Uso de controles de aplicaciones adaptables para reducir las superficies de ataque de las máquinas

Conozca las ventajas de los controles de aplicaciones adaptables de Microsoft Defender for Cloud y cómo puede mejorar la seguridad con esta característica inteligente controlada por datos.

¿Cuáles son los controles de aplicaciones adaptables?

Los controles de aplicaciones adaptables son una solución inteligente y automatizada que permite definir listas de aplicaciones permitidas seguras para las máquinas.

A menudo, las organizaciones tienen colecciones de máquinas que ejecutan de forma rutinaria los mismos procesos. Microsoft Defender for Cloud usa el aprendizaje automático para analizar las aplicaciones que se ejecutan en las máquinas y crear una lista del software seguro conocido. Las listas de permitidos se basan en las cargas de trabajo específicas de Azure y se pueden personalizar aún más las recomendaciones mediante las instrucciones siguientes.

Cuando haya habilitado y configurado controles de aplicaciones adaptables, recibirá alertas de seguridad si alguna aplicación ejecuta otros distintos a los definidos como seguros.

¿Cuáles son las ventajas de los controles de aplicaciones adaptables?

Al definir listas de aplicaciones seguras conocidas y generar alertas cuando se ejecuta algo diferente, puede conseguir varios objetivos de supervisión y cumplimiento:

• Identificar posible malware, incluso el que podría faltar en las soluciones antimalware
• Mejorar el cumplimiento de las directivas de seguridad locales que dictan el uso exclusivo de software con licencia
• Identificación de versiones de aplicaciones no actualizadas o no admitidas.
• Identificación del software prohibido por su organización, pero que, no obstante, se ejecuta en las máquinas.
• Aumentar la supervisión de las aplicaciones que acceden a datos confidenciales

Actualmente no hay opciones de cumplimiento disponibles. El fin de los controles de aplicaciones adaptables es generar alertas de seguridad si alguna aplicación ejecuta elementos que no son los que se han definido como seguros.

Disponibilidad

Aspecto	Detalles
Estado de la versión:	Disponibilidad general (GA)
Precios:	Requiere el Plan 2 de Microsoft Defender para servidores.
Máquinas admitidas:	Máquinas de Azure y que no son de Azure que ejecutan Windows y Linux Máquinas de Azure Arc
Roles y permisos necesarios:	Los roles Lector de seguridad y Lector pueden ver grupos y las listas de aplicaciones seguras conocidas. Los roles Colaborador y Administrador de seguridad pueden editar grupos y las listas de aplicaciones seguras conocidas.
Nubes:	Nubes comerciales Nacional (Azure Government, Microsoft Azure operado por 21Vianet) Cuentas de AWS conectadas

Habilitación de controles de aplicaciones en un grupo de máquinas

Si Microsoft Defender for Cloud ha identificado grupos de máquinas en las suscripciones que ejecutan de forma coherente un conjunto similar de aplicaciones, se le pedirá la siguiente recomendación: Los controles de aplicación adaptables para definir aplicaciones seguras deben estar habilitados en las máquinas.

Seleccione la recomendación o abra la página de controles de aplicaciones adaptables para ver la lista de grupos de máquinas y aplicaciones seguras conocidas.

1. Abra el panel de protección de cargas de trabajo y, en el área de protección avanzada, seleccione Controles de aplicaciones adaptables.

   

   Se abre la página Controles de aplicaciones adaptables con las máquinas virtuales agrupadas en las siguientes pestañas:

   • Configuradas: grupos de máquinas que ya tienen una lista de aplicaciones permitidas. Para cada grupo, en la pestaña Configuradas se muestra:

     • el número de máquinas en el grupo
     • las alertas recientes

   • Recomendadas: grupos de máquinas que ejecutan de forma sistemática las mismas aplicaciones y no tienen configurada una lista de permitidos. Se recomienda habilitar los controles de aplicaciones adaptables para estos grupos.

     Sugerencia

     Si ve un nombre de grupo con el prefijo REVIEWGROUP, contiene máquinas con una lista de aplicaciones parcialmente coherente. Microsoft Defender for Cloud no encuentra un patrón, pero examinar revisar este grupo para ver si se pueden definir manualmente algunas reglas de controles de aplicaciones adaptables, como se describe en Edición de una regla de controles de aplicaciones adaptables de un grupo.

     También puede mover máquinas de este grupo a otro, como se describe en Movimiento de una máquina virtual de un grupo a otro.

