Guía de solución de problemas de Microsoft Defender for Cloud
Esta guía está destinada a profesionales de TI, analistas de seguridad de la información y administradores de la nube cuyas organizaciones tienen que solucionar problemas relacionados con Microsoft Defender for Cloud.
Sugerencia
Si se enfrenta a un problema o necesita asesoramiento de nuestro equipo de soporte técnico, la sección Diagnosticar y resolver problemas de Azure Portal es un buen lugar para buscar soluciones.
Uso del registro de auditoría para investigar problemas
El primer lugar para buscar información de solución de problemas es en el registro de auditoría del componente con errores. En el registro de auditoría, puede ver detalles como:
- Qué operaciones se realizaron.
- La persona que inicia la operación.
- Cuándo tuvo lugar la operación.
- Estado de la operación.
El registro de auditoría contiene todas las operaciones de escritura (PUT, POST, DELETE) realizadas en los recursos, pero no las operaciones de lectura (GET).
Solución de problemas de conectores
Defender for Cloud usa conectores para recopilar datos de supervisión de las cuentas de Amazon Web Services (AWS) y los proyectos de Google Cloud Platform (GCP). Si tiene problemas con los conectores o no ve los datos de AWS o GCP, revise estas sugerencias para la solución de problemas.
Sugerencias para problemas comunes de conectores
- Asegúrese de que la suscripción asociada al conector está seleccionada en el filtro de suscripciones, que se encuentra en la sección Directorios y suscripciones de Azure Portal.
- Los estándares deben asignarse en el conector de seguridad. Para comprobarlo, vaya a la configuración del entorno en el menú izquierdo de Microsoft Defender for Cloud, seleccione el conector y, luego, Configuración. Si no hay ningún estándar asignado, seleccione los tres puntos para comprobar si tiene permisos para asignar estándares.
- Debe haber un recurso del conector presente en Azure Resource Graph. Use la siguiente consulta de Resource Graph para comprobarlo:
resources | where ['type'] =~ "microsoft.security/securityconnectors". - Asegúrese de que el envío de registros de auditoría de Kubernetes está habilitado en el conector de AWS o GCP para que pueda obtener alertas de detección de amenazas para el plano de control.
- Asegúrese de que el sensor de Microsoft Defender y la instancia de Azure Policy para las extensiones de Kubernetes habilitadas para Azure Arc se instalaron correctamente en los clústeres de Amazon Elastic Kubernetes Service (EKS) y Google Kubernetes Engine (GKE). Puede comprobar e instalar el agente con las siguientes recomendaciones de Defender for Cloud:
- Los clústeres de EKS deben tener instalada la extensión de Microsoft Defender para Azure Arc.
- Los clústeres de GKE deben tener instalada la extensión de Microsoft Defender para Azure Arc.
- Los clústeres de Kubernetes habilitados para Azure Arc deben tener instalada la extensión de Azure Policy
- Los clústeres de GKE deben tener instalada la extensión de Azure Policy.
- Si tiene problemas para eliminar el conector de AWS o GCP, compruebe si tiene un bloqueo. Un error en el registro de actividad de Azure podría sugerir la presencia de un bloqueo.
- Compruebe que las cargas de trabajo existen en la cuenta de AWS o en el proyecto de GCP.
Sugerencias para problemas de conectores de AWS
- Asegúrese de que la implementación de la plantilla de CloudFormation se ha completado correctamente.
- Espere al menos 12 horas después de la creación de la cuenta raíz de AWS.
- Asegúrese de que los clústeres de EKS estén conectados correctamente a Kubernetes habilitado para Azure Arc.
- Si no ve los datos de AWS en Defender for Cloud, asegúrese de que los recursos de AWS necesarios para el envío de datos a Defender for Cloud existen en la cuenta de AWS.
Impacto en el costo de las llamadas API a AWS
Al incorporar su cuenta de administración única o de AWS, el servicio de detección de Defender for Cloud inicia un examen inmediato de su entorno. El servicio de detección ejecuta llamadas API a varios puntos de conexión de servicio para recuperar todos los recursos que Azure ayuda a proteger.
Después de este examen inicial, el servicio continúa examinando periódicamente el entorno según el intervalo que configuró durante la incorporación. En AWS, cada llamada API a la cuenta genera un evento de búsqueda que se registra en el recurso CloudTrail. El recurso CloudTrail genera costos. Para más información sobre los precios, consulte la página de precios de AWS CloudTrail en el sitio web de Amazon AWS.
