Cargando…
Cargando…
Este es el catálogo completo de las 197 reglas de detección que simiriki corre contra un tenant de Microsoft 365 y Azure — de solo lectura, en minutos. De cada control ves su código, qué verifica, su severidad, el plano de datos que lee, la evidencia regulatoria que respalda y un estado de cobertura honesto.
Publicamos el mapa de cobertura. Mantenemos privada la lógica de los evaluadores — las consultas exactas y los umbrales de aprobación. Transparencia de cobertura sin entregar el motor.
Un entorno de Microsoft 365 no es una sola superficie. Identidad, flujo de correo, compartición, dispositivos, auditoría, consentimiento de aplicaciones y los recursos de Azure por debajo exponen su estado a través de APIs distintas. simiriki lee dos planos con un token de solo lectura: 151 controles vía Microsoft Graph y 46 controles vía Azure Resource Manager — 197 en total.
Esta es la parte que la mayoría de los proveedores esconde: un solo token de solo lectura no alcanza todo. La gobernanza de Power Platform vive detrás de la API de administración de Power Platform. Las políticas de reuniones y federación de Teams, y el estado de las directivas de Exchange y Defender, residen en superficies que un token de Graph no puede leer. Por eso somos explícitos. De los 197 controles, 92 emiten un veredicto automático de aprobado o no aprobado en todo tenant; 22 son condicionales — se evalúan solo cuando el recurso relevante existe (las reglas de Azure SQL, por ejemplo, solo aplican cuando hay servidores SQL); y 83 se marcan para consentimiento de administrador o revisión manual y se excluyen del puntaje de postura. Nunca reportamos como aprobado un control que no podemos leer, ni reprobamos a un tenant que no medimos realmente.
simiriki abre su cobertura, no su motor. El catálogo de abajo es la mitad pública.
85 de los 197 controles tienen un mapeo declarado a los marcos mexicanos para los que simiriki documenta evidencia. Filtra por marco para ver exactamente qué controles respaldan cada obligación — cada fila cita el artículo específico al que responde. Mapeamos solo lo que el control evidencia de verdad; un control sin mapeo declarado no muestra ninguno, en lugar de un cruce inventado.
Ley Federal de Protección de Datos Personales en Posesión de los Particulares
CNBV — Circular Única de Bancos (Seguridad de la Información)
NOM-151-SCFI-2016 — Conservación de Mensajes de Datos
| Código | Control | Severidad | Plano | Cobertura |
|---|---|---|---|---|
| IAM-001 | MFA no habilitado para todos los usuarios LFPDPPP · Artículo 19Reglamento LFPDPPP · Artículo 57 — Medidas de Seguridad — Control de AccesoCUB · Art. 168 Bis 11 VI (a) — Identificación, autenticación y rolesCUB · Art. 168 Bis 12 II — Revisiones anuales de MFA, CA, parches y modificacionesCUB · Art. 310 III — Factor de autenticación Categoría 3 (posesión)CUB · Art. 311–312 — Segundo factor Cat. 3 o 4 para operaciones por Internet | Crítica | Microsoft Graph | Automatizada |
| IAM-002 | Sin políticas de acceso condicional LFPDPPP · Artículo 19Reglamento LFPDPPP · Artículo 57 — Medidas de Seguridad — Control de AccesoCUB · Art. 168 Bis 11 VI (a) — Identificación, autenticación y rolesCUB · Art. 168 Bis 12 II — Revisiones anuales de MFA, CA, parches y modificacionesCUB · Art. 311–312 — Segundo factor Cat. 3 o 4 para operaciones por Internet | Crítica | Microsoft Graph | Automatizada |
| IAM-003 | Cuentas invitado con permisos excesivos LFPDPPP · Artículo 19 | Alta | Microsoft Graph | Automatizada |
| IAM-004 | Administrador global sin PIM CUB · Art. 168 Bis 11 VI (a) — Identificación, autenticación y rolesCUB · Art. 168 Bis 14 III — Revisión anual de perfiles de acceso | Alta | Microsoft Graph | Requiere revisión |
| IAM-005 | Cuentas inactivas no deshabilitadas CUB · Art. 168 Bis 11 VI (c) — Rotación de credenciales aplicativo-a-aplicativoCUB · Art. 168 Bis 12 X — Controles desde contratación a terminación | Media | Microsoft Graph | Automatizada |
| IAM-006 | Política de expiración de contraseña no configurada CUB · Art. 310 II — Factor de autenticación Categoría 2 (conocimiento)CUB · Art. 316 Bis 4 — Cambio de contraseñas/NIP ≤90 días | Media | Microsoft Graph | Automatizada |
