajo.
 TIP
Si no hay ningún botón Habilitar o Actualizar y el espacio está en blanco, significa que FIM ya está habilitado en el
área de trabajo.

3. Seleccione HABILITAR . Se muestran los detalles del área de trabajo, incluido el número de equipos con
Windows y Linux en el área de trabajo.

También se muestra la configuración recomendada para Windows y Linux. Expanda Archivos de

Windows , Registro y Archivos de Linux para ver la lista completa de elementos recomendados.
4. Desactive las casillas de las entidades recomendadas que no quiere que supervise FIM.
5. Seleccione Aplicar la super visión de la integridad de los archivos para habilitar FIM.

NOTE
Puede cambiar la configuración en cualquier momento. Consulte a continuación Edición de las entidades supervisadas
para más información.

Auditoría de áreas de trabajo supervisadas

El panel Super visión de la integridad de los archivos se muestra en las áreas de trabajo en las que está
habilitado FIM. El panel de FIM se abre después de habilitar FIM en un área de trabajo o al seleccionar un área
de trabajo en la ventana Super visión de la integridad de los archivos que ya tiene FIM habilitado.
El panel de FIM de un área de trabajo muestra los detalles siguientes:
Número total de máquinas conectadas al área de trabajo
Número total de cambios que se produjeron durante el período de tiempo seleccionado
Un desglose del tipo de cambio (archivos, registro)
Un desglose de la categoría del cambio (modificado, agregado, quitado)
Seleccione Filtrar en la parte superior del panel para cambiar el período de tiempo durante el que se muestran
los cambios.

En la pestaña Ser vidores se enumeran las máquinas que informan a esta área de trabajo. En el panel se
muestra para cada máquina:
Número total de cambios que se produjeron durante el período de tiempo seleccionado
Un desglose de los cambios totales a medida que se producen cambios en los archivos o el registro
La hoja Búsqueda de registros se abre cuando escribe el nombre de una máquina en el campo de búsqueda
o selecciona una máquina que aparecen en la pestaña Equipos. En Búsqueda de registros se muestran todos los
cambios realizados durante el período de tiempo seleccionado para la máquina. Los cambios se pueden
expandir para obtener más información.
La pestaña Cambios (se muestra a continuación) enumera todos los cambios del área de trabajo durante el
período de tiempo seleccionado. En el panel se muestra para las entidades que se han cambiado:
Equipo en el que se produjo el cambio
Tipo de cambio (registro o archivo)
Categoría del cambio (modificado, agregado, eliminado)
Fecha y hora del cambio

Se abre la hoja Cambiar detalles al escribir un cambio en el campo de búsqueda o al seleccionar una entidad
enumerada en la pestaña Cambios .
Edición de las entidades supervisadas
1. Vuelva al panel Super visión de la integridad de los archivos y seleccione Configuración .

Se abre la hoja Configuración del área de trabajo que muestra tres pestañas: Registro de
Windows , Archivos de Windows y Archivos de Linux . En cada pestaña se muestran las entidades
que se pueden editar de esa categoría. En cada entidad de la lista, Security Center identifica si FIM está
habilitado (true) o deshabilitado (false). Al editar la entidad, puede habilitar o deshabilitar FIM.

2. Seleccione una protección de identidades. En este ejemplo se selecciona un elemento en el Registro de

Windows. Se abre la hoja Edit for Change Tracking (Editar para Change Tracking).
En Edit for Change Tracking (Editar para Change Tracking), puede:
Habilitar (true) o deshabilitar (false) la supervisión de la integridad de los archivos
Proporcionar o cambiar el nombre de la entidad
Proporcionar o cambiar el valor o la ruta de acceso
Eliminar la entidad, descarta el cambio o guardar el cambio

Agregar una nueva entidad para supervisar

1. Vuelva al panel Super visión de la integridad de los archivo y seleccione Configuración en la parte
superior. Se abre la hoja Configuración del área de trabajo .
2. En Configuración del área de trabajo , seleccione la pestaña correspondiente al tipo de entidad que
quiere agregar: Registro de Windows, Archivos de Windows o Archivos de Linux. En este ejemplo, hemos
seleccionado Archivos de Linux .

3. Seleccione Agregar . Se abre la hoja Add for Change Tracking (Agregar para Change Tracking).
4. En la página Agregar , escriba la información solicitada y seleccione Guardar .

Deshabilitación de las entidades supervisadas

1. Vuelva a al panel Super visión de la integridad de los archivos .
2. Seleccione un área de trabajo donde esté habilitado actualmente FIM. Un área de trabajo está habilitada
para FIM si le falta el botón Habilitar o Actualizar plan.

3. En Supervisión de la integridad de los archivos, seleccione Configuración .

4. En Configuración del área de trabajo , seleccione un grupo donde Habilitado esté establecido en
True.

5. En Edit for Change Tracking (Editar para Change Tracking), establezca Habilitado en False.

6. Seleccione Guardar .

Supervisión de carpetas y rutas de acceso mediante caracteres

comodín.
Utilice caracteres comodín para simplificar el seguimiento a través de directorios. Las siguientes reglas se
aplican cuando configura la supervisión de carpetas mediante caracteres comodín:
Los caracteres comodín son necesarios para realizar el seguimiento de varios archivos.
Los caracteres comodín solo se pueden usar en el último segmento de una ruta de acceso, como
C:\folder\file o /etc/*.conf.
Si una variable de entorno tiene una ruta de acceso no válida, la validación será correcta, pero se producirá
un error en dicha ruta cuando se ejecute el inventario.
Al establecer la ruta de acceso, evite las rutas de acceso generales como c:*.*, ya que daría lugar a que se
recorrieran demasiadas carpetas.
Deshabilitación de FIM
Puede deshabilitar FIM. FIM emplea la solución Azure Change Tracking para realizar el seguimiento de los
cambios e identificarlos en su entorno. Al deshabilitar FIM, quita la solución Change Tracking del área de trabajo
seleccionada.
1. Para deshabilitar FIM, vuelva al panel Super visión de la integridad de los archivos .
2. Seleccione un área de trabajo.
3. En Super visión de la integridad de los archivos , seleccione Deshabilitar .

4. Seleccione Quitar para deshabilitarlo.

Pasos siguientes
En este artículo ha obtenido información sobre cómo usar la Supervisión de la integridad de los archivos (FIM)
de Security Center. Para obtener más información sobre Security Center, vea las páginas siguientes:
Establecimiento de directivas de seguridad: aprenda a configurar directivas de seguridad para las
suscripciones y los grupos de recursos de Azure.
Administración de recomendaciones de seguridad: conozca una serie de recomendaciones que le ayudarán a
proteger los recursos de Azure.
Blog de seguridad de Azure: obtenga las últimas noticias e información sobre la seguridad en Azure.
 Comparación de las líneas de base mediante la
supervisión de la integridad de los archivos (FIM)
09/04/2021 • 6 minutes to read • Edit Online

La supervisión de la integridad de los archivos (FIM) le informa cuando se producen cambios en zonas sensibles
de los recursos, de manera que pueda investigar y abordar la actividad no autorizada. FIM supervisa archivos de
Windows, registros y archivos de Linux.
En este tema se explica cómo habilitar FIM en los archivos y registros. Para obtener información sobre FIM, vea
Supervisión de integridad de los archivos en Azure Security Center.

¿Por qué usar FIM?

El sistema operativo, las aplicaciones y las configuraciones asociadas controlan el estado de seguridad y el
comportamiento de los recursos. Por lo tanto, los atacantes dirigen sus esfuerzos contra los archivos que
controlan los recursos para superar al sistema operativo de un recurso o ejecutar actividades sin que se
detecten.
De hecho, muchos estándares de cumplimiento normativo, como PCI-DSS e ISO 17799, requieren la
implementación de controles de FIM.

Habilitación de comprobaciones de registro integradas recursivas

Los valores predeterminados del súbarbol del registro de FIM permiten supervisar de manera práctica los
cambios recursivos dentro de las áreas de seguridad comunes. Por ejemplo, un adversario puede configurar un
script para ejecutarlo en el contexto LOCAL_SYSTEM mediante la configuración de una ejecución en el inicio o el
apagado. Para supervisar los cambios de este tipo, habilite la comprobación integrada.

NOTE
Las comprobaciones recursivas solo se aplican a los subárboles de seguridad recomendados, no a las rutas de acceso al
registro personalizadas.

Incorporación de una comprobación de registro personalizada

Las líneas de base de FIM comienzan identificando las características de un estado correcto conocido para el
sistema operativo y admitiendo la aplicación. En este ejemplo, nos centraremos en las configuraciones de
directiva de contraseña para Windows Server 2008 y versiones posteriores.

N O M B RE DE L A DIREC T IVA C O N F IGURA C IÓ N DEL REGIST RO

Controlador de dominio: rechazar cambios de contraseña de MACHINE\System\CurrentControlSet\Services

cuenta de máquina \Netlogon\Parameters\RefusePasswordChange
 N O M B RE DE L A DIREC T IVA C O N F IGURA C IÓ N DEL REGIST RO

Miembro de dominio: cifrar o firmar digitalmente datos de MACHINE\System\CurrentControlSet\Services

canal seguros (siempre) \Netlogon\Parameters\RequireSignOrSeal

Miembro de dominio: cifrar digitalmente datos de canal MACHINE\System\CurrentControlSet\Services

seguros (cuando sea posible) \Netlogon\Parameters\SealSecureChannel

Miembro de dominio: firmar digitalmente datos de canal MACHINE\System\CurrentControlSet\Services

seguros (cuando sea posible) \Netlogon\Parameters\SignSecureChannel

Miembro de dominio: deshabilitar cambios de contraseña de MACHINE\System\CurrentControlSet\Services

cuenta de máquina \Netlogon\Parameters\DisablePasswordChange

Miembro de dominio: antigüedad máxima de la contraseña MACHINE\System\CurrentControlSet\Services

de cuenta de máquina \Netlogon\Parameters\MaximumPasswordAge

Miembro de dominio: requerir clave de sesión segura MACHINE\System\CurrentControlSet\Services

(Windows 2000 o posterior) \Netlogon\Parameters\RequireStrongKey

Seguridad de redes: restringir NTLM: autenticación NTLM en MACHINE\System\CurrentControlSet\Services

este dominio \Netlogon\Parameters\RestrictNTLMInDomain

Seguridad de redes: restringir NTLM: agregar excepciones de MACHINE\System\CurrentControlSet\Services

servidor en este dominio \Netlogon\Parameters\DCAllowedNTLMServers

Seguridad de redes: restringir NTLM: auditar autenticación MACHINE\System\CurrentControlSet\Services

NTLM en este dominio \Netlogon\Parameters\AuditNTLMInDomain

NOTE
Para obtener más información sobre la configuración del registro compatible con las distintas versiones del sistema
operativo, consulte la hoja de cálculo de referencia de configuración de directiva de grupo.

Para configurar FIM para supervisar las líneas de base del registro:
1. En la ventana Agregar Registro de Windows para el seguimiento de cambios , en el cuadro de
texto Clave del Registro de Windows , escriba la siguiente clave del Registro.

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
Seguimiento de cambios en los archivos de Windows
1. En la ventana Agregar Registro de Windows para el seguimiento de cambios , en el cuadro de
texto Indicar ruta de acceso , especifique la carpeta que contiene los archivos de los que quiere hacer
un seguimiento. En el ejemplo de la siguiente ilustración, Contoso Web App reside en la unidad D:\
dentro de la estructura de carpetas ContosWebApp .
2. Cree una entrada de archivo de Windows personalizada especificando un nombre de la clase de
configuración, habilitando la recursión y especificando la carpeta principal con un sufijo de carácter
comodín (*).

Recuperación de datos modificados

Los datos de la supervisión de la integridad de archivos residen en el conjunto de tablas de Azure Log
Analytics/ConfigurationChange.
1. Establezca un intervalo de tiempo para recuperar un resumen de los cambios por recurso. En el siguiente
ejemplo, recuperaremos todos los cambios realizados en los últimos 14 días en las categorías de registro
y archivos:

ConfigurationChange

| where TimeGenerated > ago(14d)

| where ConfigChangeType in ('Registry', 'Files')

| summarize count() by Computer, ConfigChangeType

2. Para ver los detalles de los cambios del registro:

a. Quite Files de la cláusula where .
b. Quite la línea de resumen y reemplácela por una cláusula de ordenación:
 ConfigurationChange

| where TimeGenerated > ago(14d)

| where ConfigChangeType in ('Registry')

| order by Computer, RegistryKey

Los informes se pueden exportar a CSV para archivado o canalizar a un informe de Power BI.
 Mejora de la posición de seguridad de red con la
protección de redes adaptativa
30/03/2021 • 11 minutes to read • Edit Online

Obtenga información sobre cómo configurar la protección de red adaptable en Security Center.

Disponibilidad
A SP EC TO DETA L L ES

Estado de la versión: Disponibilidad general (GA)

Precios: Requiere Azure Defender para servidores.

Roles y permisos necesarios: Permisos de escritura en los NSG de la máquina

Nubes: Nubes comerciales

Nacionales o soberanas (US Gov, China Gov, otros
gobiernos)

¿Qué es la protección de red adaptable?

La aplicación de grupos de seguridad de red (NSG) para filtrar el tráfico hacia y desde los recursos mejora la
postura de seguridad de red. Sin embargo, aún puede haber algunos casos en los que el tráfico real que fluye a
través del NSG es un subconjunto de las reglas de NSG definidas. En estos casos, puede mejorar la postura de
seguridad al proteger aún más las reglas de NSG, según los patrones de tráfico real.
La protección de red adaptable proporciona recomendaciones para proteger mejor las reglas de NSG. Usa un
algoritmo de aprendizaje automático que tiene en cuenta el tráfico real, la configuración de confianza conocida,
la inteligencia de amenazas y otros indicadores de riesgo, y luego proporciona recomendaciones para permitir
el tráfico solo desde tuplas IP y puerto específicas.
Por ejemplo, supongamos que la regla de NSG existente es permitir el tráfico desde 140.20.30.10/24 en el
puerto 22. En función del análisis del tráfico, la protección de red adaptable podría recomendar la limitación del
intervalo para permitir el tráfico desde 140.23.30.10/29 y denegar todo el tráfico restante en ese puerto.

NOTE
Las recomendaciones de la protección de red adaptable solo se admiten en los siguientes puertos (para UDP y TCP): 13,
17, 19, 22, 23, 53, 69, 81, 111, 119, 123, 135, 137, 138, 139, 161, 162, 389, 445, 512, 514, 593, 636, 873, 1433, 1434,
1900, 2049, 2301, 2323, 2381, 3268, 3306, 3389, 4333, 5353, 5432, 5555, 5800, 5900, 5900, 5985, 5986, 6379, 6379,
7000, 7001, 7199, 8081, 8089, 8545, 9042, 9160, 9300, 11211, 16379, 26379, 27017 y 37215.

Visualización y administración de alertas y reglas de protección

1. En el menú de Security Center, abra el panel de Azure Defender y seleccione el icono de protección de
red adaptable (1) o el elemento del panel de conclusiones relacionado con la protección de red adaptable
 (2).

TIP
En el panel de conclusiones se muestra el porcentaje de las máquinas virtuales que se defienden actualmente con
la protección de red adaptable.

2. La página de detalles de la recomendación Las recomendaciones de protección de redes

adaptables se deben aplicar en las máquinas vir tuales orientadas a Internet se abre con las
máquinas virtuales de red agrupadas en tres pestañas:
Recursos con estado incorrecto : VM que tienen actualmente recomendaciones y alertas que se
desencadenaron mediante la ejecución del algoritmo de protección de red adaptable.
Recursos con estado correcto : VM sin alertas ni recomendaciones.
Recursos sin analizar : VM en las que no se puede ejecutar el algoritmo de protección de red
adaptable debido a uno de los motivos siguientes:
Las VM son VM clásicas : solo se admiten VM de Azure Resource Manager.
No hay suficientes datos disponibles : para generar recomendaciones de protección de
tráfico precisas, Security Center requiere al menos 30 días de datos de tráfico.
La VM no está protegida por Azure Defender : Solo las máquinas virtuales protegidas con
Azure Defender para servidores son válidas para esta característica.
3. En la pestaña Recursos con estado incorrecto , seleccione una VM para ver sus alertas y las reglas de
protección recomendadas que se deben aplicar.
En la pestaña Reglas se enumeran las reglas que recomiendan la protección de red adaptable que
agregue.
En la pestaña Aler tas se enumeran las alertas que se generaron debido al tráfico, que fluye al recurso
y que no está dentro del intervalo de IP permitidas en las reglas recomendadas.
4. Si lo desea, edite las reglas:
Modificación de una regla
Eliminar una regla
Adición de una regla
5. Seleccione las reglas que desea aplicar en el NSG y haga clic en Aplicar .

TIP
Si los intervalos de direcciones IP de origen permitidos se muestran como "Ninguno", significa que la regla
recomendada es una regla de denegación; de lo contrario, es una regla de permiso.
 NOTE
Las reglas aplicadas se agregan a los NSG que protegen la VM. (Una VM podría estar protegida por un NSG
asociado a su NIC, la subred en la que reside la VM o ambos).

Modificación de una regla

Es posible modificar los parámetros de una regla que se haya recomendado. Por ejemplo, quizás querrá cambiar
los intervalos de IP recomendados.
Instrucciones importantes a la hora de modificar una regla de protección de red adaptable:
Solo puede modificar los parámetros de las reglas de tipo "permitir".
No puede cambiar reglas de tipo "permitir" para convertirlas en reglas de tipo "denegar".

NOTE
La creación y modificación de reglas de tipo "denegar" se realiza directamente en el NSG. Para más información,
consulte Creación, modificación o eliminación de un grupo de seguridad de red .

Una regla de tipo Denegar todo el tráfico es el único tipo de regla "denegar" que figuraría aquí, y no
se puede modificar. Sin embargo, puede eliminar la regla (consulte Eliminación de una regla).

NOTE
Una regla tipo Denegar todo el tráfico se recomienda cuando, como resultado de la ejecución del algoritmo,
Security Center no identifica el tráfico que se debe permitir, según la configuración de NSG existente. Por lo tanto,
la regla recomendada es denegar todo el tráfico al puerto especificado. El nombre de este tipo de regla se muestra
como "Generada por el sistema". Después de aplicar esta regla, su nombre real en el NSG será una cadena
compuesta por el protocolo, la dirección del tráfico, "DENY" y un número aleatorio.

Para modificar una regla de protección de red adaptable:

1. Para modificar algunos de los parámetros de una regla, en la pestaña Reglas , haga clic en los puntos
suspensivos (…) al final de la fila de la regla y seleccione Editar .
2. En la ventana Editar regla , actualice los detalles que desea cambiar y haga clic en Guardar .

NOTE
Después de hacer clic Guardar , habrá cambiado la regla correctamente. Sin embargo, no la ha aplicado al NSG.
Para ello, debe seleccionar la regla de la lista y seleccionar en Exigir (tal como se explica en el paso siguiente).

3. Para aplicar la regla actualizada, en la lista, seleccione la regla actualizada y haga clic en Aplicar .

Adición de una nueva regla

Puede agregar una regla de tipo "permitir" no recomendada por Security Center.
 NOTE
Aquí solo se pueden agregar reglas de tipo "permitir". Si quiere agregar reglas de tipo "denegar", puede hacerlo
directamente en el NSG. Para más información, consulte Creación, modificación o eliminación de un grupo de seguridad
de red .

Para agregar una regla de protección de red adaptable:

1. Haga clic en Agregar regla (situado en la esquina superior izquierda).

2. En la ventana Nueva regla , especifique los detalles y haga clic en Agregar .

NOTE
Después de hacer clic en Agregar , habrá agregado correctamente la regla y esta se muestra con las demás reglas
recomendadas. Sin embargo, no la ha aplicado al NSG. Para ello, debe seleccionar la regla de la lista y hacer clic en
Aplicar (tal como se explica en el paso siguiente).

3. Para aplicar la nueva regla, en la lista, seleccione la nueva regla y haga clic en aplicar .

Eliminación de una regla

Cuando sea necesario, puede eliminar una regla recomendada de la sesión actual. Por ejemplo, puede
determinar que aplicar una regla sugerida podría bloquear tráfico legítimo.
Para eliminar una regla de protección de red adaptable de la sesión actual:
1. En la pestaña Reglas , haga clic en los puntos suspensivos (…) al final de la fila de la regla y seleccione
Eliminar .
 Protección de los hosts de Docker
09/04/2021 • 3 minutes to read • Edit Online

Azure Security Center identifica contenedores no administrados y que están hospedados en VM de IaaS Linux u
otras máquinas de Linux que ejecutan contenedores de Docker. Security Center evalúa continuamente las
configuraciones de estos contenedores. A continuación, las compara con el Banco de prueba para Docker del
Centro de seguridad de Internet (CIS).
Security Center incluye todo el conjunto de reglas del banco de prueba de Docker de CIS y le avisa si los
contenedores no cumplen ninguno de los controles. Cuando encuentra configuraciones inactivas, Security
Center genera recomendaciones de seguridad. Use la página de recomendaciones de Azure Security Center
para ver las recomendaciones y corregir los problemas.
Cuando se detectan vulnerabilidades, se agrupan en una sola recomendación.

NOTE
Estas comprobaciones del banco de prueba de CIS no se ejecutarán en instancias que administre AKS o en VM que
administre Databricks.

Disponibilidad
A SP EC TO DETA L L ES

Estado de la versión: Disponibilidad general (GA)

Precios: Requiere Azure Defender para servidores.

Roles y permisos necesarios: Lector en el área de trabajo a la que se conecta el host.

Nubes: Nubes comerciales

Nacionales o soberanas (US Gov, China Gov, otros
gobiernos)

Identificación y corrección de vulnerabilidades de seguridad en la

configuración de Docker
1. En el menú de Security Center, abra la página Recomendaciones .
2. Filtre por la recomendación Las vulnerabilidades en las configuraciones de seguridad de
contenedor deben corregirse y selecciónela.
En la página de recomendación se muestran los recursos afectados (hosts de Docker).
3. Para ver y corregir los controles de CIS en los que se produjo un error en un host específico, seleccione el
host que desea investigar.

TIP
Si empezó en la página de inventario de recursos y ha llegado a esta recomendación desde ahí, seleccione el botón
Realizar acción de la página de la recomendación.

Log Analytics se abre con una operación personalizada lista para ejecutarse. La consulta personalizada
predeterminada incluye una lista de todas las reglas con errores que se han evaluado, junto con
instrucciones para ayudarle a resolver los problemas.
4. Retoque los parámetros de consulta si es necesario.
5. Cuando esté seguro de que el comando es adecuado y está listo para el host, seleccione Ejecutar .

Pasos siguientes
La protección de Docker es solo un aspecto de las características de seguridad del contenedor de Security
Center.
Obtenga más información sobre la seguridad de los contenedores en Security Center.
 Introducción a Azure Defender para SQL
22/03/2021 • 5 minutes to read • Edit Online

Azure Defender para SQL incluye dos planes de Azure Defender que amplían el paquete de seguridad de datos
de Azure Security Center para proteger las bases de datos y sus datos dondequiera que se encuentren.

Disponibilidad
A SP EC TO DETA L L ES

Estado de la versión: Azure Defender para ser vidores de base de datos de

Azure SQL : disponible con carácter general (GA)
Azure Defender para ser vidores SQL Ser ver en
máquinas : disponible con carácter general (GA)

Precios: Los dos planes que forman Azure Defender para SQL se
facturan como se muestra en Precios de Security Center.

Versiones de SQL protegidas: SQL en máquinas virtuales de Azure

Servidores SQL Server habilitados para Azure Arc
Servidores SQL Server locales en máquinas Windows sin
Azure Arc
Bases de datos únicas y grupos elásticos de Azure SQL
Instancia administrada de Azure SQL
Grupo de SQL dedicado de Azure Synapse Analytics
(anteriormente SQL DW)

Nubes: Nubes comerciales

US Gov
China Gov (parcial: subconjunto de alertas y evaluación
de vulnerabilidades en servidores SQL. No hay disponible
protección contra amenazas de comportamiento).

¿Qué protege Azure Defender para SQL?

Azure Defender para SQL consta de dos planes de Azure Defender independientes:
Azure Defender para ser vidores de base de datos de Azure SQL protege:
Azure SQL Database
Instancia administrada de Azure SQL
Grupo de SQL dedicado en Azure Synapse
Azure Defender para ser vidores SQL Ser ver en máquinas amplía las protecciones de los
servidores SQL Server nativos de Azure para admitir totalmente los entornos híbridos y proteger los
servidores SQL Server (todas las versiones compatibles) hospedados en Azure, otros entornos en la nube
e incluso en máquinas locales:
SQL Server en Virtual Machines
Servidores SQL Server locales:
 SQL Server habilitado para Azure Arc (versión preliminar)
Servidores SQL Server que se ejecutan en máquinas Windows sin Azure Arc

¿Cuáles son las ventajas de Azure Defender para SQL?

Estos dos planes incluyen funcionalidad para identificar y mitigar posibles vulnerabilidades de la base de datos,
además de detectar actividades anómalas que puedan suponer alguna amenaza para las bases de datos:
Evaluación de vulnerabilidades: servicio de exploración que puede detectar, seguir y corregir posibles
vulnerabilidades en las bases de datos. Los exámenes de evaluación proporcionan información general
sobre el estado de seguridad de las máquinas SQL y detalles de las conclusiones de seguridad.
Advanced Threat Protection: servicio de detección que supervisa continuamente los servidores
SQL Server para detectar amenazas tales como inyección de código SQL, ataques por fuerza bruta y
abuso de privilegios. Este servicio proporciona alertas de seguridad orientadas a acciones en Azure
Security Center con detalles de la actividad sospechosa, instrucciones sobre cómo mitigar las amenazas y
opciones para continuar las investigaciones con Azure Sentinel.

TIP
Consulte la lista de alertas de seguridad de los servidores de SQL Server en la página de referencia de alertas.

¿Qué tipos de alertas ofrece Azure Defender para SQL?

Las alertas de seguridad enriquecidas con inteligencia sobre amenazas se desencadenan en estos casos:
Posibles ataques por inyección de código SQL , incluidas las vulnerabilidades detectadas cuando las
aplicaciones generan una instrucción SQL defectuosa en la base de datos.
Acceso a bases de datos y patrones de consulta anómalos : por ejemplo, un número anormalmente
alto de intentos de inicio de sesión incorrectos con credenciales diferentes (un intento por fuerza bruta).
Actividad sospechosa en las bases de datos : por ejemplo, un usuario legítimo que accede a un servidor
SQL Server desde un equipo vulnerado que se comunica con un servidor de comando y control de minería
de datos de cifrado.
Las alertas incluyen detalles acerca del incidente que las desencadenó, así como recomendaciones acerca de
cómo investigar y corregir las amenazas.

Pasos siguientes
En este artículo, ha obtenido información sobre Azure Defender para SQL. Para usar los servicios que se han
descrito:
Use servidores de Azure Defender para SQL en las máquinas para examinar las vulnerabilidades de los
servidores SQL Server.
 Habilitación de Azure Defender para servidores de
SQL en máquinas
30/03/2021 • 8 minutes to read • Edit Online

Este plan de Azure Defender detecta actividades anómalas que indican intentos inusuales y potencialmente
peligrosos de obtener acceso a las bases de datos o de vulnerar su seguridad.
Verá alertas cuando haya actividades sospechosas en las bases de datos, posibles vulnerabilidades o ataques
por inyección de código SQL, y patrones anómalos de acceso y consulta a las bases de datos.

Disponibilidad
A SP EC TO DETA L L ES

Estado de la versión: Disponibilidad general (GA)

Precios: Azure Defender para ser vidores de SQL en máquinas

se factura tal como se indica en la página de precios de
Security Center.

Versiones de SQL protegidas: Azure SQL Server (todas las versiones cubiertas con el
soporte técnico de Microsoft)

Nubes: Nubes comerciales

US Gov
China Gov, otros gobiernos

Configuración de Azure Defender para servidores SQL en las

máquinas
Para habilitar este plan:
Paso 1. Aprovisione el agente de Log Analytics en el host de SQL Server:
Paso 2. Habilite el plan opcional en la página de precios y configuración de Security Center:
Paso 1. Aprovisione el agente de Log Analytics en el host de SQL Server:
SQL Ser ver en Azure VM : si la máquina SQL se hospeda en una máquina virtual de Azure, puede
habilitar el aprovisionamiento automático del agente de Log Analytics
. Como alternativa, puede seguir el procedimiento manual para incorporar máquinas virtuales a la
instancia de Azure Stack Hub.
SQL Ser ver en Azure Arc : si el servidor SQL Server está administrado por servidores habilitados para
Azure Arc, puede implementar el agente de Log Analytics con la recomendación "El agente de Log
Analytics debe estar instalado en las máquinas basadas en Windows de Azure Arc (versión preliminar)"
de Security Center. Como alternativa, puede seguir los métodos de instalación que se describen en la
documentación de Azure Arc.
SQL Ser ver local : si el servidor SQL Server se hospeda en una máquina local de Windows sin Azure
 Arc, tiene dos opciones para conectarlo a Azure:
Implementación de Azure Arc : puede conectar cualquier máquina de Windows a Security
Center. Sin embargo, Azure Arc proporciona una integración más profunda entre todas las de su
entorno de Azure. Si configura Azure Arc, verá la página SQL Ser ver : Azure Arc en el portal y
las alertas de seguridad aparecerán en una pestaña Seguridad dedicada en esa página. Por lo
tanto, la primera opción (y la recomendada) es configurar Azure Arc en el host y seguir las
instrucciones anteriores para SQL Ser ver en Azure Arc .
Conexión de la máquina Windows sin Azure Arc : si opta por conectar un servidor
SQL Server que se ejecute en una máquina Windows sin usar Azure Arc, siga las instrucciones del
artículo sobre cómo conectar máquinas Windows a Azure Monitor.
Paso 2. Habilite el plan opcional en la página de precios y configuración de Security Center:
1. En el menú de Security Center, abra la página Precios y configuración .
Si usa el área de trabajo predeterminada de Azure Security Center (denominada
"defaultworkspace-[su identificador de suscripción]-[región]"), seleccione la suscripción
correspondiente.
Si utiliza un área de trabajo no predeterminada , seleccione el área de trabajo
correspondiente (escriba el nombre del área de trabajo en el filtro si es necesario):

2. Establezca la opción del plan Azure Defender para ser vidores SQL en máquinas en Activada .

El plan se habilitará en todos los servidores SQL conectados al área de trabajo seleccionada. La
protección de datos estará totalmente activa después del primer reinicio de la instancia de SQL Server.

TIP
Para crear una nueva área de trabajo, siga las instrucciones de Crear un área de trabajo de Log Analytics.

3. Opcionalmente, configure notificaciones de alertas de seguridad por correo electrónico. Puede establecer
una lista de destinatarios que reciban una notificación por correo electrónico cuando se generen alertas
de Security Center. El correo electrónico contiene un vínculo directo a la alerta de Azure Security Center
con todos los detalles pertinentes. Para más información, consulte el artículo sobre cómo configurar las
 notificaciones por correo electrónico para recibir alertas.

Alertas de Azure Defender para SQL

Las alertas se generan a partir de intentos inusuales y potencialmente dañinos para acceder a las máquinas SQL
o aprovechar sus vulnerabilidades. Estos eventos pueden desencadenar alertas que se muestran en la página de
referencia de alertas.

Exploración e investigación de las alertas de seguridad

Las alertas de SQL de Azure Defender están disponibles en la página de alertas de Security Center, en la pestaña
seguridad del recurso, el panel de Azure Defender o a través del vínculo directo de los correos electrónicos de
alerta.
1. Para verlas, seleccione Aler tas de seguridad en el menú de Security Center y seleccione una alerta.
2. Las alertas están diseñadas para ser independientes, con pasos de corrección detallados e información de
investigación en cada una. Puede investigar más con otras funcionalidades de Azure Security Center y
Azure Sentinel para obtener una visión más general:
Habilite la característica de auditoría de SQL Server para realizar más investigaciones. Si es usuario de
Azure Sentinel, puede cargar los registros de auditoría de SQL desde los eventos del registro de
seguridad de Windows a Sentinel y disfrutar de una experiencia de investigación enriquecida.
Obtenga más información sobre cómo realizar auditorías de SQL Server.
Para mejorar la posición de seguridad, siga las recomendaciones de Security Center para la máquina
host indicadas en cada alerta. Esto reducirá los riesgos de futuros ataques.
Obtenga más información sobre cómo administrar y responder a alertas.

Pasos siguientes
Para obtener material relacionado, vea el siguiente artículo:
Alertas de seguridad para SQL Database y Azure Synapse Analytics
Configuración de notificaciones de alertas de seguridad por correo electrónico
Más información sobre Azure Sentinel
 Uso del examinador integrado de evaluación de
vulnerabilidades para los servidores SQL Server
22/03/2021 • 7 minutes to read • Edit Online

Azure Defender para ser vidores SQL Ser ver en máquinas amplía las protecciones de los servidores
SQL Server nativos de Azure para admitir totalmente los entornos híbridos y proteger los servidores
SQL Server (todas las versiones compatibles) hospedados en Azure, otros entornos en la nube e incluso en
máquinas locales:
SQL Server en Virtual Machines
Servidores SQL Server locales:
SQL Server habilitado para Azure Arc (versión preliminar)
Servidores SQL Server que se ejecutan en máquinas Windows sin Azure Arc
El examinador integrado de evaluación de vulnerabilidades detecta posibles vulnerabilidades de la base de
datos, las sigue y ayuda a corregirlas. Los resultados de los exámenes de evaluación proporcionan información
general sobre el estado de seguridad de las máquinas SQL y detalles de las conclusiones de seguridad.

Exploración de los informes de evaluación de vulnerabilidades

El servicio de evaluación de vulnerabilidades examina las bases de datos una vez a la semana. Los exámenes se
ejecutan el mismo día de la semana en que se habilitó el servicio.
El panel de evaluación de vulnerabilidades proporciona una visión general de los resultados de la evaluación en
todas las bases de datos, junto con un resumen de las bases de datos correctas y en mal estado, además de un
resumen general de las comprobaciones con errores en función de la distribución del riesgo.
Puede ver los resultados de la evaluación de vulnerabilidades directamente desde Security Center.
1. En la barra lateral de Security Center, abra la página Recomendaciones .
2. Seleccione la recomendación Es necesario corregir los resultados de la evaluación de
vulnerabilidades de los ser vidores SQL Ser ver en las máquinas (versión preliminar) . Para
obtener más información, consulte la Página de referencia de recomendaciones de Security Center.
 Aparece la vista detallada de esta recomendación.

3. Para más detalles, explore en profundidad lo siguiente:

Para obtener información general de los recursos examinados (bases de datos) y la lista de
comprobaciones de seguridad que se probaron, abra los recursos afectados y seleccione el
servidor que le interesa.
Para obtener información general sobre las vulnerabilidades agrupadas por una base de
datos SQL específica, seleccione la base de datos que le interesa.
En cada vista, las comprobaciones de seguridad se ordenan por gravedad . Seleccione una comprobación
de seguridad específica para ver un panel de detalles con una descripción , cómo corregir el problema
 y otra información relacionada como, por ejemplo, el impacto o el punto de referencia .

Visualización de vulnerabilidades en informes gráficos e interactivos

La Galería de libros de Azure Monitor integrada de Security Center incluye un informe interactivo de todos los
resultados de los examinadores de vulnerabilidades para máquinas, contenedores de registros de contenedor y
servidores SQL Server.
Los resultados de cada uno de estos examinadores se informan en recomendaciones independientes:
Es necesario corregir las vulnerabilidades de las máquinas virtuales
Es necesario corregir las vulnerabilidades de las imágenes de Azure Container Registry (con tecnología de
Qualys)
Se deben corregir las conclusiones de la evaluación de vulnerabilidades de las bases de datos SQL
Es necesario corregir los resultados de la evaluación de vulnerabilidades de los servidores SQL Server en las
máquinas
El informe "Conclusiones de la evaluación de vulnerabilidades" recopila todos estos resultados y los organiza
por gravedad, tipo de recurso y categoría. Puede encontrar el informe en la galería de libros, disponible en la
barra lateral de Security Center.

Deshabilitación de resultados específicos (versión preliminar)

Si tiene la necesidad organizativa de omitir un resultado, en lugar de corregirlo, tiene la opción de deshabilitarlo.
Los resultados deshabilitados no afectan a la puntuación de seguridad ni generan ruido no deseado.
Cuando un resultado coincide con los criterios que ha definido en las reglas de deshabilitación, no aparecerá en
la lista de resultados. Entre los escenarios típicos se incluyen:
Deshabilitar resultados con gravedad inferior a media
Deshabilitar resultados que no se pueden revisar
Deshabilitar resultados de los puntos de referencia que no son de interés para un ámbito definido

IMPORTANT
Para crear una regla, necesita permisos para editar directivas en Azure Policy. Obtenga más información en Permisos de
Azure RBAC en Azure Policy.

Para crear una regla:

1. En la página de detalles de recomendaciones de Es necesario corregir los resultados de la
evaluación de vulnerabilidades de los ser vidores SQL Ser ver en las máquinas , seleccione
Deshabilitar regla .
2. Seleccione el ámbito pertinente.
3. Defina los criterios. Puede utilizar cualquiera de los criterios siguientes:
Identificador del resultado
severity
Pruebas comparativas

4. Seleccione Aplicar regla . Los cambios pueden tardar hasta 24 horas en surtir efecto.
5. Para ver, invalidar o eliminar una regla:
a. Seleccione Deshabilitar regla .
b. En la lista de ámbitos, las suscripciones con reglas activas se muestran como Regla aplicada .
 c. Para ver o eliminar la regla, seleccione el menú de puntos suspensivos ("...").

Pasos siguientes
Obtenga más información sobre las protecciones de Security Center para los recursos de SQL en Introducción a
Azure Defender para SQL.
 Uso del examinador integrado de evaluación de
vulnerabilidades para los servidores SQL Server
22/03/2021 • 7 minutes to read • Edit Online

Azure Defender para ser vidores SQL Ser ver en máquinas amplía las protecciones de los servidores
SQL Server nativos de Azure para admitir totalmente los entornos híbridos y proteger los servidores
SQL Server (todas las versiones compatibles) hospedados en Azure, otros entornos en la nube e incluso en
máquinas locales:
SQL Server en Virtual Machines
Servidores SQL Server locales:
SQL Server habilitado para Azure Arc (versión preliminar)
Servidores SQL Server que se ejecutan en máquinas Windows sin Azure Arc
El examinador integrado de evaluación de vulnerabilidades detecta posibles vulnerabilidades de la base de
datos, las sigue y ayuda a corregirlas. Los resultados de los exámenes de evaluación proporcionan información
general sobre el estado de seguridad de las máquinas SQL y detalles de las conclusiones de seguridad.

Exploración de los informes de evaluación de vulnerabilidades

El servicio de evaluación de vulnerabilidades examina las bases de datos una vez a la semana. Los exámenes se
ejecutan el mismo día de la semana en que se habilitó el servicio.
El panel de evaluación de vulnerabilidades proporciona una visión general de los resultados de la evaluación en
todas las bases de datos, junto con un resumen de las bases de datos correctas y en mal estado, además de un
resumen general de las comprobaciones con errores en función de la distribución del riesgo.
Puede ver los resultados de la evaluación de vulnerabilidades directamente desde Security Center.
1. En la barra lateral de Security Center, abra la página Recomendaciones .
2. Seleccione la recomendación Es necesario corregir los resultados de la evaluación de
vulnerabilidades de los ser vidores SQL Ser ver en las máquinas (versión preliminar) . Para
obtener más información, consulte la Página de referencia de recomendaciones de Security Center.
 Aparece la vista detallada de esta recomendación.

3. Para más detalles, explore en profundidad lo siguiente:

Para obtener información general de los recursos examinados (bases de datos) y la lista de
comprobaciones de seguridad que se probaron, abra los recursos afectados y seleccione el
servidor que le interesa.
Para obtener información general sobre las vulnerabilidades agrupadas por una base de
datos SQL específica, seleccione la base de datos que le interesa.
En cada vista, las comprobaciones de seguridad se ordenan por gravedad . Seleccione una comprobación
de seguridad específica para ver un panel de detalles con una descripción , cómo corregir el problema
 y otra información relacionada como, por ejemplo, el impacto o el punto de referencia .

Visualización de vulnerabilidades en informes gráficos e interactivos

La Galería de libros de Azure Monitor integrada de Security Center incluye un informe interactivo de todos los
resultados de los examinadores de vulnerabilidades para máquinas, contenedores de registros de contenedor y
servidores SQL Server.
Los resultados de cada uno de estos examinadores se informan en recomendaciones independientes:
Es necesario corregir las vulnerabilidades de las máquinas virtuales
Es necesario corregir las vulnerabilidades de las imágenes de Azure Container Registry (con tecnología de
Qualys)
Se deben corregir las conclusiones de la evaluación de vulnerabilidades de las bases de datos SQL
Es necesario corregir los resultados de la evaluación de vulnerabilidades de los servidores SQL Server en las
máquinas
El informe "Conclusiones de la evaluación de vulnerabilidades" recopila todos estos resultados y los organiza
por gravedad, tipo de recurso y categoría. Puede encontrar el informe en la galería de libros, disponible en la
barra lateral de Security Center.

Deshabilitación de resultados específicos (versión preliminar)

Si tiene la necesidad organizativa de omitir un resultado, en lugar de corregirlo, tiene la opción de deshabilitarlo.
Los resultados deshabilitados no afectan a la puntuación de seguridad ni generan ruido no deseado.
Cuando un resultado coincide con los criterios que ha definido en las reglas de deshabilitación, no aparecerá en
la lista de resultados. Entre los escenarios típicos se incluyen:
Deshabilitar resultados con gravedad inferior a media
Deshabilitar resultados que no se pueden revisar
Deshabilitar resultados de los puntos de referencia que no son de interés para un ámbito definido

IMPORTANT
Para crear una regla, necesita permisos para editar directivas en Azure Policy. Obtenga más información en Permisos de
Azure RBAC en Azure Policy.

Para crear una regla:

1. En la página de detalles de recomendaciones de Es necesario corregir los resultados de la
evaluación de vulnerabilidades de los ser vidores SQL Ser ver en las máquinas , seleccione
Deshabilitar regla .
2. Seleccione el ámbito pertinente.
3. Defina los criterios. Puede utilizar cualquiera de los criterios siguientes:
Identificador del resultado
severity
Pruebas comparativas

4. Seleccione Aplicar regla . Los cambios pueden tardar hasta 24 horas en surtir efecto.
5. Para ver, invalidar o eliminar una regla:
a. Seleccione Deshabilitar regla .
b. En la lista de ámbitos, las suscripciones con reglas activas se muestran como Regla aplicada .
 c. Para ver o eliminar la regla, seleccione el menú de puntos suspensivos ("...").

Pasos siguientes
Obtenga más información sobre las protecciones de Security Center para los recursos de SQL en Introducción a
Azure Defender para SQL.
 Directiva de SQL Information Protection en Azure
Security Center
30/03/2021 • 8 minutes to read • Edit Online

El mecanismo de clasificación y detección de datos de SQL Information Protection proporciona funcionalidades

avanzadas para detectar, clasificar, etiquetar e informar los datos confidenciales de las bases de datos. Se integra
en Azure SQL Database, Azure SQL Managed Instance y Azure Synapse Analytics.
El mecanismo de clasificación se basa en los siguientes dos elementos:
Etiquetas : Son los atributos principales de clasificación, que se usan para definir el nivel de confidencialidad
de los datos almacenados en la columna.
Tipos de información : Proporciona una granularidad adicional en el tipo de datos almacenados en la
columna.
Las opciones de la directiva de protección de la información dentro de Security Center proporcionan un
conjunto predefinido de etiquetas y tipos de información que sirven como valores predeterminados para el
motor de clasificación. Puede personalizar la directiva según las necesidades de su organización, tal y como se
describe a continuación.

IMPORTANT
Para personalizar la directiva de protección de la información de su inquilino de Azure, necesitará privilegios
administrativos en el grupo de administración raíz del inquilino. Obtenga más información en Concesión y solicitud de
visibilidad para todos los inquilinos.

¿Cómo acceso a la directiva de SQL Information Protection?

Hay tres maneras de acceder a la directiva de protección de la información:
(Recomendada) Desde la página Precios y configuración de Security Center
 Desde la recomendación de seguridad "Los datos confidenciales de las bases de datos SQL deben
clasificarse"
Desde la página de detección de datos de Azure SQL Database
Cada una de ellas se muestra en la pestaña correspondiente a continuación.
Desde la configuración de Security Center
Desde la recomendación de Security Center
Desde Azure SQL

Acceso a la directiva desde la página Precios y configuración de Security Center

En la página Precios y configuración de Security Center, seleccione SQL Information Protection .

NOTE
Esta opción solo aparece para los usuarios con permisos a nivel de inquilino. Concesión de permisos de todo el inquilino a
uno mismo.

Personalización de los tipos de información

Para administrar y personalizar los tipos de información:
1. Seleccione Administrar tipos de información .
2. Para agregar un nuevo tipo, seleccione Crear tipo de información . Puede configurar un nombre, una
descripción y cadenas de patrón de búsqueda para el tipo de información. Las cadenas de patrón de
búsqueda pueden usar opcionalmente palabras clave con caracteres comodín (con el carácter "%"), que el
motor de detección automática usa para identificar datos confidenciales en las bases de datos, en función
de los metadatos de las columnas.

3. También puede modificar los tipos integrados mediante la adición de cadenas de patrón de búsqueda
adicionales, la deshabilitación de algunas de las cadenas existentes o el cambio de la descripción.

TIP
No puede eliminar tipos integrados ni cambiar sus nombres.

4. Los tipos de información se enumeran en orden ascendente de detección, lo que significa que se
intentará que los tipos que aparezcan más arriba en la lista coincidan antes. Para cambiar la clasificación
entre los tipos de información, arrastre los tipos al lugar correcto para volver a ordenarlas en la tabla o
usar los botones Subir y Bajar para cambiar el orden.
5. Seleccione Aceptar cuando haya terminado.
6. Una vez completada la administración de los tipos de información, asegúrese de asociar los tipos
pertinentes con las etiquetas pertinentes, haciendo clic en Configurar para una etiqueta determinada y
agregando o eliminando tipos de información según corresponda.
7. Para aplicar los cambios, seleccione Guardar en la página principal Etiquetas .
Exportación e importación de una directiva
Puede descargar un archivo JSON con las etiquetas y los tipos de información definidos, editar el archivo en el
editor de su elección y, a continuación, importar el archivo actualizado.

NOTE
Necesitará permisos de nivel de inquilino para importar un archivo de directiva.

Administración de la protección de la información de SQL mediante

Azure PowerShell
Get-AzSqlInformationProtectionPolicy: Recupera la directiva de protección de la información de SQL del
inquilino en vigor.
Set-AzSqlInformationProtectionPolicy: Establece la directiva de protección de la información de SQL del
inquilino en vigor.

Pasos siguientes
En este artículo, ha aprendido sobre cómo definir una directiva de protección de la información en Azure
Security Center. Para obtener más información acerca de cómo usar SQL Information Protection para clasificar y
proteger datos confidenciales en las bases de datos SQL, consulte Clasificación y detección de datos de Azure
SQL Database.
Para obtener más información sobre las directivas de seguridad y la seguridad de datos en Security Center,
consulte los artículos siguientes:
Establecimiento de directivas de seguridad en Azure Security Center: aprenda a configurar directivas de
seguridad para las suscripciones y los grupos de recursos de Azure.
Seguridad de datos de Azure Security Center: Aprenda cómo Security Center administra y protege los datos.
 Seguridad de los contenedores en Security Center
22/03/2021 • 15 minutes to read • Edit Online

Azure Security Center es la solución nativa de Azure para proteger los contenedores.
Security Center puede proteger los siguientes tipos de recursos de contenedor:

T IP O DE REC URSO P ROT EC C IO N ES O F REC IDA S P O R SEC URIT Y C EN T ER

- Evaluación continua de las configuraciones de los clústeres

de AKS para proporcionar visibilidad de los errores de
Clústeres de Azure Kubernetes Ser vice (AKS) configuración e instrucciones que le ayudarán a resolver los
problemas detectados.
Obtenga más información sobre la protección del entorno
mediante recomendaciones de seguridad.

- Protección contra amenazas para los clústeres de AKS y los

nodos de Linux. Las alertas de actividades sospechosas las
proporciona la funcionalidad opcional Azure Defender para
Kubernetes.
Obtenga más información sobre la protección en tiempo de
ejecución de los clústeres y nodos de AKS.

- Evaluación continua de las configuraciones de Docker para

proporcionar visibilidad de los errores de configuración e
Hosts de contenedor instrucciones que le ayudarán a resolver los problemas
(Máquinas virtuales que ejecutan Docker) detectados con la funcionalidad opcional Azure Defender
para servidores.
Obtenga más información sobre la protección del entorno
mediante recomendaciones de seguridad.

- Herramientas de evaluación y administración de

vulnerabilidades para las imágenes de los registros de ACR
Registros de Azure Container Registr y (ACR) basados en Azure Resource Manager con la funcionalidad
opcional Azure Defender para registros de contenedor.
Obtenga más información sobre el análisis de las imágenes
de contenedor en busca de vulnerabilidades.

En este artículo se describe cómo puede usar Security Center, junto con los planes de Azure Defender opcionales
para los registros de contenedor, los servidores y Kubernetes, a fin de mejorar, supervisar y mantener la
seguridad de los contenedores y sus aplicaciones.
Aprenderá a usar Security Center para que le ayude con estos aspectos básicos de la seguridad de los
contenedores:
Administración de vulnerabilidades: análisis de imágenes de contenedor
Protección del entorno
Protección en tiempo de ejecución de los clústeres y nodos de AKS
En la captura de pantalla siguiente se muestran la página del inventario de recursos y los distintos tipos de
recursos de contenedor protegidos por Security Center.
Administración de vulnerabilidades: análisis de imágenes de
contenedor
Para supervisar las imágenes en los registros de contenedor de Azure basados en Azure Resource Manager,
habilite Azure Defender para registros de contenedor. Security Center examina las imágenes extraídas durante
los últimos 30 días, insertadas en el registro o importadas. El detector integrado lo proporciona el proveedor de
análisis de vulnerabilidades líder del sector, Qualys.
Si Qualys o Security Center detectan incidencias, recibirá una notificación en el panel de Azure Defender. Por
cada vulnerabilidad, Security Center proporciona recomendaciones útiles, junto con una clasificación de
gravedad e información sobre cómo corregir el problema. Para más información sobre las recomendaciones de
Security Center para los contenedores, consulte la lista de recomendaciones de referencia.
Security Center filtra y clasifica los resultados del análisis. Cuando una imagen es correcta, Security Center la
marca como tal. Security Center solo genera recomendaciones de seguridad para las imágenes que tienen
incidencias sin resolver. Al enviar notificaciones solo cuando hay problemas, Security Center reduce las alertas
informativas no deseadas.

Protección del entorno

Supervisión continua de la configuración de Docker
Azure Security Center identifica contenedores no administrados y que están hospedados en VM de IaaS Linux u
otras máquinas de Linux que ejecutan contenedores de Docker. Security Center evalúa continuamente las
configuraciones de estos contenedores. A continuación, las compara con el Banco de prueba para Docker del
Centro de seguridad de Internet (CIS).
Security Center incluye todo el conjunto de reglas del banco de prueba de Docker de CIS y le avisa si los
contenedores no cumplen ninguno de los controles. Cuando encuentra configuraciones inactivas, Security
Center genera recomendaciones de seguridad. Use la página de recomendaciones de Azure Security Center
para ver las recomendaciones y corregir los problemas. Las comprobaciones del banco de pruebas de CIS no se
ejecutan en instancias administradas por AKS o en VM administradas por Databricks.
Para obtener información sobre las recomendaciones pertinentes de Security Center que pueden aparecer para
esta característica, consulte la sección de proceso de la tabla de referencia de recomendaciones.
Cuando explora los problemas de seguridad de una máquina virtual, Security Center proporciona información
adicional sobre los contenedores de la máquina. Esta información incluye la versión de Docker y el número de
imágenes que se ejecutan en el host.
Para supervisar contenedores no administrados hospedados en máquinas virtuales Linux de IaaS, habilite la
funcionalidad opcional Azure Defender para servidores.
Supervisión continua de los clústeres de Kubernetes
Security Center funciona junto con Azure Kubernetes Service (AKS), el servicio de orquestación de contenedores
administrados de Microsoft que le permite desarrollar, implementar y administrar las aplicaciones en
contenedores.
AKS proporciona controles de seguridad y visibilidad sobre la postura de seguridad de los clústeres. Security
Center usa estas características para supervisar constantemente la configuración de los clústeres de AKS y
generar recomendaciones de seguridad que se alineen con los estándares del sector.
Este es un diagrama general de la interacción entre Azure Security Center, Azure Kubernetes Service y Azure
Policy:

Puede ver que los elementos recibidos y analizados por Security Center incluyen:
registros de auditoría del servidor de API,
eventos de seguridad sin procesar del agente de Log Analytics,

NOTE
Actualmente no se admite la instalación del agente de Log Analytics en los clústeres de Azure Kubernetes Service
que se ejecutan en conjuntos de escalado de máquinas virtuales.

información de configuración del clúster de AKS y

configuración de la carga de trabajo en Azure Policy (mediante el complemento de Azure Policy para
Kubernetes ).
Para obtener información sobre las recomendaciones pertinentes de Security Center que pueden aparecer para
esta característica, consulte la sección de proceso de la tabla de referencia de recomendaciones.
Procedimientos recomendados de protección de cargas de trabajo con el control de admisión de Kubernetes
Para obtener un conjunto de recomendaciones para proteger las cargas de trabajo de los contenedores
Kubernetes, instale el complemento de Azure Policy para Kubernetes . También puede implementar
automáticamente este complemento tal y como se explica en Configuración del aprovisionamiento automático
de agentes y extensiones desde Azure Security Center. Cuando el aprovisionamiento automático del
complemento esté establecido en "activado", la extensión se habilitará de forma predeterminada en todos los
clústeres existentes y futuros (que cumplan los requisitos de instalación del complemento).
Como se explica en esta página de Azure Policy para Kubernetes, el complemento extiende el webhook de
controlador de admisión de código abierto Gatekeeper v3 de Open Policy Agent. Los controladores de admisión
de Kubernetes son complementos que exigen el uso de los clústeres. El complemento se registra como un
webhook en el control de admisión de Kubernetes y permite aplicar las implementaciones a escala y las
medidas de seguridad en los clústeres de una manera centralizada y coherente.
Con el complemento en el clúster de AKS, todas las solicitudes al servidor de la API de Kubernetes se
supervisarán según el conjunto predefinido de procedimientos recomendados antes de que se guarden en el
clúster. Después, puede realizar la configurar para aplicar los procedimientos recomendados y exigirlos para
futuras cargas de trabajo.
Por ejemplo, puede exigir que no se creen los contenedores con privilegios y que se bloqueen las solicitudes
futuras para este fin.
Obtenga más información en Protección de las cargas de trabajo de Kubernetes.

Protección en tiempo de ejecución de los clústeres y nodos de AKS

Security Center proporciona protección contra amenazas en tiempo real para los entornos en contenedores y
genera alertas de actividades sospechosas. Puede usar esta información para corregir problemas de seguridad y
mejorar la seguridad de los contenedores rápidamente.
Security Center proporciona protección contra amenazas en diferentes niveles:
Nivel de host (proporcionado por Azure Defender para ser vidores) : con el mismo agente de
Log Analytics que Security Center usa en otras máquinas virtuales, Azure Defender supervisa los nodos
de AKS de Linux en busca de actividades sospechosas, como la detección de shell web y la conexión con
direcciones IP sospechosas conocidas. El agente también supervisa análisis específicos de contenedores,
como la creación de contenedores con privilegios, las actividades sospechosas de acceso a los servidores
de API y los servidores de Secure Shell (SSH) que se ejecutan dentro de un contenedor de Docker.
Si decide no instalar los agentes en los hosts, solo recibirá un subconjunto de las ventajas de la
protección contra amenazas y las alertas de seguridad. Aún así, seguirá recibiendo alertas relacionadas
con el análisis de redes y las comunicaciones con servidores malintencionados.

IMPORTANT
Actualmente no se admite la instalación del agente de Log Analytics en los clústeres de Azure Kubernetes Service
que se ejecutan en conjuntos de escalado de máquinas virtuales.

Para obtener una lista de las alertas de nivel de host de AKS, consulte la Tabla de referencia de alertas.
Nivel de clúster de AKS (proporcionado por Azure Defender para Kubernetes) : en el nivel de
clúster, la protección contra amenazas se basa en analizar los registros de auditoría de Kubernetes. Para
habilitar esta supervisión sin agente , habilite Azure Defender. Para generar alertas en este nivel, Security
Center supervisa los servicios que administra AKS con los registros que recupera el mismo AKS. Entre los
 ejemplos de eventos en este nivel se incluyen los paneles de Kubernetes expuestos y la creación de roles
con privilegios elevados y de montajes confidenciales.

NOTE
Igualmente, Security Center genera alertas de seguridad para las acciones y las implementaciones de Azure
Kubernetes Service que se producen después de que la opción de Kubernetes esté habilitada en la configuración
de la suscripción.

Para obtener una lista de las alertas de nivel de clúster de AKS, consulte la Tabla de referencia de alertas.
Además, nuestro equipo global de investigadores de seguridad supervisa constantemente el panorama de las
amenazas. Agregan alertas específicas del contenedor y vulnerabilidades a medida que se detectan.

TIP
Puede simular las alertas de contenedor al seguir las instrucciones de esta entrada de blog.

Pasos siguientes
En esta información general, ha aprendido los elementos básicos de la seguridad de los contenedores en Azure
Security Center. Para obtener material relacionado, vea lo siguiente:
Introducción a Azure Defender para Kubernetes
Introducción a Azure Defender para registros de contenedor
 Introducción a Azure Defender para Kubernetes
22/03/2021 • 6 minutes to read • Edit Online

Azure Kubernetes Service (AKS) es un servicio que administra Microsoft y que permite desarrollar, implementar
y administrar las aplicaciones en contenedores.
Azure Security Center y AKS forman una oferta de seguridad de Kubernetes nativa en la nube de protección del
entorno, protección de la carga de trabajo y protección en tiempo de ejecución, tal y como se describe en
Seguridad de los contenedores en Security Center.
Para la detección de amenazas en los clústeres de Kubernetes, habilite Azure Defender para Kubernetes .
La detección de amenazas a nivel de host en los nodos de AKS de Linux está disponible si habilita Azure
Defender para servidores y su agente de Log Analytics. Sin embargo, si el clúster de AKS se implementa en un
conjunto de escalado de máquinas virtuales, el agente de Log Analytics no se admite actualmente.

Disponibilidad
A SP EC TO DETA L L ES

Estado de la versión: Disponibilidad general (GA)

Precios: Azure Defender para Kubernetes se factura como se

indica en Precios de Security Center.

Roles y permisos necesarios: Administración de seguridad puede descartar las alertas.

El lector de seguridad puede ver los resultados.

Nubes: Nubes comerciales

Nacionales o soberanas (US Gov, China Gov, otros
gobiernos)

¿Cuáles son las ventajas de Azure Defender para Kubernetes?

Azure Defender para Kubernetes proporciona protección contra amenazas a nivel de clúster al supervisar
los servicios administrados por AKS mediante los registros recuperados por Azure Kubernetes Service (AKS).
Entre los ejemplos de eventos de seguridad que Azure Defender para Kubernetes supervisa se incluyen los
paneles de Kubernetes expuestos y la creación de roles con privilegios elevados y de montajes confidenciales.
Para la lista completa de las alertas de nivel de clúster de AKS, consulte la tabla de referencia de alertas.

TIP
Puede simular las alertas de contenedor al seguir las instrucciones de esta entrada de blog.

Además, nuestro equipo global de investigadores de seguridad supervisa constantemente el panorama de las
amenazas. Agregan alertas específicas del contenedor y vulnerabilidades a medida que se detectan.
 NOTE
Igualmente, Security Center genera alertas de seguridad para las acciones y las implementaciones de Azure Kubernetes
Service que se producen después de que haya habilitado Azure Defender para Kubernetes.

Preguntas frecuentes de Azure Defender para Kubernetes

¿Puedo obtener protecciones de AKS aún sin el agente de Log Analytics?
El plan de Azure Defender para Kubernetes proporciona protecciones a nivel de clúster. Si también
implementa el agente de Log Analytics de Azure Defender para ser vidores , obtendrá protección contra
amenazas para los nodos que se proporcionan con ese plan. Más información en Introducción a Azure Defender
para servidores.
Se recomienda implementar ambos para obtener la protección más completa posible.
Si decide no instalar el agente en los hosts, solo recibirá un subconjunto de las ventajas de la protección contra
amenazas y las alertas de seguridad. Aún así, seguirá recibiendo alertas relacionadas con el análisis de redes y
las comunicaciones con servidores malintencionados.
¿Me permite AKS instalar extensiones de máquina virtual personalizadas en mis nodos de AKS?
Para que Azure Defender supervise sus nodos de AKS, deben ejecutar el agente de Log Analytics.
AKS es un servicio administrado y, como el agente de Log Analytics es una extensión administrada por
Microsoft, también es compatible con los clústeres de AKS.
Si el clúster ya está ejecutando un agente de Azure Monitor para contenedores, ¿necesito también el agente
de Log Analytics?
Para que Azure Defender supervise sus nodos de AKS, deben ejecutar el agente de Log Analytics.
Si los clústeres ya ejecutan el agente de Azure Monitor para contenedores, puede instalar el agente de Log
Analytics y los dos agentes pueden trabajar junto con otros sin problemas.
Más información sobre el agente de Azure Monitor para contenedores.

Pasos siguientes
En este artículo, ha obtenido información sobre la protección de Kubernetes de Security Center, incluido Azure
Defender para Kubernetes.
Habilitación de Azure Defender
Para obtener material relacionado, consulte los siguientes artículos:
Transmisión de alertas a una solución de administración de servicios de TI, SIEM o SOAR
Tabla de referencia de alertas
 Introducción a Azure Defender para registros de
contenedor
22/03/2021 • 10 minutes to read • Edit Online

Azure Container Registry (ACR) es un servicio de registro de Docker privado y administrado que almacena y
administra las imágenes de contenedor de las implementaciones de Azure en un registro central. Se basa en el
registro 2.0 de Docker de código abierto.
Para proteger todos los registros basados en Azure Resource Manager de su suscripción, habilite Azure
Defender para registros de contenedor en el nivel de suscripción. A continuación, Security Center
examinará las imágenes insertadas en el registro o importadas en el registro, así como las imágenes extraídas
en los últimos 30 días. Esta característica se cobra por imagen.

Disponibilidad
A SP EC TO DETA L L ES

Estado de la versión: Disponible con carácter general

Precios: Azure Defender para registros de contenedor se

factura como se muestra en la página de precios.

Registros e imágenes compatibles: Imágenes de Linux en registros de ACR accesibles desde la

red pública de Internet con acceso al shell

Registros e imágenes no compatibles: Imágenes de Windows

Registros "privados"
Registros con acceso limitado con un firewall, un punto de
conexión de servicio o puntos de conexión privados, como
Azure Private Link.
Imágenes excesivamente minimalistas, como las imágenes
base de Docker o imágenes "sin distribución" que solo
contienen una aplicación y sus dependencias en tiempo de
ejecución sin un administrador de paquetes, shell o sistema
operativo.

Roles y permisos necesarios: Lector de seguridad y roles y permisos de Azure

Container Registry

Nubes: Nubes comerciales

US Gov y China Gov: actualmente solo se admite el
examen en la característica de inserción. Más información en
¿Cuándo se examinan las imágenes?

¿Cuáles son las ventajas de Azure Defender para registros de

contenedor?
Security Center identifica registros de ACR basados Azure Resource Manager en la suscripción y brinda una
función fluida de evaluación y administración de vulnerabilidades nativa de Azure para las imágenes del
registro.
Azure Defender para registros de contenedor incluye un detector de vulnerabilidades para examinar las
imágenes de los registros de Azure Container Registry basados en Azure Resource Manager y proporciona una
mayor visibilidad de las vulnerabilidades de las imágenes. El detector integrado lo proporciona el proveedor de
análisis de vulnerabilidades líder del sector, Qualys.
Si Qualys o Security Center encuentran incidencias, recibirá una notificación en el panel de Security Center. Por
cada vulnerabilidad, Security Center proporciona recomendaciones útiles, junto con una clasificación de
gravedad e información sobre cómo corregir el problema. Para más información sobre las recomendaciones de
Security Center para los contenedores, consulte la lista de recomendaciones de referencia.
Security Center filtra y clasifica los resultados del análisis. Cuando una imagen es correcta, Security Center la
marca como tal. Security Center solo genera recomendaciones de seguridad para las imágenes que tienen
incidencias sin resolver. Security Center proporciona detalles de cada vulnerabilidad detectada y una
clasificación de gravedad. Asimismo, ofrece instrucciones sobre cómo corregir las vulnerabilidades específicas
encontradas en cada imagen.
Al enviar notificaciones solo cuando hay problemas, Security Center reduce las alertas informativas no
deseadas.

TIP
Para obtener más información sobre las características de seguridad de los contenedores de Security Center, consulte:
Seguridad de los contenedores y Azure Security Center
Introducción a Azure Defender para Kubernetes

¿Cuándo se examinan las imágenes?

Hay tres desencadenadores para un examen de imagen:
Al inser tar : cada vez que se inserta una imagen en el registro, Security Center la examina de forma
automática. Para desencadenar el examen de una imagen, insértela en el repositorio.
Extraído recientemente : dado que se detectan nuevas vulnerabilidades cada día, Azure Defender
para registros de contenedor también examina cualquier imagen que se haya extraído en los últimos
30 días. No hay ningún cargo adicional por un nuevo examen; como se mencionó anteriormente, se le
facturará una vez por imagen.
Al impor tar : Azure Container Registry tiene herramientas de importación para incorporar imágenes al
registro desde Docker Hub, Microsoft Container Registry u otro registro de contenedor de Azure. Azure
Defender para registros de contenedor examina las imágenes admitidas que importe. Obtenga más
información en Importación de imágenes de contenedor en un registro de contenedor.
El análisis se completa normalmente en 2 minutos, pero puede tardar hasta 15 minutos. Los resultados se
publican como recomendaciones de Security Center, como en este caso:
Funcionamiento de Security Center con Azure Container Registry
A continuación se muestra un diagrama detallado de los componentes y las ventajas de proteger los registros
con Security Center.

