Preguntas generales
¿Qué es Microsoft Defender for Cloud?
Microsoft Defender for Cloud ayuda a evitar, detectar y responder a amenazas con mayor visibilidad y control sobre la seguridad de los recursos. Proporciona administración de directivas y supervisión de la seguridad integrada en las suscripciones, ayuda a detectar las amenazas que podrían pasar desapercibidas y funciona con un amplio ecosistema de soluciones de seguridad.
Defender for Cloud usa componentes de supervisión para recopilar y almacenar datos. Para obtener más información detallada, consulte la colección Data en Microsoft Defender for Cloud.
¿Cómo puedo obtener Microsoft Defender for Cloud?
Microsoft Defender for Cloud está habilitado con la suscripción de Microsoft Azure y se accede desde el portal de Azure. Para acceder a ella, inicie sesión en el portal, seleccione Explorar y desplácese hasta Defender for Cloud.
¿Hay una versión de prueba de Defender for Cloud?
Defender for Cloud es gratis durante los primeros 30 días. Cualquier uso superior a 30 días se cobra automáticamente según el esquema de precios. Más información. Tenga en cuenta que el examen de malware en Defender para Storage no se incluye de forma gratuita en la primera prueba de 30 días y se le cobrará desde el primer día.
¿Qué recursos de Azure supervisa Microsoft Defender for Cloud?
Microsoft Defender for Cloud supervisa los siguientes recursos de Azure:
- Máquinas virtuales (incluyendo Servicios en la nube)
- Virtual Machine Scale Sets
- Los muchos servicios paaS de Azure enumerados en la introducción al producto
Defender for Cloud también protege los recursos locales y multinube, incluidos Amazon AWS y Google Cloud.
¿Cómo puedo ver el estado de seguridad actual de mis Azure, multinube y recursos locales?
La página Defender for Cloud Información general muestra la posición de seguridad general de su entorno desglosada por Proceso, Redes, Almacenamiento y Datos y Aplicaciones. Cada tipo de recurso tiene un indicador que muestra las vulnerabilidades de seguridad identificadas. Al seleccionar cada icono se muestra una lista de problemas de seguridad identificados por Defender for Cloud, junto con un inventario de los recursos de la suscripción.
¿Qué es una iniciativa de seguridad?
Una iniciativa de seguridad define el conjunto de controles (directivas) recomendados para los recursos de una suscripción específica. En Microsoft Defender for Cloud, asigna iniciativas para sus suscripciones de Azure, cuentas de AWS y proyectos de GCP según los requisitos de seguridad de su empresa y el tipo de aplicaciones o sensibilidad de los datos de cada suscripción.
Las directivas de seguridad habilitadas en Microsoft Defender for Cloud impulsan las recomendaciones de seguridad y la supervisión. Obtenga más información en ¿Qué son las directivas de seguridad, las iniciativas y las recomendaciones?
¿Quién puede modificar una directiva de seguridad?
Para modificar una directiva de seguridad, debe ser Administrador de seguridad o Propietario de esa suscripción.
Para obtener información sobre cómo configurar una directiva de seguridad, consulte Setting security policies in Microsoft Defender for Cloud.
¿Qué es una recomendación de seguridad?
Microsoft Defender for Cloud analiza el estado de seguridad de los recursos de Azure, multinube y locales. Las recomendaciones se crean una vez que se identifican las posibles vulnerabilidades de seguridad. Las recomendaciones le guían en el proceso de configurar el control necesario. Algunos ejemplos son:
- Aprovisionamiento de antimalware para ayudar a identificar y eliminar software malintencionado.
- Grupos de seguridad de red y reglas para controlar el tráfico a las máquinas virtuales.
- Aprovisionamiento de un firewall de aplicaciones web para ayudar a defenderse contra ataques dirigidos a las aplicaciones web.
- Implementación de actualizaciones del sistema que faltan.
- Resolución de las configuraciones de sistema operativo que no coinciden con las líneas de base recomendadas
Aquí solo se muestran las recomendaciones habilitadas en las directivas de seguridad.
¿Qué desencadena una alerta de seguridad?