| IAM-007 | Restablecimiento de contraseña autoservicio no configurado | Media | Microsoft Graph | Condicional |
| IAM-008 | Protocolos de autenticación heredados habilitados LFPDPPP · Artículo 19CUB · Art. 168 Bis 12 II — Revisiones anuales de MFA, CA, parches y modificaciones | Alta | Microsoft Graph | Automatizada |
| RSK-001 | Sin política de riesgo de inicio de sesión configurada | Alta | Microsoft Graph | Automatizada |
| RSK-002 | Sin política de riesgo de usuario configurada | Alta | Microsoft Graph | Automatizada |
| RSK-003 | Sin ubicaciones nombradas definidas para políticas CA | Media | Microsoft Graph | Automatizada |
| RSK-004 | Valores predeterminados de seguridad no habilitados (sin políticas CA) | Crítica | Microsoft Graph | Automatizada |
| RSK-005 | Sin cuenta de acceso de emergencia (break-glass) | Crítica | Microsoft Graph | Requiere revisión |
| IAM-009 | Politica de expiracion de contrasenas no configurada CUB · Art. 310 II — Factor de autenticación Categoría 2 (conocimiento)CUB · Art. 316 Bis 4 — Cambio de contraseñas/NIP ≤90 días | Alta | Microsoft Graph | Automatizada |
| IAM-010 | Restablecimiento de contrasena de autoservicio no habilitado | Media | Microsoft Graph | Condicional |
| IAM-011 | Sin politica de riesgo de inicio de sesion | Alta | Microsoft Graph | Automatizada |
| IAM-012 | Sin politica de riesgo de usuario | Alta | Microsoft Graph | Automatizada |
| IAM-013 | Gestion de Identidades Privilegiadas no habilitada CUB · Art. 168 Bis 14 III — Revisión anual de perfiles de accesoCUB · Art. 168 Bis 14 IV — Verificación anual de asignación + registro de excepciones | Crítica | Microsoft Graph | Requiere revisión |
| IAM-014 | Cuentas de acceso de emergencia no configuradas | Crítica | Microsoft Graph | Automatizada |
| IAM-015 | Multiples administradores globales detectados (>4) | Alta | Microsoft Graph | Requiere revisión |
| IAM-016 | Cuentas de administrador no son solo nube | Media | Microsoft Graph | Automatizada |
| IAM-017 | Sin politica de fuerza de autenticacion para administradores CUB · Art. 168 Bis 11 VI (a) — Identificación, autenticación y rolesCUB · Art. 168 Bis 12 II — Revisiones anuales de MFA, CA, parches y modificacionesCUB · Art. 310 III — Factor de autenticación Categoría 3 (posesión)CUB · Art. 311–312 — Segundo factor Cat. 3 o 4 para operaciones por Internet | Alta | Microsoft Graph | Condicional |
| IAM-018 | Registro de aplicaciones permitido para todos los usuarios | Media | Microsoft Graph | Condicional |
| IAM-019 | Consentimiento para aplicaciones no restringido | Alta | Microsoft Graph | Automatizada |
| IAM-020 | Integracion de cuenta LinkedIn habilitada | Baja | Microsoft Graph | Automatizada |
| IAM-021 | Sin ubicaciones nombradas para politicas CA | Media | Microsoft Graph | Automatizada |
| IAM-022 | Valores predeterminados de seguridad no habilitados | Crítica | Microsoft Graph | Condicional |
| IAM-023 | Sin terminos de uso configurados | Baja | Microsoft Graph | Automatizada |
| IAM-024 | Configuracion de acceso entre tenants no revisada CUB · Art. 168 Bis 12 X — Controles desde contratación a terminación | Media | Microsoft Graph | Automatizada |
| IAM-025 | Sin campanas de revision de acceso configuradas CUB · Art. 168 Bis 12 X — Controles desde contratación a terminaciónCUB · Art. 168 Bis 14 III — Revisión anual de perfiles de accesoCUB · Art. 168 Bis 14 IV — Verificación anual de asignación + registro de excepciones | Media | Microsoft Graph | Automatizada |
| IAM-026 | Secretos de service principal con antiguedad superior a 365 dias CUB · Art. 168 Bis 11 VI (c) — Rotación de credenciales aplicativo-a-aplicativo | Alta | Microsoft Graph | Automatizada |
| IAM-027 | Frecuencia de inicio de sesion no configurada en Conditional Access CUB · Art. 168 Bis 12 II — Revisiones anuales de MFA, CA, parches y modificaciones | Media | Microsoft Graph | Automatizada |
| Código | Control | Severidad | Plano | Cobertura |
|---|---|---|---|---|
| EML-001 | Registro SPF faltante o mal configurado LFPDPPP · Artículo 19 | Crítica | Microsoft Graph | Automatizada |
| EML-002 | DKIM no habilitado para todos los dominios LFPDPPP · Artículo 19 | Alta | Microsoft Graph | Automatizada |