Preguntas más frecuentes sobre el análisis de imágenes de Azure

Container Registry
¿De qué forma analiza Security Center las imágenes?
Security Center extrae la imagen del registro y la ejecuta en un espacio aislado con el detector de Qualys. El
detector extrae una lista de vulnerabilidades conocidas.
Security Center filtra y clasifica los resultados del análisis. Cuando una imagen es correcta, Security Center la
marca como tal. Security Center solo genera recomendaciones de seguridad para las imágenes que tienen
incidencias sin resolver. Al enviar notificaciones solo cuando hay problemas, Security Center reduce las posibles
alertas informativas no deseadas.
¿Se pueden obtener los resultados del examen mediante la API REST?
Sí. Los resultados se encuentran en API REST de valoración secundaria. Asimismo, puede usar Azure Resource
Graph (ARG), la API similar a Kusto para todos los recursos: una consulta puede recuperar un análisis específico.
¿Qué tipos de registros se analizan? ¿Qué tipos se facturan?
Para ver los tipos de registros de contenedor que admite Azure Defender para registros de contenedor, consulte
Disponibilidad.
Si conecta registros no admitidos a su suscripción de Azure, Azure Defender no los examinará y no se
facturarán.
¿Puedo personalizar los resultados del detector de vulnerabilidades?
Sí. Si tiene una necesidad organizativa de omitir un resultado, en lugar de corregirlo, tiene la opción de
deshabilitarlo. Los resultados deshabilitados no afectan a la puntuación de seguridad ni generan ruido no
deseado.
Aprenda a crear reglas para deshabilitar los resultados desde la herramienta integrada de valoración de
vulnerabilidades.
¿Por qué me está avisando Security Center de las vulnerabilidades de una imagen que no está en mi registro?
Security Center proporciona evaluaciones de vulnerabilidades de cada imagen que se inserta o se extrae en un
registro. Algunas imágenes pueden volver a usar etiquetas de una imagen que ya se ha examinado. Por ejemplo,
puede reasignar la etiqueta "Más reciente" cada vez que se agrega una imagen a un código hash. En esos casos,
la imagen "antigua" todavía existe en el registro y es posible que todavía se pueda extraer mediante su código
hash. Si la imagen tiene resultados de seguridad y se extrae, mostrará vulnerabilidades de seguridad.

Pasos siguientes
Detección de vulnerabilidades en sus imágenes
 Uso de Azure Defender para registros de
contenedor para examinar las imágenes en busca
de vulnerabilidades
30/03/2021 • 8 minutes to read • Edit Online

En esta página se explica cómo usar el analizador de vulnerabilidades integrado para examinar las imágenes de
contenedor almacenadas en la instancia de Azure Container Registry basada en Azure Resource Manager.
Cuando Azure Defender para registros de contenedor está habilitado, cualquier imagen que inserte en el
registro se examinará de inmediato. Además, también se analizan las imágenes extraídas en los últimos 30 días.
Cuando en detector notifica vulnerabilidades a Security Center, este presenta los resultados y la información
relacionada como recomendaciones. Además, los resultados incluyen información relacionada, como pasos de
corrección, CVE pertinentes, puntuaciones de CVSS, etc. Se pueden ver las vulnerabilidades identificadas para
una o varias suscripciones, o para un registro específico.

Identificación de vulnerabilidades en las imágenes de los registros de

contenedor de Azure
Para habilitar exámenes de vulnerabilidades de las imágenes almacenadas en la instancia de Azure Container
Registry basada en Azure Resource Manager:
1. Habilite Azure Defender para registros de contenedor para su suscripción. Security Center ya está
listo para examinar imágenes en los registros.

NOTE
Esta característica se cobra por imagen.

2. Los recorridos de imagen se desencadenan en cada una de las inserciones o importaciones, y si la

imagen se ha extraído en los últimos 30 días.
Cuando finaliza el examen (al cabo de 2 minutos aproximadamente, aunque puede tardar hasta
15 minutos), los resultados están disponibles en recomendaciones de Security Center.
3. Vea y corrija los resultados tal y como se explica a continuación.

Identificación de vulnerabilidades en imágenes en otros registros de

contenedor
1. Use las herramientas de ACR para incorporar imágenes al registro desde Docker Hub o
Microsoft Container Registry. Una vez finalizada la importación, Azure Defender examina las imágenes
importadas.
Obtenga más información en Importación de imágenes de contenedor en un registro de contenedor.
Cuando finaliza el examen (al cabo de 2 minutos aproximadamente, aunque puede tardar hasta
15 minutos), los resultados están disponibles en recomendaciones de Security Center.
2. Vea y corrija los resultados tal y como se explica a continuación.
Visualización y corrección de resultados
1. Para ver los resultados, vaya a la página Recomendaciones . Si se encontraron problemas, verá la
recomendación Las vulnerabilidades de las imágenes de Azure Container Registr y deben
corregirse .

2. Seleccione la recomendación.
Se abre la página de detalles de la recomendación con información adicional. Esta información incluye la
lista de registros con imágenes vulnerables ("recursos afectados") y los pasos de corrección.
3. Seleccione un registro específico para ver los repositorios que contienen repositorios vulnerables.

Se abre la página Detalles del registro con la lista de repositorios afectados.

4. Seleccione un repositorio específico para ver los repositorios que contienen imágenes vulnerables.

Se abre la página Detalles del repositorio. Muestra las imágenes vulnerables junto con una evaluación de
la gravedad de las conclusiones.
5. Seleccione una imagen específica para ver las vulnerabilidades.

Se abre la lista de resultados de la imagen seleccionada.

6. Para más información sobre un resultado, selecciónelo.

Se abre el panel de detalles de los resultados.

En este panel se incluye una descripción detallada del problema y vínculos a recursos externos para
ayudar a mitigar las amenazas.
7. Siga los pasos de la sección de corrección de este panel.
8. Cuando haya realizado los pasos necesarios para corregir el problema de seguridad, reemplace la
imagen en el registro:
a. Inserte la imagen actualizada. Esto desencadenará un examen.
b. Consulte en la página de recomendaciones la recomendación "Las vulnerabilidades de las
imágenes de Azure Container Registry deben corregirse".
Si la recomendación sigue apareciendo y la imagen que ha corregido todavía aparece en la lista de
imágenes vulnerables, vuelva a comprobar los pasos de corrección.
c. Cuando esté seguro de que la imagen actualizada se ha insertado y examinado y que ya no
aparece en la recomendación, elimine la imagen vulnerable "antigua" del registro.

Deshabilitación de resultados específicos (versión preliminar)

NOTE
Los Términos de uso complementarios para las versiones preliminares de Azure incluyen los términos legales adicionales
que se aplican a las características de Azure que se encuentran en la versión beta, en versión preliminar o que todavía no
se han publicado con disponibilidad general.

Si tiene la necesidad organizativa de omitir un resultado, en lugar de corregirlo, tiene la opción de deshabilitarlo.
Los resultados deshabilitados no afectan a la puntuación de seguridad ni generan ruido no deseado.
Cuando un resultado coincide con los criterios que ha definido en las reglas de deshabilitación, no aparecerá en
la lista de resultados. Entre los escenarios típicos se incluyen:
Deshabilitar resultados con gravedad inferior a media
Deshabilitar resultados que no se pueden revisar
Deshabilitar resultados con una puntuación de CVSS por debajo de 6,5
Deshabilitar resultados con texto específico en la categoría o la comprobación de seguridad (por ejemplo,
"RedHat", "actualización de seguridad de CentOS para sudo")

IMPORTANT
Para crear una regla, necesita permisos para editar directivas en Azure Policy.
Obtenga más información en Permisos de Azure RBAC en Azure Policy.

Puede utilizar cualquiera de los criterios siguientes:

Identificador del resultado
Category
Comprobación de seguridad
Puntuaciones de CVSS v3
Gravedad
Estado revisable
Para crear una regla:
1. En la página de detalles de recomendaciones de Las vulnerabilidades de las imágenes de Azure
Container Registr y deben corregirse , seleccione Deshabilitar regla .
2. Seleccione el ámbito pertinente.
3. Defina los criterios.
4. Seleccione Aplicar regla .

5. Para ver, invalidar o eliminar una regla:

a. Seleccione Deshabilitar regla .
b. En la lista de ámbitos, las suscripciones con reglas activas se muestran como Regla aplicada .

c. Para ver o eliminar la regla, seleccione el menú de puntos suspensivos ("...").

Pasos siguientes
Más información sobre Azure Defender
 Uso de Azure Defender para registros de
contenedor para examinar las imágenes en busca
de vulnerabilidades
30/03/2021 • 8 minutes to read • Edit Online

En esta página se explica cómo usar el analizador de vulnerabilidades integrado para examinar las imágenes de
contenedor almacenadas en la instancia de Azure Container Registry basada en Azure Resource Manager.
Cuando Azure Defender para registros de contenedor está habilitado, cualquier imagen que inserte en el
registro se examinará de inmediato. Además, también se analizan las imágenes extraídas en los últimos 30 días.
Cuando en detector notifica vulnerabilidades a Security Center, este presenta los resultados y la información
relacionada como recomendaciones. Además, los resultados incluyen información relacionada, como pasos de
corrección, CVE pertinentes, puntuaciones de CVSS, etc. Se pueden ver las vulnerabilidades identificadas para
una o varias suscripciones, o para un registro específico.

Identificación de vulnerabilidades en las imágenes de los registros de

contenedor de Azure
Para habilitar exámenes de vulnerabilidades de las imágenes almacenadas en la instancia de Azure Container
Registry basada en Azure Resource Manager:
1. Habilite Azure Defender para registros de contenedor para su suscripción. Security Center ya está
listo para examinar imágenes en los registros.

NOTE
Esta característica se cobra por imagen.

2. Los recorridos de imagen se desencadenan en cada una de las inserciones o importaciones, y si la

imagen se ha extraído en los últimos 30 días.
Cuando finaliza el examen (al cabo de 2 minutos aproximadamente, aunque puede tardar hasta
15 minutos), los resultados están disponibles en recomendaciones de Security Center.
3. Vea y corrija los resultados tal y como se explica a continuación.

Identificación de vulnerabilidades en imágenes en otros registros de

contenedor
1. Use las herramientas de ACR para incorporar imágenes al registro desde Docker Hub o
Microsoft Container Registry. Una vez finalizada la importación, Azure Defender examina las imágenes
importadas.
Obtenga más información en Importación de imágenes de contenedor en un registro de contenedor.
Cuando finaliza el examen (al cabo de 2 minutos aproximadamente, aunque puede tardar hasta
15 minutos), los resultados están disponibles en recomendaciones de Security Center.
2. Vea y corrija los resultados tal y como se explica a continuación.
Visualización y corrección de resultados
1. Para ver los resultados, vaya a la página Recomendaciones . Si se encontraron problemas, verá la
recomendación Las vulnerabilidades de las imágenes de Azure Container Registr y deben
corregirse .

2. Seleccione la recomendación.
Se abre la página de detalles de la recomendación con información adicional. Esta información incluye la
lista de registros con imágenes vulnerables ("recursos afectados") y los pasos de corrección.
3. Seleccione un registro específico para ver los repositorios que contienen repositorios vulnerables.

Se abre la página Detalles del registro con la lista de repositorios afectados.

4. Seleccione un repositorio específico para ver los repositorios que contienen imágenes vulnerables.

Se abre la página Detalles del repositorio. Muestra las imágenes vulnerables junto con una evaluación de
la gravedad de las conclusiones.
5. Seleccione una imagen específica para ver las vulnerabilidades.

Se abre la lista de resultados de la imagen seleccionada.

6. Para más información sobre un resultado, selecciónelo.

Se abre el panel de detalles de los resultados.

En este panel se incluye una descripción detallada del problema y vínculos a recursos externos para
ayudar a mitigar las amenazas.
7. Siga los pasos de la sección de corrección de este panel.
8. Cuando haya realizado los pasos necesarios para corregir el problema de seguridad, reemplace la
imagen en el registro:
a. Inserte la imagen actualizada. Esto desencadenará un examen.
b. Consulte en la página de recomendaciones la recomendación "Las vulnerabilidades de las
imágenes de Azure Container Registry deben corregirse".
Si la recomendación sigue apareciendo y la imagen que ha corregido todavía aparece en la lista de
imágenes vulnerables, vuelva a comprobar los pasos de corrección.
c. Cuando esté seguro de que la imagen actualizada se ha insertado y examinado y que ya no
aparece en la recomendación, elimine la imagen vulnerable "antigua" del registro.

Deshabilitación de resultados específicos (versión preliminar)

NOTE
Los Términos de uso complementarios para las versiones preliminares de Azure incluyen los términos legales adicionales
que se aplican a las características de Azure que se encuentran en la versión beta, en versión preliminar o que todavía no
se han publicado con disponibilidad general.

Si tiene la necesidad organizativa de omitir un resultado, en lugar de corregirlo, tiene la opción de deshabilitarlo.
Los resultados deshabilitados no afectan a la puntuación de seguridad ni generan ruido no deseado.
Cuando un resultado coincide con los criterios que ha definido en las reglas de deshabilitación, no aparecerá en
la lista de resultados. Entre los escenarios típicos se incluyen:
Deshabilitar resultados con gravedad inferior a media
Deshabilitar resultados que no se pueden revisar
Deshabilitar resultados con una puntuación de CVSS por debajo de 6,5
Deshabilitar resultados con texto específico en la categoría o la comprobación de seguridad (por ejemplo,
"RedHat", "actualización de seguridad de CentOS para sudo")

IMPORTANT
Para crear una regla, necesita permisos para editar directivas en Azure Policy.
Obtenga más información en Permisos de Azure RBAC en Azure Policy.

Puede utilizar cualquiera de los criterios siguientes:

Identificador del resultado
Category
Comprobación de seguridad
Puntuaciones de CVSS v3
Gravedad
Estado revisable
Para crear una regla:
1. En la página de detalles de recomendaciones de Las vulnerabilidades de las imágenes de Azure
Container Registr y deben corregirse , seleccione Deshabilitar regla .
2. Seleccione el ámbito pertinente.
3. Defina los criterios.
4. Seleccione Aplicar regla .

5. Para ver, invalidar o eliminar una regla:

a. Seleccione Deshabilitar regla .
b. En la lista de ámbitos, las suscripciones con reglas activas se muestran como Regla aplicada .

c. Para ver o eliminar la regla, seleccione el menú de puntos suspensivos ("...").

Pasos siguientes
Más información sobre Azure Defender
 Protección de las cargas de trabajo de Kubernetes
09/04/2021 • 10 minutes to read • Edit Online

En esta página se describe cómo usar el conjunto de recomendaciones de seguridad de Azure Security Center
dedicadas a la protección de cargas de trabajo de Kubernetes.
Obtenga más información sobre estas características en Procedimientos recomendados de protección de cargas
de trabajo con el control de admisión de Kubernetes
Security Center ofrece más características de seguridad del contenedor si habilita Azure Defender.
Concretamente:
Analice sus registros de contenedor para detectar vulnerabilidades con Azure Defender para registros de
contenedor
Obtenga alertas de detección de amenazas para los clústeres K8s en Azure Defender para Kubernetes

TIP
Para obtener una lista de todas las recomendaciones de seguridad que pueden aparecer para los clústeres y nodos de
Kubernetes, consulte la sección de proceso de la tabla de referencia de recomendaciones.

Disponibilidad
A SP EC TO DETA L L ES

Estado de la versión: Disponibilidad general (GA)

Precios: Gratuito

Roles y permisos necesarios: Propietario o administrador de seguridad para editar

una asignación
Lector para ver las recomendaciones

Requisitos del entorno: Se requiere la versión 1.14 (o posterior) de Kubernetes

Ningún recurso PodSecurityPolicy (antiguo modelo de PSP)
en los clústeres
No se admiten nodos de Windows

Nubes: Nubes comerciales

Nacionales o soberanas (US Gov, China Gov, otros
gobiernos)

Configuración de la protección de cargas de trabajo

Azure Security Center incluye un conjunto de recomendaciones que están disponibles cuando ha instalado el
complemento de Azure Policy para Kubernetes .
Paso 1: Implementación del complemento
Para configurar las recomendaciones, instale el complemento de Azure Policy para Kubernetes .
También puede implementar automáticamente este complemento tal y como se explica en Habilitación
del aprovisionamiento automático de agentes y extensiones de Log Analytics. Cuando el
aprovisionamiento automático del complemento esté establecido en "activado", la extensión se habilitará
de forma predeterminada en todos los clústeres existentes y futuros (que cumplan los requisitos de
instalación del complemento).

Para implementar manualmente el complemento:

1. En la página de recomendaciones, busque la recomendación "Azure Policy add-on for
Kubernetes should be installed and enabled on your clusters " (El complemento Azure
Policy para Kubernetes debería estar instalado y habilitado en sus clústeres).

TIP
La recomendación se incluye en cinco controles de seguridad diferentes y no importa cuál seleccione en el
siguiente paso.

2. En cualquiera de los controles de seguridad, seleccione la recomendación para ver los recursos en
los que puede instalar el complemento.
3. Seleccione el clúster correspondiente y elija Corregir .
Paso 2: Vista y configuración del conjunto de 13 recomendaciones
1. Aproximadamente 30 minutos después de completarse la instalación del complemento, Security Center
muestra el estado de mantenimiento de los clústeres de las siguientes recomendaciones, cada uno en el
control de seguridad pertinente como se muestra a continuación:

TIP
Algunas recomendaciones tienen parámetros que deben personalizarse a través de Azure Policy para usarlos de
forma eficaz. Por ejemplo, para beneficiarse de la recomendación Las imágenes de contenedor solo deben
implementarse desde registros de confianza , tendrá que definir sus registros de confianza.
Si no especifica los parámetros necesarios para las recomendaciones que requieren configuración, las cargas de
trabajo aparecerán como incorrectas.

N O M B RE DE L A REC O M EN DA C IÓ N C O N T RO L DE SEGURIDA D C O N F IGURA C IÓ N REQ UERIDA

Debe aplicar los límites de CPU y Protección de aplicaciones contra No

memoria de los contenedores. ataques DDoS

Deben evitarse los contenedores Administración de acceso y No

con privilegios. permisos
 N O M B RE DE L A REC O M EN DA C IÓ N C O N T RO L DE SEGURIDA D C O N F IGURA C IÓ N REQ UERIDA

El sistema de archivos raíz inmutable Administración de acceso y No

(de solo lectura) debe aplicarse para permisos
los contenedores.

Debe evitar los contenedores con Administración de acceso y No

elevación de privilegios. permisos

Debe evitar la ejecución de Administración de acceso y No

contenedores como usuario raíz. permisos

Deben evitarse los contenedores Administración de acceso y No

que comparten espacios de permisos
nombres de host confidenciales.

Deben aplicarse funcionalidades de Administración de acceso y Sí

Linux con privilegios mínimos para permisos
los contenedores.

El uso de montajes de volúmenes Administración de acceso y Sí

HostPath de pod debe estar permisos
restringido a una lista conocida.

Los contenedores solo deben Restricción de los accesos de red no Sí

escuchar en los puertos permitidos. autorizados

Los servicios solo deben escuchar Restricción de los accesos de red no Sí

en los puertos permitidos. autorizados

El uso de puertos y redes de hosts Restricción de los accesos de red no Sí

debe estar restringido. autorizados

La opción de reemplazar o Corrección de configuraciones de Sí

deshabilitar el perfil de AppArmor seguridad
de los contenedores debe estar
restringida.

Las imágenes de contenedor solo Corrección de vulnerabilidades Sí

deben implementarse desde
registros de confianza.

2. Para las recomendaciones con parámetros que deben personalizarse, establezca los parámetros:
a. En el menú de Security Center, seleccione Directiva de seguridad .
b. Seleccione la suscripción correspondiente.
c. En la sección Directiva predeterminada de Security Center , seleccione Ver directiva efectiva .
d. Seleccione "Valor predeterminado de ASC".
e. Abra la pestaña Parámetros y modifique los valores según sea necesario.
f. Seleccione Revisar y guardar .
g. Seleccione Guardar .
3. Para aplicar cualquiera de las recomendaciones,
a. abra la página de detalles de recomendaciones y haga clic en Denegar :
 Se abrirá el panel donde se establece el ámbito.
b. Cuando lo haya establecido, seleccione Change to deny (Cambiar a denegar).
4. Para ver qué recomendaciones se aplican a los clústeres:
a. Abra la página Inventario de recursos de Security Center y use el filtro de tipo de recurso en
Ser vicios de Kubernetes .
b. Seleccione un clúster para investigar y revise las recomendaciones disponibles para este.
5. Al ver una recomendación de la protección de cargas de trabajo establecida, verá el número de pods
afectados ("componentes de Kubernetes") mostrados junto con el clúster. Para ver una lista de los pods
específicos, seleccione el clúster y, a continuación, seleccione Realizar acción .
6. Para probar la aplicación, use las dos implementaciones de Kubernetes siguientes:
Una es para una implementación correcta, compatible con el conjunto de recomendaciones de
protección de cargas de trabajo.
La otra es para una implementación incorrecta, no compatible con cualquiera de las recomendaciones.
Implemente los archivos .yaml de ejemplo tal cual o úselos como referencia para corregir su propia carga
de trabajo (paso VIII)

Archivo .yaml de ejemplo de implementación correcta

 apiVersion: apps/v1
kind: Deployment
metadata:
name: redis-healthy-deployment
labels:
app: redis
spec:
replicas: 3
selector:
matchLabels:
app: redis
template:
metadata:
labels:
app: redis
annotations:
apparmor.security.beta.kubernetes.io/pod: runtime/default
container.apparmor.security.beta.kubernetes.io/redis: runtime/default
spec:
containers:
- name: redis
image: healthyClusterRegistry.azurecr.io/redis:latest
ports:
- containerPort: 80
resources:
limits:
cpu: 100m
memory: 250Mi
securityContext:
privileged: false
readOnlyRootFilesystem: true
allowPrivilegeEscalation: false
runAsNonRoot: true
runAsUser: 1000
---
apiVersion: v1
kind: Service
metadata:
name: redis-healthy-service
spec:
type: LoadBalancer
selector:
app: redis
ports:
- port: 80
targetPort: 80

Archivo .yaml de ejemplo de implementación incorrecta

 apiVersion: apps/v1
kind: Deployment
metadata:
name: nginx-unhealthy-deployment
labels:
app: nginx
spec:
replicas: 3
selector:
matchLabels:
app: nginx
template:
metadata:
labels:
app: nginx
spec:
hostNetwork: true
hostPID: true
hostIPC: true
containers:
- name: nginx
image: nginx:1.15.2
ports:
- containerPort: 9001
hostPort: 9001
securityContext:
privileged: true
readOnlyRootFilesystem: false
allowPrivilegeEscalation: true
runAsUser: 0
capabilities:
add:
- NET_ADMIN
volumeMounts:
- mountPath: /test-pd
name: test-volume
readOnly: true
volumes:
- name: test-volume
hostPath:
# directory location on host
path: /tmp
---
apiVersion: v1
kind: Service
metadata:
name: nginx-unhealthy-service
spec:
type: LoadBalancer
selector:
app: nginx
ports:
- port: 6001
targetPort: 9001

Pasos siguientes
En este artículo, ha aprendido a configurar la protección de cargas de trabajo de Kubernetes.
Para obtener material relacionado, consulte las páginas siguientes:
Recomendaciones de Security Center para proceso
Alertas del nivel de clúster de AKS
Alertas del nivel de host de contenedor
 Protección de las API y las aplicaciones web
22/03/2021 • 10 minutes to read • Edit Online

Prerrequisitos
Security Center está integrado de forma nativa con App Service, lo que elimina la necesidad de implementación
e incorporación; la integración es transparente.
Para proteger el plan de Azure App Service con Azure Defender para App Service, necesitará lo siguiente:
Un plan de App Service admitido asociado a máquinas dedicadas. Los planes admitidos se enumeran en
Disponibilidad.
Azure Defender habilitado en la suscripción, tal como se describe en Inicio rápido: Habilitación de Azure
Defender.

TIP
Opcionalmente, puede habilitar planes individuales en Azure Defender (como Azure Defender para App Service).

Disponibilidad
A SP EC TO DETA L L ES

Estado de la versión: Disponibilidad general (GA)

Precios: Azure Defender para App Service se factura como se indica

en Precios de Security Center.
La facturación se realiza en función de las instancias de
proceso totales en todos los planes.

Planes de App Service admitidos: Se admiten todos los planes de App Service excepto Azure
Functions en el plan de consumo.

Nubes: Nubes comerciales

Nacionales o soberanas (US Gov, China Gov, otros
gobiernos)

¿Cuáles son las ventajas de Azure Defender para App Service?

Azure App Service es una plataforma totalmente administrada para crear y hospedar aplicaciones web y API. Al
ser totalmente administrada, no hay que preocuparse por la infraestructura. Proporciona administración,
supervisión y conclusiones operativas para satisfacer requisitos de seguridad, cumplimiento normativo y
rendimiento de nivel empresarial. Para más información, consulte Azure App Service.
Azure Defender para App Ser vice usa la escala de la nube para identificar ataques dirigidos a aplicaciones
que se ejecutan mediante App Service. Los atacantes sondean las aplicaciones web para buscar y aprovechar los
puntos débiles. Antes de enrutarse a entornos específicos, las solicitudes para las aplicaciones que se ejecutan
en Azure atraviesan varias puertas de enlace donde se las inspecciona y registra. A continuación, estos datos se
usan para identificar vulnerabilidades y atacantes, así como para aprender nuevos patrones que se usarán más
adelante.
Al habilitar Azure Defender para App Service, se beneficia inmediatamente de los siguientes servicios que ofrece
este plan de Azure Defender:
Protección : Security Center evalúa los recursos incluidos en el plan de App Service y genera
recomendaciones de seguridad en función de lo que halle. Siga las instrucciones detalladas de estas
recomendaciones para proteger los recursos de App Service.
Detección : Azure Defender detecta un elevado número de amenazas para los recursos de App Service,
ya que supervisa:
la instancia de la máquina virtual en la que se ejecuta App Service y su interfaz de administración.
las solicitudes y respuestas tanto que se envían a las aplicaciones de App Service, como que se envían
desde ellas
los espacios aislados y las máquinas virtuales subyacentes
los registros internos de App Service (disponibles gracias a la visibilidad que tiene Azure como
proveedor de nube)
Como solución nativa en la nube, Azure Defender puede identificar metodologías de ataque que se aplican a
varios destinos. Por ejemplo, desde un único host sería difícil identificar un ataque distribuido desde un pequeño
subconjunto de direcciones IP que rastrean puntos de conexión similares en varios hosts.
Conjuntamente, los datos del registro y la infraestructura puede indicar lo que ocurre: desde un nuevo ataque
que prolifera en la red hasta riesgos concretos en las máquinas de los clientes. Por lo tanto, incluso si se
implementa Security Center una vez que se han aprovechado las vulnerabilidades de una aplicación web, es
posible que pueda detectar los ataques en curso.

¿Qué amenazas puede detectar Azure Defender para App Service?

Amenazas por tácticas de MITRE ATT&CK
Azure Defender supervisa muchas amenazas para los recursos de App Service. Las alertas abarcan casi la lista
completa de tácticas de MITRE ATT&CK, desde los ataques previos al comando y el control. Azure Defender
puede detectar:
Amenazas previas a ataques : Defender puede detectar la ejecución de varios tipos de detectores de
vulnerabilidades que los atacantes usan con frecuencia para sondear las aplicaciones en busca de puntos
débiles.
Amenazas en el acceso inicial - Microsoft Threat Intelligence alimenta estas alertas que incluyen el
desencadenamiento de una alerta cuando una dirección IP malintencionada conocida se conecta a la
interfaz de FTP de Azure App Service.
Amenazas a la ejecución : Defender puede detectar intentos de ejecución de comandos con privilegios
elevados, comandos de Linux en Windows App Service, comportamiento de ataque sin archivos,
herramientas de minería de moneda digital y muchas otras actividades de ejecución de código
sospechosas y malintencionadas.
Detección de DNS pendiente
Azure Defender para App Service también identifica las entradas de DNS que queden en el registrador de DNS
cuando se retira un sitio web de App Service (se conocen como entradas DNS pendientes). Cuando se quita un
sitio web, pero no se quita su dominio personalizado del registrador de DNS, la entrada DNS apunta a un
recurso que no existe y el subdominio es vulnerable a una adquisición. Azure Defender no examina el
registrador de DNS en busca de entradas de DNS pendientes existentes, sino que le avisa cuando se retira un
sitio web de App Service y su dominio personalizado (entrada DNS) no se elimina.
Las adquisiciones de subdominios son una amenaza muy grave que se producen de forma común en las
organizaciones. Cuando un actor de amenazas detecta una entrada DNS pendiente, crea su propio sitio en la
dirección de destino. A continuación, el tráfico dirigido al dominio de la organización se dirige al sitio del actor
de amenazas, que este puede usar ese tráfico para una amplia gama de actividades malintencionadas.
La protección contra DNS pendiente está disponibles tanto si los dominios se administran con Azure DNS como
con un registrador de dominios externo y se aplica a App Service en Windows y en Linux.

Para más información sobre DNS pendientes y la amenaza de adquisición de subdominios, consulte Evitar las
entradas DNS pendientes y evitar la adquisición de subdominios.
Para obtener una lista completa de las alertas de Azure App Service, consulte la Tabla de referencia de alertas.

NOTE
Es posible que Defender no desencadene alertas de DNS pendientes si el dominio personalizado no apunta directamente
a un recurso de App Service o si Defender no ha supervisado el tráfico a su sitio web desde que se habilitó la protección
contra DNS pendiente (porque no habrá registros que ayuden a identificar el dominio personalizado).

Pasos siguientes
En este artículo, ha obtenido información sobre Azure Defender para App Service.
Para obtener material relacionado, consulte los siguientes artículos:
Para exportar las alertas a Azure Sentinel, la SIEM de terceros, o cualquier otra herramienta externa, siguen
las instrucciones de Transmisión de alertas a una solución de administración de servicios de TI, SIEM o SOAR.
Para obtener una lista de las alertas de Azure Defender para App Service, consulte la Tabla de referencia de
alertas.
Para más información sobre los planes de App Service, consulte Planes de App Service.
Habilitación de Azure Defender
 Introducción a Azure Defender para Storage
22/03/2021 • 8 minutes to read • Edit Online

Azure Defender para Storage es una capa de inteligencia de seguridad nativa de Azure que detecta intentos
poco habituales y potencialmente peligrosos de acceder a las cuentas de almacenamiento o vulnerarlas. Utiliza
las funcionalidades avanzadas de inteligencia artificial de seguridad y Microsoft Threat Intelligence para ofrecer
recomendaciones y alertas de seguridad contextuales.
Las alertas de seguridad se desencadenan cuando se producen anomalías en una actividad. Estas alertas se
integran en Azure Security Center y también se envían por correo electrónico a los administradores de las
suscripciones, con detalles de actividad sospechosa y recomendaciones sobre cómo investigar y solucionar las
amenazas.

Disponibilidad
A SP EC TO DETA L L ES

Estado de la versión: Disponibilidad general (GA)

Precios: Azure Defender para Storage se factura como se indica

en Precios de Security Center.

Tipos de almacenamiento protegido: Blob Storage

Archivos de Azure
Azure Data Lake Storage Gen2

Nubes: Nubes comerciales

US Gov
China Gov, otros gobiernos

¿Cuáles son las ventajas de Azure Defender para Storage?

Azure Defender para Storage proporciona:
Seguridad nativa de Azure : con la habilitación en un clic, Defender para Storage protege los datos
almacenados en Azure Blob Storage, Azure File Storage y Data Lake Storage. Como servicio nativo de Azure,
Defender para Storage proporciona seguridad centralizada en todos los recursos de datos administrados por
Azure y se integra con otros servicios de seguridad de Azure, como Azure Sentinel.
Conjunto de detecciones enriquecidas : con tecnología de inteligencia sobre amenazas de Microsoft, las
detecciones de Defender para Storage abarcan las principales amenazas de Storage, como el acceso
anónimo, las credenciales en peligro, la ingeniería social, el abuso de privilegios y el contenido
malintencionado.
Respuesta a escala : las herramientas de automatización de Security Center facilitan la prevención y la
respuesta a las amenazas identificadas. Puede obtener más información en Automatización de respuestas a
desencadenadores de Security Center.
¿Qué tipos de alertas ofrece Azure Defender para Storage?
Las alertas de seguridad se desencadenan en los escenarios siguientes:
Patrones de acceso sospechosos : como el acceso correcto desde un nodo de salida de Tor o desde una
dirección IP considerada sospechosa por Microsoft Threat Intelligence.
Actividades sospechosas : como la extracción de datos anómala o el cambio inusual de permisos de
acceso.
Carga de contenido malintencionado : como archivos de malware potenciales (basados en el análisis de
reputación de hash) u hospedaje de contenido de suplantación de identidad (phishing).
Las alertas incluyen detalles acerca del incidente que las desencadenó, así como recomendaciones acerca de
cómo investigar y corregir las amenazas. Las alertas se pueden exportar no solo a Azure Sentinel, sino también
a cualquier otra SIEM de terceros o cualquier otra herramienta externa.

TIP
Se recomienda configurar Azure Defender para Storage en el nivel de suscripción, pero también se puede configurar en
cuentas de almacenamiento individuales.

¿Qué es el análisis de reputación de hash para malware?

Para determinar si un archivo cargado es sospechoso, Azure Defender para Storage usa el análisis de reputación
de hash compatible con la inteligencia sobre amenazas de Microsoft. Las herramientas de protección contra
amenazas no examinan los archivos cargados, sino que examinan los registros de almacenamiento y comparan
los valores hash de los archivos recién cargados con los de virus conocidos, troyanos, spyware y ransomware.
Cuando se sospecha que un archivo contiene malware, Security Center muestra una alerta y, opcionalmente,
puede enviar un correo electrónico al propietario del almacenamiento para que elimine el archivo sospechoso.
Para configurar esta eliminación automática de archivos que el análisis de reputación de hash indica que
contienen malware, implemente una automatización del flujo de trabajo para desencadenar alertas que
contengan el "malware potencial cargado en una cuenta de almacenamiento".
 NOTE
Para habilitar las funcionalidades de protección contra amenazas de Security Center, debe habilitar Azure Defender en la
suscripción que contiene las cargas de trabajo aplicables.
Puede habilitar Azure Defender para Storage en el nivel de suscripción o de recursos.

Desencadenamiento de una alerta de prueba para Azure Defender

para Storage
Para probar las alertas de seguridad de Azure Defender para Storage en su entorno, genere la alerta "Access
from a Tor exit node to a storage account" (Acceso desde un nodo de salida de Tor a una cuenta de
almacenamiento) con los pasos siguientes:
1. Abra una cuenta de almacenamiento con Azure Defender para Storage habilitado.
2. En la barra lateral, seleccione "Contenedores" y abra un contenedor existente o cree uno.

3. Cargue un archivo en ese contenedor.

Cau t i on

No cargue un archivo que contenga datos confidenciales.

4. Use el menú contextual del archivo cargado para seleccionar "Generar SAS".

5. Deje las opciones predeterminadas y seleccione Generar URL y token de SAS .

6. Copie la dirección URL de SAS generada.
7. En la máquina local, abra el explorador Tor.

TIP
Puede descargar Tor desde el sitio del proyecto Tor https://www.torproject.org/download/.

8. En el explorador Tor, vaya a la dirección URL de SAS.

9. Descargue el archivo que cargó en el paso 3.
Al cabo de dos horas, recibirá la siguiente alerta de seguridad de Security Center:

Pasos siguientes
En este artículo, ha obtenido información sobre Azure Defender para Storage.
Para obtener material relacionado, consulte los siguientes artículos:
Tanto si Security Center genera una alerta, como si la recibe de un producto de seguridad diferente, puede
exportarla. Para exportar las alertas a Azure Sentinel, a cualquier SIEM de terceros o a cualquier otra
herramienta externa, siga las instrucciones de Exportación de alertas a un SIEM.
Habilitar la protección avanzada de Azure Defender para Storage
Lista de alertas de Azure Defender para Storage
Funcionalidades de inteligencia sobre amenazas de Microsoft
 Introducción a Azure Defender para Key Vault
22/03/2021 • 3 minutes to read • Edit Online

Azure Key Vault es un servicio en la nube que protege las claves de cifrado y los secretos, como certificados,
cadenas de conexión y contraseñas.
Habilite Azure Defender para Key Vault para la protección frente a amenazas avanzada, nativa de Azure,
para Azure Key Vault, que proporciona una capa adicional de inteligencia de seguridad.

Disponibilidad
A SP EC TO DETA L L ES

Estado de la versión: Disponibilidad general (GA)

Precios: Azure Defender para Key Vault se factura como se

indica en Precios de Security Center.

Nubes: Nubes comerciales

Nacionales o soberanas (US Gov, China Gov, otros
gobiernos)

¿Cuáles son las ventajas de Azure Defender para Key Vault?

Azure Defender detecta intentos inusuales y potencialmente perjudiciales de acceder o explotar las cuentas de
Key Vault. Esta capa de protección le permite afrontar las amenazas sin ser un experto en seguridad y sin la
necesidad de administrar sistemas de supervisión de la seguridad de terceros.
Cuando se producen actividades anómalas, Azure Defender muestra alertas y, opcionalmente, las envía por
correo electrónico a los miembros pertinentes de la organización. Dichas alertas incluyen detalles acerca de
cualquier actividad sospechosa y recomendaciones acerca de cómo investigar amenazas y mitigarlas.

Alertas de Azure Defender para Key Vault

Cuando reciba una alerta de Azure Defender para Key Vault, se recomienda investigar y responder a la alerta, tal
y como se describe en Respuesta a las alertas de Azure Defender para Key Vault. Azure Defender para Key Vault
protege las aplicaciones y las credenciales, por lo que, incluso si está familiarizado con la aplicación o el usuario
que desencadenó la alerta, es importante comprobar la situación relativa a cada alerta.
Las alertas aparecen en la página Seguridad de Key Vault, el panel de Azure Defender y la página de alertas de
Security Center.
 TIP
Para simular Azure Defender para alertas Key Vault, siga las instrucciones que se indican en Validación de la detección de
amenazas de Azure Key Vault en Azure Security Center.

Pasos siguientes
En este artículo, ha obtenido información sobre Azure Defender para Key Vault.
Para obtener material relacionado, consulte los siguientes artículos:
Alertas de seguridad de Key Vault: la sección de Key Vault de la tabla de referencia para todas las alertas de
Azure Security Center
Exportación continua de datos de Security Center
Eliminación de alertas de Azure Defender
 Respuesta a las alertas de Azure Defender para Key
Vault
09/04/2021 • 6 minutes to read • Edit Online

Cuando reciba una alerta de Azure Defender para Key Vault, se recomienda investigar y responder a la alerta, tal
y como se describe a continuación. Azure Defender para Key Vault protege las aplicaciones y las credenciales,
por lo que, incluso si está familiarizado con la aplicación o el usuario que desencadenó la alerta, es importante
comprobar la situación relativa a cada alerta.
Cada alerta de Azure Defender para Key Vault incluye los siguientes elementos:
Id. de objeto
Nombre principal de usuario o dirección IP del recurso sospechoso

TIP
En función del tipo de acceso que se ha producido, algunos campos pueden no estar disponibles. Por ejemplo, si una
aplicación ha accedido al almacén de claves, no verá un nombre principal de usuario asociado. Si el tráfico se originó fuera
de Azure, no verá un identificador de objeto.

Paso 1. Contacto
1. Compruebe si el tráfico se originó en el inquilino de Azure. Si el firewall del almacén de claves está
habilitado, es probable que haya proporcionado acceso al usuario o a la aplicación que desencadenó esta
alerta.
2. Si no puede comprobar el origen del tráfico, continúe con el Paso 2. Mitigación inmediata.
3. Si puede identificar el origen del tráfico en el inquilino, póngase en contacto con el usuario o el propietario
de la aplicación.
Cau t i on

Azure Defender para Key Vault está diseñado para ayudar a identificar la actividad sospechosa causada por
credenciales robadas. No descarte la alerta simplemente porque reconoce el usuario o la aplicación. Póngase en
contacto con el propietario de la aplicación o el usuario y compruebe que la actividad es legítima. Puede crear
una regla de supresión para eliminar el ruido si es necesario. Obtenga más información en Supresión de alertas
de Azure Defender.

Paso 2. Mitigación inmediata

Si no reconoce el usuario o la aplicación, o si cree que el acceso no debe haberse autorizado:
Si el tráfico procedía de una dirección IP no reconocida:
1. Habilite el firewall de Azure Key Vault como se describe en Configuración de firewalls y redes virtuales
de Azure Key Vault.
2. Configure el firewall con recursos de confianza y redes virtuales.
Si el origen de la alerta era una aplicación no autorizada o un usuario sospechoso:
1. Abra la configuración de la directiva de acceso del almacén de claves.
2. Quite la entidad de seguridad correspondiente o restrinja las operaciones que la entidad de seguridad
puede realizar.
 Si el origen de la alerta tiene un rol de Azure Active Directory en el inquilino:
1. Póngase en contacto con el administrador.
2. Determine si es necesario reducir o revocar los permisos de Azure Active Directory.

Paso 3. Identificación del impacto

Cuando se haya mitigado el impacto, investigue los secretos del almacén de claves que se vieron afectados:
1. Abra la página "Seguridad" en Azure Key Vault y vea la alerta desencadenada.
2. Seleccione la alerta específica que se desencadenó. Revise la lista de los secretos a los que se accedió y la
marca de tiempo.
3. Opcionalmente, si tiene habilitados los registros de diagnóstico del almacén de claves, revise las operaciones
anteriores para la dirección IP del autor de la llamada correspondiente, la entidad de seguridad de usuario o
el identificador de objeto.

Paso 4. Realizar acción

Una vez que haya compilado la lista de los secretos, las claves y los certificados a los que ha accedido el usuario
o la aplicación sospechosos, debe girar esos objetos inmediatamente.
1. Los secretos afectados deben deshabilitarse o eliminarse del almacén de claves.
2. Si las credenciales se usaron para una aplicación específica:
a. Póngase en contacto con el administrador de la aplicación y pídale que realice una auditoría de su
entorno para los usos de las credenciales en peligro, ya que se vulneraron.
b. Si se usaron credenciales en peligro, el propietario de la aplicación debe identificar la información a la
que se obtuvo acceso y mitigar el impacto.

Pasos siguientes
En esta página se explica el proceso de respuesta a una alerta de Azure Defender para Key Vault. Para obtener
información relacionada, consulte las páginas siguientes:
Introducción a Azure Defender para Key Vault
Eliminación de alertas de Azure Defender
Exportación continua de alertas y recomendaciones de seguridad
 Introducción a Azure Defender para Resource
Manager
22/03/2021 • 5 minutes to read • Edit Online

Azure Resource Manager es el servicio de implementación y administración para Azure. Proporciona una capa
de administración que le permite crear, actualizar y eliminar recursos de la cuenta de Azure. Se usan las
características de administración, como el control de acceso, la auditoría y las etiquetas, para proteger y
organizar los recursos después de la implementación.
La capa de administración de la nube es un servicio crucial conectado a todos los recursos en la nube. Ese el
motivo por el que es también es un objetivo potencial para los atacantes. Por lo tanto, se recomienda que los
equipos de operaciones de seguridad supervisen estrechamente la capa de administración de recursos.
Azure Defender para Resource Manager supervisa automáticamente las operaciones de administración de
recursos de cualquier organización, independientemente de que se realicen a través de Azure Portal, las API
REST de Azure, la CLI de Azure u otros clientes de programación de Azure. Azure Defender ejecuta análisis de
seguridad avanzados para detectar amenazas y avisarle de cualquier actividad sospechosa.

Disponibilidad
A SP EC TO DETA L L ES

Estado de la versión: Versión preliminar

Los Términos de uso complementarios para las versiones
preliminares de Azure incluyen los términos legales
adicionales que se aplican a las características de Azure que
se encuentran en la versión beta, en versión preliminar o que
todavía no se han publicado con disponibilidad general.

Precios: Azure Defender para Resource Manager se factura

como se muestra en Precios de Security Center.

Nubes: Nubes comerciales

Nacionales o soberanas (US Gov, China Gov, otros
gobiernos)

¿Cuáles son las ventajas de Azure Defender para Resource Manager?

Azure Defender para Resource Manager sirve de protección para los siguientes problemas:
Operaciones de administración de recursos sospechosas , como las operaciones desde direcciones IP
sospechosas, la deshabilitación de antimalware y scripts sospechosos que se ejecutan en las extensiones de
máquina virtual
Uso de kits de herramientas de explotación como Microburst o PowerZure
Movimiento lateral del nivel de administración de Azure al plano de datos de los recursos de Azure
En la página de referencia de alertas se encuentra una lista completa de las alertas que proporciona Azure
Defender para Resource Manager.

Investigación de alertas de Azure Defender para Resource Manager

Las alertas de seguridad de Azure Defender para Resource Manager se basan en las amenazas detectadas por la
supervisión de operaciones de Azure Resource Manager. Azure Defender usa orígenes de registros internos de
Azure Resource Manager, así como el registro de actividad de Azure, un registro de plataforma en Azure que
proporciona información detallada sobre los eventos de nivel de suscripción.
Obtenga más información sobre el registros de actividad de Azure.
Para investigar las alertas de Azure Defender para Resource Manager:
1. Abra el registro de actividad de Azure.

2. Filtre los eventos para:

La suscripción mencionada en la alerta
El período de tiempo de la actividad detectada
La cuenta de usuario relacionada (si procede)
3. Busque actividades sospechosas.

TIP
Para disfrutar de una experiencia de investigación mejor y más rica, transmita los registros de actividad de Azure a Azure
Sentinel como se describe en Conexión de datos del registro de actividad de Azure.

Pasos siguientes
En este artículo, ha obtenido información sobre Azure Defender para Resource Manager. Para obtener material
relacionado, vea el siguiente artículo:
Las alertas de seguridad las puede haber generado Security Center, o bien las puede haber recibido
Security Center de distintos productos de seguridad. Para exportar todas estas alertas a Azure Sentinel, a
cualquier SIEM de terceros o a cualquier otra herramienta externa, siga las instrucciones de Exportación
de alertas a un SIEM.
Habilitación de Azure Defender
 Respuesta a las alertas de Azure Defender para
Resource Manager
09/04/2021 • 3 minutes to read • Edit Online

Cuando reciba una alerta de Azure Defender para Resource Manager, se recomienda investigar y responder a la
alerta, tal y como se describe a continuación. Azure Defender para Resource Manager protege todos los
recursos conectados, por lo que, incluso si está familiarizado con la aplicación o el usuario que desencadenó la
alerta, es importante comprobar la situación relativa a cada alerta.

Paso 1. Contacto
1. Póngase en contacto con el propietario del recurso para determinar si se esperaba el comportamiento o era
intencionado.
2. Si se espera la actividad, descarte la alerta.
3. Si no se espera la actividad, trate las cuentas de usuario, suscripciones y máquinas virtuales relacionadas
como elementos en peligro y mitíguelo tal como se describe en el siguiente paso.

Paso 2. Mitigación inmediata

1. Corrija las cuentas de usuario que están en peligro:
Si no está familiarizado con ellas, elimínelas, ya que es posible que las haya creado un actor de
amenaza
Si está familiarizado, cambie sus credenciales de autenticación
Use registros de actividad de Azure para revisar todas las actividades realizadas por el usuario e
identifique las que sean sospechosas
2. Corrija las suscripciones que están en peligro:
Quite los runbooks con los que no esté familiarizado de la cuenta de Automation en peligro
Revise los permisos de IAM de la suscripción y quite los permisos para las cuentas de usuario que
resulten familiares
Revise todos los recursos de Azure en la suscripción y elimine los que no estén familiarizados
Revise e investigue las alertas de seguridad de la suscripción en Azure Security Center
Use registros de actividad de Azure para revisar todas las actividades realizadas en la suscripción e
identifique las que sean sospechosas
3. Corrija las máquinas virtuales que están en peligro
Cambie las contraseñas de todos los usuarios
Ejecute un examen antimalware en la máquina
Restablezca la imagen inicial de las máquinas desde un origen sin malware

Pasos siguientes
En esta página se explica el proceso de respuesta a una alerta de Azure Defender para Resource Manager. Para
obtener información relacionada, consulte las páginas siguientes:
Introducción a Azure Defender para Resource Manager
Eliminación de alertas de Azure Defender
Exportación continua de alertas y recomendaciones de seguridad
 Introducción a Azure Defender para DNS
22/03/2021 • 3 minutes to read • Edit Online

Azure DNS es un servicio de hospedaje para dominios de DNS que ofrece resolución de nombres mediante la
infraestructura de Microsoft Azure. Al hospedar dominios en Azure, puede administrar los registros de DNS con
las mismas credenciales, API, herramientas y facturación que con los demás servicios de Azure.
Azure Defender para DNS proporciona una capa adicional de protección a los recursos en la nube, ya que realiza
las siguientes acciones:
supervisión continua de todas las consultas de DNS de los recursos de Azure
ejecución de análisis de seguridad avanzado y generación de una alerta si detecta alguna actividades
sospechosa

Disponibilidad
A SP EC TO DETA L L ES

Estado de la versión: Versión preliminar

Los Términos de uso complementarios para las versiones
preliminares de Azure incluyen los términos legales
adicionales que se aplican a las características de Azure que
se encuentran en la versión beta, en versión preliminar o que
todavía no se han publicado con disponibilidad general.

Precios: Azure Defender para DNS se factura como se indica en

Precios de Security Center.

Nubes: Nubes comerciales

Nacionales o soberanas (US Gov, China Gov, otros
gobiernos)

Ventajas de Azure Defender para DNS

Azure Defender para DNS sirve de protección para los siguientes problemas:
Filtrado de datos de los recursos de Azure mediante la tunelización de DNS.
Malware que se comunica con el servidor de comando y control.
Comunicación con dominios malintencionados como suplantación de identidad (phishing) y minería de
datos de cifrado
Ataques de DNS: comunicación con solucionadores de DNS malintencionados
En la página de referencia de alertas se encuentra una lista completa de las alertas que proporciona Azure
Defender para DNS.

Dependencias
Azure Defender para DNS no usa agentes.
Para proteger la capa de DNS, habilite Azure Defender para DNS en todas las suscripciones, tal como se describe
en el apartado Habilitación de Azure Defender.

Pasos siguientes
En este artículo, ha obtenido información sobre Azure Defender para DNS. Para obtener material relacionado,
vea el siguiente artículo:
Las alertas de seguridad las puede haber generado Security Center, o bien las puede haber recibido
Security Center de distintos productos de seguridad. Para exportar todas estas alertas a Azure Sentinel, a
cualquier SIEM de terceros o a cualquier otra herramienta externa, siga las instrucciones de Exportación
de alertas a un SIEM.
Habilitación de Azure Defender
 Respuesta a las alertas de Azure Defender para
DNS
09/04/2021 • 2 minutes to read • Edit Online

Cuando reciba una alerta de Azure Defender para DNS, se recomienda investigar y responder a la alerta, tal y
como se describe a continuación. Azure Defender para DNS protege todos los recursos conectados, por lo que,
incluso si está familiarizado con la aplicación o el usuario que desencadenó la alerta, es importante comprobar
la situación relativa a cada alerta.

Paso 1. Contacto
1. Póngase en contacto con el propietario del recurso para determinar si se esperaba el comportamiento o era
intencionado.
2. Si la actividad se espera, descarte la alerta.
3. Si la actividad es inesperada, trate el recurso como si potencialmente corriera peligro y mitíguelo como se
describe en el paso siguiente.

Paso 2. Mitigación inmediata

1. Aísle el recurso de la red para evitar el movimiento lateral.
2. Ejecute un examen de antimalware completo en el recurso, siguiendo cualquier consejo de corrección
resultante.
3. Revise el software instalado y en ejecución en el recurso y quite los paquetes que no conozca o que no desee.
4. Revierta la máquina a un estado bueno conocido, vuelva a instalar el sistema operativo si fuera necesario y
restaure el software de un origen que esté comprobado que no tiene malware.
5. Resuelva las recomendaciones para la máquina de Azure Security Center y corrija los problemas de
seguridad resaltados para evitar infracciones futuras.

Pasos siguientes
En esta página se explica el proceso de respuesta a una alerta de Azure Defender para DNS. Para obtener
información relacionada, consulte las páginas siguientes:
Introducción a Azure Defender para DNS
Eliminación de alertas de Azure Defender
Exportación continua de alertas y recomendaciones de seguridad
 Protección de los recursos de Windows Admin
Center con Security Center
30/03/2021 • 6 minutes to read • Edit Online

Windows Admin Center es una herramienta de administración para los servidores de Windows. Es una
ubicación única para que los administradores del sistema obtengan acceso a la mayoría de las herramientas de
administración que se usan con más frecuencia. Desde Windows Admin Center, puede incorporar directamente
sus servidores locales en Azure Security Center. Asimismo, puede ver un resumen de las recomendaciones y
alertas de seguridad directamente en Windows Admin Center.

NOTE
La suscripción de Azure y el área de trabajo de Log Analytics asociada deben tener habilitado Azure Defender para
permitir la integración de Windows Admin Center. Azure Defender es gratuito durante los primeros 30 días si no lo ha
usado previamente en la suscripción y el área de trabajo. Para obtener más información sobre los precios en la moneda de
su elección y según su región, consulte precios de Security Center.

Cuando haya incorporado correctamente un servidor de Windows Admin Center a Azure Security Center, podrá
realizar lo siguiente:
Ver alertas y recomendaciones de seguridad en la extensión de Security Center de Windows Admin Center.
Ver la postura de seguridad y recuperar información detallada adicional de los servidores administrados de
Windows Admin Center en Security Center, mediante Azure Portal (o a través de una API).
Al combinar estas dos herramientas, Security Center se convierte en el único panel transparente que es útil para
ver toda la información de seguridad, sea cual sea el objetivo: proteger los servidores locales administrados en
Windows Admin Center, las VM y cualquier carga de trabajo de PaaS adicional.

Incorporación de los servidores administrados de Windows Admin

Center en Security Center
1. En Windows Admin Center, seleccione uno de los servidores y, en el panel de herramientas , seleccione
la extensión de Azure Security Center:
 NOTE
Si el servidor ya se ha incorporado a Security Center, no aparecerá la ventana de configuración.

2. Haga clic en Sign in to Azure and set up (Iniciar sesión en Azure y configurar).
3. Siga las instrucciones para conectar el servidor a Security Center. Una vez que haya escrito los detalles
necesarios y los haya confirmado, Security Center realiza los cambios de configuración necesarios para
asegurarse de que se cumplen todas las condiciones siguientes:
Se registra una puerta de enlace de Azure.
El servidor tiene un área de trabajo que notificar y una suscripción asociada.
La solución Log Analytics de Security Center está habilitada en el área de trabajo. Esta solución
proporciona características de Azure Defender para todos los servidores y las máquinas virtuales que
informan a esta área de trabajo.
Azure Defender para servidores está habilitado en la suscripción.
El agente de Log Analytics se instala en el servidor y se configura para que informe al área de trabajo
seleccionada. Si el servidor ya informa a otra área de trabajo, se configura para que informe al área de
trabajo que se acaba de seleccionar también.

NOTE
Es posible que las recomendaciones tarden un rato en aparecer después de incorporarlas. De hecho, en función de
la actividad del servidor, es posible que no reciba ninguna alerta. Para generar alertas de prueba y así comprobar
que las alertas funcionan correctamente, siga las instrucciones descritas en el procedimiento de validación de
alertas.

Visualización de las recomendaciones y alertas de seguridad en

Windows Admin Center
Una vez incorporada, puede ver las alertas y las recomendaciones directamente en el área de Azure Security
Center que está en Windows Admin Center. Haga clic en una recomendación o una alerta para verla en Azure
Portal. Una vez allí, obtendrá información adicional y aprenderá a solucionar los problemas que tenga.
Visualización de las recomendaciones y alertas de seguridad para
servidores administrados de Windows Admin Center en Security
Center
Desde Azure Security Center:
Para ver recomendaciones de seguridad para todos los servidores de Windows Admin Center, abra el
inventario de recursos y filtre por el tipo de máquina que quiere investigar. Seleccione la pestaña
Máquinas vir tuales y equipos .
Para ver las alertas de seguridad de todos los servidores de Windows Admin Center, abra la opción de
aler tas de seguridad . Haga clic en Filtrar y asegúrese de que solo esté seleccionada la opción "No es
de Azure":
 Integración de soluciones de seguridad en Azure
Security Center
30/03/2021 • 7 minutes to read • Edit Online

Este documento le ayuda a administrar las soluciones de seguridad que ya está conectadas a Azure Security
Center y a agregar otras nuevas.

Soluciones de seguridad de Azure integradas

Security Center facilita la habilitación de soluciones de seguridad integradas en Azure. Dicha integración aporta
las siguientes ventajas:
Implementación simplificada : Security Center ofrece un aprovisionamiento optimizado de soluciones de
asociados integradas. En el caso de soluciones antimalware y de evaluación de vulnerabilidades, Security
Center puede aprovisionar el agente en las máquinas virtuales. En el caso de aplicaciones de firewall,
Security Center puede ocuparse de gran parte de la configuración de red necesaria.
Detecciones integradas : Los eventos de seguridad de las soluciones de asociados se recopilan, agregan y
aparecen automáticamente como parte de las alertas e incidentes de Security Center. Estos eventos también
se fusionan con las detecciones procedentes de otros orígenes para proporcionar funcionalidades avanzadas
de detección de amenazas.
Super visión y administración unificadas del mantenimiento : Los clientes pueden usar eventos de
mantenimiento integrados para supervisar todas las soluciones de asociados de un vistazo. La
administración básica está disponible con un acceso sencillo a la configuración avanzada mediante la
solución de asociado.
Actualmente, las soluciones de seguridad integradas incluyen la evaluación de vulnerabilidades por Qualys y
Rapid7 y Microsoft Azure Web Application Firewall en Azure Application Gateway.

NOTE
Security Center no instala Log Analytics en aplicaciones virtuales de asociados, porque la mayoría de los proveedores de
seguridad prohíben que se ejecuten agentes externos en su aplicación.

Para más información sobre la integración de las herramientas de examen de vulnerabilidades de Qualys,
incluido un examen integrado disponible para los clientes de Azure Defender, consulte Evaluaciones de
vulnerabilidades para Azure Virtual Machines.
Security Center también ofrece análisis de vulnerabilidades para:
SQL Database: consulte Exploración de los informes de evaluación de vulnerabilidades en el panel de
evaluación de vulnerabilidades.
Imágenes de Azure Container Registry: consulte Uso de Azure Defender para registros de contenedor para
examinar las imágenes en busca de vulnerabilidades.

Integración de soluciones de seguridad

Las soluciones de seguridad de Azure que se implementan desde Security Center se conectan automáticamente.
También se pueden conectar otros orígenes de datos de seguridad, como equipos que se ejecutan en el entorno
local o en otras nubes.
Administración de soluciones de seguridad de Azure integradas y
otros orígenes de datos
1. En Azure Portal, abra Security Center .
2. En el menú de Security Center, seleccione Soluciones de seguridad .
En la página Soluciones de seguridad , puede ver el mantenimiento de las soluciones de seguridad integradas
de Azure y ejecutar tareas de administración básicas.
Soluciones conectadas
La sección Soluciones conectadas incluye soluciones de seguridad que están conectadas actualmente a
Security Center. También muestra el estado de mantenimiento de cada solución.

El estado de una solución de asociado puede ser:

Correcto (verde): no hay problemas de mantenimiento.
Incorrecto (rojo): hay una incidencia de mantenimiento que requiere atención inmediata.
 Creación de informes detenida (naranja): la solución ha dejado de informar sobre su mantenimiento.
Sin notificar (gris): la solución aún no ha notificado nada y no hay datos de mantenimiento disponibles. Es
posible que el estado de una solución no se notifique si se conectó recientemente y todavía se está
implementando.

NOTE
Si los datos sobre el estado de mantenimiento no están disponibles, Security Center muestra la fecha y hora del último
evento recibido para indicar si la solución está enviando notificaciones o no. Si no hay disponible ningún dato de
mantenimiento y no se han recibido alertas en los últimos 14 días, Security Center indica que la solución es incorrecta o
que no notifica nada.

Seleccione Ver para más información y opciones adicionales, entre las que se incluyen:
Consola de soluciones : se abre la experiencia de administración para esta solución.
Vincular VM : se abre la página Vincular aplicaciones. Aquí puede conectar recursos a la solución de
asociados.
Eliminar solución
Configuración

Soluciones detectadas
Security Center detecta automáticamente las soluciones de seguridad que se ejecutan en Azure, pero que no
están conectadas a Security Center y las muestra en la sección Soluciones detectadas . Estas soluciones
incluyen las de Azure, como Azure AD Identity Protection y soluciones de asociados.

NOTE
Habilite Azure Defender en el nivel de suscripción para la característica de soluciones detectadas. Obtenga más
información en Inicio rápido: habilitación de Azure Defender.

Seleccione Conectar en una solución para integrarla con Security Center y recibir alertas de seguridad.
Agregar orígenes de datos
La sección Agregar orígenes de datos incluye otros orígenes de datos disponibles que se pueden conectar.
Para obtener instrucciones acerca de cómo agregar datos desde cualquiera de estos orígenes, haga clic en ADD .

Pasos siguientes
En este documento, ha aprendido a integrar soluciones de asociados en Security Center. Para obtener
información sobre cómo configurar una integración con Azure Sentinel o cualquier otro SIEM, consulte
Exportación continua de datos de Security Center.
 Protección de los recursos de red
30/03/2021 • 11 minutes to read • Edit Online

Azure Security Center analiza continuamente el estado de seguridad de los recursos de Azure para los
procedimientos recomendados de seguridad de red. Cuando Security Center identifica posibles vulnerabilidades
de seguridad, crea recomendaciones que lo guiarán por el proceso de configuración de los controles necesarios
para reforzar y proteger sus recursos.
Para ver la lista completa de las recomendaciones para redes, consulte Recomendaciones de red.
En este artículo se abordan las recomendaciones que se aplican a los recursos de Azure desde una perspectiva
de seguridad de red. Las recomendaciones sobre redes se centran en los firewalls de próxima generación, los
grupos de seguridad de red, el acceso a la VM JIT, las reglas de tráfico entrantes permisivas y mucho más. Para
obtener una lista de posibles recomendaciones de red y acciones de corrección, consulte Administración de
recomendaciones de seguridad en Azure Security Center.
Las características de red de Security Center incluyen:
Mapa de red (requiere Azure Defender)
Protección de red adaptable (requiere Azure Defender)
Recomendaciones de seguridad de red

Ver los recursos de red y sus recomendaciones

En la página del inventario de recursos, use el filtro de tipo de recurso para seleccionar los recursos de red que
desea investigar:

Mapa de red
El mapa de red interactivo proporciona una vista gráfica con superposiciones de seguridad que le ofrecen
recomendaciones e información para proteger sus recursos de red. Con el mapa podrá ver la topología de red
de sus cargas de trabajo de Azure, las conexiones entre sus máquinas virtuales y subredes, y la capacidad de
explorar en profundidad el mapa para consultar recursos específicos y las recomendaciones para esos recursos.
Para abrir el mapa de red:
1. En el menú de Security Center, abra el panel de Azure Defender y seleccione Mapa de red .

2. Seleccione el menú Capas y elija Topología .

La vista predeterminada del mapa topológico muestra:
Suscripciones seleccionadas en Azure. El mapa admite varias suscripciones.
Máquinas virtuales, subredes y redes virtuales del tipo de recurso de Resource Manager (no se admiten los
recursos de Azure clásico)
Redes virtuales emparejadas
Solo los recursos que tienen recomendaciones de red con una gravedad media o alta
Recursos accesibles desde Internet
El mapa está optimizado para las suscripciones que seleccionó en Azure. Si modifica la selección, el mapa se
vuelve a calcular y a reoptimizar en función de la nueva configuración.
Descripción del mapa de red
El mapa de red puede mostrar los recursos de Azure en una vista Topología y en una vista Tráfico .
Vista de topología
En la vista Topología del mapa de red, puede ver la información siguiente acerca de los recursos de red:
En el círculo interior, puede ver todas las redes virtuales dentro de las suscripciones seleccionadas, el círculo
siguiente son todas las subredes, el círculo exterior son todas las máquinas virtuales.
Las líneas que conectan los recursos en el mapa le permiten saber qué recursos se asocian entre sí, y cómo
está estructurada la red de Azure.
Use los indicadores de gravedad para obtener rápidamente información general acerca de qué recursos
tienen recomendaciones abiertas desde Security Center.
Puede hacer clic en cualquiera de los recursos para explorar en profundidad cada uno de ellos y ver los
detalles de ese recurso y sus recomendaciones directamente en el contexto de la red.
Si se muestran demasiados recursos en el mapa, Azure Security Center usa su algoritmo propietario para
agruparlos de manera inteligente y resaltar aquellos en estado más crítico y con recomendaciones de
gravedad alta.
Dado que el mapa es interactivo y dinámico, todos los nodos son seleccionables y la vista puede cambiarse en
función de los filtros:
1. Puede modificar lo que ve en el mapa de red mediante el uso de los filtros situados en la parte superior.
Puede centrarse en el mapa basándose en:
Estado de seguridad : puede filtrar el mapa basándose en la gravedad (alta, media, baja) de los
recursos de Azure.
Recomendaciones : puede seleccionar qué recursos se muestran según las recomendaciones activas
en esos recursos. Por ejemplo, puede ver únicamente los recursos para los que Security Center
recomienda habilitar los grupos de seguridad de red.
Zonas de red : de manera predeterminada, el mapa muestra solo recursos accesibles desde Internet,
también puede seleccionar máquinas virtuales internas.
2. Puede hacer clic en Restablecer en la esquina superior izquierda en cualquier momento para devolver el
mapa al estado predeterminado.
Para explorar en profundidad un recurso:
1. Al seleccionar un recurso específico en el mapa, el panel derecho se abre y le ofrece información general
sobre el recurso, soluciones de seguridad conectadas (de existir) y recomendaciones relevantes para el
recurso. Es el mismo tipo de comportamiento para cada tipo de recurso que seleccione.
2. Cuando mantiene el mouse sobre un nodo en el mapa, puede ver información general sobre el recurso,
incluida la suscripción, el tipo de recurso y el grupo de recursos.
3. Utilice el vínculo para acercar la información sobre herramientas y reorientar el mapa en ese nodo concreto.
4. Para reorientar el mapa fuera de un determinado nodo debe alejar.
Vista de tráfico
La vista de tráfico proporciona un mapa con todo el tráfico posible entre los recursos. Esto proporciona un
mapa visual de todas las reglas configuradas que define qué recursos pueden comunicarse entre sí. Esto
permite ver la configuración existente de los grupos de seguridad de red, así como identificar rápidamente las
posibles configuraciones de riesgo en las cargas de trabajo.
Descubrir conexiones no deseadas
La importancia de esta vista reside en su capacidad para mostrar estas conexiones permitidas junto con las
vulnerabilidades que existen, por lo que puede usar esta sección transversal de datos para aplicar la protección
necesaria a los recursos.
Por ejemplo, podría detectar dos máquinas que no sabía que se podían comunicar, lo que le permitiría aislar
mejor cargas de trabajo y subredes.
Investigar los recursos
Para explorar en profundidad un recurso:
1. Al seleccionar un recurso específico en el mapa, el panel derecho se abre y le ofrece información general
sobre el recurso, soluciones de seguridad conectadas (de existir) y recomendaciones relevantes para el
recurso. Es el mismo tipo de comportamiento para cada tipo de recurso que seleccione.
2. Haga clic en Tráfico para ver la lista de posible tráfico entrante y saliente en el recurso. Se trata de una lista
completa de quién puede comunicarse con el recurso y viceversa, así como a través de qué protocolos y
puertos. Por ejemplo, cuando se selecciona una máquina virtual, todas las máquinas virtuales con las que
puede comunicarse se muestran y, cuando se selecciona una subred, se muestran todas las subredes con las
que se puede comunicar.
Estos datos se basan en el análisis de los Grupos de seguridad de red, así como en algoritmos con
aprendizaje automático que analizan varias reglas para comprender las interacciones y cruces.

