Compartir a través de

Revisión de las recomendaciones de seguridad

En Microsoft Defender for Cloud, los recursos y las cargas de trabajo se evalúan con las directivas de seguridad integradas y personalizadas y los marcos de cumplimiento normativo, que se aplican en los entornos en la nube (Azure, Amazon Web Services (AWS), Google Cloud Platform (GCP) y mucho más). En función de esas evaluaciones, las recomendaciones de seguridad proporcionan pasos prácticos para corregir problemas de seguridad y mejorar la posición de seguridad.

Defender for Cloud usa de forma proactiva un motor dinámico que evalúa los riesgos en su entorno, mientras que considera la posibilidad de explotación y el posible efecto empresarial en su organización. El motor prioriza las recomendaciones de seguridad en función de los factores de riesgo de cada recurso. El contexto del entorno determina estos factores de riesgo.

Prerrequisitos

Las recomendaciones se incluyen con Defender for Cloud, pero no puede ver la priorización de riesgos a menos que habilite CSPM de Defender en su entorno.

Revisar la página de recomendaciones

Revise las recomendaciones y asegúrese de que todos los detalles son correctos antes de resolverlos.

  1. Inicie sesión en Azure Portal.

  2. Vaya aRecomendaciones de >.

  3. Seleccione una recomendación.

Descripción de la priorización de riesgos

Microsoft Defender for Cloud utiliza de forma proactiva un motor dinámico que evalúa los riesgos en su entorno a la vez que tiene en cuenta el potencial de explotación y el posible impacto empresarial en su organización. El motor prioriza las recomendaciones de seguridad en función de los factores de riesgo de cada recurso, que viene determinado por el contexto del entorno, incluida la configuración del recurso, las conexiones de red y la posición de seguridad.

Cuando Defender for Cloud realiza una evaluación de riesgos de los problemas de seguridad, el motor identifica los riesgos de seguridad más significativos al distinguirlos de problemas de menor riesgo. A continuación, las recomendaciones se ordenan en función de su nivel de riesgo, lo que le permite abordar los problemas de seguridad que suponen amenazas inmediatas con el mayor potencial de aprovecharse en su entorno.

¿Qué son los factores de riesgo?

Defender for Cloud utiliza el contexto de un entorno, incluida la configuración del recurso, las conexiones de red y la posición de seguridad, para realizar una evaluación de riesgos de posibles problemas de seguridad. Al hacerlo, identifica los riesgos de seguridad más significativos al distinguirlos de problemas menos arriesgados. A continuación, las recomendaciones se ordenan en función de su nivel de riesgo.

Este motor de evaluación de riesgos considera factores de riesgo esenciales, como:

  • Exposición a Internet: indica si los recursos son accesibles desde Internet
  • Sensibilidad de datos: la presencia de datos confidenciales
  • Movimiento lateral: potencial para que los atacantes se muevan entre los recursos
  • Rutas de acceso a ataques: si el problema de seguridad forma parte de posibles escenarios de ataque

Niveles de riesgo y cálculo

Defender for Cloud usa un motor de priorización de riesgos con reconocimiento del contexto para calcular el nivel de riesgo de cada recomendación de seguridad. El nivel de riesgo viene determinado por los factores de riesgo de cada recurso, como su configuración, conexiones de red y posición de seguridad. El nivel de riesgo se calcula en función del posible impacto del problema de seguridad que se está infringiendo, las categorías de riesgo y la ruta de acceso de ataque de la que forma parte el problema de seguridad.

Las recomendaciones se clasifican en cinco categorías en función de su nivel de riesgo:

  • Crítico: recomendaciones que indican una vulnerabilidad de seguridad crítica que un atacante puede aprovechar para obtener acceso no autorizado a los sistemas o datos.
  • Alto: recomendaciones que indican un riesgo de seguridad potencial que se debe abordar de forma oportuna, pero que puede no requerir atención inmediata.
  • Mediana: recomendaciones que indican un problema de seguridad relativamente menor que se puede solucionar como mejor le convenga.
  • Baja: recomendaciones que indican un problema de seguridad relativamente menor que se puede solucionar como mejor le convenga.
  • No evaluado: recomendaciones que aún no se han evaluado. Esto puede deberse a que el recurso no está cubierto por el plan de CSPM de Defender, que es un requisito previo para el nivel de riesgo.

