Compartir a través de

Revisión de las recomendaciones de seguridad

En Microsoft Defender for Cloud, los recursos y las cargas de trabajo se evalúan con respecto a los estándares de seguridad integrados y personalizados habilitados en las suscripciones de Azure, las cuentas de Amazon Web Services (AWS) y los proyectos de Google Cloud Platform (GCP). En función de esas evaluaciones, las recomendaciones de seguridad proporcionan pasos prácticos para corregir problemas de seguridad y mejorar la posición de seguridad.

Defender for Cloud usa de forma proactiva un motor dinámico que evalúa los riesgos en su entorno al tiempo que tiene en cuenta el potencial de explotación y el posible efecto empresarial en su organización. El motor prioriza las recomendaciones de seguridad en función de los factores de riesgo de cada recurso. El contexto del entorno determina estos factores de riesgo. Este contexto incluye la configuración del recurso, las conexiones de red y la posición de seguridad.

Prerrequisitos

Nota:

Las recomendaciones se incluyen de forma predeterminada con Defender for Cloud, pero no puede ver la priorización de riesgos sin que CspM de Defender esté habilitado en su entorno.

Revisar la página de recomendaciones

Revise todos los detalles relacionados con una recomendación antes de intentar comprender el proceso necesario para resolver la recomendación. Asegúrese de que todos los detalles de la recomendación sean correctos antes de resolver la recomendación.

Para revisar los detalles de una recomendación:

  1. Inicie sesión en Azure Portal.

  2. Vaya aRecomendaciones de Defender for Cloud>.

  3. Seleccione una recomendación.

  4. En la página de recomendación, revise los detalles siguientes:

    • Nivel de riesgo : la vulnerabilidad y el efecto empresarial del problema de seguridad subyacente, teniendo en cuenta el contexto de recursos ambientales, como la exposición a Internet, los datos confidenciales, el movimiento lateral, etc.
    • Factores de riesgo: factores ambientales del recurso afectados por la recomendación, que influyen en la vulnerabilidad y el efecto empresarial del problema de seguridad subyacente. Entre los ejemplos de factores de riesgo se incluyen la exposición a Internet, la información confidencial y el potencial de movimiento lateral.
    • Recurso : el nombre del recurso afectado.
    • Estado: el estado de la recomendación, como Sin asignar, A tiempo o Vencida.
    • Descripción : una breve descripción del problema de seguridad.
    • Rutas de ataque: Cantidad de rutas de ataque.
    • Ámbito : la suscripción o el recurso afectados.
    • Actualización : intervalo de actualización de la recomendación.
    • Fecha de último cambio : fecha en la que se cambió por última vez esta recomendación.
    • Gravedad : gravedad de la recomendación (Alta, Media o Baja). Se proporcionan más detalles.
    • Propietario : la persona asignada a la recomendación.
    • Fecha de vencimiento: fecha de vencimiento asignada para resolver la recomendación.
    • Tácticas y técnicas - Las tácticas y técnicas mapeadas a MITRE ATT&CK.

Exploración de una recomendación

Puede realizar varias acciones para interactuar con las recomendaciones. Si una opción no está disponible, no es relevante para la recomendación.

Para explorar una recomendación:

  1. Inicie sesión en Azure Portal.

  2. Vaya aRecomendaciones de Defender for Cloud>.

  3. Seleccione una recomendación.

  4. En la recomendación, es posible realizar estas acciones:

    • Seleccione Abrir consulta para ver información detallada sobre los recursos afectados con una consulta del Explorador de Azure Resource Graph.

    • Seleccione Ver definición de directiva para ver la entrada de Azure Policy para la recomendación subyacente, si procede.

    • Seleccione Ver recomendación para todos los recursos para ver todos los recursos afectados por la recomendación.

  5. En Tomar medidas:

    • Corrección: una descripción de los pasos manuales necesarios para resolver el problema de seguridad en los recursos afectados. Para obtener recomendaciones con la opción Corregir , puede seleccionar Ver lógica de corrección antes de aplicar la corrección sugerida a los recursos.