Pasos siguientes
Para obtener más información sobre las recomendaciones que se aplican a otros tipos de recursos de Azure,
consulte los siguientes artículos:
Protección de las aplicaciones y las máquinas en Azure Security Center
 Administración de la aplicación de la autenticación
multifactor (MFA) en las suscripciones
09/04/2021 • 11 minutes to read • Edit Online

Si solo usa contraseñas para autenticar a los usuarios, está dejando al descubierto un vector de ataque. Los
usuarios suelen usar contraseñas no seguras o reutilizarlas para varios servicios. Con MFA habilitada, las
cuentas son más seguras y los usuarios aún podrán autenticarse en casi cualquier aplicación con inicio de sesión
único (SSO).
Hay varias maneras de habilitar MFA para los usuarios de Azure Active Directory (AD) en función de las licencias
que posea una organización. En esta página se proporcionan los detalles de cada una en el contexto de Azure
Security Center.

MFA y Security Center

Security Center valora mucho la autenticación multifactor. El control de seguridad que más contribuye a la
puntuación de seguridad es Habilitar MFA .
Las recomendaciones del control Habilitar MFA garantizan que se cumplen los procedimientos recomendados
para los usuarios de las suscripciones:
MFA debe estar habilitada en las cuentas con permisos de propietario en la suscripción
MFA debe estar habilitada en las cuentas con permisos de escritura en la suscripción
Hay tres maneras de habilitar MFA para cumplir con las dos recomendaciones de Security Center: los valores
predeterminados de seguridad, la asignación por usuario, y la directiva de acceso condicional (CA). Cada una de
estas opciones se explica más adelante.
Opción gratuita: valores predeterminados de seguridad
Si usa la edición gratuita de Azure AD, use los valores predeterminados de seguridad para habilitar la
autenticación multifactor en su inquilino.
MFA para clientes de Microsoft 365 Empresa, E3 o E5
Los clientes con Microsoft 365 pueden usar una asignación por usuario . En este caso, Azure AD MFA está o
bien habilitado o bien deshabilitado para todos los usuarios, para todos los eventos de inicio de sesión. No se
puede habilitar la autenticación multifactor para un subconjunto de usuarios, o en ciertos escenarios, y la
administración se realiza a través del portal de Office 365.
MFA para clientes de Azure AD Premium
Para mejorar la experiencia del usuario, actualice a Azure AD Premium P1 o P2 para usar las opciones de la
directiva de acceso condicional (CA) . Para configurar una directiva de CA, necesitará permisos de inquilino
de Azure Active Directory (AD).
La directiva de CA debe:
Aplicar MFA
Incluir el id. de la aplicación de administración de Microsoft Azure (797f4846-ba00-4fd7-ba43-
dac1f8f63013) o todas las aplicaciones
No excluir el id. de la aplicación de administración de Microsoft Azure
Los clientes de Azure AD Premium P1 pueden usar el acceso condicional de Azure AD para solicitar a los
usuarios la autenticación multifactor en determinados escenarios o eventos y adaptarse así a los requisitos
empresariales. Otras licencias que incluyen esta funcionalidad son Enterprise Mobility + Security E3,
Microsoft 365 F1 y Microsoft 365 E3.
Azure AD Premium P2 proporciona las características de seguridad más seguras y una experiencia de usuario
mejorada. Esta licencia agrega acceso condicional basado en riesgos a las características de Azure AD
Premium P1. El acceso condicional basado en riesgos se adapta a los patrones de los usuarios y minimiza los
mensajes de autenticación multifactor. Otras licencias que incluyen esta funcionalidad son Enterprise Mobility +
Security E5 y Microsoft 365 E5.
Obtenga más información en la documentación sobre el acceso condicional Azure.

Identificación de cuentas sin Multi-Factor Authentication (MFA)

habilitado
Puede ver la lista de cuentas de usuario sin MFA habilitado en la página de detalles de la recomendación de
Security Center o mediante Azure Resource Graph.
Visualización de las cuentas sin MFA habilitado en Azure Portal
En la página de detalles de la recomendación, seleccione una suscripción de la lista Recursos con estado
incorrecto , o bien seleccione Tomar medidas y se mostrará la lista.
Visualización de las cuentas sin MFA habilitado mediante Azure Resource Graph
Para ver qué cuentas no tienen MFA habilitado, use la siguiente consulta de Azure Resource Graph. La consulta
devuelve todas los recursos (cuentas) incorrectos de la recomendación "MFA debe estar habilitado en las
cuentas con permisos de propietario en la suscripción".
1. Abra Azure Resource Graph Explorer .

2. Escriba la siguiente consulta y seleccione Ejecutar consulta .

securityresources
| where type == "microsoft.security/assessments"
| where properties.displayName == "MFA should be enabled on accounts with owner permissions on your
subscription"
| where properties.status.code == "Unhealthy"

3. La propiedad additionalData revela la lista de identificadores de objeto de cuenta para las cuentas que
no tienen MFA aplicado.
 NOTE
Las cuentas se muestran como identificadores de objeto en lugar de nombres de cuenta para proteger la
privacidad de los titulares.

TIP
También puede usar el método Assessments - Get de la API REST de Security Center.

Preguntas frecuentes sobre MFA en Security Center

Ya estamos usando la directiva de CA para hacer cumplir MFA. ¿Por qué seguimos recibiendo las
recomendaciones de Security Center?
Vamos a usar una herramienta de MFA de terceros para aplicar MFA. ¿Por qué todavía se obtienen las
recomendaciones de Security Center?
¿Por qué se muestran en Security Center cuentas de usuario sin permisos en la suscripción que requieren
MFA?
Estamos aplicando MFA con PIM. ¿Por qué las cuentas de PIM se muestran como no conformes?
¿Puedo excluir o descartar algunas de las cuentas?
¿Existen limitaciones para las protecciones de acceso e identidad de Security Center?
Ya usamos una directiva de acceso condicional para aplicar MFA. ¿Por qué seguimos recibiendo
recomendaciones de Security Center?
Para investigar por qué se siguen generando recomendaciones, compruebe las siguientes opciones de
configuración en la directiva de acceso condicional de MFA:
Ha incluido las cuentas en la sección Usuarios de la directiva de acceso condicional de MFA (o uno de los
grupos en la sección Grupos ).
El id. de la aplicación de administración de Azure (797f4846-ba00-4fd7-ba43-dac1f8f63013) o todas las
aplicaciones se incluyen en la sección Aplicaciones de la directiva de CA de MFA.
El id. de la aplicación de administración de Azure no se ha excluido de la sección Aplicaciones de la directiva
de CA de MFA.
Usamos una herramienta de MFA de terceros para aplicar MFA. ¿Por qué seguimos recibiendo
recomendaciones de Security Center?
Las recomendaciones de MFA de Security Center no admiten herramientas de MFA de terceros (por ejemplo,
DUO).
Si las recomendaciones son irrelevantes para su organización, considere la posibilidad de marcarlas como
"mitigadas", como se describe en Exención de recursos y recomendaciones de la puntuación de seguridad.
También puede deshabilitar una recomendación.
¿Por qué se muestran en Security Center cuentas de usuario sin permisos en la suscripción que requieren
MFA?
Las recomendaciones de MFA de Security Center hacen referencia a roles de RBAC de Azure y al rol
Administradores de la suscripción clásica de Azure. Compruebe que ninguna de las cuentas tenga dichos roles.
Aplicamos MFA con PIM. ¿Por qué las cuentas de PIM se muestran como no conformes?
Las recomendaciones de MFA de Security Center no admiten actualmente cuentas de PIM. Puede agregar estas
cuentas a una directiva de CA en la sección de usuarios o grupos.
¿Puedo excluir o descartar algunas de las cuentas?
Actualmente no se admite la funcionalidad de excluir algunas cuentas que no usan MFA.
¿Existen limitaciones para las protecciones de acceso e identidad de Security Center?
Existen algunas limitaciones para las protecciones de acceso e identidad de Security Center:
Las recomendaciones de identidad no están disponibles para las suscripciones con más de 600 cuentas. En
tales casos, estas recomendaciones se enumerarán en "evaluaciones no disponibles".
Las recomendaciones de identidad no están disponibles para los agentes de administración del asociado del
Proveedor de soluciones en la nube (CSP).
Las recomendaciones de identidad no identifican las cuentas que se administran con un sistema de
Privileged Identity Management (PIM). Si usa una herramienta PIM, podría observar resultados inexactos en
el control Manage access and permissions (Administrar el acceso y los permisos).

Pasos siguientes
Para más información sobre las recomendaciones que se aplican a otros tipos de recursos de Azure, consulte el
siguiente artículo:
Protección de las redes en Azure Security Center
 Protecciones adicionales contra amenazas en Azure
Security Center
30/03/2021 • 8 minutes to read • Edit Online

Además de las protecciones de Azure Defender integradas, Azure Security Center también ofrece las siguientes
funcionalidades de protección contra amenazas.

TIP
Para habilitar las funcionalidades de protección contra amenazas de Security Center, debe habilitar Azure Defender en la
suscripción que contenga las cargas de trabajo aplicables.
Solo puede habilitar la protección contra amenazas para Azure Database for MariaDB/MySQL/PostgreSQL en el
nivel de recursos.

Protección contra amenazas para la capa de red de Azure

El análisis de la capa de red de Security Center se basa en datos IPFIX de ejemplo, que son encabezados de
paquete recopilados por los enrutadores principales de Azure. En función de esta fuente de distribución de
datos, Security Center utiliza modelos de Machine Learning para identificar y marcar actividades de tráfico
malintencionado. Security Center también utiliza la base de datos de Microsoft Threat Intelligence para
enriquecer las direcciones IP.
Algunas configuraciones de red pueden impedir a Security Center generar alertas sobre una actividad de red
sospechosa. Para que Security Center genere alertas de red, asegúrese de que:
La máquina virtual tenga una dirección IP pública (o se encuentre en un equilibrador de carga con una
dirección IP pública).
El tráfico de salida de red de la máquina virtual no esté bloqueado por una solución de IDS externa.
Para obtener una lista de las alertas de nivel de red de Azure, consulte la tabla de referencia de alertas.

Protección contra amenazas para Azure Resource Manager (versión

preliminar)
La capa de protección de Security Center basada en Azure Resource Manager está actualmente en versión
preliminar.
Security Center ofrece una capa adicional de protección al usar eventos de Azure Resource Manager, lo que se
considera el plano de control de Azure. Al analizar los registros de Azure Resource Manager, Security Center
detecta operaciones inusuales o potencialmente peligrosas en el entorno de suscripción de Azure.
Para obtener una lista de las alertas de Azure Defender para Resource Manager, consulte la Tabla de referencia
de alertas.
 NOTE
Varios de los análisis anteriores se realizan mediante Microsoft Cloud App Security. Para beneficiarse de estos análisis,
debe activar una licencia de Cloud App Security. Si tiene una licencia de Cloud App Security, estas alertas están habilitadas
de forma predeterminada. Para deshabilitar las alertas:
1. En el menú de Security Center, seleccione Precios y configuración .
2. Seleccione la suscripción que desea cambiar.
3. Seleccione Detección de amenazas .
4. Desactive la opción Permita que Microsoft Cloud App Security acceda a sus datos y seleccione Guardar .

NOTE
Security Center almacena datos de clientes relacionados con la seguridad en la misma zona geográfica que su recurso. Si
Microsoft aún no ha implementado Security Center en la zona geográfica del recurso, almacenará los datos en
Estados Unidos. Cuando Cloud App Security esté habilitado, esta información se almacenará con arreglo a las reglas de
ubicación geográfica de Cloud App Security. Para obtener más información, consulte Almacenamiento de datos para
servicios no regionales.

1. Establezca el área de trabajo en la que va a instalar el agente. Asegúrese de que el área de trabajo está en
la misma suscripción que se usa en Security Center y que tiene permisos de lectura/escritura en el área
de trabajo.
2. Habilite Azure Defender y seleccione Guardar .

Protección contra amenazas para Azure Cosmos DB (versión

preliminar)
Las alertas de Azure Cosmos DB las generan los intentos inusuales y potencialmente dañinos de acceso o
aprovechamiento de cuentas de Azure Cosmos DB.
Para más información, consulte:
Advanced Threat Protection para Azure Cosmos DB (versión preliminar)
La lista de alertas de protección contra amenazas para Azure Cosmos DB (versión preliminar)

Protección contra amenazas para otros servicios de Microsoft

Protección contra amenazas para el firewall de aplicaciones web de Azure
Firewall de aplicaciones web (WAF) es una característica de Azure Application Gateway que proporciona a las
aplicaciones web una protección centralizada contra vulnerabilidades de seguridad comunes.
Las aplicaciones web son cada vez más el objetivo de ataques malintencionados que aprovechan
vulnerabilidades habitualmente conocidas. El firewall de aplicaciones web de Application Gateway se basa en el
conjunto de reglas básicas 3.0 o 2.2.9 de Open Web Application Security Project. El firewall de aplicaciones web
se actualiza automáticamente para incluir protección frente a nuevas vulnerabilidades.
Si tiene una licencia para el firewall de aplicaciones web de Azure, las alertas de este se transmitirán a Security
Center sin necesidad de configuración adicional. Para más información sobre las alertas generadas por WAF,
consulte Reglas y grupos de reglas de CRS del firewall de aplicaciones web.
Protección contra amenazas para Azure DDoS Protection
Los ataques de denegación de servicio distribuido (DDoS) son conocidos por lo fáciles que son de ejecutar. Se
han convertido en un problema de seguridad muy importante, especialmente si va a trasladar sus aplicaciones a
la nube.
Un ataque DDoS intenta agotar los recursos de una aplicación haciendo que esta no esté disponible para los
usuarios legítimos. Los ataques DDoS pueden dirigirse a cualquier punto de conexión accesible a través de
Internet.
Para defenderse contra ataques DDoS, adquiera una licencia de Azure DDoS Protection y asegúrese de que está
siguiendo los procedimientos recomendados de diseño de aplicaciones. DDoS Protection proporciona distintos
niveles de servicio. Para más información, consulte Introducción a Azure DDoS Protection.
Para obtener una lista de las alertas de Azure DDoS Protection, consulte la Tabla de referencia de alertas.

Pasos siguientes
Para más información acerca de las alertas de seguridad de estas características de protección contra amenazas,
consulte los siguientes artículos:
Tabla de referencia para todas las alertas de Azure Security Center
Alertas de seguridad en el Centro de seguridad de Azure
Administración y respuesta a alertas de seguridad en Azure Security Center
Exportación continua de datos de Security Center
 Organización de suscripciones en grupos de
administración y asignación de roles a usuarios
24/03/2021 • 8 minutes to read • Edit Online

En este artículo se explica cómo administrar la posición de seguridad de la organización a escala mediante la
aplicación de directivas de seguridad a todas las suscripciones vinculadas al inquilino de Azure Active Directory.
Para obtener visibilidad en la posición de seguridad de todas las suscripciones registradas en el inquilino de
Azure AD, se necesita asignar un rol de Azure con permisos de lectura suficientes en el grupo de administración
raíz.

Organización de las suscripciones en grupos de administración

Introducción a los grupos de administración
Los grupos de administración de Azure permiten administrar de un modo eficaz el acceso, las directivas y los
informes en grupos de suscripciones, además de administrar todas las inversiones en Azure mediante acciones
en el grupo de administración raíz. Puede organizar las suscripciones en grupos de administración y aplicar las
directivas de gobernanza a los grupos de administración. Todas las suscripciones dentro de un grupo de
administración heredan automáticamente las directivas que se aplican al grupo de administración.
A cada inquilino de Azure AD se le da un grupo de administración de nivel superior único llamado grupo de
administración raíz . Este grupo de administración raíz está integrado en la jerarquía de manera que contiene
todos los grupos de administración y suscripciones. Este grupo permite que las directivas globales y las
asignaciones de roles de Azure se apliquen en el nivel de directorio.
El grupo de administración raíz se crea de manera automática cuando realiza cualquiera de las siguientes
acciones:
Abra Grupos de administración en Azure Portal.
Cree un grupo de administración mediante una llamada API.
Crea un grupo de administración con PowerShell. Puede encontrar las instrucciones de PowerShell en
Creación de grupos de administración para la administración de los recursos y la organización.
Aunque los grupos de administración no son necesarios para incorporar Security Center, se recomienda crear al
menos uno para que se cree el grupo de administración raíz. Una vez creado el grupo, todas las suscripciones
del inquilino de Azure AD estarán vinculadas a él.
Para más información sobre los grupos de administración, consulte el artículo Organización de los recursos con
grupos de administración de Azure.
Visualización y creación de grupos de administración en Azure Portal
1. En Azure Portal, use el cuadro de búsqueda de la barra superior para encontrar y abrir Grupos de
administración .
 Aparece la lista de grupos de administración.
2. Para crear un grupo de administración, seleccione Agregar grupo de administración , escriba los
detalles pertinentes y elija Guardar .

El identificador de grupo de administración es el identificador único de directorio que se usa

para enviar comandos en este grupo de administración. Este identificador no es editable una vez
creado, dado que se usa en todo el sistema de Azure para identificar este grupo.
El campo de nombre para mostrar es el nombre que se muestra en Azure Portal. Un nombre para
mostrar independiente es un campo opcional al crear el grupo de administración y se puede cambiar
en cualquier momento.
Incorporación de suscripciones a un grupo de administración
Puede agregar suscripciones al grupo de administración que ha creado.
1. En Grupos de administración , seleccione el grupo de administración de la suscripción.
2. Cuando se abra la página del grupo, seleccione Detalles .

3. En la página de detalles del grupo, seleccione Agregar suscripción , seleccione las suscripciones y elija
Guardar . Repita estos pasos hasta que haya agregado todas las suscripciones del ámbito.

IMPORTANT
Los grupos de administración pueden contener tanto suscripciones como grupos de administración secundarios.
Cuando asigna un rol de Azure a un usuario en el grupo de administración primario, las suscripciones del grupo
de administración secundario heredan el acceso. Las directivas establecidas en el grupo de administración primario
también son heredadas por los secundarios.
Asignación de roles de Azure a otros usuarios
Asignación de roles de Azure a los usuarios mediante Azure Portal:
1. Inicie sesión en Azure Portal.
2. Para ver los grupos de administración, seleccione Todos los ser vicios en el menú principal de Azure y, a
continuación, seleccione Grupo de administración .
3. Seleccione un grupo de administración y elija Detalles .

4. Seleccione Control de acceso (IAM) y, luego, Asignaciones de roles .

5. Seleccione Agregar asignación de roles .
6. Seleccione el rol para asignar y el usuario y, luego, elija Guardar .

Asignación de roles de Azure a los usuarios con PowerShell:

1. Instale Azure PowerShell.
2. Ejecute los comandos siguientes:

# Login to Azure as a Global Administrator user

Connect-AzAccount
3. Cuando se le solicite, inicie sesión con credenciales de administrador global.

4. Conceda permisos de rol de lector mediante la ejecución del comando siguiente:

# Add Reader role to the required user on the Root Management Group
# Replace "[email protected]” with the user to grant access to
New-AzRoleAssignment -SignInName "[email protected]" -RoleDefinitionName "Reader" -Scope "/"

5. Para eliminar el rol, use el siguiente comando:

Remove-AzRoleAssignment -SignInName "[email protected]" -RoleDefinitionName "Reader" -Scope "/"

Eliminación de privilegios de acceso elevados

Después de asignar los roles de Azure a los usuarios, el administrador de inquilino debería eliminarse a sí
mismo del rol de administrador de acceso de usuarios.
1. Inicie sesión en el Azure Portal o en el Centro de administración de Azure Active Directory.
2. En la lista de navegación, seleccione Azure Active Director y y, luego, Propiedades .
3. En Administración de acceso a recursos de Azure , establezca el modificador en No .
4. Para guardar la configuración, seleccione Guardar .

Pasos siguientes
En este artículo, aprendió a organizar las suscripciones en grupos de administración y a asignar roles a los
usuarios. Para obtener información relacionada, consulte:
Permisos en Azure Security Center
 Concesión y solicitud de visibilidad para todos los
inquilinos
30/03/2021 • 5 minutes to read • Edit Online

Un usuario con el rol de administrador global de Azure Active Directory (AD) puede tener responsabilidades
en todo el inquilino, pero carecer de los permisos de Azure para ver la información de toda la organización en
Azure Security Center. La elevación de permisos es necesaria porque las asignaciones de roles de Azure AD no
conceden acceso a los recursos de Azure.

Concesión de permisos de todo el inquilino a uno mismo

Para asignarse a uno mismo permisos de nivel de inquilino:
1. Si su organización administra el acceso a los recursos con Azure AD Privileged Identity Management
(PIM) o cualquier otra herramienta de PIM, el rol de administrador global debe estar activo para el
usuario mediante el procedimiento que se describe a continuación.
2. Como usuario administrador global sin una asignación en el grupo de administración raíz del inquilino,
abra la página Información general de Security Center y seleccione el vínculo de visibilidad de todo
el inquilino en el mensaje emergente.

3. Selección del nuevo rol de Azure que se va a asignar.

 TIP
Por lo general, el rol de Administrador de seguridad es necesario para aplicar directivas en el nivel raíz, mientras
que el de Lector de seguridad será suficiente para proporcionar visibilidad en el nivel de inquilino. Para más
información acerca de los permisos concedidos por estos roles, consulte la descripción del rol integrado de
Administrador de seguridad o la descripción del rol integrado de Lector de seguridad.
Para conocer las diferencias entre estos roles específicos de Security Center, consulte la tabla de Roles y acciones
permitidas.

Para conseguir la vista de toda la organización, se conceden roles en el nivel de grupo de administración
raíz del inquilino.
4. Cierre sesión en Azure Portal y vuelva a iniciarla.
5. Cuando tenga privilegios de acceso elevados, abra o actualice Azure Security Center para comprobar que
tiene visibilidad en todas las suscripciones del inquilino de Azure AD.
El proceso sencillo anterior realiza una serie de operaciones automáticamente:
1. Los permisos del usuario se elevan temporalmente.
2. Con los nuevos permisos, se asigna al usuario el rol de Azure RBAC deseado en el grupo de administración
raíz.
3. Se quitan los permisos elevados.
Para más información sobre el proceso de elevación de Azure AD, consulte Elevación de los privilegios de acceso
para administrar todas las suscripciones y los grupos de administración de Azure.

Solicitud de permisos para todo el inquilino cuando el suyo sea

insuficiente
Si inicia sesión en Security Center y ve un banner que le indica que la vista está limitada, puede hacer clic para
enviar una solicitud al administrador global de su organización. En la solicitud, puede incluir el rol que le
gustaría que se le asignara y el administrador global tomará una decisión sobre qué rol otorgar.
La decisión del administrador global es aceptar o rechazar estas solicitudes.

IMPORTANT
Solamente puede enviar una solicitud cada siete días.

Para solicitar permisos elevados al administrador global:

1. En Azure Portal, abra Azure Security Center.
2. Si ve el banner "Está viendo información limitada"., Selecciónelo.

3. En el formulario de solicitud detallado, seleccione el rol deseado y la justificación del motivo por el que
necesita estos permisos.
4. Seleccione Solicitar acceso .
Se envía un correo electrónico al administrador global. El correo electrónico contiene un vínculo a
Security Center donde pueden aprobar o rechazar la solicitud.
 Una vez que el administrador global selecciona Revisar la solicitud y completa el proceso, la decisión
se envía por correo electrónico al usuario que realiza la solicitud.

Pasos siguientes
Obtenga más información sobre los permisos de Security Center en la siguiente página relacionada:
Permisos en Azure Security Center
 Habilitación de Security Center en todas las
suscripciones de un grupo de administración
22/03/2021 • 4 minutes to read • Edit Online

Puede usar Azure Policy para habilitar Azure Security Center en todas las suscripciones de Azure del mismo
grupo de administración (MG). Esto resulta más cómodo que acceder a ellas de forma individual desde el portal
y funciona aunque las suscripciones pertenezcan a distintos propietarios.
Para incorporar un grupo de administración y todas sus suscripciones:
1. Como usuario con permisos de administrador de seguridad , abra Azure Policy y busque la definición
Habilitar Azure Security Center en la suscripción .

2. Seleccione Asignar y asegúrese de establecer el ámbito en el nivel de grupo de administración.

TIP
Aparte del ámbito, no hay parámetros obligatorios.

3. Seleccione Crear una tarea de corrección para asegurarse de que se incorporarán todas las
suscripciones existentes que no tienen Security Center habilitado.
4. Cuando se asigne la definición:
a. Detecte todas las suscripciones en el grupo de administración que aún no estén registradas en
Security Center.
b. Marque esas suscripciones como "no compatibles".
c. Marque como "compatibles" todas las suscripciones registradas (independientemente de que tengan
Azure Defender activado o no).
Luego, la tarea de corrección habilitará Security Center, de forma gratuita, en las suscripciones no
compatibles.

IMPORTANT
La definición de la directiva solo habilitará Security Center en las suscripciones existentes . Para registrar las suscripciones
recién creadas, abra la pestaña de cumplimiento, seleccione las suscripciones no compatibles pertinentes y cree una tarea
de corrección. Repita este paso cuando tenga una o varias suscripciones nuevas que desee supervisar con Security Center.

Modificaciones opcionales
Hay varias formas de modificar la definición de Azure Policy:
Definir el cumplimiento de forma diferente : la directiva suministrada clasifica todas las
suscripciones del grupo de administración que aún no están registradas en Security Center como "no
compatibles". Puede elegir establecerla en todas las suscripciones sin Azure Defender.
La definición suministrada, puede definir cualquiera de los valores de "precio" siguientes como
compatibles. Esto significa que una suscripción establecida como "estándar" o "gratis" es compatible.

TIP
Cuando se habilita un plan de Azure Defender, se describe en una definición de directiva con el valor "Estándar".
Cuando se deshabilita es "Gratis". Para más información acerca de las diferencias entre estos planes, consulte
Azure Security Center gratuito frente a Azure Defender habilitado.
 "existenceCondition": {
"anyof": [
{
"field": "microsoft.security/pricings/pricingTier",
"equals": "standard"
},
{
"field": "microsoft.security/pricings/pricingTier",
"equals": "free"
}
]
},

Si lo cambia a lo siguiente, solo se clasificarían como compatibles las suscripciones establecidas como
"estándar":

"existenceCondition": {
{
"field": "microsoft.security/pricings/pricingTier",
"equals": "standard"
},
},

Definir los planes de Azure Defender que se aplican al habilitar Security Center : la directiva
suministrada habilita Security Center sin ninguno de los planes de Azure Defender opcionales. Puede
elegir habilitar uno o varios de ellos.
La sección deployment de la definición suministrada incluye el parámetro pricingTier . De forma
predeterminada, se establece en free , pero se puede modificar.

Pasos siguientes:
Ahora que ha incorporado todo un grupo de administración, habilite las protecciones avanzadas de Azure
Defender.
Habilitación de Azure Defender
 Administración entre inquilinos en Security Center
23/03/2021 • 3 minutes to read • Edit Online

La administración entre inquilinos le permite ver y administrar la posición de seguridad de varios inquilinos en
Security Center con Administración de recursos delegados de Azure. Administre varios inquilinos de manera
eficaz, desde una sola vista, sin que sea necesario que inicie sesión en el directorio de cada inquilino.
Los proveedores de servicios pueden administrar la posición de seguridad de los recursos, para varios
clientes, desde su propio inquilino.
Los equipos de seguridad de las organizaciones con varios inquilinos pueden ver y administrar su
posición de seguridad desde una ubicación única.

Configuración de la administración entre inquilinos

La administración de recursos delegados de Azure es uno de los componentes clave de Azure Lighthouse. Para
configurar la administración entre inquilinos, delegue el acceso a los recursos de los inquilinos administrados a
su propio inquilino mediante estas instrucciones de la documentación de Azure Lighthouse: Administración de
recursos delegados de Azure.

Funcionamiento de la administración entre inquilinos en Security

Center
Puede revisar y administrar suscripciones en varios inquilinos del mismo modo que administra varias
suscripciones en un mismo inquilino.
En la barra de menús superior, haga clic en el icono de filtro y seleccione las suscripciones, del directorio de cada
inquilino, que quiere ver.

Las vistas y acciones son básicamente las mismas. Estos son algunos ejemplos:
Administrar directivas de seguridad : desde una vista, administre la posición de seguridad de muchos
recursos con las directivas, haga acciones con las recomendaciones de seguridad y recopile y administre
los datos relacionados con la seguridad.
Mejorar la puntuación de seguridad y la posición de cumplimiento : la visibilidad entre inquilinos
le permite ver la posición de seguridad general de todos los inquilinos y dónde y cómo mejorar más la
puntuación segura y la posición de cumplimiento de cada uno de ellos.
Corrección de recomendaciones : supervise y corrija una recomendación para varios recursos de
varios inquilinos de una sola vez. Luego, puede abordar de inmediato las vulnerabilidades que presentan
el riesgo más alto en todos los inquilinos.
Administrar aler tas : detecte alertas en los distintos inquilinos. Tome medidas en los recursos que no
cumplen con los pasos de corrección accionables.
Administrar las características de protección en la nube avanzada y mucho más : administre los
 distintos servicios de protección contra amenazas, como el acceso a VM Just-in-Time (JIT), la protección
de red adaptable, los controles de aplicaciones adaptables, etc.

Pasos siguientes
En este artículo se explica cómo funciona la administración entre inquilinos en Security Center. Para saber cómo
puede simplificar Azure Lighthouse la administración entre inquilinos en empresas que usan varios inquilinos
de Azure AD, consulte Azure Lighthouse en escenarios empresariales.
 Automatización de la incorporación de Azure
Security Center mediante PowerShell
30/03/2021 • 5 minutes to read • Edit Online

Puede proteger las cargas de trabajo de Azure mediante programación, con el módulo de PowerShell de Azure
Security Center. El uso de PowerShell le permite automatizar las tareas y evitar los errores humanos inherentes a
las tareas manuales. Esto es especialmente útil en implementaciones a gran escala en las que intervienen
docenas de suscripciones con cientos de miles de recursos, todos los cuales deben protegerse desde el principio.
La incorporación de Azure Security Center mediante PowerShell permite automatizar mediante programación la
incorporación y la administración de los recursos de Azure y agregar los controles de seguridad necesarios.
En este artículo se proporciona un script de PowerShell de ejemplo que se puede modificar y usar en su entorno
para implementar el centro de seguridad en sus suscripciones.
En este ejemplo, se habilitará Security Center en una suscripción con el identificador: d07c0080-170c-4c24-
861d-9c817742786c y se aplicará la configuración recomendada que proporciona un alto nivel de protección
habilitando Azure Defender, que ofrece funcionalidades avanzadas de detección y protección contra amenazas:
1. Habilite Azure Defender.
2. Establezca el área de trabajo de Log Analytics a la que el agente de Log Analytics enviará los datos que
recopila de las máquinas virtuales asociadas con la suscripción; en este ejemplo, un área de trabajo
definida por el usuario existente (myWorkspace).
3. Active el aprovisionamiento automático del agente de Security Center que implementa el agente de Log
Analytics.
4. Establezca el CISO de la organización como contacto de seguridad de las alertas y eventos destacados de
Security Center.
5. Asigne directivas de seguridad predeterminadas de Security Center.

Prerrequisitos
Estos pasos deben realizarse antes de ejecutar los cmdlets de Security Center:
1. Ejecute PowerShell como administrador.
2. Ejecute los siguientes comandos en PowerShell:
Set-ExecutionPolicy -ExecutionPolicy AllSigned

Install-Module -Name Az.Security -Force

Incorporación de Security Center mediante PowerShell

1. Registre sus suscripciones en el proveedor de recursos de Security Center:
Set-AzContext -Subscription "d07c0080-170c-4c24-861d-9c817742786c"

Register-AzResourceProvider -ProviderNamespace 'Microsoft.Security'

2. Opcional: Establezca el nivel de cobertura (Azure defender activado/desactivado) de las suscripciones. Si

 no está definido, Defender está desactivado:
Set-AzContext -Subscription "d07c0080-170c-4c24-861d-9c817742786c"

Set-AzSecurityPricing -Name "default" -PricingTier "Standard"

3. Configure el área de trabajo de Log Analytics a la que los agentes enviarán notificaciones. Debe tener un
área de trabajo de Log Analytics ya creada a la que las máquinas virtuales de la suscripción enviarán
notificaciones. Puede definir varias suscripciones para enviar notificaciones a la misma área de trabajo. Si
no está definida, se usará el área de trabajo predeterminada.
Set-AzSecurityWorkspaceSetting -Name "default" -Scope "/subscriptions/d07c0080-170c-4c24-861d-
9c817742786c" -WorkspaceId"/subscriptions/d07c0080-170c-4c24-861d-
9c817742786c/resourceGroups/myRg/providers/Microsoft.OperationalInsights/workspaces/myWorkspace"

4. Instalación de aprovisionamiento automático del agente de Log Analytics en las máquinas virtuales de
Azure:
Set-AzContext -Subscription "d07c0080-170c-4c24-861d-9c817742786c"

Set-AzSecurityAutoProvisioningSetting -Name "default" -EnableAutoProvision

NOTE
Se recomienda habilitar el aprovisionamiento automático para asegurarse de que las máquinas virtuales de Azure
estén protegidos automáticamente por Azure Security Center.

5. Opcional: se recomienda firmemente definir los detalles de contacto de seguridad para las suscripciones
que incorpore, que se usarán como destinatarios de las notificaciones y alertas generadas por Security
Center:
Set-AzSecurityContact -Name "default1" -Email "[email protected]" -Phone "2142754038" -AlertAdmin -
NotifyOnAlert

6. Asigne la iniciativa de directiva predeterminada de Security Center:

Register-AzResourceProvider -ProviderNamespace 'Microsoft.PolicyInsights'

$Policy = Get-AzPolicySetDefinition | where {$_.Properties.displayName -EQ 'Azure Security Benchmark'}

New-AzPolicyAssignment -Name 'ASC Default <d07c0080-170c-4c24-861d-9c817742786c>' -DisplayName
'Security Center Default <subscription ID>' -PolicySetDefinition $Policy -Scope
'/subscriptions/d07c0080-170c-4c24-861d-9c817742786c'

Se ha incorporado correctamente Azure Security Center con PowerShell.

Ya puede usar estos cmdlets de PowerShell con scripts de automatización para recorrer en iteración mediante
programación suscripciones y recursos. Esto ahorra tiempo y reduce la probabilidad de error humano. Puede
usar este script de ejemplo como referencia.

Consulte también
Para más información sobre cómo puede usar PowerShell para automatizar la incorporación a Security Center,
consulte el artículo siguiente:
Az.Security
Para más información sobre Security Center, consulte el siguiente artículo:
Establecimiento de directivas de seguridad en Azure Security Center: aprenda a configurar directivas de
seguridad para las suscripciones y los grupos de recursos de Azure.
Administración y respuesta a las alertas de seguridad en Azure Security Center : obtenga información sobre
cómo administrar y responder a alertas de seguridad.
 Administración y respuesta a alertas de seguridad
en Azure Security Center
30/03/2021 • 5 minutes to read • Edit Online

En este tema se muestra cómo ver y procesar las alertas de Security Center y cómo proteger los recursos.
Las detecciones avanzadas que desencadenan las alertas de seguridad solo están disponibles con Azure
Defender. Hay una evaluación gratuita disponible. Para actualizar, consulte Habilitación de Azure Defender.

¿Qué son las alertas de seguridad?

Security Center recopila, analiza e integra automáticamente los datos de registro de los recursos de Azure, la red
y las soluciones de asociados conectados, como firewalls y soluciones de protección de puntos de conexión,
para detectar amenazas reales y reducir los falsos positivos. En Security Center, se muestra una lista de alertas
de seguridad prioritarias, junto con la información que necesita para investigar rápidamente y recomendaciones
para corregir un ataque.
Para más información sobre los distintos tipos de alertas, consulte Alertas de seguridad: una guía de referencia.
Para obtener información general sobre la forma en que Security Center genera alertas, consulte ¿Cómo detecta
Security Center las amenazas?

Administración de las alertas de seguridad

1. En la página de información general de Security Center, seleccione el icono Aler tas de seguridad en la
parte superior de la página, o el vínculo de la barra lateral.
 Se abre la página de alertas de seguridad.

2. Para filtrar la lista de alertas, seleccione cualquiera de los filtros pertinentes. Opcionalmente, puede
agregar más filtros con la opción Agregar filtro .

La lista se actualiza según las opciones de filtro que haya seleccionado. El filtrado puede resultar muy útil.
Por ejemplo, podría comprobar las alertas de seguridad que se produjeron en las 24 horas anteriores, ya
que se está investigando una posible brecha en el sistema.

Responder a alertas de seguridad

1. En la lista Aler tas de seguridad , seleccione una alerta. Se abre un panel lateral en el que se muestra
una descripción de la alerta y de todos los recursos afectados.
 TIP
Con este panel lateral abierto, puede revisar rápidamente la lista de alertas con las flechas arriba y abajo del
teclado.

2. Para más información, seleccione Ver detalles completos .

En el panel izquierdo de la página alerta de seguridad se muestra información de alto nivel sobre la
alerta de seguridad: título, gravedad, estado, tiempo de actividad, descripción de la actividad sospechosa
y el recurso afectado. Junto con el recurso afectado se encuentran las etiquetas de Azure relevantes para
el recurso. Úselas para deducir el contexto de la organización del recurso al investigar la alerta.
En el panel derecho se incluye la pestaña Detalles de aler ta que contiene más detalles de la alerta para
ayudarle a investigar el problema: Direcciones IP, archivos, procesos, etc.
 Además, en el panel derecho se encuentra la pestaña Realizar acción . Use esta pestaña para realizar
acciones adicionales con respecto a la alerta de seguridad. Acciones como:
Mitigar las amenazas: proporciona pasos de corrección manual para esta alerta de seguridad
Evitar ataques futuros: proporciona recomendaciones de seguridad para ayudar a reducir la superficie
expuesta a ataques, aumentar la postura de seguridad y así evitar futuros ataques
Desencadenar respuesta automatizada: ofrece la opción de desencadenar una aplicación lógica como
respuesta a esta alerta de seguridad
Suprimir alertas similares: ofrece la opción de suprimir las alertas futuras con características similares
si la alerta no es relevante para su organización

Consulte también
En este documento, aprendió cómo ver alertas de seguridad. Vea las páginas siguientes para obtener material
relacionado:
Configuración de reglas de eliminación de alertas
Creación de respuestas automáticas a alertas y recomendaciones con automatización del flujo de trabajo
Alertas de seguridad: una guía de referencia
 Eliminación de alertas de Azure Defender
09/04/2021 • 9 minutes to read • Edit Online

En esta página se explica cómo usar reglas de eliminación de alertas para eliminar falsos positivos u otras
alertas de seguridad no deseadas en Azure Defender.

Disponibilidad
A SP EC TO DETA L L ES

Estado de la versión: Disponibilidad general (GA)

Precios: Gratuito
(La mayoría de las alertas de seguridad solo están
disponibles con Azure Defender).

Roles y permisos necesarios: Los roles de Administrador de seguridad y Propietario

pueden crear o eliminar reglas.
Los roles de Lector de seguridad y Lector pueden ver las
reglas.

Nubes: Nubes comerciales

Nacionales o soberanas (US Gov, China Gov, otros
gobiernos)

¿Qué son las reglas de supresión?

Los distintos planes de Azure Defender detectan amenazas en cualquier área del entorno y generan alertas de
seguridad.
Si una alerta no es interesante ni pertinente, puede descartarla manualmente. También puede usar la
característica de reglas de eliminación para descartar de forma automática alertas similares en el futuro. Por lo
general, se usaría una regla de eliminación para:
Suprimir las alertas identificadas como falsos positivos
Suprimir las alertas que se desencadenan con demasiada frecuencia para ser útiles
Las reglas de eliminación definen los criterios que se deben seguir para saber qué alertas se deben descartar
automáticamente.
Cau t i on

La eliminación de alertas de seguridad reduce la eficacia de la protección contra amenazas de Azure Defender.
Debe comprobar de forma minuciosa el posible efecto de cualquier regla de eliminación y supervisarla a lo
largo del tiempo.
Creación de una regla de eliminación
Hay varias maneras de crear reglas para eliminar las alertas de seguridad no deseadas:
Para eliminar alertas en el nivel del grupo de administración, use Azure Policy.
Para eliminar alertas en el nivel de suscripción, puede usar Azure Portal o la API REST, como se explica a
continuación.
Las reglas de eliminación solo pueden descartar las alertas que ya se hayan desencadenado en las suscripciones
seleccionadas.
Para crear una regla directamente en Azure Portal:
1. En la página de alertas de seguridad de Security Center:
Seleccione la alerta específica que ya no desea ver y, en el panel de detalles, elija Realizar acción .
O bien, seleccione el vínculo de reglas de eliminación en la parte superior de la página y, en la
página de reglas de eliminación, seleccione Create new suppression rule (Crear nueva regla de
eliminación):
2. En el panel de la nueva regla de eliminación, escriba los detalles de la nueva regla.
La regla puede descartar la alerta en todos los recursos para que no reciba ninguna alerta como
esta en el futuro.
La regla puede descartar la alerta según criterios específicos : cuando se refiere a una dirección IP,
un nombre de proceso, una cuenta de usuario, un recurso de Azure o una ubicación específicos.

TIP
Si abrió la página de la nueva regla desde una alerta concreta, la alerta y la suscripción se configurarán de forma
automática en la nueva regla. Si ha usado el vínculo Crear nueva regla de eliminación , las suscripciones
seleccionadas coincidirán con el filtro actual del portal.

3. Escriba los detalles de la regla:

Nombre : un nombre para la regla. Los nombres de las reglas deben comenzar por una letra o un
número, tener entre 2 y 50 caracteres, y no contener símbolos, excepto guiones (-) o guiones bajos ().
Estado : puede ser Habilitado o Deshabilitado.
Motivo : seleccione uno de los motivos incluidos u "otro" si ninguno de ellos se adapta a sus
necesidades.
 Fecha de expiración : una fecha y hora de finalización para la regla. Las reglas se pueden ejecutar
hasta seis meses.
4. Si lo desea, pruebe la regla con el botón Simular para ver el número de alertas que se habrían
descartado si esta regla hubiera estado activa.
5. Guarde la regla.

Edición de reglas de eliminación

Para editar las reglas que ha creado, use la página de reglas de eliminación.
1. En la página de alertas de seguridad de Security Center, seleccione el vínculo de reglas de eliminación
en la parte superior de la página.
2. Se abre la página de reglas de supresión con todas las reglas de las suscripciones seleccionadas.

3. Para editar una sola regla, abra el menú de puntos suspensivos (...) de la regla y seleccione Editar .
4. Realice los cambios necesarios y seleccione Aplicar .

Supresión de una regla de eliminación

Para eliminar una o varias reglas que haya creado, use la página de reglas de eliminación.
1. En la página de alertas de seguridad de Security Center, seleccione el vínculo de reglas de eliminación en
la parte superior de la página.
2. Se abre la página de reglas de supresión con todas las reglas de las suscripciones seleccionadas.
3. Para eliminar una sola regla, abra el menú de puntos suspensivos (...) de la regla y seleccione Eliminar .
4. Para eliminar varias reglas, active las casillas de las reglas que se vayan a eliminar y seleccione Eliminar .
Creación y administración de reglas de eliminación con la API
Puede crear, ver o eliminar reglas de eliminación de alertas a través de la API REST de Security Center.
Los métodos HTTP pertinentes para la eliminación de reglas en la API REST son:
PUT : para crear o actualizar una regla de eliminación en una suscripción especificada.
GET .
para enumerar todas las reglas configuradas para una suscripción especificada. Este método
devuelve una matriz de las reglas aplicables.
Para obtener los detalles de una regla específica en una suscripción especificada. Este método
devuelve una regla de eliminación.
Para simular el efecto de una regla de eliminación todavía en la fase de diseño. Esta llamada
identifica qué alertas existentes se habrían descartado si la regla hubiera estado activa.
DELETE : elimina una regla existente (pero no cambia el estado de las alertas que ya ha descartado).
Para obtener información completa y ejemplos de uso, consulte la documentación de la API.

Pasos siguientes
En este artículo se describen las reglas de eliminación en Azure Security Center que descartan automáticamente
las alertas no deseadas.
Para más información sobre las alertas de seguridad de Azure Defender, consulte las siguientes páginas:
Alertas de seguridad y la cadena de eliminación de intenciones: una guía de referencia de las alertas de
seguridad que puede recibir de Azure Defender.
 Transmisión de alertas a una solución de
administración de servicios de TI, SIEM o SOAR
30/03/2021 • 5 minutes to read • Edit Online

Azure Security Center puede transmitir las alertas de seguridad a las soluciones más populares de
administración de eventos e información de seguridad (SIEM), respuesta automatizada de orquestación de
seguridad (SOAR) y administración de servicios de TI (ITSM).
Existen herramientas nativas de Azure para garantizar que puede ver los datos de las alertas en todas las
soluciones más populares que se usan hoy en día, entre las que se incluyen:
Azure Sentinel
Splunk Enterprise and Splunk Cloud
QRadar de IBM
Ser viceNow
ArcSight
Power BI
Palo Alto Networks

Transmisión de alertas a Azure Sentinel

Security Center se integra de forma nativa con Azure Sentinel, la solución SOAR y SIEM nativa de nube de Azure.
Obtenga más información sobre Azure Sentinel.
Conectores de Azure Sentinel para Security Center
Azure Sentinel incluye conectores integrados para Azure Security Center en los niveles de suscripción y de
inquilino:
Transmisión de alertas a Azure Sentinel en el nivel de suscripción
Conexión de todas las suscripciones del inquilino a Azure Sentinel
Configuración de la ingesta de todos los registros de auditoría en Azure Sentinel
Otra alternativa para investigar las alertas de Security Center en Azure Sentinel es transmitir los registros de
auditoría a Azure Sentinel: - Conexión de eventos de seguridad de Windows - Recopilación de datos de orígenes
basados en Linux mediante Syslog - Conectar datos del registro de actividad de Azure

TIP
Azure Sentinel se factura en función del volumen de datos ingeridos para el análisis en Azure Sentinel y almacenados en el
área de trabajo de Log Analytics de Azure Monitor. Azure Sentinel ofrece un modelo de precios flexible y predecible.
Obtenga más información en la página de precios de Azure Sentinel.

Transmisión de alertas con la Microsoft Graph Security API

Security Center tiene integración integrada con la Microsoft Graph Security API. No se requiere ninguna
configuración y no hay costos adicionales.
Puede usar esta API para transmitir alertas del inquilino completo (y datos de muchos otros productos de
seguridad de Microsoft) a SIEM de terceros y otras plataformas populares:
 Splunk Enterprise y Splunk Cloud - Uso del complemento de Microsoft Graph Security API para Splunk
Power BI - Conexión a la Microsoft Graph Security API en Power BI Desktop
Ser viceNow - Instrucciones para instalar y configurar la aplicación de Microsoft Graph Security API desde el
almacén de ServiceNow
QRadar - Módulo de compatibilidad de dispositivos de IBM para Azure Security Center a través de Microsoft
Graph API
Palo Alto Networks , Anomali , Lookout , InSpark , etc: Microsoft Graph Security API
Obtenga más información sobre Microsoft Graph Security API.

Transmisión de alertas con Azure Monitor

Para transmitir alertas en ArcSight , Splunk , SumoLogic , servidores Syslog, LogRhythm , plataforma de
obser vabilidad de Logz.io Cloud y otras soluciones de supervisión. Conecte Security Center con Azure
monitor a través de Azure Event Hubs:
1. Habilite la exportación continua para transmitir alertas de Security Center a una instancia dedicada de
Azure Event Hubs en el nivel de suscripción.

TIP
Para hacer esto en el nivel de grupo de administración mediante Azure Policy, consulte Creación de
configuraciones de automatización de exportación continua a gran escala.

2. Conecte la instancia de Azure Event Hubs a su solución preferida mediante los conectores integrados de
Azure Monitor.
3. También puede transmitir los registros sin procesar a la instancia de Azure Event Hubs y conectarse a su
solución preferida. Obtenga más información en Datos de supervisión disponibles.

TIP
Para ver los esquemas de eventos de los tipos de datos exportados, visite el artículo sobre los esquemas de eventos del
centro de eventos.

Pasos siguientes
En esta página se explica cómo asegurarse de que los datos de alerta de Azure Security Center estén disponibles
en la herramienta SIEM, SOAR o ITSM de su elección. Para obtener material relacionado, consulte:
¿Qué es Azure Sentinel?
Validación de alertas en Azure Security Center: compruebe que las alertas estén configuradas correctamente.
Exportación continua de datos de Security Center
 Exportación continua de alertas y recomendaciones
de seguridad
23/03/2021 • 21 minutes to read • Edit Online

Azure Security Center genera alertas y recomendaciones de seguridad detalladas. Puede verlas en el portal o
mediante herramientas de programación. También puede que deba exportar parte o la totalidad de esta
información para realizar el seguimiento con otras herramientas de supervisión de su entorno.
La expor tación continua le permite personalizar completamente qué se exportará y a dónde irá. Por ejemplo,
puede configurarla para que:
Todas las alertas de gravedad alta se envíen a una instancia de Azure Event Hubs.
Todos los hallazgos de gravedad media o superior de los exámenes de evaluación de vulnerabilidades de los
servidores SQL Server se envíen a un área de trabajo de Log Analytics específica.
Se entreguen recomendaciones específicas a un centro de eventos o área de trabajo de Log Analytics cada
vez que se generen.
La puntuación segura para una suscripción se envía a un área de trabajo de Log Analytics cada vez que la
puntuación de un control cambia en 0,01 o más.
Aunque la característica se denomina continua, también hay una opción para exportar instantáneas semanales
de datos de cumplimiento normativo o de puntuación segura.
En este artículo se describe cómo configurar la exportación continua a áreas de trabajo de Log Analytics o a
Azure Event Hubs.

NOTE
Si necesita integrar Security Center con un SIEM, consulte Transmisión de alertas a una solución de administración de
servicios de TI, SIEM o SOAR.

TIP
Security Center también ofrece la opción de realizar una exportación manual única a CSV. Obtenga más información en
Exportación manual de un solo uso de alertas y recomendaciones.

Disponibilidad
A SP EC TO DETA L L ES

Estado de la versión: Disponibilidad general (GA)

Precios: Gratuito
 A SP EC TO DETA L L ES

Roles y permisos necesarios: Administrador de seguridad o Propietario en el

grupo de recursos.
Permisos de escritura para el recurso de destino.
Si utiliza las directivas "DeployIfNotExist" de Azure
Policy que se describen a continuación, también
necesitará permisos para asignar directivas.

Nubes: Nubes comerciales

US Gov, otros gobiernos
China Gov

¿Qué tipos de datos se pueden exportar?

La exportación continua puede exportar los siguientes tipos de datos siempre que cambien:
Alertas de seguridad
Recomendaciones de seguridad
Búsquedas de seguridad que se pueden considerar recomendaciones "secundarias", como las de los
escáneres de evaluación de vulnerabilidades o actualizaciones específicas del sistema. Puede seleccionar
incluirlas con sus recomendaciones "principales", como por ejemplo "Se deben instalar actualizaciones del
sistema en los equipos".
Puntuación segura (por suscripción o por control)
Datos de cumplimiento normativo

NOTE
La exportación de datos de cumplimiento normativo y puntuación segura es una característica en versión preliminar y no
está disponible en las nubes gubernamentales.

Configuración de una exportación continua

Puede configurar la exportación continua desde las páginas de Security Center en Azure Portal, a través de la
API REST de Security Center o a gran escala con las plantillas de Azure Policy proporcionadas. Seleccione la
pestaña correspondiente a continuación para obtener detalles de cada una de las opciones.
Uso de Azure Por tal
Uso de la API de REST
Implementación a gran escala con Azure Policy

Configuración de la exportación continua desde las páginas de Security Center en Azure Portal
Los pasos siguientes son necesarios si va a configurar una exportación continua a las área de trabajo de Log
Analytics o a Azure Event Hubs.
1. En la barra lateral de Security Center, seleccione Precios y configuración .
2. Seleccione la suscripción específica para la que quiere configurar la exportación de datos.
3. En la barra lateral de la página de configuración de esa suscripción, seleccione Expor tación continua .
 Aquí verá las opciones de exportación. Hay una pestaña para cada destino de exportación disponible.
4. Seleccione el tipo de datos que quiere exportar y elija los filtros que quiera de cada tipo (por ejemplo,
exportar solo alertas de gravedad alta).
5. Seleccione la frecuencia de exportación adecuada:
Streaming : las evaluaciones se enviarán en tiempo real cuando se actualice el estado de
mantenimiento de un recurso (si no se produce ninguna actualización, no se enviarán datos).
Instantáneas : se enviará una instantánea del estado actual de todas las evaluaciones de
cumplimiento normativo cada semana (se trata de una característica en versión preliminar para las
instantáneas semanales de datos de cumplimiento normativo y puntuaciones seguras).
6. Opcionalmente, si la selección incluye una de estas recomendaciones, puede incluir los resultados de la
evaluación de vulnerabilidades junto con ellas:
 Se deben corregir las conclusiones de la evaluación de vulnerabilidades de las bases de datos SQL
Es necesario corregir las conclusiones de la evaluación de vulnerabilidades de los servidores
SQL Server en las máquinas (versión preliminar)
Es necesario corregir las vulnerabilidades de las imágenes de Azure Container Registry (con
tecnología de Qualys)
Es necesario corregir las vulnerabilidades de las máquinas virtuales
Se deben instalar actualizaciones del sistema en las máquinas
Para incluir los resultados con estas recomendaciones, habilite la opción de incluir resultados de
seguridad .

7. En el área "Destino de exportación", elija dónde quiere guardar los datos. Los datos se pueden guardar en
el destino de una suscripción diferente (por ejemplo, en una instancia central del Centro de eventos o en
un área de trabajo central de Log Analytics).
8. Seleccione Guardar .

Información sobre la exportación a un área de trabajo de Log

Analytics
Si quiere analizar datos de Azure Security Center dentro de un área de trabajo de Log Analytics o usar alertas de
Azure junto con alertas de Security Center, configure la exportación continua a su área de trabajo de Log
Analytics.
Tablas y esquemas de Log Analytics
Las alertas y recomendaciones de seguridad se almacenan en las tablas SecurityAlert y
SecurityRecommendation respectivamente.
El nombre de la solución Log Analytics que contiene estas tablas depende de si tiene habilitado Azure Defender:
Security ("Security and Audit") o SecurityCenterFree.

TIP
Para ver los datos en el área de trabajo de destino, debe habilitar una de estas soluciones: Security and Audit o
SecurityCenterFree .
Para ver los esquemas de eventos de los tipos de datos exportados, visite el artículo sobre los esquemas de
tabla de Log Analytics.

Visualización de las recomendaciones y alertas exportadas en Azure

Monitor
También puede elegir ver las alertas o las recomendaciones de seguridad exportadas en Azure Monitor.
Azure Monitor proporciona un conjunto de alertas unificadas que consta de varias alertas de Azure, como el
registro de diagnóstico, las alertas de métricas y las alertas personalizadas basadas en las consultas del área de
trabajo de Log Analytics.
Para ver las alertas y recomendaciones de Security Center en Azure Monitor, configure una regla de alerta
basada en consultas de Log Analytics (alerta de registro):
1. En la página Aler tas de Azure Monitor, seleccione Nueva regla de aler ta .

2. En la página de creación de reglas, configure la nueva regla (de la misma manera que configuraría una
regla de alertas de registro en Azure Monitor):
En Recurso , seleccione el área de trabajo de Log Analytics a la que exportó las recomendaciones y
las alertas de seguridad.
 En Condición , seleccione Custom log search (Búsqueda de registros personalizada). En la
página que aparece, configure la consulta, el período de retrospectiva y el período de frecuencia.
En la consulta de búsqueda, puede escribir SecurityAlert o SecurityRecommendation para
consultar los tipos de datos que Security Center exporta continuamente al habilitar la característica
de exportación continua a Log Analytics.
Opcionalmente, en Grupo de acciones, configure el grupo de acciones que desea desencadenar.
Los grupos de acciones pueden desencadenar el envío de correo electrónico, los vales de ITSM, los
webhooks, etc.

Ahora verá las nuevas alertas o recomendaciones de Azure Security Center (según las reglas de exportación
continua configuradas y la condición definida en la regla de alerta de Azure Monitor) en las alertas de Azure
Monitor, con el desencadenamiento automático de un grupo de acciones (si se proporciona).

Exportación manual de un solo uso de alertas y recomendaciones

Para descargar un informe en formato CSV con alertas o recomendaciones, abra las páginas Aler tas de
seguridad o Recomendaciones y seleccione el botón para Download CSV repor t (Descargar informe en
CSV).
 NOTE
Estos informes contienen alertas y recomendaciones para los recursos de las suscripciones seleccionadas actualmente.

Preguntas frecuentes: exportación continua

¿Cuáles son los costos de la exportación de datos?
La habilitación de una exportación continua no tiene costo alguno. Sin embargo, la ingesta y retención de datos
del área de trabajo de Log Analytics, pueden tener costo, en función de la configuración.
Obtenga más información sobre los precios del área de trabajo de Log Analytics.
Obtenga más información sobre los precios de Azure Event Hubs.
¿La exportación incluye datos sobre el estado actual de todos los recursos?
No. La exportación continua se creó para la transmisión de eventos :
Las aler tas recibidas antes de habilitar la exportación no se exportarán.
Se envían recomendaciones cuando cambia el estado de cumplimiento de un recurso. Por ejemplo, cuando
un recurso pasa de un estado correcto a otro incorrecto. Por lo tanto, como sucede con las alertas, no se
exportarán las recomendaciones para los recursos que no hayan cambiado de estado desde que se habilitó
la exportación.
La puntuación segura (versión preliminar) por control de seguridad o suscripción se envía cuando
cambia la puntuación de un control de seguridad en 0,01 o más.
El estado de cumplimiento normativo (versión preliminar ) se envía cuando cambia el estado del
cumplimiento del recurso.
¿Por qué se envían recomendaciones en distintos intervalos?
Las distintas recomendaciones tienen intervalos de valoración de cumplimiento diferentes, que pueden variar
de unos minutos a cada pocos días. Por lo tanto, la cantidad de tiempo que las recomendaciones tardan en
aparecer en las exportaciones es distinta.
¿La exportación continua es compatible con los escenarios de continuidad del negocio o recuperación ante
desastres (BCDR )?
Al preparar el entorno para escenarios de BCDR, en los que el recurso de destino está experimentando una
interrupción u otro desastre, la organización tiene la responsabilidad de evitar la pérdida de datos mediante la
preparación de copias de seguridad de acuerdo con las instrucciones de Azure Event Hubs, el área de trabajo de
Log Analytics y la aplicación lógica.
Obtenga más información en Recuperación ante desastres geográfica de Azure Event Hubs.
¿La exportación continua está incluida con Azure Security Center de manera gratuita?
Sí. Tenga en cuenta que muchas alertas de Security Center solo se envían cuando Azure Defender está
habilitado. Un buen método para obtener una vista previa de las alertas que obtendrá en los datos exportados
consiste en ver las alertas que se muestran en las páginas de Security Center en Azure Portal.

Pasos siguientes
En este artículo, ha aprendido a configurar exportaciones continuas de sus recomendaciones y alertas. También
aprendió a descargar los datos de alertas como un archivo CSV.
Para obtener material relacionado, consulte la documentación siguiente:
Obtenga más información sobre las plantillas de automatización de flujos de trabajo.
Documentación de Azure Event Hubs
Documentación de Azure Sentinel
Documentación sobre Azure Monitor
Exportación de esquemas de tipos de datos
 Exportación continua de alertas y recomendaciones
de seguridad
23/03/2021 • 21 minutes to read • Edit Online

Azure Security Center genera alertas y recomendaciones de seguridad detalladas. Puede verlas en el portal o
mediante herramientas de programación. También puede que deba exportar parte o la totalidad de esta
información para realizar el seguimiento con otras herramientas de supervisión de su entorno.
La expor tación continua le permite personalizar completamente qué se exportará y a dónde irá. Por ejemplo,
puede configurarla para que:
Todas las alertas de gravedad alta se envíen a una instancia de Azure Event Hubs.
Todos los hallazgos de gravedad media o superior de los exámenes de evaluación de vulnerabilidades de los
servidores SQL Server se envíen a un área de trabajo de Log Analytics específica.
Se entreguen recomendaciones específicas a un centro de eventos o área de trabajo de Log Analytics cada
vez que se generen.
La puntuación segura para una suscripción se envía a un área de trabajo de Log Analytics cada vez que la
puntuación de un control cambia en 0,01 o más.
Aunque la característica se denomina continua, también hay una opción para exportar instantáneas semanales
de datos de cumplimiento normativo o de puntuación segura.
En este artículo se describe cómo configurar la exportación continua a áreas de trabajo de Log Analytics o a
Azure Event Hubs.

NOTE
Si necesita integrar Security Center con un SIEM, consulte Transmisión de alertas a una solución de administración de
servicios de TI, SIEM o SOAR.

TIP
Security Center también ofrece la opción de realizar una exportación manual única a CSV. Obtenga más información en
Exportación manual de un solo uso de alertas y recomendaciones.

Disponibilidad
A SP EC TO DETA L L ES

Estado de la versión: Disponibilidad general (GA)

Precios: Gratuito
 A SP EC TO DETA L L ES

Roles y permisos necesarios: Administrador de seguridad o Propietario en el

grupo de recursos.
Permisos de escritura para el recurso de destino.
Si utiliza las directivas "DeployIfNotExist" de Azure
Policy que se describen a continuación, también
necesitará permisos para asignar directivas.

Nubes: Nubes comerciales

US Gov, otros gobiernos
China Gov

¿Qué tipos de datos se pueden exportar?

La exportación continua puede exportar los siguientes tipos de datos siempre que cambien:
Alertas de seguridad
Recomendaciones de seguridad
Búsquedas de seguridad que se pueden considerar recomendaciones "secundarias", como las de los
escáneres de evaluación de vulnerabilidades o actualizaciones específicas del sistema. Puede seleccionar
incluirlas con sus recomendaciones "principales", como por ejemplo "Se deben instalar actualizaciones del
sistema en los equipos".
Puntuación segura (por suscripción o por control)
Datos de cumplimiento normativo

NOTE
La exportación de datos de cumplimiento normativo y puntuación segura es una característica en versión preliminar y no
está disponible en las nubes gubernamentales.

Configuración de una exportación continua

Puede configurar la exportación continua desde las páginas de Security Center en Azure Portal, a través de la
API REST de Security Center o a gran escala con las plantillas de Azure Policy proporcionadas. Seleccione la
pestaña correspondiente a continuación para obtener detalles de cada una de las opciones.
Uso de Azure Por tal
Uso de la API de REST
Implementación a gran escala con Azure Policy

Configuración de la exportación continua desde las páginas de Security Center en Azure Portal
Los pasos siguientes son necesarios si va a configurar una exportación continua a las área de trabajo de Log
Analytics o a Azure Event Hubs.
1. En la barra lateral de Security Center, seleccione Precios y configuración .
2. Seleccione la suscripción específica para la que quiere configurar la exportación de datos.
3. En la barra lateral de la página de configuración de esa suscripción, seleccione Expor tación continua .
 Aquí verá las opciones de exportación. Hay una pestaña para cada destino de exportación disponible.
4. Seleccione el tipo de datos que quiere exportar y elija los filtros que quiera de cada tipo (por ejemplo,
exportar solo alertas de gravedad alta).
5. Seleccione la frecuencia de exportación adecuada:
Streaming : las evaluaciones se enviarán en tiempo real cuando se actualice el estado de
mantenimiento de un recurso (si no se produce ninguna actualización, no se enviarán datos).
Instantáneas : se enviará una instantánea del estado actual de todas las evaluaciones de
cumplimiento normativo cada semana (se trata de una característica en versión preliminar para las
instantáneas semanales de datos de cumplimiento normativo y puntuaciones seguras).
6. Opcionalmente, si la selección incluye una de estas recomendaciones, puede incluir los resultados de la
evaluación de vulnerabilidades junto con ellas:
 Se deben corregir las conclusiones de la evaluación de vulnerabilidades de las bases de datos SQL
Es necesario corregir las conclusiones de la evaluación de vulnerabilidades de los servidores
SQL Server en las máquinas (versión preliminar)
Es necesario corregir las vulnerabilidades de las imágenes de Azure Container Registry (con
tecnología de Qualys)
Es necesario corregir las vulnerabilidades de las máquinas virtuales
Se deben instalar actualizaciones del sistema en las máquinas
Para incluir los resultados con estas recomendaciones, habilite la opción de incluir resultados de
seguridad .

