Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Esta página es un índice de Azure Policy definiciones de directiva integradas relacionadas con Microsoft Defender for Cloud. Están disponibles las siguientes agrupaciones de definiciones de directivas:
- El grupo iniciativos enumera las definiciones de iniciativa Azure Policy en la categoría "Defender for Cloud".
- El grupo default enumera todas las definiciones de Azure Policy que forman parte de la iniciativa predeterminada de Defender for Cloud, Microsoft banco de pruebas de seguridad en la nube. Este banco de pruebas ampliamente respetado y creado Microsoft se basa en los controles del Center for Internet Security (CIS) y el National Institute of Standards and Technology (NIST) con un enfoque en la seguridad centrada en la nube.
- El grupo category enumera todas las definiciones de Azure Policy de la categoría "Defender for Cloud".
Para más información acerca de las directivas de seguridad, consulte Uso de directivas de seguridad. Para ver otros Azure Policy integrados para otros servicios, consulte Azure Policy definiciones integradas.
El nombre de cada definición de directiva integrada se vincula a la definición de directiva en el portal de Azure. Use el vínculo de la columna Version para ver el origen en el repositorio Azure Policy GitHub.
iniciativas de Microsoft Defender for Cloud
Para obtener información sobre las iniciativas integradas supervisadas por Defender for Cloud, consulte la tabla siguiente:
| Name | Description | Policies | Version |
|---|---|---|---|
| [Versión preliminar]: Implementación del agente de Microsoft Defender para punto de conexión | Implemente Microsoft Defender para punto de conexión agente en las imágenes aplicables. | 4 | 1.0.0-preview |
| [versión preliminar]: Microsoft prueba comparativa de seguridad en la nube v2 | La iniciativa de pruebas comparativas de seguridad en la nube Microsoft representa las directivas y los controles que implementan recomendaciones de seguridad definidas en Microsoft banco de pruebas de seguridad en la nube, consulte https://aka.ms/azsecbm. Esto también sirve como iniciativa de directiva predeterminada de Microsoft Defender for Cloud. Puede asignar directamente esta iniciativa o administrar sus directivas y resultados de cumplimiento en Microsoft Defender for Cloud. | 414 | 1.3.0-preview |
| Configurar Protección contra amenazas avanzada habilitar en bases de datos relacionales de código abierto | Habilite Protección contra amenazas avanzada en las bases de datos relacionales de código abierto que no son de nivel Básico para detectar actividades anómalas que indican intentos inusuales y potencialmente dañinos de acceder o aprovechar las bases de datos. Vea https://aka.ms/AzDforOpenSourceDBsDocu. | 5 | 1.2.0 |
| Configurar Azure Defender habilitar en sql Server e instancias administradas de SQL | Habilite Azure Defender en los servidores SQL Server e Instancias administradas de SQL para detectar actividades anómalas que indican intentos inusuales y potencialmente dañinos de acceder o aprovechar las bases de datos. | 3 | 3.0.0 |
| Configurar planes de Microsoft Defender for Cloud | Microsoft Defender for Cloud proporciona protecciones completas nativas de la nube del desarrollo al tiempo de ejecución en entornos de varias nubes. Use la iniciativa de directiva para configurar Defender for Cloud planes y extensiones que se van a habilitar en los ámbitos seleccionados. | 12 | 1.1.0 |
| Configure Microsoft Defender for Databases to be enabled | Configure Microsoft Defender para bases de datos para proteger las bases de datos de Azure SQL, las instancias administradas, las bases de datos relacionales de código abierto y Cosmos DB. | 4 | 1.0.0 |
| Configurar varias opciones de integración de Microsoft Defender para punto de conexión con Microsoft Defender for Cloud | Configure las opciones de integración de varios Microsoft Defender para punto de conexión con Microsoft Defender for Cloud (WDATP, WDATP_EXCLUDE_LINUX_PUBLIC_PREVIEW, WDATP_UNIFIED_SOLUTION etc.). Consulte https://dori-uw-1.kuma-moon.com/azure/defender-for-cloud/integration-defender-for-endpoint para obtener más información. | 3 | 1.0.0 |
| Configurar máquinas virtuales sql y servidores SQL Server habilitados para Arc para instalar Microsoft Defender extensión | Microsoft Defender para SQL recopila eventos de los agentes y los usa para proporcionar alertas de seguridad y tareas de protección personalizadas (recomendaciones). | 3 | 1.0.0 |
| Configurar máquinas virtuales sql y servidores SQL Server habilitados para Arc para instalar Microsoft Defender para SQL y AMA con un área de trabajo de LA | Microsoft Defender para SQL recopila eventos de los agentes y los usa para proporcionar alertas de seguridad y tareas de protección personalizadas (recomendaciones). Crea un grupo de recursos y una regla de recopilación de datos y Log Analytics área de trabajo en la misma región que la máquina. | 9 | 1.3.0 |
| Configurar máquinas virtuales sql y servidores SQL Server habilitados para Arc para instalar Microsoft Defender para SQL y AMA con un área de trabajo de LA definida por el usuario | Microsoft Defender para SQL recopila eventos de los agentes y los usa para proporcionar alertas de seguridad y tareas de protección personalizadas (recomendaciones). Crea un grupo de recursos y una regla de recopilación de datos en la misma región que el área de trabajo de Log Analytics definida por el usuario. | 8 | 1.2.0 |
| Microsoft banco de pruebas de seguridad en la nube | La iniciativa de pruebas comparativas de seguridad en la nube Microsoft representa las directivas y los controles que implementan recomendaciones de seguridad definidas en Microsoft banco de pruebas de seguridad en la nube, consulte https://aka.ms/azsecbm. Esto también sirve como iniciativa de directiva predeterminada de Microsoft Defender for Cloud. Puede asignar directamente esta iniciativa o administrar sus directivas y resultados de cumplimiento en Microsoft Defender for Cloud. | 223 | 57.56.0 |
iniciativa predeterminada de Defender for Cloud (Microsoft banco de pruebas de seguridad en la nube)
Para obtener información sobre las directivas integradas supervisadas por Defender for Cloud, consulte la tabla siguiente:
| Nombre de la política (Azure portal) |
Description | Effect(s) | Version (GitHub) |
|---|---|---|---|
| Azure Security Center ha identificado que algunas de las subredes no están protegidas con un firewall de próxima generación. Proteja las subredes frente a posibles amenazas mediante la restricción del acceso a ellas con Azure Firewall o un firewall de próxima generación compatible | AuditIfNotExists, Deshabilitado | 3.0.0-preview | |
| [Versión preliminar]: los clústeres de Kubernetes habilitados para Azure Arc deben tener instalada la extensión Microsoft Defender for Cloud | Microsoft Defender for Cloud extensión para Azure Arc proporciona protección contra amenazas para los clústeres de Kubernetes habilitados para Arc. La extensión recopila datos de todos los nodos del clúster y los envía al Azure Defender para el back-end de Kubernetes en la nube para su posterior análisis. Puede encontrar más información en https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc. | AuditIfNotExists, Deshabilitado | 6.0.0-preview |
| [versión preliminar]: Azure servidor flexible de PostgreSQL debe tener habilitada la autenticación solo Microsoft Entra | Deshabilitar los métodos de autenticación local y permitir solo Microsoft Entra autenticación mejora la seguridad al asegurarse de que Azure servidor flexible de PostgreSQL pueda acceder exclusivamente a ellas Microsoft Entra identidades. | Auditar, Deshabilitado | 1.0.0-preview |
| [versión preliminar]: Azure Stack los servidores HCI deben tener directivas de control de aplicaciones coherentes | Como mínimo, aplique la directiva base de Microsoft WDAC en modo aplicado en todos los servidores HCI de Azure Stack. Las directivas de control de aplicaciones (WDAC) aplicadas Windows Defender deben ser coherentes entre los servidores del mismo clúster. | Audit, Disabled, AuditIfNotExists | 1.0.0-preview |
| [versión preliminar]: Azure Stack los servidores HCI deben cumplir los requisitos de núcleos seguros | Asegúrese de que todos los servidores de HCI de Azure Stack cumplen los requisitos básicos protegidos. Para habilitar los requisitos del servidor de núcleo protegido: 1. En la página clústeres de Azure Stack HCI, vaya a Windows Admin Center y seleccione Conectar. 2. Vaya a la extensión Seguridad y seleccione Núcleo protegido. 3. Seleccione cualquier configuración que no esté habilitada y haga clic en Habilitar. | Audit, Disabled, AuditIfNotExists | 1.0.0-preview |
| [Versión preliminar]: Azure Stack los sistemas HCI deben tener volúmenes cifrados | Use BitLocker para cifrar los volúmenes de datos y del sistema operativo en Azure Stack sistemas HCI. | Audit, Disabled, AuditIfNotExists | 1.0.0-preview |
| [Versión preliminar]: la extensión de atestación de invitados debe estar instalada en las máquinas virtuales Linux admitidas | Instale la extensión de atestación de invitado en máquinas virtuales Linux compatibles para permitir que Azure Security Center atestiguar y supervisar de forma proactiva la integridad del arranque. Una vez instalada, la integridad del arranque se atestiguará mediante la atestación remota. Esta evaluación se aplica a las máquinas virtuales Linux confidenciales y de inicio seguro. | AuditIfNotExists, Deshabilitado | 6.0.0-preview |
| [Versión preliminar]: la extensión de atestación de invitados debe estar instalada en los conjuntos de escalado de máquinas virtuales Linux admitidos | Instale la extensión de atestación de invitado en los conjuntos de escalado de máquinas virtuales Linux compatibles para permitir que Azure Security Center atestiguar y supervisar de forma proactiva la integridad del arranque. Una vez instalada, la integridad del arranque se atestiguará mediante la atestación remota. Esta evaluación se aplica a los conjuntos de escalado de máquinas virtuales Linux confidenciales y de inicio seguro. | AuditIfNotExists, Deshabilitado | 5.1.0-preview |
| [versión preliminar]: La extensión de atestación de invitado debe instalarse en máquinas virtuales Windows compatibles | Instale la extensión de atestación de invitado en máquinas virtuales compatibles para permitir que Azure Security Center atestiguar y supervisar de forma proactiva la integridad del arranque. Una vez instalada, la integridad del arranque se atestiguará mediante la atestación remota. Esta evaluación se aplica a las máquinas virtuales de inicio seguro y confidencial Windows. | AuditIfNotExists, Deshabilitado | 4.0.0-preview |
| [versión preliminar]: la extensión de atestación de invitado debe instalarse en conjuntos de escalado de máquinas virtuales compatibles Windows | Instale la extensión de atestación de invitado en los conjuntos de escalado de máquinas virtuales compatibles para permitir que Azure Security Center atestiguar y supervisar de forma proactiva la integridad del arranque. Una vez instalada, la integridad del arranque se atestiguará mediante la atestación remota. Esta evaluación se aplica al inicio seguro y confidencial Windows conjuntos de escalado de máquinas virtuales. | AuditIfNotExists, Deshabilitado | 3.1.0-preview |
| [Versión preliminar]: Las redes de host y máquina virtual deben estar protegidas en sistemas HCI de Azure Stack | Proteja los datos en la red de hosts de Azure Stack HCI y en las conexiones de red de máquinas virtuales. | Audit, Disabled, AuditIfNotExists | 1.0.0-preview |
| [Versión preliminar]: las máquinas virtuales Linux solo deberían usar componentes de arranque firmados y de confianza | Todos los componentes de arranque del sistema operativo (cargador de arranque, kernel y controladores de kernel) deben estar firmados por editores de confianza. Defender for Cloud ha identificado componentes de arranque del sistema operativo que no son de confianza en una o varias de las máquinas Linux. Para proteger las máquinas de componentes potencialmente malintencionados, agréguelas a la lista de permitidos o quite los componentes identificados. | AuditIfNotExists, Deshabilitado | 1.0.0-preview |
| [Versión preliminar]: el agente de recopilación de datos de tráfico de red debe instalarse en máquinas virtuales Linux | Security Center usa el Microsoft Dependency Agent para recopilar datos de tráfico de red de las máquinas virtuales de Azure para habilitar características avanzadas de protección de red, como la visualización del tráfico en el mapa de red, recomendaciones de protección de red y amenazas de red específicas. | AuditIfNotExists, Deshabilitado | 1.0.2-preview |
| [versión preliminar]: El agente de recopilación de datos de tráfico de red debe instalarse en máquinas virtuales Windows | Security Center usa el Microsoft Dependency Agent para recopilar datos de tráfico de red de las máquinas virtuales de Azure para habilitar características avanzadas de protección de red, como la visualización del tráfico en el mapa de red, recomendaciones de protección de red y amenazas de red específicas. | AuditIfNotExists, Deshabilitado | 1.0.2-preview |
| [versión preliminar]: El arranque seguro debe estar habilitado en máquinas virtuales Windows compatibles | Habilite el arranque seguro en máquinas virtuales admitidas Windows para mitigar los cambios malintencionados y no autorizados en la cadena de arranque. Una vez habilitado, solo se permitirá la ejecución de cargadores de arranque de confianza, del kernel y de controladores de kernel. Esta evaluación se aplica a las máquinas virtuales de inicio seguro y confidencial Windows. | Auditar, Deshabilitado | 4.0.0-preview |
| [Versión preliminar]: vTPM debe estar habilitado en las máquinas virtuales admitidas | Habilite el dispositivo TPM virtual en máquinas virtuales compatibles para facilitar el arranque medido y otras características de seguridad del sistema operativo que requieren un TPM. Una vez habilitado, vTPM se puede usar para atestiguar la integridad del arranque. Esta evaluación solo se aplica a las máquinas virtuales habilitadas para el inicio seguro. | Auditar, Deshabilitado | 2.0.0-preview |
| Debe designar un máximo de tres propietarios para la suscripción | Se recomienda que designe a un máximo de tres propietarios de suscripción para reducir el riesgo de una brecha de seguridad por parte de un propietario en peligro. | AuditIfNotExists, Deshabilitado | 3.0.0 |
| A administrador de Microsoft Entra debe aprovisionarse para servidores MySQL | Audite el aprovisionamiento de un administrador de Microsoft Entra para el servidor MySQL para habilitar la autenticación de Microsoft Entra. Microsoft Entra autenticación permite la administración simplificada de permisos y la administración centralizada de identidades de los usuarios de la base de datos y otros servicios Microsoft | AuditIfNotExists, Deshabilitado | 1.1.1 |
| A administrador de Microsoft Entra debe aprovisionarse para servidores PostgreSQL | Audite el aprovisionamiento de un administrador de Microsoft Entra para el servidor postgreSQL para habilitar la autenticación Microsoft Entra. Microsoft Entra autenticación permite la administración simplificada de permisos y la administración centralizada de identidades de los usuarios de la base de datos y otros servicios Microsoft | AuditIfNotExists, Deshabilitado | 1.0.1 |
| Debe habilitarse una solución de evaluación de vulnerabilidades en sus máquinas virtuales | Audita las máquinas virtuales para detectar si ejecutan una solución de evaluación de vulnerabilidades admitida. Un componente fundamental de cada programa de seguridad y riesgo cibernético es la identificación y el análisis de las vulnerabilidades. Azure Security Center plan de tarifa estándar incluye el examen de vulnerabilidades de las máquinas virtuales sin costo adicional. Además, Security Center puede implementar automáticamente esta herramienta. | AuditIfNotExists, Deshabilitado | 3.0.0 |
| Todos los puertos de red deben estar restringidos en los grupos de seguridad de red asociados a la máquina virtual | Azure Security Center ha identificado que algunas de las reglas de entrada de los grupos de seguridad de red son demasiado permisivas. Las reglas de entrada no deben permitir el acceso desde los intervalos "Cualquiera" o "Internet". Esto podría permitir que los atacantes pudieran acceder a sus recursos. | AuditIfNotExists, Deshabilitado | 3.0.0 |
| Administrador de Azure Active Directory debe aprovisionarse para servidores SQL Server | Audite el aprovisionamiento de un administrador de Azure Active Directory de SQL Server para habilitar Azure autenticación de AD. Azure autenticación de AD permite la administración simplificada de permisos y la administración centralizada de identidades de los usuarios de la base de datos y otros servicios Microsoft | AuditIfNotExists, Deshabilitado | 1.0.0 |
| los puntos de conexión API en Azure API Management deben autenticarse | Los puntos de conexión de API publicados en Azure API Management deben aplicar la autenticación para ayudar a minimizar el riesgo de seguridad. A veces, los mecanismos de autenticación se implementan incorrectamente o faltan. Esto permite a los atacantes aprovechar los errores de implementación y acceder a los datos. Obtenga más información sobre la amenaza de la API de OWASP para la autenticación de usuario rota aquí: https://dori-uw-1.kuma-moon.com/azure/api-management/mitigate-owasp-api-threats#broken-user-authentication | AuditIfNotExists, Deshabilitado | 1.0.1 |
| los puntos de conexión API que no se usan deben deshabilitarse y quitarse del servicio Azure API Management | Como procedimiento recomendado de seguridad, los puntos de conexión de API que no han recibido tráfico durante 30 días se consideran sin usar y se deben quitar del servicio Azure API Management. Mantener los puntos de conexión de API sin usar puede suponer un riesgo de seguridad para su organización. Estas pueden ser API que deben haber quedado en desuso desde el servicio Azure API Management, pero que pueden haberse dejado activas accidentalmente. Normalmente, estas API no reciben la cobertura de seguridad más actualizada. | AuditIfNotExists, Deshabilitado | 1.0.1 |
| Las API de API Management solo deben usar protocolos cifrados | Para garantizar la seguridad de los datos en tránsito, las API solo deben estar disponibles a través de protocolos cifrados, como HTTPS o WSS. Evite utilizar protocolos no seguros, como HTTP o WS. | Auditar, Deshabilitado, Denegar | 2.0.2 |
| Las llamadas de API Management a las back-end de API deberían autenticarse | Las llamadas de API Management a back-ends deberían usar algún tipo de autenticación, ya sea mediante certificados o credenciales. No se aplica a los back-end de Service Fabric. | Auditar, Deshabilitado, Denegar | 1.0.1 |
| Las llamadas de API Management a las back-end de API no deberían omitir la huella digital del certificado ni la validación de nombres | Para mejorar la seguridad de la API, API Management debe validar el certificado de servidor back-end para todas las llamadas API. Habilite la huella digital del certificado SSL y la validación de nombres. | Auditar, Deshabilitado, Denegar | 1.0.2 |
| El punto de conexión de administración directa de API Management no debe estar habilitado | La API rest de administración directa de Azure API Management omite Azure Resource Manager mecanismos de control de acceso, autorización y limitación basados en rol, lo que aumenta la vulnerabilidad del servicio. | Auditar, Deshabilitado, Denegar | 1.0.2 |
| API Management secret named values debe almacenarse en Azure Key Vault | Los valores con nombre son una colección de pares de nombre y valor en cada servicio de API Management. Los valores secretos se pueden almacenar como texto cifrado en API Management (secretos personalizados) o haciendo referencia a secretos en Azure Key Vault. Para mejorar la seguridad de API Management y los secretos, haga referencia a los valores con nombre del secreto de Azure Key Vault. Azure Key Vault admite directivas granulares de administración de acceso y rotación de secretos. | Auditar, Deshabilitado, Denegar | 1.0.2 |
| Los servicios de API Management deben usar una red virtual | Azure Virtual Network implementación proporciona mayor seguridad, aislamiento y le permite colocar el servicio API Management en una red que no es enrutable a Internet a la que se controla el acceso. Estas redes se pueden conectar a las redes locales mediante diversas tecnologías de VPN, lo que permite el acceso a los servicios de back-end dentro de la red o de forma local. El portal para desarrolladores y la puerta de enlace de API pueden configurarse para que sea accesible desde Internet o solo dentro de la red virtual. | Auditar, Denegar, Deshabilitado | 1.0.2 |
| API Management debe deshabilitar el acceso de red pública a los puntos de conexión de configuración del servicio | Para mejorar la seguridad de los servicios de API Management, restrinja la conectividad a los puntos de conexión de configuración del servicio, como la API de administración directa de acceso, el punto de conexión de administración de configuración de Git o el punto de conexión de configuración de puertas de enlace autohospedadas. | AuditIfNotExists, Deshabilitado | 1.0.1 |
| Las suscripciones de API Management no deben tener como ámbito todas las API | Las suscripciones de API Management deben tener como ámbito un producto o una API individual en lugar de todas las API, lo que podría dar lugar a una exposición excesiva a los datos. | Auditar, Deshabilitado, Denegar | 1.1.0 |