    • Propietario de la recomendación y fecha de vencimiento establecida: si tiene habilitada una regla de gobernanza para la recomendación, puede asignar un propietario y una fecha de vencimiento.

    • Excluir: es posible excluir recursos de la recomendación o deshabilitar conclusiones específicas mediante reglas de deshabilitación.

    • Automatización del flujo de trabajo: establezca una aplicación lógica para que se desencadene con la recomendación.

    Captura de pantalla que muestra lo que puede ver en la recomendación al seleccionar la pestaña Realizar acción.

  6. En Resultados, puede revisar los resultados relacionados por gravedad.

    Captura de pantalla de la pestaña de resultados en una recomendación que muestra todas las rutas de acceso de ataque de esa recomendación.

  7. En Graph, puede ver e investigar todo el contexto que se usa para la priorización de riesgos, incluidas las rutas de acceso a ataques. Puede seleccionar un nodo en una ruta de acceso de ataque para ver los detalles del nodo seleccionado.

    Captura de pantalla de la pestaña de gráfico en una recomendación que muestra todas las rutas de ataque de esa recomendación.

  8. Para ver más detalles, seleccione un nodo.

    Captura de pantalla de un nodo ubicado en la pestaña gráfico seleccionada y mostrando los detalles adicionales.

  9. Seleccione Conclusiones.

  10. En el menú desplegable de vulnerabilidad, seleccione una vulnerabilidad para ver los detalles.

    Captura de pantalla de la pestaña Conclusiones de un nodo específico.

  11. (Opcional) Seleccione Abrir la página de vulnerabilidades para ver la página de recomendaciones asociada.

  12. Corrección de una recomendación

Recomendaciones de grupo por título

La página de recomendaciones de Defender for Cloud permite agrupar recomendaciones por título. Esta característica es útil cuando desea corregir una recomendación que afecte a varios recursos debido a un problema de seguridad específico.

Para agrupar recomendaciones por título:

  1. Inicie sesión en Azure Portal.

  2. Vaya aRecomendaciones de Defender for Cloud>.

  3. Seleccione Agrupar por título.

    Captura de pantalla de la página de recomendaciones que muestra dónde se encuentra el botón de alternancia de grupo por título en la pantalla.

Gestionar recomendaciones asignadas a ti

Defender for Cloud admite reglas de gobernanza para recomendaciones, para asignar un propietario de recomendación o una fecha de vencimiento para la acción. Las reglas de gobernanza ayudan a garantizar la responsabilidad y un Acuerdo de Nivel de Servicio para las recomendaciones.

  • Las recomendaciones se muestran como A tiempo hasta que pase su fecha de vencimiento, momento en que cambian a Vencida.
  • Antes de que se supere el vencimiento de la recomendación, no afecta a la puntuación de seguridad.
  • También puede aplicar un período de gracia durante el cual las recomendaciones vencidas no afectan a la puntuación de seguridad.

Obtenga más información sobre cómo configurar reglas de gobernanza.

Para administrar las recomendaciones asignadas a ti:

  1. Inicie sesión en Azure Portal.

  2. Vaya aRecomendaciones de Defender for Cloud>.

  3. Seleccione Agregar filtro>Propietario.

  4. Seleccione la entrada de usuario.

  5. Selecciona Aplicar.

  6. En los resultados de las recomendaciones, revise las recomendaciones, incluidos los recursos afectados, los factores de riesgo, las rutas de ataque, las fechas de vencimiento y el estado.

  7. Seleccione una recomendación para revisarla más adelante.

  8. En Realizar acción>Cambiar propietario y fecha de vencimiento, seleccione Editar asignación para cambiar el propietario de la recomendación y la fecha de vencimiento si es necesario.     - De forma predeterminada, el propietario del recurso recibe un correo electrónico semanal en el que se enumeran las recomendaciones asignadas.     - Si selecciona una nueva fecha de corrección, especifique los motivos de corrección por esa fecha en Justificación.     - En Establecer notificaciones por correo electrónico, puede: - Invalidar el correo electrónico semanal predeterminado al propietario.         - Notificar a los propietarios semanalmente con una lista de tareas abiertas o vencidas.         - Notificar al gerente directo del dueño con una lista de tareas abierta.

