Compartir a través de

Vulnerabilidades de mi organización

En la página Puntos débiles de Administración de vulnerabilidades de Microsoft Defender se enumeran las vulnerabilidades y exposiciones comunes conocidas (CVE) por su identificador de CVE.

Los identificadores de CVE son identificadores únicos asignados a vulnerabilidades de ciberseguridad divulgadas públicamente que afectan al software, el hardware y el firmware. Proporcionan a las organizaciones una manera estándar de identificar y realizar un seguimiento de las vulnerabilidades, y les ayudan a comprender, priorizar y abordar estas vulnerabilidades en su organización. Se realiza un seguimiento de los CVE en un registro público al que se accede desde https://www.cve.org/.

Administración de vulnerabilidades de Defender usa sensores de punto de conexión para examinar y detectar estas y otras vulnerabilidades en una organización.

Se aplica a:

Importante

Administración de vulnerabilidades de Defender puede ayudar a identificar vulnerabilidades de Log4j en aplicaciones y componentes. Más información.

Página de información general sobre puntos débiles

Para acceder a la página Puntos débiles, seleccione Debilidades en el menú de navegación Administración de vulnerabilidades del portal de Microsoft Defender

La página Puntos débiles se abre con una lista de los CVE a los que se exponen los dispositivos. Puede ver la gravedad, la clasificación del sistema de puntuación de vulnerabilidades comunes (CVSS), la información correspondiente sobre infracciones y amenazas, etc.

Captura de pantalla de la página de aterrizaje de puntos débiles

Si no hay ningún CVE-ID oficial asignado a una vulnerabilidad, el nombre de la vulnerabilidad se asigna por Administración de vulnerabilidades de Defender con el formato TVM-2020-002.

Nota:

El número máximo de registros que puede exportar desde la página de puntos débiles a un archivo CSV es de 8 000 y la exportación no debe superar los 64 KB. Si recibe un mensaje que indica que los resultados son demasiado grandes para exportar, refine la consulta para incluir menos registros.

Actualmente, Administración de vulnerabilidades de Defender no distingue entre arquitecturas de sistema de 32 y 64 bits al correlacionar vulnerabilidades (CVE) con dispositivos. Esta limitación puede dar lugar a falsos positivos, especialmente en los casos en los que un CVE solo se aplica a un tipo de arquitectura. Por ejemplo, en una máquina Windows Server 2016, PHP se marcaba incorrectamente con CVE-2024-11236, lo que afecta solo a sistemas de 32 bits. Dado que la arquitectura no se factorizó actualmente en el proceso de correlación, el CVE se asoció incorrectamente con un servidor de 64 bits. Se trata de un problema conocido y una solución está en la hoja de ruta.

Información sobre infracciones y amenazas

Es importante priorizar las recomendaciones asociadas a las amenazas en curso. Puede usar la información disponible en la columna Amenazas para ayudarle a priorizar las vulnerabilidades. Para ver vulnerabilidades con amenazas en curso, filtre la columna Amenazas por:

  • Alerta activa asociada
  • Vulnerabilidad de seguridad está disponible
  • Se comprueba la vulnerabilidad de seguridad
  • Exploit forma parte de un kit de vulnerabilidades de seguridad

El icono de información sobre amenazas Dibujo simple de un error rojo se resalta en la columna Amenazas si hay vulnerabilidades de seguridad asociadas en una vulnerabilidad.

Captura de pantalla de los iconos de columna de amenazas

Al mantener el puntero sobre el icono se muestra si la amenaza forma parte de un kit de vulnerabilidades de seguridad o está conectada a campañas o grupos de actividad persistentes avanzados específicos. Cuando está disponible, hay un vínculo a un informe de Análisis de amenazas con noticias de explotación de día cero, divulgaciones o avisos de seguridad relacionados.

Texto de información sobre amenazas que podría aparecer al mantener el puntero sobre el icono. Este tiene varios puntos de viñetas y texto vinculado.

El icono de información de vulneración se resalta si se encuentra una vulnerabilidad en la organización. Dibujo simple de una flecha que golpea un destino.