7. En el área "Destino de exportación", elija dónde quiere guardar los datos. Los datos se pueden guardar en
el destino de una suscripción diferente (por ejemplo, en una instancia central del Centro de eventos o en
un área de trabajo central de Log Analytics).
8. Seleccione Guardar .

Información sobre la exportación a un área de trabajo de Log

Analytics
Si quiere analizar datos de Azure Security Center dentro de un área de trabajo de Log Analytics o usar alertas de
Azure junto con alertas de Security Center, configure la exportación continua a su área de trabajo de Log
Analytics.
Tablas y esquemas de Log Analytics
Las alertas y recomendaciones de seguridad se almacenan en las tablas SecurityAlert y
SecurityRecommendation respectivamente.
El nombre de la solución Log Analytics que contiene estas tablas depende de si tiene habilitado Azure Defender:
Security ("Security and Audit") o SecurityCenterFree.

TIP
Para ver los datos en el área de trabajo de destino, debe habilitar una de estas soluciones: Security and Audit o
SecurityCenterFree .
Para ver los esquemas de eventos de los tipos de datos exportados, visite el artículo sobre los esquemas de
tabla de Log Analytics.

Visualización de las recomendaciones y alertas exportadas en Azure

Monitor
También puede elegir ver las alertas o las recomendaciones de seguridad exportadas en Azure Monitor.
Azure Monitor proporciona un conjunto de alertas unificadas que consta de varias alertas de Azure, como el
registro de diagnóstico, las alertas de métricas y las alertas personalizadas basadas en las consultas del área de
trabajo de Log Analytics.
Para ver las alertas y recomendaciones de Security Center en Azure Monitor, configure una regla de alerta
basada en consultas de Log Analytics (alerta de registro):
1. En la página Aler tas de Azure Monitor, seleccione Nueva regla de aler ta .

2. En la página de creación de reglas, configure la nueva regla (de la misma manera que configuraría una
regla de alertas de registro en Azure Monitor):
En Recurso , seleccione el área de trabajo de Log Analytics a la que exportó las recomendaciones y
las alertas de seguridad.
 En Condición , seleccione Custom log search (Búsqueda de registros personalizada). En la
página que aparece, configure la consulta, el período de retrospectiva y el período de frecuencia.
En la consulta de búsqueda, puede escribir SecurityAlert o SecurityRecommendation para
consultar los tipos de datos que Security Center exporta continuamente al habilitar la característica
de exportación continua a Log Analytics.
Opcionalmente, en Grupo de acciones, configure el grupo de acciones que desea desencadenar.
Los grupos de acciones pueden desencadenar el envío de correo electrónico, los vales de ITSM, los
webhooks, etc.

Ahora verá las nuevas alertas o recomendaciones de Azure Security Center (según las reglas de exportación
continua configuradas y la condición definida en la regla de alerta de Azure Monitor) en las alertas de Azure
Monitor, con el desencadenamiento automático de un grupo de acciones (si se proporciona).

Exportación manual de un solo uso de alertas y recomendaciones

Para descargar un informe en formato CSV con alertas o recomendaciones, abra las páginas Aler tas de
seguridad o Recomendaciones y seleccione el botón para Download CSV repor t (Descargar informe en
CSV).
 NOTE
Estos informes contienen alertas y recomendaciones para los recursos de las suscripciones seleccionadas actualmente.

Preguntas frecuentes: exportación continua

¿Cuáles son los costos de la exportación de datos?
La habilitación de una exportación continua no tiene costo alguno. Sin embargo, la ingesta y retención de datos
del área de trabajo de Log Analytics, pueden tener costo, en función de la configuración.
Obtenga más información sobre los precios del área de trabajo de Log Analytics.
Obtenga más información sobre los precios de Azure Event Hubs.
¿La exportación incluye datos sobre el estado actual de todos los recursos?
No. La exportación continua se creó para la transmisión de eventos :
Las aler tas recibidas antes de habilitar la exportación no se exportarán.
Se envían recomendaciones cuando cambia el estado de cumplimiento de un recurso. Por ejemplo, cuando
un recurso pasa de un estado correcto a otro incorrecto. Por lo tanto, como sucede con las alertas, no se
exportarán las recomendaciones para los recursos que no hayan cambiado de estado desde que se habilitó
la exportación.
La puntuación segura (versión preliminar) por control de seguridad o suscripción se envía cuando
cambia la puntuación de un control de seguridad en 0,01 o más.
El estado de cumplimiento normativo (versión preliminar ) se envía cuando cambia el estado del
cumplimiento del recurso.
¿Por qué se envían recomendaciones en distintos intervalos?
Las distintas recomendaciones tienen intervalos de valoración de cumplimiento diferentes, que pueden variar
de unos minutos a cada pocos días. Por lo tanto, la cantidad de tiempo que las recomendaciones tardan en
aparecer en las exportaciones es distinta.
¿La exportación continua es compatible con los escenarios de continuidad del negocio o recuperación ante
desastres (BCDR )?
Al preparar el entorno para escenarios de BCDR, en los que el recurso de destino está experimentando una
interrupción u otro desastre, la organización tiene la responsabilidad de evitar la pérdida de datos mediante la
preparación de copias de seguridad de acuerdo con las instrucciones de Azure Event Hubs, el área de trabajo de
Log Analytics y la aplicación lógica.
Obtenga más información en Recuperación ante desastres geográfica de Azure Event Hubs.
¿La exportación continua está incluida con Azure Security Center de manera gratuita?
Sí. Tenga en cuenta que muchas alertas de Security Center solo se envían cuando Azure Defender está
habilitado. Un buen método para obtener una vista previa de las alertas que obtendrá en los datos exportados
consiste en ver las alertas que se muestran en las páginas de Security Center en Azure Portal.

Pasos siguientes
En este artículo, ha aprendido a configurar exportaciones continuas de sus recomendaciones y alertas. También
aprendió a descargar los datos de alertas como un archivo CSV.
Para obtener material relacionado, consulte la documentación siguiente:
Obtenga más información sobre las plantillas de automatización de flujos de trabajo.
Documentación de Azure Event Hubs
Documentación de Azure Sentinel
Documentación sobre Azure Monitor
Exportación de esquemas de tipos de datos
 Esquemas de las alertas de seguridad
30/03/2021 • 18 minutes to read • Edit Online

Si su suscripción tiene habilitado Azure Defender, recibirá alertas de seguridad cuando Security Center detecte
amenazas para sus recursos.
Estas alertas se pueden ver en las páginas de Protección contra amenazas de Azure Security Center o a
través de herramientas externas como:
Azure Sentinel: SIEM nativo de la nube de Microsoft. El conector de Sentinel obtiene las alertas de Azure
Security Center y las envía al área de trabajo de Log Analytics para Azure Sentinel.
SIEM de terceros: enviar datos a Azure Event Hubs. Luego, integre los datos de Event Hubs con un SIEM de
terceros. Puede encontrar más información en Transmisión de alertas a una solución de administración de
servicios de TI, SIEM o SOAR.
La API REST: si usa la API REST para acceder a las alertas, consulte la documentación de Alerts API en línea.
Si utiliza cualquier método de programación para consumir las alertas, necesitará el esquema correcto para
encontrar los campos pertinentes. De igual modo, si va a realizar una exportación a un centro de eventos o a
intentar desencadenar Automatización de flujo de trabajo con conectores HTTP genéricos, utilice los esquemas
para analizar correctamente los objetos JSON.

IMPORTANT
El esquema es ligeramente diferente en cada uno de estos escenarios, así que asegúrese de que selecciona la pestaña
pertinente a continuación.

Los esquemas
Automatización de flujo de trabajo y exportación continua a un centro de eventos
Áreas de trabajo de Log Analytics y Azure Sentinel
Registro de actividad de Azure
MS Graph API

JSON de ejemplo para alertas enviadas a Logic Apps, centro de eventos y SIEM de terceros
A continuación encontrará el esquema de los eventos de alerta pasados a:
Instancias de Azure Logic App que se configuraron en la automatización del flujo de trabajo de Security
Center
Azure Event Hub que usa la característica de exportación continua de Security Center
Para más información sobre la característica de automatización del flujo de trabajo, consulte Creación de
respuestas automáticas a alertas y recomendaciones con automatización del flujo de trabajo.
Para más información sobre la exportación continua, consulte Exportación continua de alertas y
recomendaciones de seguridad.
 {
"VendorName": "Microsoft",
"AlertType": "SUSPECT_SVCHOST",
"StartTimeUtc": "2016-12-20T13:38:00.000Z",
"EndTimeUtc": "2019-12-20T13:40:01.733Z",
"ProcessingEndTime": "2019-09-16T12:10:19.5673533Z",
"TimeGenerated": "2016-12-20T13:38:03.000Z",
"IsIncident": false,
"Severity": "High",
"Status": "New",
"ProductName": "Azure Security Center",
"SystemAlertId": "2342409243234234_F2BFED55-5997-4FEA-95BD-BB7C6DDCD061",
"CompromisedEntity": "WebSrv1",
"Intent": "Execution",
"AlertDisplayName": "Suspicious process detected",
"Description": "Suspicious process named 'SVCHOST.EXE' was running from path: %{Process Path}",
"RemediationSteps": ["contact your security information team"],
"ExtendedProperties": {
"Process Path": "c:\\temp\\svchost.exe",
"Account": "Contoso\\administrator",
"PID": 944,
"ActionTaken": "Detected"
},
"Entities": [],
"ResourceIdentifiers": [
{
Type: "AzureResource",
AzureResourceId: "/subscriptions/86057C9F-3CDD-484E-83B1-7BF1C17A9FF8/resourceGroups/backend-
srv/providers/Microsoft.Compute/WebSrv1"
},
{
Type: "LogAnalytics",
WorkspaceId: "077BA6B7-8759-4F41-9F97-017EB7D3E0A8",
WorkspaceSubscriptionId: "86057C9F-3CDD-484E-83B1-7BF1C17A9FF8",
WorkspaceResourceGroup: "omsrg",
AgentId: "5A651129-98E6-4E6C-B2CE-AB89BD815616",
}
]
}

El modelo de datos del esquema

CAMPO T IP O DE DATO S DESC RIP C IÓ N

Aler tDisplayName String Nombre para mostrar de la alerta.

Aler tType String Tipo de alerta. Las alertas del mismo

tipo deben tener el mismo valor. Este
campo es una cadena con clave que
representa el tipo de alerta y no una
instancia de alerta. Todas las instancias
de alerta de la misma lógica o análisis
de detección deben tener el mismo
valor para el tipo de alerta.

CompromisedEntity String Nombre para mostrar del recurso más

relacionado con esta alerta.

Descripción String Descripción de la alerta

CAMPO T IP O DE DATO S DESC RIP C IÓ N

EndTimeUtc DateTime Hora del último evento o actividad

incluido en la alerta. El campo debe ser
una cadena que se ajuste al formato
ISO8601, incluida la información de la
zona horaria UTC.

Entidades IEnumerable (IEntity) Lista de entidades relacionadas con la

alerta. Esta lista puede contener una
combinación de entidades de diversos
tipos. El tipo de entidades puede ser
cualquiera de los tipos definidos en la
sección Entidades. Las entidades que
no están en la lista siguiente también
se pueden enviar; no obstante, no se
garantiza que se procesen (la alerta no
superará la validación con nuevos tipos
de entidades).

ExtendedProper ties Dictionary (String,String) Los proveedores pueden

(opcionalmente) incluir aquí campos
personalizados.

Intención Enum Intención relacionada con la cadena de

eliminación detrás de la alerta. Para
obtener una lista de los valores
admitidos, así como explicaciones
sobre las intenciones de la cadena de
eliminación admitidas de Azure
Security Center, consulte Intenciones.
Este campo puede tener varios valores
(separados por coma).

IsIncident Bool Este campo determina si la alerta es un

incidente (una agrupación compuesta
de varias alertas) o una única alerta. El
valor predeterminado para el campo es
"false" (es decir, una alerta única).

ProcessingEndTime DateTime Hora en la que el usuario final pudo

acceder a la alerta en el producto
original que contiene la alerta.

ProductName String Nombre del producto que publicó esta

alerta (Azure Security Center, ATP de
Azure, ATP de Microsoft Defender,
MCAS, etc.).

RemediationSteps List Elementos de acción manual que se

deben llevar a cabo para corregir la
alerta.

ResourceIdentifiers List (identificadores de recursos) Los identificadores de recursos para

esta alerta que se pueden usar para
dirigir la alerta al grupo de exposición
del producto adecuado (inquilino, área
de trabajo, suscripción, etc.). Puede
haber varios identificadores de tipo
diferente por alerta.
 CAMPO T IP O DE DATO S DESC RIP C IÓ N

Gravedad Enum La gravedad de la alerta según lo

notifique el proveedor. Valores
posibles: Informativo, Bajo, Medio y
Alto.

Star tTimeUtc DateTime Hora del primer evento o actividad

incluido en la alerta. El campo debe ser
una cadena que se ajuste al formato
ISO8601, incluida la información de la
zona horaria UTC.

Estado Enum Estado del ciclo de vida de la alerta.

Los estados admitidos son: Nuevo,
Resuelto, Descartado, Desconocido.
A una alerta que especifica un valor
distinto de las opciones admitidas se le
asigna el estado "Desconocido".
A una alerta que no especifica un valor
se le asigna el estado "Nuevo".

SystemAler tId String Identificador de la alerta.

TimeGenerated DateTime Hora en la que el proveedor de la

alerta generó la alerta. Si los
proveedores de alertas internos no lo
notifican, un producto puede optar por
asignar la hora a la que se recibió para
su procesamiento por parte del
producto. El campo debe ser una
cadena que se ajuste al formato
ISO8601, incluida la información de la
zona horaria UTC.

VendorName String Nombre del proveedor que genera la

alerta.

Pasos siguientes
En este artículo se han descrito los esquemas que usan las herramientas de protección contra amenazas de
Azure Security Center al enviar información de alertas de seguridad.
Para más información sobre las distintas formas de acceder a las alertas de seguridad desde fuera de Security
Center, consulte las siguientes páginas:
Azure Sentinel: SIEM nativo de la nube de Microsoft
Azure Event Hubs: servicio de ingesta de datos en tiempo real y totalmente administrado de Microsoft
Exportación continua de alertas y recomendaciones de seguridad
Áreas de trabajo de Log Analytics: Azure Monitor almacena los datos de registro en un área de trabajo de
Log Analytics, un contenedor que incluye información de configuración y datos
 Administración de incidentes de seguridad en Azure
Security Center
24/03/2021 • 4 minutes to read • Edit Online

La clasificación e investigación de las alertas de seguridad puede ser un proceso largo incluso para los analistas
de seguridad más cualificados. Para muchos, es difícil saber por dónde empezar.
Security Center usa análisis para conectar la información entre alertas de seguridad diferentes. Con estas
conexiones, Security Center puede proporcionar una vista única de una campaña de ataque y sus alertas
relacionadas para ayudarle a comprender las acciones del atacante y los recursos afectados.
Esta página contiene información general sobre los incidentes de Security Center.

¿Qué es un incidente de seguridad?

En Security Center, un incidente de seguridad es la suma de todas las alertas de un recurso que se alinean con
patrones de cadenas de eliminación . Los incidentes aparecen en la página Alertas de seguridad. Seleccione un
incidente para ver las alertas relacionadas y obtener más información.

Administración de incidentes de seguridad

1. En la página de alertas de Security Center, use el botón Agregar filtro para filtrar por nombre de alerta
en el nombre de alerta Incidente de seguridad detectado en varios recursos .

La lista está ahora filtrada para que muestre solo los incidentes. Tenga en cuenta que los incidentes de
seguridad tienen un icono diferente a las alertas de seguridad.
2. Para ver los detalles de un incidente, seleccione uno de la lista. Aparece un panel lateral con más detalles
sobre el incidente.

3. Para ver más detalles, seleccione Ver detalles completos .

En el panel izquierdo de la página Incidente de seguridad se muestra información de alto nivel sobre el
incidente de seguridad: título, gravedad, estado, tiempo de actividad, descripción y el recurso afectado.
Junto al recurso afectado, puede ver las etiquetas relevantes de Azure. Use estas etiquetas para deducir el
contexto de la organización del recurso al investigar la alerta.
En el panel derecho se incluye la pestaña Aler tas con las alertas de seguridad que se correlacionan como
parte de este incidente.
 TIP
Para obtener más información acerca de una alerta específica, selecciónela.

Para cambiar a la pestaña Realizar acción , seleccione la pestaña o el botón en la parte inferior del panel
derecho. Use esta pestaña para realizar acciones adicionales, como:
Mitigar las amenazas: proporciona pasos de corrección manual para este incidente de seguridad.
Evitar ataques futuros: proporciona recomendaciones de seguridad para ayudar a reducir la superficie
expuesta a ataques, aumentar la postura de seguridad y evitar futuros ataques.
Desencadenar respuesta automatizada: ofrece la opción de desencadenar una aplicación lógica como
respuesta a este incidente de seguridad.
Suprimir alertas similares: ofrece la opción de suprimir las alertas futuras con características similares
si la alerta no es relevante para su organización.

NOTE
La misma alerta puede existir como parte de un incidente y estar visible como alerta independiente.

4. Para corregir las amenazas del incidente, siga los pasos de corrección que se proporcionan con cada
alerta.

Pasos siguientes
En esta página se han explicado las capacidades de incidentes de seguridad de Security Center. Para obtener
información relacionada, consulte las páginas siguientes:
Alertas de seguridad en Security Center
Administración de las alertas de seguridad y respuesta a ellas
 Informe de inteligencia frente a amenazas de Azure
Security Center
30/03/2021 • 4 minutes to read • Edit Online

En esta página se explica cómo los informes de inteligencia frente a amenazas de Azure Security Center pueden
ayudarle a aprender más sobre una amenaza que ha desencadenado una alerta de seguridad.

¿Qué es un informe de inteligencia frente a amenazas?

La protección contra amenazas de Security Center supervisa la información de seguridad de sus recursos de
Azure, la red y las soluciones de asociados relacionadas. Después, analiza estos datos (a menudo, relacionando
la información de diferentes orígenes) para identificar las amenazas. Para más información, consulte Cómo
detecta y responde Azure Security Center a las amenazas.
Cuando Security Center identifica una amenaza, desencadena una alerta de seguridad, que contiene
información detallada sobre el evento, junto con sugerencias para remediarlo. Para ayudar a los equipos de
respuesta a incidentes a investigar y solucionar las amenazas, Security Center proporciona informes de
inteligencia de amenazas que contienen información sobre las amenazas detectadas. El informe incluye
información como la siguiente:
Identidad o asociaciones del atacante (si esta información está disponible)
Objetivos de los atacantes
Campañas de ataques históricas y actuales (si esta información está disponible)
Tácticas, herramientas y procedimientos de los atacantes
Indicadores asociados de peligro (IoC), como direcciones URL y hash de archivo
Victimología, que es el predominio geográfico y del sector para ayudarle a determinar si sus recursos de
Azure están en peligro
Información de corrección y mitigación

NOTE
La cantidad de información de cualquier informe determinado variará; el nivel de detalle se basa en la actividad y el
predominio del malware.

Security Center tiene tres tipos de informes de amenazas, que pueden variar según el ataque. Los informes
disponibles son:
Informe de grupo de actividad : proporciona información detallada sobre los atacantes, sus objetivos y las
tácticas que emplean.
Informe de campaña : se centra en los detalles de campañas de ataque específicas.
Informe de resumen de amenazas : cubre todos los elementos de los dos informes anteriores.
Este tipo de información resulta útil durante los procesos de respuesta a incidentes, en los que hay una
investigación en curso para comprender el origen del ataque, las motivaciones del atacante y lo que se debe
hacer para mitigar este problema en el futuro.

¿Cómo acceder al informe de inteligencia frente a amenazas?

1. En la barra lateral de Security Center, abra la página Aler tas de seguridad .
2. Seleccione una alerta. Se abre la página de detalles de las alertas con más información sobre la alerta. A
continuación se muestra la página de detalles de la alerta Se detectaron indicadores de
ransomware .

3. Seleccione el vínculo al informe y se abrirá un archivo PDF en el explorador predeterminado.

 También puede descargar el informe en formato PDF.

TIP
La cantidad de información disponible para cada alerta de seguridad variará según el tipo de alerta.

Pasos siguientes
En esta página se explica cómo abrir los informes de inteligencia sobre amenazas al investigar alertas de
seguridad. Para obtener información relacionada, consulte las páginas siguientes:
Administración y respuesta a las alertas de seguridad en Azure Security Center. Aprenda a administrar y
responder a las alertas de seguridad.
Control de incidentes de seguridad en Azure Security Center
 Validación de alertas en Azure Security Center
05/03/2021 • 6 minutes to read • Edit Online

Este documento le ayuda a comprobar si el sistema está configurado correctamente para las alertas de Azure
Security Center.

¿Qué son las alertas de seguridad?

Las alertas son notificaciones que Security Center genera cuando detecta amenazas en los recursos. Asigna
prioridades y enumera las alertas, junto con la información necesaria para que pueda investigar rápidamente el
problema. Security Center también proporciona recomendaciones sobre el modo en que puede corregir un
ataque. Para obtener más información, consulte Alertas de seguridad en Azure Security Center y Administración
y respuesta a las alertas de seguridad.

Generación de alertas de ejemplo de Azure Defender

Si usa la nueva experiencia de alertas de versión preliminar, tal como se describe en Administración y respuesta
a las alertas de seguridad en Azure Security Center, puede crear alertas de ejemplo con unos cuantos clics en la
página de alertas de seguridad de Azure Portal.
Use alertas de ejemplo para:
evaluar el valor y las capacidades de Azure Defender.
validar las configuraciones que haya realizado para las alertas de seguridad (como integraciones de SIEM,
automatización de flujos de trabajo y notificaciones de correo electrónico).
Para crear alertas de ejemplo:
1. En la barra de herramientas de la página de alertas, seleccione Create sample aler ts (Crear alertas de
ejemplo).
2. Seleccione la suscripción.
3. Seleccione el plan de Azure Defender correspondiente para el que quiere ver las alertas.
4. Seleccione Create sample aler ts (Crear alertas de ejemplo).
 Aparecerá una notificación en la que se le informa de que se están creando las alertas de ejemplo:

Después de unos minutos, las alertas aparecerán en la página alertas de seguridad. También aparecerán
en cualquier otro lugar que haya configurado para recibir las alertas de seguridad de Azure Security
Center (SIEM conectados, notificaciones de correo electrónico, etc.).

TIP
Las alertas son para los recursos simulados.

Simulación de alertas en las VM de Azure (Windows)

Una vez que el agente de Security Center esté instalado en el equipo, siga estos pasos desde el equipo donde
desee que esté el recurso atacado de la alerta:
1. Copie un archivo ejecutable (por ejemplo calc.exe ) en el escritorio del equipo o en otro directorio que
 prefiera y cambie el nombre a ASC_Aler tTest_662jfi039N.exe .
2. Abra el símbolo del sistema y ejecute este archivo con un argumento (un nombre de argumento falso), por
ejemplo, ASC_AlertTest_662jfi039N.exe -foo
3. Espere de cinco a diez minutos y abra Alertas de Security Center. Debería aparecer una alerta.

NOTE
Al revisar esta alerta de prueba para Windows, asegúrese de que el campo Arguments Auditing Enabled (Auditoría de
argumentos habilitada) aparece como true . Si es false , debe habilitar la auditoría de argumentos de línea de comandos.
Para habilitarlo, utilice la línea de comandos siguiente:
reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system\Audit" /f /v
"ProcessCreationIncludeCmdLine_Enabled"

Simulación de alertas en las VM de Azure (Linux)

Una vez que el agente de Security Center esté instalado en el equipo, siga estos pasos desde el equipo donde
desee que esté el recurso atacado de la alerta:
1. Copie un archivo ejecutable en una ubicación adecuada y cambie el nombre a
./asc_aler ttest_662jfi039n , por ejemplo:
cp /bin/echo ./asc_alerttest_662jfi039n

2. Abra el símbolo del sistema y ejecute este archivo:

./asc_alerttest_662jfi039n testing eicar pipe

3. Espere de cinco a diez minutos y abra Alertas de Security Center. Debería aparecer una alerta.

Simulación de alertas en Kubernetes

Si ha integrado Azure Kubernetes Service con Security Center, puede probar que sus alertas funcionan con el
siguiente comando kubectl:
kubectl get pods --namespace=asc-alerttest-662jfi039n

Para obtener más información sobre cómo defender los nodos y clústeres de Kubernetes, consulte Introducción
a Azure Defender para Kubernetes.

Pasos siguientes
En este artículo se explicó el proceso de validación de las alertas. Ahora que conoce esta validación, intente los
siguientes pasos:
Validación de la detección de amenazas de Azure Key Vault en Azure Security Center
Administración y respuesta a las alertas de seguridad en Azure Security Center: obtenga información sobre
cómo administrar y responder a los incidentes de seguridad en Security Center.
Comprender las alertas de seguridad en Azure Security Center: obtenga información sobre los distintos tipos
de alertas de seguridad.
 Automatización de respuestas a desencadenadores
de Security Center
24/03/2021 • 13 minutes to read • Edit Online

Cada programa de seguridad incluye varios flujos de trabajo para la respuesta a incidentes. Estos procesos
pueden incluir notificaciones para las partes interesadas competentes, iniciar un proceso de administración de
cambios y aplicar pasos de corrección específicos. Los expertos en seguridad recomiendan automatizar tantos
pasos de esos procedimientos como sea posible. Recuerde que la automatización reduce la sobrecarga. También
puede mejorar la seguridad asegurándose de que los pasos del proceso se realizan de forma rápida, coherente y
según sus requisitos predefinidos.
En este artículo se describe la característica de automatización de flujos de trabajo de Azure Security Center. Esta
característica puede desencadenar aplicaciones lógicas sobre alertas de seguridad, recomendaciones y cambios
en el cumplimiento normativo. Por ejemplo, si quiere que Security Center envíe un correo electrónico a un
usuario específico cuando se produce una alerta. También aprenderá a crear instancias de Logic Apps con Azure
Logic Apps.

Disponibilidad
A SP EC TO DETA L L ES

Estado de la versión: Disponibilidad general (GA)

Precios: Gratuito

Roles y permisos necesarios: Rol Administrador de seguridad o Propietario en el

grupo de recursos
También debe tener permisos de escritura para el recurso de
destino.

Para trabajar con flujos de trabajo de Azure Logic Apps,

también debe tener los siguientes roles o permisos de Logic
Apps:
Son necesarios los permisos de - Operador de aplicación
lógica o el acceso de lectura o desencadenamiento de
aplicación lógica (este rol no puede crear ni editar
aplicaciones lógicas, solo ejecutar las existentes).
Los permisos de - Colaborador de la aplicación lógica son
necesarios para la creación y modificación de aplicaciones
lógicas.
Si quiere usar conectores de aplicaciones lógicas, es posible
que necesite credenciales adicionales para iniciar sesión en
sus servicios respectivos (por ejemplo, en las instancias de
Outlook, Teams o Slack).

Nubes: Nubes comerciales

Nacionales o soberanas (US Gov, China Gov, otros
gobiernos)

Creación de una aplicación lógica y definición de cuándo debería

ejecutarse automáticamente
1. En la barra lateral de Security Center, seleccione Automatización de flujos de trabajo .

Desde esta página puede crear nuevas reglas de automatización, así como habilitar, deshabilitar o
eliminar las existentes.
2. Para definir un nuevo flujo de trabajo, haga clic en Add workflow automation (Agregar automatización
de flujos de trabajo).
Aparecerá un panel con las opciones de la nueva automatización. Aquí puede escribir lo siguiente:
a. Un nombre y descripción para la automatización.
b. Los desencadenadores que iniciarán este flujo de trabajo automático. Por ejemplo, cuando quiera
que la aplicación lógica se ejecute cuando se genere una alerta de seguridad que contenga "SQL".

NOTE
Si el desencadenador es una recomendación que tiene "recomendaciones secundarias", por ejemplo Se
deben remediar los resultados de evaluación de vulnerabilidades en las bases de datos SQL ,
la aplicación lógica no se desencadenará para cada nueva búsqueda de seguridad; solo cuando cambie el
estado de la recomendación primaria.

c. La aplicación lógica que se ejecutará cuando se cumplan las condiciones del desencadenador.
3. En la sección Acciones, haga clic en Crear una nueva para comenzar el proceso de creación de la
aplicación lógica.
Se le dirigirá a Azure Logic Apps.

4. Escriba un nombre, un grupo de recursos y una ubicación, y haga clic en Crear .

5. En la nueva aplicación lógica, puede decidir si quiere usar plantillas predefinidas integradas en la
categoría de seguridad. También puede definir un flujo de eventos personalizado para que se active
cuando se desencadene este proceso.
 TIP
A veces, en una aplicación lógica, los parámetros se incluyen en el conector como parte de una cadena y no en su
propio campo. Para ver un ejemplo de cómo extraer parámetros, consulte el paso 14 de Trabajo con parámetros
de aplicaciones lógicas en la creación de automatizaciones de flujo de trabajo de Azure Security Center.

El diseñador de aplicaciones lógicas admite estos desencadenadores de Security Center:

Cuando se crea o se desencadena una recomendación de Azure Security Center : si la
aplicación lógica se basa en una recomendación que entra en desuso o se reemplaza, la
automatización dejará de funcionar y deberá actualizar el desencadenador. Para hacer un
seguimiento de los cambios en las recomendaciones, vea las notas de la versión de Azure Security
Center.
Cuando se crea o se desencadena una aler ta de Azure Security Center : puede
personalizar el desencadenador para que se refiera solo a las alertas con los niveles de gravedad
que le interesen.
When a Security Center regulator y compliance assessment is created or triggered
(Cuando se crea o se desencadena una evaluación de cumplimiento normativo de Security Center):
se desencadenan automatizaciones según las actualizaciones de las evaluaciones de cumplimiento
normativo.

NOTE
Si utiliza el desencadenador heredado "Cuando se desencadena una respuesta a una alerta de Azure Security
Center", la característica de automatización de flujos de trabajo no iniciará su instancia de aplicación lógica. En su
lugar, use cualquiera de los desencadenadores mencionados anteriormente.

6. Una vez que haya definido la aplicación lógica, vuelva al panel de la definición de automatización del flujo
de trabajo ("Agregar automatización de flujos de trabajo"). Haga clic en Actualizar para asegurarse de
que la nueva aplicación lógica está disponible en la selección.
7. Seleccione la aplicación lógica y guarde la automatización. Tenga en cuenta que la lista desplegable de
aplicaciones lógicas solo muestra las aplicaciones lógicas con los conectores de Security Center
complementarios mencionados anteriormente.

Desencadenar manualmente una aplicación lógica

También puede ejecutar Logic Apps manualmente al ver una alerta o recomendación de seguridad.
Para ejecutar manualmente una aplicación lógica, abra una alerta o recomendación y haga clic en
Desencadenar aplicación lógica :

Configuración de la automatización de flujos de trabajo a escala

mediante las directivas suministradas
La automatización de los procesos de supervisión y respuesta ante incidentes de la organización puede mejorar
considerablemente el tiempo necesario para investigar y mitigar los incidentes de seguridad.
Para implementar las configuraciones de automatización en la organización, use las directivas
"DeployIfNotExist" de Azure Policy proporcionadas que se describen a continuación para crear y configurar los
procedimientos de automatización de flujos de trabajo.
Empiece a usar las plantillas de automatización de flujos de trabajo.
Para implementar estas directivas:
1. Desde la tabla siguiente, seleccione la directiva que quiere aplicar:

O B JET IVO DIREC T IVA ID. DE DIREC T IVA

Automatización de flujos de trabajo Implementar la automatización del f1525828-9a90-4fcf-be48-

para alertas de seguridad flujo de trabajo para las alertas de 268cdd02361e
Azure Security Center

Automatización de flujos de trabajo Implementar la automatización del 73d6ab6c-2475-4850-afd6-

para recomendaciones de seguridad área de trabajo para las 43795f3492ef
recomendaciones de Azure Security
Center

Automatización del flujo de trabajo Implementación de la 509122b9-ddd9-47ba-a5f1-

para cambios de cumplimiento automatización del flujo de trabajo d0dac20be63c
normativo para el cumplimiento normativo de
Azure Security Center

TIP
También puede encontrarlos buscando Azure Policy:
1. Abra Azure Policy.

2. En el menú Azure Policy, seleccione Definiciones y realice la búsqueda por nombre.

2. En la página pertinente de Azure Policy, seleccione Asignar .

3. Abra cada pestaña y establezca los parámetros como quiera:

a. En la pestaña Aspectos básicos , establezca el ámbito de la directiva. Para usar la administración
centralizada, asigne la directiva al grupo de administración que contiene las suscripciones que
usarán la automatización de flujos de trabajo.
b. En la pestaña Parámetros , establezca el grupo de recursos y los detalles del tipo de datos.
 TIP
Cada parámetro tiene información sobre herramientas que explica las opciones disponibles.
La pestaña Parámetros de Azure Policy (1) proporciona acceso a opciones de configuración similares, como
la página de automatización de flujos de trabajo de Security Center (2).

c. Opcionalmente, para aplicar esta asignación a las suscripciones existentes, abra la pestaña
Corrección y seleccione la opción para crear una tarea de corrección.
4. Revise la página de resumen y seleccione Crear .

Esquemas de tipos de datos

Para ver los esquemas de eventos sin procesar de las alertas de seguridad o los eventos de recomendaciones
que se pasan a la instancia de aplicación lógica, consulte los Esquemas de tipos de datos de automatización de
flujo de trabajo. Puede resultar útil en los casos en que no se usan los conectores de aplicación lógica integrados
de Security Center mencionados anteriormente, sino que alternativamente se usa el conector HTTP genérico de
la aplicación lógica; puede usar el esquema JSON del evento para analizarlo manualmente como considere
oportuno.

Preguntas más frecuentes relacionadas con la automatización de

flujos de trabajo
¿La automatización de flujos de trabajo es compatible con los escenarios de continuidad empresarial o
recuperación ante desastres (BCDR )?
Al preparar el entorno para escenarios de BCDR, en los que el recurso de destino está experimentando una
interrupción u otro desastre, la organización tiene la responsabilidad de evitar la pérdida de datos mediante la
preparación de copias de seguridad de acuerdo con las instrucciones de Azure Event Hubs, el área de trabajo de
Log Analytics y la aplicación lógica.
Para cada automatización activa, se recomienda crear una automatización idéntica (deshabilitada) y almacenarla
en una ubicación diferente. Cuando se produce una interrupción, puede habilitar estas automatización de copias
de seguridad y mantener las operaciones normales.
Obtenga más información sobre continuidad empresarial y recuperación ante desastres para Azure Logic Apps.

Pasos siguientes
En este artículo, ha obtenido información sobre cómo crear aplicaciones lógicas, automatizar su ejecución en
Security Center y ejecutarlas manualmente.
Para obtener material relacionado, consulte:
Módulo de Microsoft Learn sobre cómo la automatización de flujos de trabajo para automatizar una
respuesta de seguridad
Recomendaciones de seguridad en Azure Security Center
Alertas de seguridad en el Centro de seguridad de Azure
Acerca de Azure Logic Apps
Conectores para Azure Logic Apps
Esquemas de tipos de datos de automatización de flujo de trabajo
 Archivo de novedades de Azure Security Center
24/03/2021 • 103 minutes to read • Edit Online

La página principal de notas de la versión de novedades de Azure Security Center contiene actualizaciones de
los últimos seis meses, mientras que esta página contiene elementos más antiguos.
En este página se proporciona información acerca de lo siguiente:
Nuevas características
Corrección de errores
Funciones obsoletas

Septiembre de 2020
Las actualizaciones de septiembre incluyen:
Security Center tiene un nuevo aspecto
Lanzamiento de Azure Defender
Azure Defender para Key Vault está disponible con carácter general
La protección de Azure Defender para Storage en archivos y ADLS Gen2 está disponible con carácter general
Las herramientas para el inventario de recursos ya están disponibles con carácter general
Deshabilitación de la detección de una vulnerabilidad específica para análisis de registros de contenedores y
máquinas virtuales
Exclusión de un recurso de una recomendación
Los conectores de AWS y GCP de Security Center aportan una experiencia multinube
Conjunto de recomendaciones de protección de cargas de trabajo de Kubernetes
Los resultados de la evaluación de vulnerabilidades ahora están disponibles en la exportación continua
Imponer recomendaciones al crear recursos para prevenir errores de configuración de seguridad
Mejoras de las recomendaciones del grupo de seguridad de red
La recomendación de AKS en versión preliminar "Se deben definir las directivas de seguridad de pod en los
servicios de Kubernetes" está en desuso
Notificaciones por correo electrónico mejoradas en Azure Security Center
La puntuación de seguridad no incluye recomendaciones en versión preliminar
Las recomendaciones incluyen ahora un indicador de gravedad y el intervalo de actualización
Security Center tiene un nuevo aspecto
Hemos lanzado una interfaz de usuario actualizada para las páginas del portal de Security Center. Las nuevas
páginas incluyen una nueva página de información general, así como paneles para puntuación de seguridad,
inventario de recursos y Azure Defender.
La página de información general renovada ahora incorpora un icono para acceder a los paneles de puntuación
de seguridad, inventario de recursos y Azure Defender. También tiene un icono vinculado al panel de
cumplimiento normativo.
Más información sobre la página de información general
Lanzamiento de Azure Defender
Azure Defender es la plataforma de protección de cargas de trabajo en la nube (CWPP) integrada en Security
Center para la protección avanzada e inteligente de las cargas de trabajo híbridas y de Azure. Reemplaza a la
opción del plan de tarifa estándar de Security Center.
Al habilitar Azure Defender en el área Precios y configuración de Azure Security Center, se habilitan a la vez
los siguientes planes de Defender, que proporcionan defensas completas para las capas de proceso, datos y
servicio de su entorno:
Azure Defender para servidores
Azure Defender para App Service
Azure Defender para Storage
Azure Defender para SQL
Azure Defender para Key Vault
Azure Defender para Kubernetes
Azure Defender para registros de contenedor
Cada uno de estos planes se explica por separado en la documentación de Security Center.
Con su panel dedicado, Azure Defender proporciona alertas de seguridad y protección contra amenazas
avanzada para máquinas virtuales, bases de datos SQL, contenedores, aplicaciones web, la red y mucho más.
Más información sobre Azure Defender
Azure Defender para Key Vault está disponible con carácter general
Azure Key Vault es un servicio en la nube que protege las claves de cifrado y los secretos, como certificados,
cadenas de conexión y contraseñas.
Azure Defender para Key Vault ofrece protección frente a amenazas avanzada, nativa de Azure, para Azure
Key Vault, que proporciona una capa adicional de inteligencia de seguridad. Por extensión, Azure Defender para
Key Vault protege por consiguiente muchos de los recursos que dependen de las cuentas de Key Vault.
El plan opcional ahora está en disponibilidad general. Esta característica se encontraba en versión preliminar
como "protección contra amenazas avanzada para Azure Key Vault".
Además, las páginas de Key Vault de Azure Portal ahora incluyen una página de Seguridad dedicada para las
recomendaciones y las alertas de Security Center .
Más información en Azure Defender para Key Vault
La protección de Azure Defender para Storage en archivos y ADLS Gen2 está disponible con carácter general
Azure Defender para Storage detecta actividades potencialmente dañinas en las cuentas de Azure Storage.
Los datos se pueden proteger tanto si se almacenan como contenedores de blobs, recursos compartidos de
archivos o lagos de datos.
La compatibilidad con Azure Files y Azure Data Lake Storage Gen2 ahora está disponible con carácter general.
A partir del 1 de octubre de 2020, empezaremos a cobrar por la protección de los recursos de estos servicios.
Más información en Azure Defender para Storage
Las herramientas para el inventario de recursos ya están disponibles con carácter general
La página de inventario de recursos de Azure Security Center proporciona una sola página para ver la posición
de seguridad de los recursos que se han conectado a Security Center.
Security Center analiza periódicamente el estado de seguridad de los recursos de Azure para identificar posibles
puntos vulnerables de la seguridad. A continuación, se proporcionan recomendaciones sobre cómo corregir
dichos puntos vulnerables.
Cuando algún recurso tenga recomendaciones pendientes, aparecerán en el inventario.
Más información en Exploración y administración de los recursos con Asset Inventory.
Deshabilitación de la detección de una vulnerabilidad específica para análisis de registros de contenedores y
máquinas virtuales
Azure Defender incluye detectores de vulnerabilidades para examinar imágenes en Azure Container Registry y
en las máquinas virtuales.
Si tiene una necesidad organizativa de omitir un resultado, en lugar de corregirlo, tiene la opción de
deshabilitarlo. Los resultados deshabilitados no afectan a la puntuación de seguridad ni generan ruido no
deseado.
Cuando un resultado coincide con los criterios que ha definido en las reglas de deshabilitación, no aparecerá en
la lista de resultados.
Esta opción está disponible en las páginas de detalles de recomendaciones para:
Se deben corregir las vulnerabilidades de las imágenes de Azure Container Registr y
Es necesario corregir las vulnerabilidades de las máquinas vir tuales
Obtenga más información en Deshabilitación de resultados específicos para las imágenes de contenedor y
Deshabilitación de resultados específicos para las máquinas virtuales.
Exclusión de un recurso de una recomendación
En ocasiones, un recurso se mostrará como incorrecto en relación con una recomendación específica y, por lo
tanto, se reduce la puntuación de seguridad, aunque crea que no debería ser así. Es posible que lo haya
corregido un proceso del que Security Center no ha realizado un seguimiento. O, quizás, la organización ha
decidido aceptar el riesgo de ese recurso específico.
En tales casos, puede crear una regla de exención para asegurarse de que el recurso no aparezca entre los
recursos incorrectos en el futuro. Estas reglas pueden incluir justificaciones documentadas, tal y como se
describe a continuación.
Más información en Exención de un recurso de las recomendaciones y la puntuación de seguridad
Los conectores de AWS y GCP de Security Center aportan una experiencia multinube
Las cargas de trabajo de nube abarcan normalmente varias plataformas de nube, por lo que los servicios de
seguridad de la nube deben hacer lo mismo.
Azure Security Center ahora protege las cargas de trabajo de Azure, Amazon Web Services (AWS) y Google
Cloud Platform (GCP).
Al incorporar las cuentas de AWS y GCP a Security Center, se integran AWS Security Hub, el centro de comandos
de seguridad GCP y Azure Security Center.
Obtenga más información en Conexión de las cuentas de AWS a Azure Security Center y Conexión de las
cuentas de GCP a Azure Security Center.
Conjunto de recomendaciones de protección de cargas de trabajo de Kubernetes
Para asegurarse de que las cargas de trabajo de Kubernetes son seguras de forma predeterminada, Security
Center está agregando recomendaciones de protección en el nivel de Kubernetes, incluidas las opciones de
cumplimiento con el control de admisión de Kubernetes.
Una vez instalado el complemento de Azure Policy para Kubernetes en el clúster de AKS, todas las solicitudes al
servidor de la API de Kubernetes se supervisarán según el conjunto predefinido de procedimientos
recomendados antes de que se guarden en el clúster. Después, puede realizar la configurar para aplicar los
procedimientos recomendados y exigirlos para futuras cargas de trabajo.
Por ejemplo, puede exigir que no se creen los contenedores con privilegios y que se bloqueen las solicitudes
futuras para este fin.
Más información en Procedimientos recomendados de protección de cargas de trabajo con el control de
admisión de Kubernetes
Los resultados de la evaluación de vulnerabilidades ahora están disponibles en la exportación continua
Use la exportación continua para transmitir sus alertas y recomendaciones en tiempo real a Azure Event Hubs,
áreas de trabajo de Log Analytics o Azure Monitor. A partir de ahí, puede integrar estos datos con SIEM (como
Azure Sentinel, Power BI, Azure Data Explorer y mucho más).
Las herramientas de evaluación de vulnerabilidades integradas en Security Center devuelven resultados sobre
los recursos, como recomendaciones útiles dentro de una recomendación "principal", tipo "Es necesario corregir
las vulnerabilidades de las máquinas virtuales.".
Los resultados de seguridad ahora están disponibles para la exportación mediante la exportación continua al
seleccionar recomendaciones y habilitar la opción include security findings (Incluir resultados de seguridad).

Páginas relacionadas:
Solución de evaluación de vulnerabilidades integrada en Security Center para Azure Virtual Machines
Solución de evaluación de vulnerabilidades integrada en Security Center para las imágenes de Azure
Container Registry
Exportación continua
Imponer recomendaciones al crear recursos para prevenir errores de configuración de seguridad
Los errores de configuración de seguridad son una causa principal de los incidentes de seguridad. Security
Center ofrece ahora la posibilidad de ayudar a evitar errores de configuración de los nuevos recursos con
respecto a recomendaciones específicas.
Esta característica puede ayudar a mantener las cargas de trabajo seguras y a estabilizar la puntuación de
seguridad.
La aplicación de una configuración segura, basada en una recomendación específica, se ofrece mediante dos
opciones:
Con el efecto Denegar de Azure Policy, puede impedir que se creen recursos incorrectos.
Con la opción Exigir , puede sacar partido del efecto de DeployIfNotExist de Azure Policy y corregir
automáticamente los recursos no compatibles tras la creación.
Está disponible para las recomendaciones de seguridad seleccionadas y puede encontrarse en la parte superior
de la página de detalles del recurso.
Más información en Impedir errores de configuración con las recomendaciones Exigir/Denegar.
Mejoras de las recomendaciones del grupo de seguridad de red
Se han mejorado las siguientes recomendaciones de seguridad relacionadas con los grupos de seguridad de red
para reducir algunas instancias de falsos positivos.
Todos los puertos de red deben estar restringidos en el NSG asociado a la máquina virtual
Se deben cerrar los puertos de administración en las máquinas virtuales
Las máquinas virtuales accesibles desde Internet deben estar protegidas con grupos de seguridad de red
Las subredes deben estar asociadas con un grupo de seguridad de red.
La recomendación de AKS en versión preliminar "Se deben definir las directivas de seguridad de pod en los
servicios de Kubernetes" está en desuso
La recomendación en versión preliminar "Las directivas de seguridad de pod deben definirse en los servicios de
Kubernetes" está en desuso, tal y como se describe en la documentación de Azure Kubernetes Service.
La característica de la directiva de seguridad de pod (versión preliminar), está programada para quedar en
desuso y dejará de estar disponible a partir del 15 de octubre de 2020 en favor de Azure Policy para AKS.
Una vez que la directiva de seguridad de pod (versión preliminar) haya quedado en desuso, deberá deshabilitar
la característica en todos los clústeres existentes que la incluyan para realizar futuras actualizaciones de
clústeres y seguir recibiendo el soporte técnico de Azure.
Notificaciones por correo electrónico mejoradas en Azure Security Center
Se han mejorado las siguientes áreas de los correos electrónicos con respecto a las alertas de seguridad:
Se ha agregado la capacidad de enviar notificaciones por correo electrónico sobre las alertas de todos los
niveles de gravedad.
Se ha agregado la capacidad de notificar a los usuarios con diferentes roles de Azure en la suscripción.
Se notifica de forma proactiva y predeterminada a los propietarios de la suscripción sobre las alertas de
gravedad alta (con una probabilidad elevada de que se produzcan infracciones genuinas).
Se ha eliminado el campo de número de teléfono de la página de configuración de notificaciones por correo
electrónico.
Más información en Configuración de notificaciones de alertas de seguridad por correo electrónico
La puntuación de seguridad no incluye recomendaciones en versión preliminar
Security Center evalúa continuamente los recursos, suscripciones y la organización en busca de problemas de
seguridad. A continuación, agrega todos los resultados a una sola puntuación para que pueda conocer de un
vistazo la situación de la seguridad actual: cuanto mayor sea la puntuación, menor será el nivel de riesgo
identificado.
A medida que se detectan nuevas amenazas, se habilitan nuevos consejos de seguridad en Security Center
mediante recomendaciones nuevas. Para evitar cambios inesperados en la puntuación de seguridad y ofrecer un
período de gracia en el que pueda explorar nuevas recomendaciones antes de que afecten a las puntuaciones,
las recomendaciones marcadas como Versión preliminar ya no se incluyen en los cálculos de la puntuación
de seguridad. Aun así, deben corregirse siempre que sea posible, de tal forma que, cuando finalice el período de
versión preliminar, contribuyan a la puntuación.
Además, las recomendaciones en Versión preliminar no representan un recurso "Incorrecto".
Un ejemplo de una recomendación en versión preliminar:
Más información sobre la puntuación de seguridad
Las recomendaciones incluyen ahora un indicador de gravedad y el intervalo de actualización
La página de detalles de las recomendaciones incluye ahora un indicador del intervalo de actualización (siempre
que sea pertinente) y una visualización clara de la gravedad de la recomendación.

Agosto de 2020
Las actualizaciones de agosto incluyen:
Inventario de recursos: nueva vista eficaz de la posición de seguridad de sus recursos
Compatibilidad agregada con los valores predeterminados de seguridad de Azure Active Directory (para la
autenticación multifactor)
Recomendación de entidades de servicio agregada
Evaluación de vulnerabilidades en máquinas virtuales: recomendaciones y directivas consolidadas
Se han agregado nuevas directivas de seguridad de AKS a la iniciativa de ASC_default para su uso solo por
parte de clientes de versión preliminar privada
Inventario de recursos: nueva vista eficaz de la posición de seguridad de sus recursos
El inventario de recursos de Security Center (actualmente en versión preliminar) proporciona una manera de ver
la posición de seguridad de los recursos que ha conectado a Security Center.
Security Center analiza periódicamente el estado de seguridad de los recursos de Azure para identificar posibles
puntos vulnerables de la seguridad. A continuación, se proporcionan recomendaciones sobre cómo corregir
dichos puntos vulnerables. Cuando algún recurso tenga recomendaciones pendientes, aparecerán en el
inventario.
Puede usar la vista y sus filtros para explorar los datos de la posición de seguridad y realizar acciones
adicionales en función de los resultados.
Obtenga más información sobre el inventario de recursos.
Compatibilidad agregada con los valores predeterminados de seguridad de Azure Active Directory (para la
autenticación multifactor)
Security Center ha agregado compatibilidad total con los valores predeterminados de seguridad, las
protecciones de seguridad de la identidad gratuitas de Microsoft.
Los valores predeterminados de seguridad proporcionan una configuración de seguridad de la identidad
preconfigurada para proteger su organización frente a ataques habituales relacionados con la identidad. Los
valores predeterminados de seguridad ya protegen más de 5 millones de inquilinos en total; 50 000 inquilinos
también reciben la protección de Security Center.
Security Center ahora proporciona una recomendación de seguridad cada vez que identifica una suscripción de
Azure sin valores predeterminados de seguridad habilitados. Hasta ahora, Security Center recomendaba
habilitar la autenticación multifactor mediante el acceso condicional, que forma parte de la licencia Premium de
Azure Active Directory (AD). Para los clientes que usen Azure AD de forma gratuita, ahora recomendamos que
se habiliten los valores predeterminados de seguridad.
Nuestro objetivo es animar a más clientes a proteger sus entornos en la nube con MFA y mitigar uno de los
mayores riesgos que también es el que tiene más impacto en su puntuación de seguridad.
Obtenga más información sobre los valores predeterminados de seguridad.
Recomendación de entidades de servicio agregada
Se ha agregado una nueva recomendación para recomendar que los clientes de Security Center que usan
certificados de administración para administrar sus suscripciones cambien a las entidades de servicio.
La recomendación, Para proteger las suscripciones,deben usarse entidades de ser vicio en lugar de
cer tificados de administración , le aconseja usar entidades de servicio o Azure Resource Manager para
administrar de forma más segura sus suscripciones.
Obtenga más información sobre Objetos de aplicación y de entidad de servicio de Azure Active Directory.
Evaluación de vulnerabilidades en máquinas virtuales: recomendaciones y directivas consolidadas
Security Center inspecciona las máquinas virtuales para detectar si ejecutan alguna solución de valoración de
las vulnerabilidades. Si no encuentra ninguna solución, Security Center recomienda simplificar la
implementación.
Si se encuentran vulnerabilidades, Security Center realiza una recomendación en la que se resumen los
resultados que se deben investigar y corregir, en caso de que sea necesario.
Para garantizar una experiencia coherente para todos los usuarios, independientemente del tipo de analizador
que usen, se han unificado cuatro recomendaciones en las dos siguientes:

REC O M EN DA C IÓ N UN IF IC A DA DESC RIP C IÓ N DEL C A M B IO

Debe habilitarse una solución de evaluación de Reemplaza las dos recomendaciones siguientes:
vulnerabilidades en sus máquinas vir tuales • Habilitar la solución de evaluación de vulnerabilidades
integrada en las máquinas virtuales (con tecnología de
Qualys) (ahora en desuso) (se incluye con el nivel Estándar).
• La solución de evaluación de vulnerabilidades debe
instalarse en sus máquinas virtuales (ahora en desuso)
(niveles gratuito y Estándar).
 REC O M EN DA C IÓ N UN IF IC A DA DESC RIP C IÓ N DEL C A M B IO

Es necesario corregir las vulnerabilidades de las Reemplaza las dos recomendaciones siguientes:
máquinas vir tuales • Corregir las vulnerabilidades que se encontraron en las
máquinas virtuales (con tecnología de Qualys) (ahora en
desuso).
• Se deben corregir las vulnerabilidades mediante una
solución de evaluación de vulnerabilidades (ahora en
desuso).

Ahora usará la misma recomendación para implementar la extensión de evaluación de vulnerabilidades de

Security Center o una solución con licencia privada ("BYOL") de un asociado como Qualys o Rapid7.
Además, cuando se detectan vulnerabilidades y se notifican a Security Center, una sola recomendación le avisará
de los hallazgos, independientemente de la solución de evaluación de vulnerabilidades que los haya
identificado.
Actualización de dependencias
Si tiene scripts, consultas o automatizaciones que hacen referencia a las recomendaciones anteriores o a
nombres o claves de directivas, use las tablas siguientes para actualizar las referencias:
A n t e s d e a g o st o d e 2 0 2 0

REC O M EN DA C IÓ N Á M B ITO

Habilitar la solución de Integrada

evaluación de vulnerabilidades
integrada en las máquinas
vir tuales (con tecnología de
Qualys)
Clave: 550e890b-e652-4d22-8274-
60b3bdb24c63

Corregir las vulnerabilidades que Integrada

se encontraron en las máquinas
vir tuales (con tecnología de
Qualys)
Clave: 1195afff-c881-495e-9bc5-
1486211ae03f

La solución de evaluación de BYOL

vulnerabilidades debe instalarse
en sus máquinas vir tuales
Clave: 01b1ed4c-b733-4fee-b145-
f23236e70cf3

Se deben corregir las BYOL

vulnerabilidades mediante una
solución de evaluación de
vulnerabilidades
Clave: 71992a2a-d168-42e0-b10e-
6b45fa2ecddb
 DIREC T IVA Á M B ITO

La evaluación de vulnerabilidades Integrada

debe estar habilitada en las
máquinas vir tuales
Id. de directiva: 501541f7-f7e7-4cd6-
868c-4190fdad3ac9

Se deben corregir las BYOL

vulnerabilidades mediante una
solución de evaluación de
vulnerabilidades
Id. de directiva: 760a85ff-6162-42b3-
8d70-698e268f648c

D e sd e a g o st o d e 2 0 2 0

REC O M EN DA C IÓ N Á M B ITO

Debe habilitarse una solución de Integrada + BYOL

evaluación de vulnerabilidades en
sus máquinas vir tuales
Clave: ffff0522-1e88-47fc-8382-
2a80ba848f5d

Es necesario corregir las Integrada + BYOL

vulnerabilidades de las máquinas
vir tuales
Clave: 1195afff-c881-495e-9bc5-
1486211ae03f

DIREC T IVA Á M B ITO

La evaluación de vulnerabilidades Integrada + BYOL

debe estar habilitada en las
máquinas vir tuales
Id. de directiva: 501541f7-f7e7-4cd6-
868c-4190fdad3ac9

Se han agregado nuevas directivas de seguridad de AKS a la iniciativa de ASC_default para su uso solo por
parte de clientes de versión preliminar privada
Para asegurarse de que las cargas de trabajo de Kubernetes son seguras de forma predeterminada, Security
Center está agregando directivas en el nivel de Kubernetes y recomendaciones de protección, incluidas las
opciones de cumplimiento con el control de admisión de Kubernetes.
La fase temprana de este proyecto incluye una versión preliminar privada y la adición de nuevas directivas
(deshabilitadas de forma predeterminada) a la iniciativa ASC_default.
Puede omitir estas directivas con seguridad y no habrá ningún impacto en el entorno. Si desea habilitarlas,
regístrese para obtener la versión preliminar en https://aka.ms/SecurityPrP y seleccione una de las opciones
siguientes:
1. Versión preliminar única : para unirse solo a esta versión preliminar privada. Mencione explícitamente
"ASC Continuous SCAN" como la versión preliminar a la que le gustaría unirse.
2. Programa continuo : para agregarse a esta y a futuras versiones preliminares privadas. Deberá completar
un perfil y un contrato de privacidad.

Julio de 2020
Las actualizaciones de julio incluyen:
Evaluación de vulnerabilidades de las máquinas virtuales disponible ahora para las imágenes que no son de
Marketplace
Protección contra amenazas para Azure Storage expandido con el fin de incluir Azure Files y Azure Data Lake
Storage Gen2 (versión preliminar)
Ocho nuevas recomendaciones para habilitar las características de protección contra amenazas
Mejoras en la seguridad de los contenedores: análisis del registro más rápido y documentación actualizada
Controles de aplicaciones adaptables actualizados con una nueva recomendación y compatibilidad para
caracteres comodín en reglas de ruta de acceso
Novedades de Azure Security Center
Evaluación de vulnerabilidades de las máquinas virtuales disponible ahora para las imágenes que no son de
Marketplace
Anteriormente, al implementar una solución de evaluación de vulnerabilidades, Security Center realizaba una
comprobación de validación antes de la implementación. La comprobación se realizaba para confirmar la SKU
de Marketplace de la máquina virtual de destino.
A partir de esta actualización, se ha eliminado esta comprobación y así ahora se pueden implementar
herramientas de evaluación de vulnerabilidades en máquinas Windows y Linux personalizadas. Las imágenes
personalizadas son aquellas que se han modificado a partir de los valores predeterminados de Marketplace.
Aunque ahora puede implementar la extensión de evaluación de vulnerabilidades integrada (con tecnología de
Qualys) en muchas más máquinas, la compatibilidad solo está disponible si usa uno de los sistemas operativos
que se indica en Implementación del detector de vulnerabilidades integrado en VM de nivel estándar.
Más información sobre el Detector de vulnerabilidades integrado para máquinas virtuales (requiere Azure
Defender)
Más información sobre el uso de su propia solución de evaluación de vulnerabilidades con licencia privada de
Qualys o Rapid7 en Implementación de una solución de examen de vulnerabilidades de asociados
Protección contra amenazas para Azure Storage expandido con el fin de incluir Azure Files y Azure Data Lake
Storage Gen2 (versión preliminar)
La protección contra amenazas para Azure Storage detecta actividades potencialmente dañinas en las cuentas
de Azure Storage. Security Center muestra alertas cuando detecta intentos de acceder a las cuentas de
almacenamiento o de aprovecharlas.
Los datos se pueden proteger tanto si se almacenan como contenedores de blobs, recursos compartidos de
archivos o lagos de datos.
Ocho nuevas recomendaciones para habilitar las características de protección contra amenazas
Se han agregado ocho nuevas recomendaciones para proporcionar una manera sencilla de habilitar las
características de protección contra amenazas de Azure Security Center para los siguientes tipos de recursos:
máquinas virtuales, planes de App Service, servidores de Azure SQL Database, servidores SQL Server en
máquinas, cuentas de Azure Storage, clústeres de Azure Kubernetes Service, registros de Azure Container
Registry y almacenes de Azure Key Vault.
Las nuevas recomendaciones son:
Advanced Data Security debe estar habilitado en los ser vidores de Azure SQL Database
 Advanced Data Security debe estar habilitado en los ser vidores SQL Ser ver en las máquinas
Advanced Threat Protection debe estar habilitado en los planes de Azure App Ser vice
Advanced Threat Protection debe estar habilitado en los registros de Azure Container Registr y
Advanced Threat Protection debe estar habilitado en los almacenes de Azure Key Vault
Advanced Threat Protection debe estar habilitado en los clústeres de Azure Kubernetes Ser vice
Advanced Threat Protection debe estar habilitado en las cuentas de almacenamiento de Azure
Advanced Threat Protection debe estar habilitado en Vir tual Machines
Estas nuevas recomendaciones pertenecen al control de seguridad Habilitar Azure Defender .
Las recomendaciones también incluyen la funcionalidad de corrección rápida.

IMPORTANT
La corrección de cualquiera de estas recomendaciones dará lugar a cargos por la protección de los recursos pertinentes.
Estos cargos se iniciarán de forma inmediata si tiene recursos relacionados en la suscripción actual. O en el futuro, si los
agrega en una fecha posterior.
Por ejemplo, si no tiene ningún clúster de Azure Kubernetes Service en su suscripción y habilita la protección contra
amenazas, no se aplicarán cargos. Si, en el futuro, agrega un clúster a la misma suscripción, este se protegerá
automáticamente y a partir de ese momento, se iniciarán los cargos.

Más información sobre cada una de estas recomendaciones en la página de referencia de las recomendaciones
de seguridad.
Más información sobre la protección contra amenazas en Azure Security Center.
Mejoras en la seguridad de los contenedores: análisis del registro más rápido y documentación actualizada
Como parte de las inversiones continuas en el dominio de la seguridad de los contenedores, nos complace
compartir una mejora significativa del rendimiento en los análisis dinámicos de las imágenes de contenedor de
Security Center que se almacenan en Azure Container Registry. Los exámenes se completan ahora en
aproximadamente dos minutos. En algunos casos, pueden tardar hasta 15 minutos.
Para mejorar la claridad y la orientación con respecto a las funcionalidades de seguridad de los contenedores de
Azure Security Center, también hemos actualizado las páginas de documentación sobre la seguridad de los
contenedores.
Más información sobre la seguridad de los contenedores de Security Center en los artículos siguientes:
Información general sobre las características de seguridad de los contenedores de Azure Security Center
Detalles de la integración con Azure Container Registry
Detalles de la integración con Azure Kubernetes Service
Procedimientos para el examen de los registros y la protección de los hosts de Docker
Alertas de seguridad de las características de protección contra amenazas para clústeres de Azure
Kubernetes Service
Alertas de seguridad de las características de protección contra amenazas para hosts de Azure Kubernetes
Service
Recomendaciones de seguridad para contenedores
Controles de aplicaciones adaptables actualizados con una nueva recomendación y compatibilidad para
caracteres comodín en reglas de ruta de acceso
La característica de controles de aplicaciones adaptables ha recibido dos actualizaciones importantes:
Una nueva recomendación identifica un comportamiento potencialmente legítimo que no se ha
permitido previamente. La nueva recomendación, Se deben actualizar las reglas de la lista de
 permitidos de la directiva de controles de aplicaciones adaptables , le pedirá que agregue
nuevas reglas a la directiva existente para reducir el número de falsos positivos en las alertas de
infracción de controles de aplicaciones adaptables.
Las reglas de ruta de acceso ahora admiten caracteres comodín. A partir de esta actualización, puede
configurar las reglas de ruta de acceso permitidas mediante caracteres comodín. Se admiten dos
escenarios:
El uso de un carácter comodín al final de una ruta de acceso para permitir todos los ejecutables
dentro de esta carpeta y subcarpetas
El uso de un carácter comodín en medio de una ruta de acceso para habilitar un nombre
ejecutable conocido con un nombre de carpeta cambiante (por ejemplo, carpetas de usuario
personales con un archivo ejecutable conocido, nombres de carpeta generados automáticamente,
etc.).
Más información acerca de los controles de aplicación adaptables.
Seis directivas para la seguridad avanzada de datos de SQL en desuso
Seis directivas relacionadas con la seguridad avanzada de datos para máquinas SQL están en desuso:
Los tipos de Advanced Threat Protection deben definirse como "Todos" en la configuración de Advanced Data
Security para SQL Managed Instance.
Los tipos de Advanced Threat Protection deben definirse como "Todos" en la configuración de Advanced Data
Security del servidor SQL Server.
La configuración de seguridad de datos avanzada para una instancia administrada SQL debe contener una
dirección de correo electrónico para recibir alertas de seguridad
La configuración de seguridad de datos avanzada para SQL Server debe contener una dirección de correo
electrónico para recibir alertas de seguridad
Las notificaciones a los administradores y a los propietarios de la suscripción deben estar habilitadas en la
configuración de seguridad avanzada de datos de la instancia administrada de SQL
Las notificaciones por correo electrónico para administradores y propietarios de suscripciones deben estar
habilitadas en la configuración de seguridad avanzada de datos de SQL Server
Obtenga más información sobre las directivas integradas.