Detalles del panel de recomendaciones

En la página de recomendaciones, puede revisar los siguientes detalles con prioridad de riesgo:

  • Título: título de la recomendación
  • Recurso afectado: el recurso al que se aplica la recomendación.
  • Nivel de riesgo: la vulnerabilidad de seguridad y el impacto empresarial del problema de seguridad subyacente, teniendo en cuenta el contexto de recursos ambientales, como: Exposición a Internet, datos confidenciales, movimiento lateral, etc.
  • Factores de riesgo: factores ambientales del recurso afectados por la recomendación, lo que influye en la vulnerabilidad de seguridad y el impacto empresarial del problema de seguridad subyacente.
  • Rutas de acceso de ataque: el número de rutas de acceso de ataque de las que forma parte la recomendación en función de la búsqueda del motor de seguridad para todas las posibles rutas de acceso de ataque.
  • Propietario: la persona a la que se asigna la recomendación
  • Estado: el estado actual de la recomendación (sin asignar, a tiempo, vencido)
  • Información: información relacionada con la recomendación, como si está en versión preliminar, si se puede denegar, si hay una opción de corrección disponible.

Nota:

Esta funcionalidad actualmente se encuentra disponible en modo de vista previa. Para más información sobre las brechas y restricciones actuales, consulte Limitaciones conocidas.

La página Recomendaciones de Administración de exposiciones proporciona una lista prioritaria de acciones de seguridad diseñadas para mejorar la posición de seguridad en la nube mediante la solución de vulnerabilidades, configuraciones incorrectas y secretos expuestos. Estas recomendaciones se clasifican por riesgo efectivo, lo que ayuda a los equipos de seguridad a centrarse primero en las amenazas más críticas.

  1. Inicie sesión al portal de Microsoft Defender.

  2. Vaya a la pestaña Administración de exposiciones>Recomendaciones>Nube.

    Captura de pantalla de la página Recomendaciones en el Portal de Defender.

  3. Aplique filtros como:

    • Recurso expuesto: filtrar por recursos con exposición a amenazas
    • Factores de riesgo de recursos: filtrado por condiciones de riesgo específicas
    • Entorno: Filtrado por Azure, AWS o GCP
    • Carga de trabajo: filtrado por tipos de carga de trabajo específicos
    • Madurez de la recomendación: filtrar por nivel de preparación de la recomendación

  4. En el lado izquierdo de la página, puede elegir ver las recomendaciones por categoría de seguridad:

    • Todas las recomendaciones: Lista completa de recomendaciones de seguridad
    • Configuraciones incorrectas: problemas de seguridad relacionados con la configuración
    • Vulnerabilidades: vulnerabilidades de software que requieren revisiones
    • Secretos expuestos: credenciales y secretos que se pueden poner en peligro

    Nota:

    Al seleccionar un filtro de categoría de seguridad, tanto la lista de recomendaciones como las tarjetas de resumen se actualizan para reflejar solo las recomendaciones de esa categoría.

Tarjetas de resumen de recomendaciones

Para cada vista, la página muestra tarjetas de resumen que proporcionan una visión general de la posición de seguridad en la nube:

  • Puntuación de seguridad en la nube: muestra el estado general de la seguridad en la nube en función de las recomendaciones de seguridad de su entorno.
  • Historial de puntuaciones: realiza un seguimiento de los cambios de puntuación de seguridad en los últimos 7 días, lo que le ayuda a identificar tendencias y a medir la mejora.
  • Recomendaciones por nivel de riesgo: resume el número de recomendaciones de seguridad activas, clasificadas por gravedad (Crítico, Alto, Medio, Bajo)
  • Cómo se calcula el nivel de riesgo: explica cómo se combinan las clasificaciones de gravedad y los factores de riesgo específicos de los recursos para determinar el nivel de riesgo general de cada recomendación

Vistas de recomendación

El portal de Defender proporciona dos maneras distintas de ver e interactuar con las recomendaciones:

Recomendación por vista de activo

Esta vista muestra una lista de todas las recomendaciones organizadas por recursos individuales, ordenadas por nivel de riesgo. Cada fila representa una sola recomendación que afecta a un recurso específico.

