Pregunta más frecuente

Todas las Categorías » Microsoft Azure / Azure Security Center

Azure Security Center - Colección de datos

Última actualización hace 3 años

Security Center recopila datos de las máquinas virtuales de Azure y de los equipos que no son de Azure para supervisar las amenazas y vulnerabilidades de seguridad. Los datos se recopilan con Microsoft Monitoring Agent, que lee distintas configuraciones relacionadas con la seguridad y distintos registros de eventos de la máquina y copia los datos en el área de trabajo para analizarlos.

¿Cómo se puede deshabilitar la recolección de datos?

El aprovisionamiento automático está desactivado de forma predeterminada. Puede deshabilitar en cualquier momento el aprovisionamiento automático de los recursos desactivando esta opción en la directiva de seguridad. El aprovisionamiento automático es muy recomendable para poder obtener alertas de seguridad y recomendaciones sobre las actualizaciones del sistema, vulnerabilidades del sistema operativo y la protección de puntos de conexión.

Para deshabilitar la recopilación de datos, inicie sesión en Azure Portal, seleccione Examinar, Security Center y, luego, Seleccionar directiva. Seleccione la suscripción en la que quiere deshabilitar el aprovisionamiento automático. Al seleccionar una suscripción, se abre la sección Directiva de seguridad: recopilación de datos. En Autoaprovisionamiento, seleccione Desactivar.

¿Cómo se puede habilitar la recolección de datos?

Puede habilitar la colección de datos de la suscripción de Azure en la directiva de seguridad. Para habilitar la recopilación de datos,Inicie sesión en Azure Portal, seleccione Examinar, Security Centery, luego, Seleccionar directiva. Seleccione la suscripción en la que quiere habilitar el aprovisionamiento automático. Al seleccionar una suscripción, se abre Directiva de seguridad: recopilación de datos. En Autoaprovisionamiento, seleccione Activar.

¿Qué sucede cuando se habilita la colección de datos?

Si el aprovisionamiento automático está habilitado, Security Center aprovisiona Microsoft Monitoring Agent en todas las máquinas virtuales de Azure compatibles y en las que se creen. El aprovisionamiento automático está muy recomendado, pero la instalación manual del agente también está disponible. Aprenda a instalar la extensión Microsoft Monitoring Agent.

El agente habilita el evento 4688 de creación de procesos y el campo CommandLine dentro del evento 4688. El registro de eventos registra los nuevos procesos creados en la VM y los servicios de detección de Security Center los supervisan. Para obtener información sobre los detalles que se registran para cada nuevo proceso, consulte los campos de descripción en 4688. El agente también recopila los eventos 4688 creados en la máquina virtual y los almacena en la búsqueda.

Cuando Security Center detecta actividad sospechosa en la máquina virtual, el cliente recibe una notificación por correo electrónico si se ha proporcionado información de contacto de seguridad. También se puede ver una alerta en el panel de alertas de seguridad de Security Center.

¿Microsoft Monitoring Agent afecta al rendimiento de mis servidores?

El agente utiliza una cantidad simbólica de recursos del sistema y apenas tiene impacto en el rendimiento. Para obtener más información sobre el impacto en el rendimiento, y el agente y la extensión, vea la guía de planeación y las operaciones.

¿Dónde se almacenan los datos?

Los datos que recopila este agente se almacenan en un área de trabajo de Log Analytics asociada con la suscripción o en una nueva área de trabajo. Para obtener más información, consulte Seguridad de datos de Azure Security Center.