Azure Security Center

  • Article

Azure Security Center es un nuevo servicio de Azure que permite prevenir, detectar y responder ante amenazas. Ofrece una gestión unificada de la seguridad de todos los recursos creados en Azure.

El uso de servicios en la nube supone un reto para las empresas en cuanto a seguridad y ataques. Muchos desarrolladores son reticentes a incorporar estos servicios debido al riesgo que parece implicar, pero el uso de los servicios en la nube es cada vez más común por las ventajas que ofrece.

Azure Security Center permite:

  • Entender el estado de los recursos en materia de seguridad.
  • Establecer políticas que permiten personalizar y monitorizar la configuración de seguridad.
  • Facilitar a los desarrolladores el despliegue de soluciones integradas de seguridad tanto de Microsoft y como de partners.
  • Detectar amenazas con análisis preventivo de los eventos.
  • Responder y recuperarse de incidentes más rápido y con alertas de seguridad en tiempo real.
  • Exportar los eventos de seguridad a SIEM (Security Information and Events Management systems) para un mayor análisis.

Este nuevo servicio propone un enfoque diferente de la seguridad basado en: alto volumen de señales, análisis de comportamiento, machine learning e inteligencia para amenazas globales. Los atacantes llevan a cabo acciones y comenten errores, y todo esto queda registrado en un log. Algunas de estas acciones son detectadas como maliciosas y se denominan “high fidelity”, por ejemplo, una introducción de un Malware. Hay otras que solamente se reconocen como sospechosas y pueden o no representar una amenaza, son conocidas como “low fidelity”. Es necesario monitorizar estos dos tipos de eventos para poder establecer correlaciones y detectar posible amenazas.

Este nuevo enfoque permite detectar amenazas que podrían pasar desapercibidas como, por ejemplo:

  • Máquinas comprometidas
  • Intentos fallidos de acceso
  • Ataques por fuerza bruta
  • Filtraciones de datos
  • Vulnerabilidades de las aplicaciones web
  • Malware avanzado

En el portal de Azure se mostrará una nueva sección llamada “Security”.

clip_image002

Al pinchar sobre ella se abre el Azure Security Center.

clip_image004

En la parte superior está la zona de prevención y en la parte inferior la de detección. Toda la información necesaria sobre los recursos de Azure se encuentra en esta pantalla. Vamos a ir viendo las distintas funcionalidades a las que podemos acceder.

clip_image006

En el apartado de Security Policy se encuentran definidas las políticas de seguridad para cada suscripción. Se puede personalizar a nivel global de empresa o específicamente para cada suscripción. Desde aquí se puede activar “Data Collection”, una herramienta muy potente que se encarga de recoger datos sobre todos los recursos de Azure y la agruparla para análisis posteriores.

Es posible elegir donde se almacenan todos estos datos, en el mismo datacenter que los recursos o se puede elegir uno distinto.

En la parte inferior del panel se pueden activar o desactivar los temas sobre los que queremos recibir recomendaciones (BitLocker, SQL Auditing, Network Security Groups…).

clip_image008

Una vez establecidas las políticas de seguridad, se puede monitorizar el estado de seguridad de los recursos respecto a esas políticas. Por cada apartado de recursos se muestra una barra con distintos colores en función del nivel de seguridad. Se muestra el estado de seguridad de cada recurso respecto a la política, de forma gráfica y más detalladamente en la zona inferior derecha.

clip_image010

Si queremos conocer el estado concreto de un recurso podemos pinchar en él y acceder al detalle. En esta pantalla podemos ver las acciones sugeridas para la prevención de amenazas y el detalle de cada elemento dentro del recurso y su estado, a la vez que realizar acciones directamente sobre nuestros recursos (por ejemplo, activar el antimalware de una máquina virtual o de todas a la vez).

clip_image012

En la vista de recomendaciones se muestran las tareas pendientes a realizar para cumplir con las políticas de seguridad, y se pueden llevar a cabo las acciones sugeridas.

clip_image014

Al acceder a una recomendación en concreto se muestran las posibles acciones que se pueden llevar a cabo y los recursos que están disponibles para ello.

clip_image016

En el apartado de detección se accede a las alertas de seguridad que se han generado. El código de colores indica la severidad de cada amenaza.

clip_image018

Por cada alerta se muestran los recursos que han sido afectados e información detallada. Se ofrecen también una serie de recomendaciones para dar respuesta a esta alerta y prevenir que el impacto sea mayor.

Para acceder a la preview privada de este servicio es necesario solicitar acceso aquí.

 

Beatriz García Roces
@BeRoces
Technical Evangelist Intern