Compartir a través de

Revisión de las recomendaciones de seguridad

En Microsoft Defender for Cloud, los recursos y las cargas de trabajo se evalúan con las directivas de seguridad integradas y personalizadas y los marcos de cumplimiento normativo, que se aplican en los entornos en la nube (Azure, Amazon Web Services (AWS), Google Cloud Platform (GCP), etc. En función de esas evaluaciones, las recomendaciones de seguridad proporcionan pasos prácticos para corregir problemas de seguridad y mejorar su posición de seguridad.

Defender for Cloud usa un motor dinámico que evalúa proactivamente los riesgos en su entorno. Considera el potencial de explotación y el posible efecto empresarial en su organización. El motor prioriza las recomendaciones de seguridad en función de los factores de riesgo de cada recurso. El contexto del entorno determina estos factores de riesgo.

Prerrequisitos

Las recomendaciones se incluyen con Defender for Cloud, pero no puede ver la priorización de riesgos a menos que habilite CSPM de Defender en su entorno.

Revisar la página de recomendaciones

Revise las recomendaciones y asegúrese de que todos los detalles son correctos antes de resolverlos.

  1. Inicie sesión en Azure Portal.

  2. Vaya aRecomendaciones de >.

  3. Seleccione una recomendación.

Nota:

Esta funcionalidad actualmente se encuentra disponible en modo de vista previa. Para más información sobre las brechas y restricciones actuales, consulte Limitaciones conocidas.

La página Recomendaciones de Administración de exposiciones proporciona una lista prioritaria de acciones de seguridad diseñadas para mejorar la posición de seguridad en la nube mediante la solución de vulnerabilidades, configuraciones incorrectas y secretos expuestos. Estas recomendaciones se clasifican por riesgo efectivo, lo que ayuda a los equipos de seguridad a centrarse primero en las amenazas más críticas.

  1. Inicie sesión al portal de Microsoft Defender.

  2. Vaya a la pestaña Administración de Exposición>Recomendaciones>en la nube.

    Captura de pantalla de la página Recomendaciones en el Portal de Defender.

  3. Aplique filtros como:

    • Recurso expuesto: filtre por recursos con exposición a amenazas.
    • Factores de riesgo de recursos: filtre por condiciones de riesgo específicas.
    • Entorno: filtre por Azure, AWS o GCP.
    • Carga de trabajo: filtre por tipos de carga de trabajo específicos.
    • Nivel de madurez de la recomendación: filtre por nivel de preparación de la recomendación.

  4. En el lado izquierdo de la página, puede elegir ver las recomendaciones por categoría de seguridad:

    • Todas las recomendaciones: lista completa de recomendaciones de seguridad.
    • Configuraciones incorrectas: problemas de seguridad relacionados con la configuración.
    • Vulnerabilidades: vulnerabilidades de software que requieren revisiones.
    • Secretos expuestos: credenciales y secretos que podrían estar en peligro.

    Nota:

    Al seleccionar un filtro de categoría de seguridad, tanto la lista de recomendaciones como las tarjetas de resumen se actualizan para reflejar solo las recomendaciones de esa categoría.

Tarjetas de resumen de recomendaciones

Para cada vista, la página muestra tarjetas de resumen que proporcionan una visión general de la posición de seguridad en la nube:

  • Puntuación segura en la nube: muestra el estado general de la seguridad en la nube en función de las recomendaciones de seguridad de su entorno.
  • Historial de puntuación: realiza un seguimiento de los cambios de puntuación de seguridad durante los últimos siete días, lo que le ayuda a identificar tendencias y medir la mejora.
  • Recomendaciones por nivel de riesgo: resume el número de recomendaciones de seguridad activas, clasificadas por gravedad (Crítico, Alto, Medio, Bajo).
  • Cómo se calcula el nivel de riesgo: explica cómo se combinan las clasificaciones de gravedad y los factores de riesgo específicos de los recursos para determinar el nivel de riesgo general de cada recomendación.

Vistas de recomendación

El portal de Defender proporciona dos maneras distintas de ver e interactuar con las recomendaciones:

Recomendación por vista de activo

Esta vista muestra una lista de todas las recomendaciones organizadas por recursos individuales, ordenadas por nivel de riesgo. Cada fila representa una sola recomendación que afecta a un recurso específico.

