Share via

Información general sobre la modificación de recursos

  • Artículo

En este artículo se describe cómo modificar los recursos de inventario. Puede cambiar el estado de un recurso, asignar un identificador externo o aplicar etiquetas para ayudar a proporcionar contexto y usar datos de inventario. Los usuarios también pueden quitar recursos de su inventario de forma masiva en función del método con el que se detectaron; Por ejemplo, los usuarios pueden quitar un valor de inicialización de un grupo de detección y elegir quitar los recursos detectados a través de una conexión a esta inicialización. En este artículo se describen todas las opciones de modificación disponibles en EASM de Defender y se describe cómo actualizar los recursos y realizar un seguimiento de las actualizaciones con el Administrador de tareas.

Etiquetado de recursos

Las etiquetas le ayudan a organizar la superficie expuesta a ataques y a aplicar el contexto empresarial de una manera personalizable. Puede aplicar cualquier etiqueta de texto a un subconjunto de recursos para agrupar recursos y hacer un mejor uso del inventario. Los clientes suelen clasificar los recursos que:

  • Recientemente han estado bajo la propiedad de su organización a través de una fusión o adquisición.
  • Requerir la supervisión del cumplimiento.
  • Son propiedad de una unidad de negocio específica de su organización.
  • Se ven afectados por una vulnerabilidad específica que requiere mitigación.
  • Se relaciona con una marca determinada propiedad de la organización.
  • Se agregaron al inventario dentro de un intervalo de tiempo específico.

Las etiquetas son campos de texto de forma libre, por lo que puede crear una etiqueta para cualquier caso de uso que se aplique a su organización.

Screenshot that shows an inventory list view with a filtered Labels column.

Cambiar el estado de un recurso

Los usuarios también pueden cambiar el estado de un recurso. Los estados ayudan a clasificar el inventario en función de su rol en la organización. Los usuarios pueden cambiar entre los siguientes estados:

  • Inventario aprobado: una parte de la superficie expuesta a ataques de su propiedad; un elemento del que usted es responsable directamente.
  • Dependencia: infraestructura propiedad de un tercero, pero que forma parte de la superficie expuesta a ataques porque admite directamente el funcionamiento de los recursos propiedad. Por ejemplo, puede depender de un proveedor de TI para hospedar el contenido web. Aunque el dominio, el nombre de host y las páginas formarían parte del "Inventario aprobado", es posible que desee tratar la dirección IP que ejecuta el host como "Dependencia".
  • Solo monitor: un recurso que es relevante para la superficie expuesta a ataques, pero que no se controla directamente ni una dependencia técnica. Por ejemplo, las franquicias independientes o los activos que pertenecen a empresas relacionadas pueden etiquetarse como "Solo supervisar" en lugar de "Inventario aprobado" para separar los grupos y poder ejecutar informes correctamente.
  • Candidato: un recurso que tiene alguna relación con los recursos de inicialización conocidos de su organización, pero no tiene una conexión lo suficientemente fuerte como para etiquetarlo inmediatamente como "Inventario aprobado". Estos recursos candidatos se deben revisar manualmente para determinar su propiedad.
  • Requiere investigación: un estado similar a los estados "Candidato", pero este valor se aplica a los recursos que requieren investigación manual para validar. Esto se determina en función de nuestras puntuaciones de confianza generadas internamente que evalúan la intensidad de las conexiones detectadas entre los recursos. No indica la relación exacta de la infraestructura con la organización, más bien indica que este recurso se ha marcado como que requiere revisión adicional para determinar cómo se debe clasificar.

Aplicar un identificador externo

Los usuarios también pueden aplicar un identificador externo a un recurso. Esto resulta útil en situaciones en las que se emplean varias soluciones para el seguimiento de activos, las actividades de corrección o la supervisión de la propiedad; ver los identificadores externos dentro de EASM de Defender le ayuda a alinear esta información de recursos dispares. Los valores de identificador externo pueden ser numéricos o alfanuméricos y deben especificarse en formato de texto. Los identificadores externos también se muestran en la sección Detalles del recurso.

Modificación de recursos

Puede modificar los recursos de las páginas de detalles de lista de inventario y recursos. Puede realizar cambios en un único recurso desde la página de detalles del recurso. Puede realizar cambios en un único recurso o en varios recursos desde la página de lista de inventario. En las secciones siguientes se describe cómo aplicar los cambios de las dos vistas de inventario en función del caso de uso.