Microsoft Defender for Cloud recopila, analiza y fusiona automáticamente los datos de registro de sus Azure, multinube y recursos locales, la red y las soluciones de asociados, como antimalware y firewalls. Cuando se detecten amenazas, se creará una alerta de seguridad. Como ejemplos se incluye la detección de:
- Máquinas virtuales en peligro que se comunican con direcciones IP malintencionadas conocidas.
- Malware avanzado detectado mediante informes de errores de Windows
- Ataques por fuerza bruta contra máquinas virtuales.
- Alertas de seguridad de soluciones de seguridad integradas de socios, como antimalware o firewalls de aplicaciones web.
¿Cuál es la diferencia entre las amenazas detectadas y las alertas de Centro de respuestas de seguridad de Microsoft frente a Microsoft Defender for Cloud?
El Centro de respuestas de seguridad de Microsoft (MSRC) realiza una selección de la supervisión de seguridad de la red y la infraestructura de Azure y recibe información sobre amenazas y quejas de abuso de terceros. Cuando MSRC conoce que un usuario ilegal o no autorizado ha accedido a los datos del cliente o que el uso de Azure del cliente no cumple los términos de uso aceptable, un administrador de incidentes de seguridad notifica al cliente. Normalmente, la notificación se produce mediante el envío de un correo electrónico a los contactos de seguridad especificados en Microsoft Defender for Cloud o el propietario de la suscripción Azure si no se especifica un contacto de seguridad.
Defender for Cloud es un servicio de Azure que supervisa continuamente el entorno de Azure, multinube y local del cliente y aplica análisis para detectar automáticamente una amplia gama de actividades potencialmente malintencionadas. Estas detecciones aparecen como alertas de seguridad en el panel de protección de la carga de trabajo.
¿Cómo puedo realizar un seguimiento de quién en mi organización habilitó un plan de Microsoft Defender en Defender for Cloud?
Azure Las suscripciones pueden tener varios administradores con permisos para cambiar la configuración de precios. Para averiguar qué usuario realizó un cambio, use el registro de actividad de Azure.
Si la información del usuario no aparece en la columna Evento iniciado por, explore el JSON del evento para ver los detalles pertinentes.
¿Qué ocurre cuando una recomendación está en varias iniciativas de directivas?
A veces, una recomendación de seguridad aparece en más de una iniciativa de políticas. Si tiene varias instancias de la misma recomendación asignadas a la misma suscripción y crea una exención para la recomendación, afecta a todas las iniciativas para las que tenga permiso de edición.
Si intenta crear una exención para esta recomendación, verá uno de los dos mensajes siguientes:
Si tiene los permisos necesarios para editar ambas iniciativas, verá el siguiente mensaje:
Esta recomendación se incluye en varias iniciativas de directiva: [nombres de iniciativas separados por coma]. Se crearán exenciones en todas ellas.
Si no tiene permisos suficientes en ambas iniciativas, verá este mensaje en su lugar:
Tiene permisos limitados para aplicar la exención en todas las iniciativas de directiva. Las exenciones se crearán solo en las iniciativas con permisos suficientes.
¿Hay recomendaciones que no admitan la exención?
Estas recomendaciones disponibles con carácter general no admiten la exención:
- Todos los tipos de protección contra amenazas avanzada deben habilitarse en la configuración de la seguridad avanzada de datos de las instancias administradas de SQL.
- Todos los tipos de Advanced Threat Protection deben habilitarse en la configuración de Advanced Data Security del servidor SQL Server.
- Auditar el uso de roles RBAC personalizados
- Se deben aplicar los límites de CPU y memoria de los contenedores.
- Las imágenes de contenedor solo deben implementarse desde registros de confianza
- Se deberían evitar los contenedores con escalada de privilegios.
- Deben evitarse los contenedores que comparten espacios de nombres de host confidenciales.
- Los contenedores solo deben escuchar en los puertos permitidos.
- La política de filtro de IP predeterminada debe ser Denegar.
- La supervisión de la integridad de los archivos debe estar habilitada en las máquinas
- El sistema de archivos raíz inmutable (de solo lectura) debe aplicarse para los contenedores.
- Dispositivos IoT: puertos abiertos en el dispositivo.
- Dispositivos IoT: se encontró una directiva de firewall permisiva en una de las cadenas.
- Dispositivos IoT: se encontró una regla de firewall permisiva en la cadena de entrada.