| App Configuration debe usar Private Link | Azure Private Link permite conectar la red virtual a Azure servicios sin una dirección IP pública en el origen o destino. La plataforma private link controla la conectividad entre el consumidor y los servicios a través de la red troncal de Azure. Mediante la asignación de puntos de conexión privados a las instancias de App Configuration en lugar de a todo el servicio, además se protege frente a riesgos de pérdida de datos. Más información en: https://aka.ms/appconfig/private-endpoint. | AuditIfNotExists, Deshabilitado | 1.0.2 |
| Aplicaciones de App Service deben tener habilitados certificados de cliente (certificados de cliente entrantes) | Los certificados de cliente permiten que la aplicación solicite un certificado para las solicitudes entrantes. Solo los clientes que tienen un certificado válido podrán acceder a la aplicación. Esta directiva se aplica a las aplicaciones con la versión Http establecida en 1.1. | AuditIfNotExists, Deshabilitado | 1.0.0 |
| Las aplicaciones de App Service deben tener la depuración remota desactivada | La depuración remota requiere que se abran puertos de entrada en una aplicación de App Service. Se debe desactivar la depuración remota. | AuditIfNotExists, Deshabilitado | 2.0.0 |
| Las aplicaciones de App Service deben tener activados los registros de recursos | Audite la habilitación de los registros de recursos en la aplicación. Esto le permite volver a crear seguimientos de actividad con fines de investigación si se produce un incidente de seguridad o se pone en peligro la red. | AuditIfNotExists, Deshabilitado | 2.0.1 |
| Las aplicaciones de App Service no deberían tener CORS configurado para permitir que todos los recursos accedan a sus aplicaciones | El uso compartido de recursos entre orígenes (CORS) no debe permitir que todos los dominios accedan a la aplicación. Permita la interacción con la aplicación solo de los dominios requeridos. | AuditIfNotExists, Deshabilitado | 2.0.0 |
| Las aplicaciones de App Service solo deben ser accesibles a través de HTTPS | El uso de HTTPS garantiza la autenticación del servicio y el servidor, y protege los datos en tránsito frente a ataques de intercepción de nivel de red. | Auditar, Deshabilitado, Denegar | 4.0.0 |
| Las aplicaciones de App Service deben requerir solo FTPS | Habilite el cumplimiento con FTPS para mejorar la seguridad. | AuditIfNotExists, Deshabilitado | 3.0.0 |
| Las aplicaciones de App Service deben usar la identidad administrada | Usa una identidad administrada para la seguridad de autenticación mejorada. | AuditIfNotExists, Deshabilitado | 3.0.0 |
| Las aplicaciones de App Service deben usar la última versión de TLS | Se publican versiones más recientes de TLS de forma periódica debido a brechas de seguridad, para incluir más funcionalidad e incrementar la velocidad. Actualice a la última versión de TLS para las aplicaciones de App Service con el fin de aprovechar las correcciones de seguridad, en caso de haberlas, o las nuevas funcionalidades de la última versión. | AuditIfNotExists, Deshabilitado | 2.2.0 |
| Auditar el uso de roles RBAC personalizados | Permite auditar roles integrados, como "propietario, colaborador, lector" en lugar de roles RBAC personalizados, que son propensos a errores de auditoría. El uso de roles personalizados se trata como una excepción y requiere una revisión rigurosa y el modelado de amenazas. | Auditar, Deshabilitado | 1.0.1 |
| La auditoría de SQL Server debe estar habilitada | La auditoría en la SQL Server debe estar habilitada para realizar un seguimiento de las actividades de la base de datos en todas las bases de datos del servidor y guardarlas en un registro de auditoría. | AuditIfNotExists, Deshabilitado | 2.0.0 |
| La autenticación en máquinas Linux debe requerir claves SSH. | Aunque el propio SSH proporciona una conexión cifrada, el uso de contraseñas con SSH deja la máquina virtual vulnerable a ataques por fuerza bruta. La opción más segura para autenticarse en una máquina virtual Linux de Azure a través de SSH es con un par de claves pública-privada, también conocido como claves SSH. Más información: https://docs.microsoft.com/azure/virtual-machines/linux/create-ssh-keys-detailed. | AuditIfNotExists, Deshabilitado | 3.2.0 |
| Los intervalos IP autorizados deben definirse en los servicios de Kubernetes | Restrinja el acceso a la API de administración de servicios de Kubernetes mediante la concesión de acceso de API solo a direcciones IP en intervalos específicos. Se recomienda limitar el acceso a los intervalos IP autorizados para garantizar que solo las aplicaciones de las redes permitidas puedan acceder al clúster. | Auditar, Deshabilitado | 2.0.1 |
| Las variables de cuenta de Automation deben cifrarse | Es importante habilitar el cifrado de recursos de variables de cuentas de Automation al almacenar datos confidenciales. | Auditar, Denegar, Deshabilitado | 1.1.0 |
| Azure los recursos de AI Services deben cifrar los datos en reposo con una clave administrada por el cliente (CMK) | El uso de claves administradas por el cliente para cifrar los datos en reposo proporciona más control sobre el ciclo de vida de las claves, incluida la rotación y la administración. Esto es especialmente relevante para las organizaciones con requisitos de cumplimiento relacionados. Esto no se evalúa de forma predeterminada y solo se debe aplicar cuando lo requieran los requisitos de directivas restrictivas o de cumplimiento. Si no está habilitado, los datos se cifrarán mediante claves administradas por la plataforma. Para implementar esto, actualice el parámetro "Effect" en la directiva de seguridad para el ámbito aplicable. | Auditar, Denegar, Deshabilitado | 2.2.0 |
| Azure los recursos de AI Services deben tener deshabilitado el acceso a claves (deshabilitar la autenticación local) | Se recomienda deshabilitar el acceso a las claves (autenticación local) por temas de seguridad. Azure OpenAI Studio, que normalmente se usa en desarrollo y pruebas, requiere acceso a claves y no funcionará si el acceso a la clave está deshabilitado. Después de deshabilitar, Microsoft Entra ID se convierte en el único método de acceso, lo que permite mantener el principio de privilegio mínimo y el control pormenorizado. Más información en: https://aka.ms/AI/auth | Auditar, Denegar, Deshabilitado | 1.1.0 |
| Los recursos de Azure AI Services deben restringir el acceso a la red | Al restringir el acceso a la red, puede asegurarse de que solo las redes permitidas puedan acceder al servicio. Esto se puede lograr mediante la configuración de reglas de red para que solo las aplicaciones de las redes permitidas puedan acceder al servicio Azure AI. | Auditar, Denegar, Deshabilitado | 3.3.0 |
| Los recursos de Azure AI Services deben usar Azure Private Link | Azure Private Link permite conectar la red virtual a Azure servicios sin una dirección IP pública en el origen o destino. La plataforma Private Link reduce los riesgos de pérdida de datos mediante el control de la conectividad entre el consumidor y los servicios a través de la red troncal de Azure. Más información acerca de los vínculos privados en: https://aka.ms/AzurePrivateLink/Overview | Auditar, Deshabilitado | 1.0.0 |
| Azure API Management versión de la plataforma debe ser stv2 | Azure API Management versión de la plataforma de proceso de stv1 se retirará a partir del 31 de agosto de 2024, y estas instancias deben migrarse a la plataforma de proceso stv2 para obtener soporte continuo. Más información en https://dori-uw-1.kuma-moon.com/azure/api-management/breaking-changes/stv1-platform-retirement-august-2024. | Auditar, Denegar, Deshabilitado | 1.0.0 |
| Azure Arc los clústeres de Kubernetes habilitados deben tener instalada la extensión Azure Policy | La extensión Azure Policy para Azure Arc proporciona medidas de seguridad y cumplimiento a escala en los clústeres de Kubernetes habilitados para Arc de una manera centralizada y coherente. Obtenga más información en https://aka.ms/akspolicydoc. | AuditIfNotExists, Deshabilitado | 1.1.0 |
| Azure Backup debe estar habilitado para Virtual Machines | Asegúrese de proteger la Azure Virtual Machines habilitando Azure Backup. Azure Backup es una solución de protección de datos segura y rentable para Azure. | AuditIfNotExists, Deshabilitado | 3.0.0 |
| Azure Cache for Redis debe usar private link | Los puntos de conexión privados le permiten conectar la red virtual a Azure servicios sin una dirección IP pública en el origen o destino. Mediante la asignación de puntos de conexión privados a las instancias de Azure Cache for Redis, se reducen los riesgos de pérdida de datos. Más información en: https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link. | AuditIfNotExists, Deshabilitado | 1.0.0 |
| Azure Cosmos DB las cuentas deben tener reglas de firewall | Las reglas de firewall deben definirse en las cuentas de Azure Cosmos DB para evitar el tráfico de orígenes no autorizados. Las cuentas que tienen al menos una regla de IP definida con el filtro de red virtual habilitado se consideran compatibles. Las cuentas que deshabilitan el acceso público también se consideran compatibles. | Auditar, Denegar, Deshabilitado | 2.1.0 |
| Azure Cosmos DB las cuentas deben usar claves administradas por el cliente para cifrar los datos en reposo | Use claves administradas por el cliente para administrar el cifrado en reposo de la Azure Cosmos DB. De manera predeterminada, los datos se cifran en reposo con claves administradas por el servicio, pero las claves administradas por el cliente suelen ser necesarias para cumplir estándares de cumplimiento normativo. Las claves administradas por el cliente permiten cifrar los datos con una clave de Azure Key Vault creada y propiedad de usted. Tiene control y responsabilidad totales del ciclo de vida de la clave, incluidos la rotación y administración. Obtenga más información en https://aka.ms/cosmosdb-cmk. | auditar, Auditoría, denegar, Denegar, deshabilitado, Deshabilitado | 1.1.0 |
| Azure Cosmos DB debe deshabilitar el acceso a la red pública | Al deshabilitar el acceso a la red pública, se mejora la seguridad, ya que la cuenta de CosmosDB no se expone en la red pública de Internet. La creación de puntos de conexión privados puede limitar la exposición de la cuenta de CosmosDB. Más información en: https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints#blocking-public-network-access-during-account-creation. | Auditar, Denegar, Deshabilitado | 1.0.0 |
| los clústeres de Azure Databricks deben deshabilitar la dirección IP pública | Deshabilitar la dirección IP pública de los clústeres en Azure Databricks Áreas de trabajo mejora la seguridad al garantizar que los clústeres no se exponen en la red pública de Internet. Más información en: https://dori-uw-1.kuma-moon.com/azure/databricks/security/secure-cluster-connectivity. | Auditar, Denegar, Deshabilitado | 1.0.1 |
| Azure Databricks Las áreas de trabajo deben estar en una red virtual | Azure Las redes virtuales proporcionan seguridad y aislamiento mejorados para las áreas de trabajo de Azure Databricks, así como subredes, directivas de control de acceso y otras características para restringir aún más el acceso. Más información en: https://docs.microsoft.com/azure/databricks/administration-guide/cloud-configurations/azure/vnet-inject. | Auditar, Denegar, Deshabilitado | 1.0.2 |
| Azure Databricks Las áreas de trabajo deben deshabilitar el acceso a la red pública | Al deshabilitar el acceso a la red pública, se mejora la seguridad ya que el recurso no se expone en la red pública de Internet. En su lugar, puede controlar la exposición de los recursos creando puntos de conexión privados. Más información en: https://dori-uw-1.kuma-moon.com/azure/databricks/administration-guide/cloud-configurations/azure/private-link. | Auditar, Denegar, Deshabilitado | 1.0.1 |
| Azure Databricks Las áreas de trabajo deben usar private link | Azure Private Link permite conectar las redes virtuales a Azure servicios sin una dirección IP pública en el origen o destino. La plataforma Private Link controla la conectividad entre el consumidor y los servicios a través de la red troncal de Azure. Mediante la asignación de puntos de conexión privados a Azure Databricks áreas de trabajo, puede reducir los riesgos de pérdida de datos. Más información sobre los vínculos privados en https://aka.ms/adbpe. | Auditar, Deshabilitado | 1.0.2 |
| Azure DDoS Protection debe estar habilitado | DDoS Protection debe estar habilitado en todas las redes virtuales que tengan una subred que forme parte de una instancia de Application Gateway con una dirección IP pública. | AuditIfNotExists, Deshabilitado | 3.0.1 |
| Azure Defender para App Service debe estar habilitado | Azure Defender para App Service aprovecha la escala de la nube y la visibilidad que Azure tiene como proveedor de nube para supervisar los ataques comunes de aplicaciones web. | AuditIfNotExists, Deshabilitado | 1.0.3 |
| Azure Defender para los servidores de Azure SQL Database deben estar habilitados | Azure Defender para SQL proporciona funcionalidad para exponer y mitigar posibles vulnerabilidades de base de datos, detectar actividades anómalas que podrían indicar amenazas a las bases de datos SQL y detectar y clasificar datos confidenciales. | AuditIfNotExists, Deshabilitado | 1.0.2 |
| Azure Defender para Key Vault debe estar habilitado | Azure Defender para Key Vault proporciona una capa adicional de inteligencia de protección y seguridad mediante la detección de intentos inusuales y potencialmente dañinos de acceder o aprovechar las cuentas de key vault. | AuditIfNotExists, Deshabilitado | 1.0.3 |
| Azure Defender para bases de datos relacionales de código abierto deben estar habilitadas | Azure Defender para bases de datos relacionales de código abierto detecta actividades anómalas que indican intentos inusuales y potencialmente dañinos de acceder a las bases de datos o aprovecharlas. Obtenga más información sobre las funcionalidades de Azure Defender para bases de datos relacionales de código abierto en https://aka.ms/AzDforOpenSourceDBsDocu. Importante: La habilitación de este plan dará lugar a cargos por la protección de las bases de datos relacionales de código abierto. Obtenga información sobre los precios en la página de precios de Security Center: https://aka.ms/pricing-security-center. | AuditIfNotExists, Deshabilitado | 1.0.0 |
| Azure Defender para Resource Manager debe estar habilitado | Azure Defender para Resource Manager supervisa automáticamente las operaciones de administración de recursos de la organización. Azure Defender detecta amenazas y alertas sobre la actividad sospechosa. Obtenga más información sobre las funcionalidades de Azure Defender para Resource Manager en https://aka.ms/defender-for-resource-manager . La habilitación de este plan Azure Defender genera cargos. Obtenga información sobre los detalles de los precios por región en la página de precios de Security Center: https://aka.ms/pricing-security-center. | AuditIfNotExists, Deshabilitado | 1.0.0 |
| Azure Defender para servidores debe estar habilitado | Azure Defender para servidores proporciona protección contra amenazas en tiempo real para cargas de trabajo de servidor y genera recomendaciones de protección, así como alertas sobre actividades sospechosas. | AuditIfNotExists, Deshabilitado | 1.0.3 |
| Azure Defender para servidores SQL Server en máquinas debe estar habilitado | Azure Defender para SQL proporciona funcionalidad para exponer y mitigar posibles vulnerabilidades de base de datos, detectar actividades anómalas que podrían indicar amenazas a las bases de datos SQL y detectar y clasificar datos confidenciales. | AuditIfNotExists, Deshabilitado | 1.0.2 |
| Azure Defender para SQL debe estar habilitado para servidores Azure SQL desprotegidos | Auditoría de los servidores de SQL sin Advanced Data Security | AuditIfNotExists, Deshabilitado | 2.0.1 |
| Azure Defender para SQL debe estar habilitado para servidores flexibles MySQL no protegidos | Auditoría de servidores flexibles de MySQL sin Advanced Data Security | AuditIfNotExists, Deshabilitado | 1.0.0 |
| Azure Defender para SQL debe estar habilitado para servidores flexibles postgreSQL no protegidos | Auditoría de servidores flexibles de PostgreSQL sin Advanced Data Security | AuditIfNotExists, Deshabilitado | 1.0.0 |
| Azure Defender para SQL debe estar habilitado para instancias administradas de SQL no protegidas | Audite cada SQL Managed Instance sin seguridad de datos avanzada. | AuditIfNotExists, Deshabilitado | 1.0.2 |
| Azure Event Grid dominios deben usar private link | Azure Private Link permite conectar la red virtual a Azure servicios sin una dirección IP pública en el origen o destino. La plataforma Private Link controla la conectividad entre el consumidor y los servicios a través de la red troncal de Azure. Mediante la asignación de puntos de conexión privados al dominio de Event Grid en lugar de a todo el servicio, también estará protegido frente a riesgos de pérdida de datos. Más información en: https://aka.ms/privateendpoints. | Auditar, Deshabilitado | 1.0.2 |
| Azure Event Grid temas deben usar private link | Azure Private Link permite conectar la red virtual a Azure servicios sin una dirección IP pública en el origen o destino. La plataforma Private Link controla la conectividad entre el consumidor y los servicios a través de la red troncal de Azure. Mediante la asignación de puntos de conexión privados al tema de Event Grid en lugar de a todo el servicio, estará además protegido frente a riesgos de pérdida de datos. Más información en: https://aka.ms/privateendpoints. | Auditar, Deshabilitado | 1.0.2 |
| Azure Key Vault debe tener el firewall habilitado o el acceso a la red pública deshabilitado | Habilite el firewall del almacén de claves para que el almacén de claves no sea accesible de forma predeterminada a ninguna dirección IP pública o deshabilite el acceso a la red pública del almacén de claves para que no sea accesible a través de la red pública de Internet. De manera opcional, puede configurar intervalos IP específicos para limitar el acceso a esas redes. Más información en https://docs.microsoft.com/azure/key-vault/general/network-security y https://aka.ms/akvprivatelink | Auditar, Denegar, Deshabilitado | 3.3.0 |
| Azure Key Vault debe usar el modelo de permisos RBAC | Habilite el modelo de permisos de RBAC en Key Vaults. Más información en: https://dori-uw-1.kuma-moon.com/en-us/azure/key-vault/general/rbac-migration | Auditar, Denegar, Deshabilitado | 1.0.1 |
| Azure Key Vaults debe usar private link | Azure Private Link permite conectar las redes virtuales a Azure servicios sin una dirección IP pública en el origen o destino. La plataforma Private Link controla la conectividad entre el consumidor y los servicios a través de la red troncal de Azure. Al asignar puntos de conexión privados al almacén de claves, se puede reducir el riesgo de pérdida de datos. Más información sobre los vínculos privados en https://aka.ms/akvprivatelink. | [parameters('audit_effect')] | 1.2.1 |
| Azure Kubernetes Service los clústeres deben tener habilitado Defender perfil | Microsoft Defender para contenedores proporciona funcionalidades de seguridad nativas de Kubernetes en la nube, como la protección del entorno, la protección de cargas de trabajo y la protección en tiempo de ejecución. Al habilitar SecurityProfile.AzureDefender en el clúster de Azure Kubernetes Service, se implementa un agente en el clúster para recopilar datos de eventos de seguridad. Más información sobre Microsoft Defender para contenedores en https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-introduction?tabs=defender-for-container-arch-aks | Auditar, Deshabilitado | 2.0.1 |
| Azure Machine Learning las instancias de proceso deben volver a crearse para obtener las actualizaciones de software más recientes | Asegúrese de Azure Machine Learning las instancias de proceso se ejecutan en el sistema operativo disponible más reciente. La seguridad se ha mejorado y se han reducido las vulnerabilidades mediante la ejecución con las revisiones de seguridad más recientes. Para más información, visite https://aka.ms/azureml-ci-updates/. | [parameters('effects')] | 1.0.3 |
| Azure Machine Learning Computes debe estar en una red virtual | Azure Redes virtuales proporcionan seguridad y aislamiento mejorados para los clústeres e instancias de proceso de Azure Machine Learning, así como subredes, directivas de control de acceso y otras características para restringir aún más el acceso. Cuando se configura un proceso con una red virtual, no es posible acceder a ella públicamente; solamente se podrá acceder a ella desde máquinas virtuales y aplicaciones dentro de la red virtual. | Auditar, Deshabilitado | 1.0.1 |
| Azure Machine Learning Computes debe tener deshabilitados los métodos de autenticación local | La deshabilitación de métodos de autenticación local mejora la seguridad asegurándose de que los procesos de Machine Learning requieren Azure Active Directory identidades exclusivamente para la autenticación. Más información en: https://aka.ms/azure-ml-aad-policy. | Auditar, Denegar, Deshabilitado | 2.1.0 |
| Azure Machine Learning las áreas de trabajo deben cifrarse con una clave administrada por el cliente | Administre el cifrado en reposo de Azure Machine Learning datos del área de trabajo con claves administradas por el cliente. De manera predeterminada, los datos del cliente se cifran con claves administradas por el servicio, pero las claves administradas por el cliente suelen ser necesarias para cumplir estándares de cumplimiento normativo. Las claves administradas por el cliente permiten cifrar los datos con una clave de Azure Key Vault creada y propiedad de usted. Tiene control y responsabilidad totales del ciclo de vida de la clave, incluidos la rotación y administración. Obtenga más información en https://aka.ms/azureml-workspaces-cmk. | Auditar, Denegar, Deshabilitado | 1.1.0 |