Al seleccionar una fila de recomendación, se abre un panel lateral que muestra:

  • Información general: información general sobre la recomendación, incluida su descripción, detalles del recurso expuesto y otras recomendaciones pertinentes específicas
  • Pasos de corrección: guía procesable para resolver el problema de seguridad
  • Vista previa del mapa: muestra todas las rutas de acceso de ataque relacionadas que pasan por el recurso, agregados por tipo de nodo de destino. Se puede hacer lo siguiente:
    • Haga clic en una ruta de acceso agregada para mostrar todos los ataques asociados y rutas de acceso adicionales.
    • Selección de una ruta de acceso específica para ver su visualización detallada
  • Iniciativas relacionadas: iniciativas de seguridad y marcos de cumplimiento asociados a la recomendación
  • Es posible que aparezcan pestañas adicionales para recomendaciones específicas con información contextual pertinente

Vista del título de la recomendación

Esta vista agrega recomendaciones por título, en la que se muestra una lista consolidada ordenada por nivel de riesgo. Cada fila representa todas las instancias de una recomendación determinada en todo el entorno.

Al seleccionar una fila de recomendación agregada, se abre un panel lateral que muestra:

  • Información general: información general, incluida la descripción de la recomendación, la distribución de nivel de riesgo entre los recursos afectados, el estado de gobernanza y otros detalles pertinentes.
  • Pasos de corrección: guía procesable para resolver el problema de seguridad
  • Recursos expuestos: una lista de todos los recursos afectados por esta recomendación
  • Iniciativas relacionadas: iniciativas de seguridad y marcos de cumplimiento asociados a la recomendación
  • Es posible que aparezcan pestañas adicionales para recomendaciones específicas con información contextual pertinente

Captura de pantalla del panel lateral de recomendaciones.

Rutas de acceso alternativas a recomendaciones:

  • Infraestructura en> la nubeVisión general>Posición de> seguridadRecomendaciones> de seguridadVer recomendaciones
  • Gestión de la exposición>Iniciativas>Seguridad en la nube>Abrir página de iniciativa>pestaña Recomendaciones de seguridad

Nota:

Por qué puede ver distintos recursos entre el portal de Azure y el portal de Defender:

  • Recursos eliminados: es posible que observe que los recursos eliminados todavía se muestran en Azure Portal. Esto sucede porque Azure Portal muestra actualmente el último estado conocido de los recursos. Estamos trabajando para corregir esto para que los recursos eliminados ya no aparezcan.
  • Recursos de Azure Policy: es posible que algunos recursos procedentes de Azure Policy no aparezcan en el portal de Defender. Durante la versión preliminar, solo se muestran los recursos que tienen contexto de seguridad y contribuyen a información de seguridad significativa.
  • Los recursos vinculados a suscripciones gratuitas no aparecen actualmente en el portal de Defender.

Descripción de la priorización de riesgos en el portal de Defender

La experiencia de administración de exposición del portal de Defender proporciona funcionalidades avanzadas de priorización de riesgos que ayudan a los equipos de seguridad a centrarse en las amenazas más críticas. El motor de evaluación de riesgos dinámicos de Microsoft Defender for Cloud evalúa los riesgos en su entorno al tiempo que tiene en cuenta el potencial de explotación y el posible impacto empresarial en su organización.

Las recomendaciones del portal de Defender se priorizan automáticamente en función del riesgo efectivo, que tiene en cuenta varios factores contextuales sobre cada recurso y su entorno. Este enfoque basado en riesgos garantiza que los equipos de seguridad puedan abordar primero los problemas de seguridad más críticos, lo que hace que los esfuerzos de corrección sean más eficaces y eficaces.