Al seleccionar una fila de recomendación, se abre un panel lateral que muestra:

  • Información general: información general sobre la recomendación, incluida su descripción, detalles del recurso expuesto y otras recomendaciones pertinentes específicas
  • Pasos de corrección: guía procesable para resolver el problema de seguridad
  • Vista previa del mapa: muestra todas las rutas de acceso de ataque relacionadas que pasan por el recurso, agregados por tipo de nodo de destino. Se puede hacer lo siguiente:
    • Selección de una ruta de acceso agregada para mostrar todos los ataques asociados y rutas de acceso adicionales
    • Selección de una ruta de acceso específica para ver su visualización detallada
  • Iniciativas relacionadas: iniciativas de seguridad y marcos de cumplimiento asociados a la recomendación
  • Es posible que aparezcan pestañas adicionales para recomendaciones específicas con información contextual relevante

Vista del título de la recomendación

Esta vista agrega recomendaciones por título, en la que se muestra una lista consolidada ordenada por nivel de riesgo. Cada fila representa todas las instancias de una recomendación determinada en todo el entorno.

Al seleccionar una fila de recomendación agregada, se abre un panel lateral que muestra:

  • Información general: información general, incluida la descripción de la recomendación, la distribución de nivel de riesgo entre los recursos afectados, el estado de gobernanza y otros detalles pertinentes.
  • Pasos de corrección: guía procesable para resolver el problema de seguridad
  • Recursos expuestos: una lista de todos los recursos afectados por esta recomendación
  • Iniciativas relacionadas: iniciativas de seguridad y marcos de cumplimiento asociados a la recomendación
  • Es posible que aparezcan pestañas adicionales para recomendaciones específicas con información contextual relevante

Captura de pantalla del panel lateral de recomendaciones.

Rutas de acceso alternativas a recomendaciones:

  • Infraestructura en> la nubeVisión general>Posición de> seguridadRecomendaciones> de seguridadVer recomendaciones
  • Gestión de la exposición>Iniciativas>Seguridad en la nube>Abrir página de iniciativa>pestaña Recomendaciones de seguridad

Nota:

Por qué puede ver distintos recursos entre el portal de Azure y el portal de Defender:

  • Recursos eliminados: es posible que observe que los recursos eliminados todavía se muestran en Azure Portal. Esta condición se produce porque Azure Portal muestra actualmente el último estado conocido de los recursos. El equipo del producto está trabajando para corregir esta condición para que los recursos eliminados ya no aparezcan.
  • Recursos de Azure Policy: es posible que algunos recursos procedentes de Azure Policy no aparezcan en el portal de Defender. Durante la versión preliminar, el portal solo muestra los recursos que tienen contexto de seguridad y contribuyen a información de seguridad significativa.
  • Los recursos vinculados a suscripciones gratuitas no aparecen actualmente en el portal de Defender.

Descripción de la priorización de riesgos en el portal de Defender

La experiencia de administración de exposiciones en el portal de Defender proporciona funcionalidades avanzadas de priorización de riesgos que ayudan a los equipos de seguridad a centrarse en las amenazas más críticas. El motor de evaluación de riesgos dinámicos de Microsoft Defender for Cloud evalúa los riesgos en su entorno al tiempo que tiene en cuenta el potencial de explotación y el posible impacto empresarial en su organización.

Las recomendaciones del portal de Defender se priorizan automáticamente en función del riesgo efectivo, que tiene en cuenta varios factores contextuales sobre cada recurso y su entorno. Este enfoque basado en riesgos garantiza que los equipos de seguridad puedan abordar primero los problemas de seguridad más críticos, lo que hace que los esfuerzos de corrección sean más eficaces y eficaces.

Filtrado y priorización basados en riesgos

El portal de Defender ofrece funcionalidades avanzadas de filtrado que permiten centrarse en recomendaciones basadas en factores de riesgo:

  • Recursos expuestos: filtre por los recursos que tienen exposición directa a amenazas, como recursos accesibles desde Internet o recursos con configuraciones vulnerables.
  • Factores de riesgo de los activos: apuntar a condiciones de riesgo específicas, como la sensibilidad de los datos, el potencial de movimiento lateral o la exposición de infraestructuras críticas.
  • Desglose del nivel de riesgo: vea las recomendaciones clasificadas por niveles de riesgo crítico, alto, medio y bajo.
  • Integración de rutas de ataque: Enfóquese en las recomendaciones que forman parte de las rutas de ataque identificadas.

