Tutorial: Uso de Azure Security Center para supervisar máquinas virtuales

Azure Security Center puede ayudarle a obtener visibilidad de las prácticas de seguridad de los recursos de Azure. Security Center ofrece supervisión de seguridad integrada. Puede detectar amenazas que, de lo contrario, podrían pasar desapercibidas. En este tutorial, obtendrá información sobre Azure Security Center y cómo:

Introducción a Security Center

Security Center identifica posibles problemas de configuración de máquina virtual (VM) y amenazas de seguridad dirigidas. Pueden incluir máquinas virtuales que no tienen grupos de seguridad de red, discos no cifrados y ataques de fuerza bruta al Protocolo de Escritorio Remoto (RDP). La información se muestra en el panel de Security Center en gráficos fáciles de leer.

Para acceder al panel de Security Center, en Azure Portal, en el menú, seleccione Security Center. En el panel, puede ver el estado de seguridad de su entorno de Azure, buscar un recuento de recomendaciones actuales y ver el estado actual de las alertas de amenazas. Puede expandir cada gráfico de alto nivel para ver más detalles.

Security Center va más allá de la detección de datos para proporcionar recomendaciones para problemas que detecta. Por ejemplo, si una máquina virtual se implementó sin un grupo de seguridad de red conectado, Security Center muestra una recomendación, con los pasos de corrección que puede realizar. Consigue la corrección automatizada sin salir del contexto de Security Center.

Configuración de una recolección de datos

Para poder obtener visibilidad de las configuraciones de seguridad de las máquinas virtuales, debe configurar la recopilación de datos de Security Center. Esto implica activar la recopilación de datos que instala automáticamente Microsoft Monitoring Agent en todas las máquinas virtuales de la suscripción.

1. En el panel de Security Center, haga clic en Directiva de seguridad y, a continuación, seleccione la suscripción.
2. En Recopilación de datos, en Aprovisionamiento automático , seleccione Activado.
3. En Configuración predeterminada del área de trabajo, déjela como Usar áreas de trabajo creadas por Security Center (valor predeterminado).
4. En Eventos de seguridad, mantenga la opción predeterminada común.
5. Haga clic en Guardar en la parte superior de la página.

Después, el agente de recopilación de datos de Security Center se instala en todas las máquinas virtuales y comienza la recopilación de datos.

Configuración de una directiva de seguridad

Las directivas de seguridad se usan para definir los elementos para los que Security Center recopila datos y realiza recomendaciones. Puede aplicar diferentes directivas de seguridad a distintos conjuntos de recursos de Azure. Aunque de forma predeterminada los recursos de Azure se evalúan con todos los elementos de directiva, puede desactivar elementos de directiva individuales para todos los recursos de Azure o para un grupo de recursos. Para obtener información detallada sobre las directivas de seguridad de Security Center, consulte Establecimiento de directivas de seguridad en Azure Security Center.

Para configurar una directiva de seguridad para una suscripción completa:

1. En el panel de Security Center, seleccione Directiva de seguridad y, a continuación, seleccione la suscripción.
2. En la hoja Directiva de seguridad , seleccione Directiva de seguridad.
3. En la hoja Directiva de seguridad - Directiva de seguridad, active o desactive los elementos de directiva que desea aplicar a la suscripción.
4. Cuando haya terminado de seleccionar la configuración, seleccione Guardar en la parte superior del panel.

Visualización del estado de configuración de la máquina virtual

Después de activar la recopilación de datos y establecer una directiva de seguridad, Security Center comienza a proporcionar alertas y recomendaciones. A medida que se implementan las máquinas virtuales, se instala el agente de recopilación de datos. A continuación, Security Center se rellena con datos para las nuevas máquinas virtuales. Para obtener información detallada sobre el estado de configuración de la máquina virtual, consulte Protección de las máquinas virtuales en Security Center.

A medida que se recopilan los datos, se agrega el estado de los recursos de cada máquina virtual y el recurso de Azure relacionado. La información se muestra en un gráfico fácil de leer.

Para ver el estado de los recursos:

1. En el panel de control del Centro de Seguridad, en Prevención, seleccione Cómputo.
2. En la hoja Compute, seleccione Máquinas virtuales y equipos. Esta vista proporciona un resumen del estado de configuración de todas las máquinas virtuales.

Para ver todas las recomendaciones de una máquina virtual, seleccione la máquina virtual.

Corregir problemas de configuración

Después de que Security Center empiece a rellenarse con datos de configuración, se realizan recomendaciones basadas en la directiva de seguridad que configuró. Por ejemplo, si una máquina virtual se configuró sin un grupo de seguridad de red asociado, se recomienda crear una.

Para ver una lista de todas las recomendaciones:

1. En el panel de Security Center, seleccione Recomendaciones.
2. Seleccione una recomendación específica. Lista de todos los recursos para los que aparece la recomendación.
3. Para aplicar una recomendación, seleccione el recurso.
4. Siga las instrucciones para los pasos de remediación.

En muchos casos, Security Center proporciona pasos accionables que puede realizar para abordar una recomendación sin salir de Security Center. En el ejemplo siguiente, Security Center detecta un grupo de seguridad de red que tiene una regla de entrada sin restricciones. En la página de recomendación, puedes seleccionar el botón Editar reglas de entrada. Aparece la interfaz de usuario necesaria para modificar la regla.

A medida que se corrigen las recomendaciones, se marcan como resueltas.

Visualización de amenazas detectadas

Además de las recomendaciones de configuración de recursos, Security Center muestra alertas de detección de amenazas. La característica de alertas de seguridad agrega los datos recopilados de cada máquina virtual, los registros de red de Azure y las soluciones de asociados conectados para detectar amenazas de seguridad en los recursos de Azure. Para obtener información detallada sobre las funcionalidades de detección de amenazas de Security Center, consulte ¿Cómo detecta Security Center las amenazas?.

La característica de alertas de seguridad requiere que el plan de tarifa de Security Center aumente de Gratis a Estándar. Una evaluación gratuita está disponible al pasar a este plan de tarifa superior.

Para cambiar el nivel de precios:

1. En el panel de Security Center, haga clic en Directiva de seguridad y, a continuación, seleccione la suscripción.
2. Seleccione Plan de tarifa.
3. Seleccione Estándar y luego haga clic en Guardar en la parte superior de la hoja.

Después de cambiar el plan de tarifa, el gráfico de alertas de seguridad comienza a rellenarse a medida que se detectan amenazas de seguridad.

Seleccione una alerta para ver la información. Por ejemplo, puede ver una descripción de la amenaza, el tiempo de detección, todos los intentos de amenaza y la corrección recomendada. En el ejemplo siguiente, se detectó un ataque por fuerza bruta RDP, con 294 intentos de RDP con errores. Se proporciona una resolución recomendada.

Pasos siguientes

En este tutorial, configurará Azure Security Center y, a continuación, revisará las máquinas virtuales en Security Center. Ha aprendido a:

Pase al siguiente tutorial para obtener más información sobre cómo crear una canalización de CI/CD con Jenkins, GitHub y Docker.