| Azure Machine Learning Las áreas de trabajo deben deshabilitar el acceso a la red pública | La deshabilitación del acceso a la red pública mejora la seguridad asegurándose de que las áreas de trabajo de Machine Learning no se exponen en la red pública de Internet. Se puede controlar la exposición de las áreas de trabajo mediante la creación de puntos de conexión privados. Más información en: https://dori-uw-1.kuma-moon.com/azure/machine-learning/how-to-configure-private-link?view=azureml-api-2& tabs=azure-portal. | Auditar, Denegar, Deshabilitado | 2.0.1 |
| Azure Machine Learning las áreas de trabajo deben usar private link | Azure Private Link permite conectar la red virtual a Azure servicios sin una dirección IP pública en el origen o destino. La plataforma Private Link controla la conectividad entre el consumidor y los servicios a través de la red troncal de Azure. Al asignar puntos de conexión privados a Azure Machine Learning áreas de trabajo, se reducen los riesgos de pérdida de datos. Más información sobre los vínculos privados en https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link. | Auditar, Deshabilitado | 1.0.0 |
| Azure servidor flexible de MySQL debe tener habilitada la autenticación solo Microsoft Entra | Deshabilitar los métodos de autenticación local y permitir solo Microsoft Entra autenticación mejora la seguridad al garantizar que Azure servidor flexible de MySQL pueda acceder exclusivamente a ellas Microsoft Entra identidades. | AuditIfNotExists, Deshabilitado | 1.0.1 |
| Azure Policy Complemento para Kubernetes Service (AKS) debe estar instalado y habilitado en los clústeres | Azure Policy complemento para Kubernetes Service (AKS) amplía Gatekeeper v3, un webhook de controlador de admisión para open Policy Agent (OPA), para aplicar medidas de seguridad y cumplimiento a escala en los clústeres de una manera centralizada y coherente. | Auditar, Deshabilitado | 1.0.2 |
| Azure las imágenes de contenedor del registro deben tener vulnerabilidades resueltas (con tecnología de Administración de vulnerabilidades de Microsoft Defender) | La evaluación de vulnerabilidades de la imagen de contenedor examina el registro para detectar vulnerabilidades conocidas (CVE) y proporciona un informe detallado de vulnerabilidades para cada imagen. La resolución de vulnerabilidades puede mejorar considerablemente la posición de seguridad, lo que garantiza que las imágenes sean seguras para usarlas antes de la implementación. | AuditIfNotExists, Deshabilitado | 1.0.1 |
| Azure las imágenes de contenedor en ejecución deben tener vulnerabilidades resueltas (con tecnología de Administración de vulnerabilidades de Microsoft Defender) | La evaluación de vulnerabilidades de la imagen de contenedor examina el registro para detectar vulnerabilidades conocidas (CVE) y proporciona un informe detallado de vulnerabilidades para cada imagen. Esta recomendación proporciona visibilidad de las imágenes vulnerables que se ejecutan actualmente en los clústeres de Kubernetes. La corrección de vulnerabilidades en imágenes de contenedor que se están ejecutando actualmente es clave para mejorar la posición de seguridad, lo que reduce significativamente la superficie expuesta a ataques para las cargas de trabajo en contenedores. | AuditIfNotExists, Deshabilitado | 1.0.1 |
| Azure SignalR Service debe usar private link | Azure Private Link permite conectar la red virtual a Azure servicios sin una dirección IP pública en el origen o destino. La plataforma private link controla la conectividad entre el consumidor y los servicios a través de la red troncal de Azure. Mediante la asignación de puntos de conexión privados al recurso de Azure SignalR Service en lugar de todo el servicio, reducirá los riesgos de pérdida de datos. Más información sobre los vínculos privados en https://aka.ms/asrs/privatelink. | Auditar, Deshabilitado | 1.0.0 |
| Azure Spring Cloud debe usar la inyección de red | Azure las instancias de Spring Cloud deben usar la inyección de red virtual con los siguientes fines: 1. Aísle Azure Spring Cloud desde Internet. 2. Habilite Azure Spring Cloud para interactuar con sistemas en centros de datos locales o Azure servicio en otras redes virtuales. 3. Permita a los clientes controlar las comunicaciones de red entrantes y salientes para Azure Spring Cloud. | Auditar, Deshabilitado, Denegar | 1.2.0 |
| Azure SQL Database debe ejecutar TLS versión 1.2 o posterior | Al establecer la versión de TLS en la versión 1.2 o posterior, se mejora la seguridad asegurándose de que solo se puede acceder a la Azure SQL Database desde clientes que usan TLS 1.2 o versiones posteriores. El uso de versiones de TLS anteriores a la versión 1.2 no se recomienda, ya que presentan vulnerabilidades de seguridad bien documentadas. | Auditar, Deshabilitado, Denegar | 2.0.0 |
| Azure SQL Database debe tener habilitada la autenticación solo Microsoft Entra | Requerir Azure SQL servidores lógicos para usar la autenticación solo Microsoft Entra. Esta directiva no impide que los servidores se creen con la autenticación local habilitada. Impide que la autenticación local se habilite en los recursos después de crearla. Considere la posibilidad de usar la iniciativa "autenticación solo Microsoft Entra" en su lugar para requerir ambos. Más información en: https://aka.ms/adonlycreate. | Auditar, Denegar, Deshabilitado | 1.0.0 |
| Azure SQL los servidores lógicos deben tener habilitada la autenticación solo Microsoft Entra durante la creación | Requerir que Azure SQL se creen servidores lógicos con autenticación de solo Microsoft Entra. Esta directiva no impide que la autenticación local se vuelva a habilitar en los recursos después de su creación. Considere la posibilidad de usar la iniciativa "autenticación solo Microsoft Entra" en su lugar para requerir ambos. Más información en: https://aka.ms/adonlycreate. | Auditar, Denegar, Deshabilitado | 1.3.0 |
| Azure SQL Managed Instance debe tener habilitada la autenticación solo Microsoft Entra | Requerir Azure SQL Managed Instance usar la autenticación solo Microsoft Entra. Esta directiva no impide que se creen instancias administradas Azure SQL con la autenticación local habilitada. Impide que la autenticación local se habilite en los recursos después de crearla. Considere la posibilidad de usar la iniciativa "autenticación solo Microsoft Entra" en su lugar para requerir ambos. Más información en: https://aka.ms/adonlycreate. | Auditar, Denegar, Deshabilitado | 1.0.0 |
| Azure SQL Managed Instances debe deshabilitar el acceso a la red pública | Deshabilitar el acceso a la red pública (punto de conexión público) en Azure SQL Instancias administradas mejora la seguridad asegurándose de que solo se puede acceder desde dentro de sus redes virtuales o a través de puntos de conexión privados. Para más información sobre el acceso a la red pública, visite https://aka.ms/mi-public-endpoint. | Auditar, Denegar, Deshabilitado | 1.0.0 |
| Azure SQL Managed Instances debe tener habilitada la autenticación solo Microsoft Entra durante la creación | Requerir que se cree Azure SQL Managed Instance con autenticación de solo Microsoft Entra. Esta directiva no impide que la autenticación local se vuelva a habilitar en los recursos después de su creación. Considere la posibilidad de usar la iniciativa "autenticación solo Microsoft Entra" en su lugar para requerir ambos. Más información en: https://aka.ms/adonlycreate. | Auditar, Denegar, Deshabilitado | 1.2.0 |
| Azure Web Application Firewall debe estar habilitado para Azure Front Door puntos de entrada | Implemente Azure Web Application Firewall (WAF) delante de las aplicaciones web orientadas al público para una inspección adicional del tráfico entrante. Web Application Firewall (WAF) proporciona protección centralizada de las aplicaciones web frente a vulnerabilidades de seguridad comunes, como inyecciones de SQL, scripting entre sitios, ejecuciones de archivos locales y remotas. También permite restringir el acceso a las aplicaciones web por países, intervalos de direcciones IP y otros parámetros http(s) por medio de reglas personalizadas. | Auditar, Denegar, Deshabilitado | 1.0.2 |
| Cuentas bloqueadas con permisos de propietario en recursos de Azure se deben quitar | Quitar de la suscripción las cuentas en desuso con permisos de propietario Las cuentas en desuso son cuentas en las que se ha bloqueado el inicio de sesión. | AuditIfNotExists, Deshabilitado | 1.0.0 |
| Cuentas desbloqueadas con permisos de lectura y escritura en recursos de Azure se deben quitar | Convendría eliminar las cuentas en desuso de las suscripciones. Las cuentas en desuso son cuentas en las que se ha bloqueado el inicio de sesión. | AuditIfNotExists, Deshabilitado | 1.0.0 |
| Los certificados deben tener el periodo de máximo de validez que se haya especificado | Administre los requisitos de cumplimiento de su organización. Para ello, especifique la cantidad máxima de tiempo que un certificado puede ser válido en el almacén de claves. | auditar, Auditoría, denegar, Denegar, deshabilitado, Deshabilitado | 2.2.1 |
| Los registros de contenedor deben cifrarse con una clave administrada por el cliente | Use claves administradas por el cliente para administrar el cifrado en reposo del contenido de los registros. De manera predeterminada, los datos se cifran en reposo con claves administradas por el servicio, pero las claves administradas por el cliente suelen ser necesarias para cumplir estándares de cumplimiento normativo. Las claves administradas por el cliente permiten cifrar los datos con una clave de Azure Key Vault creada y propiedad de usted. Tiene control y responsabilidad totales del ciclo de vida de la clave, incluidos la rotación y administración. Obtenga más información en https://aka.ms/acr/CMK. | Auditar, Denegar, Deshabilitado | 1.1.2 |
| Las instancias de Container Registry no deben permitir el acceso de red sin restricciones | Azure registros de contenedor de forma predeterminada aceptan conexiones a través de Internet desde hosts de cualquier red. Para proteger sus registros de posibles amenazas, permita el acceso solo desde determinados puntos de conexión privados, direcciones IP públicas o intervalos de direcciones. Si su registro no tiene reglas de red configuradas, aparecerá en los recursos no incorrectos. Obtenga más información sobre las reglas de red de Container Registry aquí: https://aka.ms/acr/privatelinkyhttps://aka.ms/acr/portal/public-networkhttps://aka.ms/acr/vnet. | Auditar, Denegar, Deshabilitado | 2.0.0 |
| Las instancias de Container Registry deben usar Private Link | Azure Private Link permite conectar la red virtual a Azure servicios sin una dirección IP pública en el origen o destino. La plataforma private link controla la conectividad entre el consumidor y los servicios a través de la red troncal de Azure. Mediante la asignación de puntos de conexión privados a los registros de contenedor en lugar de todo el servicio, también se protegerá contra los riesgos de pérdida de datos. Más información en: https://aka.ms/acr/private-link. | Auditar, Deshabilitado | 1.0.1 |
| Las cuentas de la base de datos Cosmos DB deben tener deshabilitados los métodos de autenticación local | La deshabilitación de métodos de autenticación local mejora la seguridad asegurándose de que las cuentas de base de datos de Cosmos DB requieren exclusivamente Azure Active Directory identidades para la autenticación. Más información en: https://docs.microsoft.com/azure/cosmos-db/how-to-setup-rbac#disable-local-auth. | Auditar, Denegar, Deshabilitado | 1.1.0 |
| Las cuentas de CosmosDB deben usar Private Link | Azure Private Link permite conectar la red virtual a Azure servicios sin una dirección IP pública en el origen o destino. La plataforma Private Link controla la conectividad entre el consumidor y los servicios a través de la red troncal de Azure. Al asignar puntos de conexión privados a su cuenta de CosmosDB, se reduce el riesgo de pérdida de datos. Más información sobre los vínculos privados en https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints. | Auditar, Deshabilitado | 1.0.0 |
| los registros Diagnostic de los recursos de Servicios de Azure AI deben estar habilitados | Habilite los registros para los recursos de Servicios de Azure AI. Esto le permite volver a crear pistas de actividad con fines de investigación, cuando se produce un incidente de seguridad o la red está en peligro | AuditIfNotExists, Deshabilitado | 1.0.0 |
| La opción para enviar notificaciones por correo electrónico para alertas de gravedad alta debe estar habilitada. | Para asegurarse de que las personas pertinentes de la organización reciban una notificación cuando se produzca una vulneración de seguridad potencial en una de las suscripciones, habilite las notificaciones por correo electrónico de alertas de gravedad alta en Security Center. | AuditIfNotExists, Deshabilitado | 1.2.0 |
| La opción para enviar notificaciones por correo electrónico al propietario de la suscripción en relación a alertas de gravedad alta debe estar habilitada. | Para asegurarse de que los propietarios de suscripciones reciban una notificación cuando se produzca una vulneración de seguridad potencial en sus suscripciones, establezca notificaciones por correo electrónico a los propietarios de las suscripciones de alertas de gravedad alta en Security Center. | AuditIfNotExists, Deshabilitado | 2.1.0 |
| Exigir una conexión SSL debe estar habilitado en los servidores de bases de datos MySQL | Azure Database for MySQL admite la conexión del servidor de Azure Database for MySQL a las aplicaciones cliente mediante capa de sockets seguros (SSL). La aplicación de conexiones SSL entre el servidor de bases de datos y las aplicaciones cliente facilita la protección frente a ataques de tipo "Man in the middle" al cifrar el flujo de datos entre el servidor y la aplicación. Esta configuración exige que SSL esté siempre habilitado para el acceso al servidor de bases de datos. | Auditar, Deshabilitado | 1.0.1 |
| La aplicación de la conexión SSL debe estar habilitada para los servidores de base de datos PostgreSQL | Azure Database for PostgreSQL admite la conexión del servidor de Azure Database for PostgreSQL a las aplicaciones cliente mediante capa de sockets seguros (SSL). La aplicación de conexiones SSL entre el servidor de bases de datos y las aplicaciones cliente facilita la protección frente a ataques de tipo "Man in the middle" al cifrar el flujo de datos entre el servidor y la aplicación. Esta configuración exige que SSL esté siempre habilitado para el acceso al servidor de bases de datos. | Auditar, Deshabilitado | 1.0.1 |
| Las aplicaciones de funciones deben tener la opción "Certificados de cliente (certificados de cliente entrantes)" habilitada | Los certificados de cliente permiten que la aplicación solicite un certificado para las solicitudes entrantes. Solo los clientes que tienen un certificado válido podrán acceder a la aplicación. Esta directiva se aplica a las aplicaciones con la versión Http establecida en 1.1. | AuditIfNotExists, Deshabilitado | 1.1.0 |
| Las aplicaciones de funciones deben tener la depuración remota desactivada | La depuración remota requiere que se abran puertos de entrada en las aplicaciones de funciones. Se debe desactivar la depuración remota. | AuditIfNotExists, Deshabilitado | 2.1.0 |
| Las aplicaciones de funciones no deben tener CORS configurado para permitir que todos los recursos accedan a las aplicaciones | El uso compartido de recursos entre orígenes (CORS) no debe permitir que todos los dominios accedan a la aplicación de funciones. Permita la interacción con la aplicación de funciones solo de los dominios requeridos. | AuditIfNotExists, Deshabilitado | 2.1.0 |
| Las aplicaciones de funciones solo deberían ser accesibles a través de HTTPS | El uso de HTTPS garantiza la autenticación del servicio y el servidor, y protege los datos en tránsito frente a ataques de intercepción de nivel de red. | Auditar, Deshabilitado, Denegar | 5.1.0 |
| Las aplicaciones de funciones solo deben requerir FTPS | Habilite el cumplimiento con FTPS para mejorar la seguridad. | AuditIfNotExists, Deshabilitado | 3.1.0 |
| Las aplicaciones de funciones deben usar la identidad administrada | Usa una identidad administrada para la seguridad de autenticación mejorada. | AuditIfNotExists, Deshabilitado | 3.1.0 |
| Las aplicaciones de funciones deben usar la última versión de TLS | Se publican versiones más recientes de TLS de forma periódica debido a brechas de seguridad, para incluir más funcionalidad e incrementar la velocidad. Actualice a la última versión de TLS para las aplicaciones de funciones con el fin de aprovechar las correcciones de seguridad, en caso de haberlas, o las nuevas funcionalidades de la última versión. | AuditIfNotExists, Deshabilitado | 2.3.0 |
| La copia de seguridad con redundancia geográfica debe estar habilitada para Azure Database for MariaDB | Azure Database for MariaDB permite elegir la opción de redundancia para el servidor de bases de datos. Se puede establecer en un almacenamiento de copia de seguridad con redundancia geográfica donde los datos no solo se almacenan dentro de la región en la que se hospeda el servidor, sino que también se replican en una región emparejada para proporcionar la opción de recuperación en caso de que se produzca un error en la región. La configuración de almacenamiento con redundancia geográfica para copia de seguridad solo se permite durante la creación del servidor. | Auditar, Deshabilitado | 1.0.1 |
| Copia de seguridad con redundancia geográfica debe estar habilitada para Azure Database for MySQL | Azure Database for MySQL permite elegir la opción de redundancia para el servidor de bases de datos. Se puede establecer en un almacenamiento de copia de seguridad con redundancia geográfica donde los datos no solo se almacenan dentro de la región en la que se hospeda el servidor, sino que también se replican en una región emparejada para proporcionar la opción de recuperación en caso de que se produzca un error en la región. La configuración de almacenamiento con redundancia geográfica para copia de seguridad solo se permite durante la creación del servidor. | Auditar, Deshabilitado | 1.0.1 |
| La copia de seguridad con redundancia geográfica debe estar habilitada para Azure Database for PostgreSQL | Azure Database for PostgreSQL permite elegir la opción de redundancia para el servidor de bases de datos. Se puede establecer en un almacenamiento de copia de seguridad con redundancia geográfica donde los datos no solo se almacenan dentro de la región en la que se hospeda el servidor, sino que también se replican en una región emparejada para proporcionar la opción de recuperación en caso de que se produzca un error en la región. La configuración de almacenamiento con redundancia geográfica para copia de seguridad solo se permite durante la creación del servidor. | Auditar, Deshabilitado | 1.0.1 |
| Cuentas deGuest con permisos de propietario en recursos de Azure se deben quitar | Las cuentas externas con permisos de propietario deben quitarse de la suscripción a fin de evitar el acceso no supervisado. | AuditIfNotExists, Deshabilitado | 1.0.0 |
| las cuentas de Guest con permisos de lectura en los recursos de Azure deben quitarse | Las cuentas externas con privilegios de lectura deben quitarse de la suscripción a fin de evitar el acceso no supervisado. | AuditIfNotExists, Deshabilitado | 1.0.0 |
| Cuentas deGuest con permisos de escritura en recursos de Azure se deben quitar | Las cuentas externas con privilegios de escritura deben quitarse de la suscripción a fin de evitar el acceso no supervisado. | AuditIfNotExists, Deshabilitado | 1.0.0 |
| La extensión "Configuración de invitado" debe estar instalada en las máquinas | Para garantizar la seguridad de la configuración de invitado, instale la extensión "Configuración de invitado". La configuración de invitado supervisada en la extensión engloba la configuración del sistema operativo, la configuración o presencia de las aplicaciones y la configuración del entorno. Una vez instaladas, las directivas en invitado estarán disponibles, como "Windows Protección contra vulnerabilidades de seguridad debe estar habilitada". Obtenga más información en https://aka.ms/gcpol. | AuditIfNotExists, Deshabilitado | 1.0.3 |
| Las máquinas virtuales accesibles desde Internet deben estar protegidas con grupos de seguridad de red | Proteja sus máquinas virtuales de posibles amenazas limitando el acceso a ellas con grupos de seguridad de red (NSG). Más información sobre cómo controlar el tráfico con los grupos de seguridad de red en https://aka.ms/nsg-doc. | AuditIfNotExists, Deshabilitado | 3.0.0 |
| El reenvío de IP en la máquina virtual debe estar deshabilitado | Habilitar el reenvío de IP en la NIC de la máquina virtual permite que la máquina reciba tráfico dirigido a otros destinos. El reenvío de IP rara vez es necesario (por ejemplo, cuando se usa la máquina virtual como una aplicación virtual de red) y, por lo tanto, el equipo de seguridad de red debe revisarlo. | AuditIfNotExists, Deshabilitado | 3.0.0 |
| Key Vault las claves deben tener una fecha de expiración | Las claves criptográficas deben tener una fecha de expiración definida y no ser permanentes. Las claves que no expiran proporcionan a los posibles atacantes más tiempo para hacerse con ellas. Por ello, se recomienda como práctica de seguridad establecer fechas de expiración en las claves criptográficas. | Auditar, Denegar, Deshabilitado | 1.0.2 |
| Key Vault los secretos deben tener una fecha de expiración | Los secretos deben tener una fecha de expiración definida y no ser permanentes. Los secretos que no expiran proporcionan a un posible atacante más tiempo para ponerlos en peligro. Por ello, se recomienda como práctica de seguridad establecer fechas de expiración en los secretos. | Auditar, Denegar, Deshabilitado | 1.0.2 |