Cálculo de riesgos en Administración de exposiciones

La experiencia unificada de administración de exposiciones calcula los niveles de riesgo mediante un motor compatible con el contexto que tiene en cuenta:

  • Contexto ambiental: configuración de recursos, topología de red y posición de seguridad.
  • Factores de vulnerabilidad: la facilidad con la que un atacante podría aprovechar la vulnerabilidad.
  • Impacto empresarial: las posibles consecuencias si se aprovecharon el problema de seguridad.
  • Superficie expuesta a ataques: la exposición del recurso a posibles amenazas.
  • Análisis de puntos de retracción: indica si el recurso actúa como una unión crítica en posibles rutas de acceso de ataque.

Niveles de riesgo en el portal de Defender

El portal de Defender clasifica las recomendaciones en cinco niveles de riesgo:

  • Crítico: los problemas de seguridad más graves con vulnerabilidades de seguridad inmediatas y un alto impacto empresarial que requieren atención urgente.
  • Alto: riesgos de seguridad significativos que deben abordarse rápidamente, pero que pueden no requerir una acción inmediata
  • Medio: Problemas de seguridad moderados que se pueden solucionar como parte del mantenimiento regular de seguridad
  • Bajo: problemas de seguridad menores que se pueden solucionar en su comodidad durante las operaciones rutinarias
  • No evaluado: Recomendaciones que no han sido evaluadas en términos de riesgo, normalmente debido a limitaciones de cobertura de recursos.

Detalles mejorados de la recomendación

Cada recomendación del portal de Defender proporciona un contexto de riesgo completo:

  • Resumen de la evaluación de riesgos: cálculo general del riesgo y factores de contribución.
  • Mapeo de superficie de ataque: representación visual de cómo se relaciona el recurso con posibles escenarios de ataque.
  • Correlación de iniciativas: conexión a iniciativas de seguridad más amplias y marcos de cumplimiento.
  • Asociaciones CVE: vínculos a vulnerabilidades y exposiciones comunes pertinentes cuando corresponda.
  • Contexto histórico: tendencias y cambios en los niveles de riesgo a lo largo del tiempo.

En la página de recomendación, revise los detalles siguientes:

  • Nivel de riesgo: la vulnerabilidad y el efecto empresarial del problema de seguridad subyacente, teniendo en cuenta el contexto de recursos ambientales, como la exposición a Internet, los datos confidenciales, el movimiento lateral, etc.
  • Factores de riesgo: factores ambientales del recurso afectados por la recomendación, que influyen en la vulnerabilidad y el efecto empresarial del problema de seguridad subyacente. Entre los ejemplos de factores de riesgo se incluyen la exposición a Internet, la información confidencial y el potencial de movimiento lateral.
  • Recurso: el nombre del recurso afectado.
  • Estado: el estado de la recomendación, como Sin asignar, A tiempo o Vencida.
  • Descripción: una breve descripción del problema de seguridad.
  • Rutas de ataque: Número de rutas de ataque.
  • Ámbito: la suscripción o el recurso afectados.
  • Actualización: intervalo de actualización de la recomendación.
  • Fecha de último cambio: fecha en la que se cambió por última vez esta recomendación.
  • Gravedad: gravedad de la recomendación: Alta, Media o Baja. Más adelante en este artículo se proporcionan más detalles.
  • Propietario: la persona asignada a la recomendación.
  • Fecha de vencimiento: fecha de vencimiento asignada para resolver la recomendación.
  • Tácticas y técnicas: Las tácticas y técnicas asignadas a MITRE ATT&CK.

Exploración de una recomendación

Puede interactuar con recomendaciones de varias maneras. Si una opción no está disponible, esa opción no es relevante para la recomendación.

  1. Inicie sesión en Azure Portal.

  2. Vaya aRecomendaciones de >.

  3. Seleccione una recomendación.

  4. En Tomar medidas:

    • Corrección: una descripción de los pasos manuales necesarios para resolver el problema de seguridad en los recursos afectados. Para obtener recomendaciones con la opción Corregir , puede seleccionar Ver lógica de corrección antes de aplicar la corrección sugerida a los recursos.
    • Propietario de la recomendación y fecha de vencimiento establecida: si habilita una regla de gobernanza para la recomendación, puede asignar un propietario y una fecha de vencimiento.
    • Excluir: es posible excluir recursos de la recomendación o deshabilitar conclusiones específicas mediante reglas de deshabilitación.
    • Automatización del flujo de trabajo: establezca una aplicación lógica para que se desencadene con la recomendación.