| EML-003 | Política DMARC no aplicada LFPDPPP · Artículo 19 | Alta | Microsoft Graph | Automatizada |
| EML-004 | Reglas de reenvío de correo a dominios externos LFPDPPP · Artículo 19 | Alta | Microsoft Graph | Condicional |
| EML-005 | Política de archivos adjuntos seguros no configurada CUB · Art. 168 Bis 12 IX — Threat hunting (phishing, suplantación, ATM/POS) | Media | Microsoft Graph | Requiere revisión |
| EML-006 | Política anti-phishing en configuración predeterminada CUB · Art. 168 Bis 12 IX — Threat hunting (phishing, suplantación, ATM/POS) | Media | Microsoft Graph | Requiere revisión |
| EXO-001 | Dominios con tipo de autenticación débil | Alta | Microsoft Graph | Requiere revisión |
| EXO-002 | Sin alertas de seguridad de Exchange Online configuradas | Alta | Microsoft Graph | Requiere revisión |
| EXO-003 | Salud del servicio Exchange Online degradada CUB · Art. 168 Bis 11 XIII — SLA de disponibilidad y tiempo de respuesta | Media | Microsoft Graph | Automatizada |
| EXO-004 | Usuarios con reenvío automático habilitado | Alta | Microsoft Graph | Requiere revisión |
| EXO-005 | Periodo de validez de contraseña sin restricción CUB · Art. 316 Bis 4 — Cambio de contraseñas/NIP ≤90 días | Media | Microsoft Graph | Automatizada |
| EML-007 | Politica anti-phishing no configurada | Alta | Microsoft Graph | Requiere revisión |
| EML-008 | Politica de enlaces seguros no configurada CUB · Art. 168 Bis 12 IX — Threat hunting (phishing, suplantación, ATM/POS) | Alta | Microsoft Graph | Requiere revisión |
| EML-009 | Filtro de tipos de adjuntos comunes no habilitado | Media | Microsoft Graph | Requiere revisión |
| EML-010 | Reenvio automatico a dominios externos permitido CUB · Art. 168 Bis 11 XIV — Prevención/detección de eventos + DLP + correlación | Crítica | Microsoft Graph | Condicional |
| EML-011 | Registro SPF demasiado permisivo CUB · Art. 168 Bis 12 IX — Threat hunting (phishing, suplantación, ATM/POS) | Alta | Microsoft Graph | Automatizada |
| EML-012 | Firma DKIM no habilitada para todos los dominios CUB · Art. 168 Bis 12 IX — Threat hunting (phishing, suplantación, ATM/POS) | Alta | Microsoft Graph | Automatizada |
| EML-013 | Politica DMARC no configurada como reject CUB · Art. 168 Bis 12 IX — Threat hunting (phishing, suplantación, ATM/POS) | Alta | Microsoft Graph | Automatizada |
| EML-014 | Etiquetado de correo externo no habilitado CUB · Art. 168 Bis 11 XIV — Prevención/detección de eventos + DLP + correlaciónCUB · Art. 168 Bis 12 IX — Threat hunting (phishing, suplantación, ATM/POS) | Media | Microsoft Graph | Requiere revisión |
| EML-015 | Registro de auditoria de buzon no habilitado CUB · Art. 168 Bis 11 VIII — Registros de auditoría íntegros | Alta | Microsoft Graph | Requiere revisión |
| EML-016 | Inicio de sesion en buzon compartido no deshabilitado | Media | Microsoft Graph | Automatizada |
| EML-017 | Sin purga automatica de hora cero (ZAP) CUB · Art. 168 Bis 12 IX — Threat hunting (phishing, suplantación, ATM/POS) | Alta | Microsoft Graph | Requiere revisión |
| EML-018 | Compartir calendario con usuarios externos sin restriccion | Media | Microsoft Graph | Requiere revisión |
| Código | Control | Severidad | Plano | Cobertura |
|---|---|---|---|---|
| DLP-001 | Sin políticas DLP configuradas CUB · Art. 168 Bis 11 XIV — Prevención/detección de eventos + DLP + correlación | Alta | Microsoft Graph | Automatizada |
| DLP-002 | Etiquetas de sensibilidad no desplegadas CUB · Art. 168 Bis 11 XIV — Prevención/detección de eventos + DLP + correlación | Alta | Microsoft Graph | Requiere revisión |
| DLP-003 | Compartición externa habilitada globalmente en SharePoint LFPDPPP · Artículo 19CUB · Art. 168 Bis 11 XIV — Prevención/detección de eventos + DLP + correlación | Crítica | Microsoft Graph | Condicional |
| DLP-004 | Archivos de OneDrive compartidos con enlaces "Cualquiera" | Alta | Microsoft Graph | Requiere revisión |
| DLP-005 | Sin políticas de retención para datos sensibles | Media | Microsoft Graph | Automatizada |
| DLP-006 | Barreras de información no configuradas | Baja | Microsoft Graph | Requiere revisión |
| PUR-001 | Sin etiquetas de sensibilidad desplegadas NOM-151-SCFI-2016 · 5.1 Integridad | Alta | Microsoft Graph | Automatizada |