Página de lista de inventario

Debe modificar los recursos de la página de lista de inventario si desea actualizar numerosos recursos a la vez. Puede refinar la lista de recursos en función de los parámetros de filtro. Este proceso le ayuda a identificar los recursos que deben clasificarse con la etiqueta, el identificador externo o el cambio de estado que desee. Para modificar los recursos de esta página:

  1. En el panel izquierdo del recurso de Administración de superficie expuesta a ataques externos de Microsoft Defender (EASM de Defender), seleccione Inventario.

  2. Aplique filtros para generar los resultados previstos. En este ejemplo, estamos buscando dominios que expiran en un plazo de 30 días que requieren renovación. La etiqueta aplicada le ayuda a acceder más rápidamente a los dominios de expiración para simplificar el proceso de corrección. Puede aplicar tantos filtros como sea necesario para obtener los resultados específicos necesarios. Para obtener más información sobre los filtros, consulte Introducción a los filtros de inventario.

    Screenshot that shows the inventory list view with the Add filter dropdown opened to display the query editor.

  3. Una vez filtrada la lista de inventario, active la lista desplegable junto al encabezado de tabla asset . Esta lista desplegable le ofrece la opción de seleccionar todos los resultados que coincidan con la consulta o los resultados de esa página específica (hasta 25). La opción Ninguno borra todos los recursos. También puede seleccionar solo resultados específicos en la página seleccionando las marcas de verificación individuales situadas junto a cada recurso.

    Screenshot that shows the inventory list view with the bulk selection dropdown opened.

  4. Seleccione Modificar recursos.

  5. En el panel Modificar recursos que se abre en el lado derecho de la pantalla, puede cambiar rápidamente el estado de los recursos seleccionados. En este ejemplo, creará una nueva etiqueta. Seleccione Crear una nueva etiqueta.

  6. Determine el nombre de la etiqueta y los valores de texto para mostrar. El nombre de la etiqueta no se puede cambiar después de crear inicialmente la etiqueta, pero el texto para mostrar se puede editar más adelante. El nombre de la etiqueta se usa para consultar la etiqueta en la interfaz del producto o a través de la API, por lo que las modificaciones están deshabilitadas para asegurarse de que estas consultas funcionan correctamente. Para editar un nombre de etiqueta, debe eliminar la etiqueta original y crear una nueva.

    Seleccione un color para la nueva etiqueta y seleccione Agregar. Esta acción le lleva de vuelta a la pantalla Modificar recursos .

    Screenshot that shows the Add label pane that displays the configuration fields.

  7. Aplique la nueva etiqueta a los recursos. Haga clic dentro del cuadro de texto Agregar etiquetas para ver una lista completa de etiquetas disponibles. O bien, puede escribir dentro del cuadro para buscar por palabra clave. Después de seleccionar las etiquetas que desea aplicar, seleccione Actualizar.

    Screenshot that shows the Modify Asset pane with the newly created label applied.

  8. Espere unos instantes para que se apliquen las etiquetas. Una vez finalizado el proceso, verá una notificación "Completada". La página se actualiza automáticamente y muestra la lista de recursos con las etiquetas visibles. Un banner en la parte superior de la pantalla confirma que se aplicaron las etiquetas.

    Screenshot that shows the inventory list view with the selected assets now displaying the new label.

Página de detalles del recurso

También puede modificar un único recurso desde la página de detalles del recurso. Esta opción es ideal para situaciones en las que los recursos deben revisarse exhaustivamente antes de aplicar un cambio de estado o etiqueta.

  1. En el panel izquierdo del recurso EASM de Defender, seleccione Inventario.

  2. Seleccione el recurso específico que desea modificar para abrir la página de detalles del recurso.

  3. En esta página, seleccione Modificar recurso.

    Screenshot that shows the asset details page with the Modify asset button highlighted.

  4. Siga los pasos del 5 al 7 de la sección "Página de lista de inventario".

  5. La página de detalles del recurso se actualiza y muestra el cambio de estado o etiqueta recién aplicados. Un banner indica que el recurso se actualizó correctamente.

Modificar, quitar o eliminar etiquetas

Los usuarios pueden quitar una etiqueta de un recurso accediendo al mismo panel Modificar recurso desde la lista de inventario o la vista de detalles del recurso. En la vista de lista de inventario, puede seleccionar varios recursos a la vez y, a continuación, agregar o quitar la etiqueta deseada en una acción.

Para modificar la propia etiqueta o eliminar una etiqueta del sistema:

  1. En el panel izquierdo del recurso EASM de Defender, seleccione Etiquetas (versión preliminar).

    Screenshot that shows the Labels (Preview) page that enables label management.

