Compartir a través de

Identificación y corrección de rutas de acceso de ataque

Defender for Cloud usa un algoritmo de propiedad para buscar posibles rutas de acceso de ataque específicas del entorno multinube. Defender for Cloud se centra en amenazas reales, controladas externamente y aprovechables en lugar de en escenarios amplios. El algoritmo detecta rutas de acceso de ataque que comienzan fuera de la organización y avanzan a objetivos críticos para la empresa, lo que le ayuda a reducir el ruido y actuar más rápido.

Puede usar el análisis de rutas de acceso de ataques para abordar los problemas de seguridad que representan amenazas inmediatas con un tremendo potencial de convertirse en vulnerabilidades de seguridad en su entorno. Defender for Cloud analiza qué problemas de seguridad forman parte de rutas de acceso de ataque expuestas externamente que los atacantes podrían usar para infringir el entorno. También resalta las recomendaciones de seguridad que debe resolver para mitigar estos problemas.

De manera predeterminada, las rutas de acceso de ataque se organizan por nivel de riesgo. El nivel de riesgo viene determinado por un motor de priorización de riesgos que tenga en cuenta el contexto que tiene en cuenta los factores de riesgo de cada recurso. Obtenga más información sobre cómo Defender for Cloud prioriza las recomendaciones de seguridad.

Nota:

Esta funcionalidad actualmente se encuentra disponible en modo de vista previa.
Para más información sobre las brechas y restricciones actuales, consulte Limitaciones conocidas.

Requisitos previos

Nota:

Es posible que vea una página de trayectoria de ataque vacía, ya que las trayectorias de ataque ahora se centran en amenazas reales, originadas externamente y explotables en lugar de escenarios amplios. Esto ayuda a reducir el ruido y priorizar los riesgos inminentes.

Para ver las rutas de acceso de ataque relacionadas con los contenedores:

  • Tiene que habilitar la posición de contenedores sin agente en Defender CSPM o

  • Puede habilitar Defender para contenedores e instalar los agentes pertinentes para ver las rutas de acceso de ataque relacionadas con los contenedores. Esto también le proporciona la capacidad de consultar las cargas de trabajo del plano de datos de contenedores en el explorador de seguridad.

  • Roles y permisos necesarios: lector de seguridad, administrador de seguridad, lector, colaborador o propietario.

Identificación de las rutas de acceso de ataques

Puede usar el análisis de rutas de acceso de ataques para localizar los mayores riesgos para su entorno y corregirlos.

En la página de rutas de acceso de ataque se muestra información general de todas las rutas de acceso de ataque. En ella se pueden ver también los recursos afectados y una lista de rutas de acceso de ataque activas.

Captura de pantalla de una página principal de ruta de acceso de ataque de ejemplo.

Para identificar rutas de acceso de ataque en Azure Portal:

  1. Inicie sesión en Azure Portal.

  2. Vaya a Microsoft Defender for Cloud>Análisis de ruta de acceso de ataque.

    Captura de pantalla que muestra la página de análisis de la ruta de acceso de ataque en la pantalla principal

  3. Seleccione una ruta de acceso de ataque.

  4. Seleccione un nodo.

    Captura de pantalla de la pantalla de ruta de acceso de ataque que muestra dónde se encuentran los nodos para la selección.

    Nota:

    Si tiene permisos limitados (especialmente entre suscripciones), es posible que no vea los detalles completos de la ruta de ataque. Este es el comportamiento esperado diseñado para proteger los datos confidenciales. Para ver todos los detalles, asegúrese de que tiene los permisos necesarios.

  5. Seleccione Información para ver la información asociada del nodo.

    Captura de pantalla de la pestaña Conclusiones de un nodo específico.

  6. Seleccione Recomendaciones.

    Captura de pantalla que muestra dónde seleccionar recomendaciones en la pantalla.