| PUR-004 | Alertas DLP activas (riesgo de fuga de datos) CUB · Art. 168 Bis 11 XIV — Prevención/detección de eventos + DLP + correlación | Alta | Microsoft Graph | Automatizada |
| PUR-005 | Alertas de riesgo interno detectadas CUB · Art. 168 Bis 11 XIV — Prevención/detección de eventos + DLP + correlación | Crítica | Microsoft Graph | Requiere revisión |
| TMS-004 | Canales de Teams compartidos con organizaciones externas | Media | Microsoft Graph | Requiere revisión |
| DLP-007 | Sin etiquetas de confidencialidad publicadas | Alta | Microsoft Graph | Automatizada |
| DLP-008 | Etiqueta de confidencialidad predeterminada no configurada | Media | Microsoft Graph | Requiere revisión |
| DLP-009 | Politicas de etiquetado automatico no configuradas | Media | Microsoft Graph | Requiere revisión |
| DLP-010 | Sin politica DLP para numeros de tarjeta de credito | Alta | Microsoft Graph | Requiere revisión |
| DLP-011 | Sin politica DLP para identificadores personales (CURP/RFC) | Alta | Microsoft Graph | Requiere revisión |
| DLP-012 | Compartir externo en OneDrive configurado como Cualquiera | Crítica | Microsoft Graph | Requiere revisión |
| DLP-013 | Compartir externo de SharePoint demasiado permisivo | Alta | Microsoft Graph | Requiere revisión |
| DLP-014 | Sin politica de retencion para correo | Media | Microsoft Graph | Requiere revisión |
| DLP-015 | Sin politica de retencion para mensajes de Teams | Media | Microsoft Graph | Requiere revisión |
| DLP-016 | Control de versiones no habilitado en bibliotecas de documentos CUB · Art. 168 Bis 11 XII — Detección de alteración de libros/registros digitalesCUB · Art. 168 Bis 11 XIV — Prevención/detección de eventos + DLP + correlación | Baja | Microsoft Graph | Requiere revisión |
| DLP-017 | Sin barreras de informacion configuradas | Baja | Microsoft Graph | Requiere revisión |
| Código | Control | Severidad | Plano | Cobertura |
|---|---|---|---|---|
| DEV-001 | Inscripcion en Intune no requerida CUB · Art. 168 Bis 12 II — Revisiones anuales de MFA, CA, parches y modificaciones | Alta | Microsoft Graph | Automatizada |
| DEV-002 | Sin politicas de cumplimiento de dispositivos CUB · Art. 168 Bis 12 II — Revisiones anuales de MFA, CA, parches y modificaciones | Alta | Microsoft Graph | Automatizada |
| DEV-003 | BitLocker no aplicado | Media | Microsoft Graph | Requiere revisión |
| DEV-004 | Dispositivos personales accediendo a datos corporativos | Media | Microsoft Graph | Automatizada |
| DEV-005 | Anillos de actualizacion de Windows no configurados | Baja | Microsoft Graph | Automatizada |
| MDM-001 | Dispositivos no conformes inscritos en Intune CUB · Art. 168 Bis 12 II — Revisiones anuales de MFA, CA, parches y modificaciones | Alta | Microsoft Graph | Automatizada |
| MDM-002 | Sin politicas de cumplimiento de dispositivos definidas | Crítica | Microsoft Graph | Automatizada |
| MDM-003 | Sin politicas de proteccion de aplicaciones (MAM) | Alta | Microsoft Graph | Automatizada |
| MDM-004 | Sin perfiles de configuracion de dispositivos desplegados | Media | Microsoft Graph | Automatizada |
| MDM-005 | Autopilot no configurado | Baja | Microsoft Graph | Automatizada |
| MDM-006 | Sin restricciones de inscripcion de dispositivos | Media | Microsoft Graph | Automatizada |
| MDM-007 | Windows Hello para Negocios no configurado CUB · Art. 310 IV — Factor de autenticación Categoría 4 (biometría) | Media | Microsoft Graph | Requiere revisión |
| MDM-008 | Sin anillos de actualizacion de Windows configurados CUB · Art. 168 Bis 12 II — Revisiones anuales de MFA, CA, parches y modificaciones | Alta | Microsoft Graph | Automatizada |
| MDM-009 | Sin politica de proteccion de apps para iOS/Android | Alta | Microsoft Graph | Automatizada |
| MDM-010 | Dispositivos personales no bloqueados de inscripcion | Media | Microsoft Graph | Requiere revisión |
| MDM-011 | Sin politica de cumplimiento para dispositivos con jailbreak CUB · Art. 168 Bis 12 II — Revisiones anuales de MFA, CA, parches y modificaciones | Alta | Microsoft Graph | Requiere revisión |
| MDM-012 | DLP de endpoint no configurado CUB · Art. 168 Bis 11 XIV — Prevención/detección de eventos + DLP + correlación | Media | Microsoft Graph | Requiere revisión |