| Los almacenes de claves deben tener habilitada la protección contra eliminación | La eliminación malintencionada de un almacén de claves puede provocar una pérdida de datos permanente. Puede evitar la pérdida permanente de datos habilitando la protección de purga y la eliminación temporal. La protección contra purgas le protege frente a ataques internos mediante la aplicación de un período de retención obligatorio para almacenes de claves eliminados temporalmente. Nadie dentro de su organización o Microsoft podrá purgar los almacenes de claves durante el período de retención de eliminación temporal. Tenga en cuenta que los almacenes de claves creados después del 1 de septiembre de 2019 tienen habilitada la eliminación temporal de manera predeterminada. | Auditar, Denegar, Deshabilitado | 2.1.0 |
| Los almacenes de claves deben tener habilitada la eliminación temporal | Si se elimina un almacén de claves que no tenga habilitada la eliminación temporal, se eliminarán permanentemente todos los secretos, claves y certificados almacenados en ese almacén de claves. La eliminación accidental de un almacén de claves puede provocar una pérdida de datos permanente. La eliminación temporal permite recuperar un almacén de claves eliminado accidentalmente durante un período de retención configurable. | Auditar, Denegar, Deshabilitado | 3.1.0 |
| Asegurarse de que los límites de los recursos de memoria y CPU del contenedor no superan los límites especificados en el clúster de Kubernetes | Aplique límites de recursos de CPU y memoria de contenedor en un clúster de Kubernetes para evitar los ataques de agotamiento de recursos. Esta directiva está disponible con carácter general para Kubernetes Service (AKS) y versión preliminar para Azure Arc Kubernetes habilitado. Para obtener más información, vea https://aka.ms/kubepolicydoc. | auditar, Auditoría, denegar, Denegar, deshabilitado, Deshabilitado | 9.3.0 |
| Los contenedores de clústeres de Kubernetes no deben compartir espacios de nombres de host | Impedir que los contenedores de pod compartan el espacio de nombres del identificador de proceso de host, el espacio de nombres IPC de host y el espacio de nombres de red de host en un clúster de Kubernetes. Esta recomendación se alinea con los estándares de seguridad de pod de Kubernetes para los espacios de nombres de host y forma parte de CIS 5.2.1, 5.2.2 y 5.2.3 que están diseñados para mejorar la seguridad de los entornos de Kubernetes. Esta directiva está disponible con carácter general para Kubernetes Service (AKS) y versión preliminar para Azure Arc Kubernetes habilitado. Para obtener más información, vea https://aka.ms/kubepolicydoc. | Auditar, Denegar, Deshabilitado | 6.0.0 |
| Los contenedores de clúster de Kubernetes solo deben usar perfiles de AppArmor permitidos | Los contenedores solo deben usar perfiles de AppArmor permitidos en un clúster de Kubernetes. Esta directiva está disponible con carácter general para Kubernetes Service (AKS) y versión preliminar para Azure Arc Kubernetes habilitado. Para obtener más información, vea https://aka.ms/kubepolicydoc. | auditar, Auditoría, denegar, Denegar, deshabilitado, Deshabilitado | 6.2.1 |
| Los contenedores de clúster de Kubernetes solo deben usar funcionalidades permitidas | Restrinja las funcionalidades para reducir la superficie de contenedores expuesta a ataques en un clúster de Kubernetes. Esta recomendación forma parte de las versiones 5.2.8 y 5.2.9 de CIS, diseñadas para mejorar la seguridad de los entornos de Kubernetes. Esta directiva está disponible con carácter general para Kubernetes Service (AKS) y versión preliminar para Azure Arc Kubernetes habilitado. Para obtener más información, vea https://aka.ms/kubepolicydoc. | auditar, Auditoría, denegar, Denegar, deshabilitado, Deshabilitado | 6.2.0 |
| Asegurarse de que solo se admiten las imágenes de contenedor permitidas en el clúster de Kubernetes | Use imágenes de registros de confianza para reducir el riesgo de exposición del clúster de Kubernetes a vulnerabilidades desconocidas, problemas de seguridad e imágenes malintencionadas. Para obtener más información, vea https://aka.ms/kubepolicydoc. | auditar, Auditoría, denegar, Denegar, deshabilitado, Deshabilitado | 9.3.0 |
| Los contenedores del clúster de Kubernetes deben ejecutarse con un sistema de archivos raíz de solo lectura | Ejecute contenedores con un sistema de archivos raíz de solo lectura para protegerlos de los cambios en tiempo de ejecución con la incorporación de archivos binarios malintencionados a la ruta de acceso en un clúster de Kubernetes. Esta directiva está disponible con carácter general para Kubernetes Service (AKS) y versión preliminar para Azure Arc Kubernetes habilitado. Para obtener más información, vea https://aka.ms/kubepolicydoc. | auditar, Auditoría, denegar, Denegar, deshabilitado, Deshabilitado | 6.3.0 |
| Los volúmenes hostPath del pod del clúster de Kubernetes solo deben usar rutas de host permitidas | Limite los montajes de volumen hostPath del pod a las rutas de acceso de host permitidas en un clúster de Kubernetes. Esta directiva está disponible con carácter general para Kubernetes Service (AKS) y Azure Arc habilitado Para Kubernetes. Para obtener más información, vea https://aka.ms/kubepolicydoc. | auditar, Auditoría, denegar, Denegar, deshabilitado, Deshabilitado | 6.3.0 |
| Los contenedores y pods de clúster de Kubernetes solo deben ejecutarse con identificadores de usuario y grupo aprobados | Controle los id. de usuario, grupo principal, grupo adicional y grupo de sistema de archivos que los pods y los contenedores pueden usar para ejecutarse en un clúster de Kubernetes. Esta directiva está disponible con carácter general para Kubernetes Service (AKS) y versión preliminar para Azure Arc Kubernetes habilitado. Para obtener más información, vea https://aka.ms/kubepolicydoc. | auditar, Auditoría, denegar, Denegar, deshabilitado, Deshabilitado | 6.2.0 |
| Los pods del clúster de Kubernetes solo deben usar la red de host y lista de puertos aprobadas | Restrinja el acceso de pod a la red host y los puertos de host permitidos en un clúster de Kubernetes. Esta recomendación forma parte de CIS 5.2.4, que está pensada para mejorar la seguridad de los entornos de Kubernetes y se alinea con los estándares de seguridad de pod (PSS) para hostPorts. Esta directiva está disponible con carácter general para Kubernetes Service (AKS) y versión preliminar para Azure Arc Kubernetes habilitado. Para obtener más información, vea https://aka.ms/kubepolicydoc. | Auditar, Denegar, Deshabilitado | 7.0.0 |
| Los servicios de clúster de Kubernetes solo deben escuchar en los puertos permitidos | Restrinja los servicios para que escuchen solo en puertos permitidos para proteger el acceso al clúster de Kubernetes. Esta directiva está disponible con carácter general para Kubernetes Service (AKS) y versión preliminar para Azure Arc Kubernetes habilitado. Para obtener más información, vea https://aka.ms/kubepolicydoc. | auditar, Auditoría, denegar, Denegar, deshabilitado, Deshabilitado | 8.2.0 |
| No permitir contenedores con privilegios en el clúster de Kubernetes | No permita la creación de contenedores con privilegios en un clúster de Kubernetes. Esta recomendación forma parte de la versión 5.2.1 de CIS, diseñada para mejorar la seguridad de los entornos de Kubernetes. Esta directiva está disponible con carácter general para Kubernetes Service (AKS) y versión preliminar para Azure Arc Kubernetes habilitado. Para obtener más información, vea https://aka.ms/kubepolicydoc. | auditar, Auditoría, denegar, Denegar, deshabilitado, Deshabilitado | 9.2.0 |
| Los clústeres de Kubernetes solo deben ser accesibles mediante HTTPS | El uso de HTTPS garantiza la autenticación y protege los datos en tránsito frente a ataques de intercepción de nivel de red. Esta funcionalidad está disponible con carácter general para Kubernetes Service (AKS) y en versión preliminar para Azure Arc habilitado Kubernetes. Para más información, visite https://aka.ms/kubepolicydoc | Auditar, Denegar, Deshabilitado | 9.0.0 |
| Los clústeres de Kubernetes deben deshabilitar las credenciales de la API de montaje automático | Deshabilite las credenciales de la API de montaje automático para evitar que un recurso de pod de riesgo ejecute comandos de la API en clústeres de Kubernetes. Para obtener más información, vea https://aka.ms/kubepolicydoc. | auditar, Auditoría, denegar, Denegar, deshabilitado, Deshabilitado | 4.2.0 |
| Los clústeres de Kubernetes no deben permitir la elevación de privilegios del contenedor | No permita que los contenedores se ejecuten con elevación de privilegios en la raíz en un clúster de Kubernetes. Esta recomendación forma parte de la versión 5.2.5 de CIS, diseñada para mejorar la seguridad de los entornos de Kubernetes. Esta directiva está disponible con carácter general para Kubernetes Service (AKS) y versión preliminar para Azure Arc Kubernetes habilitado. Para obtener más información, vea https://aka.ms/kubepolicydoc. | Auditar, Denegar, Deshabilitado | 8.0.0 |
| Los clústeres de Kubernetes no deben conceder funcionalidades de seguridad CAP_SYS_ADMIN. | Para reducir la superficie expuesta a ataques de sus contenedores, restrinja las funcionalidades CAP_SYS_ADMIN de Linux. Para obtener más información, vea https://aka.ms/kubepolicydoc. | auditar, Auditoría, denegar, Denegar, deshabilitado, Deshabilitado | 5.1.0 |
| Los clústeres de Kubernetes no deben usar el espacio de nombres predeterminado | Evite el uso del espacio de nombres predeterminado en los clústeres de Kubernetes para proteger del acceso no autorizado a los tipos de recurso ConfigMap, Pod, Secret, Service y ServiceAccount. Para obtener más información, vea https://aka.ms/kubepolicydoc. | auditar, Auditoría, denegar, Denegar, deshabilitado, Deshabilitado | 4.2.0 |
| las máquinas Linux deben cumplir los requisitos de la línea base de seguridad de proceso Azure | Requiere que los requisitos previos se implementen en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. Las máquinas no son compatibles si la máquina no está configurada correctamente para una de las recomendaciones de la línea base de seguridad de proceso de Azure. | AuditIfNotExists, Deshabilitado | 2.3.1 |
| las máquinas virtuales Linux deben habilitar Azure Disk Encryption o EncryptionAtHost. | Aunque el sistema operativo y los discos de datos de una máquina virtual están cifrados en reposo de forma predeterminada mediante claves administradas por la plataforma, los discos de recursos (discos temporales), las memorias caché de datos y los datos que fluyen entre los recursos de proceso y almacenamiento no se cifran. Use Azure Disk Encryption o EncryptionAtHost para corregir. Visite https://aka.ms/diskencryptioncomparison para comparar las ofertas de cifrado. Esta directiva requiere que se implementen dos requisitos previos en el ámbito de asignación de directiva. Para más detalles, visite https://aka.ms/gcpol. | AuditIfNotExists, Deshabilitado | 1.2.1 |
| Las máquinas deben configurarse para que se compruebe periódicamente si faltan actualizaciones del sistema | Para asegurarse de que las evaluaciones periódicas de las actualizaciones del sistema que faltan se desencadenan automáticamente cada 24 horas, la propiedad AssessmentMode debe establecerse en "AutomaticByPlatform". Obtenga más información sobre la propiedad AssessmentMode para Windows: https://aka.ms/computevm-windowspatchassessmentmode, para Linux: https://aka.ms/computevm-linuxpatchassessmentmode. | Auditar, Denegar, Deshabilitado | 3.9.0 |
| Las máquinas deberían tener conclusiones de secretos resueltas | Audita las máquinas virtuales para detectar si contienen resultados de secretos de las soluciones de análisis de secretos en las máquinas virtuales. | AuditIfNotExists, Deshabilitado | 1.0.2 |
| Los puertos de administración de las máquinas virtuales deben protegerse con el control de acceso de red Just-In-Time. | El acceso a la red Just-In-Time (JIT) posible se supervisará Azure Security Center como recomendaciones | AuditIfNotExists, Deshabilitado | 3.0.0 |
| Se deben cerrar los puertos de administración en las máquinas virtuales | Los puertos de administración remota abiertos exponen la máquina virtual a un alto nivel de riesgo de recibir ataques basados en Internet. Estos ataques intentan averiguar las credenciales por medio de fuerza bruta a fin de obtener acceso de administrador a la máquina | AuditIfNotExists, Deshabilitado | 3.0.0 |
| Microsoft Defender CSPM debe estar habilitado | Defender Cloud Security Posture Management (CSPM) proporciona funcionalidades de posición mejoradas y un nuevo grafo de seguridad en la nube inteligente para ayudar a identificar, priorizar y reducir el riesgo. Defender CSPM está disponible además de las funcionalidades de posición de seguridad básica gratuitas activadas de forma predeterminada en Defender for Cloud. | AuditIfNotExists, Deshabilitado | 1.0.0 |
| Microsoft Defender para las API deben estar habilitadas | Microsoft Defender para las API aporta nueva detección, protección, detección y cobertura de respuesta para supervisar ataques comunes basados en API y configuraciones incorrectas de seguridad. | AuditIfNotExists, Deshabilitado | 1.0.3 |
| Microsoft Defender para contenedores debe estar habilitado | Microsoft Defender para contenedores proporciona protección, evaluación de vulnerabilidades y protecciones en tiempo de ejecución para los entornos de Kubernetes de Azure, híbridos y multinube. | AuditIfNotExists, Deshabilitado | 1.0.0 |
| Microsoft Defender para SQL debe estar habilitado para áreas de trabajo de Synapse no protegidas | Habilite Defender para SQL para proteger las áreas de trabajo de Synapse. Defender para SQL supervisa synapse SQL para detectar actividades anómalas que indican intentos inusuales y potencialmente dañinos de acceder a las bases de datos o aprovecharlas. | AuditIfNotExists, Deshabilitado | 1.0.0 |
| Microsoft Defender para Storage debe estar habilitado | Microsoft Defender para Storage detecta posibles amenazas para las cuentas de almacenamiento. Ayuda a evitar los tres impactos principales en los datos y la carga de trabajo: cargas de archivos malintencionadas, filtración de datos confidenciales y datos dañados. El nuevo Defender para el plan de almacenamiento incluye el examen de malware y la detección de amenazas de datos confidenciales. Este plan también ofrece una estructura de precios predecible (por cuenta de almacenamiento) para controlar la cobertura y los costes. | AuditIfNotExists, Deshabilitado | 1.0.0 |
| Los servidores MySQL deben usar claves administradas por el cliente para cifrar los datos en reposo. | Use claves administradas por el cliente para administrar el cifrado en reposo de los servidores MySQL. De manera predeterminada, los datos se cifran en reposo con claves administradas por el servicio, pero las claves administradas por el cliente suelen ser necesarias para cumplir estándares de cumplimiento normativo. Las claves administradas por el cliente permiten cifrar los datos con una clave de Azure Key Vault creada y propiedad de usted. Tiene control y responsabilidad totales del ciclo de vida de la clave, incluidos la rotación y administración. | AuditIfNotExists, Deshabilitado | 1.0.4 |
| Network Watcher debe estar habilitado | Network Watcher es un servicio regional que permite supervisar y diagnosticar condiciones en un nivel de escenario de red en, hacia y desde Azure. La supervisión del nivel de escenario permite diagnosticar problemas en una vista de nivel de red de un extremo a otro. Es preciso que se haya creado un grupo de recursos de Network Watcher en todas las regiones en las que haya una red virtual. Si algún grupo de recursos de Network Watcher no está disponible en una región determinada, se habilita una alerta. | AuditIfNotExists, Deshabilitado | 3.0.0 |
| Las máquinas virtuales sin conexión a Internet deben protegerse con grupos de seguridad de red | Proteja las máquinas virtuales no accesibles desde Internet de posibles amenazas limitando el acceso con grupos de seguridad de red (NSG). Más información sobre cómo controlar el tráfico con los grupos de seguridad de red en https://aka.ms/nsg-doc. | AuditIfNotExists, Deshabilitado | 3.0.0 |
| Se debe habilitar las conexiones seguras a la Azure Cache for Redis | Audite la habilitación de solo conexiones a través de SSL para Azure Cache for Redis. El uso de conexiones seguras garantiza la autenticación entre el servidor y el servicio, y protege los datos en tránsito de ataques de nivel de red, como "man in-the-middle", interceptación y secuestro de sesión | Auditar, Denegar, Deshabilitado | 1.0.0 |
| Los servidores PostgreSQL deben usar claves administradas por el cliente para cifrar los datos en reposo. | Use claves administradas por el cliente para administrar el cifrado en reposo de los servidores PostgreSQL. De manera predeterminada, los datos se cifran en reposo con claves administradas por el servicio, pero las claves administradas por el cliente suelen ser necesarias para cumplir estándares de cumplimiento normativo. Las claves administradas por el cliente permiten cifrar los datos con una clave de Azure Key Vault creada y propiedad de usted. Tiene control y responsabilidad totales del ciclo de vida de la clave, incluidos la rotación y administración. | AuditIfNotExists, Deshabilitado | 1.0.4 |
| Las conexiones de punto de conexión dePrivate en Azure SQL Database deben estar habilitadas | Las conexiones de punto de conexión privado aplican una comunicación segura al habilitar la conectividad privada a Azure SQL Database. | Auditar, Deshabilitado | 1.1.0 |
| El punto de conexión privado debe estar habilitado para servidores MariaDB | Las conexiones de punto de conexión privado aplican una comunicación segura al habilitar la conectividad privada a Azure Database for MariaDB. Configure una conexión de punto de conexión privado para habilitar el acceso al tráfico procedente solo de redes conocidas y evitar el acceso a todas las demás direcciones IP, incluidos los Azure. | AuditIfNotExists, Deshabilitado | 1.0.2 |
| El punto de conexión privado debe estar habilitado para servidores MySQL | Las conexiones de punto de conexión privado aplican una comunicación segura al habilitar la conectividad privada a Azure Database for MySQL. Configure una conexión de punto de conexión privado para habilitar el acceso al tráfico procedente solo de redes conocidas y evitar el acceso a todas las demás direcciones IP, incluidos los Azure. | AuditIfNotExists, Deshabilitado | 1.0.2 |
| El punto de conexión privado debe estar habilitado para servidores PostgreSQL | Las conexiones de punto de conexión privado aplican una comunicación segura al habilitar la conectividad privada a Azure Database for PostgreSQL. Configure una conexión de punto de conexión privado para habilitar el acceso al tráfico procedente solo de redes conocidas y evitar el acceso a todas las demás direcciones IP, incluidos los Azure. | AuditIfNotExists, Deshabilitado | 1.0.2 |
| Se debe deshabilitar el acceso a la redpublic en Azure SQL Database | Deshabilitar la propiedad de acceso a la red pública mejora la seguridad asegurándose de que solo se puede acceder a la Azure SQL Database desde un punto de conexión privado. Esta configuración deniega todos los inicios de sesión que coincidan con las reglas de firewall basadas en IP o redes virtuales. | Auditar, Denegar, Deshabilitado | 1.1.0 |
| El acceso a redes públicas debe estar deshabilitado para los servidores MariaDB | Deshabilite la propiedad de acceso a la red pública para mejorar la seguridad y asegúrese de que solo se puede acceder a la Azure Database for MariaDB desde un punto de conexión privado. Esta configuración deshabilita estrictamente el acceso desde cualquier espacio de direcciones públicas fuera de Azure intervalo IP y deniega todos los inicios de sesión que coincidan con las reglas de firewall basadas en ip o red virtual. | Auditar, Denegar, Deshabilitado | 2.0.0 |
| El acceso a las redes públicas debe estar deshabilitado para los servidores MySQL | Deshabilite la propiedad de acceso a la red pública para mejorar la seguridad y asegurarse de que solo se puede acceder a la Azure Database for MySQL desde un punto de conexión privado. Esta configuración deshabilita estrictamente el acceso desde cualquier espacio de direcciones públicas fuera de Azure intervalo IP y deniega todos los inicios de sesión que coincidan con las reglas de firewall basadas en ip o red virtual. | Auditar, Denegar, Deshabilitado | 2.0.0 |
| El acceso a redes públicas debe estar deshabilitado para los servidores PostgreSQL | Deshabilite la propiedad de acceso a la red pública para mejorar la seguridad y asegúrese de que solo se puede acceder a la Azure Database for PostgreSQL desde un punto de conexión privado. Esta configuración deshabilita el acceso desde cualquier espacio de direcciones públicas fuera de Azure intervalo IP y deniega todos los inicios de sesión que coincidan con las reglas de firewall basadas en red virtual o IP. | Auditar, Denegar, Deshabilitado | 2.0.1 |
| Registros de Azure Data Lake Store deben estar habilitados | Habilitación de la auditoría de los registros de recursos. Esto le permite volver a crear seguimientos de actividad con fines de investigación en caso de incidente de seguridad o riesgo para la red. | AuditIfNotExists, Deshabilitado | 5.0.0 |
| Registros de recursos en Azure Databricks Áreas de trabajo deben estar habilitados | Los registros de recursos habilitan que se vuelvan a crear seguimientos de actividad con fines de investigación en caso de que se produzcan incidentes de seguridad o riesgos para la red. | AuditIfNotExists, Deshabilitado | 1.0.1 |