    En esta página se muestran todas las etiquetas del inventario de EASM de Defender. Es posible que las etiquetas de esta página existan en el sistema, pero no se apliquen activamente a ningún recurso. También puede agregar nuevas etiquetas desde esta página.

  2. Para editar una etiqueta, seleccione el icono de lápiz en la columna Acciones de la etiqueta que desea editar. Se abre un panel en el lado derecho de la pantalla donde puede modificar el nombre o el color de una etiqueta. Selecciona Actualización.

  3. Para quitar una etiqueta, seleccione el icono de papelera de la columna Acciones de la etiqueta que desea eliminar. Seleccione Quitar etiqueta.

    Screenshot that shows the Confirm Remove option on the Labels management page.

La página Etiquetas se actualiza automáticamente. La etiqueta se quita de la lista y también se quita de los recursos que tenían aplicada la etiqueta. Un banner confirma la eliminación.

Administrador de tareas y notificaciones

Una vez enviada una tarea, una notificación confirma que la actualización está en curso. En cualquier página de Azure, seleccione el icono de notificación (campana) para ver más información sobre las tareas recientes.

Screenshot that shows the Task submitted notification.Screenshot that shows the Notifications pane that displays recent task status.

El sistema EASM de Defender puede tardar segundos en actualizar un puñado de recursos o minutos para actualizar miles. Puede usar el Administrador de tareas para comprobar el estado de las tareas de modificación en curso. En esta sección se describe cómo acceder al Administrador de tareas y usarlo para comprender mejor la finalización de las actualizaciones enviadas.

  1. En el panel izquierdo del recurso de EASM de Defender, seleccione Administrador de tareas.

    Screenshot that shows the Task Manager page with appropriate section in navigation pane highlighted.

  2. En esta página se muestran todas las tareas recientes y su estado. Las tareas se muestran como Completadas, Con errores o En curso. También aparecen un porcentaje de finalización y una barra de progreso. Para ver más detalles sobre una tarea específica, seleccione el nombre de la tarea. Se abre un panel en el lado derecho de la pantalla que proporciona más información.

  3. Seleccione Actualizar para ver el estado más reciente de todos los elementos en el Administrador de tareas.

Filtrado de etiquetas

Después de etiquetar los recursos del inventario, puede usar filtros de inventario para recuperar una lista de todos los recursos con una etiqueta específica aplicada.

  1. En el panel izquierdo del recurso EASM de Defender, seleccione Inventario.

  2. Seleccione Agregar filtro.

  3. Seleccione Etiquetas en la lista desplegable Filtro . Seleccione un operador y elija una etiqueta en la lista desplegable de opciones. En el ejemplo siguiente se muestra cómo buscar una sola etiqueta. Puede usar el operador In para buscar varias etiquetas. Para obtener más información sobre los filtros, consulte la introducción a los filtros de inventario.

    Screenshot that shows the query editor used to apply filters, displaying the Labels filter with possible label values in a dropdown list.

  4. Seleccione Aplicar. La página de lista de inventario se vuelve a cargar y muestra todos los recursos que coinciden con los criterios.

Administración basada en la cadena de recursos

En algunos casos, es posible que desee quitar varios recursos a la vez en función de los medios con los que se detectaron. Por ejemplo, puede determinar que una inicialización determinada dentro de un grupo de detección ha extraído recursos que no son relevantes para su organización, o puede que tenga que quitar los recursos relacionados con una subsidiaria que ya no esté bajo su purview. Por este motivo, EASM de Defender ofrece la capacidad de quitar la entidad de origen y cualquier recurso "descendente" en la cadena de detección. Puede eliminar recursos vinculados con los tres métodos siguientes:

  • Administración basada en inicialización: los usuarios pueden eliminar un valor de inicialización que se incluyó anteriormente en un grupo de detección, eliminando todos los recursos que se introdujeron en el inventario a través de una conexión observada con la inicialización especificada. Este método es útil cuando se puede determinar que una inicialización de entrada manual específica dio lugar a que se agregaran recursos no deseados al inventario.
  • Administración de cadenas de detección: los usuarios pueden identificar un recurso dentro de una cadena de detección y eliminarlo, quitando simultáneamente los recursos detectados por esa entidad. La detección es un proceso recursivo; examina las semillas para identificar nuevos activos asociados directamente a estas semillas designadas y, a continuación, continúa explorando las entidades recién detectadas para revelar más conexiones. Este enfoque de eliminación es útil cuando el grupo de detección está configurado correctamente, pero debe quitar un recurso recién detectado y todos los recursos que se incluyan en el inventario mediante asociación a esa entidad. Considere la configuración del grupo de detección y las semillas designadas para ser la "parte superior" de la cadena de detección; este enfoque de eliminación permite quitar recursos del centro.
  • Administración de grupos de detección: los usuarios pueden quitar grupos de detección completos y todos los recursos que se introdujeron en el inventario a través de este grupo de detección. Esto resulta útil cuando un grupo de detección completo ya no es aplicable a su organización. Por ejemplo, puede tener un grupo de detección que busque específicamente recursos relacionados con una subsidiaria. Si esta subsidiaria ya no es relevante para su organización, puede aprovechar la administración basada en la cadena de activos para eliminar todos los recursos que se incluyen en el inventario a través de ese grupo de detección.

Todavía puede ver los recursos eliminados en EASM de Defender; simplemente filtre la lista de inventario de los recursos en el estado "Archivado".

Eliminación basada en inicialización

Puede decidir que una de las semillas de detección designadas inicialmente ya no debe incluirse en un grupo de detección. Es posible que el valor de inicialización ya no sea relevante para su organización, o podría estar trayendo más falsos positivos que activos legítimos de propiedad. En esta situación, puede quitar el valor de inicialización del grupo de detección para evitar que se use en futuras ejecuciones de detección mientras quita simultáneamente los recursos que se han traído al inventario a través de la inicialización designada en el pasado.

Para realizar una eliminación masiva basada en una inicialización, enrute a la página de detalles del grupo de detección adecuada y haga clic en "Editar grupo de detección". Siga las indicaciones para llegar a la página Seeds y quite la inicialización problemática de la lista. Al seleccionar "Revisar y actualizar", verá una advertencia que indica que también se quitarán todos los recursos detectados a través de la inicialización designada. Seleccione "Actualizar" o "Actualizar y ejecutar" para completar la eliminación.

Screenshot that shows the Edit Discovery Group page with a warning indicating the removal of a seed and any assets discovered through that seed.

Eliminación basada en cadenas de detección

En el ejemplo siguiente, imagine que ha descubierto un formulario de inicio de sesión no seguro en el panel Resumen de Superficie expuesta a ataques. La investigación le enruta a un host que no parece ser propiedad de su organización. Puede ver la página de detalles del recurso para obtener más información; después de revisar la cadena de detección, aprenderá que el host se introdujo en el inventario porque el dominio correspondiente se registró mediante la dirección de correo electrónico corporativa de un empleado que también se usó para registrar entidades empresariales aprobadas.

Screenshot that shows the Asset Details page with the Discovery Chain section highlighted.

En esta situación, la inicialización de detección (el dominio corporativo) sigue siendo legítima, por lo que es necesario quitar un recurso problemático de la cadena de detección. Aunque podríamos realizar la eliminación de la cadena del correo electrónico de contacto, en su lugar elegiremos quitar todo lo asociado al dominio personal registrado en este empleado para que Defender EASM nos avise de cualquier otro dominio registrado en esa dirección de correo electrónico en el futuro. En la cadena de detección, seleccione este dominio personal para ver la página de detalles del recurso. En esta vista, seleccione "Quitar de la cadena de detección" para quitar el recurso del inventario, así como todos los recursos introducidos en el inventario debido a una conexión observada con el dominio personal. Se le pedirá que confirme la eliminación del recurso y todos los recursos de bajada y se le presentará una lista resumida de los demás recursos que se quitarán con esta acción. Seleccione "Quitar cadena de detección" para confirmar la eliminación masiva.

Screenshot that shows the box that prompts users to confirm the removal of the current asset and all downstream assets, with a summary of the other assets that will be removed with this action.

Eliminación de grupos de detección

Es posible que tenga que eliminar y todo el grupo de detección y todos los recursos detectados a través del grupo. Por ejemplo, es posible que su empresa haya vendido una subsidiaria que ya no tenga que supervisarse. Los usuarios pueden eliminar grupos de detección de la página Administración de detección. Para quitar un grupo de detección y todos los recursos relacionados, simplemente seleccione el icono de papelera junto al grupo adecuado de la lista. Recibirá una advertencia que muestra un resumen de los recursos que se quitarán con esta acción. Para confirmar la eliminación del grupo de detección; y todos los recursos relacionados, seleccione "Quitar grupo de detección".

Screenshot that shows the Discovery management page, with the warning box that appears after electing to delete a group highlighted.

Pasos siguientes