| MDM-013 | Reglas de reduccion de superficie de ataque no habilitadas CUB · Art. 168 Bis 11 XIV — Prevención/detección de eventos + DLP + correlación | Alta | Microsoft Graph | Requiere revisión |
| MDM-014 | Sin perfil de implementacion Autopilot | Baja | Microsoft Graph | Requiere revisión |
| MDM-015 | Defender para Endpoint no integrado CUB · Art. 168 Bis 11 IX — Gestión de incidentesCUB · Art. 168 Bis 12 IX — Threat hunting (phishing, suplantación, ATM/POS) | Crítica | Microsoft Graph | Automatizada |
| Código | Control | Severidad | Plano | Cobertura |
|---|---|---|---|---|
| APP-001 | Consentimientos de aplicaciones OAuth no revisados | Alta | Microsoft Graph | Requiere revisión |
| APP-002 | Usuarios pueden consentir aplicaciones sin aprobación | Crítica | Microsoft Graph | Requiere revisión |
| APP-003 | Aplicaciones empresariales con permisos API excesivos | Alta | Microsoft Graph | Requiere revisión |
| APP-004 | Aplicaciones de publicador no verificado permitidas | Media | Microsoft Graph | Requiere revisión |
| APP-005 | Registro de aplicaciones no restringido | Media | Microsoft Graph | Condicional |
| PWR-001 | Sin políticas DLP para conectores de Power Platform | Alta | Microsoft Graph | Requiere revisión |
| PWR-003 | Power Apps compartidas con toda la organización | Media | Microsoft Graph | Requiere revisión |
| TMS-005 | Acceso externo (federacion) no restringido en Teams | Alta | Microsoft Graph | Requiere revisión |
| TMS-006 | Acceso de invitados habilitado en Teams sin restricciones | Media | Microsoft Graph | Requiere revisión |
| TMS-007 | Apps no administradas permitidas en Teams | Media | Microsoft Graph | Requiere revisión |
| TMS-008 | Usuarios anonimos pueden unirse a reuniones | Media | Microsoft Graph | Requiere revisión |
| TMS-009 | Sin politica de grabacion de reuniones de Teams | Baja | Microsoft Graph | Requiere revisión |
| TMS-010 | Compartir archivos en Teams con usuarios externos sin restriccion | Alta | Microsoft Graph | Requiere revisión |
| TMS-011 | Sin politica de lobby para participantes externos | Media | Microsoft Graph | Requiere revisión |
| APP-006 | Sin politica de consentimiento de apps que requiera aprobacion de admin | Alta | Microsoft Graph | Requiere revisión |
| APP-007 | Apps integradas no revisadas en 90 dias | Media | Microsoft Graph | Automatizada |
| APP-008 | Principales de servicio con permisos excesivos CUB · Art. 168 Bis 11 VI (c) — Rotación de credenciales aplicativo-a-aplicativoCUB · Art. 168 Bis 14 IV — Verificación anual de asignación + registro de excepciones | Alta | Microsoft Graph | Requiere revisión |
| APP-009 | Sin politica de proteccion para apps administradas | Media | Microsoft Graph | Automatizada |
| APP-010 | Compartir entorno de Power Apps demasiado permisivo CUB · Art. 168 Bis 14 IV — Verificación anual de asignación + registro de excepciones | Media | Microsoft Graph | Requiere revisión |
| APP-011 | Flujos de Power Automate ejecutandose como cuentas de servicio | Media | Microsoft Graph | Requiere revisión |
| Código | Control | Severidad | Plano | Cobertura |
|---|---|---|---|---|
| AUD-001 | Registro de auditoría unificado no habilitado Reglamento LFPDPPP · Artículo 57 — Medidas de Seguridad — Control de AccesoCUB · Art. 168 Bis 11 VIII — Registros de auditoría íntegros | Crítica | Microsoft Graph | Requiere revisión |
| AUD-002 | Sin políticas de alerta configuradas Reglamento LFPDPPP · Artículo 60 — Medidas CorrectivasCUB · Art. 168 Bis 11 IX — Gestión de incidentes | Alta | Microsoft Graph | Requiere revisión |
| AUD-003 | Políticas de retención no cumplen con normativa CUB · Art. 168 Bis 11 VIII — Registros de auditoría íntegrosCUB · Art. 168 Bis 17 — Registro de incidentes 10 añosNOM-151-SCFI-2016 · 5.1 Integridad | Media | Microsoft Graph | Automatizada |
| AUD-004 | eDiscovery no configurado | Baja | Microsoft Graph | Automatizada |
| AUD-005 | Brechas en registro de actividad administrativa CUB · Art. 168 Bis 11 VIII — Registros de auditoría íntegros | Media | Microsoft Graph | Automatizada |
| PUR-002 | Sin etiquetas de retención configuradas CUB · Art. 168 Bis 11 XII — Detección de alteración de libros/registros digitales | Alta | Microsoft Graph | Automatizada |