- Dispositivos IoT: se encontró una regla de firewall permisiva en la cadena de salida.
- Intervalo IP amplio de la regla del filtro de IP.
- Los clústeres de Kubernetes solo deben ser accesibles mediante HTTPS
- Los clústeres de Kubernetes deben deshabilitar las credenciales de la API de montaje automático
- Los clústeres de Kubernetes no deben usar el espacio de nombres predeterminado
- Los clústeres de Kubernetes no deben otorgar funcionalidades de seguridad CAPSYSADMIN.
- Deben aplicarse funcionalidades de Linux con privilegios mínimos para los contenedores
- La opción de reemplazar o deshabilitar el perfil de AppArmor de los contenedores debe estar restringida.
- Deben evitarse los contenedores con privilegios.
- Se debe evitar ejecutar contenedores como usuario raíz.
- Los servicios solo deben escuchar en los puertos permitidos.
- Los servidores SQL Server deben tener aprovisionado un administrador de Microsoft Entra
- El uso de puertos y redes de hosts debe estar restringido.
- El uso de montajes de volúmenes HostPath de pod debe restringirse a una lista conocida, con el fin de restringir el acceso a los nodos de los contenedores en peligro
- Las API de Azure API Management deberían incorporarse a Defender para API
- Los puntos de conexión de API sin usar deben deshabilitarse y quitarse de Function Apps (versión preliminar)
- Los puntos de conexión de API sin usar deben deshabilitarse y quitarse de Logic Apps (versión preliminar)
- La autenticación debe estar habilitada en los puntos de conexión de API hospedados en Function Apps (versión preliminar)
- La autenticación debe estar habilitada en los puntos de conexión de API hospedados en Logic Apps (versión preliminar)
¿Existen limitaciones para las protecciones de identidad y acceso de Defender for Cloud?
Existen algunas limitaciones para las protecciones de identidad y acceso de Defender for Cloud:
- Las recomendaciones de identidad no están disponibles para las suscripciones con más de 6000 cuentas. En estos casos, estos tipos de suscripciones se muestran en la pestaña No aplicable.
- Las recomendaciones de identidad no están disponibles para los agentes administradores de los socios de Proveedor de soluciones en la nube (CSP).
- Las recomendaciones de identidad evalúan las asignaciones de roles, incluidas las asignaciones aptas para PIM, pero actualmente no diferencian el riesgo en función de los flujos de trabajo de activación de PIM ni de los requisitos de aprobación. Esto puede dar lugar a hallazgos que incluyen identidades administradas por PIM.
- Las recomendaciones de identidad no admiten directivas de acceso condicional de Microsoft Entra con roles de directorio incluidos, en lugar de usuarios y grupos.
¿Qué sistemas operativos son compatibles con las instancias de EC2?
Para obtener una lista de las AMI con el agente de SSM preinstalado, vea esta página en la documentación de AWS.
Para otros sistemas operativos, el agente de SSM debe instalarse manualmente con las instrucciones siguientes:
En el caso del plan CSPM, ¿qué permisos de IAM se necesitan para detectar recursos de AWS?