| los registros Resource en Azure Kubernetes Service deben estar habilitados | los registros de recursos de Azure Kubernetes Service pueden ayudar a volver a crear pistas de actividad al investigar incidentes de seguridad. Habilite esta opción para asegurarse de que los registros existirán cuando sea necesario | AuditIfNotExists, Deshabilitado | 1.0.0 |
| Registros de recursos en áreas de trabajo de Azure Machine Learning deben estar habilitados | Los registros de recursos habilitan que se vuelvan a crear seguimientos de actividad con fines de investigación en caso de que se produzcan incidentes de seguridad o riesgos para la red. | AuditIfNotExists, Deshabilitado | 1.0.1 |
| los registros Resource de Azure Stream Analytics deben estar habilitados | Habilitación de la auditoría de los registros de recursos. Esto le permite volver a crear seguimientos de actividad con fines de investigación en caso de incidente de seguridad o riesgo para la red. | AuditIfNotExists, Deshabilitado | 5.0.0 |
| Los registros de recursos de las cuentas de Batch deben estar habilitados. | Habilitación de la auditoría de los registros de recursos. Esto le permite volver a crear seguimientos de actividad con fines de investigación en caso de incidente de seguridad o riesgo para la red. | AuditIfNotExists, Deshabilitado | 5.0.0 |
| Registros de recursos en Data Lake Analytics deben estar habilitados | Habilitación de la auditoría de los registros de recursos. Esto le permite volver a crear seguimientos de actividad con fines de investigación en caso de incidente de seguridad o riesgo para la red. | AuditIfNotExists, Deshabilitado | 5.0.0 |
| Los registros de recursos de la instancia de Event Hubs deben estar habilitados. | Habilitación de la auditoría de los registros de recursos. Esto le permite volver a crear seguimientos de actividad con fines de investigación en caso de incidente de seguridad o riesgo para la red. | AuditIfNotExists, Deshabilitado | 5.0.0 |
| los registros Resource de IoT Hub deben estar habilitados | Habilitación de la auditoría de los registros de recursos. Esto le permite volver a crear seguimientos de actividad con fines de investigación en caso de incidente de seguridad o riesgo para la red. | AuditIfNotExists, Deshabilitado | 3.1.0 |
| los registros Resource de Key Vault deben estar habilitados | Habilitación de la auditoría de los registros de recursos. De esta forma, puede volver a crear seguimientos de actividad con fines de investigación en caso de incidentes de seguridad o riesgos para la red. | AuditIfNotExists, Deshabilitado | 5.0.0 |
| Los registros de recursos de Logic Apps deben estar habilitados | Habilitación de la auditoría de los registros de recursos. Esto le permite volver a crear seguimientos de actividad con fines de investigación en caso de incidente de seguridad o riesgo para la red. | AuditIfNotExists, Deshabilitado | 5.1.0 |
| Los registros de recursos de los servicios Search deben estar habilitados. | Habilitación de la auditoría de los registros de recursos. Esto le permite volver a crear seguimientos de actividad con fines de investigación en caso de incidente de seguridad o riesgo para la red. | AuditIfNotExists, Deshabilitado | 5.0.0 |
| los registros Resource de Service Bus deben estar habilitados | Habilitación de la auditoría de los registros de recursos. Esto le permite volver a crear seguimientos de actividad con fines de investigación en caso de incidente de seguridad o riesgo para la red. | AuditIfNotExists, Deshabilitado | 5.0.0 |
| Role-Based Access Control (RBAC) debe usarse en Kubernetes Services | Para proporcionar un filtrado pormenorizado sobre las acciones que pueden realizar los usuarios, use Role-Based Access Control (RBAC) para administrar permisos en clústeres de Kubernetes Service y configurar directivas de autorización pertinentes. | Auditar, Deshabilitado | 1.1.0 |
| Se debe habilitar la transferencia segura a las cuentas de almacenamiento | Permite auditar el requisito de transferencia segura en la cuenta de almacenamiento. La transferencia segura es una opción que obliga a la cuenta de almacenamiento a aceptar solamente solicitudes de conexiones seguras (HTTPS). El uso de HTTPS garantiza la autenticación entre el servidor y el servicio, y protege los datos en tránsito de ataques de nivel de red, como los de tipo "Man in the middle", interceptación y secuestro de sesión | Auditar, Denegar, Deshabilitado | 2.0.0 |
| Service Fabric clusters debe tener la propiedad ClusterProtectionLevel establecida en EncryptAndSign | Service Fabric proporciona tres niveles de protección (None, Sign y EncryptAndSign) para la comunicación de nodo a nodo mediante un certificado de clúster principal. Establezca el nivel de protección para asegurarse de que todos los mensajes de nodo a nodo se cifran y se firman digitalmente. | Auditar, Denegar, Deshabilitado | 1.1.0 |
| los clústeres de Service Fabric solo deben usar Azure Active Directory para la autenticación de cliente | Auditar el uso de la autenticación de cliente solo a través de Azure Active Directory en Service Fabric | Auditar, Denegar, Deshabilitado | 1.1.0 |
| Las bases de datos SQL deben tener resueltos los hallazgos de vulnerabilidades. | Permite supervisar los resultados del examen de evaluación de puntos vulnerables y las recomendaciones para solucionar los de las bases de datos. | AuditIfNotExists, Deshabilitado | 4.1.0 |
| Las instancias administradas de SQL deben usar claves administradas por el cliente para cifrar los datos en reposo | La implementación de Cifrado de datos transparente (TDE) con su propia clave le proporciona mayor transparencia y control sobre el protector de TDE, mayor seguridad con un servicio externo respaldado por HSM y promoción de la separación de tareas. Esta recomendación se aplica a las organizaciones con un requisito de cumplimiento relacionado. | Auditar, Denegar, Deshabilitado | 2.0.0 |
| El aprovisionamiento automático dirigido al servidor SQL debería estar habilitado para el plan de servidores SQL en máquinas | Para asegurarse de que las máquinas virtuales de SQL y los servidores SQL Server habilitados para Arc están protegidas, asegúrese de que el agente de supervisión de Azure destino de SQL está configurado para implementarse automáticamente. Esto también es necesario si ha configurado previamente el aprovisionamiento automático del agente de supervisión de Microsoft, ya que ese componente está en desuso. Más información: https://aka.ms/SQLAMAMigration | AuditIfNotExists, Deshabilitado | 1.0.0 |
| Los servidores SQL de las máquinas deben tener resueltos los hallazgos de vulnerabilidades. | La evaluación de vulnerabilidades de SQL examina la base de datos en busca de vulnerabilidades de seguridad y expone las posibles desviaciones de los procedimientos recomendados, como errores de configuración, permisos excesivos y datos confidenciales sin protección. La corrección de las vulnerabilidades detectadas puede mejorar considerablemente la posición de seguridad de la base de datos. | AuditIfNotExists, Deshabilitado | 1.0.0 |
| Los servidores SQL deben usar claves administradas por el cliente para cifrar los datos en reposo | La implementación de Cifrado de datos transparente (TDE) con su propia clave proporciona mayor transparencia y control sobre el protector de TDE, mayor seguridad con un servicio externo respaldado por HSM y promoción de la separación de tareas. Esta recomendación se aplica a las organizaciones con un requisito de cumplimiento relacionado. | Auditar, Denegar, Deshabilitado | 2.0.1 |
| Los servidores SQL Server con auditoría en el destino de la cuenta de almacenamiento se deben configurar con una retención de 90 días o superior. | Para fines de investigación de incidentes, se recomienda establecer la retención de datos para la auditoría de la SQL Server en el destino de la cuenta de almacenamiento en al menos 90 días. Confirme que cumple las reglas de retención necesarias para las regiones en las que trabaja. A veces, es necesario para cumplir con los estándares normativos. | AuditIfNotExists, Deshabilitado | 3.0.0 |
| No se debe permitir el acceso público a la cuenta de almacenamiento | El acceso de lectura público anónimo a contenedores y blobs en Azure Storage es una manera cómoda de compartir datos, pero podría presentar riesgos de seguridad. Para evitar infracciones de datos causadas por el acceso anónimo no deseado, Microsoft recomienda evitar el acceso público a una cuenta de almacenamiento a menos que el escenario lo requiera. | auditar, Auditoría, denegar, Denegar, deshabilitado, Deshabilitado | 3.1.1 |
| las cuentas de Storage deben migrarse a nuevos recursos de Azure Resource Manager | Use nuevos Azure Resource Manager para las cuentas de almacenamiento para proporcionar mejoras de seguridad como: mayor control de acceso (RBAC), mejor auditoría, implementación y gobernanza basadas en Azure Resource Manager, acceso a identidades administradas, acceso al almacén de claves para secretos, Azure Autenticación basada en AD y compatibilidad con etiquetas y grupos de recursos para facilitar la administración de seguridad | Auditar, Denegar, Deshabilitado | 1.0.0 |
| Las cuentas de almacenamiento deben evitar el acceso a claves compartidas | Requisito de auditoría de Azure Active Directory (Azure AD) para autorizar las solicitudes de la cuenta de almacenamiento. De forma predeterminada, las solicitudes se pueden autorizar con credenciales de Azure Active Directory o mediante la clave de acceso de la cuenta para la autorización de clave compartida. De estos dos tipos de autorización, Azure AD proporciona mayor seguridad y facilidad de uso en clave compartida, y se recomienda mediante Microsoft. | Auditar, Denegar, Deshabilitado | 2.0.0 |
| Las cuentas de almacenamiento deben impedir el acceso a claves compartidas (excepto las cuentas de almacenamiento creadas por Databricks) | Requisito de auditoría de Azure Active Directory (Azure AD) para autorizar las solicitudes de la cuenta de almacenamiento. De forma predeterminada, las solicitudes se pueden autorizar con credenciales de Azure Active Directory o mediante la clave de acceso de la cuenta para la autorización de clave compartida. De estos dos tipos de autorización, Azure AD proporciona mayor seguridad y facilidad de uso en clave compartida, y se recomienda mediante Microsoft. | Auditar, Denegar, Deshabilitado | 1.0.0 |
| Se debe restringir el acceso de red a las cuentas de almacenamiento | El acceso de red a las cuentas de almacenamiento debe estar restringido. Configure reglas de red, solo las aplicaciones de redes permitidas pueden acceder a la cuenta de almacenamiento. Para permitir conexiones desde clientes específicos de Internet o locales, se puede conceder acceso al tráfico desde redes virtuales específicas Azure o a intervalos de direcciones IP de Internet públicas. | Auditar, Denegar, Deshabilitado | 1.1.1 |
| Las cuentas de almacenamiento deben restringir el acceso a la red mediante el uso de reglas de red virtual | Proteja las cuentas de almacenamiento frente a amenazas potenciales mediante reglas de red virtual como método preferente en lugar de filtrado basado en IP. La deshabilitación del filtrado basado en IP evita que las direcciones IP públicas accedan a las cuentas de almacenamiento. | Auditar, Denegar, Deshabilitado | 1.0.1 |
| Las cuentas de almacenamiento deben restringir el acceso a la red mediante reglas de red virtual (excepto las cuentas de almacenamiento creadas por Databricks). | Proteja las cuentas de almacenamiento frente a amenazas potenciales mediante reglas de red virtual como método preferente en lugar de filtrado basado en IP. La deshabilitación del filtrado basado en IP evita que las direcciones IP públicas accedan a las cuentas de almacenamiento. | Auditar, Denegar, Deshabilitado | 1.0.0 |
| Las cuentas de almacenamiento deben utilizar una clave administrada por el cliente para el cifrado. | Proteja su cuenta de almacenamiento de blobs y archivos con mayor flexibilidad mediante claves administradas por el cliente. Cuando se especifica una clave administrada por el cliente, esa clave se usa para proteger y controlar el acceso a la clave que cifra los datos. El uso de claves administradas por el cliente proporciona funcionalidades adicionales para controlar la rotación de la clave de cifrado de claves o para borrar datos mediante criptografía. | Auditar, Deshabilitado | 1.0.3 |
| Las cuentas de almacenamiento deben usar un vínculo privado. | Azure Private Link permite conectar la red virtual a Azure servicios sin una dirección IP pública en el origen o destino. La plataforma Private Link controla la conectividad entre el consumidor y los servicios a través de la red troncal de Azure. Al asignar puntos de conexión privados a su cuenta de almacenamiento, se reduce el riesgo de pérdida de datos. Más información sobre los vínculos privados en https://aka.ms/azureprivatelinkoverview. | AuditIfNotExists, Deshabilitado | 2.0.0 |
| Las cuentas de almacenamiento deben usar un vínculo privado (excepto las cuentas de almacenamiento creadas por Databricks) | Azure Private Link permite conectar la red virtual a Azure servicios sin una dirección IP pública en el origen o destino. La plataforma Private Link controla la conectividad entre el consumidor y los servicios a través de la red troncal de Azure. Al asignar puntos de conexión privados a su cuenta de almacenamiento, se reduce el riesgo de pérdida de datos. Más información sobre los vínculos privados en https://aka.ms/azureprivatelinkoverview. | AuditIfNotExists, Deshabilitado | 1.0.0 |
| Las subredes deben estar asociadas con un grupo de seguridad de red. | Proteja la subred de posibles amenazas mediante la restricción del acceso con un grupo de seguridad de red (NSG). Los NSG contienen una lista de reglas de lista de Access Control (ACL) que permiten o deniegan el tráfico de red a la subred. | AuditIfNotExists, Deshabilitado | 3.0.0 |
| Las suscripciones deben tener una dirección de correo electrónico de contacto para los problemas de seguridad | Para asegurarse de que las personas pertinentes de la organización reciban una notificación cuando se produzca una vulneración de seguridad potencial en una de las suscripciones, establezca un contacto de seguridad para la recepción de notificaciones por correo electrónico de Security Center. | AuditIfNotExists, Deshabilitado | 1.0.1 |
| las áreas de trabajo de Synapse deben tener habilitada la autenticación solo Microsoft Entra | Requerir que las áreas de trabajo de Synapse usen Microsoft Entra autenticación solo. Esta directiva no impide que se creen áreas de trabajo con la autenticación local habilitada. Impide que la autenticación local se habilite en los recursos después de crearla. Considere la posibilidad de usar la iniciativa "autenticación solo Microsoft Entra" en su lugar para requerir ambos. Más información en: https://aka.ms/Synapse. | Auditar, Denegar, Deshabilitado | 1.0.0 |
| Synapse Workspaces solo debe usar identidades de Microsoft Entra para la autenticación durante la creación del área de trabajo | Requerir la creación de áreas de trabajo de Synapse con autenticación de solo Microsoft Entra. Esta directiva no impide que la autenticación local se vuelva a habilitar en los recursos después de su creación. Considere la posibilidad de usar la iniciativa "autenticación solo Microsoft Entra" en su lugar para requerir ambos. Más información en: https://aka.ms/Synapse. | Auditar, Denegar, Deshabilitado | 1.2.0 |
| Se deben instalar las actualizaciones del sistema en las máquinas (con la tecnología del Centro de actualización) | A las máquinas les faltan actualizaciones del sistema, de seguridad y actualizaciones críticas. Las actualizaciones de software a menudo incluyen revisiones críticas para las vulnerabilidades de seguridad. Dichas vulnerabilidades se aprovechan con frecuencia en ataques de malware, por lo que es fundamental mantener el software actualizado. Para instalar todas las revisiones pendientes y proteger las máquinas, siga los pasos de corrección. | AuditIfNotExists, Deshabilitado | 1.0.1 |
| Debe haber más de un propietario asignado a la suscripción | Se recomienda que designe a más de un propietario de la suscripción para tener redundancia de acceso de administrador. | AuditIfNotExists, Deshabilitado | 3.0.0 |
| Cifrado de datos transparente en bases de datos SQL debe estar habilitada | El cifrado de datos transparente debe estar habilitado para proteger los datos en reposo y satisfacer los requisitos de cumplimiento. | AuditIfNotExists, Deshabilitado | 2.0.0 |
| Las máquinas virtuales y los conjuntos de escalado de máquinas virtuales deben tener habilitado el cifrado en el host | Use el cifrado en el host para obtener el cifrado de un extremo a otro para la máquina virtual y los datos del conjunto de escalado de máquinas virtuales. El cifrado en el host permite el cifrado en reposo para las memorias caché de disco temporal y de sistema operativo y de datos. Los discos temporales y los discos de SO efímeros se cifran con claves administradas por la plataforma cuando se habilita el cifrado en el host. Las memorias caché del disco de datos y de sistema operativo se cifran en reposo con claves administradas por el cliente o por la plataforma, según el tipo de cifrado seleccionado en el disco. Obtenga más información en https://aka.ms/vm-hbe. | Auditar, Denegar, Deshabilitado | 1.0.0 |
| las máquinas Virtual deben migrarse a nuevos recursos de Azure Resource Manager | Use nuevos Azure Resource Manager para las máquinas virtuales para proporcionar mejoras de seguridad como: un control de acceso más seguro (RBAC), una mejor auditoría, Azure Resource Manager implementación y gobernanza basada en el acceso a identidades administradas, acceso al almacén de claves para secretos, Azure Autenticación basada en AD y compatibilidad con etiquetas y grupos de recursos para facilitar la administración de seguridad | Auditar, Denegar, Deshabilitado | 1.0.0 |
| La extensión "Configuración de invitado" de las máquinas virtuales debe implementarse con una identidad administrada asignada por el sistema. | La extensión Configuración de invitado requiere una identidad administrada asignada por el sistema. Azure máquinas virtuales en el ámbito de esta directiva no serán compatibles cuando tengan instalada la extensión Configuración de invitado, pero no tengan una identidad administrada asignada por el sistema. Más información en https://aka.ms/gcpol. | AuditIfNotExists, Deshabilitado | 1.0.1 |
| Las plantillas de VM Image Builder deben usar Private Link | Azure Private Link permite conectar la red virtual a Azure servicios sin una dirección IP pública en el origen o destino. La plataforma Private Link controla la conectividad entre el consumidor y los servicios a través de la red troncal de Azure. Mediante la asignación de puntos de conexión privados a los recursos de creación del generador de imágenes de máquina virtual, se reducen los riesgos de pérdida de datos. Más información sobre los vínculos privados en https://docs.microsoft.com/azure/virtual-machines/linux/image-builder-networking#deploy-using-an-existing-vnet. | Auditar, Deshabilitado, Denegar | 1.1.0 |
| las puertas de enlace VPN solo deben usar la autenticación de Azure Active Directory (Azure AD) para usuarios de punto a sitio | La deshabilitación de métodos de autenticación local mejora la seguridad asegurándose de que las puertas de enlace de VPN solo usan Azure Active Directory identidades para la autenticación. Obtenga más información sobre Azure autenticación de AD en https://docs.microsoft.com/azure/vpn-gateway/openvpn-azure-ad-tenant | Auditar, Denegar, Deshabilitado | 1.0.0 |
| Se debe habilitar la evaluación de la vulnerabilidad en SQL Managed Instance | Audite cada SQL Managed Instance que no tenga habilitados exámenes periódicos de evaluación de vulnerabilidades. La evaluación de vulnerabilidades permite detectar las vulnerabilidades potenciales de la base de datos, así como hacer un seguimiento y ayudar a corregirlas. | AuditIfNotExists, Deshabilitado | 1.0.1 |
| La evaluación de vulnerabilidades debe estar activada en sus servidores de SQL Server | Audite Azure SQL servidores que no tienen configurada correctamente la evaluación de vulnerabilidades. La evaluación de vulnerabilidades permite detectar las vulnerabilidades potenciales de la base de datos, así como hacer un seguimiento y ayudar a corregirlas. | AuditIfNotExists, Deshabilitado | 3.0.0 |
| Web Application Firewall (WAF) debe estar habilitado para Application Gateway | Implemente Azure Web Application Firewall (WAF) delante de las aplicaciones web orientadas al público para una inspección adicional del tráfico entrante. Web Application Firewall (WAF) proporciona protección centralizada de las aplicaciones web frente a vulnerabilidades de seguridad comunes, como inyecciones de SQL, scripting entre sitios, ejecuciones de archivos locales y remotas. También permite restringir el acceso a las aplicaciones web por países, intervalos de direcciones IP y otros parámetros http(s) por medio de reglas personalizadas. | Auditar, Denegar, Deshabilitado | 2.0.0 |
| Windows Defender Protección contra vulnerabilidades de seguridad debe estar habilitada en las máquinas | Windows Defender Protección contra vulnerabilidades de seguridad usa el agente de configuración de invitado de Azure Policy. Protección contra vulnerabilidades de seguridad tiene cuatro componentes diseñados para bloquear dispositivos frente a una amplia variedad de vectores de ataque y comportamientos de bloqueo que se usan habitualmente en ataques de malware, al tiempo que permiten a las empresas equilibrar sus requisitos de seguridad y productividad (solo Windows). | AuditIfNotExists, Deshabilitado | 2.0.0 |