Junio de 2020
Las actualizaciones de junio incluyen:
API de puntuación segura (versión preliminar)
Advanced Data Security para máquinas SQL (Azure, otras nubes e instancias locales) (versión preliminar)
Dos nuevas recomendaciones para implementar el agente de Log Analytics en máquinas de Azure Arc
(versión preliminar)
Nuevas directivas para crear configuraciones de exportación continua y de automatización de flujos de
trabajo a escala
Nueva recomendación para usar NSG para proteger las máquinas virtuales sin conexión a Internet
Nuevas directivas para habilitar la protección contra amenazas y Advanced Data Security
API de puntuación segura (versión preliminar)
Ahora puede acceder a la puntuación a través de la API de puntuación segura (actualmente en versión
preliminar). Los métodos de API proporcionan la flexibilidad necesaria para consultar los datos y crear su propio
mecanismo de creación de informes de las puntuaciones seguras a lo largo del tiempo. Por ejemplo, puede usar
la API Secure Scores para obtener la puntuación de una suscripción específica. Además, puede usar la API
Secure Score Controls para mostrar los controles de seguridad y la puntuación actual de las suscripciones.
Para ver ejemplos de herramientas externas que son posibles gracias a la API de puntuación segura, vea el área
de puntuación segura de la comunidad de GitHub.
Obtenga más información sobre la puntuación segura y los controles de seguridad en Azure Security Center.
Advanced Data Security para máquinas SQL (Azure, otras nubes e instancias locales) (versión preliminar)
Ahora, Advanced Data Security de Azure Security Center para máquinas SQL protege los servidores SQL Server
hospedados en Azure, en otros entornos en la nube e incluso en máquinas locales. Esto amplía las protecciones
de los servidores SQL Server nativos de Azure, de modo que se admitan totalmente los entornos híbridos.
Advanced Data Security proporciona una evaluación de vulnerabilidades y protección contra amenazas
avanzada para máquinas SQL dondequiera que se encuentren.
La configuración conlleva dos pasos:
1. Implementación del agente de Log Analytics en la máquina host de SQL Server para proporcionar la
conexión a la cuenta de Azure.
2. Habilitación del conjunto de productos opcional en la página de precios y configuración de Security
Center.
Obtenga más información sobre Advanced Data Security para máquinas SQL.
Dos nuevas recomendaciones para implementar el agente de Log Analytics en máquinas de Azure Arc
(versión preliminar)
Se han agregado dos nuevas recomendaciones para ayudar a implementar el agente de Log Analytics en las
máquinas de Azure Arc y asegurarse de que están protegidas por Azure Security Center:
El agente de Log Analytics debe estar instalado en las máquinas de Azure Arc basadas en
Windows (versión preliminar) .
El agente de Log Analytics debe estar instalado en las máquinas de Azure Arc basadas en Linux
(versión preliminar) .
Estas nuevas recomendaciones aparecerán en los mismos cuatro controles de seguridad que la recomendación
existente (relacionada) El agente de super visión debe estar instalado en las máquinas : corrija las
configuraciones de seguridad, aplique el control de aplicaciones adaptativo, aplique actualizaciones del sistema
y habilite Endpoint Protection.
Las recomendaciones también incluyen la función de corrección rápida para ayudar a acelerar el proceso de
implementación.
Obtenga más información sobre estas dos nuevas recomendaciones en la tabla Recomendaciones de proceso y
aplicación.
Obtenga más información sobre la manera en que Azure Security Center usa el agente en ¿Qué es el agente de
Log Analytics?
Obtenga más información sobre las extensiones para máquinas de Azure Arc.
Nuevas directivas para crear configuraciones de exportación continua y de automatización de flujos de
trabajo a escala
La automatización de los procesos de supervisión y respuesta ante incidentes de la organización puede mejorar
considerablemente el tiempo necesario para investigar y mitigar los incidentes de seguridad.
Para implementar las configuraciones de automatización en la organización, use estas directivas de Azure
"DeployIfdNotExist" integradas para crear y configurar los procedimientos de exportación continua y
automatización de flujos de trabajo:
Las directivas se pueden encontrar en la directiva de Azure:

O B JET IVO DIREC T IVA ID. DE DIREC T IVA

Exportación continua al centro de Implementar la exportación al centro cdfcce10-4578-4ecd-9703-

eventos de eventos para las alertas y 530938e4abcb
recomendaciones de Azure Security
Center

Exportación continua a las áreas de Implementar la exportación al área de ffb6f416-7bd2-4488-8828-

trabajo de Log Analytics trabajo de Log Analytics para las 56585fef2be9
alertas y recomendaciones de Azure
Security Center

Automatización de flujos de trabajo Implementar la automatización del f1525828-9a90-4fcf-be48-

para alertas de seguridad flujo de trabajo para las alertas de 268cdd02361e
Azure Security Center

Automatización de flujos de trabajo Implementar la automatización del 73d6ab6c-2475-4850-afd6-

para recomendaciones de seguridad área de trabajo para las 43795f3492ef
recomendaciones de Azure Security
Center

Empiece a usar las plantillas de automatización de flujos de trabajo.

Para más información sobre el uso de las dos directivas de exportación, consulte las secciones sobre la
configuración de la automatización de flujos de trabajo a escala mediante las directivas suministradas y sobre la
configuración de una exportación continua.
Nueva recomendación para usar NSG para proteger las máquinas virtuales sin conexión a Internet
El control de seguridad "implementar prácticas recomendadas de seguridad" incluye ahora la siguiente
recomendación nueva:
Las máquinas vir tuales sin conexión a Internet deben protegerse con grupos de seguridad de
red
Una recomendación existente (Las máquinas vir tuales sin conexión a Internet deben protegerse con
grupos de seguridad de red ) no distinguía entre las máquinas virtuales con y sin conexión a Internet. En
ambos casos, se generaba una recomendación de alta gravedad si una máquina virtual no estaba asignada a un
grupo de seguridad de red. Esta nueva recomendación separa las máquinas sin conexión a Internet para reducir
los falsos positivos y evitar alertas innecesarias de alta gravedad.
Obtenga más información en la tabla Recomendaciones de red.
Nuevas directivas para habilitar la protección contra amenazas y Advanced Data Security
Las nuevas directivas que se indican a continuación se agregaron a la iniciativa predeterminada de ASC y están
diseñadas para ayudar a habilitar la protección contra amenazas o Advanced Data Security para los tipos de
recursos pertinentes.
Las directivas se pueden encontrar en la directiva de Azure:

DIREC T IVA ID. DE DIREC T IVA

Advanced Data Security debe estar habilitado en los 7fe3b40f-802b-4cdd-8bd4-fd799c948cc2

servidores de Azure SQL Database
 DIREC T IVA ID. DE DIREC T IVA

Advanced Data Security debe estar habilitado en los 6581d072-105e-4418-827f-bd446d56421b

servidores SQL Server en las máquinas

Advanced Threat Protection debe estar habilitado en las 308fbb08-4ab8-4e67-9b29-592e93fb94fa

cuentas de almacenamiento de Azure

Advanced Threat Protection debe estar habilitado en los 0e6763cc-5078-4e64-889d-ff4d9a839047

almacenes de Azure Key Vault

Advanced Threat Protection debe estar habilitado en los 2913021d-f2fd-4f3d-b958-22354e2bdbcb

planes de Azure App Service

Advanced Threat Protection debe estar habilitado en los c25d9a16-bc35-4e15-a7e5-9db606bf9ed4

registros de Azure Container Registry

Advanced Threat Protection debe estar habilitado en los 523b5cd1-3e23-492f-a539-13118b6d1e3a

clústeres de Azure Kubernetes Service

Advanced Threat Protection debe estar habilitado en Virtual 4da35fc9-c9e7-4960-aec9-797fe7d9051d

Machines

Obtenga más información sobre la protección contra amenazas en Azure Security Center.

Mayo de 2020
Las actualizaciones de mayo incluyen:
Reglas de supresión de alertas (versión preliminar)
La evaluación de vulnerabilidades de la máquina virtual ya está disponible con carácter general
Cambios en el acceso a la máquina virtual (VM) Just-in-Time (JIT)
Las recomendaciones personalizadas se han migrado a un control de seguridad independiente
Alternancia agregada para ver las recomendaciones en controles o como una lista plana
Control de seguridad expandido "implementar prácticas recomendadas de seguridad"
Las directivas personalizadas con metadatos personalizados ya están disponibles con carácter general
Migración de funcionalidades de análisis de volcado de memoria a detección de ataques sin archivos
Reglas de supresión de alertas (versión preliminar)
Esta nueva característica (actualmente en versión preliminar) ayuda a reducir la fatiga de la alerta. Use reglas
para ocultar automáticamente las alertas que se sabe que son inocuas o relacionadas con las actividades
normales de su organización. Esto le permite centrarse en las amenazas más importantes.
Todavía se generarán alertas que coincidan con las reglas de supresión habilitadas, pero su estado se
establecerá en descartado. Puede ver el estado en el Azure Portal o tener acceso a las alertas de seguridad de
Security Center.
Las reglas de supresión definen los criterios para los que se deben descartar automáticamente las alertas.
Normalmente, se usaría una regla de supresión para:
Eliminar las alertas identificadas como falsos positivos
suprimir las alertas que se desencadenan con demasiada frecuencia para ser útiles
Más información sobre la supresión de alertas de protección contra amenazas de Azure Security Center.
La evaluación de vulnerabilidades de la máquina virtual ya está disponible con carácter general
El nivel estándar de Security Center ahora incluye una evaluación de vulnerabilidades integrada para máquinas
virtuales sin precio adicional. Esta extensión está basada en Qualys pero notifica sus hallazgos directamente de
nuevo a Security Center. No se necesita ninguna licencia ni cuenta de Qualys, ya que todo se administra sin
problemas en Security Center.
La nueva solución puede examinar continuamente las máquinas virtuales para encontrar vulnerabilidades y
presentar las conclusiones en Security Center.
Para implementar la solución, use la nueva recomendación de seguridad:
"Habilitar la solución de evaluación de vulnerabilidades integrada en las máquinas virtuales (con tecnología de
Qualys)"
Más información sobre la evaluación de vulnerabilidades integradas de Security Center para máquinas virtuales.
Cambios en el acceso a la máquina virtual (VM ) Just-in-Time (JIT )
Security Center incluye una característica opcional para proteger los puertos de administración de las máquinas
virtuales. Esto proporciona una defensa contra la forma más común de ataques por fuerza bruta.
Esta actualización lleva a cabo los siguientes cambios en esta característica:
Se ha cambiado el nombre de la recomendación que le aconseja habilitar JIT en una máquina virtual.
Anteriormente, "el control de acceso a red Just-in-Time se debe aplicar a las máquinas virtuales" ahora es:
"Los puertos de administración de las máquinas virtuales deben protegerse con el control de acceso de
red Just-In-Time".
La recomendación se desencadena solo si hay puertos de administración abiertos.
Más información acerca de la característica de acceso JIT.
Las recomendaciones personalizadas se han migrado a un control de seguridad independiente
Uno de los controles de seguridad incluidos con la puntuación segura mejorada fue "Implementación de
procedimientos recomendados de seguridad". Las recomendaciones personalizadas creadas para las
suscripciones se colocan automáticamente en ese control.
Para que sea más fácil encontrar las recomendaciones personalizadas, las hemos pasado a un control de
seguridad dedicado, "recomendaciones personalizadas". Este control no afecta a la puntuación segura.
Más información sobre los controles de seguridad en puntuación de seguridad mejorada (versión preliminar) de
Azure Security Center.
Alternancia agregada para ver las recomendaciones en controles o como una lista plana
Los controles de seguridad son grupos lógicos de recomendaciones de seguridad relacionadas. Reflejan las
superficies de ataque vulnerables. Un control es un conjunto de recomendaciones de seguridad con
instrucciones que le ayudan a implementar esas recomendaciones.
Para ver de inmediato cómo protege su organización cada superficie de ataque individual, revise las
puntuaciones de cada control de seguridad.
De forma predeterminada, las recomendaciones se muestran en los controles de seguridad. A partir de esta
actualización también se pueden mostrar como una lista. Para verlos como una lista simple ordenada por el
estado de mantenimiento de los recursos afectados, use el nuevo comando de alternancia "agrupar por
controles". El comando de alternancia está encima de la lista en el portal.
Los controles de seguridad y esta alternancia forman parte de la nueva experiencia de puntuación segura. No se
olvide de enviarnos sus comentarios desde dentro del portal.
Más información sobre los controles de seguridad en puntuación de seguridad mejorada (versión preliminar) de
Azure Security Center.

Control de seguridad expandido "implementar prácticas recomendadas de seguridad"

Uno de los controles de seguridad que incluye con la puntuación segura mejorada es "Implementación de
procedimientos recomendados de seguridad". Cuando una recomendación está en este control, no afecta a la
puntuación segura.
Con esta actualización, se han sacado tres recomendaciones de los controles en los que se colocaron
originalmente y en este control de prácticas recomendadas. Hemos realizado este paso porque hemos
determinado que el riesgo de estas tres recomendaciones es menor de lo que se pensó inicialmente.
Además, se han incorporado dos nuevas recomendaciones y se han agregado a este control.
Las tres recomendaciones que se movieron son:
MFA debe estar habilitada en las cuentas con permisos de lectura en la suscripción
(originalmente en el control "habilitar MFA")
Las cuentas externas con permisos de lectura deben quitarse de la suscripción (originalmente en
el control "administrar acceso y permisos")
Se debe designar un máximo de 3 propietarios para la suscripción (originalmente en el control
"administrar acceso y permisos")
Las dos nuevas recomendaciones que se han agregado al control son:
La extensión de configuración de invitado debe instalarse en máquinas vir tuales Windows
(versión preliminar): el uso de la configuración de invitado de Azure Policy proporciona visibilidad
dentro de las máquinas virtuales a la configuración de servidor y de aplicación (solo Windows).
 Protección contra vulnerabilidades de seguridad de Windows Defender debe estar habilitada
en las máquinas (versión preliminar) : Protección contra vulnerabilidades de seguridad de
Windows Defender aprovecha el agente de configuración de invitado de Azure Policy. La protección
contra vulnerabilidades de seguridad tiene cuatro componentes diseñados para bloquear dispositivos en
una amplia variedad de vectores de ataque y comportamientos de bloque utilizados habitualmente en
ataques de malware, al tiempo que permiten a las empresas equilibrar los requisitos de productividad y
riesgo de seguridad (solo Windows).
Más información sobre la protección contra vulnerabilidades de seguridad de Windows Defender en Crear e
implementar una directiva de protección contra vulnerabilidades.
Obtenga más información sobre los controles de seguridad en Puntuación de seguridad mejorada (versión
preliminar).
Las directivas personalizadas con metadatos personalizados ya están disponibles con carácter general
Las directivas personalizadas ahora forman parte de la experiencia de recomendaciones de Security Center, la
puntuación segura y el panel de normas de cumplimiento normativo. Esta característica ya está disponible con
carácter general y permite ampliar la cobertura de evaluación de seguridad de la organización en Security
Center.
Cree una iniciativa personalizada en Azure Policy, agréguele directivas e incorpore a Azure Security Center y
visualice como recomendaciones.
Ahora también hemos agregado la opción para editar los metadatos de recomendación personalizados. Las
opciones de metadatos incluyen gravedad, pasos de corrección, información de amenazas y mucho más.
Más información sobre mejora de las recomendaciones personalizadas con información detallada.
Migración de funcionalidades de análisis de volcado de memoria a detección de ataques sin archivos
Estamos integrando las capacidades de detección del análisis de volcado de memoria de Windows (CDA) en
detección de ataques sin archivos. El análisis de detección de ataques sin archivos no proporciona versiones
mejoradas de las siguientes alertas de seguridad para máquinas Windows: Inyección de código detectada, se
detectó un módulo de Windows enmascarado, shellcode detectado y segmento de código sospechoso.
Algunas de las ventajas de esta transición son:
Detección de malware proactiva y opor tuna : el enfoque de CDA implicaba esperar a que se
produjera un bloqueo y, después, ejecutar el análisis para encontrar artefactos malintencionados. El uso
de la detección de ataques sin archivos proporciona una identificación proactiva de las amenazas en
memoria mientras se ejecutan.
Aler tas enriquecidas : las alertas de seguridad de la detección de ataques sin archivos no están
disponibles en CDA, como la información de las conexiones de red activas.
Agregación de aler tas : cuando CDA detectó varios patrones de ataque en un solo volcado de memoria,
desencadenó varias alertas de seguridad. Detección de ataques sin archivos combina todos los patrones
de ataque identificados del mismo proceso en una única alerta, lo que elimina la necesidad de poner en
correlación varias alertas.
Requisitos reducidos en el área de trabajo de Log Analytics : los volcados que contienen datos
potencialmente confidenciales ya no se cargarán en el área de trabajo de Log Analytics.

Abril de 2020
Las actualizaciones de abril incluyen:
Los paquetes de cumplimiento dinámico ya están disponibles con carácter general
 Las recomendaciones de identidad ahora están incluidas en el nivel gratuito de Azure Security Center
Los paquetes de cumplimiento dinámico ya están disponibles con carácter general
El panel de cumplimiento normativo de Azure Security Center ahora incluye paquetes de cumplimiento
dinámico (ya disponible con carácter general) para realizar un seguimiento de los estándares de la industria y
normativas adicionales.
Los paquetes de cumplimiento dinámico se pueden agregar a su suscripción o grupo de administración desde la
página de la directiva de seguridad de Security Center. Cuando haya incorporado un estándar o una prueba
comparativa, el estándar aparece en el panel de cumplimiento normativo con todos los datos de cumplimiento
asociados asignados como evaluaciones. Podrá descargar un informe de resumen para cualquiera de los
estándares que se hayan incorporado.
Ahora, puede agregar estándares como:
NIST SP 800-53 R4
SWIFT CSP CSCF-v2020
UK Official y UK NHS
Canada Federal PBMM
Azure CIS 1.1.0 (nuevo) (que es una representación más completa de Azure CIS 1.1.0)
Además, recientemente hemos agregado el Azure Security Benchmark , las instrucciones específicas de Azure
creadas por Microsoft para las prácticas recomendadas de seguridad y cumplimiento basadas en los marcos de
cumplimiento comunes. Se admitirán estándares adicionales en el panel a medida que estén disponibles.
Más información sobre cómo personalizar el conjunto de estándares en el panel de cumplimiento normativo.
Recomendaciones de identidad ahora incluidas en el nivel gratuito de Azure Security Center
Las recomendaciones de seguridad para la identidad y el acceso en el nivel gratuito de Azure Security Center ya
están disponibles con carácter general. Esto forma parte del esfuerzo de hacer que las características de la
administración de posturas de seguridad en la nube (CSPM) sean gratuitas. Hasta ahora, estas recomendaciones
solo estaban disponibles en el plan de tarifa estándar.
Los ejemplos de recomendaciones de identidad y acceso incluyen:
"La autenticación multifactor debe estar habilitada en las cuentas con permisos de propietario en la
suscripción".
"Debe designar un máximo de tres propietarios para la suscripción".
"Las cuentas en desuso deben quitarse de la suscripción".
Si tiene suscripciones en el plan de tarifa gratuito, su puntuación de seguridad se verá afectada por este cambio
ya que nunca se evaluó su identidad y seguridad de acceso.
Más información sobre recomendaciones de identidad y acceso.
Obtenga más información cómo administrar la aplicación de la autenticación multifactor (MFA) en las
suscripciones.

Marzo de 2020
Las actualizaciones de marzo incluyen:
La automatización del flujo de trabajo ya está disponible con carácter general
Integración de Azure Security Center con Windows Admin Center
Protección para Azure Kubernetes Service
Experiencia Just-in-Time mejorada
 Dos recomendaciones de seguridad para las aplicaciones web en desuso
La automatización del flujo de trabajo ya está disponible con carácter general
La característica de automatización del flujo de trabajo de Azure Security Center ahora está disponible con
carácter general. Úsela para desencadenar automáticamente una instancia de Logic Apps sobre alertas y
recomendaciones de seguridad. Además, los desencadenadores manuales están disponibles para las alertas y
todas las recomendaciones que tienen la opción corrección rápida disponible.
Cada programa de seguridad incluye varios flujos de trabajo para la respuesta a incidentes. Estos procesos
pueden incluir notificaciones para las partes interesadas competentes, iniciar un proceso de administración de
cambios y aplicar pasos de corrección específicos. Los expertos en seguridad recomiendan automatizar tantos
pasos de esos procedimientos como sea posible. La automatización reduce la sobrecarga y puede mejorar la
seguridad asegurándose de que los pasos del proceso se realizan de forma rápida, coherente y según sus
requisitos predefinidos.
Para más información acerca de las capacidades de Security Center automática y manual para ejecutar los flujos
de trabajo, consulte automatización de flujos de trabajo.
Más información acerca de la creación de Logic Apps.
Integración de Azure Security Center con Windows Admin Center
Ahora es posible migrar los servidores de Windows locales desde Windows Admin Center directamente al
Azure Security Center. Security Center, a continuación, se convierte en el único panel para ver la información de
seguridad de todos los recursos de Windows Admin Center, incluidos los servidores locales, las máquinas
virtuales y las cargas de trabajo PaaS adicionales.
Después de mover un servidor de Windows Admin Center a Azure Security Center, podrá realizar lo siguiente:
Ver alertas y recomendaciones de seguridad en la extensión de Security Center de Windows Admin Center.
Ver la postura de seguridad y recuperar información detallada adicional de los servidores administrados de
Windows Admin Center en Security Center, mediante Azure Portal (o a través de una API).
Más información sobre cómo integrar Azure Security Center con Windows Admin Center.
Protección para Azure Kubernetes Service
Azure Security Center está expandiendo sus características de seguridad de contenedor para proteger Azure
Kubernetes Service (AKS).
La popular plataforma de código abierto Kubernetes se ha adoptado tan ampliamente que ahora es un estándar
del sector para la orquestación de contenedores. A pesar de esta implementación generalizada, todavía hay una
falta de comprensión sobre cómo proteger un entorno de Kubernetes. Defender las superficies de ataque de una
aplicación en contenedores requiere conocimientos para asegurarse de que la infraestructura esté configurada
de forma segura y se supervise constantemente para detectar posibles amenazas.
La defensa de Security Center incluye:
Detección y visibilidad : detección continua de instancias de AKS administradas dentro de las suscripciones
registradas de Security Center.
Recomendaciones de seguridad : recomendaciones útiles para ayudarle a cumplir los procedimientos
recomendados de seguridad para AKS. Estas recomendaciones se incluyen en su puntuación segura para
asegurarse de que se ven como parte de la postura de seguridad de su organización. Un ejemplo de una
recomendación relacionada con AKS que podría ver es que "se debe usar el control de acceso basado en
roles para restringir el acceso a un clúster de servicio de Kubernetes".
Protección contra amenazas : gracias al análisis continuo de la implementación de AKS, Security Center le
alerta de las amenazas y actividades malintencionadas que se detectan en el host y el nivel de clúster de AKS.
Más información acerca de integración de Azure Kubernetes Services con Security Center.
Más información sobre las características de seguridad de los contenedores en Security Center.
Experiencia Just-in-Time mejorada
Las características, la operación y la interfaz de usuario de las herramientas Just-in-Time de Azure Security
Center que protegen los puertos de administración se han mejorado de la manera siguiente:
Campo de justificación : al solicitar acceso a una máquina virtual (VM) a través de la página Just-in-Time
del Azure Portal, hay un nuevo campo opcional disponible para especificar una justificación para la solicitud.
Se puede realizar un seguimiento de la información especificada en este campo en el registro de actividad.
Limpieza automática de reglas Just-In-Time (JIT) redundantes : siempre que se actualiza una directiva
JIT, se ejecuta automáticamente una herramienta de limpieza para comprobar la validez de todo el conjunto
de reglas. La herramienta busca discrepancias entre las reglas de la directiva y las reglas del grupo de
seguridad de red. Si la herramienta de limpieza encuentra una discrepancia, determina la causa y, cuando es
seguro hacerlo, quita las reglas integradas que ya no son necesarias. El limpiador no elimina nunca las reglas
que ha creado.
Más información acerca de la característica de acceso JIT.
Dos recomendaciones de seguridad para las aplicaciones web en desuso
Dos recomendaciones de seguridad relacionadas con las aplicaciones web están en desuso:
Se deben proteger las reglas de las aplicaciones web en los grupos de seguridad de red de IaaS.
(Directiva relacionada: Se deben proteger las reglas de NSG para las aplicaciones web en IaaS).
El acceso a App Services debe estar restringido. (Directiva relacionada: El acceso a App Services debe
estar restringido [versión preliminar])
Estas recomendaciones ya no aparecerán en la lista de Security Center de recomendaciones. Las directivas
relacionadas ya no se incluirán en la iniciativa denominada "valor predeterminado de Security Center".
Más información sobre las recomendaciones de seguridad.

Febrero de 2020
Detección de ataques sin archivos para Linux (versión preliminar)
A medida que los atacantes aumentan el empleo de métodos stealthier para evitar la detección, Azure Security
Center está ampliando la detección de ataques no archivados para Linux, además de Windows. Los ataques sin
archivos no aprovechan las vulnerabilidades del software, insertan cargas malintencionadas en procesos
benignos del sistema y se ocultan en la memoria. Estas técnicas:
minimiza o eliminan seguimientos de malware en disco
reducen considerablemente las posibilidades de detección mediante soluciones de análisis de malware
basadas en disco
Para contrarrestar esta amenaza, Azure Security Center publicó la detección de ataques sin archivos para
Windows en octubre de 2018 y ahora ha extendido la detección de ataques sin archivos en Linux.

Enero de 2020
Puntuación de seguridad mejorada (versión preliminar)
Ahora hay disponible una versión mejorada de la característica de puntuación segura de Azure Security Center
en versión preliminar. En esta versión, se agrupan varias recomendaciones en controles de seguridad que
reflejan mejor las superficies de ataque vulnerables (por ejemplo, restringir el acceso a los puertos de
administración).
Familiarícese con los cambios de puntuación segura durante la fase de versión preliminar y determine otras
correcciones que le ayudarán a proteger más su entorno.
Obtenga más información sobe la puntuación de seguridad mejorada (versión preliminar).

Noviembre de 2019
Las actualizaciones de noviembre incluyen:
Protección contra amenazas para Azure Key Vault en regiones de Norteamérica (versión preliminar)
La protección contra amenazas para Azure Storage incluye el filtrado de reputación de malware
Automatización del flujo de trabajo con Logic Apps (versión preliminar)
Corrección rápida de los recursos en masa disponibles con carácter general
Examen de imágenes de contenedor para detectar vulnerabilidades (versión preliminar)
Estándares de cumplimiento normativo adicionales (versión preliminar)
Protección contra amenazas para Azure Kubernetes Service (versión preliminar)
Evaluación de vulnerabilidades de máquinas virtuales (versión preliminar)
Advanced Data Security para servidores SQL Server en Azure Virtual Machines (versión preliminar)
Compatibilidad con directivas personalizadas (versión preliminar)
Ampliación de la cobertura de Azure Security Center con la plataforma para la comunidad y los asociados
Integraciones avanzadas con la exportación de recomendaciones y alertas (versión preliminar)
Incorporación de servidores locales a Security Center desde Windows Admin Center (versión preliminar)
Protección contra amenazas para Azure Key Vault en regiones de Norteamérica (versión preliminar)
Azure Key Vault es un servicio esencial para proteger los datos y mejorar el rendimiento de las aplicaciones en
la nube, ya que ofrece la posibilidad de administrar de forma centralizada claves, secretos, claves criptográficas y
directivas en la nube. Como Azure Key Vault almacena datos confidenciales y críticos para la empresa, requiere
la máxima seguridad para los almacenes de claves y los datos almacenados en ellos.
El soporte de Azure Security Center para Threat Protection para Azure Key Vault proporciona un nivel adicional
de inteligencia de seguridad que detecta intentos poco habituales y potencialmente peligrosos de acceder a los
almacén de claves o vulnerarlos. Esta nueva capa de protección permite a los clientes afrontar las amenazas
contra sus almacenes sin necesidad de ser un experto en seguridad ni administrar sistemas de supervisión de la
seguridad. La característica está en versión preliminar pública en regiones Norteamérica.
La protección contra amenazas para Azure Storage incluye el filtrado de reputación de malware
La protección contra amenazas para Azure Storage ofrece nuevas detecciones basadas en la inteligencia sobre
amenazas de Microsoft para detectar cargas de malware en Azure Storage mediante el análisis de reputación de
hash y accesos sospechosos desde un nodo de salida de Tor activo (un proxy de anonimización). Ahora puede
ver el malware detectado en todas las cuentas de almacenamiento mediante Azure Security Center.
Automatización del flujo de trabajo con Logic Apps (versión preliminar)
Organizaciones con seguridad administrada centralmente y de TI/operaciones que implementan procesos de
flujo de trabajo internos para impulsar la acción necesaria dentro de la organización cuando se detectan
discrepancias en sus entornos. En muchos casos, estos flujos de trabajo son procesos repetibles y la
automatización puede optimizar considerablemente los procesos dentro de la organización.
Hoy estamos presentando una nueva funcionalidad en Security Center que permite a los clientes crear
configuraciones de automatización que aprovechan Azure Logic Apps y crear directivas que las desencadenarán
automáticamente en función de determinados resultados de ASC, como recomendaciones o alertas. La
aplicación lógica de Azure se puede configurar para realizar cualquier acción personalizada compatible con la
amplia comunidad de conectores de aplicaciones lógicas, o bien usar una de las plantillas proporcionadas por
Security Center como enviar un correo electrónico o abrir un vale de ServiceNow™.
Para más información acerca de las capacidades de Security Center automática y manual para ejecutar los flujos
de trabajo, consulte automatización de flujos de trabajo.
Para información acerca de la creación de Logic Apps, consulte Azure Logic Apps.
Corrección rápida de los recursos en masa disponibles con carácter general
Con las muchas tareas que se proporcionan a un usuario como parte de la puntuación segura, la capacidad de
corregir los problemas de forma eficaz en una flota de gran tamaño puede resultar complicada.
Para simplificar la corrección de las configuraciones erróneas de seguridad y poder corregir rápidamente las
recomendaciones en una gran parte de los recursos y mejorar la puntuación segura, use la corrección rápida.
Esta operación le permitirá seleccionar los recursos a los que desea aplicar la corrección e iniciar una acción
correctiva que configurará la configuración en su nombre.
La corrección rápida está disponible con carácter general para los clientes de hoy en día como parte de la
página de recomendaciones de Security Center.
Vea qué recomendaciones tiene habilitada la corrección rápida en la guía de referencia para recomendaciones
de seguridad.
Examinar imágenes de contenedor para detectar vulnerabilidades (versión preliminar)
Ahora Azure Security Center puede examinar imágenes de contenedor en Azure Container Registry para
detectar vulnerabilidades.
El análisis de imágenes funciona mediante el análisis del archivo de imagen del contenedor y la comprobación
de la existencia de alguna vulnerabilidad conocida (con la tecnología Qualys).
El propio análisis se desencadena automáticamente al insertar nuevas imágenes de contenedor en Azure
Container Registry. Las vulnerabilidades detectadas se verán como recomendaciones de Security Center y se
incluirán en la puntuación segura de Azure junto con información sobre cómo aplicarles revisiones para reducir
la superficie expuesta a los ataques que permitían.
Estándares de cumplimiento normativo adicionales (versión preliminar)
En el panel de cumplimiento normativo se ofrece información sobre la postura de cumplimiento basado en las
evaluaciones de Security Center. En el panel se muestra cómo el entorno cumple los controles y requisitos
designados por estándares normativos específicos y pruebas comparativas del sector, y proporciona
recomendaciones prescriptivas para abordar estos requisitos.
Por lo tanto, el panel de cumplimiento normativo ha admitido cuatro estándares integrados: Azure CIS 1.1.0,
PCI-DSS, ISO 27001, y SOC-TSP. Ahora anunciamos la versión preliminar pública de estándares admitidos
adicionales: NIST SP 800-53 R4, SWIFT CSP CSCF v2020, Canada Federal PBMM y UK Official junto con UK NHS.
También lanzamos una versión actualizada de Azure CIS 1.1.0, que cubre más controles del estándar y la mejora
de la extensibilidad.
Obtenga más información sobre cómo personalizar el conjunto de estándares en el panel de cumplimiento
normativo.
Protección contra amenazas para Azure Kubernetes Service (versión preliminar)
Kubernetes se convierte rápidamente en el nuevo estándar para implementar y administrar software en la nube.
Pocas personas tienen una amplia experiencia con Kubernetes y muchos solo se centran en la ingeniería y
administración generales y pasan por alto el aspecto de seguridad. El entorno de Kubernetes debe configurarse
cuidadosamente para que sea seguro, asegurándose de que no se deja abierta ninguna puerta expuesta a
ataques de contenedor para los atacantes. Security Center está expandiendo su compatibilidad en el espacio del
contenedor a uno de los servicios en crecimiento más rápido de Azure: Azure Kubernetes Service (AKS).
Las nuevas capacidades de esta versión preliminar pública incluyen:
 Detección y visibilidad : detección continua de instancias de AKS administradas dentro de las suscripciones
registradas de Security Center.
Recomendaciones de puntuación de seguridad : Elementos procesables para ayudar a los clientes a
cumplir con los procedimientos recomendados de seguridad para AKS y aumentar su puntuación de
seguridad. Las recomendaciones incluyen elementos como "El control de acceso basado en rol debe usarse
para restringir el acceso a un clúster de servicio de Kubernetes".
Detección de amenazas : análisis basados en host y en clúster, como "Se ha detectado un contenedor con
privilegios".
Evaluación de vulnerabilidades de máquinas virtuales (versión preliminar)
Las aplicaciones que se instalan en máquinas virtuales a menudo pueden tener vulnerabilidades que podrían
provocar una infracción de la máquina virtual. Estamos anunciando que el nivel estándar de Security Center
incluye una evaluación de vulnerabilidades integrada para máquinas virtuales sin costo adicional. La evaluación
de vulnerabilidades, con la tecnología de Qualys en la versión preliminar pública, le permitirá examinar
continuamente todas las aplicaciones instaladas en una máquina virtual para encontrar aplicaciones vulnerables
y presentar las conclusiones en la experiencia del portal de Security Center. Security Center se encarga de todas
las operaciones de implementación para que no sea necesario ningún trabajo adicional por parte del usuario. En
adelante, tenemos previsto proporcionar opciones de evaluación de vulnerabilidades para satisfacer las
necesidades empresariales únicas de nuestros clientes.
Más información acerca de evaluaciones de vulnerabilidades para Azure Virtual Machines.
Advanced Data Security para servidores SQL Server en Azure Virtual Machines (versión preliminar)
La compatibilidad de Azure Security Center para la protección contra amenazas y la evaluación de
vulnerabilidades en las bases de SQL que se ejecutan en máquinas virtuales IaaS está ahora en versión
preliminar.
Evaluación de vulnerabilidades es un servicio fácil de configurar que puede detectar, realizar un seguimiento y
ayudarle a corregir posibles puntos vulnerables de una base de datos. Permite ver la postura de seguridad como
parte de la puntuación segura de Azure e incluye los pasos para resolver problemas de seguridad y mejorar las
defensas de su base de datos.
Advanced Threat Protection detecta actividades anómalas que indican intentos inusuales y potencialmente
perjudiciales de acceder a su servidor SQL Server o de aprovechar sus vulnerabilidades. Supervisa de forma
constante la base de datos en busca de actividad sospechosa y proporciona alertas de seguridad sobre patrones
de acceso a la base de datos anómalos para que pueda tomar medidas. Las alertas proporcionan detalles de la
actividad sospechosa y recomiendan acciones para investigar y mitigar la amenaza.
Compatibilidad con directivas personalizadas (versión preliminar)
Azure Security Center admite ahora directivas personalizadas (en versión preliminar).
Nuestros clientes han estado intentando ampliar su cobertura de evaluaciones de seguridad actual en Security
Center con sus propias evaluaciones de seguridad basadas en las directivas que crean en Azure Policy. Gracias a
la compatibilidad con las directivas personalizadas, ahora es posible.
Estas nuevas directivas formarán parte de la experiencia de recomendaciones de Security Center, la puntuación
segura y el panel de normas de cumplimiento normativo. Con la compatibilidad con las directivas
personalizadas, ahora puede crear una iniciativa personalizada en Azure Policy y, a continuación, agregarla como
una directiva en Security Center y visualizarla como una recomendación.
Ampliación de la cobertura de Azure Security Center con la plataforma para la comunidad y los asociados
Use Security Center para recibir recomendaciones no solo de Microsoft, sino también de soluciones existentes
de asociados como Check Point, Tenable y CyberArk con muchas más integraciones. El flujo de incorporación
simple de Security Center puede conectar las soluciones existentes a Security Center, lo que permite ver las
recomendaciones de seguridad en un único lugar, ejecutar informes unificados y aprovechar todas las
funcionalidades de Security Center con las recomendaciones integradas y de asociados. También puede exportar
las recomendaciones de Security Center a productos de asociados.
Más información sobre Intelligent Security Association.
Integraciones avanzadas con la exportación de recomendaciones y alertas (versión preliminar)
Con el fin de habilitar escenarios de nivel empresarial sobre Security Center, ahora es posible consumir alertas y
recomendaciones de Security Center en otros lugares, excepto el Azure Portal o la API. Estos se pueden exportar
directamente a un centro de eventos y áreas de trabajo de Log Analytics. Estos son algunos de los flujos de
trabajo que puede crear en torno a estas nuevas capacidades:
Con la exportación al área de trabajo de Log Analytics, puede crear paneles personalizados con Power BI.
Con la exportación al centro de eventos, podrá exportar alertas y recomendaciones de Security Center a los
SIEM de terceros, a una solución de terceros en tiempo real o a Azure Data Explorer.
Incorporación de servidores locales a Security Center desde Windows Admin Center (versión preliminar)
Windows Admin Center es un portal de administración para los servidores de Windows que no están
implementados en Azure y que ofrecen varias funcionalidades de administración de Azure, como copias de
seguridad y actualizaciones del sistema. Recientemente hemos agregado una capacidad para incorporar estos
servidores que no son de Azure para que ASC los proteja directamente de la experiencia de Windows Admin
Center.
Con esta nueva experiencia, los usuarios van a incorporar un servidor de WAC a Azure Security Center y
habilitar la visualización de las alertas y recomendaciones de seguridad directamente en la experiencia de
Windows Admin Center.

Septiembre de 2019
Las actualizaciones de septiembre incluyen:
Administración de reglas con mejoras de controles de aplicación adaptables
Control de la recomendación de seguridad del contenedor mediante Azure Policy
Administrar reglas con mejoras de controles de aplicación adaptables
Se ha mejorado la experiencia de administración de reglas para máquinas virtuales mediante controles de
aplicación adaptables. Los controles de aplicación adaptables de Azure Security Center ayudan a controlar qué
aplicaciones se pueden ejecutar en las máquinas virtuales. Además de una mejora general en la administración
de reglas, una nueva ventaja le permite controlar qué tipos de archivo se protegerán cuando agregue una nueva
regla.
Más información acerca de los controles de aplicación adaptables.
Controlar la recomendación de seguridad del contenedor mediante Azure Policy
La recomendación de Azure Security Center para corregir vulnerabilidades en la seguridad de los contenedores
ahora puede habilitarse o deshabilitarse a través de Azure Policy.
Para ver las directivas de seguridad habilitadas, en Security Center abra la página Directiva de seguridad.

Agosto de 2019
Las actualizaciones de agosto incluyen:
Acceso a máquina virtual Just-in-Time (JIT) para Azure Firewall
Corrección de un solo clic para impulsar la postura de seguridad (versión preliminar)
Administración entre inquilinos
Acceso a máquina virtual Just-in-Time (JIT ) para Azure Firewall
El acceso a máquina virtual Just-in-Time (JIT) para Azure Firewall ya está disponible con carácter general. Úselo
para proteger sus entornos protegidos con Azure Firewall además de los entornos protegidos con NSG.
El acceso de máquina virtual JIT reduce la exposición a los ataques volumétricos de red al proporcionar acceso
controlado a las máquinas virtuales solo cuando sea necesario, mediante el uso de las reglas de NSG y Azure
Firewall.
Al habilitar JIT para las máquinas virtuales, se crea una directiva que determina los puertos que se van a
proteger, cuánto tiempo deben permanecer abiertos los puertos y las direcciones IP aprobadas desde donde se
puede tener acceso a estos puertos. Esta directiva le ayuda a mantener el control de lo que los usuarios pueden
hacer cuando solicitan acceso.
Las solicitudes se registran en el registro de actividad de Azure para que pueda supervisar y auditar fácilmente
el acceso. La página Just-in-Time también le ayuda a identificar rápidamente las máquinas virtuales existentes
que tienen habilitado JIT y las máquinas virtuales en las que se recomienda JIT.
Más información acerca de Azure Firewall.
Corrección de un solo clic para impulsar la postura de seguridad (versión preliminar)
La puntuación segura es una herramienta que le ayuda a evaluar la postura de seguridad de las cargas de
trabajo. Revisa las recomendaciones de seguridad y les asigna una prioridad, para que usted sepa qué
recomendaciones realizar primero. De esta manera, puede encontrar las vulnerabilidades de seguridad más
graves para dar prioridad a la investigación.
Con el fin de simplificar la corrección de configuraciones incompletas de seguridad y ayudarle a mejorar
rápidamente su puntuación segura, hemos agregado una nueva funcionalidad que le permite corregir una
recomendación en una gran parte de los recursos con un solo clic.
Esta operación le permitirá seleccionar los recursos a los que desea aplicar la corrección e iniciar una acción
correctiva que configurará la configuración en su nombre.
Vea qué recomendaciones tiene habilitada la corrección rápida en la guía de referencia para recomendaciones
de seguridad.
Administración entre inquilinos
Security Center admite ahora escenarios de administración entre inquilinos como parte de Azure Lighthouse.
Esto le permite obtener visibilidad y administrar la postura de seguridad de varios inquilinos en Security Center.
Más información sobre las experiencias de administración entre inquilinos.

Julio de 2019
Actualizaciones de recomendaciones sobre redes
Azure Security Center (ASC) ha lanzado nuevas recomendaciones de redes y ha mejorado algunas existentes.
Ahora, el uso de Security Center garantiza una mayor protección de la red para los recursos.
Más información sobre las recomendaciones de redes.

Junio de 2019
Protección de redes adaptable: disponible con carácter general
Una de las superficies de ataque más importantes para las cargas de trabajo que se ejecutan en la nube pública
son las conexiones hacia y desde la red pública de Internet. Nuestros clientes saben que es difícil saber qué
reglas del grupo de seguridad de red (NSG) deben estar en vigor para asegurarse de que las cargas de trabajo
de Azure solo están disponibles para los intervalos de origen necesarios. Con esta característica, Security Center
aprende los patrones de conectividad y el tráfico de red de las cargas de trabajo de Azure y proporciona
recomendaciones de reglas de NSG, para las máquinas virtuales orientadas a Internet. Esto ayuda a nuestro
cliente a configurar mejor las directivas de acceso a la red y limitar su exposición a los ataques.
Más información sobre la protección de red adaptable.
 Seguridad de datos de Azure Defender
30/03/2021 • 8 minutes to read • Edit Online

Para ayudar a los clientes a evitar, detectar y responder a las amenazas, Azure Security Center recopila y procesa
datos relacionados con la seguridad, entre los que se incluyen la información de configuración, los metadatos y
los registros de eventos, entre otros. Microsoft se adhiere a instrucciones estrictas de seguridad y cumplimiento
de normas, desde la codificación hasta la operación de un servicio.
En este artículo se explica cómo se administran y protegen los datos en Defender.

Orígenes de datos
En Defender se analizan los datos de los orígenes siguientes para proporcionar visibilidad de su estado de
seguridad, identificar vulnerabilidades y recomendar mitigaciones y detectar amenazas activas:
Ser vicios de Azure : utiliza la información acerca de la configuración de los servicios de Azure que se hayan
implementado mediante la comunicación con el proveedor de recursos de cada uno de dichos servicios.
Tráfico de red : usa metadatos muestreados del tráfico de red de la infraestructura de Microsoft, como la IP
o el puerto de origen o destino, el tamaño de paquete y el protocolo de red.
Soluciones de asociados : usa alertas de seguridad de las soluciones de asociados integradas, como
firewalls y soluciones antimalware.
Los equipos : usa los detalles de configuración y la información sobre eventos de seguridad, como los
eventos y registros de auditoría de Windows, y los mensajes de Syslog de las máquinas virtuales.

Protección de los datos

Segregación de datos
los datos se mantienen separados de forma lógica en cada componente a lo largo de todo el servicio. Todos los
datos se etiquetan por organización. Este etiquetado persiste a lo largo del ciclo de vida de los datos y se aplica
en cada nivel del servicio.
Acceso a datos
Para proporcionar recomendaciones de seguridad e investigar las posibles amenazas de seguridad, el personal
de Microsoft puede obtener acceso a la información recopilada o analizada por los servicios de Azure, incluidos
los eventos de creación de proceso y otros artefactos, que de forma involuntaria pueden incluir datos de cliente
o datos personales de sus máquinas.
Cumplimos el anexo de protección de datos de Microsoft Online Services, en donde se estipula que Microsoft
no utilizará los datos de los clientes ni información derivada de ellos con fines comerciales, publicitarios o
similares. Solo usamos los datos del cliente necesarios para proporcionar los servicios de Azure. El usuario
conserva todos los derechos sobre los datos del cliente.
Uso de datos
Microsoft utiliza los patrones y la información sobre amenazas vistos en varios inquilinos para mejorar las
funcionalidades de detección y prevención; esto se realiza según lo dispuesto en los compromisos de privacidad
que se describen en nuestra declaración de privacidad.

Administración de recopilación de datos de máquinas

Al habilitar Security Center en Azure, la recopilación de datos se activa para todas las suscripciones de Azure.
También se puede habilitar la recopilación de datos para las suscripciones en Defender. Cuando se activa la
recopilación de datos, Defender aprovisiona al agente de Log Analytics en todas las máquinas virtuales de Azure
compatibles existentes y en las que se crean.
El agente de Log Analytics busca diversos eventos y configuraciones relacionados con la seguridad y los envía a
seguimientos de Seguimiento de eventos para Windows (ETW). Además, el sistema operativo generará eventos
del registro de eventos mientras la máquina se ejecute. Estos son algunos ejemplos de dichos datos: tipo y
versión del sistema operativo, registros del sistema operativo (registros de eventos de Windows), procesos en
ejecución, nombre de la máquina, direcciones IP, usuario conectado e identificador de inquilino. El agente de Log
Analytics lee las entradas de los registros de eventos y los seguimientos de ETW, y los copia en las áreas de
trabajo para el análisis. El agente de Log Analytics también habilita eventos de creación de procesos y la
auditoría de línea de comandos.
Si no utiliza Azure Defender, también puede deshabilitar la recopilación de datos de las máquinas virtuales en la
directiva de seguridad. La recopilación de datos es necesaria para las suscripciones que están protegidas por
Azure Defender. Las instantáneas de disco de máquina virtual y la recolección de artefactos continuará
habilitada aunque la recopilación de datos se deshabilite.
Puede especificar el área de trabajo y la región donde se almacenan los datos recopilados de sus máquinas. El
valor predeterminado es almacenar los datos recopilados de las máquinas en el área de trabajo más cercana, tal
como se muestra en la tabla siguiente:

GEO Á REA DE L A M Á Q UIN A VIRT UA L GEO Á REA DEL Á REA DE T RA B A JO

Estados Unidos, Brasil, Canadá Estados Unidos

Canadá Canadá

Europa (excepto el Reino Unido) Europa

Reino Unido Reino Unido

Asia (excepto India, Japón, Corea, China) Asia Pacífico

Corea Asia Pacífico

India India

Japón Japón

China China

Australia Australia

NOTE
Azure Defender para Storage almacena los artefactos en regiones según la ubicación del recurso de Azure
relacionado. Más información en Introducción a Azure Defender para Storage.

Consumo de datos
Los clientes pueden acceder a los datos relacionados de Defender desde los siguientes flujos de datos:
 ST REA M T IP O S DE DATO S

Registro de actividad de Azure Todas las alertas de seguridad, las solicitudes de acceso Just-
In-Time aprobadas de Defender y todas las alertas
generadas por los controles de aplicaciones adaptables.

Registros de Azure Monitor Todas las alertas de seguridad.

Azure Resource Graph Las alertas de seguridad, las recomendaciones de seguridad,

los resultados de la evaluación de vulnerabilidades, la
información de puntuación segura, el estado de las
comprobaciones de cumplimiento, etc.

API REST de Azure Security Center Las alertas de seguridad, las recomendaciones de seguridad
y mucho más.

Pasos siguientes
En este documento, se ha explicado cómo se administran y protegen los datos en Azure Security Center.
Para más información sobre Azure Defender, consulte ¿Qué es Azure Defender?
 Línea de base de seguridad de Azure para Security
Center
30/03/2021 • 55 minutes to read • Edit Online

Esta línea de base de seguridad aplica la guía de Azure Security Benchmark a Azure Security Center. Azure
Security Benchmark proporciona recomendaciones sobre cómo puede proteger sus soluciones de nube en
Azure. El contenido se agrupa por los controles de seguridad definidos en Azure Security Benchmark y la
guía relacionada que se aplica a Azure Security Center. Se han excluido los controles no aplicables a Azure
Security Center. Para ver cómo se asigna Azure Security Center por completo a Azure Security Benchmark,
consulte el archivo de asignación de línea de base de seguridad de Azure Security Center completo.

Seguridad de las redes

Para obtener más información, consulte Azure Security Benchmark: Seguridad de redes.
1.1: Protección de los recursos de Azure dentro de las redes virtuales
Guía : Azure Security Center es una oferta básica de Azure. No se pueden asociar redes virtuales, subredes ni
grupos de seguridad de red directamente a Security Center. Si habilita la recopilación de datos para los recursos
de proceso y Security Center almacena después los datos que recopila a través de un área de trabajo Log
Analytics, podrá configurar esa área de trabajo con el objetivo de usar Private Link para acceder a los datos de
dicha área de trabajo a través de un punto de conexión privado de la red virtual. Además, al usar la recopilación
de datos, Security Center se basará en el agente de Log Analytics que se implementa en los servidores para
recopilar datos de seguridad y proporcionar protección a estos recursos de proceso. El agente de Log Analytics
requiere que se abran determinados puertos y protocolos para que funcione correctamente con Security Center.
Bloquee las redes para permitir solo estos puertos y protocolos necesarios y agregue únicamente las reglas
adicionales que la aplicación necesita para funcionar correctamente a través de grupos de seguridad de red.
Recopilación de datos en Azure Security Center
Filtrado del tráfico de red con un grupo de seguridad de red
Requisitos de firewall para usar el agente de Log Analytics
¿Qué es Azure Private Link?
Super visión de Azure Security Center : No aplicable
Responsabilidad : Customer
1.9: Mantenga las configuraciones de seguridad estándar para dispositivos de red
Guía : La oferta Azure Security Center no se integra directamente con una red virtual, pero puede recopilar
datos de servidores configurados con el agente de Log Analytics que se implementan en las redes. Los
servidores que están configurados para enviar datos a Security Center requieren que determinados puertos y
protocolos puedan comunicarse correctamente. Defina e implemente configuraciones de seguridad estándar
para esos recursos de red con Azure Policy.
También puede usar Azure Blueprints para simplificar las implementaciones de Azure a gran escala
empaquetando artefactos de entorno clave, como plantillas de Azure Resource Manager, asignaciones de roles y
asignaciones de Azure Policy, en una única definición de plano técnico. Puede aplicar el plano técnico a nuevas
suscripciones para implementar configuraciones de Security Center y recursos de red relacionados de forma
coherente y segura.
 Recopilación de datos en Azure Security Center
Requisitos de firewall para usar el agente de Log Analytics
Configuración y administración de Azure Policy
Ejemplos de Azure Policy para redes
Creación de un plano técnico de Azure
Super visión de Azure Security Center : No aplicable
Responsabilidad : Customer
1.10: Documente las reglas de configuración de tráfico
Guía : La oferta Azure Security Center no se integra directamente con una red virtual, pero puede recopilar
datos de servidores configurados con el agente de Log Analytics que se implementan en las redes. Los
servidores que están configurados para enviar datos a Security Center requieren que determinados puertos y
protocolos puedan comunicarse correctamente. Defina e implemente configuraciones de seguridad estándar
para esos recursos de red con Azure Policy.
Use etiquetas de recursos para los grupos de seguridad de red y otros recursos, como los servidores de las
redes que están configurados para enviar registros de seguridad a Azure Security Center. En el caso de las reglas
de grupo de seguridad de red individuales, use el campo "Descripción" para documentar las reglas que permiten
con origen y destino en una red.
Use cualquiera de las definiciones de Azure Policy integradas relacionadas con el etiquetado, como "Requerir
etiqueta y su valor", para asegurarse de que todos los recursos se creen con etiquetas y para notificarle los
recursos no etiquetados existentes.
Puede usar Azure PowerShell o la CLI de Azure para buscar o realizar acciones en los recursos en función de sus
etiquetas.
Recopilación de datos en Azure Security Center
Requisitos de firewall para usar el agente de Log Analytics
Creación y uso de etiquetas
Creación de una red virtual de Azure
Filtrado del tráfico de red con reglas de grupos de seguridad de red
Super visión de Azure Security Center : No aplicable
Responsabilidad : Customer
1.11: Use herramientas automatizadas para supervisar las configuraciones de recursos de red y detectar
cambios
Guía : use el registro de actividad de Azure para supervisar las configuraciones de los recursos de red y detectar
cambios en los recursos de red relacionados con Azure Security Center. Cree alertas en Azure Monitor para
recibir una notificación cuando se produzcan cambios en recursos críticos.
Visualización y recuperación de eventos del registro de actividad de Azure
Creación de alertas en Azure Monitor
Super visión de Azure Security Center : No aplicable
Responsabilidad : Customer
Registro y supervisión
Para obtener más información, consulte Azure Security Benchmark: registro y supervisión.
2.2: Configuración de la administración central de registros de seguridad
Guía : agregue los datos de seguridad que ha generado Azure Security Center y sus orígenes conectados usando
un área de trabajo central de Log Analytics.
Configure la recopilación de datos de Security Center para enviar eventos y datos de seguridad desde los
recursos de proceso de Azure conectados a un área de trabajo central de Log Analytics. Además de la
recopilación de datos, use la característica de exportación continua para enviar las alertas de seguridad y
recomendaciones que genera Security Center al área de trabajo central de Log Analytics. En Azure Monitor,
puede consultar y realizar análisis en los datos de seguridad generados a partir de Security Center y los
recursos de Azure conectados.
Como alternativa, puede enviar los datos generados por Security Center a Azure Sentinel o a una herramienta
SIEM de terceros.
Exportación continua de alertas y recomendaciones de seguridad
Recopilación de datos en Azure Security Center
Incorporación de Azure Sentinel
Recopilación de registros y métricas de plataforma con Azure Monitor
Recopilación de registros de host internos de máquina virtual de Azure con Azure Monitor
Introducción a Azure Monitor e integración con herramienta SIEM de terceros
Super visión de Azure Security Center : No aplicable
Responsabilidad : Customer
2.3: Habilitación del registro de auditoría para recursos de Azure
Guía : Los registros de actividad de Azure Monitor están disponibles de forma automática y contienen todas las
operaciones de escritura para el recurso, como Azure Security Center, incluidas las operaciones que se
realizaron, quién inició la operación y cuándo. Envíe los registros de actividad de Azure a un área de trabajo de
Log Analytics para consolidarlos y aumentar la retención.
Recopilación de registros y métricas de plataforma con Azure Monitor
Descripción del registro y de los distintos tipos de registro de Azure
Envío de registros de actividad a un área de trabajo de Log Analytics
Super visión de Azure Security Center : No aplicable
Responsabilidad : Customer
2.5: Configuración de la retención del almacenamiento de registros de seguridad
Guía : En Azure Monitor, establezca el período de retención del área de trabajo de Log Analytics de acuerdo con
la normativa de cumplimiento de su organización. Use cuentas de Azure Storage para el almacenamiento de
archivos y a largo plazo.
Cambio del período de retención de datos en Log Analytics
Configuración de la directiva de retención para los registros de la cuenta de Azure Storage
Super visión de Azure Security Center : No aplicable
Responsabilidad : Customer
2.6: Supervisión y revisión de registros
Instrucciones : Analice y supervise los registros generados por Azure Security Center y sus orígenes
conectados para detectar comportamientos anómalos y revise los resultados con regularidad. Use Azure
Monitor y un área de trabajo de Log Analytics para revisar los registros y realizar consultas en los datos de
dichos registros.
También puede habilitar e incorporar datos en Azure Sentinel o en una herramienta SIEM de terceros.
Incorporación de Azure Sentinel
Introducción a las consultas de Log Analytics
Procedimiento para realizar consultas personalizadas en Azure Monitor
Super visión de Azure Security Center : No aplicable
Responsabilidad : Customer
2.7: Habilitación de alertas para actividades anómalas
Guía : configure alertas de registro de Azure Monitor para consultar actividades anómalas o no deseadas que se
agregan al registro de actividad o a los datos generados por Azure Security Center. Configure los grupos de
acciones para que se notifique a su organización y pueda tomar medidas si se inicia una alerta de registro de
actividad anómala. Use la característica de automatización de flujos de trabajo de Security Center para
desencadenar aplicaciones lógicas en alertas de seguridad y recomendaciones. Los flujos de trabajo de Security
Center se pueden usar para notificar a los usuarios la respuesta a los incidentes o para tomar medidas con el fin
de corregir errores en los recursos en función de la información de las alertas.
También puede habilitar e incorporar los datos relacionados con Azure Security Center (o los generados por este
servicio) en Azure Sentinel. Azure Sentinel es compatible con los cuadernos de estrategias, que permiten
respuestas automatizadas a los problemas relacionados con la seguridad.
Automatización de flujos de trabajo Azure Security Center
Administración de alertas de seguridad en Azure Security Center
Alertas sobre datos de registro de Log Analytics
Configuración de respuestas automatizadas frente a amenazas en Azure Sentinel
Alertas de registro en Azure Monitor
Super visión de Azure Security Center : No aplicable
Responsabilidad : Customer

Control de identidades y acceso

Para obtener más información, consulte Azure Security Benchmark: Identidad y control de acceso.
3.1: Mantenga un inventario de cuentas administrativas
Guía : El control de acceso basado en roles de Azure (RBAC de Azure) permite administrar el acceso a los
recursos de Azure a través de las asignaciones de roles. Puede asignar estos roles a usuarios, grupos de
entidades de servicio e identidades administradas. Hay roles integrados predefinidos para determinados
recursos, y estos roles se pueden inventariar o consultar mediante herramientas como la CLI de Azure,
Azure PowerShell o el Azure Portal. Azure Security Center tiene los roles integrados de "Lector de seguridad" o
"Administrador de seguridad", que permiten a los usuarios leer o actualizar directivas de seguridad y descartar
alertas y recomendaciones.
 Permisos en Azure Security Center
Obtención de un rol de directorio en Azure AD con PowerShell
Obtención de los miembros de un rol de directorio en Azure AD con PowerShell
Super visión de Azure Security Center : No aplicable
Responsabilidad : Customer
3.3: Use cuentas administrativas dedicadas
Guía : cree procedimientos operativos estándar en torno al uso de cuentas administrativas dedicadas para la
plataforma Azure o específicas de la oferta Azure Security Center. Use la administración de acceso e identidades
de Azure Security Center para supervisar el número de cuentas administrativas en Azure Active Directory.
Security Center también tiene roles integrados de "Administrador de seguridad", que permiten a los usuarios
actualizar las directivas de seguridad y descartar alertas y recomendaciones; asegúrese de revisar y reconciliar
de forma periódica los usuarios que tengan esta asignación de roles.
Además, para ayudarle a realizar un seguimiento de las cuentas administrativas dedicadas, puede seguir las
recomendaciones de Azure Security Center o las directivas integradas de Azure Policy, por ejemplo:
Debe haber más de un propietario asignado a su suscripción
Las cuentas en desuso con permisos de propietario deben quitarse de la suscripción
Las cuentas externas con permisos de propietario deben quitarse de la suscripción
Permisos en Azure Security Center
Uso de Azure Security Center para supervisar la identidad y el acceso (versión preliminar)
Uso de Azure Policy
Super visión de Azure Security Center : No aplicable
Responsabilidad : Customer
3.4: Use el inicio de sesión único (SSO ) con Azure Active Directory
Instrucciones : Siempre que sea posible, use el SSO de Azure Active Directory en lugar de configurar
credenciales independientes individuales por servicio. Use las recomendaciones de identidades y acceso de
Azure Security Center.
Descripción del SSO con Azure AD
Super visión de Azure Security Center : No aplicable
Responsabilidad : Customer
3.5: Use la autenticación multifactor para todo el acceso basado en Azure Active Directory
Guía : habilite la MFA de Azure Active Directory para acceder Azure Security Center y Azure Portal, y siga las
recomendaciones de identidad y acceso de Security Center.
Procedimiento para habilitar la MFA en Azure
Supervisión de la identidad y el acceso en Azure Security Center
Super visión de Azure Security Center : No aplicable
Responsabilidad : Customer
3.6: Use máquinas dedicadas (estaciones de trabajo de acceso con privilegios) para todas las tareas
administrativas
Instrucciones : use una estación de trabajo segura y administrada por Azure (también conocida como una
estación de trabajo de acceso con privilegios o PAW) para las tareas administrativas que requieren privilegios
elevados.
Descripción de las estaciones de trabajo seguras administradas por Azure
Cómo habilitar MFA de Azure AD
Super visión de Azure Security Center : No aplicable
Responsabilidad : Customer
3.7: Registro y alerta de actividades sospechosas desde cuentas administrativas
Guía : use la característica de supervisión y los informes de seguridad de Azure Active Directory para detectar
cuando se producen actividades sospechosas o no seguras en el entorno. Use Azure Security Center para
supervisar la actividad de identidad y acceso.
Procedimiento para identificar usuarios de Azure AD marcados por una actividad de riesgo
Supervisión de la actividad de identidad y acceso de los usuarios en Azure Security Center
Super visión de Azure Security Center : No aplicable
Responsabilidad : Customer
3.8: Administre los recursos de Azure solo desde ubicaciones aprobadas
Guía : use ubicaciones con nombre de Azure AD para permitir el acceso solo desde agrupaciones lógicas
específicas de intervalos de direcciones IP o países o regiones.
Configuración de ubicaciones con nombre de Azure AD
Super visión de Azure Security Center : No aplicable
Responsabilidad : Customer
3.9: Uso de Azure Active Directory
Guía : use Azure Active Directory (Azure AD) como sistema central de autenticación y autorización al usar Azure
Security Center. Azure AD protege los datos mediante un cifrado seguro para los datos en reposo y en tránsito.
Azure AD también cifra con sal, convierte en hash y almacena de forma segura las credenciales de los usuarios.
Azure Security Center tiene roles integrados que se pueden asignar, como "Administrador de seguridad", que
permite a los usuarios actualizar directivas de seguridad y descartar alertas y recomendaciones.
Permisos en Azure Security Center
Procedimiento para crear y configurar una instancia de Azure AD
Super visión de Azure Security Center : No aplicable
Responsabilidad : Customer
3.10: Revise y concilie regularmente el acceso de los usuarios
Guía : Azure Active Directory proporciona registros para ayudar a descubrir cuentas obsoletas. Además, use las
revisiones de acceso e identidades de Azure AD para administrar de forma eficiente las pertenencias a grupos, el
acceso a las aplicaciones empresariales y las asignaciones de roles. El acceso de los usuarios relacionado con
Azure Security Center se puede revisar de forma periódica para asegurarse de que solo las personas adecuadas
tengan acceso continuado.
Descripción de los informes de Azure AD
Procedimiento para usar las revisiones de acceso e identidades de Azure AD
Super visión de Azure Security Center : No aplicable
Responsabilidad : Customer
3.11: Supervisión de los intentos de acceso a credenciales desactivadas
Guía : tiene acceso a los orígenes de registro de eventos de actividad de inicio de sesión, auditoría y riesgo de
Azure AD, que permiten la integración con cualquier herramienta SIEM o de supervisión.
Para simplificar este proceso, cree una configuración de diagnóstico para las cuentas de usuario de Azure AD y
envíe los registros de auditoría y los registros de inicio de sesión a un área de trabajo de Log Analytics. Puede
configurar las alertas deseadas en el área de trabajo de Log Analytics.
Integración de los registros de actividad de Azure en Azure Monitor
Super visión de Azure Security Center : No aplicable
Responsabilidad : Customer
3.12: Alerte de las desviaciones de comportamiento en los inicios de sesión de las cuentas
Guía : use las características de Azure Active Directory Identity Protection para configurar las respuestas
automatizadas a las acciones sospechosas detectadas relacionadas con las identidades de los usuarios. También
puede hacer que Azure Sentinel ingiera los datos para investigarlos más.
Visualización de los inicios de sesión de riesgo de Azure AD
Configuración y habilitación de las directivas de riesgo de protección de identidad
Incorporación de Azure Sentinel
Super visión de Azure Security Center : No aplicable
Responsabilidad : Customer