Filtrado y priorización basados en riesgos

El portal de Defender ofrece funcionalidades avanzadas de filtrado que permiten centrarse en recomendaciones basadas en factores de riesgo:

  • Recursos expuestos: filtre por recursos que tengan exposición directa a amenazas, como recursos accesibles desde Internet o recursos con configuraciones vulnerables.
  • Factores de riesgo de activos: Apuntar a condiciones de riesgo específicas, como la sensibilidad de los datos, el potencial de movimiento lateral o la exposición crítica de la infraestructura
  • Desglose del nivel de riesgo: ver recomendaciones clasificadas por niveles de riesgo crítico, alto, medio y bajo
  • Integración de rutas de ataque: Concéntrese en las recomendaciones que son parte de las rutas de ataque identificadas.

Cálculo de riesgos en Administración de exposiciones

La experiencia unificada de administración de exposiciones calcula los niveles de riesgo mediante un motor compatible con el contexto que tiene en cuenta:

  • Contexto ambiental: configuración de recursos, topología de red y posición de seguridad
  • Factores de vulnerabilidad: la facilidad con la que un atacante podría aprovechar la vulnerabilidad
  • Impacto empresarial: las posibles consecuencias si se aprovecharon el problema de seguridad
  • Superficie expuesta a ataques: la exposición del recurso a posibles amenazas
  • Análisis de puntos de estrangulamiento: si el recurso sirve como un punto crítico en posibles rutas de ataque

Niveles de riesgo en el portal de Defender

Las recomendaciones en el portal de Defender se clasifican en cinco niveles de riesgo:

  • Crítico: los problemas de seguridad más graves con vulnerabilidades de seguridad inmediatas y un alto impacto empresarial que requieren atención urgente
  • Alto: riesgos de seguridad significativos que deben abordarse rápidamente, pero que pueden no requerir una acción inmediata
  • Medio: Problemas de seguridad moderados que se pueden solucionar como parte del mantenimiento regular de seguridad
  • Bajo: problemas de seguridad menores que se pueden solucionar en su comodidad durante las operaciones rutinarias
  • No evaluado: recomendaciones que no se han evaluado en riesgo, normalmente debido a limitaciones de cobertura de recursos

Detalles mejorados de la recomendación

Cada recomendación del portal de Defender proporciona un contexto de riesgo completo:

  • Resumen de la evaluación de riesgos: cálculo general de riesgos y factores de contribución
  • Mapa de superficie de ataque: representación visual de cómo se relaciona el recurso con posibles escenarios de ataque
  • Correlación de iniciativas: conexión a iniciativas de seguridad más amplias y marcos de cumplimiento
  • Asociaciones CVE: vínculos a vulnerabilidades y exposiciones comunes pertinentes cuando corresponda
  • Contexto histórico: tendencias y cambios en los niveles de riesgo a lo largo del tiempo

En la página de recomendación, revise los detalles siguientes:

  • Nivel de riesgo: la vulnerabilidad y el efecto empresarial del problema de seguridad subyacente, teniendo en cuenta el contexto de recursos ambientales, como la exposición a Internet, los datos confidenciales, el movimiento lateral, etc.
  • Factores de riesgo: factores ambientales del recurso afectados por la recomendación, que influyen en la vulnerabilidad y el efecto empresarial del problema de seguridad subyacente. Entre los ejemplos de factores de riesgo se incluyen la exposición a Internet, la información confidencial y el potencial de movimiento lateral.
  • Recurso: el nombre del recurso afectado.
  • Estado: el estado de la recomendación, como Sin asignar, A tiempo o Vencida.
  • Descripción: una breve descripción del problema de seguridad.
  • Rutas de ataque: Número de rutas de ataque.
  • Ámbito: la suscripción o el recurso afectados.
  • Actualización: intervalo de actualización de la recomendación.
  • Fecha de último cambio: fecha en la que se cambió por última vez esta recomendación.
  • Gravedad: gravedad de la recomendación: Alta, Media o Baja. Más adelante en este artículo se proporcionan más detalles.
  • Propietario: la persona asignada a la recomendación.
  • Fecha de vencimiento: fecha de vencimiento asignada para resolver la recomendación.
  • Tácticas y técnicas: Las tácticas y técnicas asignadas a MITRE ATT&CK.