| PUR-003 | Sin casos de eDiscovery — brecha en preparación para incidentes | Baja | Microsoft Graph | Automatizada |
| SEN-001 | Microsoft Sentinel no desplegado Reglamento LFPDPPP · Artículo 60 — Medidas CorrectivasCUB · Art. 168 Bis 11 IX — Gestión de incidentesCUB · Art. 168 Bis 11 XIV — Prevención/detección de eventos + DLP + correlaciónCUB · Art. 168 Bis 14 VI — Ciclo NIST CSF (identify/protect/detect/respond/recover) | Alta | Azure Resource Manager | Automatizada |
| SEN-002 | Sin reglas de análisis de Sentinel habilitadas CUB · Art. 168 Bis 11 VI (f) — Autenticación entre componentes + detección de transacciones atípicasCUB · Art. 168 Bis 11 IX — Gestión de incidentesCUB · Art. 168 Bis 11 XIV — Prevención/detección de eventos + DLP + correlaciónCUB · Art. 168 Bis 12 IX — Threat hunting (phishing, suplantación, ATM/POS)CUB · Art. 168 Bis 14 VI — Ciclo NIST CSF (identify/protect/detect/respond/recover) | Crítica | Azure Resource Manager | Condicional |
| SEN-003 | Incidentes de alta severidad activos en Sentinel CUB · Art. 168 Bis 11 VI (f) — Autenticación entre componentes + detección de transacciones atípicasCUB · Art. 168 Bis 11 IX — Gestión de incidentesCUB · Art. 168 Bis 11 XIV — Prevención/detección de eventos + DLP + correlaciónCUB · Art. 168 Bis 12 IX — Threat hunting (phishing, suplantación, ATM/POS)CUB · Art. 168 Bis 14 VI — Ciclo NIST CSF (identify/protect/detect/respond/recover)CUB · Art. 168 Bis 17 — Registro de incidentes 10 años | Crítica | Azure Resource Manager | Condicional |
| SEN-004 | Sin reglas de automatización de Sentinel configuradas CUB · Art. 168 Bis 11 IX — Gestión de incidentesCUB · Art. 168 Bis 11 XIV — Prevención/detección de eventos + DLP + correlaciónCUB · Art. 168 Bis 14 VI — Ciclo NIST CSF (identify/protect/detect/respond/recover) | Media | Azure Resource Manager | Condicional |
| AUD-006 | Sin retencion de log de auditoria mas alla de 90 dias CUB · Art. 168 Bis 11 VIII — Registros de auditoría íntegrosCUB · Art. 168 Bis 17 — Registro de incidentes 10 años | Alta | Microsoft Graph | Automatizada |
| AUD-007 | Sin politicas de alerta para actividad sospechosa CUB · Art. 168 Bis 11 IX — Gestión de incidentes | Alta | Microsoft Graph | Requiere revisión |
| AUD-008 | Sin retencion por litigio configurada CUB · Art. 168 Bis 11 XII — Detección de alteración de libros/registros digitales | Media | Microsoft Graph | Requiere revisión |
| AUD-009 | Flujo de consentimiento de administrador no configurado | Media | Microsoft Graph | Condicional |
| AUD-010 | Sin customer lockbox habilitado | Baja | Microsoft Graph | Requiere revisión |
| AUD-011 | Alertas del centro de seguridad y cumplimiento no configuradas | Media | Microsoft Graph | Requiere revisión |
| AUD-012 | Sin politica de gestion de riesgos internos CUB · Art. 168 Bis 11 XIV — Prevención/detección de eventos + DLP + correlación | Media | Microsoft Graph | Requiere revisión |
| AUD-013 | Cumplimiento de comunicaciones no configurado CUB · Art. 168 Bis 11 XIV — Prevención/detección de eventos + DLP + correlaciónCUB · Art. 168 Bis 12 VIII — Capacitación y concientización anual | Baja | Microsoft Graph | Requiere revisión |
| AUD-014 | Retencion de registros criticos inferior a 3 anos (CNBV Art. 168 Bis 11 VIII) CUB · Art. 168 Bis 11 VIII — Registros de auditoría íntegros | Alta | Microsoft Graph | Condicional |
| AUD-015 | Archivo de incidentes sin inmutabilidad o retencion inferior a 10 anos (CNBV Art. 168 Bis 17) CUB · Art. 168 Bis 17 — Registro de incidentes 10 años | Alta | Microsoft Graph | Condicional |
| Código | Control | Severidad | Plano | Cobertura |
|---|---|---|---|---|
| OPS-001 | Sin políticas de gobernanza de Power Automate | Media | Microsoft Graph | Requiere revisión |
| OPS-002 | Gobernanza de Teams no configurada | Media | Microsoft Graph | Requiere revisión |
| OPS-003 | Sin solución de respaldo para datos de M365 CUB · Art. 168 Bis 11 VII — Respaldo y recuperación | Alta | Microsoft Graph | Requiere revisión |
| OPS-004 | Monitoreo de salud del servicio no configurado CUB · Art. 168 Bis 11 XIII — SLA de disponibilidad y tiempo de respuesta | Baja | Microsoft Graph | Requiere revisión |