| Windows las máquinas deben configurarse para usar protocolos de comunicación seguros | Para proteger la privacidad de la información que se comunica a través de Internet, las máquinas deben usar la versión más reciente del protocolo criptográfico estándar del sector, Seguridad de la capa de transporte (TLS). TLS protege las comunicaciones que se realizan a través de una red para cifrar una conexión entre máquinas. | AuditIfNotExists, Deshabilitado | 4.1.1 |
| Windows las máquinas deben cumplir los requisitos de la línea base de seguridad de proceso Azure | Requiere que los requisitos previos se implementen en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. Las máquinas no son compatibles si la máquina no está configurada correctamente para una de las recomendaciones de la línea base de seguridad de proceso de Azure. | AuditIfNotExists, Deshabilitado | 2.1.1 |
| Windows las máquinas virtuales deben habilitar Azure Disk Encryption o EncryptionAtHost. | Aunque el sistema operativo y los discos de datos de una máquina virtual están cifrados en reposo de forma predeterminada mediante claves administradas por la plataforma, los discos de recursos (discos temporales), las memorias caché de datos y los datos que fluyen entre los recursos de proceso y almacenamiento no se cifran. Use Azure Disk Encryption o EncryptionAtHost para corregir. Visite https://aka.ms/diskencryptioncomparison para comparar las ofertas de cifrado. Esta directiva requiere que se implementen dos requisitos previos en el ámbito de asignación de directiva. Para más detalles, visite https://aka.ms/gcpol. | AuditIfNotExists, Deshabilitado | 1.1.1 |
categoría Microsoft Defender for Cloud
| Name (Azure portal) |
Description | Effect(s) | Version (GitHub) |
|---|---|---|---|
| La extensión ChangeTracking debe instalarse en la máquina de Arc para Linux. | Instale la extensión ChangeTracking en máquinas Linux Arc para habilitar la supervisión de integridad de archivos (FIM) en Azure Security Center. FIM examina los archivos del sistema operativo, los registros Windows, el software de aplicación, los archivos del sistema Linux, etc., para ver los cambios que podrían indicar un ataque. La extensión se puede instalar en máquinas virtuales y ubicaciones compatibles con Azure Agente de supervisión. | AuditIfNotExists, Deshabilitado | 1.0.0-preview |
| [Versión preliminar]: la extensión ChangeTracking debe estar instalada en la máquina virtual Linux | Instale la extensión ChangeTracking en máquinas virtuales Linux para habilitar la supervisión de integridad de archivos (FIM) en Azure Security Center. FIM examina los archivos del sistema operativo, los registros Windows, el software de aplicación, los archivos del sistema Linux, etc., para ver los cambios que podrían indicar un ataque. La extensión se puede instalar en máquinas virtuales y ubicaciones compatibles con Azure Agente de supervisión. | AuditIfNotExists, Deshabilitado | 2.0.0-preview |
| [Versión preliminar]: la extensión ChangeTracking debe estar instalada en la máquina de Windows Arc | Instale la extensión ChangeTracking en Windows máquinas de Arc para habilitar la supervisión de integridad de archivos (FIM) en Azure Security Center. FIM examina los archivos del sistema operativo, los registros Windows, el software de aplicación, los archivos del sistema Linux, etc., para ver los cambios que podrían indicar un ataque. La extensión se puede instalar en máquinas virtuales y ubicaciones compatibles con Azure Agente de supervisión. | AuditIfNotExists, Deshabilitado | 1.0.0-preview |
| [Versión preliminar]: la extensión ChangeTracking debe instalarse en la máquina virtual Windows | Instale la extensión ChangeTracking en Windows máquinas virtuales para habilitar la supervisión de integridad de archivos (FIM) en Azure Security Center. FIM examina los archivos del sistema operativo, los registros Windows, el software de aplicación, los archivos del sistema Linux, etc., para ver los cambios que podrían indicar un ataque. La extensión se puede instalar en máquinas virtuales y ubicaciones compatibles con Azure Agente de supervisión. | AuditIfNotExists, Deshabilitado | 2.0.0-preview |
| [Versión preliminar]: Configuración de Azure Defender para agente SQL en la máquina virtual | Configure Windows máquinas para instalar automáticamente el Azure Defender para el agente SQL donde está instalado el agente de Azure Monitor. Security Center recopila eventos del agente y los usa para proporcionar alertas de seguridad y tareas de protección personalizadas (recomendaciones). Crea un grupo de recursos y Log Analytics área de trabajo en la misma región que la máquina. Las máquinas virtuales de destino deben estar en una ubicación admitida. | DeployIfNotExists, Deshabilitado | 1.0.0-preview |
| [Versión preliminar]: configurar los conjuntos de escalado de máquinas virtuales Linux compatibles para instalar automáticamente la extensión de atestación de invitados | Configure los conjuntos de escalado de máquinas virtuales Linux compatibles para instalar automáticamente la extensión de atestación de invitado para permitir que Azure Security Center atestiguar y supervisar de forma proactiva la integridad del arranque. La integridad del arranque se atestigua a través de la atestación remota. | DeployIfNotExists, Deshabilitado | 6.1.0-preview |
| [Versión preliminar]: configurar máquinas virtuales Linux compatibles para habilitar automáticamente el arranque seguro | Configure las máquinas virtuales Linux admitidas para habilitar automáticamente el arranque seguro para mitigar los cambios malintencionados y no autorizados en la cadena de arranque. Una vez habilitado, solo se permitirá la ejecución de cargadores de arranque de confianza, del kernel y de controladores de kernel. | DeployIfNotExists, Deshabilitado | 5.0.0-preview |
| [Versión preliminar]: configurar las máquinas virtuales Linux compatibles para instalar automáticamente la extensión de atestación de invitados | Configure las máquinas virtuales Linux compatibles para instalar automáticamente la extensión de atestación de invitado para permitir que Azure Security Center atestiguar y supervisar de forma proactiva la integridad del arranque. La integridad del arranque se atestigua a través de la atestación remota. | DeployIfNotExists, Deshabilitado | 7.1.0-preview |
| [Versión preliminar]: configurar las máquinas virtuales compatibles para habilitar automáticamente vTPM | Configure las máquinas virtuales admitidas para habilitar automáticamente vTPM para facilitar el arranque medido y otras características de seguridad del sistema operativo que requieren un TPM. Una vez habilitado, vTPM se puede usar para atestiguar la integridad del arranque. | DeployIfNotExists, Deshabilitado | 2.0.0-preview |
| [versión preliminar]: Configure los conjuntos de escalado de máquinas virtuales admitidos Windows para instalar automáticamente la extensión de atestación de invitado | Configure los conjuntos de escalado de máquinas virtuales compatibles Windows para instalar automáticamente la extensión de atestación de invitado para permitir que Azure Security Center atestiguar y supervisar de forma proactiva la integridad del arranque. La integridad del arranque se atestigua a través de la atestación remota. | DeployIfNotExists, Deshabilitado | 4.1.0-preview |
| [versión preliminar]: Configure máquinas virtuales de Windows compatibles para habilitar automáticamente el arranque seguro | Configure las máquinas virtuales admitidas Windows para habilitar automáticamente el arranque seguro para mitigar los cambios malintencionados y no autorizados en la cadena de arranque. Una vez habilitado, solo se permitirá la ejecución de cargadores de arranque de confianza, del kernel y de controladores de kernel. | DeployIfNotExists, Deshabilitado | 3.0.0-preview |
| [versión preliminar]: Configure las máquinas virtuales de Windows compatibles para instalar automáticamente la extensión de atestación de invitado | Configure las máquinas virtuales admitidas Windows para instalar automáticamente la extensión de atestación de invitado para permitir que Azure Security Center atestiguar y supervisar de forma proactiva la integridad del arranque. La integridad del arranque se atestigua a través de la atestación remota. | DeployIfNotExists, Deshabilitado | 5.1.0-preview |
| [Versión preliminar]: Configurar máquinas virtuales creadas con imágenes de Shared Image Gallery para instalar la extensión de atestación de invitado | Configure máquinas virtuales creadas con imágenes de Shared Image Gallery para instalar automáticamente la extensión de atestación de invitado para permitir que Azure Security Center atestiguar y supervisar de forma proactiva la integridad del arranque. La integridad del arranque se atestigua a través de la atestación remota. | DeployIfNotExists, Deshabilitado | 2.0.0-preview |
| [versión preliminar]: Configure VMSS creado con imágenes de Shared Image Gallery para instalar la extensión de atestación de invitado | Configure VMSS creado con imágenes de Shared Image Gallery para instalar automáticamente la extensión de atestación de invitado para permitir que Azure Security Center atestiguar y supervisar de forma proactiva la integridad del arranque. La integridad del arranque se atestigua a través de la atestación remota. | DeployIfNotExists, Deshabilitado | 2.1.0-preview |
| [versión preliminar]: Implementación del agente de Microsoft Defender para punto de conexión en máquinas híbridas Linux | Implementa Microsoft Defender para punto de conexión agente en máquinas híbridas Linux | DesplegarSiNoExiste, AuditarSiNoExiste, Deshabilitado | 2.0.1-preview |
| [Versión preliminar]: Implementación del agente de Microsoft Defender para punto de conexión en máquinas virtuales Linux | Implementa Microsoft Defender para punto de conexión agente en imágenes de máquina virtual Linux aplicables. | DesplegarSiNoExiste, AuditarSiNoExiste, Deshabilitado | 3.0.0-preview |
| [Versión preliminar]: Implementación del agente de Microsoft Defender para punto de conexión en máquinas Windows Azure Arc | Implementa Microsoft Defender para punto de conexión en máquinas Windows Azure Arc. | DesplegarSiNoExiste, AuditarSiNoExiste, Deshabilitado | 2.0.1-preview |
| [Versión preliminar]: Implementación del agente de Microsoft Defender para punto de conexión en máquinas virtuales de Windows | Implementa Microsoft Defender para punto de conexión en las imágenes de máquina virtual de Windows aplicables. | DesplegarSiNoExiste, AuditarSiNoExiste, Deshabilitado | 2.0.1-preview |
| [Versión preliminar]: la extensión de atestación de invitados debe estar instalada en las máquinas virtuales Linux admitidas | Instale la extensión de atestación de invitado en máquinas virtuales Linux compatibles para permitir que Azure Security Center atestiguar y supervisar de forma proactiva la integridad del arranque. Una vez instalada, la integridad del arranque se atestiguará mediante la atestación remota. Esta evaluación se aplica a las máquinas virtuales Linux confidenciales y de inicio seguro. | AuditIfNotExists, Deshabilitado | 6.0.0-preview |
| [Versión preliminar]: la extensión de atestación de invitados debe estar instalada en los conjuntos de escalado de máquinas virtuales Linux admitidos | Instale la extensión de atestación de invitado en los conjuntos de escalado de máquinas virtuales Linux compatibles para permitir que Azure Security Center atestiguar y supervisar de forma proactiva la integridad del arranque. Una vez instalada, la integridad del arranque se atestiguará mediante la atestación remota. Esta evaluación se aplica a los conjuntos de escalado de máquinas virtuales Linux confidenciales y de inicio seguro. | AuditIfNotExists, Deshabilitado | 5.1.0-preview |
| [versión preliminar]: La extensión de atestación de invitado debe instalarse en máquinas virtuales Windows compatibles | Instale la extensión de atestación de invitado en máquinas virtuales compatibles para permitir que Azure Security Center atestiguar y supervisar de forma proactiva la integridad del arranque. Una vez instalada, la integridad del arranque se atestiguará mediante la atestación remota. Esta evaluación se aplica a las máquinas virtuales de inicio seguro y confidencial Windows. | AuditIfNotExists, Deshabilitado | 4.0.0-preview |
| [versión preliminar]: la extensión de atestación de invitado debe instalarse en conjuntos de escalado de máquinas virtuales compatibles Windows | Instale la extensión de atestación de invitado en los conjuntos de escalado de máquinas virtuales compatibles para permitir que Azure Security Center atestiguar y supervisar de forma proactiva la integridad del arranque. Una vez instalada, la integridad del arranque se atestiguará mediante la atestación remota. Esta evaluación se aplica al inicio seguro y confidencial Windows conjuntos de escalado de máquinas virtuales. | AuditIfNotExists, Deshabilitado | 3.1.0-preview |
| [Versión preliminar]: las máquinas virtuales Linux solo deberían usar componentes de arranque firmados y de confianza | Todos los componentes de arranque del sistema operativo (cargador de arranque, kernel y controladores de kernel) deben estar firmados por editores de confianza. Defender for Cloud ha identificado componentes de arranque del sistema operativo que no son de confianza en una o varias de las máquinas Linux. Para proteger las máquinas de componentes potencialmente malintencionados, agréguelas a la lista de permitidos o quite los componentes identificados. | AuditIfNotExists, Deshabilitado | 1.0.0-preview |
| [Versión preliminar]: las máquinas virtuales Linux deben usar el arranque seguro | Para protegerse contra la instalación de rootkits y bootkits basados en malware, habilite el arranque seguro en las máquinas virtuales Linux admitidas. El arranque seguro garantiza que solo se permitirá la ejecución de controladores y sistemas operativos firmados. Esta evaluación solo se aplica a las máquinas virtuales Linux que tienen instalado el agente de Azure Monitor. | AuditIfNotExists, Deshabilitado | 1.0.0-preview |
| [Versión preliminar]: las máquinas deben tener puertos cerrados que puedan exponer vectores de ataque | Azure los Términos de uso prohíben el uso de Azure servicios de maneras que puedan dañar, deshabilitar, sobrecargar o dañar cualquier servidor Microsoft o la red. Los puertos expuestos identificados por esta recomendación deben cerrarse por motivos de seguridad continuados. Para cada puerto identificado, la recomendación también proporciona una explicación de la posible amenaza. | AuditIfNotExists, Deshabilitado | 1.0.0-preview |
| [versión preliminar]: El arranque seguro debe estar habilitado en máquinas virtuales Windows compatibles | Habilite el arranque seguro en máquinas virtuales admitidas Windows para mitigar los cambios malintencionados y no autorizados en la cadena de arranque. Una vez habilitado, solo se permitirá la ejecución de cargadores de arranque de confianza, del kernel y de controladores de kernel. Esta evaluación se aplica a las máquinas virtuales de inicio seguro y confidencial Windows. | Auditar, Deshabilitado | 4.0.0-preview |
| [Versión preliminar]: el estado de atestación de invitado de las máquinas virtuales debe ser correcto | La atestación de invitado se realiza mediante el envío de un registro de confianza (TCGLog) a un servidor de atestación. El servidor usa estos registros para determinar si los componentes de arranque son de confianza. Esta evaluación está pensada para detectar riesgos de la cadena de arranque que podrían ser el resultado de una infección por bootkit o rootkit. Esta evaluación solo se aplica a las máquinas virtuales habilitadas para el inicio seguro de confianza que tengan instalada la extensión de atestación de invitado. | AuditIfNotExists, Deshabilitado | 1.0.0-preview |
| [Versión preliminar]: vTPM debe estar habilitado en las máquinas virtuales admitidas | Habilite el dispositivo TPM virtual en máquinas virtuales compatibles para facilitar el arranque medido y otras características de seguridad del sistema operativo que requieren un TPM. Una vez habilitado, vTPM se puede usar para atestiguar la integridad del arranque. Esta evaluación solo se aplica a las máquinas virtuales habilitadas para el inicio seguro. | Auditar, Deshabilitado | 2.0.0-preview |
| Debe designar un máximo de tres propietarios para la suscripción | Se recomienda que designe a un máximo de tres propietarios de suscripción para reducir el riesgo de una brecha de seguridad por parte de un propietario en peligro. | AuditIfNotExists, Deshabilitado | 3.0.0 |
| Debe habilitarse una solución de evaluación de vulnerabilidades en sus máquinas virtuales | Audita las máquinas virtuales para detectar si ejecutan una solución de evaluación de vulnerabilidades admitida. Un componente fundamental de cada programa de seguridad y riesgo cibernético es la identificación y el análisis de las vulnerabilidades. Azure Security Center plan de tarifa estándar incluye el examen de vulnerabilidades de las máquinas virtuales sin costo adicional. Además, Security Center puede implementar automáticamente esta herramienta. | AuditIfNotExists, Deshabilitado | 3.0.0 |
| Todos los puertos de red deben estar restringidos en los grupos de seguridad de red asociados a la máquina virtual | Azure Security Center ha identificado que algunas de las reglas de entrada de los grupos de seguridad de red son demasiado permisivas. Las reglas de entrada no deben permitir el acceso desde los intervalos "Cualquiera" o "Internet". Esto podría permitir que los atacantes pudieran acceder a sus recursos. | AuditIfNotExists, Deshabilitado | 3.0.0 |
| los puntos de conexión API en Azure API Management deben autenticarse | Los puntos de conexión de API publicados en Azure API Management deben aplicar la autenticación para ayudar a minimizar el riesgo de seguridad. A veces, los mecanismos de autenticación se implementan incorrectamente o faltan. Esto permite a los atacantes aprovechar los errores de implementación y acceder a los datos. Obtenga más información sobre la amenaza de la API de OWASP para la autenticación de usuario rota aquí: https://dori-uw-1.kuma-moon.com/azure/api-management/mitigate-owasp-api-threats#broken-user-authentication | AuditIfNotExists, Deshabilitado | 1.0.1 |
| los puntos de conexión API que no se usan deben deshabilitarse y quitarse del servicio Azure API Management | Como procedimiento recomendado de seguridad, los puntos de conexión de API que no han recibido tráfico durante 30 días se consideran sin usar y se deben quitar del servicio Azure API Management. Mantener los puntos de conexión de API sin usar puede suponer un riesgo de seguridad para su organización. Estas pueden ser API que deben haber quedado en desuso desde el servicio Azure API Management, pero que pueden haberse dejado activas accidentalmente. Normalmente, estas API no reciben la cobertura de seguridad más actualizada. | AuditIfNotExists, Deshabilitado | 1.0.1 |
| Assign System Assigned identity to SQL Virtual Machines | Asigne la identidad asignada por el sistema a escala a Windows máquinas virtuales SQL. | DeployIfNotExists, Deshabilitado | 1.0.0 |
| Los intervalos IP autorizados deben definirse en los servicios de Kubernetes | Restrinja el acceso a la API de administración de servicios de Kubernetes mediante la concesión de acceso de API solo a direcciones IP en intervalos específicos. Se recomienda limitar el acceso a los intervalos IP autorizados para garantizar que solo las aplicaciones de las redes permitidas puedan acceder al clúster. | Auditar, Deshabilitado | 2.0.1 |
| Azure DDoS Protection debe estar habilitado | DDoS Protection debe estar habilitado en todas las redes virtuales que tengan una subred que forme parte de una instancia de Application Gateway con una dirección IP pública. | AuditIfNotExists, Deshabilitado | 3.0.1 |
| Azure Defender para App Service debe estar habilitado | Azure Defender para App Service aprovecha la escala de la nube y la visibilidad que Azure tiene como proveedor de nube para supervisar los ataques comunes de aplicaciones web. | AuditIfNotExists, Deshabilitado | 1.0.3 |
| Azure Defender para los servidores de Azure SQL Database deben estar habilitados | Azure Defender para SQL proporciona funcionalidad para exponer y mitigar posibles vulnerabilidades de base de datos, detectar actividades anómalas que podrían indicar amenazas a las bases de datos SQL y detectar y clasificar datos confidenciales. | AuditIfNotExists, Deshabilitado | 1.0.2 |
| Azure Defender para Key Vault debe estar habilitado | Azure Defender para Key Vault proporciona una capa adicional de inteligencia de protección y seguridad mediante la detección de intentos inusuales y potencialmente dañinos de acceder o aprovechar las cuentas de key vault. | AuditIfNotExists, Deshabilitado | 1.0.3 |
| Azure Defender para bases de datos relacionales de código abierto deben estar habilitadas | Azure Defender para bases de datos relacionales de código abierto detecta actividades anómalas que indican intentos inusuales y potencialmente dañinos de acceder a las bases de datos o aprovecharlas. Obtenga más información sobre las funcionalidades de Azure Defender para bases de datos relacionales de código abierto en https://aka.ms/AzDforOpenSourceDBsDocu. Importante: La habilitación de este plan dará lugar a cargos por la protección de las bases de datos relacionales de código abierto. Obtenga información sobre los precios en la página de precios de Security Center: https://aka.ms/pricing-security-center. | AuditIfNotExists, Deshabilitado | 1.0.0 |
| Azure Defender para Resource Manager debe estar habilitado | Azure Defender para Resource Manager supervisa automáticamente las operaciones de administración de recursos de la organización. Azure Defender detecta amenazas y alertas sobre la actividad sospechosa. Obtenga más información sobre las funcionalidades de Azure Defender para Resource Manager en https://aka.ms/defender-for-resource-manager . La habilitación de este plan Azure Defender genera cargos. Obtenga información sobre los detalles de los precios por región en la página de precios de Security Center: https://aka.ms/pricing-security-center. | AuditIfNotExists, Deshabilitado | 1.0.0 |