Se necesitan los siguientes permisos de IAM para detectar recursos de AWS:
| Recopilador de datos | Permisos de AWS |
|---|---|
| Puerta de enlace de API | apigateway:GET |
| Escalado automático de aplicaciones | application-autoscaling:Describe* |
| Ajuste de escala automático | autoscaling-plans:Describe* autoscaling:Describe* |
| Administrador de certificados | acm-pca:Describe* acm-pca:List* acm:Describe* acm:List* |
| CloudFormation | cloudformation:Describe* cloudformation:List* |
| CloudFront | cloudfront:DescribeFunction cloudfront:GetDistribution cloudfront:GetDistributionConfig cloudfront:List* |
| CloudTrail | cloudtrail:Describe* cloudtrail:GetEventSelectors cloudtrail:List* cloudtrail:LookupEvents |
| CloudWatch | cloudwatch:Describe* cloudwatch:List* |
| registros de CloudWatch | logs:DescribeLogGroups logs:DescribeMetricFilters |
| CodeBuild | codebuild:DescribeCodeCoverages codebuild:DescribeTestCases codebuild:List* |
| Servicio de Configuración | config:Describe* config:List* |
| DMS: Database Migration Service | dms:Describe* dms:List* |
| DAX | dax:Describe* |
| DynamoDB | dynamodb:Describe* dynamodb:List* |
| Ec2 | ec2:Describe* ec2:GetEbsEncryptionByDefault |
| ECR | ecr:Describe* ecr:List* |
| ECS | ecs:Describe* ecs:List* |
| Sistema de Archivos Cifrados (EFS) | elasticfilesystem:Describe* |
| EKS | eks:Describe* eks:List* |
| Elastic Beanstalk | elasticbeanstalk:Describe* elasticbeanstalk:List* |
| ELB: Equilibrio de carga elástico (v1/2) | elasticloadbalancing:Describe* |
| Búsqueda elástica | es:Describe* es:List* |
| EMR: reducción del mapa elástico | elasticmapreduce:Describe* elasticmapreduce:GetBlockPublicAccessConfiguration elasticmapreduce:List* elasticmapreduce:View* |
| GuardDuty | guardduty:DescribeOrganizationConfiguration guardduty:DescribePublishingDestination guardduty:List* |
| IAM | iam:Generate* iam:Get* iam:List* iam:Simulate* |
| KMS | kms:Describe* kms:List* |
| Lambda | lambda:GetPolicy lambda:List* |
| Firewall de red | network-firewall:DescribeFirewall network-firewall:DescribeFirewallPolicy network-firewall:DescribeLoggingConfiguration network-firewall:DescribeResourcePolicy network-firewall:DescribeRuleGroup network-firewall:DescribeRuleGroupMetadata network-firewall:ListFirewallPolicies network-firewall:ListFirewalls network-firewall:ListRuleGroups network-firewall:ListTagsForResource |
| RDS | rds:Describe* rds:List* |
| RedShift | redshift:Describe* |
| S3 y S3Control | s3:DescribeJob s3:GetEncryptionConfiguration s3:GetBucketPublicAccessBlock s3:GetBucketTagging s3:GetBucketLogging s3:GetBucketAcl s3:GetBucketLocation s3:GetBucketPolicy s3:GetReplicationConfiguration s3:GetAccountPublicAccessBlock s3:GetObjectAcl s3:GetObjectTagging s3:List* |
| SageMaker | sagemaker:Describe* sagemaker:GetSearchSuggestions sagemaker:List* sagemaker:Search |
| Gestor de Secretos | secretsmanager:Describe* secretsmanager:List* |
| Servicio de notificación simple (SNS) | sns:Check* sns:List* |
| SSM | ssm:Describe* ssm:List* |
| SQS | sqs:List* sqs:Receive* |
| STS | sts:GetCallerIdentity |
| WAF | waf-regional:Get* waf-regional:List* waf:List* wafv2:CheckCapacity wafv2:Describe* wafv2:List* |
¿Hay alguna API para conectar mis recursos de GCP a Defender for Cloud?
Sí. Para crear, editar o eliminar conectores en la nube Defender for Cloud con una API REST, consulte los detalles de la API de Connectors.
¿Qué regiones de GCP admite Defender for Cloud?
Defender for Cloud admite y examina todas las regiones disponibles en la nube pública de GCP.
¿La automatización de flujos de trabajo es compatible con los escenarios de continuidad empresarial o recuperación ante desastres (BCDR)?
Al preparar el entorno para escenarios de BCDR, donde el recurso de destino está experimentando una interrupción u otro desastre, es responsabilidad de la organización evitar la pérdida de datos mediante el establecimiento de copias de seguridad según las directrices de Azure Event Hubs, Log Analytics área de trabajo y Logic Apps.
Para cada automatización activa, se recomienda crear una automatización idéntica (deshabilitada) y almacenarla en una ubicación diferente. Cuando se produce una interrupción, puede habilitar las automatizaciones de respaldo y mantener las operaciones normales.
Obtenga más información sobre Business continuidad y recuperación ante desastres para Azure Logic Apps.
¿Cuáles son los costos de la exportación de datos?
La habilitación de una exportación continua no tiene costo alguno. Es posible que se produzcan costos para la ingesta y retención de datos en el área de trabajo de Log Analytics, en función de la configuración allí.
Muchas alertas solo se proporcionan cuando habilitas los planes Defender para tus recursos. Una buena manera de obtener una vista previa de las alertas que obtiene en los datos exportados es ver las alertas que se muestran en las páginas de Defender for Cloud en el portal de Azure.