Protección de los datos

Para obtener más información, consulte Azure Security Benchmark: Protección de datos.
4.1: Mantenimiento de un inventario de información confidencial
Guía : use etiquetas para ayudar a realizar un seguimiento de los recursos de Azure como el área de trabajo de
Log Analytics, que almacena información de seguridad confidencial de Azure Security Center.
Creación y uso de etiquetas
Super visión de Azure Security Center : No aplicable
Responsabilidad : Customer
4.2: Aislamiento de los sistemas que almacenan o procesan información confidencial
Guía : Implemente el aislamiento mediante suscripciones independientes y grupos de administración para
dominios de seguridad individuales, como el tipo de entorno y el nivel de confidencialidad de los datos. Puede
restringir el nivel de acceso a los recursos de Azure que necesitan sus aplicaciones y entornos empresariales.
Puede controlar el acceso a los recursos de Azure a través de RBAC de Azure.
De forma predeterminada, los datos de Azure Security Center se almacenan en el servicio back-end de Security
Center. Si su organización ha agregado requisitos para almacenar estos datos en sus propios recursos, puede
configurar un área de trabajo de Log Analytics para almacenar datos, alertas y recomendaciones de Security
Center. Al usar su propia área de trabajo, puede agregar más separación configurando diferentes áreas de
trabajo según el entorno en el que se originaron los datos.
 Exportación continua de alertas y recomendaciones de seguridad
Recopilación de datos en Azure Security Center
Creación de suscripciones adicionales de Azure
Creación de grupos de administración
Creación y uso de etiquetas
Super visión de Azure Security Center : No aplicable
Responsabilidad : Customer
4.4: Cifrado de toda la información confidencial en tránsito
Instrucciones : Cifre toda la información confidencial en tránsito. Asegúrese de que los clientes que se conectan
a los recursos de Azure pueden negociar TLS 1.2 o superior. Todas las máquinas virtuales configuradas con el
agente de Log Analytics y para enviar datos a Azure Security Center deben configurarse para usar TLS 1.2.
Siga las recomendaciones de Azure Security Center para el cifrado en reposo y el cifrado en tránsito, si procede.
Envío de datos de forma segura a Log Analytics
Descripción del cifrado en tránsito con Azure
Super visión de Azure Security Center : No aplicable
Responsabilidad : Compartido
4.6: Uso de RBAC de Azure para controlar el acceso a los recursos
Guía : Use el control de acceso basado en roles de Azure (RBAC de Azure) para administrar el acceso a los
recursos y los datos relacionados con Azure Security Center. Azure Security Center tiene los roles integrados de
"Lector de seguridad" o "Administrador de seguridad", que permiten a los usuarios leer o actualizar directivas de
seguridad y descartar alertas y recomendaciones. El área de trabajo de Log Analytics que almacena los datos
recopilados por Security Center también tiene roles integrados que puede asignar, como "Lector de Log
Analytics", "Colaborador de Log Analytics" y otros. Asigne el rol de menos permisos que los usuarios necesiten
para realizar sus tareas. Por ejemplo, asigne el rol Lector a los usuarios que solo necesiten ver información sobre
el estado de seguridad de los recursos, pero no llevar a cabo acciones como aplicar recomendaciones o editar
directivas.
Permisos para el área de trabajo de Azure Log Analytics
Permisos en Azure Security Center
Configuración de Azure RBAC
Super visión de Azure Security Center : No aplicable
Responsabilidad : Customer
4.8: Cifrado de información confidencial en reposo
Guía : Azure Security Center usa un área de trabajo de Log Analytics configurada para almacenar los datos, las
alertas y las recomendaciones que genera. Configure una clave administrada por el cliente (CMK) para el área
de trabajo que ha configurado para la recopilación de datos de Security Centers. CMK permite cifrar todos los
datos guardados o enviados en el área de trabajo con una clave de Azure Key Vault que usted mismo puede
crear y que será de su propiedad.
Clave administrada por el cliente de Azure Monitor
Super visión de Azure Security Center : No aplicable
Responsabilidad : Customer
4.9: Registro y alerta de cambios en los recursos críticos de Azure
Guía : Use Azure Monitor para crear alertas cuando se realicen cambios en recursos críticos de Azure
relacionados con Azure Security Center. Estos cambios pueden incluir cualquier acción que modifique
configuraciones relacionadas con Security Center, como la deshabilitación de alertas o recomendaciones, o la
actualización o eliminación de almacenes de datos.
Creación de alertas para los eventos del registro de actividad de Azure
Super visión de Azure Security Center : No aplicable
Responsabilidad : Customer

Administración de vulnerabilidades
Para obtener más información, consulte Azure Security Benchmark: Administración de vulnerabilidades.
5.5: Use un proceso de clasificación de riesgos para priorizar la corrección de las vulnerabilidades detectadas
Instrucciones : Use un programa de puntuación de riesgos común (por ejemplo, Common Vulnerability Scoring
System) o la clasificación de riesgos predeterminada proporcionada por su herramienta de análisis de terceros.
Publicación de NIST: sistema de puntuación común de vulnerabilidades
Super visión de Azure Security Center : No aplicable
Responsabilidad : Customer

Inventario y administración de recursos

Para obtener más información, consulte Azure Security Benchmark: Administración de recursos y del inventario.
6.1: Uso de la solución de detección de recursos automatizada
Guía : use Azure Resource Graph para consultar y detectar todos los recursos relacionados con Azure Security
Center en las suscripciones. Asegúrese de que tiene los permisos adecuados (lectura) en el inquilino y enumere
todas las suscripciones de Azure para detectar los recursos de Security Center.
Creación de consultas con Azure Resource Graph Explorer
Visualización de las suscripciones de Azure
Descripción de Azure RBAC
Super visión de Azure Security Center : No aplicable
Responsabilidad : Customer
6.2: Mantenimiento de metadatos de recursos
Guía : use etiquetas para ayudar a realizar un seguimiento de los recursos de Azure como el área de trabajo de
Log Analytics, que almacena información de seguridad confidencial de Azure Security Center.
Creación y uso de etiquetas
Super visión de Azure Security Center : No aplicable
Responsabilidad : Customer
6.3: Eliminación de recursos de Azure no autorizados
Guía : use el etiquetado, los grupos de administración y las suscripciones independientes, si procede, para
organizar y realizar un seguimiento de los recursos de Azure Security Center. Concilie el inventario
periódicamente y asegúrese de que los recursos no autorizados se eliminan de la suscripción de manera
oportuna.
Además, use Azure Policy para establecer restricciones sobre el tipo de recursos que se pueden crear en las
suscripciones del cliente con las siguientes definiciones de directiva integradas:
Tipos de recursos no permitidos
Tipos de recursos permitidos
Creación de suscripciones adicionales de Azure
Creación de grupos de administración
Creación y uso de etiquetas
Super visión de Azure Security Center : No aplicable
Responsabilidad : Customer
6.4: Definición y mantenimiento de un inventario de los recursos de Azure aprobados
Guía : Cree un inventario de los recursos de Azure aprobados y el software aprobado para los recursos de
proceso según las necesidades de la organización.
Super visión de Azure Security Center : No aplicable
Responsabilidad : Customer
6.5: Supervisión de recursos de Azure no aprobados
Guía : use Azure Policy para establecer restricciones sobre el tipo de recursos que se pueden crear en las
suscripciones.
Use Azure Resource Graph para consultar y detectar recursos dentro de sus suscripciones. Asegúrese de que
todos los recursos de Azure presentes en el entorno estén aprobados.
Configuración y administración de Azure Policy
Creación de consultas con Azure Resource Graph Explorer
Super visión de Azure Security Center : No aplicable
Responsabilidad : Customer
6.7: Eliminación de aplicaciones de software y recursos de Azure no aprobadas
Guía : quite los recursos de Azure relacionados con Azure Security Center cuando ya no sean necesarios como
parte del inventario y del proceso de revisión de su organización.
Eliminación de grupos de recursos y recursos de Azure
Super visión de Azure Security Center : No aplicable
Responsabilidad : Customer
6.9: Uso exclusivo de servicios de Azure aprobados
Guía : use Azure Policy para establecer restricciones sobre el tipo de recursos que se pueden crear en las
suscripciones con las siguientes definiciones de directiva integradas:
Tipos de recursos no permitidos
Tipos de recursos permitidos
 Configuración y administración de Azure Policy
Denegación de un tipo de recurso específico con Azure Policy
Super visión de Azure Security Center : No aplicable
Responsabilidad : Customer
6.11: Limitación de la capacidad de los usuarios para interactuar con Azure Resource Manager
Guía : Configure el acceso condicional de Azure para limitar la capacidad de los usuarios de interactuar con
Azure Resource Manager configurando "Bloquear acceso" en la aplicación Microsoft Azure Management.
Configuración del acceso condicional para bloquear el acceso a Azure Resource Manager
Super visión de Azure Security Center : No aplicable
Responsabilidad : Customer

Configuración segura
Para obtener más información, consulte Azure Security Benchmark: Configuración segura.
7.1: Establezca configuraciones seguras para todos los recursos de Azure
Guía : defina e implemente configuraciones de seguridad estándar para Azure Security Center y su área de
trabajo conectada a través de Azure Policy. Use los alias de Azure Policy en los espacios de nombres
"Microsoft.OperationalInsights" y "Microsoft.Security" para crear definiciones de Azure Policy personalizadas
con el fin de auditar o aplicar la configuración de Security Center y su área de trabajo de Log Analytics.
Visualización de los alias de Azure Policy disponibles
Configuración y administración de Azure Policy
Super visión de Azure Security Center : No aplicable
Responsabilidad : Customer
7.3: Mantenga configuraciones de recursos de Azure seguras
Instrucciones : Utilice las directivas "deny" y "deploy if not exist" de Azure Policy para aplicar una configuración
segura en los recursos de Azure. Además, puede usar plantillas de Azure Resource Manager para mantener la
configuración de seguridad de los recursos de Azure que requiere su organización.
Descripción de los efectos de Azure Policy
Creación y administración de directivas para aplicar el cumplimiento
Información general sobre plantillas de Azure Resource Manager
Super visión de Azure Security Center : No aplicable
Responsabilidad : Customer
7.5: Almacene de forma segura la configuración de los recursos de Azure
Guía : Use Azure DevOps para almacenar y administrar de forma segura el código, como definiciones de Azure
Policy personalizadas, plantillas de Azure Resource Manager y scripts de Desired State Configuration. Para
acceder a los recursos que administra en Azure DevOps, puede conceder o denegar permisos a usuarios
específicos, grupos de seguridad integrados o grupos definidos en Azure Active Directory (Azure AD) si se
integran con Azure DevOps, o Active Directory si se integran con TFS.
Almacenamiento de código en Azure DevOps
 Acerca de los permisos y los grupos en Azure DevOps
Super visión de Azure Security Center : No aplicable
Responsabilidad : Customer
7.7: Implementación de herramientas de administración de configuración para recursos de Azure
Guía : defina e implemente configuraciones de seguridad estándar para los recursos de Azure con Azure Policy.
Use los alias de Azure Policy para crear directivas personalizadas con el fin de auditar o aplicar la configuración
de los recursos relacionados con Azure Security Center. Además, puede usar Azure Automation para
implementar los cambios de configuración.
Configuración y administración de Azure Policy
Uso de alias
Super visión de Azure Security Center : No aplicable
Responsabilidad : Customer
7.9: Implementación de la supervisión de la configuración automatizada para los recursos de Azure
Guía : use definiciones de Azure Policy integradas, así como alias de Azure Policy en los espacios de nombres
"Microsoft.OperationalInsights" y "Microsoft. Security" para crear directivas personalizadas con el fin de alertar,
auditar y aplicar configuraciones de recursos de Azure. Use las directivas "audit", "deny" y "deploy if not exist" de
Azure Policy para aplicar automáticamente las configuraciones en los recursos de Azure.
Configuración y administración de Azure Policy
Super visión de Azure Security Center : No aplicable
Responsabilidad : Customer
7.11: Administre los secretos de Azure de forma segura
Guía : Azure Security Center usa un área de trabajo de Log Analytics configurada para almacenar los datos, las
alertas y las recomendaciones que genera. Configure una clave administrada por el cliente (CMK) para el área
de trabajo que ha configurado para la recopilación de datos de Security Centers. CMK permite cifrar todos los
datos guardados o enviados en el área de trabajo con una clave de Azure Key Vault que usted mismo puede
crear y que será de su propiedad.
Clave administrada por el cliente de Azure Monitor
Super visión de Azure Security Center : No aplicable
Responsabilidad : Customer
7.13: Elimine la exposición de credenciales no intencionada
Instrucciones : Implemente el escáner de credenciales para identificar las credenciales en el código. El escáner
de credenciales también fomenta el traslado de credenciales detectadas a ubicaciones más seguras, como Azure
Key Vault.
Cómo configurar Credential Scanner
Super visión de Azure Security Center : No aplicable
Responsabilidad : Customer

Defensa contra malware

Para obtener más información, consulte Azure Security Benchmark: defensa contra malware.
8.2: Examine previamente los archivos que se van a cargar en recursos de Azure que no son de proceso
Guía : Azure Security Center no está diseñado para almacenar ni procesar archivos. Es su responsabilidad
realizar un examen previo del contenido que se carga en los recursos de Azure que no son de proceso, como el
área de trabajo de Log Analytics.
Super visión de Azure Security Center : No aplicable
Responsabilidad : Customer

Recuperación de datos
Para obtener más información, consulte Azure Security Benchmark: recuperación de datos.
9.1: Garantía de copias de seguridad automáticas periódicas
Guía : siga un enfoque de infraestructura como código (IAC) y use Azure Resource Manager para implementar
los recursos relacionados con Azure Security Center en una plantilla de notación de objetos JavaScript (JSON)
que se puede usar como copia de seguridad para las configuraciones relacionadas con los recursos.
Exportación de uno y varios recursos a una plantilla en Azure Portal
Plantillas de Azure Resource Manager para recursos de seguridad
Información sobre Azure Automation
Super visión de Azure Security Center : No aplicable
Responsabilidad : Customer
9.2: Copias de seguridad completas del sistema y copia de seguridad de las claves administradas por el
cliente
Instrucciones : Azure Security Center usa un área de trabajo Log Analytics para almacenar los datos, las alertas
y las recomendaciones que genera. Puede configurar Azure Monitor y el área de trabajo que Security Center usa
para habilitar una clave administrada por el cliente. Si usa Key Vault para almacenar las claves administradas por
el cliente, asegúrese de que se realizan con regularidad copias de seguridad automatizadas de las claves.
Procedimiento para realizar copias de seguridad de claves de Key Vault
Super visión de Azure Security Center : No aplicable
Responsabilidad : Customer
9.3: Validación de todas las copias de seguridad, incluidas las claves administradas por el cliente
Guía : garantice la restauración periódica con copias de seguridad de los archivos de plantilla de Azure Resource
Manager. Pruebe la restauración de la copia de seguridad de las claves administradas por el cliente.
Administración del área de trabajo de Log Analytics mediante las plantillas de Azure Resource Manager
Restauración de las claves del almacén de claves en Azure
Super visión de Azure Security Center : No aplicable
Responsabilidad : Customer
9.4: Garantía de la protección de las copias de seguridad y las claves administradas por el cliente
Guía : Use Azure DevOps para almacenar y administrar de forma segura el código, como definiciones de Azure
Policy personalizadas y plantillas de Azure Resource Manager. Para proteger los recursos que administra en
Azure DevOps, puede conceder o denegar permisos a usuarios específicos, grupos de seguridad integrados o
grupos definidos en Azure Active Directory (Azure AD) si se integran con Azure DevOps, o en Active Directory si
se integran con TFS. Use el control de acceso basado en roles de Azure para proteger las claves administradas
por el cliente.
Además, habilite la eliminación temporal y la protección de purga en Key Vault para proteger las claves contra la
eliminación accidental o malintencionada. Si Azure Storage se usa para almacenar las plantillas de Azure
Resource Manager, habilite la eliminación temporal para guardar y recuperar los datos cuando se eliminen blobs
o instantáneas de blobs.
Almacenamiento de código en Azure DevOps
Acerca de los permisos y los grupos en Azure DevOps
Procedimiento para habilitar la eliminación temporal y la protección de purga en Key Vault
Eliminación temporal de blobs de Azure Storage
Super visión de Azure Security Center : No aplicable
Responsabilidad : Customer

Respuesta a los incidentes

Para obtener más información, consulte Azure Security Benchmark: Respuesta a los incidentes.
10.1: Creación de una guía de respuesta ante incidentes
Guía : desarrolle una guía de respuesta a incidentes para su organización. Asegúrese de que haya planes de
respuesta a incidentes escritos que definan todos los roles del personal, así como las fases de administración y
gestión de los incidentes, desde la detección hasta la revisión posterior a la incidencia.
Guía para crear su propio proceso de respuesta a incidentes de seguridad
Anatomía de un incidente del Centro de respuestas de seguridad de Microsoft
Uso de la guía de control de incidentes de seguridad de equipos de NIST para la creación de su propio
plan de respuesta a incidentes
Super visión de Azure Security Center : No aplicable
Responsabilidad : Customer
10.2: Creación de un procedimiento de priorización y puntuación de incidentes
Instrucciones : Azure Security Center asigna una gravedad a cada alerta para ayudarle a priorizar aquellas que
se deben investigar en primer lugar. La gravedad se basa en la confianza que tiene Security Center en la
búsqueda o en el análisis utilizados para emitir la alerta, así como en el nivel de confianza de que ha habido un
intento malintencionado detrás de la actividad que ha provocado la alerta.
Adicionalmente, marque las suscripciones con etiquetas y cree un sistema de nomenclatura para identificar y
clasificar los recursos de Azure, especialmente los que procesan datos confidenciales. Es su responsabilidad
asignar prioridades a la corrección de las alertas en función de la importancia de los recursos y el entorno de
Azure donde se produjo el incidente.
Alertas de seguridad en el Centro de seguridad de Azure
Uso de etiquetas para organizar los recursos de Azure
Super visión de Azure Security Center : No aplicable
Responsabilidad : Customer
10.3: Prueba de los procedimientos de respuesta de seguridad
Instrucciones : Realice ejercicios para probar las funcionalidades de respuesta a los incidentes de los sistemas
periódicamente; así, ayudará a proteger los recursos de Azure. Identifique puntos débiles y brechas y después
revise el plan de respuesta según sea necesario.
Publicación de NIST: Guía para probar, entrenar y ejecutar programas para planes y funcionalidades de TI
Super visión de Azure Security Center : No aplicable
Responsabilidad : Customer
10.4: Provisión de detalles de contacto de incidentes de seguridad y configuración de notificaciones de alerta
para incidentes de seguridad
Instrucciones : La información de contacto del incidente de seguridad la utilizará Microsoft para ponerse en
contacto con usted si Microsoft Security Response Center (MSRC) detecta que un tercero no autorizado o ilegal
ha accedido a los datos. Revise los incidentes después del hecho para asegurarse de que se resuelven los
problemas.
Establecimiento del contacto de seguridad de Azure Security Center
Super visión de Azure Security Center : No aplicable
Responsabilidad : Customer
10.5: Incorporación de alertas de seguridad en el sistema de respuesta a incidentes
Instrucciones : exporte las alertas y recomendaciones de Azure Security Center y mediante la característica de
exportación continua para ayudar a identificar riesgos en los recursos de Azure. La exportación continua
permite exportar alertas y recomendaciones de forma manual o continua. Puede usar el conector de datos de
Azure Security Center para enviar las alertas a Azure Sentinel.
Configuración de la exportación continua
Transmisión de alertas a Azure Sentinel
Super visión de Azure Security Center : No aplicable
Responsabilidad : Customer
10.6: Automatización de la respuesta a las alertas de seguridad
Guía : use la característica de automatización de flujos de trabajo de Azure Security Center para desencadenar
automáticamente las alertas y recomendaciones de seguridad con el fin de proteger los recursos de Azure.
Configuración de la automatización de flujos de trabajo en Security Center
Super visión de Azure Security Center : No aplicable
Responsabilidad : Customer

Pruebas de penetración y ejercicios del equipo rojo

Para obtener más información, consulte Azure Security Benchmark: Pruebas de penetración y ejercicios del
equipo rojo.
11.1: Realice pruebas de penetración periódicas de los recursos de Azure y asegúrese de corregir todos los
resultados de seguridad críticos
Guía : Siga las reglas de compromiso de la prueba de penetración de Microsoft Cloud para asegurarse de que
las pruebas de penetración no infrinjan las directivas de Microsoft. Use la estrategia de Microsoft y la ejecución
de las pruebas de penetración del equipo rojo y sitios activos en la infraestructura de nube, los servicios y las
aplicaciones administradas por Microsoft.
Reglas de interacción de las pruebas de penetración
 Equipo rojo de Microsoft Cloud
Super visión de Azure Security Center : No aplicable
Responsabilidad : Compartido

Pasos siguientes
Consulte la prueba comparativa de seguridad de Azure.
Obtenga más información sobre las líneas de base de seguridad de Azure.
 Preguntas más frecuentes: preguntas generales
sobre Azure Security Center
30/03/2021 • 7 minutes to read • Edit Online

¿Qué es el Centro de seguridad de Azure?

Azure Security Center ayuda a evitar amenazas y a detectarlas y responder a ellas con más visibilidad y control
sobre la seguridad de sus recursos. Proporciona administración de directivas y supervisión de la seguridad
integrada en las suscripciones, ayuda a detectar las amenazas que podrían pasar desapercibidas y funciona con
un amplio ecosistema de soluciones de seguridad.
Security Center usa el agente de Log Analytics para recopilar y almacenar datos. Para obtener información
detallada, consulte Recolección de datos en Azure Security Center.

¿Cómo puedo obtener el Centro de seguridad de Azure?

Azure Security Center se habilita con la suscripción de Microsoft Azure y se accede a él desde el Portal de Azure.
Para acceder, inicie sesión en el portal, seleccione Examinar y desplácese al Security Center .

¿Qué recursos de Azure supervisa Azure Security Center?

Azure Security Center supervisa los siguientes recursos de Azure:
Máquinas virtuales (se incluyen Cloud Services)
Conjuntos de escalado de máquinas virtuales
Soluciones de asociados integradas en su suscripción de Azure, como un firewall de aplicaciones web en las
máquinas virtuales y en App Service Environment
Los muchos servicios de PaaS de Azure que se enumeran en la información general del producto

¿Cómo puedo ver el estado de seguridad actual de los recursos de

Azure?
La página Introducción a Security Center muestra la posición de seguridad general del entorno con la
información desglosada por Computación, Redes, Almacenamiento y datos, y Aplicaciones. Cada tipo de recurso
tiene un indicador que muestra las vulnerabilidades de seguridad identificadas. Al hacer clic en cada icono, se
muestra una lista de problemas de seguridad que ha identificado Security Center, junto con un inventario de los
recursos de la suscripción.

¿Qué es una iniciativa de seguridad?

Una iniciativa de seguridad define el conjunto de controles (directivas) recomendados para los recursos de una
suscripción específica. En Azure Security Center, debe asignar iniciativas para las suscripciones de Azure de
acuerdo con los requisitos de seguridad de la compañía y el tipo de aplicaciones o la confidencialidad de los
datos de cada suscripción.
Las directivas de seguridad habilitadas en Azure Security Center generan la supervisión y recomendaciones de
seguridad. Obtenga más información en ¿Qué son las directivas de seguridad, las iniciativas y las
recomendaciones?
¿Quién puede modificar una directiva de seguridad?
Para modificar una directiva de seguridad, debe ser Administrador de seguridad o Propietario de esa
suscripción.
Para obtener información sobre cómo configurar una directiva de seguridad, consulte Establecimiento de
directivas de seguridad en el Centro de seguridad de Azure.

¿Qué es una recomendación de seguridad?

El Centro de seguridad de Azure analiza el estado de seguridad de los recursos de Azure. Las recomendaciones
se crean una vez que se identifican las posibles vulnerabilidades de seguridad. Las recomendaciones le guían en
el proceso de configurar el control necesario. Algunos ejemplos son:
Aprovisionamiento de antimalware para ayudar a identificar y eliminar software malintencionado.
Grupos de seguridad de red y reglas para controlar el tráfico a las máquinas virtuales.
Aprovisionamiento de un firewall de aplicaciones web para ayudar a defenderse contra ataques dirigidos a
las aplicaciones web.
Implementación de actualizaciones del sistema que faltan.
Resolución de las configuraciones de sistema operativo que no coinciden con las líneas base recomendadas.
Aquí solo se muestran las recomendaciones habilitadas en las directivas de seguridad.

¿Qué desencadena una alerta de seguridad?

Azure Security Center recopila, analiza y combina automáticamente los datos de registro de los recursos de
Azure, la red y soluciones de asociados como firewalls y antimalware. Cuando se detecten amenazas, se creará
una alerta de seguridad. Como ejemplos se incluye la detección de:
Máquinas virtuales en peligro que se comunican con direcciones IP malintencionadas conocidas.
Malware avanzado detectado mediante la generación de informes de errores de Windows.
Ataques por fuerza bruta contra máquinas virtuales.
Alertas de seguridad de soluciones de seguridad integradas de socio, como antimalware o Firewall de
aplicaciones web.

¿Qué diferencia hay entre las amenazas detectadas y advertidas por

el Centro de respuestas de seguridad de Microsoft y las comunicadas
por Azure Security Center?
El Centro de respuestas de seguridad de Microsoft (MSRC) lleva a cabo una selecta supervisión de seguridad de
la red e infraestructura de Azure y recibe información sobre amenazas y quejas sobre abusos de terceros.
Cuando MSRC se da cuenta de que un usuario ilegítimo o no autorizado ha tenido acceso a los datos del cliente
o de que el uso de Azure por parte del cliente no cumple las condiciones de uso aceptable, un administrador de
incidentes de seguridad notifica al cliente. La notificación suele consistir en el envío de un correo electrónico a
los contactos de seguridad especificados en Azure Security Center o al propietario de la suscripción de Azure en
caso de no especificarse un contacto de seguridad.
Azure Security Center es un servicio de Azure que no deja de supervisar el entorno de Azure del cliente y aplica
análisis para detectar de forma automática una amplia variedad de actividades potencialmente
malintencionadas. Estas detecciones aparecen como alertas de seguridad en el panel de Azure Security Center.
 Permisos
03/04/2021 • 2 minutes to read • Edit Online

¿Cómo funcionan los permisos en Azure Security Center?

Azure Security Center usa el control de acceso basado en rol de Azure (Azure RBAC), que proporciona roles
integrados que se pueden asignar a usuarios, grupos y servicios en Azure.
Security Center evalúa la configuración de los recursos para identificar problemas de seguridad y
vulnerabilidades. En Security Center, solo se muestra información relacionada con un recurso cuando tiene
asignado el rol de Propietario, Colaborador o Lector a la suscripción o grupo de recursos al que pertenece un
recurso.
Consulte Permisos en Azure Security Center para más información sobre los roles y las acciones permitidas en
Security Center.

¿Quién puede modificar una directiva de seguridad?

Para modificar una directiva de seguridad, debe ser administrador de seguridad o propietario/colaborador de
esa suscripción.
Para obtener información sobre cómo configurar una directiva de seguridad, consulte Establecimiento de
directivas de seguridad en el Centro de seguridad de Azure.
 Preguntas frecuentes: preguntas sobre recopilación
de datos, agentes y áreas de trabajo
30/03/2021 • 29 minutes to read • Edit Online

Security Center recopila datos de las máquinas virtuales de Azure, los conjuntos de escalado de máquinas
virtuales, los contenedores de IaaS y los equipos que no son de Azure (incluidos los equipos locales) a fin de
supervisar las amenazas y vulnerabilidades de seguridad. Los datos se recopilan con el agente de Log Analytics,
que lee distintas configuraciones relacionadas con la seguridad y distintos registros de eventos de la máquina y
copia los datos en el área de trabajo para analizarlos.

¿Se me facturan los registros de Azure Monitor en las áreas de

trabajo que creada Security Center?
No. Las áreas de trabajo que crea Security Center, mientras estén configuradas para los registros de
Azure Monitor por facturación de nodo, no incurren en gastos de registros de Azure Monitor. La facturación de
Security Center siempre se basa en la directiva de seguridad de Security Center y en las soluciones instaladas en
un área de trabajo:
Azure Defender desactivado : Security Center habilita la solución "SecurityCenterFree" en el área de
trabajo predeterminada. No se le facturará si Azure Defender está desactivado.
Azure Defender activado : Security Center habilita la solución "Security" en el área de trabajo
predeterminada.
Para obtener información sobre los precios en la moneda de su elección y según su región, consulte Precios de
Security Center.

NOTE
El plan de tarifa de Log Analytics de áreas de trabajo creadas por Security Center no afecta a la facturación de Security
Center.

NOTE
Este artículo se ha actualizado recientemente para usar el término registros de Azure Monitor en lugar de Log Analytics.
Los datos de registro siguen almacenándose en un área de trabajo de Log Analytics y siguen recopilándose y
analizándose por el mismo servicio de Log Analytics. Estamos actualizando la terminología para reflejar mejor el rol de los
registros de Azure Monitor. Consulte Azure Monitor terminology changes (Cambios en la terminología de Azure Monitor)
para obtener más información.

¿Qué es el agente de Log Analytics?

Para supervisar las amenazas y vulnerabilidades de seguridad, Azure Security Center depende del agente de Log
Analytics, que es el mismo agente que el servicio Azure Monitor usa.
A veces, el agente se denomina Microsoft Monitoring Agent (o "MMA").
El agente recopila diversos detalles de configuración relacionados con la seguridad y registros de eventos de los
equipos conectados y luego copia los datos en el área de trabajo de Log Analytics para un análisis más
exhaustivo. Estos son algunos ejemplos de dichos datos: tipo y versión del sistema operativo, registros del
sistema operativo (registros de eventos de Windows), procesos en ejecución, nombre de la máquina, direcciones
IP y usuario conectado.
Asegúrese de que las máquinas ejecutan uno de los sistemas operativos compatibles con el agente, como se
describe en las siguientes páginas:
Sistemas operativos Windows compatibles con el agente de Log Analytics
Sistemas operativos Linux compatibles con el agente de Log Analytics
Más información sobre los datos recopilados por el agente de Log Analytics.

¿Qué hace que una máquina virtual sea apta para el

aprovisionamiento automático de la instalación del agente de Log
Analytics?
Las máquinas virtuales Linux o Windows de IaaS son aptas si:
La extensión del agente de Log Analytics no está instalada actualmente en la máquina virtual.
El estado de la máquina virtual es en ejecución.
El agente de máquina virtual de Azure de Windows o Linux está instalado.
La máquina virtual no se utiliza como dispositivo, es decir, firewall de aplicaciones web o de próxima
generación.

¿Dónde se crea el área de trabajo Log Analytics predeterminada?

La ubicación del área de trabajo predeterminada depende de la región de Azure:
En el caso de las máquinas virtuales de Estados Unidos y de Brasil, la ubicación del área de trabajo es
Estados Unidos
En el caso de las máquinas virtuales de Canadá, la ubicación del área de trabajo es Canadá
En el caso de las máquinas virtuales de Europa, la ubicación del área de trabajo es Europa
En el caso de las máquinas virtuales del Reino Unido, la ubicación del área de trabajo es el Reino Unido
En el caso de las máquinas virtuales de Asia Oriental y el Asia Pacífico, la ubicación del área de trabajo es Asia
En el caso de las máquinas virtuales de Corea, la ubicación del área de trabajo es Corea
En el caso de las máquinas virtuales de la India, la ubicación del área de trabajo es la India
En el caso de las máquinas virtuales de Japón, la ubicación del área de trabajo es Japón
En el caso de las máquinas virtuales de China, la ubicación del área de trabajo es China
En el caso de las máquinas virtuales de Australia, la ubicación del área de trabajo es Australia

¿Qué eventos de seguridad recopila el agente de Log Analytics?

Para obtener una lista completa de los eventos de seguridad que recopila el agente, consulte ¿Qué tipos de
eventos se almacenan en la configuración de eventos de seguridad "Común" y "Mínima"?

IMPORTANT
Tenga en cuenta que, para algunos servicios, como Azure Firewall, si ha habilitado el registro y ha elegido un recurso
locuaz para registrar (por ejemplo, si configura el registro en detallado), puede que vea un impacto significativo en las
necesidades de almacenamiento del área de trabajo de Log Analytics.
¿Puedo eliminar las áreas de trabajo predeterminadas creadas por
Security Center?
La eliminación del área de trabajo predeterminada no es recomendable. Security Center utiliza las
áreas de trabajo predeterminadas para almacenar los datos de seguridad de las VM. Si elimina un área de
trabajo, Security Center no podrá recopilar estos datos y algunas recomendaciones de seguridad y alertas
dejarán de estar disponibles.
Para realizar la recuperación, quite el agente de Log Analytics de las VM conectadas al área de trabajo eliminada.
Security Center vuelve a instalar el agente y crea nuevas áreas de trabajo predeterminadas.

¿Cómo puedo usar mi área de trabajo de Log Analytics existente?

Puede seleccionar un área de trabajo de Log Analytics existente para almacenar los datos recopilados por
Security Center. Para usar el área de trabajo de Log Analytics existente:
El área de trabajo debe estar asociada con la suscripción de Azure seleccionada.
Como mínimo, el usuario debe tener permisos de lectura para obtener acceso al área de trabajo.
Para seleccionar un área de trabajo de Log Analytics existente:
1. En el menú de Security Center, seleccione Precios y configuración .
2. Seleccione la suscripción correspondiente.
3. Abra la página Aprovisionamiento automático .
4. Para el agente de Log Analytics, seleccione Editar configuración .

5. Seleccione Connect Azure VMs to a different workspace (Conectar máquinas virtuales de Azure a
otra área de trabajo) y elija el área de trabajo existente.
 TIP
La lista solo incluye las áreas de trabajo a las que tiene acceso y que se encuentran en su suscripción de Azure.

6. Seleccione Guardar . Se le pregunta si quiere volver a configurar las máquinas virtuales supervisadas.
Haga clic en No si quiere que la nueva configuración del área de trabajo solo se aplique a las
máquinas vir tuales nuevas . La nueva configuración del área de trabajo solo se aplica a las nuevas
instalaciones de agente, aquellas máquinas virtuales recién detectadas que no tengan instalado el
agente de Log Analytics.
Haga clic en Sí si quiere que la nueva configuración del área de trabajo se aplique a todas las
máquinas vir tuales . Además, cada máquina virtual conectada a un área de trabajo creada por
Security Center se reconecta a la nueva área de trabajo de destino.

NOTE
Si selecciona Sí, no elimine las áreas de trabajo creadas por Security Center hasta que todas las máquinas virtuales
se hayan vuelto a conectar a la nueva área de trabajo de destino. Esta operación no se lleva a cabo si se elimina un
área de trabajo demasiado pronto.

¿Qué ocurre si el agente de Log Analytics ya estaba instalado como

una extensión en la VM?
Cuando se instala Monitoring Agent como una extensión, la configuración de extensión permite enviar informes
a una sola área de trabajo. Security Center no invalida las conexiones existentes con áreas de trabajo de usuario.
Security Center almacenará datos de seguridad de una máquina virtual en un área de trabajo que ya esté
conectada, siempre que se haya instalado la solución "Security" o "SecurityCenterFree". Durante este proceso,
Security Center puede actualizar la versión de extensión a la versión más reciente.
Para obtener más información, consulte Aprovisionamiento automático en los casos de una instalación de
agente ya existente.

¿Qué sucede si el agente de Log Analytics se instala directamente en

la máquina, pero no como una extensión (agente directo)?
Si el agente de Log Analytics está instalado directamente en la máquina virtual (no como una extensión de
Azure), Security Center instalará la extensión del agente de Log Analytics y puede que la actualice a la versión
más reciente.
El agente instalado continuará generando informes para las áreas de trabajo ya configuradas y, además, los
generará para el área de trabajo configurada en Security Center (el hospedaje múltiple se admite en las
máquinas Windows).
Si el área de trabajo configurada es un área de trabajo de usuario (no el área de trabajo predeterminada de
Security Center), debe instalar la solución "Security" o "SecurityCenterFree" para que Security Center empiece a
procesar eventos de VM y equipos que dependen de esa área de trabajo.
El hospedaje múltiple del agente todavía no es compatible con las máquinas Linux; por lo tanto, si se detecta una
instalación de agente existente, no se producirá el aprovisionamiento automático y no se modificará la
configuración de la máquina.
Para las máquinas existentes en suscripciones incorporadas a Security Center antes del 17 de marzo de 2019,
cuando se detecte un agente existente, no se instalará la extensión del agente de Log Analytics y la máquina no
se modificará. Para estas máquinas, consulte la recomendación "Resolver incidencias de supervisión de estado
del agente en las máquinas" con el fin de resolver las incidencias de instalación del agente en estas máquinas.
Para más información, consulte la sección siguiente ¿Qué ocurre si ya hay un agente directo de System Center
Operations Manager o OMS instalado en mi máquina virtual?

¿Qué ocurre si ya hay un agente de System Center Operations

Manager instalado en mi máquina virtual?
Security Center instalará la extensión del agente de Log Analytics en paralelo a la versión del agente existente de
System Center Operations Manager. El agente existente continuará generando informes con normalidad para el
servidor de System Center Operations Manager. Tenga en cuenta que el agente de Operations Manager y el
agente de Log Analytics comparten bibliotecas en tiempo de ejecución, las cuales se actualizarán a la versión
más reciente durante este proceso. Nota: Si está instalada la versión 2012 del agente de Operations Manager, no
active el aprovisionamiento automático (las funcionalidades de administración pueden perderse cuando el
servidor de Operations Manager también es de la versión 2012).

¿Qué impacto tiene quitar estas extensiones?

Si quita la extensión de Microsoft Monitoring, Security Center no será capaz de recopilar datos de seguridad de
la VM y algunas recomendaciones de seguridad y las alertas no estarán disponibles. En un plazo de 24 horas,
Security Center determina que la VM no tiene la extensión y vuelve a instalarla.

¿Cómo detengo la instalación automática del agente y la creación del

área de trabajo?
Puede desactivar el aprovisionamiento automático en las suscripciones en la directiva de seguridad, pero no es
recomendable. La desactivación del aprovisionamiento automático limita las recomendaciones y alertas de
Security Center. Para deshabilitar el aprovisionamiento automático:
1. En el menú de Security Center, seleccione Precios y configuración .
2. Seleccione la suscripción correspondiente.
3. Si su suscripción tiene habilitado Azure Defender, abra los planes de Azure Defender y seleccione
Azure Defender off (Azure Defender desactivado).
4. En la página de aprovisionamiento automático , seleccione el lápiz y luego desactive el
aprovisionamiento automático en la página Directiva de seguridad: recopilación de datos .

5. Seleccione Guardar .

¿Debo rechazar la instalación del agente y la creación del área de

trabajo automáticas?
NOTE
Si decide rechazar el aprovisionamiento automático, no olvide revisar las secciones sobre qué implica rechazarlo y los
pasos recomendados al rechazarlo.

Quizá desee rechazar el aprovisionamiento automático si lo siguiente es aplicable en su caso:

La instalación automática del agente de Security Center se aplica a toda la suscripción. No se puede
aplicar la instalación automática a un subconjunto de máquinas virtuales. Si hay máquinas virtuales
críticas en las que no se puede instalar el agente de Log Analytics, debe rechazar el aprovisionamiento
automático.
Al instalar la extensión del agente de Log Analytics, se actualiza la versión del agente. Esto se aplica a un
agente directo y a un agente de System Center Operations Manager (en este último, Operations Manager
y Log Analytics comparten bibliotecas de tiempo de ejecución comunes, que se actualizarán en el
proceso). Si el agente de Operations Manager instalado es de la versión 2012 y se actualiza, las
funcionalidades de administración pueden perderse si la versión del servidor de Operations Manager es
también 2012. Plantéese rechazar el aprovisionamiento automático en caso de que la versión instalada
del agente de Operations Manager sea 2012.
Si tiene un área de trabajo personalizada externa a la suscripción (centralizada), debe rechazar el
aprovisionamiento automático. Puede instalar manualmente la extensión del agente de Log Analytics y
 conectarla al área de trabajo sin que Security Center invalide la conexión.
Si desea evitar la creación de varias áreas de trabajo por suscripción y tiene su propia área de trabajo
personalizada en la suscripción, tiene dos opciones:
1. Puede rechazar el aprovisionamiento automático. Tras la migración, establezca la configuración
predeterminada del área de trabajo como se describe en ¿Cómo puedo usar mi área de trabajo de
Log Analytics existente?
2. O bien, puede permitir que la migración se complete, que el agente de Log Analytics se instale en
las máquinas virtuales y que estas se conecten al área de trabajo creada. A continuación,
seleccione su propia área de trabajo personalizada; para ello, establezca la configuración
predeterminada del área de trabajo con la opción de reconfigurar los agentes ya instalados
activada. Para más información, consulte ¿Cómo puedo usar mi área de trabajo de Log Analytics
existente?

¿Qué implica rechazar el aprovisionamiento automático?

Cuando se completa la migración, Security Center no puede recopilar datos de seguridad de la VM y algunas
recomendaciones y alertas de seguridad no están disponibles. Si rechaza la opción, instale el agente de Log
Analytics de forma manual. Consulte los pasos recomendados al rechazarlo.

¿Cuáles son los pasos recomendados al rechazar el aprovisionamiento

automático?
Instale la extensión del agente de Log Analytics de forma manual para que Security Center pueda recopilar los
datos de seguridad de las máquinas virtuales y proporcionar recomendaciones y alertas. Consulte la instalación
del agente de máquina virtual Windows o la instalación del agente de máquina virtual Linux para obtener
instrucciones sobre la instalación.
Puede conectar al agente a cualquier área de trabajo personalizada existente o a la que creara Security Center. Si
el área de trabajo personalizada no tiene las soluciones "Security" o "SecurityCenterFree" habilitadas, será
necesario aplicar una solución. Para la aplicación, seleccione el área de trabajo personalizada o la suscripción y
aplique un plan de tarifa desde la página Directiva de seguridad: plan de tarifa .

Security Center habilitará la solución correcta en el área de trabajo en función del plan de tarifa seleccionado.

¿Cómo quito extensiones OMS instaladas por Security Center?

Puede quitar el agente de Log Analytics de forma manual. Sin embargo, no es recomendable porque limita las
recomendaciones y las alertas de Security Center.

NOTE
Si la recopilación de datos está habilitada, Security Center volverá a instalar el agente después de quitarlo. Debe
deshabilitar la recopilación de datos antes de quitar manualmente el agente. Consulte ¿Cómo detengo la instalación
automática del agente y la creación del área de trabajo? para obtener instrucciones acerca de la deshabilitación de una
colección de datos.

Para quitar manualmente el agente:

1. En el portal, abra Log Analytics .
2. En la página Log Analytics, seleccione un área de trabajo:
3. Seleccione las VM que no quiere supervisar y seleccione Desconectar .

NOTE
Si una máquina virtual Linux ya tiene un agente OMS que no es una extensión, la eliminación de la extensión también
quita el agente, con lo que es necesario volver a instalarlo.

¿Cómo se puede deshabilitar la recolección de datos?

El aprovisionamiento automático es muy recomendable para poder obtener alertas de seguridad y
recomendaciones sobre las actualizaciones del sistema, vulnerabilidades del sistema operativo, y la protección
de puntos de conexión. De manera predeterminada, el aprovisionamiento automático está deshabilitado.
Si lo ha habilitado, pero ahora desea deshabilitarlo:
1. En Azure Portal, abra Security Center y seleccione Precios y configuración .
2. Seleccione la suscripción en la que quiere deshabilitar el aprovisionamiento automático.
3. En Aprovisionamiento automático , desactive la alternancia del agente de Log Analytics.

¿Cómo se puede habilitar la recolección de datos?

Puede habilitar la colección de datos de la suscripción de Azure en la directiva de seguridad. Para habilitar la
recopilación de datos, Inicie sesión en Azure Portal, seleccione Examinar , Security Center y, luego,
Seleccionar directiva . Seleccione la suscripción en la que quiere habilitar el aprovisionamiento automático. Al
seleccionar una suscripción, se abre Directiva de seguridad: recopilación de datos . En
Autoaprovisionamiento , seleccione Activar .

¿Qué sucede cuando se habilita la colección de datos?

Si el aprovisionamiento automático está habilitado, Security Center aprovisiona el agente de Log Analytics en
todas las máquinas virtuales de Azure compatibles y en las nuevas que se creen. Se recomienda el
aprovisionamiento automático pero la instalación manual del agente también está disponible. Obtenga
información acerca de cómo instalar la extensión del agente de Log Analytics.
El agente habilita el evento 4688 de creación de procesos y el campo CommandLine dentro del evento 4688. El
registro de eventos registra los nuevos procesos creados en la VM y los servicios de detección de Security
Center supervisa dichos procesos. Para obtener más información sobre los detalles que se registran para cada
nuevo proceso, consulte los campos de descripción en 4688. El agente también recopila los eventos 4688
creados en la máquina virtual y los almacena en la búsqueda.
El agente también habilita la recopilación de datos para los controles de aplicación adaptables, Security Center
configura una directiva de AppLocker local en el modo de auditoría para permitir todas las aplicaciones. Esta
directiva hará que AppLocker genere eventos que luego Security Center recopilará y aprovechará. Es importante
tener en cuenta que esta directiva no se configurará en las máquinas en las que ya se haya configurado una
directiva de AppLocker.
Cuando Security Center detecta actividad sospechosa en la máquina virtual, el cliente recibe una notificación por
correo electrónico si se ha proporcionado información de contacto de seguridad. También se puede ver una
alerta en el panel de alertas de seguridad de Security Center.

¿Security Center funcionará con una puerta de enlace de OMS?

Sí. Azure Security Center aprovecha Azure Monitor para recopilar datos de máquinas virtuales y servidores de
Azure mediante el agente de Log Analytics. Para recopilar los datos, cada máquina virtual y servidor deben
conectarse a Internet mediante HTTPS. La conexión puede ser directa, a través de un proxy o a través de la
puerta de enlace de OMS.

¿Microsoft Monitoring Agent afecta al rendimiento de mis servidores?

El agente utiliza una cantidad simbólica de recursos del sistema y apenas tiene impacto en el rendimiento. Para
obtener más información sobre el impacto en el rendimiento, y el agente y la extensión, vea la guía de
planeación y las operaciones.
 Preguntas frecuentes: preguntas sobre máquinas
virtuales
09/04/2021 • 3 minutes to read • Edit Online

¿Qué tipos de máquinas virtuales se admiten?

La funcionalidad de supervisión y las recomendaciones están disponibles para las máquinas virtuales creadas
con los modelos de implementación clásica y de Resource Manager.
Consulte Plataformas compatibles con Azure Security Center para ver una lista de plataformas compatibles.

¿Por qué Azure Security Center no reconoce la solución antimalware

que se ejecuta en mi máquina virtual de Azure?
Azure Security Center solo tiene visibilidad del antimalware instalado mediante extensiones de Azure. Por
ejemplo, Security Center no puede detectar antimalware instalado previamente en una imagen que haya
proporcionado o si instaló este tipo de herramienta en máquinas virtuales con sus propios procesos (como
sistemas de administración de configuración).

¿Por qué recibo el mensaje Faltan los datos de detección en mi

máquina virtual?
Este mensaje aparece cuando no hay datos de examen de una máquina virtual. Los datos de detección pueden
tardar algún tiempo (menos de una hora) en rellenarse después de habilitar la recolección de datos en Azure
Security Center. Tras el rellenado inicial de los datos de examen, se puede recibir este mensaje porque no hay
ningún dato de examen o porque no hay ninguno que sea reciente. Estos análisis no se rellenan para las
máquinas virtuales que estén detenidas. Este mensaje también podría aparecer si no se han rellenado datos de
examen recientemente (de acuerdo con la directiva de retención del agente de Windows, que tiene un valor
predeterminado de 30 días).

¿Con qué frecuencia Security Center analiza las vulnerabilidades del

sistema operativo, las actualizaciones del sistema y los problemas de
Endpoint Protection?
A continuación se muestran los tiempos de latencia para los exámenes de vulnerabilidades, actualizaciones y
problemas de Security Center:
Configuraciones de seguridad del sistema operativo: los datos se actualizan en un plazo de 48 horas
Actualizaciones del sistema: los datos se actualizan en un plazo de 24 horas.
Problemas de Endpoint Protection: los datos se actualizan en un plazo de 8 horas.
Normalmente, Security Center busca nuevos datos cada hora y actualiza las recomendaciones en consecuencia.

NOTE
Security Center usa el agente de Log Analytics para recopilar y almacenar datos. Para obtener más información, consulte
Migración de la plataforma de Azure Security Center.
¿Por qué recibo el mensaje Falta el agente de máquina virtual?
El agente de VM debe instalarse en VM para habilitar la recopilación de datos. De manera predeterminada, el
agente de máquina virtual está instalado en las máquinas virtuales que se implementan desde Azure
Marketplace. La entrada de blog sobre las extensiones y el agente de máquina virtualproporciona información
sobre cómo instalar el Agente de máquina virtual.
 Preguntas frecuentes para clientes que ya usan
registros de Azure Monitor
30/03/2021 • 4 minutes to read • Edit Online

¿Invalida Security Center las conexiones existentes entre VM y áreas

de trabajo?
Si una VM ya tiene el agente de Log Analytics instalado como una extensión de Azure, Security Center no
invalida la conexión de área de trabajo existente. En su lugar, Security Center usa el área de trabajo existente. La
máquina virtual se protege siempre que se haya instalado la solución "Security" o "SecurityCenterFree" en el
área de trabajo a la que está notificando.
Una solución de Security Center se instala en el área de trabajo seleccionada en la pantalla Colección de datos si
todavía no está presente y la solución solo se aplica a las máquinas virtuales pertinentes. Cuando se agrega una
solución, se implementa automáticamente de forma predeterminada en todos los agentes de Windows y Linux
conectados al área de trabajo de Log Analytics. La selección de destino de solución le permite aplicar un ámbito
a sus soluciones.

TIP
Si el agente de Log Analytics se instala directamente en la máquina virtual (no como una extensión de Azure), Security
Center no lo instala y la supervisión de seguridad estará limitada.

¿Instala Security Center soluciones en mis áreas de trabajo de Log

Analytics existentes? ¿Qué implica desde el punto de vista de la
facturación?
Cuando Security Center identifica que una VM ya está conectada a un área de trabajo creada por el usuario,
habilita las soluciones en esta área de trabajo según la configuración de precios. Las soluciones se aplican solo a
las VM de Azure pertinentes a través de la selección de destino de solución, por lo que la facturación sigue
siendo la misma.
Azure Defender desactivado : Security Center instala la solución “SecurityCenterFree” en el área de
trabajo. No se le facturará.
Azure Defender activado : Security Center instala la solución “Security” en el área de trabajo.
Ya tengo áreas de trabajo en mi entorno, ¿puedo utilizarlas para
recopilar datos de seguridad?
Si una VM ya tiene el agente de Log Analytics instalado como una extensión de Azure, Security Center usa el
área de trabajo conectada existente. Una solución de Security Center se instala en el área de trabajo si todavía
no está presente y la solución solo se aplica a VM relevantes mediante la selección de destino de solución.
Cuando Security Center instala el agente de Log Analytics en las máquinas virtuales, usa los espacios de trabajo
predeterminados creados por Security Center si este no apunta a un área de trabajo ya existente.

Ya tengo una solución de seguridad en mis áreas de trabajo. ¿Qué

implica desde el punto de vista de la facturación?
La solución Seguridad y auditoría se usa para habilitar Azure defender para ser vidores . Si la solución
Seguridad y auditoría ya está instalada en un área de trabajo, Security Center utiliza la solución existente. No
hay ningún cambio en la facturación.
 Definiciones integradas de Azure Policy en Azure
Security Center
30/03/2021 • 146 minutes to read • Edit Online

Esta página es un índice de las definiciones de directivas integradas de Azure Policy relacionadas con Azure
Security Center. Están disponibles las siguientes agrupaciones de definiciones de directivas:
El grupo iniciativas muestra las definiciones de iniciativas de Azure Policy en la categoría "Security Center".
En el grupo iniciativa predeterminada se muestran todas las definiciones de Azure Policy que forman parte
de la iniciativa predeterminada de Azure Security Center, Azure Security Benchmark. Este punto de referencia
ampliamente respetado creado por Microsoft está basado en los controles del Centro de seguridad de
Internet (CIS) y del National Institute of Standards and Technology (NIST) y hace hincapié en la seguridad
centrada en la nube.
El grupo categoría muestra todas las definiciones de Azure Policy en la categoría "Security Center".
Para más información acerca de las directivas de seguridad, consulte Uso de directivas de seguridad. Puede
encontrar elementos integrados adicionales de Azure Policy para otros servicios en Definiciones de elementos
integrados de Azure Policy.
El nombre de cada definición de directiva integrada se vincula a la definición de directiva en Azure Portal. Use el
vínculo de la columna Versión para ver el origen en el repositorio de GitHub de Azure Policy.

Iniciativas de Azure Security Center

Para comprender las directivas integradas que Security Center supervisa, consulte la tabla siguiente:

N O M B RE DESC RIP C IÓ N DIREC T IVA S VERSIÓ N

[Versión preliminar]: Habilita la protección de 1 1.0.0-preview

[Versión preliminar]: datos de los servidores SQL
habilitar el conjunto de Server. El Nivel Estándar de
pruebas de protección de Azure Security Center
datos asigna automáticamente
esta iniciativa.
 N O M B RE DESC RIP C IÓ N DIREC T IVA S VERSIÓ N

Azure Security Benchmark La iniciativa de Azure 189 25.1.1

Security Benchmark
representa las directivas y
los controles que
implementan las
recomendaciones de
seguridad definidas en la
versión 2 de Azure Security
Benchmark; consulte
https://aka.ms/azsecbm.
También sirve como
iniciativa de directivas
predeterminada de Azure
Security Center. Desde
Azure Security Center se
puede asignar esta iniciativa
o administrar sus directivas
y resultados de
cumplimiento directamente.

Iniciativa predeterminada de Security Center (Azure Security

Benchmark)
Para comprender las directivas integradas que Security Center supervisa, consulte la tabla siguiente:

N O M B RE DE L A DIREC T IVA VERSIÓ N

( A ZURE PO RTA L) DESC RIP C IÓ N EF EC TO S ( GIT HUB)

Debe designar un máximo Se recomienda que designe AuditIfNotExists, Disabled 3.0.0

de tres propietarios para la a un máximo de tres
suscripción propietarios de suscripción
para reducir el riesgo de
una brecha de seguridad
por parte de un propietario
en peligro.

Debe habilitarse una Audita las máquinas AuditIfNotExists, Disabled 3.0.0

solución de evaluación de virtuales para detectar si
vulnerabilidades en sus ejecutan una solución de
máquinas virtuales evaluación de
vulnerabilidades admitida.
Un componente
fundamental de cada
programa de seguridad y
riesgo cibernético es la
identificación y el análisis de
las vulnerabilidades. El plan
de tarifa estándar de Azure
Security Center incluye el
análisis de vulnerabilidades
de las máquinas virtuales
sin costo adicional. Además,
Security Center puede
implementar
automáticamente esta
herramienta.
N O M B RE DE L A DIREC T IVA VERSIÓ N
DESC RIP C IÓ N EF EC TO S

Los controles de Habilite controles de AuditIfNotExists, Disabled 3.0.0

aplicaciones adaptables aplicaciones para definir la
para definir aplicaciones lista de aplicaciones seguras
seguras deben estar conocidas que se ejecutan
habilitados en las máquinas en las máquinas, y recibir
avisos cuando se ejecuten
otras aplicaciones. Esta
directiva también ayuda a
proteger las máquinas
frente al malware. Para
simplificar el proceso de
configuración y
mantenimiento de las
reglas, Security Center usa
el aprendizaje automático
para analizar las
aplicaciones que se ejecutan
en cada máquina y sugerir
la lista de aplicaciones
seguras conocidas.

Las recomendaciones de Azure Security Center AuditIfNotExists, Disabled 3.0.0

protección de red adaptable analiza los patrones de
se deben aplicar en las tráfico de máquinas
máquinas virtuales virtuales orientadas a
accesibles desde Internet Internet y proporciona
recomendaciones de reglas
de grupo de seguridad de
red que reducen la
superficie de ataque
potencial.

Se debe habilitar Advanced Permite auditr cada servicio AuditIfNotExists, Disabled 1.0.1
Data Security en la Instancia SQL Managed Instance sin
administrada de SQL Advanced Data Security.

La opción Advanced Data Auditoría de los servidores AuditIfNotExists, Disabled 2.0.0

Security debe estar de SQL sin Advanced Data
habilitada en los servidores Security
SQL Server

Todo el tráfico de Internet Azure Security Center ha AuditIfNotExists, Disabled 3.0.0-preview

debe enrutarse mediante la identificado que algunas de
instancia de Azure Firewall las subredes no están
implementada protegidas con un firewall
de próxima generación.
Proteja las subredes frente
a posibles amenazas
mediante la restricción del
acceso a ellas con Azure
Firewall o un firewall de
próxima generación
compatible.
N O M B RE DE L A DIREC T IVA VERSIÓ N
DESC RIP C IÓ N EF EC TO S

Todos los puertos de red Azure Security Center AuditIfNotExists, Disabled 3.0.0
deben estar restringidos en identificó que algunas de las
los grupos de seguridad de reglas de entrada de sus
red asociados a la máquina grupos de seguridad de red
virtual son demasiado permisivas.
Las reglas de entrada no
deben permitir el acceso
desde los intervalos
"Cualquiera" o "Internet".
Esto podría permitir a los
atacantes acceder a sus
recursos.

Se deben actualizar las Supervise los cambios en el AuditIfNotExists, Disabled 3.0.0

reglas de la lista de comportamiento de los
permitidos de la directiva de grupos de máquinas
controles de aplicaciones configurados para la
adaptables auditoría mediante
controles de aplicaciones
adaptables de Azure
Security Center. Security
Center usa el aprendizaje
automático para analizar los
procesos en ejecución en las
máquinas y sugerir una lista
de aplicaciones seguras
conocidas. Estas se
presentan como
aplicaciones recomendadas
que se deben permitir en
directivas de control de
aplicaciones adaptables.

El administrador de Permite aprovisionar un AuditIfNotExists, Disabled 1.0.0

Azure Active Directory debe administrador de Azure
aprovisionarse para Active Directory para SQL
servidores SQL Server Server a fin de habilitar la
autenticación de Azure AD.
La autenticación de Azure
AD permite la
administración simplificada
de permisos y la
administración centralizada
de identidades de usuarios
de base de datos y otros
servicios de Microsoft

Acceso a API App solo a El uso de HTTPS garantiza la Audit, Disabled 1.0.0
través de HTTPS autenticación del servicio y
el servidor, y protege los
datos en tránsito frente a
ataques de intercepción de
nivel de red.
N O M B RE DE L A DIREC T IVA VERSIÓ N
DESC RIP C IÓ N EF EC TO S

Los servicios de API La implementación de Audit, Disabled 1.0.1

Management deben usar Azure Virtual Network
una red virtual ofrece una seguridad y
aislamiento mejorados, y
permite colocar el servicio
de API Management en una
red enrutable sin conexión a
Internet cuyo acceso puede
controlar. Estas redes se
pueden conectar a las redes
locales mediante diversas
tecnologías de VPN, lo que
permite el acceso a los
servicios de back-end
dentro de la red o de forma
local. El portal para
desarrolladores y la puerta
de enlace de API pueden
configurarse para que sea
accesible desde Internet o
solo dentro de la red
virtual.

App Configuration debe Azure Private Link permite AuditIfNotExists, Disabled 1.0.2
usar Private Link conectar la red virtual a
servicios de Azure sin una
dirección IP pública en el
origen o el destino. La
plataforma Private Link
administra la conectividad
entre el consumidor y los
servicios a través de la red
troncal de Azure. Mediante
la asignación de puntos de
conexión privados a las
instancias de App
Configuration en lugar de a
todo el servicio, además se
protege frente a riesgos de
pérdida de datos. Más
información en:
https://aka.ms/appconfig/pr
ivate-endpoint.

Auditar el uso de reglas de Permite auditar roles Audit, Disabled 1.0.0

RBAC personalizadas integrados, como
"propietario, colaborador,
lector" en lugar de roles
RBAC personalizados, que
son propensos a errores de
auditoría. El uso de roles
personalizados se trata
como una excepción y
requiere una revisión
rigurosa y el modelado de
amenazas.
N O M B RE DE L A DIREC T IVA VERSIÓ N
DESC RIP C IÓ N EF EC TO S

La auditoría de SQL Server La auditoría debe estar AuditIfNotExists, Disabled 2.0.0

debe estar habilitada habilitada en SQL Server
para realizar un
seguimiento de las
actividades de todas las
bases de datos del servidor
y guardarlas en un registro
de auditoría.

La autenticación en Aunque el propio SSH AuditIfNotExists, Disabled 2.0.1

máquinas Linux debe proporciona una conexión
requerir claves SSH. cifrada, el uso de
contraseñas con SSH deja la
máquina virtual vulnerable
a ataques por fuerza bruta.
La opción más segura para
autenticarse en una
máquina virtual Linux de
Azure mediante SSH es con
un par de claves pública y
privada, también conocido
como claves SSH. Más
información:
https://docs.microsoft.com/
azure/virtual-
machines/linux/create-ssh-
keys-detailed.

Los intervalos IP Restrinja el acceso a la API Audit, Disabled 2.0.1

autorizados deben definirse de administración de
en los servicios de servicios de Kubernetes
Kubernetes mediante la concesión de
acceso de API solo a
direcciones IP en intervalos
específicos. Se recomienda
limitar el acceso a los
intervalos IP autorizados
para garantizar que solo las
aplicaciones de las redes
permitidas puedan acceder
al clúster.
N O M B RE DE L A DIREC T IVA VERSIÓ N
DESC RIP C IÓ N EF EC TO S

El aprovisionamiento A fin de supervisar las AuditIfNotExists, Disabled 1.0.1

automático del agente de amenazas y
Log Analytics debe estar vulnerabilidades de
habilitado en la suscripción seguridad, Azure Security
Center recopila datos de las
máquinas virtuales de
Azure. El agente de Log
Analytics, anteriormente
conocido como
Microsoft Monitoring Agent
(MMA), recopila los datos al
leer distintas
configuraciones
relacionadas con la
seguridad y distintos
registros de eventos de la
máquina y copiar los datos
en el área de trabajo de Log
Analytics para analizarlos.
Se recomienda habilitar el
aprovisionamiento
automático para
implementar
automáticamente el agente
en todas las máquinas
virtuales de Azure
admitidas y en las nuevas
que se creen.

Las variables de cuenta de Es importante habilitar el Audit, Deny, Disabled 1.1.0

Automation deben cifrarse cifrado de recursos de
variables de cuentas de
Automation al almacenar
datos confidenciales.

Azure Backup debe estar Asegúrese que Azure AuditIfNotExists, Disabled 1.0.1
habilitado para Virtual Virtual Machines está
Machines. protegido; para ello, habilite
Azure Backup. Azure
Backup es una solución de
protección de datos segura
y rentable para Azure.
N O M B RE DE L A DIREC T IVA VERSIÓ N
DESC RIP C IÓ N EF EC TO S

Azure Cache for Redis debe La implementación de Audit, Deny, Disabled 1.0.3
residir en una red virtual Azure Virtual Network
proporciona seguridad y
aislamiento mejorados para
Azure Cache for Redis, así
como subredes, directivas
de control de acceso y otras
características para
restringir aún más el acceso.
Cuando una instancia de
Azure Cache for Redis está
configurada con una red
virtual, no está disponible
públicamente y solo se
puede acceder a ella desde
máquinas virtuales y
aplicaciones de la red
virtual.

Las cuentas de Azure Se deben definir reglas de Audit, Deny, Disabled 1.0.1
Cosmos DB deben tener firewall en las cuentas de
reglas de firewall. Azure Cosmos DB para
evitar el tráfico desde
orígenes no autorizados.
Las cuentas que tienen al
menos una regla de IP
definida con el filtro de red
virtual habilitado se
consideran compatibles. Las
cuentas que deshabilitan el
acceso público también se
consideran compatibles.

Las cuentas de Azure Use claves administradas audit, deny, disabled 1.0.2
Cosmos DB deben usar por el cliente para
claves administradas por el administrar el cifrado en
cliente para cifrar los datos reposo de la instancia de
en reposo Azure Cosmos DB. De
manera predeterminada, los
datos se cifran en reposo
con claves administradas
por el servicio, pero las
claves administradas por el
cliente suelen ser necesarias
para cumplir estándares de
cumplimiento normativo.
Las claves administradas
por el cliente permiten cifrar
los datos con una clave de
Azure Key Vault creada por
el usuario y propiedad de
este. Tiene control y
responsabilidad totales del
ciclo de vida de la clave,
incluidos la rotación y
administración. Obtenga
más información en
https://aka.ms/cosmosdb-
cmk.
N O M B RE DE L A DIREC T IVA VERSIÓ N
DESC RIP C IÓ N EF EC TO S

Azure DDoS Protection El estándar de protección AuditIfNotExists, Disabled 3.0.0

Standard debe estar DDoS debe estar habilitado
habilitado en todas las redes virtuales
que tengan una subred que
forme parte de una
instancia de Application
Gateway con una dirección
IP pública.

Se debe habilitar Azure Azure Defender para App AuditIfNotExists, Disabled 1.0.3
Defender para App Service Service aprovecha la
escalabilidad de la nube, y la
visibilidad que ofrece Azure
como proveedor de
servicios en la nube, para
supervisar si se producen
ataques comunes a
aplicaciones web.

Se debe habilitar Azure Azure Defender para SQL AuditIfNotExists, Disabled 1.0.2
Defender para servidores proporciona funcionalidad
de Azure SQL Database para mostrar y mitigar
posibles vulnerabilidades de
base de datos, detectar
actividades anómalas que
podrían indicar amenazas
para bases de datos SQL, y
detectar y clasificar datos
confidenciales.

Se debe habilitar Azure Azure Defender para AuditIfNotExists, Disabled 1.0.3

Defender para registros de registros de contenedor
contenedor proporciona análisis de
vulnerabilidades de las
imágenes extraídas en los
últimos 30 días, insertadas
en el registro o importadas,
y expone los hallazgos
detallados por imagen.

Se debe habilitar Azure Azure Defender para Key AuditIfNotExists, Disabled 1.0.3
Defender para Key Vault Vault proporciona un nivel
de protección adicional de
inteligencia de seguridad, ya
que detecta intentos
inusuales y potencialmente
dañinos de obtener acceso
a las cuentas de Key Vault o
aprovechar sus
vulnerabilidades de
seguridad.
N O M B RE DE L A DIREC T IVA VERSIÓ N
DESC RIP C IÓ N EF EC TO S

Se debe habilitar Azure Azure Defender para AuditIfNotExists, Disabled 1.0.3

Defender para Kubernetes Kubernetes proporciona
protección en tiempo real
contra amenazas para
entornos en contenedores y
genera alertas en caso de
actividad sospechosa.

Se debe habilitar Azure Azure Defender para AuditIfNotExists, Disabled 1.0.3

Defender para servidores servidores proporciona
protección en tiempo real
contra amenazas para las
cargas de trabajo del
servidor y genera
recomendaciones de
protección, así como alertas
sobre la actividad
sospechosa.

Se debe habilitar Azure Azure Defender para SQL AuditIfNotExists, Disabled 1.0.2
Defender para servidores proporciona funcionalidad
SQL Server en las máquinas para mostrar y mitigar
posibles vulnerabilidades de
base de datos, detectar
actividades anómalas que
podrían indicar amenazas
para bases de datos SQL, y
detectar y clasificar datos
confidenciales.

Se debe habilitar Azure Azure Defender para AuditIfNotExists, Disabled 1.0.3

Defender para Storage Storage detecta intentos
inusuales y potencialmente
perjudiciales de acceder a
las cuentas de
almacenamiento o de
vulnerarlas.