  9. Haga clic en Guardar.

Nota:

Cambiar la fecha de finalización esperada no cambia la fecha de vencimiento de la recomendación, pero los asociados de seguridad pueden ver que planea actualizar los recursos según la fecha especificada.

Revisión de recomendaciones en Azure Resource Graph

Puede usar Azure Resource Graph para escribir un Lenguaje de Consulta Kusto (KQL) para consultar los datos de posición de seguridad de Defender for Cloud en varias suscripciones. Azure Resource Graph proporciona una manera eficaz de consultar a escala en entornos de nube mediante la visualización, filtrado, agrupación y ordenación de datos.

Para revisar las recomendaciones en Azure Resource Graph:

  1. Inicie sesión en Azure Portal.

  2. Vaya aRecomendaciones de Defender for Cloud>.

  3. Seleccione una recomendación.

  4. Select Open query.

  5. Puede abrir la consulta de una de estas dos maneras:

    • Consulta que devuelve el recurso afectado : devuelve una lista de todos los recursos afectados por esta recomendación.
    • Consulta que devuelve resultados de seguridad : devuelve una lista de todos los problemas de seguridad encontrados por la recomendación.

  6. Seleccione Ejecutar consulta.

    Captura de pantalla del Explorador de Azure Resource Graph que muestra los resultados de la recomendación que se muestra en la captura de pantalla anterior.

  7. Revise los resultados.

¿Cómo se clasifican las recomendaciones?

Cada recomendación de seguridad de Defender for Cloud recibe una de las tres clasificaciones de gravedad:

  • Gravedad alta: solucione estas recomendaciones inmediatamente, ya que indican una vulnerabilidad de seguridad crítica que un atacante podría aprovechar para obtener acceso no autorizado a los sistemas o datos. Algunos ejemplos de recomendaciones de gravedad alta incluyen secretos sin protección en una máquina, reglas de NSG entrantes excesivamente permisivas, clústeres que permiten implementar imágenes desde registros que no son de confianza y acceso público sin restricciones a cuentas de almacenamiento o bases de datos.

  • Gravedad media: estas recomendaciones indican un riesgo de seguridad potencial que se debe abordar de forma oportuna, pero podría no requerir atención inmediata. Algunos ejemplos de recomendaciones de gravedad media incluyen contenedores que comparten espacios de nombres de host confidenciales, aplicaciones web que no usan identidades administradas, máquinas Linux que no requieren claves SSH durante la autenticación y credenciales sin usar que quedan en el sistema después de 90 días de inactividad.

  • Gravedad baja: estas recomendaciones indican un problema de seguridad relativamente menor que se puede solucionar en su comodidad. Entre los ejemplos de recomendaciones de gravedad baja se incluyen la necesidad de deshabilitar la autenticación local en favor del identificador de Entra de Microsoft, los problemas de mantenimiento con la solución de endpoint Protection, los procedimientos recomendados que no se siguen con los grupos de seguridad de red o la configuración de registro mal configurada que podrían dificultar la detección y respuesta a incidentes de seguridad.

Las vistas internas de una organización pueden diferir de la clasificación de Microsoft de una recomendación específica. Por lo tanto, siempre es una buena idea revisar cuidadosamente cada recomendación y considerar su posible efecto en su posición de seguridad antes de decidir cómo abordarlo.

Nota:

Los clientes de CSPM de Defender tienen acceso a un sistema de clasificación más completo, donde las recomendaciones se muestran un nivel de riesgo más dinámico que utiliza el contexto del recurso y todos los recursos relacionados. Obtenga más información sobre priorización de riesgos.

Ejemplo

En este ejemplo, esta página de detalles de recomendación muestra 15 recursos afectados:

Captura de pantalla del botón Abrir consulta en la página de detalles de la recomendación.

Al abrir la consulta subyacente y ejecutarla, el Explorador de Azure Resource Graph devuelve los mismos recursos afectados para esta recomendación.

Paso siguiente

Corrección de las recomendaciones de seguridad