  7. Seleccione una recomendación.

  8. Corrija la recomendación.

Para identificar rutas de acceso de ataque en el portal de Defender:

  1. Inicie sesión al portal de Microsoft Defender.

  2. Vaya a Administración de exposición>Superficie de ataque>Caminos de ataque. Verá una visión general sobre los caminos de ataque.

    La experiencia de rutas de ataque ofrece varias vistas:

    • Pestaña de Resumen: Ver rutas de ataque a lo largo del tiempo, principales cuellos de botella, principales escenarios de rutas de ataque, principales destinos y principales puntos de entrada
    • Lista de rutas de acceso de ataque: vista dinámica y filtrable de todas las rutas de acceso de ataque con funcionalidades avanzadas de filtrado
    • Puntos de ahogamiento: lista de nodos donde convergen varias rutas de acceso de ataque, marcadas como cuellos de botella de alto riesgo

    Captura de pantalla que muestra información general sobre la ruta de acceso de ataque en el portal de Defender.

    Nota:

    En el portal de Defender, el análisis de rutas de acceso a ataques forma parte de las funcionalidades más amplias de administración de exposición, lo que proporciona una integración mejorada con otras soluciones de seguridad de Microsoft y correlación unificada de incidentes.

  3. Seleccione la pestaña Rutas de acceso de ataque .

    Captura de pantalla que muestra la página ruta de acceso de ataque en el portal de Defender.

  4. Use el filtrado avanzado en la lista Rutas de acceso de ataque para centrarse en rutas de acceso de ataque específicas:

    • Nivel de riesgo: filtrar por rutas de acceso de ataque de alto, medio o bajo riesgo
    • Tipo de recurso: centrarse en tipos de recursos específicos
    • Estado de remediación: Ver rutas de acceso de ataque resueltas, en curso o pendientes
    • Período de tiempo: filtrar por períodos de tiempo específicos (por ejemplo, últimos 30 días)

  5. Seleccione una trayectoria de ataque para ver el Mapa de Trayectoria de Ataque, un gráfico visual que destaca:

    • Nodos vulnerables: recursos con problemas de seguridad
    • Puntos de entrada: puntos de acceso externos donde podrían comenzar los ataques
    • Recursos críticos de destino: recursos críticos a los que intentan llegar los atacantes
    • Puntos de estrangulamiento: Puntos de convergencia en los que se intersecan varias rutas de ataque

  6. Seleccione un nodo para investigar información detallada:

    Captura de pantalla de la pantalla de ruta de ataque en el portal de Defender que muestra la selección del nodo.

    Nota:

    Si tiene permisos limitados (especialmente entre suscripciones), es posible que no vea los detalles completos de la ruta de ataque. Este es el comportamiento esperado diseñado para proteger los datos confidenciales. Para ver todos los detalles, asegúrese de que tiene los permisos necesarios.

  7. Revise los detalles del nodo, entre los que se incluyen:

    • Tácticas y técnicas de MITRE ATT&CK: Descripción de la metodología de ataque
    • Factores de riesgo: factores ambientales que contribuyen al riesgo
    • Recomendaciones asociadas: mejoras de seguridad para mitigar el problema

  8. Seleccione Información para ver la información asociada del nodo.

  9. Seleccione Recomendaciones para ver instrucciones procesables con seguimiento de estado de corrección.

    Captura de pantalla que muestra dónde seleccionar recomendaciones en el portal de Defender.

  10. Seleccione una recomendación.

  11. Corrija la recomendación.

    Una vez que haya terminado con la investigación de una ruta de acceso de ataque y revise todos los resultados y recomendaciones asociados, puede empezar a corregir la ruta de acceso al ataque.

  12. Corrija la recomendación.

Una vez resuelta una ruta de acceso de ataque, puede tardar hasta 24 horas en quitarse de la lista.

Corrección de rutas de acceso de ataque

Una vez que haya terminado con la investigación de una ruta de acceso de ataque y revise todos los resultados y recomendaciones asociados, puede empezar a corregir la ruta de acceso al ataque.