Exploración de una recomendación

Puede interactuar con recomendaciones de varias maneras. Si una opción no está disponible, significa que no es relevante para la recomendación.

  1. Inicie sesión en Azure Portal.

  2. Vaya aRecomendaciones de >.

  3. Seleccione una recomendación.

  4. En Tomar medidas:

    • Corrección: una descripción de los pasos manuales necesarios para resolver el problema de seguridad en los recursos afectados. Para obtener recomendaciones con la opción Corregir , puede seleccionar Ver lógica de corrección antes de aplicar la corrección sugerida a los recursos.
    • Propietario de la recomendación y fecha de vencimiento establecida: si habilita una regla de gobernanza para la recomendación, puede asignar un propietario y una fecha de vencimiento.
    • Excluir: es posible excluir recursos de la recomendación o deshabilitar conclusiones específicas mediante reglas de deshabilitación.
    • Automatización del flujo de trabajo: establezca una aplicación lógica para que se desencadene con la recomendación.

    Captura de pantalla que muestra lo que puede ver en la recomendación al seleccionar la pestaña Realizar acción.

  5. En Resultados, puede revisar los resultados relacionados por gravedad.

    Captura de pantalla que muestra la pestaña de resultados en una recomendación, incluidas todas las rutas de acceso a ataques de esa recomendación.

  6. En Graph, puede ver e investigar todo el contexto que se usa para la priorización de riesgos, incluidas las rutas de acceso a ataques. Puede seleccionar un nodo en una ruta de acceso de ataque para ver los detalles del nodo seleccionado.

    Captura de pantalla que muestra la pestaña Gráfico en una recomendación, incluidas todas las rutas de acceso a ataques de esa recomendación.

  7. Para ver más detalles, seleccione un nodo.

    Captura de pantalla que muestra la pestaña Gráfico con un nodo seleccionado y muestra detalles adicionales.

  8. Seleccione Conclusiones.

  9. Para ver los detalles, seleccione una vulnerabilidad en el menú desplegable.

    Captura de pantalla de la pestaña Insights de un nodo.

  10. (Opcional) Para ver la página de recomendación asociada, seleccione Abrir la página de vulnerabilidades.

  11. Corrección de una recomendación

En el portal de Defender, puede interactuar con recomendaciones de varias maneras a través de la experiencia de administración de exposiciones. Una vez que haya seleccionado una recomendación de la pestaña Gestión de exposición>Recomendaciones>Nube, puede explorar información detallada y tomar medidas.

Aplique filtros y conjuntos de filtros, como activos expuestos, factores de riesgo de recursos, entorno, carga de trabajo, madurez de la recomendación y otros.

En el panel de navegación izquierdo, puede elegir ver todas las recomendaciones o ver por una categoría específica.

Hay vistas independientes para los tipos de problema:

  • Configuraciones incorrectas
  • Vulnerabilidades
  • Secretos expuestos

Para cada vista, verá la puntuación de seguridad en la nube, el historial de puntuación, la recomendación por nivel de riesgo y cómo se calcula el riesgo.

Nota:

En el portal de Defender, algunas recomendaciones que anteriormente aparecían como un único elemento agregado ahora se muestran como varias recomendaciones individuales. Este cambio refleja un cambio de agrupación de conclusiones relacionadas en una recomendación para enumerar cada recomendación por separado.

  • Es posible que observe una lista más larga de recomendaciones en comparación con antes. Los resultados combinados (como vulnerabilidades, secretos expuestos o configuraciones incorrectas) ahora se muestran individualmente en lugar de anidados en una recomendación primaria.
  • Las recomendaciones agrupadas antiguas siguen apareciendo en paralelo con el nuevo formato por ahora, pero finalmente quedarán en desuso.
  • Estas recomendaciones se marcan como versión preliminar. Esta etiqueta indica que la recomendación está en un estado temprano y no afecta a la puntuación de seguridad aún.
  • La puntuación segura solo se aplica actualmente a la recomendación primaria, no a cada elemento individual.

