Informe de reglas de reducción de superficie expuesta a ataques

  • Artículo

Se aplica a:

Plataformas:

  • Windows

Importante

Parte de la información se refiere a productos preliminares que pueden ser modificados sustancialmente antes de su lanzamiento comercial. Microsoft no otorga garantías, expresas o implícitas, con respecto a la información que aquí se proporciona.

El informe de reglas de reducción de superficie expuesta a ataques proporciona información sobre las reglas de reducción de superficie expuesta a ataques que se aplican a los dispositivos de la organización. Este informe también proporciona información sobre:

  • amenazas detectadas
  • amenazas bloqueadas
  • dispositivos que no están configurados para usar las reglas de protección estándar para bloquear amenazas

Además, este informe proporciona una interfaz fácil de usar que le permite:

  • Visualización de detecciones de amenazas
  • Visualización de la configuración de las reglas de ASR
  • Configurar exclusiones (agregar)
  • Active fácilmente la protección básica habilitando las tres reglas de ASR más recomendadas con un solo botón de alternancia.
  • Explorar en profundidad para recopilar información detallada

Para obtener más información sobre las reglas de reducción de superficie expuesta a ataques individuales, consulte Referencia de reglas de reducción de superficie expuesta a ataques.

Requisitos previos

Importante

Para acceder al informe Reglas de reducción de superficie expuesta a ataques, se necesitan permisos de lectura para el portal de Microsoft Defender. El acceso a este informe concedido por Microsoft Entra roles, como seguridad global Administración o rol de seguridad, está en desuso y se quitará en abril de 2023. Para que Windows Server 2012 R2 y Windows Server 2016 aparezcan en el informe Reglas de reducción de superficie expuesta a ataques, estos dispositivos deben incorporarse mediante el paquete de solución unificado moderno. Para obtener más información, consulte Nueva funcionalidad en la solución unificada moderna para Windows Server 2012 R2 y 2016.

Permisos de acceso de informes

Para acceder al informe reglas de reducción de superficie expuesta a ataques en el panel seguridad de Microsoft 365, se requieren los permisos siguientes:

Tipo de permiso Permiso Nombre para mostrar del permiso
Aplicación Machine.Read.All "Leer todos los perfiles de máquina"
Delegado (cuenta profesional o educativa) Machine.Read "Leer información de la máquina"

Para asignar estos permisos:

  1. Inicie sesión en Microsoft Defender XDR con una cuenta con el administrador de seguridad o Administrador global rol asignado.
  2. En el panel de navegación, seleccione Configuración>Roles de puntos> de conexión (en Permisos).
  3. Seleccione el rol que desea editar.
  4. Seleccione Editar.
  5. En Editar rol, en la pestaña General , en Nombre del rol, escriba un nombre para el rol.
  6. En Descripción , escriba un breve resumen del rol.
  7. En Permisos, seleccione Ver datos y, en Ver datos , seleccione Reducción de superficie expuesta a ataques.

Para obtener más información sobre la administración de roles de usuario, consulte Create y administrar roles para el control de acceso basado en rol.

Para ir a las tarjetas de resumen del informe de reglas de reducción de superficie expuesta a ataques

  1. Abra Microsoft Defender XDR portal.
  2. En el panel izquierdo, haga clic enInformes y, en la sección principal, en Informes , seleccione Informe de seguridad.
  3. Desplácese hacia abajo hasta Dispositivos para buscar las tarjetas de resumen de las reglas de reducción de superficie expuesta a ataques .

Las tarjetas de informe de resumen para las reglas asr se muestran en la siguiente ilustración.

Muestra las tarjetas de resumen del informe de reglas de ASR

Tarjetas de resumen del informe de reglas de ASR

El resumen del informe de reglas de ASR se divide en dos tarjetas:

Tarjeta de resumen de detecciones de reglas de ASR

Muestra un resumen del número de amenazas detectadas bloqueadas por las reglas de ASR.