    Captura de pantalla que muestra lo que puede ver en la recomendación al seleccionar la pestaña Realizar acción.

  5. En Hallazgos, revise los hallazgos asociados según su gravedad.

    Captura de pantalla que muestra la pestaña de resultados en una recomendación, incluidas todas las rutas de acceso a ataques de esa recomendación.

  6. En Graph, vea e investigue todo el contexto que se usa para la priorización de riesgos, incluidas las rutas de ataque. Puede seleccionar un nodo en una ruta de acceso de ataque para ver los detalles del nodo seleccionado.

    Captura de pantalla que muestra la pestaña Gráfico en una recomendación, incluidas todas las rutas de acceso a ataques de esa recomendación.

  7. Para ver más detalles, seleccione un nodo.

    Captura de pantalla que muestra la pestaña Gráfico con un nodo seleccionado y muestra detalles adicionales.

  8. Seleccione Conclusiones.

  9. Para ver los detalles, seleccione una vulnerabilidad en el menú desplegable.

    Captura de pantalla de la pestaña Insights de un nodo.

  10. (Opcional) Para ver la página de recomendación asociada, seleccione Abrir la página de vulnerabilidades.

  11. Corrección de una recomendación

En el portal de Defender, puede interactuar con recomendaciones de varias maneras a través de la experiencia de administración de exposiciones. Una vez que seleccione una recomendación de la pestaña Administración de Exposición>Nube de Recomendaciones>, puede explorar información detallada y tomar medidas.

Aplique filtros y conjuntos de filtros, como Recurso expuesto, Factores de riesgo de recursos, Entorno, Carga de trabajo, Madurez de la recomendación y otros.

En el panel de navegación izquierdo, puede elegir ver todas las recomendaciones o ver por una categoría específica.

Existen vistas independientes para los tipos de problema:

  • Configuraciones incorrectas
  • Vulnerabilidades
  • Secretos expuestos

Para cada vista, verá la puntuación de seguridad en la nube, el historial de puntuación, la recomendación por nivel de riesgo y cómo se calcula el riesgo.

Nota:

En el portal de Defender, algunas recomendaciones que anteriormente aparecían como un único elemento agregado ahora se muestran como varias recomendaciones individuales. Este cambio refleja un cambio de agrupación de conclusiones relacionadas en una recomendación para enumerar cada recomendación por separado.

  • Es posible que vea una lista más larga de recomendaciones en comparación con antes. Los resultados combinados (como vulnerabilidades, secretos expuestos o configuraciones incorrectas) ahora aparecen como recomendaciones individuales en lugar de anidadas bajo una recomendación primaria.
  • Las recomendaciones agrupadas antiguas siguen apareciendo en paralelo con el nuevo formato por ahora, pero finalmente están en desuso.
  • Estas recomendaciones se marcan como versión preliminar. Esta etiqueta indica que la recomendación está en un estado temprano y que aún no afecta a la puntuación de seguridad.
  • La puntuación segura solo se aplica actualmente a la recomendación primaria, no a cada elemento individual.

Si ve ambos formatos o recomendaciones con una etiqueta de Vista previa, esta condición es esperada durante la transición. El objetivo es mejorar la claridad y permitirle actuar con recomendaciones específicas más fácilmente.

Al integrar Defender for Cloud en el portal de Defender, también puede acceder a recomendaciones mejoradas en la nube a través de la interfaz unificada.

Entre las mejoras clave de la experiencia de recomendaciones en la nube se incluyen las siguientes:

  • Factores de riesgo por recurso: evalúe el contexto de exposición más amplio de cada recomendación para tomar decisiones fundamentadas.
  • Puntuación basada en riesgos: nueva puntuación que pesa las recomendaciones en función de la gravedad, el contexto del recurso y el posible impacto.
  • Datos mejorados: Datos fundamentales de recomendaciones de Azure Recommendations enriquecidos con campos y funcionalidades adicionales de la administración de exposiciones.
  • Prioridad por importancia: mayor énfasis en los problemas críticos que suponen el riesgo más alto para su organización.