Obtenga más información sobre los precios del área de trabajo de Log Analytics.
Obtenga más información sobre los precios de Azure Event Hubs.
Para obtener información general sobre los precios de Defender for Cloud, consulte la página pricing.
¿La exportación continua incluye datos sobre el estado actual de todos los recursos?
No. La exportación continua está diseñada para el streaming de eventos:
- Las alertas recibidas antes de habilitar la exportación no se exportan.
- Se envían recomendaciones cuando cambia el estado de cumplimiento de un recurso. Por ejemplo, cuando un recurso pasa de un estado correcto a otro incorrecto. Por lo tanto, como sucede con las alertas, no se exportarán las recomendaciones para los recursos que no hayan cambiado de estado desde que se habilitó la exportación.
- La puntuación de seguridad por control de seguridad o suscripción se envía cuando cambia la puntuación de un control de seguridad en 0,01 o más.
- El estado de cumplimiento normativo se envía cuando cambia el estado del cumplimiento del recurso.
¿Por qué se envían recomendaciones en distintos intervalos?
Las distintas recomendaciones tienen diferentes intervalos de evaluación del cumplimiento, que pueden ir desde cada pocos minutos hasta cada pocos días. Por lo tanto, la cantidad de tiempo que tardan las recomendaciones en aparecer en las exportaciones varía.
¿Cómo puedo obtener una consulta de ejemplo para una recomendación?
Para obtener una consulta de ejemplo para una recomendación, abra la recomendación en Defender for Cloud, seleccione Open query y, a continuación, seleccione Query que devuelve resultados de seguridad.
¿La exportación continua es compatible con los escenarios de continuidad del negocio o recuperación ante desastres (BCDR)?
La exportación continua puede resultar útil en la preparación para escenarios de BCDR en los que el recurso de destino está experimentando una interrupción u otro desastre. Sin embargo, es responsabilidad de la organización evitar la pérdida de datos mediante el establecimiento de copias de seguridad según las directrices de Azure Event Hubs, Log Analytics área de trabajo y Aplicación lógica.
Obtenga más información en Azure Event Hubs: recuperación ante desastres geográfica.
¿Puedo actualizar varios planes mediante programación en una sola suscripción de forma simultánea?
No se recomienda actualizar mediante programación varios planes en una sola suscripción de forma simultánea (a través de la API REST, plantillas de ARM, scripts, etc.). Al usar el Microsoft. API de seguridad y precios o cualquier otra solución mediante programación, debe insertar un retraso de 10 a 15 segundos entre cada solicitud.
Cuando se habilita el acceso predeterminado, ¿en qué situaciones necesito volver a ejecutar la plantilla de Formación en la nube, Cloud Shell script o plantilla de Terraform?
Las modificaciones en los planes de Defender para la Nube o en sus opciones, incluidas las características de esos planes, requieren ejecutar la plantilla de implementación. Esto se aplica independientemente del tipo de permiso seleccionado durante la creación del conector de seguridad. Si se han cambiado las regiones, como en esta captura de pantalla, no es necesario volver a ejecutar la plantilla de Formación en la nube ni Cloud Shell script.
Al configurar los tipos de permisos, el acceso con privilegios mínimos admite características disponibles en el momento en que se ejecutó la plantilla o el script. Los nuevos tipos de recursos solo se pueden admitir al volver a ejecutar la plantilla o el script.
Si cambio la región o el intervalo de examen de mi conector de AWS, ¿es necesario volver a ejecutar la plantilla de CloudFormation o Cloud Shell script?
No, si se cambia la región o el intervalo de examen, no es necesario volver a ejecutar la plantilla de CloudFormation ni Cloud Shell script. Los cambios se aplicarán automáticamente.
¿Cómo funciona la incorporación de una organización o una cuenta de administración de AWS para Microsoft Defender for Cloud?
La incorporación de una organización o una cuenta de administración para Microsoft Defender for Cloud inicia el proceso de implementar un StackSet. StackSet incluye los roles y permisos necesarios. StackSet también propaga los permisos necesarios en todas las cuentas de la organización.