Proporciona dos botones de "acción":

  • Visualización de detecciones: abre la pestaña Detecciones principal de las reglas> de reducción de superficie expuesta a ataques
  • Agregar exclusiones: abre la pestaña Exclusiones principal de las reglas> de reducción de superficie expuesta a ataques

Captura de pantalla que muestra la tarjeta de detecciones de resumen del informe de reglas de ASR.

Al hacer clic en el vínculo Detecciones de reglas de ASR en la parte superior de la tarjeta también se abre la pestaña Detecciones de reglas de reducción de superficie expuesta a ataques.

Tarjeta de resumen de configuración de reglas de ASR

La sección superior se centra en tres reglas recomendadas, que protegen contra técnicas de ataque comunes. Esta tarjeta muestra información de estado actual sobre los equipos de la organización que tienen las siguientes reglas de protección estándar de tres (ASR) establecidas en modo de bloque, modo auditoría o desactivadas (no configuradas). El botón Proteger dispositivos mostrará detalles de configuración completos solo para las tres reglas; los clientes pueden tomar medidas rápidamente para habilitar estas reglas.

La sección inferior expone seis reglas en función del número de dispositivos no protegidos por regla. El botón "Ver configuración" muestra todos los detalles de configuración de todas las reglas de ASR. El botón "Agregar exclusión" muestra la página agregar exclusión con todos los nombres de archivo o proceso detectados enumerados para que Security Operation Center (SOC) se evalúe. La página Agregar exclusión está vinculada a Microsoft Intune.

Proporciona dos botones de "acción":

  • Ver configuración: abre la pestaña Detecciones principal de las reglas> de reducción de superficie expuesta a ataques
  • Agregar exclusiones: abre la pestaña Exclusiones principal de las reglas> de reducción de superficie expuesta a ataques

Muestra la tarjeta de configuración de resumen del informe de reglas de ASR.

Al hacer clic en el vínculo de configuración de reglas de ASR en la parte superior de la tarjeta también se abre la pestaña Configuración de las reglas de reducción de superficie expuesta a ataques.

Opción de protección estándar simplificada

La tarjeta de resumen de configuración proporciona un botón para proteger dispositivos con las tres reglas de protección estándar. Como mínimo, Microsoft recomienda habilitar estas tres reglas de protección estándar de reducción de superficie expuesta a ataques:

Para habilitar las tres reglas de protección estándar:

  1. Seleccione Proteger dispositivos. Se abre la pestaña Configuración principal.
  2. En la pestaña Configuración , las reglas básicas alternan automáticamente de Todas las reglas a Reglas de protección estándar habilitadas.
  3. En la lista Dispositivos , seleccione los dispositivos para los que desea que se apliquen las reglas de protección estándar y, a continuación, seleccione Guardar.

Esta tarjeta tiene otros dos botones de navegación:

  • Ver configuración: abre la pestaña Configuración de las reglas > de reducción de superficie expuesta a ataques.
  • Agregar exclusiones : abre la pestaña Exclusiones principal de las reglas> de reducción de superficie expuesta a ataques .

Al hacer clic en el vínculo de configuración de reglas de ASR en la parte superior de la tarjeta también se abre la pestaña Configuración de las reglas de reducción de superficie expuesta a ataques.

Pestañas principales de las reglas de reducción de superficie expuesta a ataques

Aunque las tarjetas de resumen del informe de reglas de ASR son útiles para obtener un resumen rápido del estado de las reglas de ASR, las pestañas principales proporcionan información más detallada con funcionalidades de filtrado y configuración:

Funciones de búsqueda

Búsqueda funcionalidad se agrega a las pestañas principales Detección, Configuración y Agregar exclusión. Con esta funcionalidad, puede buscar mediante el identificador de dispositivo, el nombre de archivo o el nombre del proceso.

Muestra la característica de búsqueda de informes de reglas ASR.

Filtrado

El filtrado proporciona una manera de especificar qué resultados se devuelven:

  • Date permite especificar un intervalo de fechas para los resultados de los datos.
  • Filters

Nota:

Al filtrar por regla, el número de elementos detectados individualmente que aparecen en la mitad inferior del informe se limita actualmente a 200 reglas. Puede usar Exportar para guardar la lista completa de detecciones en Excel.