La experiencia unificada garantiza que las recomendaciones de seguridad en la nube se contextualicen dentro del panorama de seguridad más amplio, lo que permite una toma de decisiones más informada y flujos de trabajo de corrección más eficientes.

Recomendaciones de grupo por título

Puede agrupar recomendaciones por título mediante la página de recomendaciones de Defender for Cloud. Esta característica es útil cuando desea corregir una recomendación que afecte a varios recursos debido a un problema de seguridad específico.

  1. Inicie sesión en Azure Portal.

  2. Vaya aRecomendaciones de >.

  3. Seleccione Agrupar por título.

    Captura de pantalla de la página de recomendaciones que muestra la ubicación del interruptor para agrupar por título.

Gestiona tus recomendaciones asignadas

Defender for Cloud admite reglas de gobernanza para recomendaciones. Puede asignar un responsable de recomendación o establecer una fecha límite. Puede ayudar a garantizar la responsabilidad mediante el uso de reglas de gobernanza, que también admiten un acuerdo de nivel de servicio (SLA) para recomendaciones.

  • Las recomendaciones aparecen como A tiempo hasta que se supere su fecha de vencimiento. Luego cambian a Vencidas.
  • Cuando una recomendación no está clasificada como Vencida, no afecta a la puntuación de seguridad de Microsoft.
  • También puede aplicar un período de gracia para que las recomendaciones vencidas no afecten a la puntuación de seguridad.

Obtenga más información sobre cómo configurar reglas de gobernanza.

Para ver todas las recomendaciones asignadas:

  1. Inicie sesión en Azure Portal.

  2. Vaya aRecomendaciones de >.

  3. Seleccione Agregar filtro>Propietario.

  4. Seleccione la entrada de usuario.

  5. Selecciona Aplicar.

  6. En los resultados de las recomendaciones, revise las recomendaciones, incluidos los recursos afectados, los factores de riesgo, las rutas de ataque, las fechas de vencimiento y el estado.

  7. Seleccione una recomendación para revisarla más adelante.

Para realizar cambios en una asignación, complete los pasos siguientes:

  1. Vaya a Realizar acción>Cambiar propietario y fecha de vencimiento.

  2. Seleccione Editar asignación para cambiar el propietario de la recomendación o la fecha de vencimiento.

  3. Si selecciona una nueva fecha de corrección, especifique por qué debe completarse la corrección en esa fecha en Justificación.   

  4. Haga clic en Guardar.

    Nota:

    Al cambiar la fecha de finalización esperada, la fecha de vencimiento de la recomendación no cambia, pero los asociados de seguridad pueden ver que planea actualizar los recursos según la fecha especificada.

De forma predeterminada, el propietario del recurso recibe un correo electrónico semanal que muestra todas las recomendaciones asignadas.

Use la opción Establecer notificaciones por correo electrónico para:

  • Anule el envío del correo electrónico semanal que se envía por defecto al propietario.
  • Notifique a los propietarios semanalmente una lista de tareas abiertas o vencidas.
  • Notifique al gerente directo del propietario con una lista de tareas abiertas.

Revisión de recomendaciones en Azure Resource Graph

Puede usar Azure Resource Graph para escribir una consulta de Lenguaje de consulta Kusto (KQL) para consultar los datos de posición de seguridad de Defender for Cloud en varias suscripciones. Con Azure Resource Graph, puede consultar de forma eficaz a escala en entornos de nube mediante la visualización, el filtrado, la agrupación y la ordenación de datos.

  1. Inicie sesión en Azure Portal.

  2. Vaya aRecomendaciones de >.

  3. Seleccione una recomendación.

  4. Seleccione Abrir consulta.

  5. Puede abrir la consulta de una de estas dos maneras:

    • Consulta que devuelve el recurso afectado: devuelve una lista de todos los recursos a los que afecta la recomendación.
    • Consulta que devuelve resultados de seguridad: devuelve una lista de todos los problemas de seguridad que encontró la recomendación.

  6. Seleccione Ejecutar consulta.

    Captura de pantalla del Explorador de Azure Resource Graph que muestra los resultados de la recomendación de la captura de pantalla anterior.

  7. Revise los resultados.

Contenido relacionado

  • Last updated on