| Azure Defender para servidores debe estar habilitado | Azure Defender para servidores proporciona protección contra amenazas en tiempo real para cargas de trabajo de servidor y genera recomendaciones de protección, así como alertas sobre actividades sospechosas. | AuditIfNotExists, Deshabilitado | 1.0.3 |
| Azure Defender para servidores SQL Server en máquinas debe estar habilitado | Azure Defender para SQL proporciona funcionalidad para exponer y mitigar posibles vulnerabilidades de base de datos, detectar actividades anómalas que podrían indicar amenazas a las bases de datos SQL y detectar y clasificar datos confidenciales. | AuditIfNotExists, Deshabilitado | 1.0.2 |
| Azure Defender para SQL debe estar habilitado para servidores flexibles MySQL no protegidos | Auditoría de servidores flexibles de MySQL sin Advanced Data Security | AuditIfNotExists, Deshabilitado | 1.0.0 |
| Azure Defender para SQL debe estar habilitado para servidores flexibles postgreSQL no protegidos | Auditoría de servidores flexibles de PostgreSQL sin Advanced Data Security | AuditIfNotExists, Deshabilitado | 1.0.0 |
| Azure las imágenes de contenedor del registro deben tener vulnerabilidades resueltas (con tecnología de Administración de vulnerabilidades de Microsoft Defender) | La evaluación de vulnerabilidades de la imagen de contenedor examina el registro para detectar vulnerabilidades conocidas (CVE) y proporciona un informe detallado de vulnerabilidades para cada imagen. La resolución de vulnerabilidades puede mejorar considerablemente la posición de seguridad, lo que garantiza que las imágenes sean seguras para usarlas antes de la implementación. | AuditIfNotExists, Deshabilitado | 1.0.1 |
| Azure las imágenes de contenedor en ejecución deben tener vulnerabilidades resueltas (con tecnología de Administración de vulnerabilidades de Microsoft Defender) | La evaluación de vulnerabilidades de la imagen de contenedor examina el registro para detectar vulnerabilidades conocidas (CVE) y proporciona un informe detallado de vulnerabilidades para cada imagen. Esta recomendación proporciona visibilidad de las imágenes vulnerables que se ejecutan actualmente en los clústeres de Kubernetes. La corrección de vulnerabilidades en imágenes de contenedor que se están ejecutando actualmente es clave para mejorar la posición de seguridad, lo que reduce significativamente la superficie expuesta a ataques para las cargas de trabajo en contenedores. | AuditIfNotExists, Deshabilitado | 1.0.1 |
| Cuentas bloqueadas con permisos de propietario en recursos de Azure se deben quitar | Quitar de la suscripción las cuentas en desuso con permisos de propietario Las cuentas en desuso son cuentas en las que se ha bloqueado el inicio de sesión. | AuditIfNotExists, Deshabilitado | 1.0.0 |
| Cuentas desbloqueadas con permisos de lectura y escritura en recursos de Azure se deben quitar | Convendría eliminar las cuentas en desuso de las suscripciones. Las cuentas en desuso son cuentas en las que se ha bloqueado el inicio de sesión. | AuditIfNotExists, Deshabilitado | 1.0.0 |
| La extensión ChangeTracking debe instalarse en los conjuntos de escalado de máquinas virtuales Linux | Instale la extensión ChangeTracking en conjuntos de escalado de máquinas virtuales Linux para habilitar la supervisión de integridad de archivos (FIM) en Azure Security Center. FIM examina los archivos del sistema operativo, los registros Windows, el software de aplicación, los archivos del sistema Linux, etc., para ver los cambios que podrían indicar un ataque. La extensión se puede instalar en máquinas virtuales y ubicaciones compatibles con Azure Agente de supervisión. | AuditIfNotExists, Deshabilitado | 2.0.1 |
| ExtensiónChangeTracking debe instalarse en los conjuntos de escalado de máquinas virtuales Windows | Instale la extensión ChangeTracking en Windows conjuntos de escalado de máquinas virtuales para habilitar la supervisión de integridad de archivos (FIM) en Azure Security Center. FIM examina los archivos del sistema operativo, los registros Windows, el software de aplicación, los archivos del sistema Linux, etc., para ver los cambios que podrían indicar un ataque. La extensión se puede instalar en máquinas virtuales y ubicaciones compatibles con Azure Agente de supervisión. | AuditIfNotExists, Deshabilitado | 2.0.1 |
| Las instancias de rol de Cloud Services (soporte extendido) deben configurarse de forma segura | Proteja las instancias de rol de Cloud Service (soporte extendido) de los ataques asegurándose de que no se expongan a ninguna vulnerabilidad del sistema operativo. | AuditIfNotExists, Deshabilitado | 1.0.0 |
| Las instancias de rol de Cloud Services (soporte extendido) deben tener instaladas las actualizaciones del sistema | Proteja sus instancias de rol de Cloud Services (soporte extendido) asegurándose de que las actualizaciones críticas y de seguridad más recientes estén instaladas en ellas. | AuditIfNotExists, Deshabilitado | 1.0.0 |
| Configurar Protección contra amenazas avanzada habilitar en Azure base de datos para servidores flexibles mySQL | Habilite Protección contra amenazas avanzada en la base de datos de Azure para servidores flexibles de MySQL para detectar actividades anómalas que indican intentos inusuales y potencialmente dañinos de acceder a las bases de datos o aprovecharlas. | DeployIfNotExists, Deshabilitado | 1.0.0 |
| Configurar Protección contra amenazas avanzada habilitar en Azure base de datos para servidores flexibles de PostgreSQL | Habilite Protección contra amenazas avanzada en la base de datos de Azure para servidores flexibles de PostgreSQL para detectar actividades anómalas que indican intentos inusuales y potencialmente dañinos de acceder o aprovechar las bases de datos. | DeployIfNotExists, Deshabilitado | 1.1.0 |
| Configurar servidores SQL Server habilitados para Arc para instalar automáticamente Azure Monitor Agent | Automatice la implementación de la extensión Azure Monitor Agent en los servidores SQL Server habilitados para Windows Arc. Más información: https://aka.ms/AMAOverview. | DeployIfNotExists, Deshabilitado | 1.3.0 |
| Configurar servidores SQL Server habilitados para Arc para instalar automáticamente Microsoft Defender para SQL | Configure Windows servidores SQL Server habilitados para Arc para instalar automáticamente el Microsoft Defender para el agente SQL. Microsoft Defender para SQL recopila eventos del agente y los usa para proporcionar alertas de seguridad y tareas de protección personalizadas (recomendaciones). | DeployIfNotExists, Deshabilitado | 1.2.0 |
| Configurar servidores SQL Server habilitados para Arc para instalar automáticamente Microsoft Defender para SQL y DCR con un área de trabajo de Log Analytics | Microsoft Defender para SQL recopila eventos del agente y los usa para proporcionar alertas de seguridad y tareas de protección personalizadas (recomendaciones). Cree un grupo de recursos, una regla de recopilación de datos y Log Analytics área de trabajo en la misma región que la máquina. | DeployIfNotExists, Deshabilitado | 1.6.0 |
| Configurar servidores SQL Server habilitados para Arc para instalar automáticamente Microsoft Defender para SQL y DCR con un área de trabajo de LA definida por el usuario | Microsoft Defender para SQL recopila eventos del agente y los usa para proporcionar alertas de seguridad y tareas de protección personalizadas (recomendaciones). Cree un grupo de recursos y una regla de recopilación de datos en la misma región que el área de trabajo de Log Analytics definida por el usuario. | DeployIfNotExists, Deshabilitado | 1.8.0 |
| Configurar servidores SQL Server habilitados para Arc con asociación de reglas de recopilación de datos para Microsoft Defender para DCR de SQL | Configure la asociación entre servidores SQL Server habilitados para Arc y el Microsoft Defender para DCR de SQL. La eliminación de esta asociación interrumpirá la detección de vulnerabilidades de seguridad en esta instancia de SQL Server habilitada para Arc. | DeployIfNotExists, Deshabilitado | 1.1.0 |
| Configurar servidores SQL Server habilitados para Arc con asociación de reglas de recopilación de datos para Microsoft Defender para DCR definido por el usuario de SQL | Configure la asociación entre servidores SQL Server habilitados para Arc y el Microsoft Defender para DCR definido por el usuario de SQL. La eliminación de esta asociación interrumpirá la detección de vulnerabilidades de seguridad en esta instancia de SQL Server habilitada para Arc. | DeployIfNotExists, Deshabilitado | 1.3.0 |
| Configure Azure Defender para que App Service esté habilitado | Azure Defender para App Service aprovecha la escala de la nube y la visibilidad que Azure tiene como proveedor de nube para supervisar los ataques comunes de aplicaciones web. | DeployIfNotExists, Deshabilitado | 1.0.1 |
| Configurar Azure Defender para que Azure SQL base de datos esté habilitada | Azure Defender para SQL proporciona funcionalidad para exponer y mitigar posibles vulnerabilidades de base de datos, detectar actividades anómalas que podrían indicar amenazas a las bases de datos SQL y detectar y clasificar datos confidenciales. | DeployIfNotExists, Deshabilitado | 1.0.1 |
| Configure Azure Defender para que las bases de datos relacionales de código abierto estén habilitadas | Azure Defender para bases de datos relacionales de código abierto detecta actividades anómalas que indican intentos inusuales y potencialmente dañinos de acceder a las bases de datos o aprovecharlas. Obtenga más información sobre las funcionalidades de Azure Defender para bases de datos relacionales de código abierto en https://aka.ms/AzDforOpenSourceDBsDocu. Importante: La habilitación de este plan dará lugar a cargos por la protección de las bases de datos relacionales de código abierto. Obtenga información sobre los precios en la página de precios de Security Center: https://aka.ms/pricing-security-center. | DeployIfNotExists, Deshabilitado | 1.0.0 |
| Configurar Azure Defender habilitar Resource Manager | Azure Defender para Resource Manager supervisa automáticamente las operaciones de administración de recursos de la organización. Azure Defender detecta amenazas y alertas sobre la actividad sospechosa. Obtenga más información sobre las funcionalidades de Azure Defender para Resource Manager en https://aka.ms/defender-for-resource-manager . La habilitación de este plan Azure Defender genera cargos. Obtenga información sobre los detalles de los precios por región en la página de precios de Security Center: https://aka.ms/pricing-security-center. | DeployIfNotExists, Deshabilitado | 1.1.0 |
| Configure Azure Defender para que los servidores estén habilitados | Azure Defender para servidores proporciona protección contra amenazas en tiempo real para cargas de trabajo de servidor y genera recomendaciones de protección, así como alertas sobre actividades sospechosas. | DeployIfNotExists, Deshabilitado | 1.0.1 |
| Configurar Azure Defender para que los servidores SQL Server de las máquinas estén habilitados | Azure Defender para SQL proporciona funcionalidad para exponer y mitigar posibles vulnerabilidades de base de datos, detectar actividades anómalas que podrían indicar amenazas a las bases de datos SQL y detectar y clasificar datos confidenciales. | DeployIfNotExists, Deshabilitado | 1.0.1 |
| Configurar Microsoft Defender básico para que storage esté habilitado (solo supervisión de actividad) | Microsoft Defender para Storage proporciona detección de amenazas nativa Azure para cuentas de almacenamiento. Esta directiva habilita las características básicas (Supervisión de actividad). Para una protección completa, incluido el examen de malware y la detección de datos confidenciales, use aka.ms/DFStoragePolicy. Actualización de la versión principal: PerTransaction ya no se admite para nuevas habilitaciones después del 5 de febrero de 2025. Las cuentas existentes que lo usan siguen siendo compatibles. Más información: aka.ms/DF-Storage/NewPlanMigration. | DeployIfNotExists, Deshabilitado | 2.0.0 |
| Configuración de la extensión ChangeTracking para máquinas Linux Arc | Configure máquinas Linux Arc para instalar automáticamente la extensión ChangeTracking para habilitar la supervisión de integridad de archivos (FIM) en Azure Security Center. FIM examina los archivos del sistema operativo, los registros Windows, el software de aplicación, los archivos del sistema Linux, etc., para ver los cambios que podrían indicar un ataque. La extensión se puede instalar en máquinas virtuales y ubicaciones compatibles con Azure Monitor Agente. | DeployIfNotExists, Deshabilitado | 2.1.0 |
| Configuración de la extensión ChangeTracking para conjuntos de escalado de máquinas virtuales Linux | Configure conjuntos de escalado de máquinas virtuales Linux para instalar automáticamente la extensión ChangeTracking para habilitar la supervisión de integridad de archivos (FIM) en Azure Security Center. FIM examina los archivos del sistema operativo, los registros Windows, el software de aplicación, los archivos del sistema Linux, etc., para ver los cambios que podrían indicar un ataque. La extensión se puede instalar en máquinas virtuales y ubicaciones compatibles con Azure Monitor Agente. | DeployIfNotExists, Deshabilitado | 2.1.0 |
| Configuración de la extensión ChangeTracking para máquinas virtuales Linux | Configure máquinas virtuales Linux para instalar automáticamente la extensión ChangeTracking para habilitar la supervisión de integridad de archivos (FIM) en Azure Security Center. FIM examina los archivos del sistema operativo, los registros Windows, el software de aplicación, los archivos del sistema Linux, etc., para ver los cambios que podrían indicar un ataque. La extensión se puede instalar en máquinas virtuales y ubicaciones compatibles con Azure Monitor Agente. | DeployIfNotExists, Deshabilitado | 2.2.0 |
| Configurar extensión ChangeTracking para máquinas Windows Arc | Configure Windows máquinas de Arc para instalar automáticamente la extensión ChangeTracking para habilitar la supervisión de integridad de archivos (FIM) en Azure Security Center. FIM examina los archivos del sistema operativo, los registros Windows, el software de aplicación, los archivos del sistema Linux, etc., para ver los cambios que podrían indicar un ataque. La extensión se puede instalar en máquinas virtuales y ubicaciones compatibles con Azure Monitor Agente. | DeployIfNotExists, Deshabilitado | 2.1.0 |
| Extensión ChangeTracking para conjuntos de escalado de máquinas virtuales Windows | Configure Windows conjuntos de escalado de máquinas virtuales para instalar automáticamente la extensión ChangeTracking para habilitar la supervisión de integridad de archivos (FIM) en Azure Security Center. FIM examina los archivos del sistema operativo, los registros Windows, el software de aplicación, los archivos del sistema Linux, etc., para ver los cambios que podrían indicar un ataque. La extensión se puede instalar en máquinas virtuales y ubicaciones compatibles con Azure Monitor Agente. | DeployIfNotExists, Deshabilitado | 2.1.0 |
| Configurar extensión ChangeTracking para máquinas virtuales Windows | Configure Windows máquinas virtuales para instalar automáticamente la extensión ChangeTracking para habilitar la supervisión de integridad de archivos (FIM) en Azure Security Center. FIM examina los archivos del sistema operativo, los registros Windows, el software de aplicación, los archivos del sistema Linux, etc., para ver los cambios que podrían indicar un ataque. La extensión se puede instalar en máquinas virtuales y ubicaciones compatibles con Azure Monitor Agente. | DeployIfNotExists, Deshabilitado | 2.2.0 |
| Configuración de las máquinas para recibir un proveedor de valoración de vulnerabilidades | Azure Defender incluye el examen de vulnerabilidades de las máquinas sin costo adicional. No se necesita ninguna licencia ni cuenta de Qualys, ya que todo se administra sin problemas en Security Center. Al habilitar esta directiva, Azure Defender implementa automáticamente el proveedor de evaluación de vulnerabilidades de Qualys en todas las máquinas admitidas que aún no lo tienen instalado. | DeployIfNotExists, Deshabilitado | 4.0.0 |
| Configurar plan de Microsoft Defender CSPM | Defender Cloud Security Posture Management (CSPM) proporciona funcionalidades de posición mejoradas y un nuevo grafo de seguridad en la nube inteligente para ayudar a identificar, priorizar y reducir el riesgo. Defender CSPM está disponible además de las funcionalidades de posición de seguridad básica gratuitas activadas de forma predeterminada en Defender for Cloud. | DeployIfNotExists, Deshabilitado | 1.0.0 |
| Configurar Microsoft Defender CSPM habilitar | Defender Cloud Security Posture Management (CSPM) proporciona funcionalidades de posición mejoradas y un nuevo grafo de seguridad en la nube inteligente para ayudar a identificar, priorizar y reducir el riesgo. Defender CSPM está disponible además de las funcionalidades de posición de seguridad básica gratuitas activadas de forma predeterminada en Defender for Cloud. | DeployIfNotExists, Deshabilitado | 1.0.2 |
| Configurar Microsoft Defender para que Azure Cosmos DB esté habilitado | Microsoft Defender para Azure Cosmos DB es una capa de seguridad nativa de Azure que detecta intentos de aprovechar las bases de datos de las cuentas de Azure Cosmos DB. Defender para Azure Cosmos DB detecta posibles inyecciones de SQL, actores incorrectos conocidos basados en Microsoft Inteligencia sobre amenazas, patrones de acceso sospechosos y posibles vulnerabilidades de la base de datos a través de identidades comprometidas o usuarios internos malintencionados. | DeployIfNotExists, Deshabilitado | 1.0.0 |
| Configure Microsoft Defender for Containers plan | Las nuevas funcionalidades se agregan continuamente a Defender para el plan contenedores, lo que puede requerir la habilitación explícita del usuario. Use esta directiva para asegurarse de que se habilitarán todas las nuevas funcionalidades. | DeployIfNotExists, Deshabilitado | 1.5.0 |
| Configurar Microsoft Defender para contenedores que se habilitarán | Microsoft Defender para contenedores proporciona protección, evaluación de vulnerabilidades y protecciones en tiempo de ejecución para los entornos de Kubernetes de Azure, híbridos y multinube. | DeployIfNotExists, Deshabilitado | 1.0.1 |
| Configurar Microsoft Defender para punto de conexión configuración de integración con Microsoft Defender for Cloud (WDATP_EXCLUDE_LINUX...) | Configura los valores de integración de Microsoft Defender para punto de conexión, dentro de Microsoft Defender for Cloud (también conocidos como WDATP_EXCLUDE_LINUX_...), para habilitar el aprovisionamiento automático de MDE para servidores Linux. La configuración de WDATP debe estar activada para que se aplique esta configuración. Consulte https://dori-uw-1.kuma-moon.com/azure/defender-for-cloud/integration-defender-for-endpoint para obtener más información. | DeployIfNotExists, Deshabilitado | 1.0.0 |
| Configurar Microsoft Defender para punto de conexión configuración de integración con Microsoft Defender for Cloud (WDATP_UNIFIED_SOLUTION) | Configura las opciones de integración de Microsoft Defender para punto de conexión, en Microsoft Defender for Cloud (también conocidas como WDATP_UNIFIED_SOLUTION), para habilitar el aprovisionamiento automático del agente unificado de MDE para Windows Server 2012R2 y 2016. La configuración de WDATP debe estar activada para que se aplique esta configuración. Consulte https://dori-uw-1.kuma-moon.com/azure/defender-for-cloud/integration-defender-for-endpoint para obtener más información. | DeployIfNotExists, Deshabilitado | 1.0.0 |
| Configurar Microsoft Defender para punto de conexión configuración de integración con Microsoft Defender for Cloud (WDATP) | Configura las opciones de integración de Microsoft Defender para punto de conexión, dentro de Microsoft Defender for Cloud (también conocida como WDATP), para Windows máquinas de nivel inferior incorporadas a MDE a través de MMA y aprovisionamiento automático de MDE en Windows Server 2019 , Windows Virtual Desktop y versiones posteriores. Debe estar activada para que funcione la otra configuración (WDATP_UNIFIED, etc.). Consulte https://dori-uw-1.kuma-moon.com/azure/defender-for-cloud/integration-defender-for-endpoint para obtener más información. | DeployIfNotExists, Deshabilitado | 1.0.0 |
| Configure Microsoft Defender para Key Vault plan | Microsoft Defender para Key Vault proporciona una capa adicional de inteligencia de protección y seguridad mediante la detección de intentos inusuales y potencialmente dañinos de acceder o aprovechar las cuentas de key vault. | DeployIfNotExists, Deshabilitado | 1.1.0 |
| Configure Microsoft Defender for Servers plan | Las nuevas funcionalidades se agregan continuamente a Defender para servidores, lo que puede requerir la habilitación explícita del usuario. Use esta directiva para asegurarse de que se habilitarán todas las nuevas funcionalidades. | DeployIfNotExists, Deshabilitado | 1.0.0 |
| Configure Microsoft Defender for Servers plan (P1 OR P2) | Garantiza que el Microsoft Defender seleccionado para el subplan (P1 o P2) está habilitado en el nivel de suscripción. Esta directiva admite la selección dinámica a través de parámetros y aplica la implementación si aún no está configurada. | DeployIfNotExists, Deshabilitado | 1.1.0 |
| Configurar Microsoft Defender para que SQL esté habilitado en áreas de trabajo de Synapse | Habilite Microsoft Defender para SQL en las áreas de trabajo de Azure Synapse para detectar actividades anómalas que indican intentos inusuales y potencialmente dañinos de acceder o aprovechar las bases de datos SQL. | DeployIfNotExists, Deshabilitado | 1.0.0 |