Si ha conectado CloudTrail a GuardDuty, también es responsable de los costos asociados. Puede encontrar estos costos en la documentación de GuardDuty en el sitio web de Amazon AWS.
Obtención del número de llamadas API nativas
Hay dos maneras de obtener el número de llamadas realizadas por Defender for Cloud:
- Usar una tabla de Athena existente o crear una nueva. Para más información, consulte Consulta de registros de AWS CloudTrail en el sitio web de Amazon AWS.
- Usar un almacén de datos de eventos existente o crear uno. Para más información, consulte Uso de AWS CloudTrail Lake en el sitio web de Amazon AWS.
Ambos métodos se basan en la consulta de registros de AWS CloudTrail.
Para obtener el número de llamadas, vaya a la tabla de Athena o al almacén de datos de eventos y use una de las siguientes consultas predefinidas, según sus necesidades. Reemplace <TABLE-NAME> por el identificador de la tabla o el almacén de datos de eventos de Athena.
Indique el número total de llamadas API realizadas por Defender for Cloud:
SELECT COUNT(*) AS overallApiCallsCount FROM <TABLE-NAME> WHERE userIdentity.arn LIKE 'arn:aws:sts::<YOUR-ACCOUNT-ID>:assumed-role/CspmMonitorAws/MicrosoftDefenderForClouds_<YOUR-AZURE-TENANT-ID>' AND eventTime > TIMESTAMP '<DATETIME>'Indique el número total de llamadas API realizadas por Defender for Cloud agregadas por día:
SELECT DATE(eventTime) AS apiCallsDate, COUNT(*) AS apiCallsCountByRegion FROM <TABLE-NAME> WHERE userIdentity.arn LIKE 'arn:aws:sts:: <YOUR-ACCOUNT-ID>:assumed-role/CspmMonitorAws/MicrosoftDefenderForClouds_<YOUR-AZURE-TENANT-ID>' AND eventTime > TIMESTAMP '<DATETIME>' GROUP BY DATE(eventTime)Indique el número total de llamadas API realizadas por Defender for Cloud agregadas por nombre de evento:
SELECT eventName, COUNT(*) AS apiCallsCountByEventName FROM <TABLE-NAME> WHERE userIdentity.arn LIKE 'arn:aws:sts::<YOUR-ACCOUNT-ID>:assumed-role/CspmMonitorAws/MicrosoftDefenderForClouds_<YOUR-AZURE-TENANT-ID>' AND eventTime > TIMESTAMP '<DATETIME>' GROUP BY eventNameIndique el número total de llamadas API realizadas por Defender for Cloud agregadas por región:
SELECT awsRegion, COUNT(*) AS apiCallsCountByRegion FROM <TABLE-NAME> WHERE userIdentity.arn LIKE 'arn:aws:sts::120589537074:assumed-role/CspmMonitorAws/MicrosoftDefenderForClouds_<YOUR-AZURE-TENANT-ID>' AND eventTime > TIMESTAMP '<DATETIME>' GROUP BY awsRegion
Sugerencias para problemas de conectores de GCP
- Asegúrese de que el script de Cloud Shell para GCP se completó correctamente.
- Asegúrese de que los clústeres de GKE están conectados correctamente a Kubernetes habilitado para Azure Arc.
- Asegúrese de que los puntos de conexión de Azure Arc están en la lista de permitidos del firewall. El conector de GCP hace llamadas API a estos puntos de conexión para capturar los archivos de incorporación necesarios.
- Si se produjo un error en la incorporación de proyectos de GCP, asegúrese de que tiene el permiso
compute.regions.listy el permiso de Microsoft Entra para crear la entidad de servicio del proceso de incorporación. Asegúrese de que los recursos de GCPWorkloadIdentityPoolId,WorkloadIdentityProviderIdyServiceAccountEmailse crean en el proyecto de GCP.
Llamadas API de Defender a GCP
Al incorporar su proyecto u organización únicos de GCP, el servicio de detección de Defender for Cloud inicia un examen inmediato de su entorno. El servicio de detección ejecuta llamadas API a varios puntos de conexión de servicio para recuperar todos los recursos que Azure ayuda a proteger.