Si ve ambos formatos o recomendaciones con una etiqueta de vista previa, este es el comportamiento esperado durante la transición. El objetivo es mejorar la claridad y permitir que los clientes actúen con recomendaciones específicas más fácilmente.

Con la integración de Defender for Cloud en el portal de Defender, también puede acceder a recomendaciones mejoradas en la nube a través de la interfaz unificada:

Entre las mejoras clave de la experiencia de recomendaciones en la nube se incluyen las siguientes:

  • Factores de riesgo por recurso: evalúe el contexto de exposición más amplio de cada recomendación para las decisiones fundamentadas.
  • Puntuación basada en riesgos: nueva puntuación que pesa las recomendaciones en función de la gravedad, el contexto del recurso y el posible impacto.
  • Datos mejorados: datos de recomendación principales de recomendaciones de Azure enriquecidos con campos y funcionalidades adicionales de la administración de exposiciones
  • Prioridad por importancia: mayor énfasis en los problemas críticos que suponen el mayor riesgo para su organización

La experiencia unificada garantiza que las recomendaciones de seguridad en la nube se contextualicen dentro del panorama de seguridad más amplio, lo que permite una toma de decisiones más informada y flujos de trabajo de corrección más eficientes.

Recomendaciones de grupo por título

Puede agrupar recomendaciones por título con la página de recomendaciones de Defender for Cloud. Esta característica es útil cuando desea corregir una recomendación que afecte a varios recursos debido a un problema de seguridad específico.

  1. Inicie sesión en Azure Portal.

  2. Vaya aRecomendaciones de >.

  3. Seleccione Agrupar por título.

    Captura de pantalla de la página de recomendaciones que muestra la ubicación del interruptor para agrupar por título.

Gestiona tus recomendaciones asignadas

Defender for Cloud admite reglas de gobernanza para recomendaciones. Puede asignar un responsable de recomendación o establecer una fecha límite. Puede ayudar a garantizar la responsabilidad mediante el uso de reglas de gobernanza, que también admiten un acuerdo de nivel de servicio (SLA) para recomendaciones.

  • Las recomendaciones aparecen como A tiempo hasta que se supere su fecha de vencimiento. Luego cambian a Vencidas.
  • Cuando una recomendación no está clasificada como Vencida, no afecta a la puntuación de seguridad de Microsoft.
  • También puede aplicar un período de gracia para que las recomendaciones vencidas no afecten a la puntuación de seguridad.

Obtenga más información sobre cómo configurar reglas de gobernanza.

Para ver todas las recomendaciones asignadas:

  1. Inicie sesión en Azure Portal.

  2. Vaya aRecomendaciones de >.

  3. Seleccione Agregar filtro>Propietario.

  4. Seleccione la entrada de usuario.

  5. Selecciona Aplicar.

  6. En los resultados de las recomendaciones, revise las recomendaciones, incluidos los recursos afectados, los factores de riesgo, las rutas de ataque, las fechas de vencimiento y el estado.

  7. Seleccione una recomendación para revisarla más adelante.

Para realizar cambios en una asignación, complete los pasos siguientes:

  1. Vaya a Realizar acción>Cambiar propietario y fecha de vencimiento.

  2. Seleccione Editar asignación para cambiar el propietario de la recomendación o la fecha de vencimiento.

  3. Si selecciona una nueva fecha de corrección, especifique por qué debe completarse la corrección en esa fecha en Justificación.   

  4. Haga clic en Guardar.

    Nota:

    Al cambiar la fecha de finalización esperada, la fecha de vencimiento de la recomendación no cambia, pero los asociados de seguridad pueden ver que planea actualizar los recursos según la fecha especificada.

De forma predeterminada, el propietario del recurso recibe un correo electrónico semanal que muestra todas las recomendaciones asignadas.