| Configurar Microsoft Defender para que storage esté habilitado | Microsoft Defender para Storage es una capa nativa Azure de inteligencia de seguridad que detecta posibles amenazas para las cuentas de almacenamiento. Esta directiva habilitará todos los Defender para las funcionalidades de almacenamiento; Supervisión de actividades, examen de malware y detección de amenazas de datos confidenciales. Para más información sobre Defender para las funcionalidades y ventajas de Storage, visite aka.ms/DefenderForStorage. | DeployIfNotExists, Deshabilitado | 1.5.0 |
| Configurar la protección contra amenazas de Microsoft Defender para AI Services | Las nuevas funcionalidades se agregan continuamente a la protección contra amenazas para los servicios de IA, lo que puede requerir la habilitación explícita del usuario. Use esta directiva para asegurarse de que se habilitarán todas las nuevas funcionalidades. | DeployIfNotExists, Deshabilitado | 1.1.0 |
| Configure SQL Virtual Machines para instalar automáticamente Azure Monitor Agent | Automatice la implementación de la extensión del agente de Azure Monitor en la Virtual Machines sql de Windows. Más información: https://aka.ms/AMAOverview. | DeployIfNotExists, Deshabilitado | 1.6.0 |
| Configure SQL Virtual Machines para instalar automáticamente Microsoft Defender para SQL | Configure Windows sql Virtual Machines para instalar automáticamente el Microsoft Defender para la extensión SQL. Microsoft Defender para SQL recopila eventos del agente y los usa para proporcionar alertas de seguridad y tareas de protección personalizadas (recomendaciones). | DeployIfNotExists, Deshabilitado | 1.6.0 |
| Configure SQL Virtual Machines para instalar automáticamente Microsoft Defender para SQL y DCR con un área de trabajo de Log Analytics | Microsoft Defender para SQL recopila eventos del agente y los usa para proporcionar alertas de seguridad y tareas de protección personalizadas (recomendaciones). Cree un grupo de recursos, una regla de recopilación de datos y Log Analytics área de trabajo en la misma región que la máquina. | DeployIfNotExists, Deshabilitado | 1.9.0 |
| Configure SQL Virtual Machines para instalar automáticamente Microsoft Defender para SQL y DCR con un área de trabajo de LA definida por el usuario | Microsoft Defender para SQL recopila eventos del agente y los usa para proporcionar alertas de seguridad y tareas de protección personalizadas (recomendaciones). Cree un grupo de recursos y una regla de recopilación de datos en la misma región que el área de trabajo de Log Analytics definida por el usuario. | DeployIfNotExists, Deshabilitado | 1.10.0 |
| Configure SQL Virtual Machines para instalar automáticamente Microsoft Defender para la extensión SQL | Configure Windows sql Virtual Machines para instalar automáticamente el Microsoft Defender para la extensión SQL. Microsoft Defender para SQL recopila eventos del agente y los usa para proporcionar alertas de seguridad y tareas de protección personalizadas (recomendaciones). | DeployIfNotExists, Deshabilitado | 1.0.0 |
| Configurar el Microsoft Defender para el área de trabajo de SQL Log Analytics | Microsoft Defender para SQL recopila eventos del agente y los usa para proporcionar alertas de seguridad y tareas de protección personalizadas (recomendaciones). Cree un grupo de recursos y Log Analytics área de trabajo en la misma región que la máquina. | DeployIfNotExists, Deshabilitado | 1.5.0 |
| Creación y asignación de una identidad administrada integrada asignada por el usuario | Crear y asignar una identidad administrada integrada asignada por el usuario a máquinas virtuales de SQL a escala. | AuditarSiNoExiste, ImplementarSiNoExiste, Deshabilitado | 1.8.0 |
| Deploy: configuración de reglas de supresión para alertas de Azure Security Center | Suprima Azure Security Center alertas para reducir la fatiga de las alertas mediante la implementación de reglas de supresión en el grupo de administración o la suscripción. | deployIfNotExists | 1.0.0 |
| Deploy export to Event Hubs as a trusted service for Microsoft Defender for Cloud data | Habilite la exportación al centro de eventos como un servicio de confianza de Microsoft Defender for Cloud datos. Esta directiva implementa la exportación al centro de eventos como parte de la configuración de servicio de confianza con sus condiciones y centro de eventos de destino en el ámbito asignado. Para implementar esta directiva en las suscripciones recién creadas, abra la pestaña Compatibilidad, seleccione la asignación no conforme pertinente y cree una tarea de corrección. | DeployIfNotExists, Deshabilitado | 1.0.0 |
| Deploy export to Event Hubs for Microsoft Defender for Cloud data | Habilite la exportación al centro de eventos de datos de Microsoft Defender for Cloud. Esta directiva implementa una exportación a la configuración del centro de eventos con sus condiciones y centro de eventos de destino en el ámbito asignado. Para implementar esta directiva en las suscripciones recién creadas, abra la pestaña Compatibilidad, seleccione la asignación no conforme pertinente y cree una tarea de corrección. | deployIfNotExists | 4.2.0 |
| Deploy export to Log Analytics workspace for Microsoft Defender for Cloud data | Habilite la exportación para Log Analytics área de trabajo de datos de Microsoft Defender for Cloud. Esta directiva implementa una exportación en Log Analytics configuración del área de trabajo con las condiciones y el área de trabajo de destino en el ámbito asignado. Para implementar esta directiva en las suscripciones recién creadas, abra la pestaña Compatibilidad, seleccione la asignación no conforme pertinente y cree una tarea de corrección. | deployIfNotExists | 4.1.0 |
| Deploy Workflow Automation for Microsoft Defender for Cloud alerts | Habilite la automatización de alertas de Microsoft Defender for Cloud. Esta directiva implementa una automatización de flujos de trabajo con sus condiciones y desencadenadores en el ámbito asignado. Para implementar esta directiva en las suscripciones recién creadas, abra la pestaña Compatibilidad, seleccione la asignación no conforme pertinente y cree una tarea de corrección. | deployIfNotExists | 5.0.1 |
| Deploy Workflow Automation for Microsoft Defender for Cloud recommendations | Habilite la automatización de las recomendaciones de Microsoft Defender for Cloud. Esta directiva implementa una automatización de flujos de trabajo con sus condiciones y desencadenadores en el ámbito asignado. Para implementar esta directiva en las suscripciones recién creadas, abra la pestaña Compatibilidad, seleccione la asignación no conforme pertinente y cree una tarea de corrección. | deployIfNotExists | 5.0.1 |
| Deploy Workflow Automation para Microsoft Defender for Cloud cumplimiento normativo | Habilite la automatización del cumplimiento normativo de Microsoft Defender for Cloud. Esta directiva implementa una automatización de flujos de trabajo con sus condiciones y desencadenadores en el ámbito asignado. Para implementar esta directiva en las suscripciones recién creadas, abra la pestaña Compatibilidad, seleccione la asignación no conforme pertinente y cree una tarea de corrección. | deployIfNotExists | 5.0.1 |
| La opción para enviar notificaciones por correo electrónico para alertas de gravedad alta debe estar habilitada. | Para asegurarse de que las personas pertinentes de la organización reciban una notificación cuando se produzca una vulneración de seguridad potencial en una de las suscripciones, habilite las notificaciones por correo electrónico de alertas de gravedad alta en Security Center. | AuditIfNotExists, Deshabilitado | 1.2.0 |
| La opción para enviar notificaciones por correo electrónico al propietario de la suscripción en relación a alertas de gravedad alta debe estar habilitada. | Para asegurarse de que los propietarios de suscripciones reciban una notificación cuando se produzca una vulneración de seguridad potencial en sus suscripciones, establezca notificaciones por correo electrónico a los propietarios de las suscripciones de alertas de gravedad alta en Security Center. | AuditIfNotExists, Deshabilitado | 2.1.0 |
| Enable Microsoft Defender for Cloud en su suscripción | Identifica las suscripciones existentes que no supervisan Microsoft Defender for Cloud y las protege con las características gratuitas de Defender for Cloud. Las suscripciones ya supervisadas se considerarán compatibles. Para registrar las suscripciones recién creadas, abra la pestaña Cumplimiento, seleccione la asignación no compatible pertinente y cree una tarea de corrección. | deployIfNotExists | 1.0.1 |
| Permitir que Security Center aprovisione automáticamente el agente de Log Analytics en las suscripciones para supervisar y recopilar datos de seguridad mediante un área de trabajo personalizada. | DeployIfNotExists, Deshabilitado | 1.0.0 | |
| Permitir que Security Center aprovisione automáticamente el agente de Log Analytics en las suscripciones para supervisar y recopilar datos de seguridad mediante el área de trabajo predeterminada de ASC. | DeployIfNotExists, Deshabilitado | 1.0.0 | |
| Habilitación de la protección contra amenazas para cargas de trabajo de IA | Microsoft protección contra amenazas para cargas de trabajo de INTELIGENCIA ARTIFICIAL proporciona alertas de seguridad contextualizadas basadas en evidencia destinadas a proteger las aplicaciones con tecnología de IA generativa en el hogar | DeployIfNotExists, Deshabilitado | 1.0.0 |
| Cuentas deGuest con permisos de propietario en recursos de Azure se deben quitar | Las cuentas externas con permisos de propietario deben quitarse de la suscripción a fin de evitar el acceso no supervisado. | AuditIfNotExists, Deshabilitado | 1.0.0 |
| las cuentas de Guest con permisos de lectura en los recursos de Azure deben quitarse | Las cuentas externas con privilegios de lectura deben quitarse de la suscripción a fin de evitar el acceso no supervisado. | AuditIfNotExists, Deshabilitado | 1.0.0 |
| Cuentas deGuest con permisos de escritura en recursos de Azure se deben quitar | Las cuentas externas con privilegios de escritura deben quitarse de la suscripción a fin de evitar el acceso no supervisado. | AuditIfNotExists, Deshabilitado | 1.0.0 |
| La extensión "Configuración de invitado" debe estar instalada en las máquinas | Para garantizar la seguridad de la configuración de invitado, instale la extensión "Configuración de invitado". La configuración de invitado supervisada en la extensión engloba la configuración del sistema operativo, la configuración o presencia de las aplicaciones y la configuración del entorno. Una vez instaladas, las directivas en invitado estarán disponibles, como "Windows Protección contra vulnerabilidades de seguridad debe estar habilitada". Obtenga más información en https://aka.ms/gcpol. | AuditIfNotExists, Deshabilitado | 1.0.3 |
| Las máquinas virtuales accesibles desde Internet deben estar protegidas con grupos de seguridad de red | Proteja sus máquinas virtuales de posibles amenazas limitando el acceso a ellas con grupos de seguridad de red (NSG). Más información sobre cómo controlar el tráfico con los grupos de seguridad de red en https://aka.ms/nsg-doc. | AuditIfNotExists, Deshabilitado | 3.0.0 |
| El reenvío de IP en la máquina virtual debe estar deshabilitado | Habilitar el reenvío de IP en la NIC de la máquina virtual permite que la máquina reciba tráfico dirigido a otros destinos. El reenvío de IP rara vez es necesario (por ejemplo, cuando se usa la máquina virtual como una aplicación virtual de red) y, por lo tanto, el equipo de seguridad de red debe revisarlo. | AuditIfNotExists, Deshabilitado | 3.0.0 |
| Kubernetes Services se debe actualizar a una versión de Kubernetes no vulnerable | Actualice el clúster de servicio de Kubernetes a una versión de Kubernetes posterior para protegerse frente a vulnerabilidades conocidas en la versión actual de Kubernetes. La vulnerabilidad CVE-2019-9946 se ha revisado en las versiones de Kubernetes 1.11.9+, 1.12.7+, 1.13.5+ y 1.14.0+ | Auditar, Deshabilitado | 1.0.2 |
| Log Analytics agente debe estar instalado en las instancias de rol de Cloud Services (soporte extendido) | Security Center recopila datos de las instancias de rol de Cloud Services (soporte extendido) para supervisar las vulnerabilidades y amenazas de seguridad. | AuditIfNotExists, Deshabilitado | 2.0.0 |
| Las máquinas deberían tener conclusiones de secretos resueltas | Audita las máquinas virtuales para detectar si contienen resultados de secretos de las soluciones de análisis de secretos en las máquinas virtuales. | AuditIfNotExists, Deshabilitado | 1.0.2 |
| Los puertos de administración de las máquinas virtuales deben protegerse con el control de acceso de red Just-In-Time. | El acceso a la red Just-In-Time (JIT) posible se supervisará Azure Security Center como recomendaciones | AuditIfNotExists, Deshabilitado | 3.0.0 |
| Se deben cerrar los puertos de administración en las máquinas virtuales | Los puertos de administración remota abiertos exponen la máquina virtual a un alto nivel de riesgo de recibir ataques basados en Internet. Estos ataques intentan averiguar las credenciales por medio de fuerza bruta a fin de obtener acceso de administrador a la máquina | AuditIfNotExists, Deshabilitado | 3.0.0 |
| Microsoft Defender CSPM debe estar habilitado | Defender Cloud Security Posture Management (CSPM) proporciona funcionalidades de posición mejoradas y un nuevo grafo de seguridad en la nube inteligente para ayudar a identificar, priorizar y reducir el riesgo. Defender CSPM está disponible además de las funcionalidades de posición de seguridad básica gratuitas activadas de forma predeterminada en Defender for Cloud. | AuditIfNotExists, Deshabilitado | 1.0.0 |
| Microsoft Defender para servicios de IA debe estar habilitado | Audite para ver si Microsoft Defender para servicios de IA está habilitado en la suscripción. | AuditIfNotExists, Deshabilitado | 1.0.0 |
| Microsoft Defender para las API deben estar habilitadas | Microsoft Defender para las API aporta nueva detección, protección, detección y cobertura de respuesta para supervisar ataques comunes basados en API y configuraciones incorrectas de seguridad. | AuditIfNotExists, Deshabilitado | 1.0.3 |
| Microsoft Defender para Azure Cosmos DB debe estar habilitado | Microsoft Defender para Azure Cosmos DB es una capa de seguridad nativa de Azure que detecta intentos de aprovechar las bases de datos de las cuentas de Azure Cosmos DB. Defender para Azure Cosmos DB detecta posibles inyecciones de SQL, actores incorrectos conocidos basados en Microsoft Inteligencia sobre amenazas, patrones de acceso sospechosos y posibles vulnerabilidades de la base de datos a través de identidades comprometidas o usuarios internos malintencionados. | AuditIfNotExists, Deshabilitado | 1.0.0 |
| Microsoft Defender para contenedores debe estar habilitado | Microsoft Defender para contenedores proporciona protección, evaluación de vulnerabilidades y protecciones en tiempo de ejecución para los entornos de Kubernetes de Azure, híbridos y multinube. | AuditIfNotExists, Deshabilitado | 1.0.0 |
| Microsoft Defender para SQL debe estar habilitado para áreas de trabajo de Synapse no protegidas | Habilite Defender para SQL para proteger las áreas de trabajo de Synapse. Defender para SQL supervisa synapse SQL para detectar actividades anómalas que indican intentos inusuales y potencialmente dañinos de acceder a las bases de datos o aprovecharlas. | AuditIfNotExists, Deshabilitado | 1.0.0 |
| Microsoft Defender para Storage debe estar habilitado | Microsoft Defender para Storage detecta posibles amenazas para las cuentas de almacenamiento. Ayuda a evitar los tres impactos principales en los datos y la carga de trabajo: cargas de archivos malintencionadas, filtración de datos confidenciales y datos dañados. El nuevo Defender para el plan de almacenamiento incluye el examen de malware y la detección de amenazas de datos confidenciales. Este plan también ofrece una estructura de precios predecible (por cuenta de almacenamiento) para controlar la cobertura y los costes. | AuditIfNotExists, Deshabilitado | 1.0.0 |
| Las máquinas virtuales sin conexión a Internet deben protegerse con grupos de seguridad de red | Proteja las máquinas virtuales no accesibles desde Internet de posibles amenazas limitando el acceso con grupos de seguridad de red (NSG). Más información sobre cómo controlar el tráfico con los grupos de seguridad de red en https://aka.ms/nsg-doc. | AuditIfNotExists, Deshabilitado | 3.0.0 |
| Role-Based Access Control (RBAC) debe usarse en Kubernetes Services | Para proporcionar un filtrado pormenorizado sobre las acciones que pueden realizar los usuarios, use Role-Based Access Control (RBAC) para administrar permisos en clústeres de Kubernetes Service y configurar directivas de autorización pertinentes. | Auditar, Deshabilitado | 1.1.0 |
| Es necesario seleccionar el plan de tarifa estándar de Security Center. | El plan de tarifa estándar permite la detección de amenazas para redes y máquinas virtuales, lo que proporciona inteligencia sobre amenazas, detección de anomalías y análisis de comportamiento en Azure Security Center | Auditar, Deshabilitado | 1.1.0 |
| Configuración de suscripciones para realizar la transición a una solución de evaluación de vulnerabilidades alternativa | Microsoft Defender para la nube ofrece el examen de vulnerabilidades de las máquinas sin costo adicional. La habilitación de esta directiva hará que Defender for Cloud propagar automáticamente los resultados de la solución integrada de administración de vulnerabilidades Microsoft Defender a todas las máquinas admitidas. | DeployIfNotExists, Deshabilitado | 1.0.0-preview |
| Las bases de datos SQL deben tener resueltos los hallazgos de vulnerabilidades. | Permite supervisar los resultados del examen de evaluación de puntos vulnerables y las recomendaciones para solucionar los de las bases de datos. | AuditIfNotExists, Deshabilitado | 4.1.0 |
| El aprovisionamiento automático dirigido al servidor SQL debería estar habilitado para el plan de servidores SQL en máquinas | Para asegurarse de que las máquinas virtuales de SQL y los servidores SQL Server habilitados para Arc están protegidas, asegúrese de que el agente de supervisión de Azure destino de SQL está configurado para implementarse automáticamente. Esto también es necesario si ha configurado previamente el aprovisionamiento automático del agente de supervisión de Microsoft, ya que ese componente está en desuso. Más información: https://aka.ms/SQLAMAMigration | AuditIfNotExists, Deshabilitado | 1.0.0 |
| Los servidores SQL de las máquinas deben tener resueltos los hallazgos de vulnerabilidades. | La evaluación de vulnerabilidades de SQL examina la base de datos en busca de vulnerabilidades de seguridad y expone las posibles desviaciones de los procedimientos recomendados, como errores de configuración, permisos excesivos y datos confidenciales sin protección. La corrección de las vulnerabilidades detectadas puede mejorar considerablemente la posición de seguridad de la base de datos. | AuditIfNotExists, Deshabilitado | 1.0.0 |
| Las subredes deben estar asociadas con un grupo de seguridad de red. | Proteja la subred de posibles amenazas mediante la restricción del acceso con un grupo de seguridad de red (NSG). Los NSG contienen una lista de reglas de lista de Access Control (ACL) que permiten o deniegan el tráfico de red a la subred. | AuditIfNotExists, Deshabilitado | 3.0.0 |
| Las suscripciones deben tener una dirección de correo electrónico de contacto para los problemas de seguridad | Para asegurarse de que las personas pertinentes de la organización reciban una notificación cuando se produzca una vulneración de seguridad potencial en una de las suscripciones, establezca un contacto de seguridad para la recepción de notificaciones por correo electrónico de Security Center. | AuditIfNotExists, Deshabilitado | 1.0.1 |
| Se deben instalar las actualizaciones del sistema en las máquinas (con la tecnología del Centro de actualización) | A las máquinas les faltan actualizaciones del sistema, de seguridad y actualizaciones críticas. Las actualizaciones de software a menudo incluyen revisiones críticas para las vulnerabilidades de seguridad. Dichas vulnerabilidades se aprovechan con frecuencia en ataques de malware, por lo que es fundamental mantener el software actualizado. Para instalar todas las revisiones pendientes y proteger las máquinas, siga los pasos de corrección. | AuditIfNotExists, Deshabilitado | 1.0.1 |
| Debe haber más de un propietario asignado a la suscripción | Se recomienda que designe a más de un propietario de la suscripción para tener redundancia de acceso de administrador. | AuditIfNotExists, Deshabilitado | 3.0.0 |
| La extensión "Configuración de invitado" de las máquinas virtuales debe implementarse con una identidad administrada asignada por el sistema. | La extensión Configuración de invitado requiere una identidad administrada asignada por el sistema. Azure máquinas virtuales en el ámbito de esta directiva no serán compatibles cuando tengan instalada la extensión Configuración de invitado, pero no tengan una identidad administrada asignada por el sistema. Más información en https://aka.ms/gcpol. | AuditIfNotExists, Deshabilitado | 1.0.1 |
Pasos siguientes
En este artículo, ha obtenido información sobre Azure Policy definiciones de directivas de seguridad en Defender for Cloud. Para obtener más información sobre iniciativas, directivas y cómo se relacionan con las recomendaciones de Defender for Cloud, consulte ¿Qué son las directivas de seguridad, las iniciativas y las recomendaciones?.