Mejora de la posición de seguridad de red con la protección de redes adaptativa

La protección de red adaptable es una característica sin agente de Microsoft Defender for Cloud. No es necesario instalar nada en las máquinas para beneficiarse de esta herramienta de protección de red.

En esta página se explica cómo configurar y administrar la protección de red adaptable en Defender for Cloud.

Disponibilidad

Aspecto	Detalles
Estado de la versión:	Disponibilidad general (GA)
Precios:	Requiere el Plan 2 de Microsoft Defender para servidores.
Roles y permisos necesarios:	Permisos de escritura en los NSG de la máquina
Nubes:	Nubes comerciales Nacional (Azure Government, Microsoft Azure operado por 21Vianet) Cuentas de AWS conectadas

¿Qué es la protección de red adaptable?

La aplicación de grupos de seguridad de red (NSG) para filtrar el tráfico hacia y desde los recursos mejora la postura de seguridad de red. Sin embargo, aún puede haber algunos casos en los que el tráfico real que fluye a través del NSG es un subconjunto de las reglas de NSG definidas. En estos casos, puede mejorar la postura de seguridad al proteger aún más las reglas de NSG, según los patrones de tráfico real.

La protección de red adaptable proporciona recomendaciones para proteger mejor las reglas de NSG. Usa un algoritmo de aprendizaje automático que tiene en cuenta el tráfico real, la configuración de confianza conocida, la inteligencia de amenazas y otros indicadores de riesgo, y luego proporciona recomendaciones para permitir el tráfico solo desde tuplas IP y puerto específicas.

Por ejemplo, supongamos que la regla de NSG existente es permitir el tráfico desde 140.20.30.10/24 en el puerto 22. En función del análisis del tráfico, la protección de red adaptable podría recomendar la limitación del intervalo para permitir el tráfico desde 140.23.30.10/29 y denegar todo el tráfico restante en ese puerto. Para obtener la lista completa de puertos admitidos, consulte la entrada de preguntas más frecuentes ¿Qué puertos se admiten?

Visualización de alertas de protección y reglas recomendadas

1. En el menú de Defender for Cloud, abra el panel Protección de cargas de trabajo.

2. Seleccione el mosaico de seguridad de red adaptable (1) o el elemento del panel de información relacionado con la seguridad de red adaptable (2).

   

   Sugerencia

   En el panel de conclusiones se muestra el porcentaje de las máquinas virtuales que se defienden actualmente con la protección de red adaptable.

3. La página de detalles de la recomendación Las recomendaciones de protección de redes adaptables se deben aplicar en las máquinas virtuales orientadas a Internet se abre con las máquinas virtuales de red agrupadas en tres pestañas:

   • Recursos con estado incorrecto : VM que tienen actualmente recomendaciones y alertas que se desencadenaron mediante la ejecución del algoritmo de protección de red adaptable.
   • Recursos con estado correcto: VM sin alertas ni recomendaciones.
   • Recursos sin explorar: las máquinas virtuales en las que no se puede ejecutar el algoritmo de protección de red adaptable debido a uno de los siguientes motivos:
     • Las VM son VM clásicas: solo se admiten VM de Azure Resource Manager.
     • No hay suficientes datos disponibles: para generar recomendaciones precisas de protección del tráfico, Defender para la nube requiere al menos 30 días de datos de tráfico.
     • La máquina virtual no está protegida por Microsoft Defender para servidores: solo las máquinas virtuales protegidas con Microsoft Defender para servidores son aptas para esta característica.

   

4. En la pestaña Recursos con estado incorrecto, seleccione una VM para ver sus alertas y las reglas de protección recomendadas que se deben aplicar.

   • En la pestaña Reglas se enumeran las reglas que recomiendan la protección de red adaptable que agregue.
   • En la pestaña Alertas se enumeran las alertas que se generaron debido al tráfico, que fluye al recurso y que no está dentro del intervalo de IP permitidas en las reglas recomendadas.

5. Si lo desea, edite las reglas:

   • Modificación de una regla
   • Eliminar una regla
   • Adición de una regla

6. Elija las reglas que quiere aplicar en el NSG y seleccione Aplicar.

   Sugerencia

   Si los intervalos de direcciones IP de origen permitidos se muestran como "Ninguno", significa que la regla recomendada es una regla de denegación; de lo contrario, es una regla de permiso.

   

   Nota:

   Las reglas aplicadas se agregan a los NSG que protegen la VM. (Una VM podría estar protegida por un NSG asociado a su NIC, la subred en la que reside la VM o ambos).

Modificación de una regla

Es posible que desee modificar los parámetros de una regla que se ha recomendado. Por ejemplo, es posible que quiera cambiar los intervalos IP recomendados.

Instrucciones importantes a la hora de modificar una regla de protección de red adaptable:

• No puede cambiar reglas de tipo permitir para convertirlas en reglas de tipo denegar.

• Solo puede modificar los parámetros de las reglas de tipo permitir.

  La creación y modificación de reglas de tipo "denegar" se realiza directamente en el NSG. Para más información, consulte Creación, modificación o eliminación de un grupo de seguridad de red .

• Una regla de tipo Denegar todo el tráfico es el único tipo de regla "denegar" que figuraría aquí, y no se puede modificar. Sin embargo, puede eliminar la regla (consulte Eliminación de una regla). Para obtener información sobre este tipo de regla, consulte la entrada de preguntas más frecuentes ¿Cuándo debo usar una regla "Denegar todo el tráfico"?

Para modificar una regla de protección de red adaptable:

1. Para modificar algunos de los parámetros de una regla, en la pestaña Reglas, seleccione los puntos suspensivos (…) al final de la fila de la regla y seleccione Editar.

   

2. En la ventana Editar regla, actualice los detalles que quiere cambiar y seleccione Guardar.

   Nota

   Después de seleccionar Guardar, habrá cambiado la regla correctamente. Sin embargo, no la ha aplicado al NSG. Para ello, debe seleccionar la regla de la lista y seleccionar en Exigir (tal como se explica en el paso siguiente).

   

3. Para aplicar la regla actualizada, en la lista, elija la regla actualizada y seleccione Aplicar.

   

Adición de una nueva regla

Puede agregar una regla de tipo "permitir" no recomendada por Defender for Cloud.

Nota

Aquí solo se pueden agregar reglas de tipo "permitir". Si quiere agregar reglas de tipo "denegar", puede hacerlo directamente en el NSG. Para más información, consulte Creación, modificación o eliminación de un grupo de seguridad de red .

Para agregar una regla de protección de red adaptable:

1. En la barra de herramientas superior, seleccione Agregar regla.

   

2. En la ventana Nueva regla, especifique los detalles y seleccione Agregar.

   Nota

   Después de seleccionar Agregar, habrá agregado correctamente la regla y esta se mostrará con las demás reglas recomendadas, pero no la ha aplicado al NSG. Para ello, debe elegir la regla de la lista y seleccionar Aplicar (tal como se explica en el paso siguiente).

3. Para aplicar la nueva regla, elíjala en la lista y seleccione Aplicar.

   

Eliminación de una regla

Cuando sea necesario, puede eliminar una regla recomendada de la sesión actual. Por ejemplo, podría determinar que aplicar una regla sugerida podría bloquear el tráfico legítimo.

Para eliminar una regla de protección de red adaptable de la sesión actual:

• En la pestaña Reglas, seleccione los puntos suspensivos (…) al final de la fila de la regla y seleccione Eliminar.

  

Paso siguiente

• Ver las preguntas frecuentes sobre la protección de red adaptable