| OPS-005 | Sin plan de respuesta a incidentes CUB · Art. 168 Bis 11 IX — Gestión de incidentes | Media | Microsoft Graph | Requiere revisión |
| PWR-002 | Flujos de Power Automate sin gobernanza | Media | Microsoft Graph | Requiere revisión |
| PWR-004 | Múltiples ambientes de Power Platform sin controles | Media | Microsoft Graph | Requiere revisión |
| PWR-005 | Flujos de Power Automate sin control de aprobación/cambio (CNBV Art. 168 Bis 11 XI) CUB · Art. 168 Bis 11 XI — Controles automatizados pre/post operación manual | Media | Microsoft Graph | Requiere revisión |
| TMS-001 | Acceso externo de Teams permite todos los dominios | Alta | Microsoft Graph | Automatizada |
| TMS-002 | Acceso de invitados en Teams sin restricciones | Alta | Microsoft Graph | Requiere revisión |
| TMS-003 | Política de reuniones de Teams permite unión anónima | Media | Microsoft Graph | Requiere revisión |
| OPS-006 | Sin evaluacion de cumplimiento programada | Media | Microsoft Graph | Requiere revisión |
| OPS-007 | Sin plan de respuesta a incidentes documentado CUB · Art. 168 Bis 11 IX — Gestión de incidentes | Alta | Microsoft Graph | Requiere revisión |
| OPS-008 | Sin capacitacion de concientizacion de seguridad configurada CUB · Art. 168 Bis 12 VIII — Capacitación y concientización anualCUB · Art. 168 Bis 14 X — Capacitación continua del personal | Media | Microsoft Graph | Requiere revisión |
| OPS-009 | Sin plan de respaldo y recuperacion para datos de M365 CUB · Art. 168 Bis 11 VII — Respaldo y recuperación | Alta | Microsoft Graph | Requiere revisión |
| OPS-010 | Alertas de salud del servicio no configuradas CUB · Art. 168 Bis 11 XIII — SLA de disponibilidad y tiempo de respuesta | Baja | Microsoft Graph | Requiere revisión |
| OPS-011 | Sin integracion de seguridad de apps en la nube (MCAS) CUB · Art. 168 Bis 11 XIV — Prevención/detección de eventos + DLP + correlación | Media | Microsoft Graph | Requiere revisión |
| OPS-012 | Estacion de trabajo de acceso privilegiado no requerida para administradores | Baja | Microsoft Graph | Automatizada |
| Código | Control | Severidad | Plano | Cobertura |
|---|---|---|---|---|
| AZR-001 | Secure Score de Defender for Cloud por debajo del 70% | Alta | Azure Resource Manager | Automatizada |
| AZR-002 | NSG con SSH/RDP abierto a internet | Crítica | Azure Resource Manager | Automatizada |
| AZR-003 | Cuentas de almacenamiento con acceso público a blobs | Crítica | Azure Resource Manager | Automatizada |
| AZR-004 | Key Vault sin protección contra purga | Alta | Azure Resource Manager | Automatizada |
| AZR-005 | Recursos no conformes con Azure Policy | Alta | Azure Resource Manager | Automatizada |
| AZR-006 | VMs con discos no administrados | Media | Azure Resource Manager | Automatizada |
| AZR-007 | Cuentas de almacenamiento sin TLS 1.2 CUB · Art. 168 Bis 11 VI (b) — CifradoCUB · Art. 168 Bis 11 VI (f) — Autenticación entre componentes + detección de transacciones atípicasCUB · Art. 316 Bis 4 + Art. 168 Bis 11 VI (b) — Cifrado extremo a extremo de factores | Alta | Azure Resource Manager | Automatizada |
| AZR-008 | Sin bloqueos en recursos críticos CUB · Art. 168 Bis 11 VII — Respaldo y recuperación | Media | Azure Resource Manager | Automatizada |
| AZR-009 | Recomendaciones no saludables de Defender for Cloud | Alta | Azure Resource Manager | Automatizada |
| AZR-010 | Sin configuración de diagnóstico para Activity Log CUB · Art. 168 Bis 11 VIII — Registros de auditoría íntegros | Media | Azure Resource Manager | Automatizada |
| NET-001 | Sin políticas de Web Application Firewall (WAF) | Alta | Azure Resource Manager | Automatizada |
| NET-002 | Protección DDoS no habilitada en VNets | Alta | Azure Resource Manager | Automatizada |
| NET-003 | Sin Private Endpoints configurados | Media | Azure Resource Manager | Automatizada |
| NET-004 | IPs públicas sin asociación a NSG | Alta | Azure Resource Manager | Automatizada |
| NET-005 | Azure Firewall no desplegado | Media | Azure Resource Manager | Automatizada |
| NET-006 | Network Watcher no habilitado en todas las regiones | Media | Azure Resource Manager | Automatizada |
| NET-007 | VPN Gateway no usa IKEv2/OpenVPN | Media | Azure Resource Manager | Automatizada |