Ejemplo de texto de información sobre infracciones que podría aparecer al mantener el puntero sobre el icono. Este indica que

La columna Dispositivos expuestos muestra cuántos dispositivos están expuestos actualmente a una vulnerabilidad. Si la columna muestra 0, significa que no está en riesgo.

Obtener información sobre vulnerabilidades

Si selecciona un CVE en la página puntos débiles, se abrirá un panel flotante con más información, como la descripción de vulnerabilidades, los detalles y la información sobre amenazas. La descripción de vulnerabilidad generada por IA proporciona información detallada sobre la vulnerabilidad, su efecto, los pasos de corrección recomendados y cualquier información adicional, si está disponible.

Captura de pantalla del panel de puntos débiles del control flotante

Para cada CVE, puede ver una lista de los dispositivos expuestos y el software afectado.

Sistema de puntuación de predicción de vulnerabilidades (EPSS)

El Sistema de puntuación de predicción de vulnerabilidades de seguridad (EPSS) genera una puntuación controlada por datos para la probabilidad de que una vulnerabilidad de software conocida se aproveche en estado salvaje. EPSS usa la información de amenazas actual de los datos de vulnerabilidades de seguridad de CVE y del mundo real. Para cada CVE, el modelo EPSS genera una puntuación de probabilidad entre 0 y 1 (0% y 100%). Cuanto mayor sea la puntuación, mayor será la probabilidad de que se pueda aprovechar una vulnerabilidad. Más información sobre EPSS.

EPSS está diseñado para ayudar a enriquecer su conocimiento de debilidades y su probabilidad de vulnerabilidad, y le permite priorizar en consecuencia.

Para ver la puntuación de EPSS, seleccione un CVE en la página Puntos débiles del portal de Microsoft Defender:

Captura de pantalla de la puntuación de puntos débiles epss.

Cuando el EPSS es mayor que 0,9, la información sobre herramientas de la columna Amenazas se actualiza con el valor para transmitir la urgencia de la mitigación:

Captura de pantalla de la puntuación de puntos débiles en la información sobre herramientas de amenazas.

Nota:

Si la puntuación de EPSS es menor que0.001, se considera 0.

Puede usar la API de vulnerabilidades para ver la puntuación de EPSS.

Use recomendaciones de seguridad para corregir las vulnerabilidades de los dispositivos expuestos y reducir el riesgo para los recursos y la organización. Cuando haya disponible una recomendación de seguridad, puede seleccionar Ir a la recomendación de seguridad relacionada para obtener más información sobre cómo corregir la vulnerabilidad.

Ejemplo de control flotante de debilidad.

Las recomendaciones para un CVE suelen corregir la vulnerabilidad a través de una actualización de seguridad para el software relacionado. Sin embargo, algunos CVE no tienen una actualización de seguridad disponible. Esto podría aplicarse a todo el software relacionado de un CVE o simplemente a un subconjunto, por ejemplo, un publicador de software podría decidir no corregir el problema en una versión vulnerable determinada.

Cuando una actualización de seguridad solo está disponible para parte del software relacionado, el CVE tiene la etiqueta "Algunas actualizaciones disponibles" en el nombre de CVE. Si hay al menos una actualización disponible, puede ir a la recomendación de seguridad relacionada.

Si no hay ninguna actualización de seguridad disponible, el CVE tiene la etiqueta "Sin actualización de seguridad" bajo el nombre de CVE. En este caso, no hay ninguna opción para ir a la recomendación de seguridad relacionada. El software que no tiene una actualización de seguridad disponible se excluye de la página Recomendaciones de seguridad.

Nota:

Las recomendaciones de seguridad solo incluyen dispositivos y paquetes de software que tienen actualizaciones de seguridad disponibles.

Solicitud de soporte técnico de CVE

Un CVE para software que no es compatible actualmente con la administración de vulnerabilidades sigue apareciendo en la página Puntos débiles. Dado que no se admite el software, solo hay datos limitados disponibles. La información del dispositivo expuesta no está disponible para los CVE con software no compatible.

Para ver una lista de software no compatible, filtre la página de puntos débiles por la opción "No disponible" en la sección "Dispositivos expuestos".