Los permisos incluidos permiten que Microsoft Defender for Cloud entreguen las características de seguridad seleccionadas a través del conector creado en Defender for Cloud. Los permisos también permiten a Defender for Cloud supervisar continuamente todas las cuentas que se pueden agregar mediante el servicio de aprovisionamiento automático.
Defender for Cloud es capaz de identificar la creación de nuevas cuentas de administración y puede aprovechar los permisos concedidos para aprovisionar automáticamente un conector de seguridad de miembro equivalente para cada cuenta miembro.
Esta característica solo está disponible para la incorporación organizativa y permite a Defender for Cloud crear conectores para cuentas recién agregadas. La característica también permite Defender for Cloud editar todos los conectores de miembro cuando se edita la cuenta de administración, eliminar todas las cuentas de miembro cuando se elimina la cuenta de administración y quitar una cuenta de miembro específica si se quita la cuenta correspondiente.
Se debe desplegar un stack independiente específicamente para la cuenta de gestión.
Sin agente
¿El escaneo sin agente examina las máquinas virtuales desasignadas?
No. El examen sin agente no examina las máquinas virtuales desasignadas.
¿La exploración sin agente examina el disco del sistema operativo y los discos de datos?
Sí. El análisis sin agente examina tanto el disco del sistema operativo como los discos de datos.
¿Qué hora del día se examina mi máquina virtual, incluida la hora de inicio y finalización?
La hora del día es dinámica y puede cambiar en distintas suscripciones y cuentas.
¿Hay datos de telemetría relacionados con la instantánea copiada?
En AWS, las operaciones de la cuenta del cliente son rastreables a través de CloudTrail.
¿Qué datos se recopilan de instantáneas?
El análisis sin agente recopila datos similares a los datos que recopila un agente para realizar el mismo análisis. Los datos sin procesar, los PIIs o los datos empresariales confidenciales no se recopilan y solo se envían los resultados de metadatos a Defender for Cloud.
¿Dónde se copian las instantáneas de disco?
El análisis de las instantáneas tiene lugar en entornos seguros administrados por Defender for Cloud.
Los entornos son regionales en varias nubes, de modo que las instantáneas permanecen en la misma región de nube que la máquina virtual de la que se originaron (por ejemplo, una instantánea de una instancia ec2 en oeste de EE. UU. se analizan en la misma región, sin copiarse en otra región o nube).
El entorno de examen en el que se analizan los discos es volátil, aislado y altamente seguro.
¿Cómo se gestiona la instantánea de disco en la cuenta de Microsoft? ¿Puede Microsoft compartir los principios de seguridad y privacidad de la plataforma de análisis sin agente?
La plataforma de escaneo sin agente se audita y se asegura que cumple con los rigurosos estándares de privacidad y seguridad de Microsoft. Algunas de las medidas adoptadas son (no una lista completa):
- Aislamiento físico por región, aislamiento adicional por cliente y suscripción
- Cifrado E2E en reposo y en tránsito
- Instantáneas de disco purgadas inmediatamente después del examen
- Solo los metadatos (es decir, los resultados de seguridad) dejan el entorno de escaneo aislado.
- El entorno de escaneo es autónomo.
- Todas las operaciones se auditan internamente
¿Cuáles son los costos relacionados con el examen sin agente?
El análisis sin agente se incluye en Defender Cloud Security Posture Management (CSPM) y Defender para los planes P2 de servidores. Ningún otro costo incurre en Defender for Cloud al habilitarlo.
Nota:
Aws cobra por la retención de instantáneas de disco. El proceso de examen de Defender for Cloud intenta minimizar activamente el período durante el cual se almacena una instantánea en la cuenta (normalmente hasta unos minutos). AWS podría cobrar un costo de sobrecarga para el almacenamiento de instantáneas de disco. Consulte con AWS para ver qué costos se aplican a usted.
¿Cómo puedo realizar un seguimiento de los costos de AWS generados por las instantáneas de disco creadas por el escaneo sin agente de Defender for Cloud?
Las instantáneas de disco se generan con la clave de etiqueta CreatedBy y el valor de etiqueta Microsoft Defender for Cloud. La CreatedBy etiqueta realiza un seguimiento de quién creó el recurso.
Debe activar las etiquetas en la consola de Facturación y Administración de costos. Las etiquetas pueden tardar hasta 24 horas en activarse.