| NET-008 | Zonas DNS con delegaciones públicas | Baja | Azure Resource Manager | Condicional |
| CMP-001 | VMs sin cifrado de disco (ADE/SSE-CMK) CUB · Art. 168 Bis 11 VI (b) — CifradoCUB · Art. 316 Bis 4 + Art. 168 Bis 11 VI (b) — Cifrado extremo a extremo de factores | Crítica | Azure Resource Manager | Requiere revisión |
| CMP-002 | Acceso JIT a VMs no habilitado | Alta | Azure Resource Manager | Automatizada |
| CMP-003 | VMs sin identidad administrada CUB · Art. 168 Bis 11 VI (f) — Autenticación entre componentes + detección de transacciones atípicas | Media | Azure Resource Manager | Automatizada |
| CMP-004 | Extensiones de VM con vulnerabilidades conocidas | Alta | Azure Resource Manager | Requiere revisión |
| CMP-005 | Auto-shutdown no configurado en VMs dev/test | Baja | Azure Resource Manager | Condicional |
| CMP-006 | VMSS sin health probes | Media | Azure Resource Manager | Automatizada |
| CMP-007 | Container registries con usuario admin habilitado | Alta | Azure Resource Manager | Automatizada |
| CMP-008 | Clusters AKS sin RBAC | Crítica | Azure Resource Manager | Automatizada |
| DBS-001 | Auditoría de SQL Server no habilitada CUB · Art. 168 Bis 11 VIII — Registros de auditoría íntegros | Alta | Azure Resource Manager | Condicional |
| DBS-002 | Firewall de SQL Server permite todos los servicios Azure | Alta | Azure Resource Manager | Condicional |
| DBS-003 | Transparent Data Encryption (TDE) no habilitado CUB · Art. 168 Bis 11 VI (b) — CifradoCUB · Art. 316 Bis 4 + Art. 168 Bis 11 VI (b) — Cifrado extremo a extremo de factores | Crítica | Azure Resource Manager | Condicional |
| DBS-004 | Cosmos DB sin private endpoint | Alta | Azure Resource Manager | Automatizada |
| DBS-005 | PostgreSQL flexible server sin SSL forzado CUB · Art. 168 Bis 11 VI (b) — CifradoCUB · Art. 316 Bis 4 + Art. 168 Bis 11 VI (b) — Cifrado extremo a extremo de factores | Alta | Azure Resource Manager | Requiere revisión |
| DBS-006 | MySQL server sin SSL forzado CUB · Art. 168 Bis 11 VI (b) — CifradoCUB · Art. 316 Bis 4 + Art. 168 Bis 11 VI (b) — Cifrado extremo a extremo de factores | Alta | Azure Resource Manager | Requiere revisión |
| DBS-007 | Redis Cache sin TLS y autenticación CUB · Art. 168 Bis 11 VI (b) — CifradoCUB · Art. 168 Bis 11 VI (f) — Autenticación entre componentes + detección de transacciones atípicasCUB · Art. 316 Bis 4 + Art. 168 Bis 11 VI (b) — Cifrado extremo a extremo de factores | Alta | Azure Resource Manager | Automatizada |
| DBS-008 | SQL Advanced Threat Protection no habilitado | Alta | Azure Resource Manager | Condicional |
| GOV-001 | Sin grupos de acción para alertas de Azure Monitor | Alta | Azure Resource Manager | Automatizada |
| GOV-002 | Workspace de Log Analytics no configurado CUB · Art. 168 Bis 11 VIII — Registros de auditoría íntegros | Alta | Azure Resource Manager | Automatizada |
| GOV-003 | Sin alertas de métricas de Azure Monitor definidas | Media | Azure Resource Manager | Automatizada |
| GOV-004 | Resource groups sin política de etiquetado | Media | Azure Resource Manager | Automatizada |
| GOV-005 | Sin alertas de presupuesto Azure configuradas | Media | Azure Resource Manager | Automatizada |
| GOV-006 | Grupos de administración no organizados | Baja | Azure Resource Manager | Automatizada |
| GOV-007 | Auto-aprovisionamiento de Defender for Cloud deshabilitado | Alta | Azure Resource Manager | Automatizada |
| GOV-008 | Sin recomendaciones de Azure Advisor revisadas CUB · Art. 168 Bis 11 X — Planeación de capacidad + obsolescencia | Baja | Azure Resource Manager | Condicional |
Cómo leer la cobertura. El escaneo emite un veredicto aprobado/no aprobado de forma automática. Se evalúa solo cuando el recurso relevante existe en el tenant (p. ej. las reglas de Azure SQL solo aplican si hay servidores SQL); de lo contrario se marca como no aplicable. El control vive en un plano que el token de escaneo de solo lectura no alcanza (gobernanza de Power Platform, políticas de reuniones/federación de Teams, estado de directivas de Exchange/Defender). Se marca para consentimiento de administrador o revisión manual y se excluye del puntaje de postura. Los códigos de control (p. ej. IAM-001) son estables: identifican el mismo control entre escaneos e informes.