Puede solicitar que se agregue soporte técnico a Administración de vulnerabilidades de Defender para un CVE determinado. Para solicitar soporte técnico:

  1. En el portal de Microsoft Defender, vaya aEndpoints Vulnerability management (Administración de vulnerabilidades> de puntos de conexión) y, a continuación, seleccione Debilidades. Seleccione un CVE en la lista.

  2. En la pestaña Detalles de vulnerabilidad , seleccione Compatibilidad con este CVE. Su solicitud se envía a Microsoft y nos ayuda a priorizar este CVE entre otros en nuestro sistema.

    Nota:

    La funcionalidad de soporte técnico de CVE de solicitudes no está disponible para los clientes de GCC, GCC High y DoD.

    Ejemplo de control flotante de debilidad con el botón CVE compatible.

Software más vulnerable en el panel

  1. En el portal de Microsoft Defender, vaya alPanel deadministración> de vulnerabilidades de puntos> de conexión y desplácese hacia abajo hasta la tarjeta de software Vulnerable superior. Verá el número de vulnerabilidades que se encuentran en las aplicaciones de software, junto con información sobre amenazas y una vista de alto nivel de la exposición del dispositivo a lo largo del tiempo.

    Tarjeta de software más vulnerable.

  2. Seleccione el software que desea investigar.

  3. Seleccione la pestaña Vulnerabilidades detectadas .

  4. Seleccione la vulnerabilidad que desea investigar para abrir un panel flotante con los detalles de CVE.

Detectar vulnerabilidades en la página del dispositivo

Vea la información de puntos débiles relacionados en la página del dispositivo.

  1. En el portal de Microsoft Defender, en Activos, seleccione Dispositivos.

  2. En la página Inventario de dispositivos, seleccione el nombre del dispositivo que desea investigar.

  3. Seleccione Abrir página de dispositivo y seleccione Vulnerabilidades detectadas.

  4. Seleccione la vulnerabilidad que desea investigar para abrir un panel flotante con los detalles de CVE.

Lógica de detección de CVE

De forma similar a la evidencia de software, puede ver la lógica de detección aplicada en un dispositivo para indicar que es vulnerable. Para ver la lógica de detección:

  1. En el portal de Microsoft Defender, en Activos, seleccione Dispositivos para abrir la página Inventario de dispositivos. A continuación, seleccione un dispositivo.

  2. Seleccione Abrir página de dispositivo y seleccione Vulnerabilidades detectadas en la página del dispositivo.

  3. Seleccione la vulnerabilidad que desea investigar. Se abre un control flotante y la sección Lógica de detección muestra la lógica de detección y el origen.

    Ejemplo de lógica de detección que muestra el software detectado en el dispositivo y los KB.

La categoría "Característica del sistema operativo" también se muestra en escenarios pertinentes. Esto es cuando un CVE afectaría a los dispositivos que ejecutan un sistema operativo vulnerable si se habilita un componente de sistema operativo específico. Por ejemplo, si un dispositivo que ejecuta Windows Server 2019 o Windows Server 2022 tiene vulnerabilidad en su componente DNS, el CVE solo se asocia a los dispositivos que tienen habilitada la funcionalidad DNS.

Notificar una imprecisión

Informe de un falso positivo cuando vea información imprecisa, inexacta o incompleta. También puede informar sobre las recomendaciones de seguridad que ya se han corregido.

  1. En el portal de Microsoft Defender, vaya aEndpoints Vulnerability management (Administración de vulnerabilidades> de puntos de conexión) y, a continuación, seleccione Debilidades.

  2. Seleccione un elemento y, a continuación, seleccione Notificar imprecisión.

  3. En el panel flotante, elija un problema para informar.

  4. Rellene los detalles solicitados sobre la imprecisión. Esto varía en función del problema que se esté notificando.

  5. Seleccione Enviar. Sus comentarios se envían inmediatamente a los expertos Administración de vulnerabilidades de Defender.

    Opciones de imprecisión de informes.

Sugerencia

¿Sabía que puede probar todas las características de Administración de vulnerabilidades de Microsoft Defender de forma gratuita? Obtenga información sobre cómo registrarse para obtener una evaluación gratuita.