Para corregir una ruta de acceso de ataque en Azure Portal:

  1. Vaya a Microsoft Defender for Cloud>Análisis de ruta de acceso de ataque.

  2. Seleccione una ruta de acceso de ataque.

  3. Seleccione Corrección.

    Captura de pantalla de la ruta de acceso de ataque que muestra dónde seleccionar la corrección

  4. Seleccione una recomendación.

  5. Corrija la recomendación.

Una vez resuelta una ruta de acceso de ataque, puede tardar hasta 24 horas en quitarse de la lista.

Corrección de todas las recomendaciones en una ruta de acceso de ataque

El análisis de rutas de acceso de ataque le permite ver todas las recomendaciones por ruta de acceso de ataque sin tener que comprobar cada nodo individualmente. Puede resolver todas las recomendaciones sin tener que ver todos y cada uno de los nodos.

La ruta de acceso de corrección contiene dos tipos de recomendación:

  • Recomendaciones: recomendaciones que mitigan la ruta de acceso al ataque.
  • Recomendaciones adicionales : recomendaciones que reducen los riesgos de explotación, pero no mitigan la ruta de acceso de ataque.

Para resolver todas las recomendaciones en Azure Portal:

  1. Inicie sesión en Azure Portal.

  2. Vaya a Microsoft Defender for Cloud>Análisis de ruta de acceso de ataque.

  3. Seleccione una ruta de acceso de ataque.

  4. Seleccione Corrección.

    Captura de pantalla que muestra dónde seleccionar en la pantalla para ver la lista completa de recomendaciones de las rutas de acceso a ataques.

  5. Expanda Recomendaciones adicionales.

  6. Seleccione una recomendación.

  7. Corrija la recomendación.

Una vez resuelta una ruta de acceso de ataque, puede tardar hasta 24 horas en quitarse de la lista.

Para resolver todas las recomendaciones en el portal de Defender:

  1. Inicie sesión al portal de Microsoft Defender.

  2. Vaya a Administración de exposición>Análisis de ruta de ataque.

  3. Seleccione una ruta de acceso de ataque.

  4. Seleccione Corrección.

    Nota:

    El portal de Defender proporciona un seguimiento mejorado del progreso de la corrección y puede correlacionar las actividades de corrección con flujos de trabajo más amplios de administración de incidentes y operaciones de seguridad.

  5. Expanda Recomendaciones adicionales.

  6. Seleccione una recomendación.

  7. Corrija la recomendación.

Una vez resuelta una ruta de acceso de ataque, puede tardar hasta 24 horas en quitarse de la lista.

Funcionalidades mejoradas de administración de exposición

El portal de Defender proporciona funcionalidades adicionales para el análisis de rutas de ataque a través de su marco de administración de exposición integrado:

  • Correlación unificada de incidentes: las rutas de acceso de ataque se correlacionan automáticamente con incidentes de seguridad en todo el ecosistema de seguridad de Microsoft.
  • Información de productos: los datos de ruta de acceso a ataques se integran con los resultados de Microsoft Defender para punto de conexión, Microsoft Sentinel y otras soluciones de seguridad de Microsoft.
  • Inteligencia sobre amenazas avanzada: contexto mejorado de fuentes de inteligencia sobre amenazas de Microsoft para comprender mejor los patrones de ataque y los comportamientos de los actores.
  • Flujos de trabajo de corrección integrados: procesos de corrección optimizados que pueden desencadenar respuestas automatizadas en varias herramientas de seguridad.
  • Informes ejecutivos: funcionalidades de informes mejoradas para el liderazgo en seguridad con evaluaciones de impacto empresarial.

Estas funcionalidades proporcionan una vista más completa de la posición de seguridad y permiten una respuesta más eficaz a posibles amenazas identificadas a través del análisis de rutas de acceso a ataques.

Obtenga más información sobre las rutas de acceso de ataque en Defender for Cloud.

siguiente paso

Cree consultas con Cloud Security Explorer.

  • Last updated on