   • Ninguna recomendación: máquinas sin una lista de aplicaciones permitidas definida y que no admiten la característica. Es posible que su máquina virtual esté en esta pestaña por las siguientes razones:

     • Falta un agente de Log Analytics
     • El agente de Log Analytics no envía eventos
     • Es una máquina Windows con una directiva de AppLocker ya existente habilitada por un GPO o una directiva de seguridad local.
     • AppLocker no está disponible (instalaciones de Windows Server Core)

     Sugerencia

     Defender for Cloud necesita al menos dos semanas de datos para definir las recomendaciones únicas por grupo de máquinas. Las máquinas que se han creado recientemente, o que pertenecen a suscripciones que solo se protegieron recientemente con Microsoft Defender para servidores, aparecerán en la pestaña Ninguna recomendación.

2. Abra la pestaña Recomendadas. Aparecen los grupos de máquinas con listas de aplicaciones permitidas recomendadas.

   

3. Seleccione un grupo.

4. Para configurar la nueva regla, revise las distintas secciones de la página Configure application control rules (Configurar reglas de control de aplicaciones) y el contenido, que será único para este grupo de máquinas específico:

   

   1. Seleccionar máquinas: de forma predeterminada, se seleccionan todas las máquinas del grupo identificado. Para excluir cualesquiera aplicaciones de esta regla, anule su selección.

   2. Aplicaciones recomendadas: revise esta lista de aplicaciones que son comunes a las máquinas de este grupo y que se recomienda que tengan permiso para ejecutarse.

   3. Más aplicaciones: revise esta lista de aplicaciones que se ven con menos frecuencia en las máquinas de este grupo o que tienen vulnerabilidades conocidas. Un icono de advertencia indica que un atacante podría usar una determinada aplicación para pasar por alto una lista de aplicaciones permitidas. Se recomienda que revise atentamente estas aplicaciones.

      Sugerencia

      Ambas listas de aplicaciones incluyen la opción de restringir una aplicación específica a determinados usuarios. Adopte el principio de privilegios mínimos siempre que sea posible.

      Sus publicadores definen las aplicaciones. Si una aplicación no tiene información del editor (está sin firmar), se crea una regla de ruta de acceso para la ruta de acceso completa de la aplicación específica.

   4. Para aplicar la regla, seleccione Auditar.

Edición de una regla de controles de aplicaciones adaptables de un grupo

Puede que decida editar la lista de permitidos de un grupo de máquinas debido a cambios conocidos en la organización.

Para editar las reglas de un grupo de máquinas:

1. Abra el panel de protección de cargas de trabajo y, en el área de protección avanzada, seleccione Controles de aplicaciones adaptables.

2. En la pestaña Configuradas, seleccione el grupo con la regla que quiere editar.

3. Revise las distintas secciones de la página Configure application control rules (Configurar reglas de control de aplicaciones), como se describe en Habilitación de controles de aplicaciones adaptables en un grupo de máquinas.

4. Opcionalmente, agregue una o varias reglas personalizadas:

   1. Seleccione Agregar regla.

      

   2. Si va a definir una ruta de acceso segura conocida, cambie Tipo de regla a "Ruta de acceso" y escriba una ruta única. Puede incluir caracteres comodín en la ruta de acceso. En las pantallas siguientes se muestran algunos ejemplos de cómo usar caracteres comodín.

      

      Sugerencia

      Algunos escenarios en los que pueden resultar útiles los caracteres comodín en una ruta de acceso son:

      • El uso de un carácter comodín al final de una ruta de acceso para permitir todos los ejecutables dentro de esta carpeta y sus subcarpetas.
      • El uso de un carácter comodín en medio de una ruta de acceso para permitir un nombre conocido de ejecutable con un nombre de carpeta variable (por ejemplo, carpetas de usuario personales que contienen un archivo ejecutable conocido, nombres de carpeta generados automáticamente, etc.).

   3. Defina los usuarios permitidos y los tipos de archivo protegidos.

   4. Cuando haya terminado de definir la regla, seleccione Agregar.

5. Seleccione Guardar para aplicar los cambios.

Revisión y edición de la configuración de un grupo

1. Para ver los detalles y la configuración de su grupo, seleccione Configuración de grupo.

   En este panel se muestra el nombre del grupo (que se puede modificar), el tipo de sistema operativo, la ubicación y otros detalles pertinentes.