Los dominios de Azure Azure Private Link permite Audit, Disabled 1.0.2
Event Grid deben usar conectar la red virtual a
Private Link servicios de Azure sin una
dirección IP pública en el
origen o el destino. La
plataforma Private Link
administra la conectividad
entre el consumidor y los
servicios a través de la red
troncal de Azure. Mediante
la asignación de puntos de
conexión privados al
dominio de Event Grid en
lugar de a todo el servicio,
también estará protegido
frente a riesgos de pérdida
de datos. Más información
en:
https://aka.ms/privateendp
oints.
N O M B RE DE L A DIREC T IVA VERSIÓ N
DESC RIP C IÓ N EF EC TO S

Los temas de Azure Event Azure Private Link permite Audit, Disabled 1.0.2
Grid deben usar Private conectar la red virtual a
Link servicios de Azure sin una
dirección IP pública en el
origen o el destino. La
plataforma Private Link
administra la conectividad
entre el consumidor y los
servicios a través de la red
troncal de Azure. Mediante
la asignación de puntos de
conexión privados al tema
de Event Grid en lugar de a
todo el servicio, estará
además protegido frente a
riesgos de pérdida de datos.
Más información en:
https://aka.ms/privateendp
oints.

Las áreas de trabajo de Administre el cifrado en Audit, Deny, Disabled 1.0.3

Azure Machine Learning reposo de los datos del área
deben cifrarse con una clave de trabajo de Azure
administrada por el cliente. Machine Learning con
claves administradas por el
cliente. De manera
predeterminada, los datos
del cliente se cifran con
claves administradas por el
servicio, pero las claves
administradas por el cliente
suelen ser necesarias para
cumplir estándares de
cumplimiento normativo.
Las claves administradas
por el cliente permiten cifrar
los datos con una clave de
Azure Key Vault creada por
el usuario y propiedad de
este. Tiene control y
responsabilidad totales del
ciclo de vida de la clave,
incluidos la rotación y
administración. Obtenga
más información en
https://aka.ms/azureml-
workspaces-cmk.
N O M B RE DE L A DIREC T IVA VERSIÓ N
DESC RIP C IÓ N EF EC TO S

Las áreas de trabajo de Azure Private Link permite Audit, Disabled 1.0.1
Azure Machine Learning conectar la red virtual a
deben usar un vínculo servicios de Azure sin una
privado. dirección IP pública en el
origen o el destino. La
plataforma Private Link
administra la conectividad
entre el consumidor y los
servicios a través de la red
troncal de Azure. Mediante
la asignación de puntos de
conexión privados a las
áreas de Azure Machine
Learning en lugar de a todo
el servicio, además se
protege frente a riesgos de
pérdida de datos. Más
información en:
https://aka.ms/azureml-
workspaces-privatelink.

El complemento Azure El complemento Azure Audit, Disabled 1.0.2

Policy para Kubernetes Policy para Kubernetes
Service (AKS) debería estar Service (AKS) amplía
instalado y habilitado en Gatekeeper v3, un webhook
sus clústeres del controlador de admisión
de Open Policy Agent
(OPA), para aplicar
imposiciones y medidas de
seguridad a escala en los
clústeres de forma
centralizada y coherente.

Azure SignalR Service debe Azure Private Link permite Audit, Disabled 1.0.1
usar Private Link conectar la red virtual a
servicios de Azure sin una
dirección IP pública en el
origen o el destino. La
plataforma Private Link
administra la conectividad
entre el consumidor y los
servicios a través de la red
troncal de Azure. Mediante
la asignación de puntos de
conexión privados a los
recursos de SignalR en lugar
de a todo el servicio,
además se protege frente a
riesgos de pérdida de datos.
Más información en:
https://aka.ms/asrs/privateli
nk.
N O M B RE DE L A DIREC T IVA VERSIÓ N
DESC RIP C IÓ N EF EC TO S

Azure Spring Cloud debe Las instancias de Azure Audit, Disabled, Deny 1.0.0
usar la inserción de red Spring Cloud deberían
utilizar la inserción de red
virtual con los fines
siguientes: 1. Aislar Azure
Spring Cloud de Internet. 2.
Permitir que Azure Spring
Cloud interactúe con
sistemas en centros de
datos locales o con el
servicio de Azure en otras
redes virtuales. 3. Permite a
los clientes controlar las
comunicaciones de red
entrantes y salientes para
Azure Spring Cloud.

La protección de datos Use claves administradas AuditIfNotExists, Disabled 1.0.3

Bring Your Own Key debe por el cliente para
estar habilitada para los administrar el cifrado en
servidores MySQL reposo de los servidores
MySQL. De manera
predeterminada, los datos
se cifran en reposo con
claves administradas por el
servicio, pero las claves
administradas por el cliente
suelen ser necesarias para
cumplir estándares de
cumplimiento normativo.
Las claves administradas
por el cliente permiten cifrar
los datos con una clave de
Azure Key Vault creada por
el usuario y propiedad de
este. Tiene control y
responsabilidad totales del
ciclo de vida de la clave,
incluidos la rotación y
administración.
N O M B RE DE L A DIREC T IVA VERSIÓ N
DESC RIP C IÓ N EF EC TO S

La protección de datos Use claves administradas AuditIfNotExists, Disabled 1.0.3

Bring Your Own Key debe por el cliente para
estar habilitada para los administrar el cifrado en
servidores PostgreSQL reposo de los servidores
PostgreSQL. De manera
predeterminada, los datos
se cifran en reposo con
claves administradas por el
servicio, pero las claves
administradas por el cliente
suelen ser necesarias para
cumplir estándares de
cumplimiento normativo.
Las claves administradas
por el cliente permiten cifrar
los datos con una clave de
Azure Key Vault creada por
el usuario y propiedad de
este. Tiene control y
responsabilidad totales del
ciclo de vida de la clave,
incluidos la rotación y
administración.

Los certificados deben tener Administre los requisitos de audit, deny, disabled 2.1.0-preview
el periodo de máximo de cumplimiento de su
validez que se haya organización. Para ello,
especificado especifique la cantidad
máxima de tiempo que un
certificado puede ser válido
en el almacén de claves.

Las cuentas de Cognitive Al deshabilitar el acceso a la Audit, Deny, Disabled 1.0.1

Services deben deshabilitar red pública, se mejora la
el acceso a la red pública seguridad, ya que la cuenta
de Cognitive Services no se
expone en la red pública de
Internet. La creación de
puntos de conexión
privados puede limitar la
exposición de la cuenta de
Cognitive Services. Más
información en:
https://go.microsoft.com/fwl
ink/?linkid=2129800.

Las cuentas de Cognitive Esta directiva audita las Audit, Deny, Disabled 1.0.0
Services deben tener cuentas de Cognitive
habilitado el cifrado de Services sin usar el cifrado
datos de datos. Para cada cuenta
de Cognitive Services con
almacenamiento, debe
habilitar el cifrado de datos
con una clave administrada
por el cliente o por
Microsoft.
N O M B RE DE L A DIREC T IVA VERSIÓ N
DESC RIP C IÓ N EF EC TO S

Las cuentas de Cognitive Las claves administradas Audit, Deny, Disabled 2.0.0
Services deben habilitar el por el cliente suelen ser
cifrado de datos con una necesarias para cumplir
clave administrada por el estándares de cumplimiento
cliente. normativo. Las claves
administradas por el cliente
permiten cifrar los datos
almacenados en Cognitive
Services con una clave de
Azure Key Vault creada por
el usuario y propiedad de
este. Tiene control y
responsabilidad totales del
ciclo de vida de la clave,
incluidos la rotación y
administración. Para más
información sobre las claves
administradas por el cliente,
consulte
https://go.microsoft.com/fwl
ink/?linkid=2121321.

Las cuentas de Cognitive Se debe restringir el acceso Audit, Deny, Disabled 1.0.0
Services deben restringir el de red a las cuentas de
acceso a la red Cognitive Services.
Configure reglas de red, de
forma que solo las
aplicaciones de redes
permitidas pueden acceder
a la cuenta de Cognitive
Services. Para permitir
conexiones desde clientes
específicos locales o de
Internet, se puede conceder
acceso al tráfico procedente
de redes virtuales de Azure
específicas o a intervalos de
direcciones IP de Internet
públicas.

Las cuentas de Cognitive Esta directiva audita las Audit, Deny, Disabled 1.0.0
Services deben usar un cuentas de Cognitive
almacenamiento propiedad Services sin usar cifrado de
del cliente o tener datos ni almacenamiento
habilitado el cifrado de propiedad del cliente. Para
datos. cada cuenta de Cognitive
Services con
almacenamiento, use el
almacenamiento propiedad
del cliente o habilite el
cifrado de datos.
N O M B RE DE L A DIREC T IVA VERSIÓ N
DESC RIP C IÓ N EF EC TO S

Los registros de contenedor Use claves administradas Audit, Deny, Disabled 1.1.2
deben cifrarse con una clave por el cliente para
administrada por el cliente administrar el cifrado en
reposo del contenido de los
registros. De manera
predeterminada, los datos
se cifran en reposo con
claves administradas por el
servicio, pero las claves
administradas por el cliente
suelen ser necesarias para
cumplir estándares de
cumplimiento normativo.
Las claves administradas
por el cliente permiten cifrar
los datos con una clave de
Azure Key Vault creada por
el usuario y propiedad de
este. Tiene control y
responsabilidad totales del
ciclo de vida de la clave,
incluidos la rotación y
administración. Obtenga
más información en
https://aka.ms/acr/CMK.

Las instancias de Container De manera predeterminada, Audit, Disabled 1.0.1

Registry no deben permitir las instancias de Azure
el acceso de red sin Container Registry aceptan
restricciones conexiones a través de
Internet de hosts de
cualquier red. Para
protegerlas frente a
posibles amenazas, permita
el acceso solo desde
direcciones IP públicas
específicas o intervalos de
direcciones. Si el registro no
tiene una regla de
IP/firewall o una red virtual
configurada, aparece en los
recursos incorrectos.
Obtenga más información
sobre las reglas de red de
Container Registry aquí:
https://aka.ms/acr/portal/pu
blic-network y aquí
https://aka.ms/acr/vnet.
N O M B RE DE L A DIREC T IVA VERSIÓ N
DESC RIP C IÓ N EF EC TO S

Las instancias de Container Azure Private Link permite Audit, Disabled 1.0.1
Registry deben usar Private conectar la red virtual a
Link servicios de Azure sin una
dirección IP pública en el
origen o el destino. La
plataforma Private Link
controla la conectividad
entre el consumidor y los
servicios a través de la red
troncal de Azure. Al asignar
puntos de conexión
privados a las instancias de
Container Registry en lugar
de a todo el servicio,
además se protege frente a
riesgos de pérdida de datos.
Más información en:
https://aka.ms/acr/private-
link.

CORS no debe permitir que El uso compartido de AuditIfNotExists, Disabled 1.0.0

todos los recursos accedan recursos entre orígenes
a la aplicación de API (CORS) no debe permitir
que todos los dominios
accedan a la aplicación de
API. Permita la interacción
con API solo de los
dominios requeridos.

CORS no debe permitir que El uso compartido de AuditIfNotExists, Disabled 1.0.0

todos los recursos recursos entre orígenes
obtengan acceso a las (CORS) no debe permitir
aplicaciones de funciones que todos los dominios
accedan a la aplicación de
funciones. Permita la
interacción con la aplicación
de funciones solo de los
dominios requeridos.

Recomendación de que El uso compartido de AuditIfNotExists, Disabled 1.0.0

CORS no permita que todos recursos entre orígenes
los recursos accedan a las (CORS) no debe permitir
aplicaciones web que todos los dominios
accedan a la aplicación web.
Permita la interacción con la
aplicación web solo de los
dominios requeridos.

Las cuentas en desuso Convendría eliminar las AuditIfNotExists, Disabled 3.0.0

deben quitarse de la cuentas en desuso de las
suscripción suscripciones. Las cuentas
en desuso son cuentas en
las que se ha bloqueado el
inicio de sesión.
N O M B RE DE L A DIREC T IVA VERSIÓ N
DESC RIP C IÓ N EF EC TO S

Las cuentas en desuso con Quitar de la suscripción las AuditIfNotExists, Disabled 3.0.0
permisos de propietario cuentas en desuso con
deben quitarse de la permisos de propietario Las
suscripción cuentas en desuso son
cuentas en las que se ha
bloqueado el inicio de
sesión.

Los registros de diagnóstico Permite auditar la AuditIfNotExists, Disabled 2.0.0

de App Services deben habilitación de registros de
estar habilitados diagnóstico en la aplicación.
Esto le permite volver a
crear seguimientos de
actividad con fines de
investigación si se produce
un incidente de seguridad o
se pone en peligro la red.

El cifrado de discos debe Azure Security Center AuditIfNotExists, Disabled 2.0.0

aplicarse en máquinas supervisará las máquinas
virtuales virtuales sin el cifrado de
disco habilitado como
recomendaciones.

La opción para enviar Para asegurarse de que las AuditIfNotExists, Disabled 1.0.1
notificaciones por correo personas pertinentes de la
electrónico para alertas de organización reciban una
gravedad alta debe estar notificación cuando se
habilitada. produzca una vulneración
de seguridad potencial en
una de las suscripciones,
habilite las notificaciones
por correo electrónico de
alertas de gravedad alta en
Security Center.

La opción para enviar Para asegurarse de que los AuditIfNotExists, Disabled 2.0.0
notificaciones por correo propietarios de
electrónico al propietario de suscripciones reciban una
la suscripción en relación a notificación cuando se
alertas de gravedad alta produzca una vulneración
debe estar habilitada. de seguridad potencial en
sus suscripciones,
establezca notificaciones
por correo electrónico a los
propietarios de las
suscripciones de alertas de
gravedad alta en Security
Center.

La solución de protección Audite la existencia y el AuditIfNotExists, Disabled 3.0.0

del punto de conexión debe estado de una solución de
instalarse en las máquinas protección de puntos de
virtuales conexión en los conjuntos
de escalado de máquinas
virtuales para protegerlos
frente a amenazas y
vulnerabilidades.
N O M B RE DE L A DIREC T IVA VERSIÓ N
DESC RIP C IÓ N EF EC TO S

Exigir una conexión SSL Azure Database for MySQL Audit, Disabled 1.0.1
debe estar habilitado en los permite conectar el servidor
servidores de bases de de Azure Database for
datos MySQL MySQL con aplicaciones
cliente mediante Capa de
sockets seguros (SSL). La
aplicación de conexiones
SSL entre el servidor de
bases de datos y las
aplicaciones cliente facilita la
protección frente a ataques
de tipo "Man in the middle"
al cifrar el flujo de datos
entre el servidor y la
aplicación. Esta
configuración exige que SSL
esté siempre habilitado para
el acceso al servidor de
bases de datos.

La aplicación de la conexión Azure Database for Audit, Disabled 1.0.1

SSL debe estar habilitada PostgreSQL permite
para los servidores de base conectar el servidor de
de datos PostgreSQL Azure Database for
PostgreSQL a las
aplicaciones cliente
mediante la Capa de
sockets seguros (SSL). La
aplicación de conexiones
SSL entre el servidor de
bases de datos y las
aplicaciones cliente facilita la
protección frente a ataques
de tipo "Man in the middle"
al cifrar el flujo de datos
entre el servidor y la
aplicación. Esta
configuración exige que SSL
esté siempre habilitado para
el acceso al servidor de
bases de datos.

Asegúrese de que la Los certificados de cliente Audit, Disabled 1.0.0

aplicación de API tenga la permiten que la aplicación
opción "Client Certificates solicite un certificado para
(Incoming client las solicitudes entrantes.
certificates)" activada Solo los clientes que tienen
un certificado válido podrán
acceder a la aplicación.
N O M B RE DE L A DIREC T IVA VERSIÓ N
DESC RIP C IÓ N EF EC TO S

Asegurarse de que la A causa de errores de AuditIfNotExists, Disabled 2.0.0

"Versión de Java" es la más seguridad o para incluir
reciente, si se usa como funcionalidades, se publican
parte de la aplicación de de forma periódica
API versiones más recientes de
Java. Para las aplicaciones
de API, se recomienda usar
la versión más reciente de
Python con el fin de
aprovechar las correcciones
de seguridad, de haberlas, o
las nuevas funcionalidades
de la versión más reciente.
Actualmente, esta directiva
solo se aplica a las
aplicaciones web de Linux.

Asegúrese de que la versión A causa de errores de AuditIfNotExists, Disabled 2.0.0

de Java sea la más reciente, seguridad o para incluir
si se usa como parte de la funcionalidades, se publican
aplicación de funciones de forma periódica
versiones más recientes del
software de Java. Para las
aplicaciones de funciones,
se recomienda usar la
versión más reciente de
Java con el fin de
aprovechar las correcciones
de seguridad, de haberlas, o
las nuevas funcionalidades
de la versión más reciente.
Actualmente, esta directiva
solo se aplica a las
aplicaciones web de Linux.

Asegúrese de que la A causa de errores de AuditIfNotExists, Disabled 2.0.0

"Versión de Java" es la más seguridad o para incluir
reciente, si se usa como funcionalidades, se publican
parte de la aplicación web de forma periódica
versiones más recientes del
software de Java. Para las
aplicaciones web, se
recomienda usar la versión
más reciente de Java con el
fin de aprovechar las
correcciones de seguridad,
de haberlas, o las nuevas
funcionalidades de la
versión más reciente.
Actualmente, esta directiva
solo se aplica a las
aplicaciones web de Linux.
N O M B RE DE L A DIREC T IVA VERSIÓ N
DESC RIP C IÓ N EF EC TO S

Asegurarse de que la A causa de errores de AuditIfNotExists, Disabled 2.0.0

"Versión de PHP" es la más seguridad o para incluir
reciente, si se usa como funcionalidades, se publican
parte de la aplicación de de forma periódica
API versiones más recientes del
software de PHP. Para las
aplicaciones de API, se
recomienda usar la versión
más reciente de PHP con el
fin de aprovechar las
correcciones de seguridad,
de haberlas, o las nuevas
funcionalidades de la
versión más reciente.
Actualmente, esta directiva
solo se aplica a las
aplicaciones web de Linux.

Asegúrese de que la A causa de errores de AuditIfNotExists, Disabled 2.0.0

"Versión de PHP" es la más seguridad o para incluir
reciente, si se usa como funcionalidades, se publican
parte de la aplicación web de forma periódica
versiones más recientes del
software de PHP. Para las
aplicaciones web, se
recomienda usar la versión
más reciente de PHP con el
fin de aprovechar las
correcciones de seguridad,
de haberlas, o las nuevas
funcionalidades de la
versión más reciente.
Actualmente, esta directiva
solo se aplica a las
aplicaciones web de Linux.

Asegurarse de que la A causa de errores de AuditIfNotExists, Disabled 3.0.0

"Versión de Python" es la seguridad o para incluir
más reciente, si se usa funcionalidades, se publican
como parte de la aplicación de forma periódica
de API versiones más recientes del
software de Python. Para las
aplicaciones de API, se
recomienda usar la versión
más reciente de Python con
el fin de aprovechar las
correcciones de seguridad,
de haberlas, o las nuevas
funcionalidades de la
versión más reciente.
Actualmente, esta directiva
solo se aplica a las
aplicaciones web de Linux.
N O M B RE DE L A DIREC T IVA VERSIÓ N
DESC RIP C IÓ N EF EC TO S

Asegúrese de que la A causa de errores de AuditIfNotExists, Disabled 3.0.0

"Versión de Python" es la seguridad o para incluir
más reciente, si se usa funcionalidades, se publican
como parte de la aplicación de forma periódica
de funciones versiones más recientes del
software de Python. Para las
aplicaciones de funciones,
se recomienda usar la
versión más reciente de
Python con el fin de
aprovechar las correcciones
de seguridad, de haberlas, o
las nuevas funcionalidades
de la versión más reciente.
Actualmente, esta directiva
solo se aplica a las
aplicaciones web de Linux.

Asegúrese de que la A causa de errores de AuditIfNotExists, Disabled 3.0.0

"Versión de Python" es la seguridad o para incluir
más reciente, si se usa funcionalidades, se publican
como parte de la aplicación de forma periódica
web versiones más recientes del
software de Python. Para las
aplicaciones web, se
recomienda usar la versión
más reciente de Python con
el fin de aprovechar las
correcciones de seguridad,
de haberlas, o las nuevas
funcionalidades de la
versión más reciente.
Actualmente, esta directiva
solo se aplica a las
aplicaciones web de Linux.

Asegúrese de que la Los certificados de cliente Audit, Disabled 1.0.0

aplicación web tenga la permiten que la aplicación
opción "Client Certificates solicite un certificado para
(Incoming client las solicitudes entrantes.
certificates)" activada Solo los clientes que tienen
un certificado válido podrán
acceder a la aplicación.

Las cuentas externas con Las cuentas externas con AuditIfNotExists, Disabled 3.0.0
permisos de propietario permisos de propietario
deben quitarse de la deben quitarse de la
suscripción suscripción a fin de evitar el
acceso no supervisado.

Las cuentas externas con Las cuentas externas con AuditIfNotExists, Disabled 3.0.0
permisos de lectura deben privilegios de lectura deben
quitarse de la suscripción quitarse de la suscripción a
fin de evitar el acceso no
supervisado.
N O M B RE DE L A DIREC T IVA VERSIÓ N
DESC RIP C IÓ N EF EC TO S

Las cuentas externas con Las cuentas externas con AuditIfNotExists, Disabled 3.0.0
permisos de escritura deben privilegios de escritura
quitarse de la suscripción deben quitarse de la
suscripción a fin de evitar el
acceso no supervisado.

El firewall debe estar El firewall del almacén de Audit, Disabled 1.0.2-preview

habilitado en Key Vault claves evita que el tráfico no
autorizado lo alcance y
proporciona una capa
adicional de protección para
los secretos. Habilite el
firewall para asegurarse de
que solo el tráfico de las
redes permitidas pueda
acceder al almacén de
claves.

Es necesario exigir FTPS en Habilite el cumplimiento AuditIfNotExists, Disabled 2.0.0

la aplicación de API con FTPS para mejorar la
seguridad.

Es necesario exigir FTPS en Habilite el cumplimiento AuditIfNotExists, Disabled 2.0.0

la aplicación de funciones con FTPS para mejorar la
seguridad.

Es necesario exigir FTPS en Habilite el cumplimiento AuditIfNotExists, Disabled 2.0.0

la aplicación web con FTPS para mejorar la
seguridad.

Acceso a Function App solo El uso de HTTPS garantiza la Audit, Disabled 1.0.0
a través de HTTPS autenticación del servicio y
el servidor, y protege los
datos en tránsito frente a
ataques de intercepción de
nivel de red.

Las aplicaciones de Los certificados de cliente Audit, Disabled 1.0.1

funciones deben tener la permiten que la aplicación
opción "Certificados de solicite un certificado para
cliente (certificados de las solicitudes entrantes.
cliente entrantes)" Solo los clientes con
habilitada certificados válidos pueden
acceder a la aplicación.
N O M B RE DE L A DIREC T IVA VERSIÓ N
DESC RIP C IÓ N EF EC TO S

La copia de seguridad con Azure Database for Audit, Disabled 1.0.1

redundancia geográfica MariaDB le permite elegir la
debe estar habilitada para opción de redundancia para
Azure Database for el servidor de bases de
MariaDB datos. Se puede establecer
en un almacenamiento de
copia de seguridad con
redundancia geográfica
donde los datos no solo se
almacenan dentro de la
región en la que se hospeda
el servidor, sino que
también se replican en una
región emparejada para
proporcionar la opción de
recuperación en caso de
que se produzca un error
en la región. La
configuración de
almacenamiento con
redundancia geográfica
para copia de seguridad
solo se permite durante la
creación del servidor.

La copia de seguridad con Azure Database for MySQL Audit, Disabled 1.0.1
redundancia geográfica le permite elegir la opción
debe estar habilitada para de redundancia para el
Azure Database for MySQL servidor de bases de datos.
Se puede establecer en un
almacenamiento de copia
de seguridad con
redundancia geográfica
donde los datos no solo se
almacenan dentro de la
región en la que se hospeda
el servidor, sino que
también se replican en una
región emparejada para
proporcionar la opción de
recuperación en caso de
que se produzca un error
en la región. La
configuración de
almacenamiento con
redundancia geográfica
para copia de seguridad
solo se permite durante la
creación del servidor.
N O M B RE DE L A DIREC T IVA VERSIÓ N
DESC RIP C IÓ N EF EC TO S

La copia de seguridad con Azure Database for Audit, Disabled 1.0.1

redundancia geográfica PostgreSQL le permite
debe estar habilitada para elegir la opción de
Azure Database for redundancia para el
PostgreSQL servidor de bases de datos.
Se puede establecer en un
almacenamiento de copia
de seguridad con
redundancia geográfica
donde los datos no solo se
almacenan dentro de la
región en la que se hospeda
el servidor, sino que
también se replican en una
región emparejada para
proporcionar la opción de
recuperación en caso de
que se produzca un error
en la región. La
configuración de
almacenamiento con
redundancia geográfica
para copia de seguridad
solo se permite durante la
creación del servidor.

La extensión "Configuración Para garantizar la seguridad AuditIfNotExists, Disabled 1.0.1

de invitado" debe estar de la configuración de
instalada en las máquinas. invitado, instale la extensión
"Configuración de invitado".
La configuración de invitado
supervisada en la extensión
engloba la configuración del
sistema operativo, la
configuración o presencia
de las aplicaciones y la
configuración del entorno.
Una vez instaladas, las
directivas de invitado
estarán disponibles como
"La protección contra
vulnerabilidades de
Windows debe estar
habilitada.". Obtenga más
información en
https://aka.ms/gcpol.

Las máquinas virtuales Proteja sus máquinas AuditIfNotExists, Disabled 3.0.0

accesibles desde Internet virtuales de posibles
deben estar protegidas con amenazas limitando el
grupos de seguridad de red acceso a ellas con grupos
de seguridad de red (NSG).
Más información sobre
cómo controlar el tráfico
con los grupos de
seguridad de red en
https://aka.ms/nsg-doc.
N O M B RE DE L A DIREC T IVA VERSIÓ N
DESC RIP C IÓ N EF EC TO S

El reenvío de IP en la Habilitar el reenvío de IP en AuditIfNotExists, Disabled 3.0.0

máquina virtual debe estar la NIC de la máquina virtual
deshabilitado permite que la máquina
reciba tráfico dirigido a
otros destinos. El reenvío de
IP rara vez es necesario (por
ejemplo, cuando se usa la
máquina virtual como una
aplicación virtual de red) y,
por lo tanto, el equipo de
seguridad de red debe
revisarlo.

Las claves de Key Vault Las claves criptográficas Audit, Deny, Disabled 1.0.1-preview
deben tener una fecha de deben tener una fecha de
expiración expiración definida y no ser
permanentes. Las claves
que no expiran
proporcionan a los posibles
atacantes más tiempo para
hacerse con ellas. Por ello,
se recomienda como
práctica de seguridad
establecer fechas de
expiración en las claves
criptográficas.

Los secretos de Key Vault Los secretos deben tener Audit, Deny, Disabled 1.0.1-preview
deben tener una fecha de una fecha de expiración
expiración definida y no ser
permanentes. Los secretos
que no expiran
proporcionan a un posible
atacante más tiempo para
ponerlos en peligro. Por
ello, se recomienda como
práctica de seguridad
establecer fechas de
expiración en los secretos.
N O M B RE DE L A DIREC T IVA VERSIÓ N
DESC RIP C IÓ N EF EC TO S

Los almacenes de claves La eliminación Audit, Deny, Disabled 1.1.1

deben tener habilitada la malintencionada de un
protección contra almacén de claves puede
operaciones de purga provocar una pérdida de
datos permanente. Un
usuario malintencionado de
la organización puede
eliminar y purgar los
almacenes de claves. La
protección contra purgas le
protege frente a ataques
internos mediante la
aplicación de un período de
retención obligatorio para
almacenes de claves
eliminados temporalmente.
Ningún usuario de su
organización o Microsoft
podrá purgar los almacenes
de claves durante el período
de retención de eliminación
temporal.

Los almacenes de claves Si se elimina un almacén de Audit, Deny, Disabled 1.0.2

deben tener habilitada la claves que no tenga
eliminación temporal habilitada la eliminación
temporal, se eliminarán
permanentemente todos
los secretos, claves y
certificados almacenados en
ese almacén de claves. La
eliminación accidental de un
almacén de claves puede
provocar una pérdida de
datos permanente. La
eliminación temporal
permite recuperar un
almacén de claves eliminado
accidentalmente durante un
período de retención
configurable.

Los límites de los recursos Aplique límites de recursos audit, deny, disabled 6.0.0
de memoria y CPU del de CPU y memoria de
contenedor no deben contenedor en un clúster de
superar los límites Kubernetes para evitar los
especificados en el clúster ataques de agotamiento de
de Kubernetes recursos. Esta directiva está
disponible con carácter
general para Kubernetes
Service (AKS) y en versión
preliminar para el motor de
AKS y Kubernetes con
Azure Arc habilitado. Para
más información, consulte
https://aka.ms/kubepolicyd
oc.
N O M B RE DE L A DIREC T IVA VERSIÓ N
DESC RIP C IÓ N EF EC TO S

Los contenedores del No permita que los audit, deny, disabled 3.0.0
clúster de Kubernetes no contenedores de pods
deben compartir el compartan el espacio de
identificador de proceso del nombres de id. de proceso
host ni el espacio de de host ni el espacio de
nombres IPC del host nombres de IPC de host en
un clúster de Kubernetes.
Esta recomendación forma
parte de las versiones 5.2.2
y 5.2.3 de CIS, diseñadas
para mejorar la seguridad
de los entornos de
Kubernetes. Esta directiva
está disponible con carácter
general para Kubernetes
Service (AKS) y en versión
preliminar para el motor de
AKS y Kubernetes con
Azure Arc habilitado. Para
más información, consulte
https://aka.ms/kubepolicyd
oc.

Asegurarse de que los Restrinja los contenedores audit, deny, disabled 6.1.0
contenedores solo escuchan para que escuchen solo en
en los puertos permitidos puertos permitidos para
en el clúster de Kubernetes proteger el acceso al clúster
de Kubernetes. Esta
directiva está disponible con
carácter general para
Kubernetes Service (AKS) y
en versión preliminar para
el motor de AKS y
Kubernetes con Azure Arc
habilitado. Para más
información, consulte
https://aka.ms/kubepolicyd
oc.

Los contenedores de clúster Los contenedores solo audit, deny, disabled 3.0.0
de Kubernetes solo deben deben usar perfiles de
usar perfiles de AppArmor AppArmor permitidos en un
permitidos clúster de Kubernetes. Esta
recomendación forma parte
de las directivas de
seguridad de los pods,
diseñadas para mejorar la
seguridad de los entornos
de Kubernetes. Esta
directiva está disponible con
carácter general para
Kubernetes Service (AKS) y
en versión preliminar para
el motor de AKS y
Kubernetes con Azure Arc
habilitado. Para más
información, consulte
https://aka.ms/kubepolicyd
oc.
N O M B RE DE L A DIREC T IVA VERSIÓ N
DESC RIP C IÓ N EF EC TO S

Los contenedores de clúster Restrinja las funcionalidades audit, deny, disabled 3.0.0
de Kubernetes solo deben para reducir la superficie de
usar funcionalidades contenedores expuesta a
permitidas ataques en un clúster de
Kubernetes. Esta
recomendación forma parte
de las versiones 5.2.8
y 5.2.9 de CIS, diseñadas
para mejorar la seguridad
de los entornos de
Kubernetes. Esta directiva
está disponible con carácter
general para Kubernetes
Service (AKS) y en versión
preliminar para el motor de
AKS y Kubernetes con
Azure Arc habilitado. Para
más información, consulte
https://aka.ms/kubepolicyd
oc.

Los contenedores de Use imágenes de registros audit, deny, disabled 6.1.0

clústeres de Kubernetes de confianza para reducir el
solo deben usar imágenes riesgo de exposición del
permitidas clúster de Kubernetes a
vulnerabilidades
desconocidas, problemas de
seguridad e imágenes
malintencionadas. Esta
directiva está disponible con
carácter general para
Kubernetes Service (AKS) y
en versión preliminar para
el motor de AKS y
Kubernetes con Azure Arc
habilitado. Para más
información, consulte
https://aka.ms/kubepolicyd
oc.

Los contenedores del Ejecute contenedores con audit, deny, disabled 3.0.0
clúster de Kubernetes un sistema de archivos raíz
deben ejecutarse con un de solo lectura para
sistema de archivos raíz de protegerlos de los cambios
solo lectura en tiempo de ejecución con
la incorporación de archivos
binarios malintencionados a
la ruta de acceso en un
clúster de Kubernetes. Esta
directiva está disponible con
carácter general para
Kubernetes Service (AKS) y
en versión preliminar para
el motor de AKS y
Kubernetes con Azure Arc
habilitado. Para más
información, consulte
https://aka.ms/kubepolicyd
oc.
N O M B RE DE L A DIREC T IVA VERSIÓ N
DESC RIP C IÓ N EF EC TO S

Los volúmenes hostPath del Limite los montajes de audit, deny, disabled 3.0.0
pod del clúster de volumen hostPath del pod a
Kubernetes solo deben usar las rutas de acceso de host
rutas de host permitidas permitidas en un clúster de
Kubernetes. Esta
recomendación forma parte
de las directivas de
seguridad de los pods,
diseñadas para mejorar la
seguridad de los entornos
de Kubernetes. Esta
directiva está disponible con
carácter general para
Kubernetes Service (AKS) y
en versión preliminar para
el motor de AKS y
Kubernetes con Azure Arc
habilitado. Para más
información, consulte
https://aka.ms/kubepolicyd
oc.

Los contenedores y pods de Controle los id. de usuario, audit, deny, disabled 3.0.0
clúster de Kubernetes solo grupo principal, grupo
deben ejecutarse con adicional y grupo de
identificadores de usuario y sistema de archivos que los
grupo aprobados pods y los contenedores
pueden usar para ejecutarse
en un clúster de
Kubernetes. Esta
recomendación forma parte
de las directivas de
seguridad de los pods,
diseñadas para mejorar la
seguridad de los entornos
de Kubernetes. Esta
directiva está disponible con
carácter general para
Kubernetes Service (AKS) y
en versión preliminar para
el motor de AKS y
Kubernetes con Azure Arc
habilitado. Para más
información, consulte
https://aka.ms/kubepolicyd
oc.
N O M B RE DE L A DIREC T IVA VERSIÓ N
DESC RIP C IÓ N EF EC TO S

Los pods del clúster de Restringe el acceso de los audit, deny, disabled 3.0.0
Kubernetes solo pueden pods a la red del host y el
usar redes de host e intervalo de puertos de
intervalos de puerto host permitidos en un
permitidos clúster de Kubernetes. Esta
recomendación forma parte
de la versión 5.2.4 de CIS,
diseñada para mejorar la
seguridad de los entornos
de Kubernetes. Esta
directiva está disponible con
carácter general para
Kubernetes Service (AKS) y
en versión preliminar para
el motor de AKS y
Kubernetes con Azure Arc
habilitado. Para más
información, consulte
https://aka.ms/kubepolicyd
oc.

Asegurarse de que los Restrinja los servicios para audit, deny, disabled 6.1.0
servicios solo escuchan en que escuchen solo en
los puertos permitidos en el puertos permitidos para
clúster de Kubernetes proteger el acceso al clúster
de Kubernetes. Esta
directiva está disponible con
carácter general para
Kubernetes Service (AKS) y
en versión preliminar para
el motor de AKS y
Kubernetes con Azure Arc
habilitado. Para más
información, consulte
https://aka.ms/kubepolicyd
oc.

No permitir contenedores No permita la creación de audit, deny, disabled 6.0.0

con privilegios en el clúster contenedores privilegiados
de Kubernetes en un clúster de
Kubernetes. Esta
recomendación forma parte
de la versión 5.2.1 de CIS,
diseñada para mejorar la
seguridad de los entornos
de Kubernetes. Esta
directiva está disponible con
carácter general para
Kubernetes Service (AKS) y
en versión preliminar para
el motor de AKS y
Kubernetes con Azure Arc
habilitado. Para más
información, consulte
https://aka.ms/kubepolicyd
oc.
N O M B RE DE L A DIREC T IVA VERSIÓ N
DESC RIP C IÓ N EF EC TO S

Los clústeres de Kubernetes El uso de HTTPS garantiza la audit, deny, disabled 6.0.0
solo deben ser accesibles autenticación y protege los
mediante HTTPS datos en tránsito frente a
ataques de intercepción de
nivel de red. Esta
funcionalidad está
disponible actualmente con
carácter general para
Kubernetes Service (AKS) y
en versión preliminar para
el motor de AKS y
Kubernetes con Azure Arc
habilitado. Para más
información, visite
https://aka.ms/kubepolicyd
oc

Los clústeres de Kubernetes No permita que los audit, deny, disabled 3.0.0
no deben permitir la contenedores se ejecuten
elevación de privilegios del con elevación de privilegios
contenedor en la raíz en un clúster de
Kubernetes. Esta
recomendación forma parte
de la versión 5.2.5 de CIS,
diseñada para mejorar la
seguridad de los entornos
de Kubernetes. Esta
directiva está disponible con
carácter general para
Kubernetes Service (AKS) y
en versión preliminar para
el motor de AKS y
Kubernetes con Azure Arc
habilitado. Para más
información, consulte
https://aka.ms/kubepolicyd
oc.

Kubernetes Services se Actualice el clúster de Audit, Disabled 1.0.2

debe actualizar a una servicio de Kubernetes a
versión de Kubernetes no una versión de Kubernetes
vulnerable posterior para protegerse
frente a vulnerabilidades
conocidas en la versión
actual de Kubernetes. La
vulnerabilidad CVE-2019-
9946 se ha revisado en las
versiones de Kubernetes
1.11.9+, 1.12.7+, 1.13.5+ y
1.14.0+

Debe usarse la versión más Actualiza a la versión más AuditIfNotExists, Disabled 1.0.0
reciente de TLS en la reciente de TLS.
aplicación de API

Debe usarse la versión más Actualiza a la versión más AuditIfNotExists, Disabled 1.0.0
reciente de TLS en la reciente de TLS.
aplicación de funciones
N O M B RE DE L A DIREC T IVA VERSIÓ N
DESC RIP C IÓ N EF EC TO S

Debe usarse la versión más Actualiza a la versión más AuditIfNotExists, Disabled 1.0.0
reciente de TLS en la reciente de TLS.
aplicación web

Los problemas de estado Security Center usa el AuditIfNotExists, Disabled 1.0.0

del agente de Log Analytics agente de Log Analytics,
se deben resolver en sus que anteriormente se
máquinas denominaba Microsoft
Monitoring Agent (MMA).
Para tener la certeza de que
las máquinas virtuales
tienen la supervisión
correcta, es preciso
asegurarse de que el agente
está instalado en ellas y de
que recopila
adecuadamente los eventos
de seguridad en el área de
trabajo configurada.

El agente de Log Analytics Esta directiva audita las AuditIfNotExists, Disabled 1.0.0-preview
debe estar instalado en las máquinas Linux de Azure
máquinas Linux de Azure Arc si el agente de Log
Arc Analytics no está instalado.

El agente de Log Analytics Esta directiva audita AuditIfNotExists, Disabled 1.0.0

debe instalarse en la cualquier máquina virtual
máquina virtual para la Windows o Linux si el
supervisión de Azure agente de Log Analytics no
Security Center. está instalado y
Security Center la utiliza
para supervisar las
amenazas y
vulnerabilidades de
seguridad

El agente de Log Analytics Security Center recopila AuditIfNotExists, Disabled 1.0.0

debe instalarse en sus datos de las máquinas
conjuntos de escalado de virtuales de Azure para
máquinas virtuales para supervisar las amenazas y
supervisar Azure Security vulnerabilidades de la
Center. seguridad.

El agente de Log Analytics Esta directiva audita las AuditIfNotExists, Disabled 1.0.0-preview
debe estar instalado en las máquinas Windows de
máquinas Windows de Azure Arc si el agente de
Azure Arc Log Analytics no está
instalado.

La identidad administrada Usa una identidad AuditIfNotExists, Disabled 2.0.0

debe usarse en la aplicación administrada para la
de API seguridad de autenticación
mejorada.
N O M B RE DE L A DIREC T IVA VERSIÓ N
DESC RIP C IÓ N EF EC TO S

La identidad administrada Usa una identidad AuditIfNotExists, Disabled 2.0.0

debe usarse en la aplicación administrada para la
de funciones seguridad de autenticación
mejorada.

La identidad administrada Usa una identidad AuditIfNotExists, Disabled 2.0.0

debe usarse en la aplicación administrada para la
web seguridad de autenticación
mejorada.

Los puertos de Azure Security Center AuditIfNotExists, Disabled 3.0.0

administración de las supervisará el posible
máquinas virtuales deben acceso de red Just-In-Time
protegerse con el control de (JIT) como
acceso de red Just-In-Time. recomendaciones.

Se deben cerrar los puertos Los puertos de AuditIfNotExists, Disabled 3.0.0

de administración en las administración remota
máquinas virtuales abiertos exponen la
máquina virtual a un alto
nivel de riesgo de recibir
ataques basados en
Internet. Estos ataques
intentan averiguar las
credenciales por medio de
fuerza bruta a fin de
obtener acceso de
administrador a la máquina

MFA debe estar habilitado Multi-Factor Authentication AuditIfNotExists, Disabled 3.0.0

en las cuentas con permisos (MFA) debe estar habilitada
de escritura de la para todas las cuentas de la
suscripción. suscripción que tengan
permisos de escritura, a fin
de evitar una brecha de
seguridad en las cuentas o
los recursos.

MFA debe estar habilitada Multi-Factor Authentication AuditIfNotExists, Disabled 3.0.0

en las cuentas con permisos (MFA) debe estar habilitada
de propietario en la para todas las cuentas de la
suscripción suscripción que tengan
permisos de propietario, a
fin de evitar una brecha de
seguridad en las cuentas o
los recursos.

MFA debe estar habilitada Multi-Factor Authentication AuditIfNotExists, Disabled 3.0.0

en las cuentas con permisos (MFA) debe estar habilitada
de lectura en la suscripción para todas las cuentas de la
suscripción que tengan
permisos de lectura, a fin de
evitar una brecha de
seguridad en las cuentas o
los recursos.
N O M B RE DE L A DIREC T IVA VERSIÓ N
DESC RIP C IÓ N EF EC TO S

Supervisar la falta de Azure Security Center AuditIfNotExists, Disabled 3.0.0

Endpoint Protection en supervisará los servidores
Azure Security Center sin un agente de Endpoint
Protection instalado como
recomendaciones.

El agente de recopilación de Security Center usa AuditIfNotExists, Disabled 1.0.1-preview

datos de tráfico de red debe Microsoft Dependency
instalarse en máquinas Agent para recopilar datos
virtuales Linux. del tráfico de red de sus
máquinas virtuales de
Azure y así poder habilitar
características avanzadas de
protección de red, como la
visualización del tráfico en el
mapa de red, las
recomendaciones de
refuerzo de la red y las
amenazas de red
específicas.

El agente de recopilación de Security Center usa AuditIfNotExists, Disabled 1.0.1-preview

datos de tráfico de red debe Microsoft Dependency
instalarse en las máquinas Agent para recopilar datos
virtuales Windows. del tráfico de red de sus
máquinas virtuales de
Azure y así poder habilitar
características avanzadas de
protección de red, como la
visualización del tráfico en el
mapa de red, las
recomendaciones de
refuerzo de la red y las
amenazas de red
específicas.

Network Watcher debe Network Watcher es un AuditIfNotExists, Disabled 2.0.0

estar habilitado servicio regional que
permite supervisar y
diagnosticar problemas en
un nivel de escenario de red
mediante Azure. La
supervisión del nivel de
escenario permite
diagnosticar problemas en
una vista de nivel de red de
un extremo a otro. Las
herramientas de
visualización y diagnóstico
de red que incluye Network
Watcher le ayudan a
conocer, diagnosticar y
obtener información acerca
de cualquier red de Azure.
N O M B RE DE L A DIREC T IVA VERSIÓ N
DESC RIP C IÓ N EF EC TO S

Las máquinas virtuales sin Proteja las máquinas AuditIfNotExists, Disabled 3.0.0
conexión a Internet deben virtuales no accesibles
protegerse con grupos de desde Internet de posibles
seguridad de red amenazas limitando el
acceso con grupos de
seguridad de red (NSG).
Más información sobre
cómo controlar el tráfico
con los grupos de
seguridad de red en
https://aka.ms/nsg-doc.

Solo se deben habilitar las Permite auditar la Audit, Deny, Disabled 1.0.0
conexiones seguras a la habilitación solo de
instancia de Azure Cache conexiones a Azure Cache
for Redis. for Redis a través de SSL. El
uso de conexiones seguras
garantiza la autenticación
entre el servidor y el
servicio, y protege los datos
en tránsito de ataques de
nivel de red, como "man in-
the-middle", interceptación
y secuestro de sesión

La versión del sistema Mantener el sistema AuditIfNotExists, Disabled 1.0.0

operativo debe ser la operativo en la versión
versión más reciente de los admitida más reciente de
roles del servicio en la nube. los roles del servicio en la
nube mejora la posición de
seguridad de los sistemas.

Las conexiones de punto de Las conexiones de punto de Audit, Disabled 1.1.0

conexión privado en Azure conexión privado garantizan
SQL Database deben estar una comunicación segura al
habilitadas habilitar la conectividad
privada con Azure SQL
Database.

Se debe configurar un Private Link proporciona Audit, Deny, Disabled 1.1.0-preview

punto de conexión privado una manera de conectar
para Key Vault Key Vault a los recursos de
Azure sin enviar tráfico a
través de la red pública de
Internet. Un vínculo privado
proporciona varios niveles
de protección contra la
filtración de datos.
N O M B RE DE L A DIREC T IVA VERSIÓ N
DESC RIP C IÓ N EF EC TO S

El punto de conexión Las conexiones de punto de AuditIfNotExists, Disabled 1.0.2

privado debe estar conexión privado garantizan
habilitado para servidores una comunicación segura al
MariaDB permitir la conectividad
privada con Azure Database
for MariaDB. Configure una
conexión de punto de
conexión privado para
permitir el acceso al tráfico
que solo proviene de redes
conocidas y evitar el acceso
desde todas las demás
direcciones IP, incluido
desde Azure.

El punto de conexión Las conexiones de punto de AuditIfNotExists, Disabled 1.0.2

privado debe estar conexión privado garantizan
habilitado para servidores una comunicación segura al
MySQL permitir la conectividad
privada a Azure Database
for MySQL. Configure una
conexión de punto de
conexión privado para
permitir el acceso al tráfico
que solo proviene de redes
conocidas y evitar el acceso
desde todas las demás
direcciones IP, incluido
desde Azure.

El punto de conexión Las conexiones de punto de AuditIfNotExists, Disabled 1.0.2

privado debe estar conexión privado garantizan
habilitado para servidores una comunicación segura al
PostgreSQL permitir la conectividad
privada con Azure Database
for PostgreSQL. Configure
una conexión de punto de
conexión privado para
permitir el acceso al tráfico
que solo proviene de redes
conocidas y evitar el acceso
desde todas las demás
direcciones IP, incluido
desde Azure.

Debe deshabilitarse el Al deshabilitar la propiedad Audit, Deny, Disabled 1.1.0

acceso a redes públicas en de acceso a la red pública,
Azure SQL Database se mejora la seguridad al
garantizar que solo se
pueda acceder a la instancia
de Azure SQL Database
desde un punto de
conexión privado. Esta
configuración deniega
todos los inicios de sesión
que coincidan con las reglas
de firewall basadas en IP o
redes virtuales.
N O M B RE DE L A DIREC T IVA VERSIÓ N
DESC RIP C IÓ N EF EC TO S

El acceso a redes públicas Deshabilite la propiedad de Audit, Disabled 1.0.2

debe estar deshabilitado acceso a la red pública para
para los servidores MariaDB mejorar la seguridad y
garantizar que solo se
pueda acceder a la instancia
de Azure Database for
MariaDB desde un punto
de conexión privado. Esta
configuración deshabilita
estrictamente el acceso
desde cualquier espacio de
direcciones público que esté
fuera del intervalo de
direcciones IP de Azure y
deniega todos los inicios de
sesión que coincidan con las
reglas de firewall basadas
en IP o en red virtual.

El acceso a las redes Deshabilite la propiedad de Audit, Disabled 1.0.2

públicas debe estar acceso a la red pública para
deshabilitado para los mejorar la seguridad y
servidores MySQL garantizar que solo se
pueda acceder a la instancia
de Azure Database for
MySQL desde un punto de
conexión privado. Esta
configuración deshabilita
estrictamente el acceso
desde cualquier espacio de
direcciones público que esté
fuera del intervalo de
direcciones IP de Azure y
deniega todos los inicios de
sesión que coincidan con las
reglas de firewall basadas
en IP o en red virtual.

El acceso a redes públicas Deshabilite la propiedad de Audit, Disabled 1.0.2

debe estar deshabilitado acceso a la red pública para
para los servidores mejorar la seguridad y
PostgreSQL garantizar que solo se
pueda acceder a la instancia
de Azure Database for
PostgreSQL desde un punto
de conexión privado. Esta
configuración deshabilita el
acceso desde cualquier
espacio de direcciones
público que esté fuera del
intervalo de direcciones IP
de Azure y deniega todos
los inicios de sesión que
coinciden con las reglas de
firewall basadas en la IP o
en la red virtual.
N O M B RE DE L A DIREC T IVA VERSIÓ N
DESC RIP C IÓ N EF EC TO S

La depuración remota debe La depuración remota AuditIfNotExists, Disabled 1.0.0

estar desactivada para las requiere puertos de entrada
aplicaciones de API que se abran en una
aplicación de API. Se debe
desactivar la depuración
remota.

La depuración remota debe La depuración remota AuditIfNotExists, Disabled 1.0.0

estar desactivada para las requiere puertos de entrada
aplicaciones de funciones que se abran en una
instancia de aplicaciones de
funciones. Se debe
desactivar la depuración
remota.

Recomendación de La depuración remota AuditIfNotExists, Disabled 1.0.0

desactivación de la requiere puertos de entrada
depuración remota para que se abran en una
aplicaciones web aplicación web. Se debe
desactivar la depuración
remota.

Los registros de recursos de Habilitación de la auditoría AuditIfNotExists, Disabled 4.0.1

Azure Data Lake Store de los registros de recursos.
deben estar habilitados. Esto le permite volver a
crear seguimientos de
actividad con fines de
investigación en caso de
incidente de seguridad o
riesgo para la red.

Los registros de recursos de Habilitación de la auditoría AuditIfNotExists, Disabled 4.0.1

Azure Stream Analytics de los registros de recursos.
deben estar habilitados. Esto le permite volver a
crear seguimientos de
actividad con fines de
investigación en caso de
incidente de seguridad o
riesgo para la red.

Los registros de recursos de Habilitación de la auditoría AuditIfNotExists, Disabled 4.0.1

las cuentas de Batch deben de los registros de recursos.
estar habilitados. Esto le permite volver a
crear seguimientos de
actividad con fines de
investigación en caso de
incidente de seguridad o
riesgo para la red.

Los registros de recursos de Habilitación de la auditoría AuditIfNotExists, Disabled 4.0.1

Data Lake Analytics deben de los registros de recursos.
estar habilitados Esto le permite volver a
crear seguimientos de
actividad con fines de
investigación en caso de
incidente de seguridad o
riesgo para la red.
N O M B RE DE L A DIREC T IVA VERSIÓ N
DESC RIP C IÓ N EF EC TO S

Los registros de recursos de Habilitación de la auditoría AuditIfNotExists, Disabled 4.0.1

la instancia de Event Hubs de los registros de recursos.
deben estar habilitados. Esto le permite volver a
crear seguimientos de
actividad con fines de
investigación en caso de
incidente de seguridad o
riesgo para la red.

Los registros de recursos de Habilitación de la auditoría AuditIfNotExists, Disabled 3.0.1

IoT Hub deben estar de los registros de recursos.
habilitados. Esto le permite volver a
crear seguimientos de
actividad con fines de
investigación en caso de
incidente de seguridad o
riesgo para la red.

Los registros de recursos de Habilitación de la auditoría AuditIfNotExists, Disabled 4.0.1

Key Vault deben estar de los registros de recursos.
habilitados De esta forma, puede volver
a crear seguimientos de
actividad con fines de
investigación en caso de
incidentes de seguridad o
riesgos para la red.

Los registros de recursos de Habilitación de la auditoría AuditIfNotExists, Disabled 4.0.1

Logic Apps deben estar de los registros de recursos.
habilitados Esto le permite volver a
crear seguimientos de
actividad con fines de
investigación en caso de
incidente de seguridad o
riesgo para la red.

Los registros de recursos de Habilitación de la auditoría AuditIfNotExists, Disabled 4.0.1

los servicios Search deben de los registros de recursos.
estar habilitados. Esto le permite volver a
crear seguimientos de
actividad con fines de
investigación en caso de
incidente de seguridad o
riesgo para la red.

Los registros de recursos de Habilitación de la auditoría AuditIfNotExists, Disabled 4.0.1

Service Bus deben estar de los registros de recursos.
habilitados Esto le permite volver a
crear seguimientos de
actividad con fines de
investigación en caso de
incidente de seguridad o
riesgo para la red.
N O M B RE DE L A DIREC T IVA VERSIÓ N
DESC RIP C IÓ N EF EC TO S

Los registros de recursos de Se recomienda habilitar los AuditIfNotExists, Disabled 2.0.1

Virtual Machine Scale Sets registros para que ese
deben estar habilitados seguimiento de actividad se
pueda volver a crear
cuando se necesiten
investigaciones en caso de
incidente o riesgo.

Se debe usar el control de Para proporcionar un Audit, Disabled 1.0.2

acceso basado en rol filtrado detallado de las
(RBAC) en los servicios de acciones que los usuarios
Kubernetes pueden realizar, use el
control de acceso basado
en rol (RBAC) para
administrar los permisos en
los clústeres de Kubernetes
Service y configurar las
directivas de autorización
correspondientes.

Se debe habilitar la Permite auditar el requisito Audit, Deny, Disabled 2.0.0

transferencia segura a las de transferencia segura en
cuentas de almacenamiento la cuenta de
almacenamiento. La
transferencia segura es una
opción que obliga a la
cuenta de almacenamiento
a aceptar solamente
solicitudes de conexiones
seguras (HTTPS). El uso de
HTTPS garantiza la
autenticación entre el
servidor y el servicio, y
protege los datos en
tránsito de ataques de nivel
de red, como los de tipo
"Man in the middle",
interceptación y secuestro
de sesión

Los datos confidenciales de Azure Security Center AuditIfNotExists, Disabled 3.0.0-preview

las bases de datos SQL supervisa los resultados del
deben clasificarse. examen de clasificación y
detección de los datos de
las bases de datos SQL y
proporciona
recomendaciones para
clasificar los datos
confidenciales en las bases
de datos y así poder
mejorar los procesos de
supervisión y la seguridad.
N O M B RE DE L A DIREC T IVA VERSIÓ N
DESC RIP C IÓ N EF EC TO S

Se debe establecer la Service Fabric proporciona Audit, Deny, Disabled 1.1.0

propiedad tres niveles de protección
ClusterProtectionLevel en (None, Sign y
EncryptAndSign en los EncryptAndSign) para la
clústeres de Service Fabric comunicación de nodo a
nodo mediante un
certificado de clúster
principal. Establezca el nivel
de protección para
asegurarse de que todos los
mensajes de nodo a nodo
se cifran y se firman
digitalmente.

Los clústeres de Service Permite auditar el uso de la Audit, Deny, Disabled 1.1.0
Fabric solo deben usar autenticación de clientes
Azure Active Directory para solo mediante Azure Active
la autenticación de cliente Directory en Service Fabric

Para proteger las Los certificados de AuditIfNotExists, Disabled 1.0.0

suscripciones se deben usar administración permiten a
entidades de servicio, en quien se autentica con ellos
lugar de certificados de administrar las
administración. suscripciones a las que
están asociados. Para
administrar las
suscripciones de forma más
segura, al usar entidades de
servicio con Resource
Manager se recomienda
limitar el impacto de un
certificado si el certificado
correo peligro.

Las instancias administradas La implementación de AuditIfNotExists, Disabled 1.0.2

de SQL deben usar claves Cifrado de datos
administradas por el cliente transparente (TDE) con una
para cifrar los datos en clave propia proporciona
reposo una mayor transparencia y
control sobre el protector
de TDE, ofrece mayor
seguridad con un servicio
externo respaldado con
HSM y permite la
separación de tareas. Esta
recomendación se aplica a
las organizaciones con un
requisito de cumplimiento
relacionado.
N O M B RE DE L A DIREC T IVA VERSIÓ N
DESC RIP C IÓ N EF EC TO S

Las instancias de SQL Para fines de investigación AuditIfNotExists, Disabled 2.1.0

Server deben retener los de incidentes, se
datos de auditoría durante recomienda establecer la
al menos 90 días retención de los datos de
auditoría de las instancias
de SQL Server en al menos
90 días. Confirme que
cumple las reglas de
retención necesarias para
las regiones en las que
trabaja. A veces, es
necesario para cumplir con
los estándares normativos.

Los servidores SQL deben La implementación de AuditIfNotExists, Disabled 2.0.1

usar claves administradas Cifrado de datos
por el cliente para cifrar los transparente (TDE) con una
datos en reposo clave propia proporciona
una mayor transparencia y
control sobre el protector
de TDE, ofrece mayor
seguridad con un servicio
externo respaldado con
HSM y permite la
separación de tareas. Esta
recomendación se aplica a
las organizaciones con un
requisito de cumplimiento
relacionado.

No se debe permitir el El acceso de lectura público audit, deny, disabled 2.0.1-preview

acceso público a la cuenta anónimo a contenedores y
de almacenamiento blobs de Azure Storage es
una manera cómoda de
compartir datos, pero
también puede plantear
riesgos para la seguridad.
Para evitar las infracciones
de datos producidas por el
acceso anónimo no
deseado, Microsoft
recomienda impedir el
acceso público a una cuenta
de almacenamiento a
menos que su escenario lo
requiera.
N O M B RE DE L A DIREC T IVA VERSIÓ N
DESC RIP C IÓ N EF EC TO S

Se deben migrar las cuentas Use el nuevo Azure Audit, Deny, Disabled 1.0.0
de almacenamiento a los Resource Manager para las
nuevos recursos de Azure cuentas de almacenamiento
Resource Manager a fin de proporcionar
mejoras de seguridad como
las siguientes: mayor
control de acceso (RBAC),
mejor auditoría, gobernanza
e implementación basados
en Azure Resource
Manager, acceso a las
identidades administradas,
acceso a los secretos de Key
Vault, autenticación basada
en Azure AD y
compatibilidad con las
etiquetas y los grupos de
recursos para facilitar la
administración de
seguridad.

Se debe restringir el acceso El acceso de red a las Audit, Deny, Disabled 1.1.1
de red a las cuentas de cuentas de almacenamiento
almacenamiento debe estar restringido.
Configure reglas de red,
solo las aplicaciones de
redes permitidas pueden
acceder a la cuenta de
almacenamiento. Para
permitir conexiones desde
clientes específicos locales o
de Internet, se puede
conceder acceso al tráfico
procedente de redes
virtuales de Azure
específicas o a intervalos de
direcciones IP de Internet
públicas.

Las cuentas de Proteja las cuentas de Audit, Deny, Disabled 1.0.1

almacenamiento deben almacenamiento frente a
restringir el acceso a la red amenazas potenciales
mediante el uso de reglas mediante reglas de red
de red virtual virtual como método
preferente en lugar de
filtrado basado en IP. La
deshabilitación del filtrado
basado en IP evita que las
direcciones IP públicas
accedan a las cuentas de
almacenamiento.
N O M B RE DE L A DIREC T IVA VERSIÓ N
DESC RIP C IÓ N EF EC TO S

Las cuentas de Proteja su cuenta de Audit, Disabled 1.0.2

almacenamiento deben almacenamiento con mayor
utilizar una clave flexibilidad mediante el uso
administrada por el cliente de claves administradas por
para el cifrado. el cliente. Cuando se
especifica una clave
administrada por el cliente,
esa clave se usa para
proteger y controlar el
acceso a la clave que cifra
los datos. El uso de claves
administradas por el cliente
proporciona funcionalidades
adicionales para controlar la
rotación de la clave de
cifrado de claves o para
borrar datos mediante
criptografía.

Las cuentas de Azure Private Link permite AuditIfNotExists, Disabled 2.0.0

almacenamiento deben usar conectar la red virtual a
Private Link servicios de Azure sin una
dirección IP pública en el
origen o el destino. La
plataforma Private Link
administra la conectividad
entre el consumidor y los
servicios a través de la red
troncal de Azure. Al asignar
puntos de conexión
privados a su cuenta de
almacenamiento, se reduce
el riesgo de pérdida de
datos. Obtenga más
información sobre los
vínculos privados en:
https://aka.ms/azureprivatel
inkoverview.

Las subredes deben estar Proteja la subred de AuditIfNotExists, Disabled 3.0.0

asociadas con un grupo de posibles amenazas
seguridad de red. mediante la restricción del
acceso con un grupo de
seguridad de red (NSG).
Estos grupos contienen las
reglas de la lista de control
de acceso (ACL) que
permiten o deniegan el
tráfico de red a la subred.
N O M B RE DE L A DIREC T IVA VERSIÓ N
DESC RIP C IÓ N EF EC TO S

Las suscripciones deben Para asegurarse de que las AuditIfNotExists, Disabled 1.0.1
tener una dirección de personas pertinentes de la
correo electrónico de organización reciban una
contacto para los notificación cuando se
problemas de seguridad produzca una vulneración
de seguridad potencial en
una de las suscripciones,
establezca un contacto de
seguridad para la recepción
de notificaciones por correo
electrónico de Security
Center.

Se deben instalar las Audite si falta alguna AuditIfNotExists, Disabled 3.0.0

actualizaciones del sistema actualización de seguridad
en los conjuntos de del sistema o actualización
escalado de máquinas crítica que deba instalarse
virtuales para garantizar que los
conjuntos de escalado de
máquinas virtuales
Windows y Linux sean
seguros.

Se deben instalar Azure Security Center AuditIfNotExists, Disabled 3.0.0

actualizaciones del sistema supervisará las
en las máquinas actualizaciones del sistema
de seguridad que faltan en
los servidores como
recomendaciones.

Debe haber más de un Se recomienda que designe AuditIfNotExists, Disabled 3.0.0

propietario asignado a la a más de un propietario de
suscripción la suscripción para tener
redundancia de acceso de
administrador.

El cifrado de datos El cifrado de datos AuditIfNotExists, Disabled 1.0.0

transparente en bases de transparente debe estar
datos SQL debe estar habilitado para proteger los
habilitado datos en reposo y satisfacer
los requisitos de
cumplimiento.
N O M B RE DE L A DIREC T IVA VERSIÓ N
DESC RIP C IÓ N EF EC TO S

Se deben migrar las Use el nuevo Azure Audit, Deny, Disabled 1.0.0
máquinas virtuales a Resource Manager para las
nuevos recursos de Azure máquinas virtuales a fin de
Resource Manager proporcionar mejoras de
seguridad como las
siguientes: mayor control
de acceso (RBAC), mejor
auditoría, gobernanza e
implementación basados en
Azure Resource Manager,
acceso a identidades
administradas, acceso a
secretos de Key Vault,
autenticación basada en
Azure AD y compatibilidad
con etiquetas y grupos de
recursos para facilitar la
administración de
seguridad.

La extensión "Configuración La extensión Configuración AuditIfNotExists, Disabled 1.0.1

de invitado" de las de invitado requiere una
máquinas virtuales debe identidad administrada
implementarse con una asignada por el sistema. Si
identidad administrada las máquinas virtuales de
asignada por el sistema. Azure incluidas en el ámbito
de esta directiva tienen
instalada la extensión
"Configuración de invitado"
pero no tienen una
identidad administrada
asignada por el sistema, no
cumplirán los requisitos
establecidos. Más
información en
https://aka.ms/gcpol

Las plantillas de VM Image Audite las plantillas de VM Audit, Disabled 1.0.1

Builder deben usar Private Image Builder que no
Link tengan ninguna red virtual
configurada. Cuando una
red virtual no está
configurada, se crea y se
usa una IP pública en su
lugar que puede exponer
recursos directamente a
Internet y aumentar la
superficie expuesta a
ataques potencial.
N O M B RE DE L A DIREC T IVA VERSIÓ N
DESC RIP C IÓ N EF EC TO S

Se deben corregir las La evaluación de AuditIfNotExists, Disabled 2.0.0

vulnerabilidades de las vulnerabilidades de la
imágenes de Azure imagen de contenedor
Container Registry examina el registro en
busca de vulnerabilidades
de seguridad en cada
imagen de contenedor
insertada y expone
resultados detallados de
cada imagen (con la
tecnología de Qualys). La
resolución de las
vulnerabilidades puede
mejorar considerablemente
la posición de seguridad de
los contenedores y
protegerlos frente a
ataques.

Las vulnerabilidades en las Audite las vulnerabilidades AuditIfNotExists, Disabled 3.0.0

configuraciones de en la configuración de
seguridad de contenedor seguridad de las máquinas
deben corregirse con Docker instalado y
muéstrelas como
recomendaciones en Azure
Security Center.

Se deben corregir las Azure Security Center AuditIfNotExists, Disabled 3.0.0

vulnerabilidades en la supervisará los servidores
configuración de seguridad que no cumplan la línea de
en las máquinas base configurada como
recomendaciones.

Se deben corregir las Audite las vulnerabilidades AuditIfNotExists, Disabled 3.0.0

vulnerabilidades en la del sistema operativo en los
configuración de seguridad conjuntos de escalado de
de los conjuntos de máquinas virtuales para
escalado de máquinas protegerlos frente a
virtuales ataques.