Después de este examen inicial, el servicio continúa examinando periódicamente el entorno según el intervalo que configuró durante la incorporación.
Para obtener el número de llamadas API nativas que realizó Defender for Cloud:
Vaya a Registro>Explorador de registros.
Filtre las fechas como desee (por ejemplo, 1d).
Para mostrar las llamadas API que realizó Defender for Cloud, ejecute esta consulta:
protoPayload.authenticationInfo.principalEmail : "microsoft-defender"
Consulte el histograma para ver el número de llamadas a lo largo del tiempo.
Solución de problemas del agente de Log Analytics
Defender for Cloud usa el agente de Log Analytics para recopilar y almacenar datos. La información de este artículo representa la funcionalidad de Microsoft Defender for Cloud después de la transición al agente de Log Analytics.
Los tipos de alerta son:
- Análisis del comportamiento de la máquina virtual (VMBA)
- Análisis de red
- Análisis de Azure SQL Database y Azure Synapse Analytics
- Información contextual
Dependiendo de los tipos de alerta, puede obtener la información necesaria para investigar una alerta mediante el uso de los siguientes recursos:
- Registros de seguridad en el visor de eventos de la máquina virtual (VM) en Windows
- Demonio de auditoría (
auditd) en Linux - Los registros de actividad de Azure y los registros de diagnóstico habilitados en el recurso del ataque
Puede compartir sus comentarios para la descripción de la alerta y la pertinencia. Vaya a la alerta, seleccione el botón ¿Le resultó útil?, seleccione el motivo y, luego, escriba un comentario que sirva de explicación. Supervisamos sistemáticamente este canal de comentarios para mejorar nuestras alertas.
Comprobación de los procesos y versiones del agente de Log Analytics
Al igual que Azure Monitor, Defender for Cloud usa el agente de Log Analytics para recopilar datos de seguridad de las máquinas virtuales de Azure. Una vez que se ha habilitado la recopilación de datos y se ha instalado correctamente el agente en la máquina de destino, el proceso de HealthService.exe debe estar en ejecución.
Abra la consola de administración de servicios (services.msc), para asegurarse de que el servicio del agente de Log Analytics se está ejecutando.
Para ver qué versión del agente tiene, abra el Administrador de tareas. En la pestaña Procesos, busque el servicio del agente de Log Analytics, haga clic con el botón derecho en él y seleccione Propiedades. En la pestaña Detalles, busque la versión del archivo.
Comprobación de escenarios de instalación del agente de Log Analytics
Existen dos escenarios de instalación que pueden producir resultados diferentes al instalar el agente de Log Analytics en el equipo. Los escenarios admitidos son:
Agente instalado automáticamente por Defender for Cloud: puede ver las alertas en Defender for Cloud y la búsqueda de registros. Puede recibir notificaciones por correo electrónico a la dirección que configuró en la directiva de seguridad de la suscripción a la que pertenece el recurso.
Agente instalado manualmente en una máquina virtual ubicada en Azure: en este escenario, si está usando los agentes descargados e instalados manualmente antes de febrero de 2017, puede ver las alertas en el portal de Defender for Cloud solo si filtra por la suscripción a la que pertenece el área de trabajo. Si filtra por la suscripción a la que pertenece el recurso, no verá ninguna alerta. Puede recibir notificaciones por correo electrónico a la dirección que configuró en la directiva de seguridad de la suscripción a la que pertenece el área de trabajo.
Para evitar el problema de filtrado, asegúrese de que descarga la versión más reciente del agente.
Supervisión de problemas de conectividad de red del agente
Para que los agentes se conecten y se registren con Defender for Cloud, deben tener acceso a las direcciones DNS y los puertos de red de los recursos de red de Azure. Para habilitar este acceso, realice estas acciones:
- Al usar servidores proxy, asegúrese de que los recursos del servidor proxy adecuados están configurados correctamente en la configuración del agente.
- Configure los firewalls de red para permitir el acceso a Log Analytics.
Los recursos de red de Azure son los siguientes:
| Recurso del agente | Port | Omitir inspección de HTTPS |
|---|---|---|
*.ods.opinsights.azure.com |
443 | Sí |
*.oms.opinsights.azure.com |
443 | Sí |
*.blob.core.windows.net |
443 | Sí |
*.azure-automation.net |
443 | Sí |
Si tiene problemas para incorporar el agente de Log Analytics, consulte Procedimientos para solucionar problemas de incorporación de Operations Management Suite.