   

2. Opcionalmente, puede modificar el nombre del grupo o los modos de protección de tipos de archivo.

3. Seleccione Aplicar y Guardar.

Respuesta a la recomendación "Allowlist rules in your adaptive application control policy should be updated" (Se deben actualizar las reglas de listas de permitidos de la directiva de control de aplicaciones adaptables)

Esta recomendación aparece cuando la funcionalidad de aprendizaje automático de Defender for Cloud identifica un comportamiento potencialmente legítimo que no se ha permitido anteriormente. La recomendación sugiere nuevas reglas para las definiciones existentes con el fin de reducir el número de alertas de falsos positivos.

Para corregir los problemas:

1. En la página de recomendaciones, seleccione la recomendación Allowlist rules in your adaptive application control policy should be updated (Se deben actualizar las reglas de listas de permitidos de la directiva de control de aplicaciones adaptables) para ver los grupos con un comportamiento potencialmente legítimo identificado recientemente.

2. Seleccione el grupo con la regla que quiere editar.

3. Revise las distintas secciones de la página Configure application control rules (Configurar reglas de control de aplicaciones), como se describe en Habilitación de controles de aplicaciones adaptables en un grupo de máquinas.

4. Para aplicar los cambios, seleccione Auditar.

Auditoría de alertas e infracciones

1. Abra el panel de protección de cargas de trabajo y, en el área de protección avanzada, seleccione Controles de aplicaciones adaptables.

2. Para ver los grupos con máquinas que tienen alertas recientes, revise los grupos que aparecen en la pestaña Configurados.

3. Para investigar más, seleccione un grupo.

   

4. Para tener más detalles, junto con la lista de máquinas afectadas, seleccione una alerta.

   En la página de alertas de seguridad se muestran más detalles de las alertas y se proporciona un vínculo Realizar acción con recomendaciones sobre cómo mitigar la amenaza.

   

   Nota

   Los controles de aplicaciones adaptables calculan los eventos una vez cada doce horas. La "hora de inicio de la actividad" que se muestra en la página de alertas de seguridad es la hora a la que los controles de aplicaciones adaptables crearon la alerta, no el tiempo que estuvo activo el proceso sospechoso.

Movimiento de una máquina virtual de un grupo a otro

Cuando se mueve una máquina de un grupo a otro, la directiva de control de aplicaciones que se le ha aplicado cambia a la configuración del grupo al que se ha movido. También se puede mover una máquina de un grupo configurado a uno no configurado, lo que quitará las reglas de control de aplicaciones que se aplicaron a la máquina.

1. Abra el panel de protección de cargas de trabajo y, en el área de protección avanzada, seleccione Controles de aplicaciones adaptables.

2. En la página Controles de aplicaciones adaptables, en la pestaña Configurados, seleccione el grupo que contiene la máquina que se va a mover.

3. Abra la lista de Máquinas configuradas.

4. Abra el menú de la máquina en los tres puntos que aparecen al final de la fila y seleccione Mover. Se abre el panel Move machine to a different group (Mover la máquina a un grupo diferente).

5. Seleccione el grupo de destino y elija Move machine (Mover máquina).

6. Para guardar los cambios, seleccione Guardar.

Administración de controles de aplicaciones a través de la API REST

Para administrar los controles de aplicaciones adaptables mediante programación, use nuestra API REST.

La documentación de API pertinente está disponible en la sección Controles de aplicación adaptables de la documentación de la API de Defender for Cloud.

Estas son algunas de las funciones disponibles en la API REST:

• List recupera todas las recomendaciones de grupo y proporciona un archivo JSON con un objeto para cada grupo.

• Get recupera el archivo JSON con los datos completos de la recomendación (es decir, la lista de máquinas, el editor, las reglas de ruta de acceso, etc.).

• Put configura la regla (use el archivo JSON que recuperó con Get como cuerpo de esta solicitud).

  Importante

  La función Put espera menos parámetros de los que contiene el archivo JSON devuelto por el comando Get.

  Antes de usar el archivo JSON en la solicitud Put, quite las siguientes propiedades: recommendationStatus, configurationStatus, issues, location y sourceSystem.

Pasos siguientes

En esta página, ha aprendido a usar los controles de aplicaciones adaptables de Microsoft Defender for Cloud para definir listas de aplicaciones permitidas que se ejecutan en máquinas de Azure y que no son de Azure. Para más información sobre algunas de las otras características de protección de la carga de trabajo en la nube, consulte:

• Descripción del acceso a la máquina virtual Just-in-Time (JIT)
• Protección de los clústeres de Azure Kubernetes
• Ver preguntas comunes sobre los controles de aplicaciones adaptables