También puede usar la opción Establecer notificaciones por correo electrónico para:

  • Anule el envío del correo electrónico semanal que se envía por defecto al propietario.
  • Notifique a los propietarios semanalmente una lista de tareas abiertas o vencidas.
  • Notifique al gerente directo del propietario con una lista de tareas abiertas.

Revisión de recomendaciones en Azure Resource Graph

Puede usar Azure Resource Graph para escribir una consulta de Lenguaje de consulta Kusto (KQL) para consultar los datos de posición de seguridad de Defender for Cloud en varias suscripciones. Azure Resource Graph proporciona una manera eficaz de consultar a escala en entornos de nube mediante la visualización, filtrado, agrupación y ordenación de datos.

  1. Inicie sesión en Azure Portal.

  2. Vaya aRecomendaciones de >.

  3. Seleccione una recomendación.

  4. Seleccione Abrir consulta.

  5. Puede abrir la consulta de una de estas dos maneras:

    • Consulta que devuelve el recurso afectado: devuelve una lista de todos los recursos a los que afecta la recomendación.
    • Consulta que devuelve resultados de seguridad: devuelve una lista de todos los problemas de seguridad que encontró la recomendación.

  6. Seleccione Ejecutar consulta.

    Captura de pantalla del Explorador de Azure Resource Graph que muestra los resultados de la recomendación de la captura de pantalla anterior.

  7. Revise los resultados.

¿Cómo se clasifican las recomendaciones?

Cada recomendación de seguridad de Defender for Cloud recibe una de las tres clasificaciones de gravedad.

Gravedad alta

Se recomienda abordar estas recomendaciones inmediatamente. Indican que hay una vulnerabilidad de seguridad crítica que un atacante podría aprovechar para obtener acceso no autorizado a los sistemas o datos.

Entre los ejemplos de recomendaciones de gravedad alta se incluyen:

  • Secretos desprotegidos en una máquina.
  • Reglas de grupo de seguridad de red entrantes excesivamente permisivas.
  • Clústeres que permiten implementar imágenes desde registros que no son de confianza.
  • Acceso público sin restricciones a cuentas de almacenamiento o bases de datos.

Gravedad media

Estas recomendaciones indican un riesgo de seguridad potencial. Se recomienda abordar estas recomendaciones de forma oportuna, pero es posible que no requieran atención inmediata.

Entre los ejemplos de recomendaciones de gravedad media se incluyen:

  • Contenedores que comparten espacios de nombres de host confidenciales.
  • Aplicaciones web que no usan identidades administradas.
  • Máquinas Linux que no requieren claves SSH durante la autenticación.
  • Las credenciales sin usar quedan en el sistema después de 90 días de inactividad.

Gravedad baja

Estas recomendaciones indican un problema de seguridad relativamente menor que se puede solucionar en su comodidad.

Entre los ejemplos de recomendaciones de gravedad baja se incluyen:

  • El uso de la autenticación local en lugar de Microsoft Entra ID.
  • Problemas de mantenimiento con la solución de Endpoint Protection.
  • Los usuarios que no siguen los procedimientos recomendados con grupos de seguridad de red.
  • Configuración de registro mal configurada, lo que podría dificultar la detección y respuesta a incidentes de seguridad.

Las directivas internas de una organización pueden diferir de la clasificación de Microsoft de una recomendación específica. Se recomienda revisar cuidadosamente cada recomendación y considerar su posible efecto en su posición de seguridad antes de decidir cómo abordarla.

Nota:

Los clientes de CSPM de Defender tienen acceso a un sistema de clasificación más completo, donde las recomendaciones incluyen una determinación de nivel de riesgo que utiliza el contexto del recurso y todos los recursos relacionados. Obtenga más información sobre la priorización de riesgos y las instrucciones detalladas en las secciones anteriores de priorización de riesgos.

Ejemplo

En este ejemplo, la página Detalles de la recomendación muestra 15 recursos afectados:

Captura de pantalla del botón Abrir consulta en la página Detalles de la recomendación.

Al abrir y ejecutar la consulta subyacente, el Explorador de Azure Resource Graph devuelve los mismos recursos afectados para esta recomendación.

Contenido relacionado

  • Last updated on