Se deben corregir las Supervise los resultados del AuditIfNotExists, Disabled 4.0.0
vulnerabilidades de las análisis de evaluación de
bases de datos SQL puntos vulnerables y las
recomendaciones para
solucionar los de las bases
de datos.
N O M B RE DE L A DIREC T IVA VERSIÓ N
DESC RIP C IÓ N EF EC TO S

Es necesario corregir las La evaluación de AuditIfNotExists, Disabled 1.0.0

vulnerabilidades de los vulnerabilidades de SQL
servidores SQL en la examina la base de datos en
máquina busca de vulnerabilidades
de seguridad y expone las
posibles desviaciones de los
procedimientos
recomendados, como
errores de configuración,
permisos excesivos y datos
confidenciales sin
protección. La corrección de
las vulnerabilidades
detectadas puede mejorar
considerablemente la
posición de seguridad de la
base de datos.

La evaluación de Audita cada servicio SQL AuditIfNotExists, Disabled 1.0.1

vulnerabilidades debe estar Managed Instance que no
habilitada en Instancia tiene habilitado los
administrada de SQL exámenes de evaluación de
vulnerabilidades periódicos.
La evaluación de
vulnerabilidades permite
detectar las vulnerabilidades
potenciales de la base de
datos, así como hacer un
seguimiento y ayudar a
corregirlas.

La evaluación de Audita los servidores Azure AuditIfNotExists, Disabled 2.0.0

vulnerabilidades debe estar SQL Server que no tienen
activada en sus servidores habilitados los exámenes de
de SQL Server evaluación de
vulnerabilidades periódicos.
La evaluación de
vulnerabilidades permite
detectar las vulnerabilidades
potenciales de la base de
datos, así como hacer un
seguimiento y ayudar a
corregirlas.
N O M B RE DE L A DIREC T IVA VERSIÓ N
DESC RIP C IÓ N EF EC TO S

El firewall de aplicaciones Implemente Azure Web Audit, Deny, Disabled 1.0.1

web (WAF) debe estar Application Firewall (WAF)
habilitado para Application delante de las aplicaciones
Gateway web de acceso público para
una inspección adicional del
tráfico entrante. Web
Application Firewall (WAF)
ofrece una protección
centralizada de las
aplicaciones web frente a
vulnerabilidades de
seguridad comunes, como
la inyección de SQL, el
scripting entre sitios y las
ejecuciones de archivos
locales y remotas. También
permite restringir el acceso
a las aplicaciones web por
países, intervalos de
direcciones IP y otros
parámetros http(s) por
medio de reglas
personalizadas.

Web Application Firewall Implemente Azure Web Audit, Deny, Disabled 1.0.1
(WAF) debe estar habilitado Application Firewall (WAF)
en el servicio Azure Front delante de las aplicaciones
Door Service web de acceso público para
una inspección adicional del
tráfico entrante. Web
Application Firewall (WAF)
ofrece una protección
centralizada de las
aplicaciones web frente a
vulnerabilidades de
seguridad comunes, como
la inyección de SQL, el
scripting entre sitios y las
ejecuciones de archivos
locales y remotas. También
permite restringir el acceso
a las aplicaciones web por
países, intervalos de
direcciones IP y otros
parámetros http(s) por
medio de reglas
personalizadas.

Acceso a la aplicación web El uso de HTTPS garantiza la Audit, Disabled 1.0.0

solo a través de HTTPS autenticación del servicio y
el servidor, y protege los
datos en tránsito frente a
ataques de intercepción de
nivel de red.
 N O M B RE DE L A DIREC T IVA VERSIÓ N
DESC RIP C IÓ N EF EC TO S

La Protección contra La protección contra AuditIfNotExists, Disabled 1.1.1

vulnerabilidades de vulnerabilidades de
seguridad de Windows seguridad de Windows
Defender debe estar Defender utiliza el agente
habilitada en las máquinas. de configuración de
invitado de Azure Policy. La
protección contra
vulnerabilidades de
seguridad tiene cuatro
componentes diseñados
para bloquear dispositivos
en una amplia variedad de
vectores de ataque y
comportamientos de
bloque utilizados
habitualmente en ataques
de malware, al tiempo que
permiten a las empresas
equilibrar los requisitos de
productividad y riesgo de
seguridad (solo Windows).

Los servidores web de Para proteger la privacidad AuditIfNotExists, Disabled 2.0.0

Windows deben estar de la información que se
configurados para usar comunica a través de
protocolos de comunicación Internet, los servidores web
seguros deben usar la versión más
reciente del protocolo
criptográfico estándar del
sector, Seguridad de la capa
de transporte (TLS). TLS
protege las comunicaciones
que se realizan a través de
una red mediante el uso de
certificados de seguridad
para cifrar una conexión
entre máquinas. TLS 1.3 es
más rápido y más seguro
que las versiones anteriores:
TLS 1.0-1.2 y SSL 2-3, que
se consideran protocolos
heredados.

Categoría Azure Security Center

N O M B RE VERSIÓ N
( A ZURE PO RTA L) DESC RIP C IÓ N EF EC TO S ( GIT HUB)

Debe designar un máximo Se recomienda que designe AuditIfNotExists, Disabled 3.0.0

de tres propietarios para la a un máximo de tres
suscripción propietarios de suscripción
para reducir el riesgo de
una brecha de seguridad
por parte de un propietario
en peligro.
N O M B RE VERSIÓ N
DESC RIP C IÓ N EF EC TO S

Debe habilitarse una Audita las máquinas AuditIfNotExists, Disabled 3.0.0

solución de evaluación de virtuales para detectar si
vulnerabilidades en sus ejecutan una solución de
máquinas virtuales evaluación de
vulnerabilidades admitida.
Un componente
fundamental de cada
programa de seguridad y
riesgo cibernético es la
identificación y el análisis de
las vulnerabilidades. El plan
de tarifa estándar de Azure
Security Center incluye el
análisis de vulnerabilidades
de las máquinas virtuales
sin costo adicional. Además,
Security Center puede
implementar
automáticamente esta
herramienta.

Los controles de Habilite controles de AuditIfNotExists, Disabled 3.0.0

aplicaciones adaptables aplicaciones para definir la
para definir aplicaciones lista de aplicaciones seguras
seguras deben estar conocidas que se ejecutan
habilitados en las máquinas en las máquinas, y recibir
avisos cuando se ejecuten
otras aplicaciones. Esta
directiva también ayuda a
proteger las máquinas
frente al malware. Para
simplificar el proceso de
configuración y
mantenimiento de las
reglas, Security Center usa
el aprendizaje automático
para analizar las
aplicaciones que se ejecutan
en cada máquina y sugerir
la lista de aplicaciones
seguras conocidas.

Las recomendaciones de Azure Security Center AuditIfNotExists, Disabled 3.0.0

protección de red adaptable analiza los patrones de
se deben aplicar en las tráfico de máquinas
máquinas virtuales virtuales orientadas a
accesibles desde Internet Internet y proporciona
recomendaciones de reglas
de grupo de seguridad de
red que reducen la
superficie de ataque
potencial.
N O M B RE VERSIÓ N
DESC RIP C IÓ N EF EC TO S

Todos los puertos de red Azure Security Center AuditIfNotExists, Disabled 3.0.0
deben estar restringidos en identificó que algunas de las
los grupos de seguridad de reglas de entrada de sus
red asociados a la máquina grupos de seguridad de red
virtual son demasiado permisivas.
Las reglas de entrada no
deben permitir el acceso
desde los intervalos
"Cualquiera" o "Internet".
Esto podría permitir a los
atacantes acceder a sus
recursos.

Se deben actualizar las Supervise los cambios en el AuditIfNotExists, Disabled 3.0.0

reglas de la lista de comportamiento de los
permitidos de la directiva de grupos de máquinas
controles de aplicaciones configurados para la
adaptables auditoría mediante
controles de aplicaciones
adaptables de Azure
Security Center. Security
Center usa el aprendizaje
automático para analizar los
procesos en ejecución en las
máquinas y sugerir una lista
de aplicaciones seguras
conocidas. Estas se
presentan como
aplicaciones recomendadas
que se deben permitir en
directivas de control de
aplicaciones adaptables.

Los intervalos IP Restrinja el acceso a la API Audit, Disabled 2.0.1

autorizados deben definirse de administración de
en los servicios de servicios de Kubernetes
Kubernetes mediante la concesión de
acceso de API solo a
direcciones IP en intervalos
específicos. Se recomienda
limitar el acceso a los
intervalos IP autorizados
para garantizar que solo las
aplicaciones de las redes
permitidas puedan acceder
al clúster.
N O M B RE VERSIÓ N
DESC RIP C IÓ N EF EC TO S

El aprovisionamiento A fin de supervisar las AuditIfNotExists, Disabled 1.0.1

automático del agente de amenazas y
Log Analytics debe estar vulnerabilidades de
habilitado en la suscripción seguridad, Azure Security
Center recopila datos de las
máquinas virtuales de
Azure. El agente de Log
Analytics, anteriormente
conocido como
Microsoft Monitoring Agent
(MMA), recopila los datos al
leer distintas
configuraciones
relacionadas con la
seguridad y distintos
registros de eventos de la
máquina y copiar los datos
en el área de trabajo de Log
Analytics para analizarlos.
Se recomienda habilitar el
aprovisionamiento
automático para
implementar
automáticamente el agente
en todas las máquinas
virtuales de Azure
admitidas y en las nuevas
que se creen.

Azure DDoS Protection El estándar de protección AuditIfNotExists, Disabled 3.0.0

Standard debe estar DDoS debe estar habilitado
habilitado en todas las redes virtuales
que tengan una subred que
forme parte de una
instancia de Application
Gateway con una dirección
IP pública.

Se debe habilitar Azure Azure Defender para App AuditIfNotExists, Disabled 1.0.3
Defender para App Service Service aprovecha la
escalabilidad de la nube, y la
visibilidad que ofrece Azure
como proveedor de
servicios en la nube, para
supervisar si se producen
ataques comunes a
aplicaciones web.

Se debe habilitar Azure Azure Defender para SQL AuditIfNotExists, Disabled 1.0.2
Defender para servidores proporciona funcionalidad
de Azure SQL Database para mostrar y mitigar
posibles vulnerabilidades de
base de datos, detectar
actividades anómalas que
podrían indicar amenazas
para bases de datos SQL, y
detectar y clasificar datos
confidenciales.
N O M B RE VERSIÓ N
DESC RIP C IÓ N EF EC TO S

Se debe habilitar Azure Azure Defender para AuditIfNotExists, Disabled 1.0.3

Defender para registros de registros de contenedor
contenedor proporciona análisis de
vulnerabilidades de las
imágenes extraídas en los
últimos 30 días, insertadas
en el registro o importadas,
y expone los hallazgos
detallados por imagen.

[Versión preliminar]: se debe Azure Defender para DNS AuditIfNotExists, Disabled 1.0.0-preview
habilitar Azure Defender proporciona una capa
para DNS adicional de protección para
los recursos en la nube
mediante la supervisión
continua de todas las
consultas de DNS de los
recursos de Azure. Azure
Defender alerta sobre las
actividades sospechosas en
la capa de DNS. Obtenga
más información sobre las
funcionalidades de Azure
Defender para DNS en
https://aka.ms/defender-
for-dns. La habilitación de
este plan de Azure
Defender conlleva cargos.
Obtenga información sobre
los detalles de los precios
por región en la página de
precios de Security Center:
https://aka.ms/pricing-
security-center.

Se debe habilitar Azure Azure Defender para Key AuditIfNotExists, Disabled 1.0.3
Defender para Key Vault Vault proporciona un nivel
de protección adicional de
inteligencia de seguridad, ya
que detecta intentos
inusuales y potencialmente
dañinos de obtener acceso
a las cuentas de Key Vault o
aprovechar sus
vulnerabilidades de
seguridad.

Se debe habilitar Azure Azure Defender para AuditIfNotExists, Disabled 1.0.3

Defender para Kubernetes Kubernetes proporciona
protección en tiempo real
contra amenazas para
entornos en contenedores y
genera alertas en caso de
actividad sospechosa.
N O M B RE VERSIÓ N
DESC RIP C IÓ N EF EC TO S

[Versión preliminar]: se debe Azure Defender para AuditIfNotExists, Disabled 1.0.0-preview

habilitar Azure Defender Resource Manager
para Resource Manager supervisa automáticamente
las operaciones de
administración de recursos
de la organización. Azure
Defender detecta amenazas
y alerta sobre actividades
sospechosas. Obtenga más
información sobre las
funcionalidades de Azure
Defender para Resource
Manager en
https://aka.ms/defender-
for-resource-manager. La
habilitación de este plan de
Azure Defender conlleva
cargos. Obtenga
información sobre los
detalles de los precios por
región en la página de
precios de Security Center:
https://aka.ms/pricing-
security-center.

Se debe habilitar Azure Azure Defender para AuditIfNotExists, Disabled 1.0.3

Defender para servidores servidores proporciona
protección en tiempo real
contra amenazas para las
cargas de trabajo del
servidor y genera
recomendaciones de
protección, así como alertas
sobre la actividad
sospechosa.

Se debe habilitar Azure Azure Defender para SQL AuditIfNotExists, Disabled 1.0.2
Defender para servidores proporciona funcionalidad
SQL Server en las máquinas para mostrar y mitigar
posibles vulnerabilidades de
base de datos, detectar
actividades anómalas que
podrían indicar amenazas
para bases de datos SQL, y
detectar y clasificar datos
confidenciales.

Se debe habilitar Azure Azure Defender para AuditIfNotExists, Disabled 1.0.3

Defender para Storage Storage detecta intentos
inusuales y potencialmente
perjudiciales de acceder a
las cuentas de
almacenamiento o de
vulnerarlas.
N O M B RE VERSIÓ N
DESC RIP C IÓ N EF EC TO S

[Versión preliminar]: Azure Defender incluye el DeployIfNotExists, Disabled 1.0.0-preview

configurar las máquinas examen de vulnerabilidades
para recibir el agente de de las máquinas sin costo
evaluación de adicional. No se necesita
vulnerabilidades de Qualys ninguna licencia ni cuenta
de Qualys, ya que todo se
administra sin problemas en
Security Center. Las
máquinas que no tienen el
agente de evaluación de
vulnerabilidades de Qualys
implementado reciben
automáticamente el agente
si se habilita la directiva.

[Versión preliminar]: Configure las máquinas deployIfNotExists 1.0.0-preview

Implementación: Linux para instalar
configuración de máquinas automáticamente el agente
Linux para instalar de seguridad de Azure.
automáticamente el agente Security Center recopila
de seguridad de Azure eventos del agente y los
usa para proporcionar
alertas de seguridad y
tareas de protección
personalizadas
(recomendaciones). Cree un
grupo de recursos y un área
de trabajo de Log Analytics
en la misma región que la
máquina para almacenar los
registros de auditoría. Las
máquinas virtuales de
destino deben estar en una
ubicación admitida.

Implementación: Elimine las alertas de Azure deployIfNotExists 1.0.0

configuración de reglas de Security Center para reducir
eliminación de alertas de la fatiga que estas
Azure Security Center ocasionan, mediante la
implementación de reglas
de eliminación en el grupo
de administración o la
suscripción.
N O M B RE VERSIÓ N
DESC RIP C IÓ N EF EC TO S

[Implementación]: Configure máquinas deployIfNotExists 1.0.0-preview

Configuración de máquinas Windows para instalar
Windows para instalar automáticamente el agente
automáticamente el agente de seguridad de Azure.
de seguridad de Azure Security Center recopila
eventos del agente y los
usa para proporcionar
alertas de seguridad y
tareas de protección
personalizadas
(recomendaciones). Cree un
grupo de recursos y un área
de trabajo de Log Analytics
en la misma región que la
máquina para almacenar los
registros de auditoría. Las
máquinas virtuales de
destino deben estar en una
ubicación admitida.

Implementación de la Habilite la exportación a deployIfNotExists 3.0.0

exportación a Event Hubs Event Hubs de los datos de
de los datos de Azure Azure Security Center. Esta
Security Center directiva implementa una
exportación a la
configuración del centro de
eventos con sus
condiciones y centro de
eventos de destino en el
ámbito asignado. Para
implementar esta directiva
en las suscripciones recién
creadas, abra la pestaña
Compatibilidad, seleccione
la asignación no conforme
pertinente y cree una tarea
de corrección.

Implementación de la Habilitación de la deployIfNotExists 3.0.0

exportación al área de exportación al área de
trabajo de Log Analytics de trabajo de Log Analytics de
los datos de Azure Security los datos de Azure Security
Center Center. Esta directiva
implementa una
exportación a la
configuración del área de
trabajo de Log Analytics
con sus condiciones y área
de trabajo de destino en el
ámbito asignado. Para
implementar esta directiva
en las suscripciones recién
creadas, abra la pestaña
Compatibilidad, seleccione
la asignación no conforme
pertinente y cree una tarea
de corrección.
N O M B RE VERSIÓ N
DESC RIP C IÓ N EF EC TO S

Implementar la Permite la automatización deployIfNotExists 3.0.0

automatización del flujo de de alertas de Azure Security
trabajo para las alertas de Center. Esta directiva
Azure Security Center implementa una
automatización de flujos de
trabajo con sus condiciones
y desencadenadores en el
ámbito asignado. Para
implementar esta directiva
en las suscripciones recién
creadas, abra la pestaña
Compatibilidad, seleccione
la asignación no conforme
pertinente y cree una tarea
de corrección.

Implementar la Permite la automatización deployIfNotExists 3.0.0

automatización del área de de las recomendaciones de
trabajo para las Azure Security Center. Esta
recomendaciones de Azure directiva implementa una
Security Center automatización de flujos de
trabajo con sus condiciones
y desencadenadores en el
ámbito asignado. Para
implementar esta directiva
en las suscripciones recién
creadas, abra la pestaña
Compatibilidad, seleccione
la asignación no conforme
pertinente y cree una tarea
de corrección.

Implementación de la Habilitación de la deployIfNotExists 3.0.0

automatización del flujo de automatización del
trabajo para el cumplimiento normativo de
cumplimiento normativo de Azure Security Center. Esta
Azure Security Center directiva implementa una
automatización de flujos de
trabajo con sus condiciones
y desencadenadores en el
ámbito asignado. Para
implementar esta directiva
en las suscripciones recién
creadas, abra la pestaña
Compatibilidad, seleccione
la asignación no conforme
pertinente y cree una tarea
de corrección.

Las cuentas en desuso Convendría eliminar las AuditIfNotExists, Disabled 3.0.0

deben quitarse de la cuentas en desuso de las
suscripción suscripciones. Las cuentas
en desuso son cuentas en
las que se ha bloqueado el
inicio de sesión.
N O M B RE VERSIÓ N
DESC RIP C IÓ N EF EC TO S

Las cuentas en desuso con Quitar de la suscripción las AuditIfNotExists, Disabled 3.0.0
permisos de propietario cuentas en desuso con
deben quitarse de la permisos de propietario Las
suscripción cuentas en desuso son
cuentas en las que se ha
bloqueado el inicio de
sesión.

El cifrado de discos debe Azure Security Center AuditIfNotExists, Disabled 2.0.0

aplicarse en máquinas supervisará las máquinas
virtuales virtuales sin el cifrado de
disco habilitado como
recomendaciones.

La opción para enviar Para asegurarse de que las AuditIfNotExists, Disabled 1.0.1
notificaciones por correo personas pertinentes de la
electrónico para alertas de organización reciban una
gravedad alta debe estar notificación cuando se
habilitada. produzca una vulneración
de seguridad potencial en
una de las suscripciones,
habilite las notificaciones
por correo electrónico de
alertas de gravedad alta en
Security Center.

La opción para enviar Para asegurarse de que los AuditIfNotExists, Disabled 2.0.0
notificaciones por correo propietarios de
electrónico al propietario de suscripciones reciban una
la suscripción en relación a notificación cuando se
alertas de gravedad alta produzca una vulneración
debe estar habilitada. de seguridad potencial en
sus suscripciones,
establezca notificaciones
por correo electrónico a los
propietarios de las
suscripciones de alertas de
gravedad alta en Security
Center.
N O M B RE VERSIÓ N
DESC RIP C IÓ N EF EC TO S

Habilitar Azure Security Identifica las suscripciones deployIfNotExists 1.0.0

Center en la suscripción existentes que no supervisa
Azure Security Center (ASC).
Las suscripciones que no
supervisa ASC se
registrarán en el plan de
tarifa gratuito. Las
suscripciones que ya
supervisa ASC (gratuito o
estándar) se considerarán
conformes. Para registrar las
suscripciones recién
creadas, abra la pestaña
Conformidad, seleccione la
asignación no conforme
pertinente y cree una tarea
de corrección. Repita este
paso cuando tenga una o
varias suscripciones nuevas
que quiera supervisar con
Security Center.

Habilite el Permite a Security Center DeployIfNotExists, Disabled 1.0.0

aprovisionamiento aprovisionar
automático de Security automáticamente el agente
Center del agente de Log de Log Analytics en sus
Analytics en sus suscripciones para
suscripciones con un área supervisar y recopilar datos
de trabajo personalizada. de seguridad mediante un
área de trabajo
personalizada.

Habilite el Permite a Security Center DeployIfNotExists, Disabled 1.0.0

aprovisionamiento aprovisionar
automático de Security automáticamente el agente
Center del agente de Log de Log Analytics en sus
Analytics en sus suscripciones para
suscripciones con el área de supervisar y recopilar datos
trabajo predeterminada. de seguridad mediante el
área de trabajo
predeterminada de ASC.

La solución de protección Audite la existencia y el AuditIfNotExists, Disabled 3.0.0

del punto de conexión debe estado de una solución de
instalarse en las máquinas protección de puntos de
virtuales conexión en los conjuntos
de escalado de máquinas
virtuales para protegerlos
frente a amenazas y
vulnerabilidades.

Las cuentas externas con Las cuentas externas con AuditIfNotExists, Disabled 3.0.0
permisos de propietario permisos de propietario
deben quitarse de la deben quitarse de la
suscripción suscripción a fin de evitar el
acceso no supervisado.
N O M B RE VERSIÓ N
DESC RIP C IÓ N EF EC TO S

Las cuentas externas con Las cuentas externas con AuditIfNotExists, Disabled 3.0.0
permisos de lectura deben privilegios de lectura deben
quitarse de la suscripción quitarse de la suscripción a
fin de evitar el acceso no
supervisado.

Las cuentas externas con Las cuentas externas con AuditIfNotExists, Disabled 3.0.0
permisos de escritura deben privilegios de escritura
quitarse de la suscripción deben quitarse de la
suscripción a fin de evitar el
acceso no supervisado.

La extensión "Configuración Para garantizar la seguridad AuditIfNotExists, Disabled 1.0.1

de invitado" debe estar de la configuración de
instalada en las máquinas. invitado, instale la extensión
"Configuración de invitado".
La configuración de invitado
supervisada en la extensión
engloba la configuración del
sistema operativo, la
configuración o presencia
de las aplicaciones y la
configuración del entorno.
Una vez instaladas, las
directivas de invitado
estarán disponibles como
"La protección contra
vulnerabilidades de
Windows debe estar
habilitada.". Obtenga más
información en
https://aka.ms/gcpol.

Las máquinas virtuales Proteja sus máquinas AuditIfNotExists, Disabled 3.0.0

accesibles desde Internet virtuales de posibles
deben estar protegidas con amenazas limitando el
grupos de seguridad de red acceso a ellas con grupos
de seguridad de red (NSG).
Más información sobre
cómo controlar el tráfico
con los grupos de
seguridad de red en
https://aka.ms/nsg-doc.

El reenvío de IP en la Habilitar el reenvío de IP en AuditIfNotExists, Disabled 3.0.0

máquina virtual debe estar la NIC de la máquina virtual
deshabilitado permite que la máquina
reciba tráfico dirigido a
otros destinos. El reenvío de
IP rara vez es necesario (por
ejemplo, cuando se usa la
máquina virtual como una
aplicación virtual de red) y,
por lo tanto, el equipo de
seguridad de red debe
revisarlo.
N O M B RE VERSIÓ N
DESC RIP C IÓ N EF EC TO S

Kubernetes Services se Actualice el clúster de Audit, Disabled 1.0.2

debe actualizar a una servicio de Kubernetes a
versión de Kubernetes no una versión de Kubernetes
vulnerable posterior para protegerse
frente a vulnerabilidades
conocidas en la versión
actual de Kubernetes. La
vulnerabilidad CVE-2019-
9946 se ha revisado en las
versiones de Kubernetes
1.11.9+, 1.12.7+, 1.13.5+ y
1.14.0+

Los problemas de estado Security Center usa el AuditIfNotExists, Disabled 1.0.0

del agente de Log Analytics agente de Log Analytics,
se deben resolver en sus que anteriormente se
máquinas denominaba Microsoft
Monitoring Agent (MMA).
Para tener la certeza de que
las máquinas virtuales
tienen la supervisión
correcta, es preciso
asegurarse de que el agente
está instalado en ellas y de
que recopila
adecuadamente los eventos
de seguridad en el área de
trabajo configurada.

El agente de Log Analytics Esta directiva audita AuditIfNotExists, Disabled 1.0.0

debe instalarse en la cualquier máquina virtual
máquina virtual para la Windows o Linux si el
supervisión de Azure agente de Log Analytics no
Security Center está instalado y
Security Center la utiliza
para supervisar las
amenazas y
vulnerabilidades de
seguridad

El agente de Log Analytics Security Center recopila AuditIfNotExists, Disabled 1.0.0

debe instalarse en sus datos de las máquinas
conjuntos de escalado de virtuales de Azure para
máquinas virtuales para supervisar las amenazas y
supervisar Azure Security vulnerabilidades de la
Center. seguridad.

Los puertos de Azure Security Center AuditIfNotExists, Disabled 3.0.0

administración de las supervisará el posible
máquinas virtuales deben acceso de red Just-In-Time
protegerse con el control de (JIT) como
acceso de red Just-In-Time. recomendaciones.
N O M B RE VERSIÓ N
DESC RIP C IÓ N EF EC TO S

Se deben cerrar los puertos Los puertos de AuditIfNotExists, Disabled 3.0.0

de administración en las administración remota
máquinas virtuales abiertos exponen la
máquina virtual a un alto
nivel de riesgo de recibir
ataques basados en
Internet. Estos ataques
intentan averiguar las
credenciales por medio de
fuerza bruta a fin de
obtener acceso de
administrador a la máquina

MFA debe estar habilitado Multi-Factor Authentication AuditIfNotExists, Disabled 3.0.0

en las cuentas con permisos (MFA) debe estar habilitada
de escritura de la para todas las cuentas de la
suscripción. suscripción que tengan
permisos de escritura, a fin
de evitar una brecha de
seguridad en las cuentas o
los recursos.

MFA debe estar habilitada Multi-Factor Authentication AuditIfNotExists, Disabled 3.0.0

en las cuentas con permisos (MFA) debe estar habilitada
de propietario en la para todas las cuentas de la
suscripción suscripción que tengan
permisos de propietario, a
fin de evitar una brecha de
seguridad en las cuentas o
los recursos.

MFA debe estar habilitada Multi-Factor Authentication AuditIfNotExists, Disabled 3.0.0

en las cuentas con permisos (MFA) debe estar habilitada
de lectura en la suscripción para todas las cuentas de la
suscripción que tengan
permisos de lectura, a fin de
evitar una brecha de
seguridad en las cuentas o
los recursos.

Supervisar la falta de Azure Security Center AuditIfNotExists, Disabled 3.0.0

Endpoint Protection en supervisará los servidores
Azure Security Center sin un agente de Endpoint
Protection instalado como
recomendaciones.

Las máquinas virtuales sin Proteja las máquinas AuditIfNotExists, Disabled 3.0.0
conexión a Internet deben virtuales no accesibles
protegerse con grupos de desde Internet de posibles
seguridad de red amenazas limitando el
acceso con grupos de
seguridad de red (NSG).
Más información sobre
cómo controlar el tráfico
con los grupos de
seguridad de red en
https://aka.ms/nsg-doc.
N O M B RE VERSIÓ N
DESC RIP C IÓ N EF EC TO S

La versión del sistema Mantener el sistema AuditIfNotExists, Disabled 1.0.0

operativo debe ser la operativo en la versión
versión más reciente de los admitida más reciente de
roles del servicio en la nube los roles del servicio en la
nube mejora la posición de
seguridad de los sistemas.

Se debe usar el control de Para proporcionar un Audit, Disabled 1.0.2

acceso basado en rol filtrado detallado de las
(RBAC) en los servicios de acciones que los usuarios
Kubernetes pueden realizar, use el
control de acceso basado
en rol (RBAC) para
administrar los permisos en
los clústeres de Kubernetes
Service y configurar las
directivas de autorización
correspondientes.

Es necesario seleccionar el El plan de tarifa estándar le Audit, Disabled 1.0.0

plan de tarifa estándar de permite detectar amenazas
Security Center. en redes y máquinas
virtuales, lo que
proporciona inteligencia
sobre amenazas, detección
de anomalías y análisis de
comportamiento en Azure
Security Center.

[Versión preliminar]: los Azure Security Center AuditIfNotExists, Disabled 3.0.0-preview

datos confidenciales de las supervisa los resultados del
bases de datos SQL deben examen de clasificación y
clasificarse detección de los datos de
las bases de datos SQL y
proporciona
recomendaciones para
clasificar los datos
confidenciales en las bases
de datos y así poder
mejorar los procesos de
supervisión y la seguridad.

Para proteger las Los certificados de AuditIfNotExists, Disabled 1.0.0

suscripciones, se deben usar administración permiten a
entidades de servicio, en quien se autentica con ellos
lugar de certificados de administrar las
administración suscripciones a las que
están asociados. Para
administrar las
suscripciones de forma más
segura, al usar entidades de
servicio con Resource
Manager se recomienda
limitar el impacto de un
certificado si el certificado
correo peligro.
N O M B RE VERSIÓ N
DESC RIP C IÓ N EF EC TO S

Las subredes deben estar Proteja la subred de AuditIfNotExists, Disabled 3.0.0

asociadas con un grupo de posibles amenazas
seguridad de red. mediante la restricción del
acceso con un grupo de
seguridad de red (NSG).
Estos grupos contienen las
reglas de la lista de control
de acceso (ACL) que
permiten o deniegan el
tráfico de red a la subred.

Las suscripciones deben Para asegurarse de que las AuditIfNotExists, Disabled 1.0.1
tener una dirección de personas pertinentes de la
correo electrónico de organización reciban una
contacto para los notificación cuando se
problemas de seguridad produzca una vulneración
de seguridad potencial en
una de las suscripciones,
establezca un contacto de
seguridad para la recepción
de notificaciones por correo
electrónico de Security
Center.

Se deben instalar las Audite si falta alguna AuditIfNotExists, Disabled 3.0.0

actualizaciones del sistema actualización de seguridad
en los conjuntos de del sistema o actualización
escalado de máquinas crítica que deba instalarse
virtuales para garantizar que los
conjuntos de escalado de
máquinas virtuales
Windows y Linux sean
seguros.

Se deben instalar Azure Security Center AuditIfNotExists, Disabled 3.0.0

actualizaciones del sistema supervisará las
en las máquinas actualizaciones del sistema
de seguridad que faltan en
los servidores como
recomendaciones.

Debe haber más de un Se recomienda que designe AuditIfNotExists, Disabled 3.0.0

propietario asignado a la a más de un propietario de
suscripción la suscripción para tener
redundancia de acceso de
administrador.
N O M B RE VERSIÓ N
DESC RIP C IÓ N EF EC TO S

La extensión "Configuración La extensión Configuración AuditIfNotExists, Disabled 1.0.1

de invitado" de las de invitado requiere una
máquinas virtuales debe identidad administrada
implementarse con una asignada por el sistema. Si
identidad administrada las máquinas virtuales de
asignada por el sistema Azure incluidas en el ámbito
de esta directiva tienen
instalada la extensión
"Configuración de invitado"
pero no tienen una
identidad administrada
asignada por el sistema, no
cumplirán los requisitos
establecidos. Más
información en
https://aka.ms/gcpol

Se deben corregir las La evaluación de AuditIfNotExists, Disabled 2.0.0

vulnerabilidades de las vulnerabilidades de la
imágenes de Azure imagen de contenedor
Container Registry examina el registro en
busca de vulnerabilidades
de seguridad en cada
imagen de contenedor
insertada y expone
resultados detallados de
cada imagen (con la
tecnología de Qualys). La
resolución de las
vulnerabilidades puede
mejorar considerablemente
la posición de seguridad de
los contenedores y
protegerlos frente a
ataques.

Las vulnerabilidades en las Audite las vulnerabilidades AuditIfNotExists, Disabled 3.0.0

configuraciones de en la configuración de
seguridad de contenedor seguridad de las máquinas
deben corregirse con Docker instalado y
muéstrelas como
recomendaciones en Azure
Security Center.

Se deben corregir las Azure Security Center AuditIfNotExists, Disabled 3.0.0

vulnerabilidades en la supervisará los servidores
configuración de seguridad que no cumplan la línea de
en las máquinas base configurada como
recomendaciones.

Se deben corregir las Audite las vulnerabilidades AuditIfNotExists, Disabled 3.0.0

vulnerabilidades en la del sistema operativo en los
configuración de seguridad conjuntos de escalado de
de los conjuntos de máquinas virtuales para
escalado de máquinas protegerlos frente a
virtuales ataques.
 N O M B RE VERSIÓ N
DESC RIP C IÓ N EF EC TO S

Se deben corregir las Supervise los resultados del AuditIfNotExists, Disabled 4.0.0
vulnerabilidades de las análisis de evaluación de
bases de datos SQL puntos vulnerables y las
recomendaciones para
solucionar los de las bases
de datos.

Es necesario corregir las La evaluación de AuditIfNotExists, Disabled 1.0.0

vulnerabilidades de los vulnerabilidades de SQL
servidores SQL en la examina la base de datos en
máquina busca de vulnerabilidades
de seguridad y expone las
posibles desviaciones de los
procedimientos
recomendados, como
errores de configuración,
permisos excesivos y datos
confidenciales sin
protección. La corrección de
las vulnerabilidades
detectadas puede mejorar
considerablemente la
posición de seguridad de la
base de datos.

Pasos siguientes
En este artículo, ha aprendido sobre las definiciones de directiva de seguridad de Azure Policy en Security
Center. Para obtener más información sobre las iniciativas, las directivas y cómo se relacionan con las
recomendaciones de Security Center, vea ¿Qué son las directivas de seguridad, las iniciativas y las
recomendaciones?
 Valoración y recomendaciones de Endpoint
Protection en Azure Security Center
25/03/2021 • 8 minutes to read • Edit Online

Azure Security Center proporciona evaluaciones de estado de las versiones admitidas de las soluciones de
Endpoint Protection. En este artículo se explican los escenarios que llevan a Security Center a generar las dos
recomendaciones siguientes:
Instalar soluciones de Endpoint Protection en la máquina vir tual
Resolver problemas de mantenimiento de Endpoint Protection en las máquinas

Windows Defender
Security Center recomienda "Instalar soluciones de Endpoint Protection en la máquina vir tual"
cuando se ejecuta Get-MpComputerStatus y el resultado es AMSer viceEnabled: False
Security Center recomiendan "Resolver problemas de mantenimiento de Endpoint Protection en
las máquinas" cuando se ejecuta Get-MpComputerStatus y ocurre algo de lo siguiente:
Todas estas propiedades son false:
AMSer viceEnabled
AntispywareEnabled
RealTimeProtectionEnabled
BehaviorMonitorEnabled
IoavProtectionEnabled
OnAccessProtectionEnabled
Si una de las siguientes propiedades, o las dos, es mayor o igual que siete:
AntispywareSignatureAge
AntivirusSignatureAge

Microsoft System Center Endpoint Protection

Security Center recomienda "Instalar soluciones de Endpoint Protection en la máquina vir tual"
cuando la importación de SCEPMpModule ("$env:ProgramFiles\Microsoft Security
Client\MpProvider\MpProvider.psd1" ) y la ejecución de Get-MProtComputerStatus da como
resultado AMSer viceEnabled = false .
Security Center recomienda "Resolver problemas de mantenimiento de Endpoint Protection en
las máquinas" cuando se ejecuta Get-MprotComputerStatus y ocurre algo de lo siguiente:
Al menos una de las propiedades siguientes es false:
AMSer viceEnabled
AntispywareEnabled
RealTimeProtectionEnabled
BehaviorMonitorEnabled
IoavProtectionEnabled
OnAccessProtectionEnabled
 Si una de las siguientes actualizaciones de firma, o las dos, es mayor o igual que siete.
AntispywareSignatureAge
AntivirusSignatureAge

Trend Micro
Security Center recomienda "Instalar soluciones de Endpoint Protection en la máquina vir tual" si no
se satisface ninguna de las siguientes comprobaciones:
HKLM:\SOFTWARE\TrendMicro\Deep Security Agent existe.
HKLM:\SOFTWARE\TrendMicro\Deep Security Agent\InstallationFolder existe.
El archivo dsa_quer y.cmd se encuentra en la carpeta de instalación.
La ejecución de dsa_quer y.cmd da como resultado Component.AM.mode: on - Trend Micro
Deep Security Agent detected .

Symantec Endpoint Protection

Security Center recomienda "Instalar soluciones de Endpoint Protection en la máquina vir tual" si no se
satisface ninguna de las siguientes comprobaciones:
HKLM:\Software\Symantec\Symantec Endpoint Protection\CurrentVersion\PRODUCTNAME =
"Symantec Endpoint Protection"
HKLM:\Software\Symantec\Symantec Endpoint Protection\CurrentVersion\public-
opstate\ASRunningStatus = 1
Or
HKLM:\Software\Wow6432Node\Symantec\Symantec Endpoint
Protection\CurrentVersion\PRODUCTNAME = "Symantec Endpoint Protection"
HKLM:\Software\Wow6432Node\Symantec\Symantec Endpoint
Protection\CurrentVersion\public-opstate\ASRunningStatus = 1
Security Center recomienda "Resolver problemas de estado de protección de puntos de conexión en
las máquinas" si no se satisface ninguna de las siguientes comprobaciones:
Comprobar que la versión de Symantec es >= 12: Ubicación del Registro:
HKLM:\Software\Symantec\Symantec Endpoint Protection\CurrentVersion" -Value
"PRODUCTVERSION"
Comprobar el estado de protección en tiempo real:
HKLM:\Software\Wow6432Node\Symantec\Symantec Endpoint
Protection\AV\Storages\Filesystem\RealTimeScan\OnOff == 1
Comprobar el estado de actualización de firma: HKLM\Software\Symantec\Symantec Endpoint
Protection\CurrentVersion\public-opstate\LatestVirusDefsDate <= 7 days
Comprobar el estado de examen completo: HKLM:\Software\Symantec\Symantec Endpoint
Protection\CurrentVersion\public-opstate\LastSuccessfulScanDateTime <= 7 days
Buscar la ruta del número de versión de firma para la versión de firma para Symantec 12: Rutas de acceso
del Registro + "CurrentVersion\SharedDefs" -Value "SRTSP"
Ruta de acceso a la versión de firma para Symantec 14: Rutas de acceso del Registro +
"CurrentVersion\SharedDefs\SDSDefs" -Value "SRTSP"
Rutas de acceso del Registro:
"HKLM:\Software\Symantec\Symantec Endpoint Protection" + $Path;
"HKLM:\Software\Wow6432Node\Symantec\Symantec Endpoint Protection" + $Path
McAfee Endpoint Protection para Windows
Security Center recomienda "Instalar soluciones de Endpoint Protection en la máquina vir tual" si no se
satisface ninguna de las siguientes comprobaciones:
HKLM:\SOFTWARE\McAfee\Endpoint\AV\ProductVersion existe.
HKLM:\SOFTWARE\McAfee\AVSolution\MCSHIELDGLOBAL\GLOBAL\enableoas = 1
Security Center recomienda "Resolver problemas de estado de protección de puntos de conexión en
las máquinas" si no se satisface ninguna de las siguientes comprobaciones:
Versión de McAfee: HKLM:\SOFTWARE\McAfee\Endpoint\AV\ProductVersion >= 10
Buscar la versión de la firma: HKLM:\Software\McAfee\AVSolution\DS\DS -Value
"dwContentMajorVersion"
Buscar la fecha de la firma: HKLM:\Software\McAfee\AVSolution\DS\DS -Value
"szContentCreationDate" >= 7 days
Buscar la fecha del examen: HKLM:\Software\McAfee\Endpoint\AV\ODS -Value
"LastFullScanOdsRunTime" >= 7 days

McAfee Endpoint Security for Linux Threat Prevention

Security Center recomienda "Instalar soluciones de Endpoint Protection en la máquina vir tual" si no se
satisface ninguna de las siguientes comprobaciones:
El archivo /opt/isec/ens/threatprevention/bin/isecav se cierra.
El resultado de "/opt/isec/ens/threatprevention/bin/isecav --version" es: El nombre de McAfee =
McAfee Endpoint Security for Linux Threat Prevention y la versión de McAfee >= 10
Security Center recomienda "Resolver problemas de estado de protección de puntos de conexión en
las máquinas" si no se satisface ninguna de las siguientes comprobaciones:
"/opt/ISEC/ENS/threatprevention/bin/isecav--listtask" devuelve Quick scan, Full scan (Examen
rápido, examen completo) y ambos exámenes < = 7 días
"/opt/ISEC/ENS/threatprevention/bin/isecav--listtask" devuelve DAT and engine Update time
(Motor DAT y hora de actualización) y ambos exámenes < = 7 días
"/opt/ISEC/ENS/threatprevention/bin/isecav--getoasconfig--summar y" devuelve el estado On
Access Scan (En el examen de acceso)

Antivirus Sophos para Linux

Security Center recomienda "Instalar soluciones de Endpoint Protection en la máquina vir tual" si no se
satisface ninguna de las siguientes comprobaciones:
El archivo /opt/Sophos-AV/bin/savdstatus se cierra o busca la ubicación "readlink $(which savscan)"
"/opt/sophos-av/bin/savdstatus --version" devuelve el nombre de Sophos = Sophos Anti-Virus y la
versión de Sophos >= 9
Security Center recomienda "Resolver problemas de estado de protección de puntos de conexión en
las máquinas" si no se satisface ninguna de las siguientes comprobaciones:
"/opt/sophos-av/bin/savlog --maxage=7 | grep -i "Scheduled scan .* completed" | tail -1" ,
devuelve un valor
"/opt/sophos-av/bin/savlog --maxage=7 | grep "scan finished" | tail -1", devuelve un valor
"/opt/sophos-av/bin/savdstatus --lastupdate" devuelve lastUpdate, que debe ser <= 7 días
- "/opt/sophos-av/bin/savdstatus -v" es igual a "On-access scanning is running" (se ejecuta el
 examen en el acceso)
"/opt/sophos-av/bin/savconfig get LiveProtection" devuelve enabled (habilitado)

Solución de problemas y asistencia

Solución de problemas
Los registros de extensión de Microsoft Antimalware están disponibles en
%Systemdrive%\WindowsAzure\Logs\Plugins\Microsoft.Azure.Security.IaaSAntimalware(o
PaaSAntimalware)\1.5.5.x(version#)\CommandExecution.log
Soporte técnico
Si necesita más ayuda, póngase en contacto con los expertos de Azure en los foros de MSDN Azure y Stack
Overflow. También puede registrar un incidente de soporte técnico de Azure. Vaya al sitio de soporte técnico de
Azure y seleccione Obtener soporte. Para obtener información sobre el uso del soporte técnico, lea las
Preguntas más frecuentes de soporte técnico de Microsoft Azure.
 Administrar datos de usuario en Azure Security
Center
09/04/2021 • 7 minutes to read • Edit Online

En este artículo se proporciona información sobre cómo administrar los datos de usuario en Azure Security
Center. La administración de los datos de usuario incluye la capacidad de acceder, eliminar o exportar datos.

NOTE
En este artículo se indican los pasos para eliminar los datos personales del dispositivo o del servicio y puede utilizarse para
cumplir con sus obligaciones según el Reglamento general de protección de datos (RGPD). Para obtener información
general sobre RGPD, consulte Información sobre los procedimientos recomendados para el cumplimiento del RGPD y la
sección RGPD del portal de confianza de servicios.

Un usuario de Security Center que tenga asignado el rol Lector, Propietario, Colaborador o Administrador de
cuenta puede acceder a los datos del cliente dentro de la herramienta. Para obtener más información sobre el
rol Administrador de cuenta, consulte Roles integrados para el control de acceso basado en roles de Azure para
obtener más información sobre los roles Lector, Propietario y Colaborador. Consulte el artículo sobre los
administradores de la suscripción de Azure.

Buscar e identificar datos personales

Un usuario de Security Center puede ver sus datos personales a través de Azure Portal. En Security Center solo
se almacenan los detalles de contacto de seguridad como direcciones de correo electrónico y números de
teléfono. Para obtener más información, consulte Provisión de detalles de contacto de seguridad en Azure
Security Center.
En Azure Portal, un usuario puede ver las configuraciones de IP permitidas mediante el la característica de
acceso Just-In-Time a la máquina virtual de Security Center. Para obtener más información, consulte Administrar
el acceso a máquina virtual mediante Just-In-Time.
En Azure Portal, un usuario puede ver las alertas de seguridad proporcionadas por Security Center, incluidos los
detalles de atacantes y direcciones IP. Para obtener más información, consulte Administración y respuesta a las
alertas de seguridad en Azure Security Center.

Clasificación de datos personales

No es necesario clasificar los datos personales que se encuentran en la característica de contactos de seguridad
de Security Center. Los datos guardados son una dirección de correo electrónico (o varias) y un número de
teléfono. Security Center valida los datos de contacto.
No es necesario clasificar las direcciones IP y los números de puerto guardados por la característica Just-In-Time
de Security Center.
Solo un usuario asignado al rol de Administrador puede clasificar los datos personales mediante la visualización
de alertas en Security Center.

Protección y control del acceso a los datos personales

Un usuario de Security Center que tenga asignado el rol Lector, Propietario, Colaborador o Administrador de
cuenta puede tener acceso a los datos de contacto de seguridad.
Un usuario de Security Center que tenga asignado el rol Lector, Propietario, Colaborador o Administrador de
cuenta puede tener acceso a las directivas Just-In-Time.
Un usuario de Security Center que tenga asignado el rol Lector, Propietario, Colaborador o Administrador de
cuenta puede ver las alertas.

Actualizar datos personales

Un usuario de Security Center que tenga asignado el rol Propietario, Colaborador o Administrador de cuenta
puede actualizar los datos de contacto de seguridad a través de Azure Portal.
Un usuario de Security Center que tenga asignado el rol Propietario, Colaborador o Administrador de cuenta
puede actualizar las directivas Just-In-Time.
Un Administrador de cuenta no puede editar incidentes de alertas. Un incidente de alerta se considera datos de
seguridad y es de solo lectura.

Eliminar datos personales

Un usuario de Security Center que tenga asignado el rol Propietario, Colaborador o Administrador de cuenta
puede eliminar los datos de contacto de seguridad a través de Azure Portal.
Un usuario de Security Center que tenga asignado el rol Propietario, Colaborador o Administrador de cuenta
puede eliminar las directivas Just-In-Time a través de Azure Portal.
Un usuario de Security Center no puede eliminar los incidentes de alerta. Por motivos de seguridad, un
incidente de alerta se considera datos de solo lectura.

Exportar datos personales

Un usuario de Security Center que tenga asignado el rol Lector, Propietario, Colaborador o Administrador de
cuenta puede exportar los datos de contacto de seguridad si:
Copia desde Azure Portal
Ejecuta la llamada de API de REST de Azure, GET HTTP:

GET https://<endpoint>/subscriptions/{subscriptionId}/providers/Microsoft.Security/securityContacts?
api-version={api-version}

Un usuario de Security Center que tenga asignado el rol Administrador de cuenta puede exportar las directivas
Just-In-Time que contienen las direcciones IP si:
Copia desde Azure Portal
Ejecuta la llamada de API de REST de Azure, GET HTTP:

GET
https://<endpoint>/subscriptions/{subscriptionId}/resourceGroups/{resourceGroup}/providers/Microsoft.
Security/locations/{location}/jitNetworkAccessPolicies/default?api-version={api-version}

Un Administrador de cuenta puede exportar los detalles de alerta si:

Copia desde Azure Portal
Ejecuta la llamada de API de REST de Azure, GET HTTP:
 GET https://<endpoint>/subscriptions/{subscriptionId}/providers/microsoft.Security/alerts?api-
version={api-version}

Para obtener más información, consulte Obtener alertas de seguridad (colección GET).

Restricción del uso de datos personales para la generación de perfiles

o marketing sin consentimiento
Un usuario de Security Center puede elegir no participar mediante la eliminación de sus datos de contacto de
seguridad.
Los datos Just-In-Time se consideran datos no identificables y se conservan durante un período de 30 días.
Los datos de alertas se consideran datos de seguridad y se conservan durante un período de dos años.

Informes y auditoría
Los registros de auditoría de contacto de seguridad, Just-In-Time y las actualizaciones de alertas se mantienen
en los registros de actividad de Azure.
 Mapa de ruta de preparación para Azure Security
Center
30/03/2021 • 5 minutes to read • Edit Online

Este documento le proporciona un mapa de ruta de preparación que le ayudará a empezar a trabajar con Azure
Security Center.

Descripción de Security Center

Azure Security Center ofrece una administración de seguridad unificada y una protección contra amenazas
avanzada para las cargas de trabajo que se ejecutan en Azure, de forma local y en otras nubes.
Use los siguientes recursos para empezar a trabajar con Security Center.
Artículos
Introducción al Centro de seguridad de Azure
Guía de inicio rápido de Azure Security Center
Vídeos
Vídeo de presentación rápida
Introducción a las funcionalidades de prevención, detección y respuesta de Security Center

Planeamiento y operaciones
Para sacar el máximo partido a Security Center, es importante comprender cómo distintas personas o equipos
de su organización usarán el servicio para satisfacer las necesidades relativas a las operaciones seguras, la
supervisión, la gobernanza y la respuesta a incidentes.
Use los siguientes recursos como ayuda durante los procesos de planeamiento y de operaciones.
Guía de planeamiento y operaciones de Azure Security Center
Incorporación de equipos a Security Center
Security Center detecta automáticamente las suscripciones o áreas de trabajo de Azure que no están protegidas
por Azure Defender. Aquí se incluyen las suscripciones de Azure que usan Security Center gratis y las áreas de
trabajo que no tiene la solución de seguridad habilitada.
Use los siguientes recursos como ayuda durante los procesos de incorporación.
Incorporar equipos que no son de Azure
Introducción sobre Azure Security Center híbrido

Mitigación de problemas de seguridad mediante Security Center

Security Center recopila, analiza e integra automáticamente los datos de registro de los recursos de Azure, la red
y las soluciones de asociados conectados, como firewalls y soluciones de protección de puntos de conexión,
para detectar amenazas reales y reducir los falsos positivos.
Utilice los siguientes recursos como ayuda para administrar las alertas de seguridad y proteger los recursos.
Artículos
 Protección de las redes en Azure Security Center
Protección del servicio SQL de Azure en Azure Security Center
Vídeo
Mitigación de problemas de seguridad mediante Azure Security Center
Security Center para respuesta a incidentes
Para reducir los costos y los daños, es importante tener un plan de respuesta a incidentes implantado antes de
que se produzca un ataque. Azure Security Center puede usarse en distintas fases de una respuesta a incidentes.
Use los siguientes recursos para comprender cómo se puede incorporar Security Center al proceso de respuesta
a incidentes.
Vídeos
Azure Security Center in Incident Response (Uso de Azure Security Center para dar respuesta a incidentes)
Respond quickly to threats with next-generation security operation, and investigation (Respuesta rápida ante
amenazas mediante investigación y operaciones de última generación)
Artículos
Uso de Azure Security Center para dar respuesta a incidentes
Uso de la automatización para responder a los desencadenadores de Security Center

Protección en la nube avanzada

Las máquinas virtuales de Azure pueden aprovechar las funcionalidades de protección en la nube avanzada de
Security Center. Estas funcionalidades incluyen el acceso a máquinas virtuales "Just-In-Time" y controles de
aplicación adaptables.
Use los siguientes recursos para aprender a utilizar estas funcionalidades de Security Center.
Vídeos
Azure Security Center – Just-in-Time VM Access (Azure Security Center: Acceso a máquinas virtuales "Just-in-
Time")
Azure Security Center - Adaptive Application Controls (Azure Security Center: Controles de aplicación
adaptables)
Artículos
Administración del acceso a máquina virtual mediante Just-In-Time
Controles de aplicación adaptables en Azure Security Center

Actividades prácticas
Laboratorios prácticos de Security Center
Guión de procedimientos con recomendaciones de firewall de aplicaciones web (WAF) en Security Center
Cuaderno de estrategias de Azure Security Center: alertas de seguridad

Recursos adicionales
Página Documentación de Security Center
Página Documentación de API de REST de Security Center
Preguntas más frecuentes sobre Azure Security Center
Página Precios de Azure Security Center
 Identificación de procedimientos recomendados de seguridad
Procedimientos recomendados de seguridad de red
Recomendaciones sobre PaaS
Cumplimiento normativo
Los clientes de Log Analytics pueden usar ahora Azure Security Center para proteger sus cargas de trabajo
en la nube híbrida.

Recursos de la comunidad
Security Center UserVoice
Página de preguntas y respuestas sobre Security Center
 Guía de solución de problemas de Azure Security
Center
30/03/2021 • 20 minutes to read • Edit Online

Esta guía está destinada a profesionales de tecnologías de la información (TI), analistas de seguridad de la
información y administradores de la nube cuyas organizaciones utilizan Azure Security Center y necesitan
solucionar problemas relacionados con Security Center.
Security Center usa el agente de Log Analytics para recopilar y almacenar datos. Consulte Migración de la
plataforma de Azure Security Center para más información. La información de este artículo representa la
funcionalidad de Security Center después de la transición al agente de Log Analytics.

Guía de solución de problemas

Esta guía explica cómo solucionar problemas relacionados con Security Center.
Tipos de alerta:
Análisis del comportamiento de la máquina virtual (VMBA)
Análisis de red
Análisis de SQL Database y Azure Synapse Analytics
Información contextual
Dependiendo de los tipos de alerta, los clientes pueden obtener la información necesaria para investigarla
mediante el uso de los siguientes recursos:
Registros de seguridad en el visor de eventos de la máquina virtual (VM) en Windows
AuditD en Linux
Los registros de actividad de Azure y la opción de habilitar los registros de diagnóstico en el recurso del
ataque.
Los clientes pueden compartir comentarios para la descripción de la alerta y la pertinencia. Navegue a la propia
alerta, seleccione el botón ¿Le resultó útil? , seleccione el motivo y escriba un comentario que sirva de ex.
Supervisamos sistemáticamente este canal de comentarios para mejorar nuestras alertas.

Registro de auditoría
La mayoría de las soluciones de problemas en Security Center se realizan examinando primero el registro de
auditoría del componente afectado. A través de los registros de auditoría puede determinar:
Qué operaciones se han llevado a cabo
Quién inició la operación
Cuándo tuvo lugar la operación
El estado de la operación
Los valores de otras propiedades que podrían ayudarle en la investigación de la operación
El registro de auditoría contiene todas las operaciones de escritura (PUT, POST, DELETE) realizadas en los
recursos, pero no incluye las operaciones de lectura (GET).

Agente de Log Analytics

Security Center usa el agente de Log Analytics, que es el mismo agente que usa el servicio Azure Monitor, para
recopilar datos de seguridad de las máquinas virtuales de Azure. Una vez que se ha habilitado la recopilación de
datos y se ha instalado correctamente el agente en la máquina de destino, los siguientes procesos deben estar
en ejecución:
HealthService.exe
Si abre la consola de administración de servicios (services.msc), también verá el servicio de agente de Log
Analytics que se ejecuta como se muestra a continuación:

Para ver qué versión del agente tiene, abra Administrador de tareas , en la pestaña Procesos busque el
servicio Agente de Log Analytics , haga clic en él con el botón derecho y haga clic en Propiedades . En la
pestaña Detalles , examine la versión del archivo tal y como se muestra a continuación:

Escenarios de instalación del agente de Log Analytics

Existen dos escenarios de instalación que pueden producir resultados diferentes al instalar el agente de Log
Analytics en el equipo. Los escenarios admitidos son:
Agente instalado automáticamente por Security Center : en este escenario podrá ver las alertas en
ambas ubicaciones: Security Center y la búsqueda de registros. Recibirá notificaciones por correo
electrónico a la dirección que configuró en la directiva de seguridad para la suscripción a la que
pertenece el recurso.
Agente instalado manualmente en una VM ubicada en Azure : en este escenario, si está usando los
agentes descargados e instalados antes de febrero de 2017, puede ver las alertas en el portal de Security
Center solo si filtra por la suscripción a la que pertenece el área de trabajo. Si filtra por la suscripción a la
que pertenece el recurso, no verá ninguna alerta. Recibirá notificaciones por correo electrónico a la
dirección que configuró en la directiva de seguridad para la suscripción a la que pertenece el área de
trabajo.

NOTE
Para evitar el comportamiento explicado en el segundo caso, asegúrese de descargar la versión más reciente del agente.
Supervisión de problemas de Agent Health
Estado de super visión define el motivo por el que Security Center no puede supervisar correctamente las
máquinas virtuales y los equipos inicializados para el aprovisionamiento automático. La tabla siguiente muestra
los valores, las descripciones y los pasos de resolución de Estado de super visión .

ESTA DO DE SUP ERVISIÓ N DESC RIP C IÓ N PA SO S DE RESO L UC IÓ N

Instalación del agente pendiente La instalación del agente de Log Espere hasta que finalice la instalación
Analytics aún se está ejecutando. La automática.
instalación puede tardar unas horas.

Estado de energía: desactivado La VM está detenida. El agente de Log Reinicie la VM.

Analytics solo puede instalarse en una
máquina virtual que esté en ejecución.

Falta el agente de VM de Azure o no El agente de Log Analytics todavía no Instale, reinstale o actualice el agente
es válido está instalado. Es necesario un agente de VM de Azure en la VM.
de VM de Azure válido para que
Security Center instale la extensión.

Estado de máquina virtual no El agente de Log Analytics no está Compruebe el estado de la máquina
preparada para la instalación instalado todavía porque la máquina virtual. Vuelva a Máquinas vir tuales
virtual no está lista para la instalación. en el portal y seleccione la máquina
La máquina virtual no está lista para la virtual para obtener información del
instalación debido a un problema con estado.
el agente de la máquina virtual o con
el aprovisionamiento de máquinas
virtuales.

Error de instalación: error general El agente de Log Analytics se instaló, Instale manualmente la extensión o
pero se produjo un error. desinstale la extensión para que
Security Center intente instalarla de
nuevo.

Error de instalación: agente local ya Error de instalación del agente de Log Hay dos maneras de resolverlo: instalar
instalado Analytics. Security Center ha manualmente la extensión y conectarla
identificado que un agente local (Log al área de trabajo deseada. O bien,
Analytics o System Center Operations establecer el área de trabajo deseada
Manager) ya está instalado en la como el área de trabajo
máquina virtual. Para evitar la predeterminada y habilitar el
configuración de hospedaje múltiple, aprovisionamiento automático del
donde la máquina virtual informa a agente. Consulte Habilitación del
dos áreas de trabajo independientes, aprovisionamiento automático.
se detiene la instalación del agente de
Log Analytics.

El agente no puede conectarse al área El agente de Log Analytics se instaló, Consulte los requisitos de red del
de trabajo pero se produjo un error debido a la agente de supervisión.
conectividad de red. Compruebe que el
sistema tiene acceso a Internet o que
se ha configurado un servidor proxy
HTTP válido para el agente.
 ESTA DO DE SUP ERVISIÓ N DESC RIP C IÓ N PA SO S DE RESO L UC IÓ N

Agente conectado a un área de trabajo Security Center identificó que el agente Esto puede ocurrir en dos casos. El
desconocida o no encontrada de Log Analytics instalado en la área de trabajo se ha eliminado y ya
máquina virtual está conectado a un no existe. Vuelva a instalar al agente
área de trabajo a la que no tiene con el área de trabajo correcta o
acceso. desinstale el agente y permita que
Security Center complete la instalación
de aprovisionamiento automático. El
segundo caso se da cuando el área de
trabajo forma parte de una suscripción
para la que Security Center no tiene
permisos. Security Center requiere que
las suscripciones permitan el acceso al
proveedor de recursos de seguridad de
Microsoft. Para habilitarlo, registre la
suscripción en el proveedor de
recursos de seguridad de Microsoft.
Esto se puede hacer mediante una API,
PowerShell, el portal o, simplemente,
filtrando por la suscripción en el panel
Información general de Security
Center. Para más información, consulte
Proveedores de recursos y sus tipos.

El agente no responde o falta el Security Center no puede recuperar los El agente no notifica ningún dato,
identificador datos de seguridad escaneados de la incluidos los latidos. El agente puede
máquina virtual, incluso aunque el estar dañado o algo está bloqueando
agente está instalado. el tráfico. O bien, el agente está
proporcionando datos, pero falta un
identificador de recurso de Azure, por
lo que es imposible relacionar los datos
con la máquina virtual de Azure. Para
solucionar problemas en Linux, vea la
Guía de solución de problemas del
Agente de Log Analytics para Linux.
Para solucionar problemas de
Windows, consulte Solución de
problemas con máquinas virtuales
Windows.

Agente no instalado La colección de datos está Active la colección de datos en la

deshabilitada. directiva de seguridad o instale
manualmente el agente de Log
Analytics.

Solución de problemas relativos a los requisitos de red del agente de

supervisión
Para que los agentes se puedan conectar a Security Center y registrarse ahí, deben tener acceso a los recursos
de red, lo que incluye los números de puerto y las direcciones URL de dominio.
Para los servidores proxy, debe asegurarse de que los recursos de servidor proxy adecuados están
configurados en la configuración del agente. Lea este artículo para más información sobre cómo cambiar la
configuración del servidor proxy.
Si usa un firewall para restringir el acceso a Internet, debe configurarlo para permitir el acceso a Log
Analytics. No es necesario realizar ninguna acción en la configuración del agente.
En la siguiente tabla se muestran los recursos necesarios para la comunicación.
 REC URSO DEL A GEN T E P UERTO S O M IT IR IN SP EC C IÓ N DE H T T P S

*.ods.opinsights.azure.com 443 Sí

*.oms.opinsights.azure.com 443 Sí

*.blob.core.windows.net 443 Sí

*.azure-automation.net 443 Sí

Si experimenta problemas con la incorporación del agente, asegúrese de leer el artículo Solución de problemas
de incorporación en Operations Management Suite.

La solución de problemas de Endpoint Protection no funciona

correctamente
El agente invitado es el proceso primario de todo lo que hace la extensión Microsoft Antimalware. Cuando se
produce un error en el proceso del agente invitado, es posible que se produzca un error en la instancia de
Microsoft Antimalware que se ejecuta como proceso secundario del agente invitado. En escenarios como este se
recomienda comprobar las opciones siguientes:
Si la máquina virtual de destino es una imagen personalizada y el creador de la máquina virtual nunca
instaló el agente invitado.
Si el destino es una máquina virtual de Linux en lugar de una máquina virtual de Windows, se producirá un
error en la instalación de la versión de Windows de la extensión del antimalware en una máquina virtual de
Linux. El agente invitado Linux tiene requisitos específicos en términos de la versión de SO y los paquetes
necesarios y si no se cumplen esos requisitos, el agente de máquina virtual no funcionará ahí tampoco.
Si la máquina virtual se creó con una versión anterior del agente invitado. Si así fue, debe tener en cuenta
que es posible que algunos agentes anteriores no realicen actualizaciones automáticas a la versión más
recientes, lo que podría generar este problema. Use siempre la versión más reciente del agente invitado si
crea sus propias imágenes.
Algunos software de administración de terceros podrían deshabilitar el agente invitado o bloquear el acceso
a ciertas ubicaciones de archivos. Si tiene instalado este tipo de software de terceros en la máquina virtual,
asegúrese de que el agente esté en la lista de exclusiones.
Ciertos ajustes del firewall o un grupo de seguridad de red (NSG) pueden bloquear el tráfico de red desde y
hacia el agente invitado.
Cierta lista de control de acceso (ACL) puede impedir el acceso al disco.
La falta de espacio en disco puede impedir que el agente invitado funcione correctamente.
De manera predeterminada, la interfaz de usuario de Microsoft Antimalware está deshabilitada, lea Enabling
Microsoft Antimalware User Interface on Azure Resource Manager VMs Post Deployment (Habilitación de la
interfaz de usuario de Microsoft Antimalware en máquinas virtuales de Azure Resource Manager tras la
implementación) para más información sobre cómo habilitarla si necesita hacerlo.

Solución de problemas al cargar el panel

Si experimenta problemas al cargar el panel de Security Center, asegúrese de que el usuario que registra la
suscripción a Security Center (es decir, el primer usuario que abrió Security Center con la suscripción) y el
usuario que desearía activar la recopilación de datos son propietarios o colaboradores en la suscripción. A partir
de ese momento, los usuarios lectores en la suscripción también podrán ver el panel, las alertas, las
recomendaciones y las directivas.
Contacto con el soporte técnico de Microsoft
Algunos problemas pueden identificarse mediante las instrucciones proporcionadas en este artículo; también
puede encontrar otros en la Página de preguntas y respuestas de Microsoft pública de Security Center. Sin
embargo, si necesita más información para solucionar el problema, puede abrir una nueva solicitud de soporte
técnico mediante Azure Por tal , como se indica a continuación:

Consulte también
En este documento ha aprendido a configurar directivas de seguridad en Azure Security Center. Para obtener
más información sobre Azure Security Center, consulte los siguientes recursos:
Guía de planeamiento y operaciones de Azure Security Center: aprenda a planear y conozca las
consideraciones de diseño necesarias para usar Azure Security Center.
Administración y respuesta a las alertas de seguridad en Azure Security Center: obtenga información sobre
cómo administrar y responder a alertas de seguridad.
Descripción de las alertas de seguridad en Azure Security Center
Tutorial: Respuesta a incidentes de seguridad
Validación de alertas en Azure Security Center
Notificaciones de correo electrónico en Azure Security Center
Control de incidentes de seguridad en Azure Security Center
Funcionalidades de detección de Azure Security Center
Supervisión de las soluciones de asociados con Azure Security Center: aprenda a supervisar el estado de
mantenimiento de las soluciones de asociados.
Preguntas más frecuentes sobre Azure Security Center: encuentre las preguntas más frecuentes sobre el uso
del servicio.
Blog de seguridad de Azure: encuentre entradas de blog sobre el cumplimiento y la seguridad de Azure.