Solución de problemas de protección antimalware que no funciona correctamente
El agente invitado es el proceso primario de todo lo que hace la extensión Microsoft Antimalware. Cuando se produce un error en el proceso del agente invitado, es posible que suceda lo mismo en la protección de Microsoft Antimalware que se ejecuta como proceso secundario del agente invitado.
Estas son algunas sugerencias de solución de problemas:
- Si la VM de destino se ha creado a partir de una imagen personalizada, asegúrese de que el creador de la VM ha instalado el agente invitado.
- Si el destino es una máquina virtual Linux, entonces no se podrá instalar la versión de Windows de la extensión antimalware. El agente invitado de Linux tiene requisitos específicos de sistema operativo y de paquetes.
- Si la máquina virtual se ha creado con una versión anterior del agente invitado, es posible que el agente antiguo no tenga la capacidad de actualizarse automáticamente a la versión más reciente. Use siempre la versión más reciente del agente invitado al crear sus propias imágenes.
- Algunas soluciones de software de administración de terceros podrían deshabilitar el agente invitado o bloquear el acceso a ciertas ubicaciones de archivos. Si en la VM está instalado un software de administración de terceros, asegúrese de que el agente antimalware esté en la lista de exclusiones.
- Asegúrese de que la configuración del firewall y el grupo de seguridad de red no bloqueen el tráfico de red hacia el agente invitado y desde este.
- Asegúrese de que ninguna lista de control de acceso impida el acceso al disco.
- El agente invitado necesita suficiente espacio en disco para funcionar correctamente.
De forma predeterminada, la interfaz de usuario de Microsoft Antimalware está deshabilitada. No obstante, puede habilitarla en las máquinas virtuales de Azure Resource Manager.
Solución de problemas al cargar el panel
Si experimenta problemas al cargar el panel de protección de cargas de trabajo, asegúrese de que el usuario que habilitó por primera vez Defender for Cloud en la suscripción y el usuario que quiere activar la recopilación de datos tengan el rol Propietario o Colaborador en la suscripción. Si es así, los usuarios con el rol Lector en la suscripción pueden ver el panel, las alertas, las recomendaciones y la directiva.
Solución de problemas de conectores para la organización de Azure DevOps
Si no puede incorporar la organización de Azure DevOps, pruebe las siguientes sugerencias de solución de problemas:
Asegúrese de que usa una versión no preliminar de Azure Portal. El paso de autorización no funciona en el Portal de vista previa de Azure.
Es importante saber en qué cuenta ha iniciado sesión al autorizar el acceso, ya que será la cuenta que usará el sistema para la incorporación. La cuenta puede asociarse con la misma dirección de correo electrónico, pero también con distintos inquilinos. Asegúrese de que selecciona la combinación correcta de cuenta e inquilino. Si necesita cambiar la combinación:
En la página del perfil de Azure DevOps, seleccione el menú desplegable para seleccionar otra cuenta.
Después de seleccionar la combinación correcta de cuenta e inquilino, vaya a Configuración del entorno en Defender for Cloud y edite el conector de Azure DevOps. Vuelva a autorizar el conector para actualizarlo con la combinación correcta de cuenta e inquilino. A continuación, debería ver la lista correcta de organizaciones en el menú desplegable.
Asegúrese de que tiene el rol Administrador de colecciones de proyectos en la organización de Azure DevOps que desea incorporar.
Asegúrese de que el acceso a aplicaciones de terceros a través de OAuth esté activado para la organización de Azure DevOps. Más información sobre cómo habilitar el acceso de OAuth.
Consultar al soporte técnico de Microsoft
También puede encontrar información de solución de problemas de Defender for Cloud en la Página de preguntas y respuestas de Defender for Cloud.
Si necesita más ayuda, puede abrir una nueva solicitud de soporte técnico en Azure Portal. En la página Ayuda y soporte técnico, seleccione Crear una solicitud de soporte técnico.
Consulte también
- Aprenda a administrar alertas de seguridad y a darles una respuesta en Defender for Cloud.
- Más información sobre validación de alertas en Defender for Cloud.
- Revise las preguntas frecuentes sobre el uso de Defender for Cloud.