Sugerencia

Como el filtro funciona actualmente en esta versión, cada vez que quiera "agrupar por", primero debe desplazarse hacia abajo hasta la última detección de la lista para cargar el conjunto de datos completo. Después de cargar el conjunto de datos completo, puede iniciar el filtrado "ordenar por". Si no se desplaza hacia abajo hasta la última detección que aparece en cada uso o al cambiar las opciones de filtrado (por ejemplo, las reglas de ASR aplicadas a la ejecución del filtro actual), los resultados serán incorrectos para cualquier resultado que tenga más de una página visible de detecciones enumeradas.

Captura de pantalla que muestra la característica de búsqueda de informes de reglas ASR en la pestaña de configuración.

Captura de pantalla que muestra el filtro de detecciones de reglas de reducción de superficie expuesta a ataques en las reglas.

Pestaña de detecciones principales de las reglas de reducción de superficie expuesta a ataques

  • Detecciones de auditoría Muestra cuántas detecciones de amenazas se capturaron mediante reglas establecidas en el modo auditoría .
  • Detecciones bloqueadas Muestra cuántas detecciones de amenazas se bloquearon mediante reglas establecidas en modo de bloque .
  • Gráfico grande y consolidado Muestra las detecciones bloqueadas y auditadas.

Muestra la pestaña de detecciones principales del informe de reglas de ASR, con _Audit detections_ y _Blocked detections_ descritos.

Los gráficos proporcionan datos de detección sobre el intervalo de fechas mostrado, con la capacidad de mantener el puntero sobre una ubicación específica para recopilar información específica de la fecha.

En la sección inferior del informe se enumeran las amenazas detectadas ,por dispositivo, con los campos siguientes:

Nombre del campo Definición
Archivo detectado El archivo determinado para contener una amenaza posible o conocida
Detectado en La fecha en que se detectó la amenaza
¿Bloqueado o auditado? Si la regla de detección para el evento específico estaba en modo de bloque o auditoría
Rule ¿Qué regla detectó la amenaza?
Aplicación de origen La aplicación que realizó la llamada al "archivo detectado" infractor
Dispositivo Nombre del dispositivo en el que se produjo el evento Audit o Block
Grupo de dispositivos Grupo de Active Directory al que pertenece el dispositivo
Usuario La cuenta de equipo responsable de la llamada
Publisher La empresa que publicó el .exe o la aplicación en particular

Para obtener más información sobre los modos de bloque y auditoría de reglas ASR, consulte Modos de regla de reducción de superficie expuesta a ataques.

Control flotante accionable

La página principal "Detección" tiene una lista de todas las detecciones (archivos o procesos) en los últimos 30 días. Seleccione cualquiera de las detecciones para abrir con funcionalidades de exploración en profundidad.

Muestra el control flotante de la pestaña de detecciones principales del informe de reglas de ASR.

La sección Posible exclusión e impacto proporciona el impacto del archivo o proceso seleccionado. Puede:

  • Seleccione Ir a la búsqueda , que abre la página de consulta búsqueda avanzada.
  • Se abre la página Abrir archivo Microsoft Defender para punto de conexión detección
  • El botón Agregar exclusión está vinculado a la página principal agregar exclusión.

En la imagen siguiente se muestra cómo se abre la página de consulta búsqueda avanzada desde el vínculo del control flotante accionable:

Muestra las reglas de reducción de superficie expuesta a ataques que notifican el vínculo de control flotante de la pestaña de detecciones principales que abre búsqueda avanzada

Para obtener más información sobre la búsqueda avanzada, vea Búsqueda proactiva de amenazas con la búsqueda avanzada en Microsoft Defender XDR

Reglas de reducción de superficie expuesta a ataques pestaña configuración principal

La pestaña configuración principal de reglas de ASR proporciona detalles de configuración de reglas ASR de resumen y por dispositivo. Hay tres aspectos principales en la pestaña Configuración:

Reglas básicas Proporciona un método para alternar los resultados entre reglas básicas y todas las reglas. De forma predeterminada, se selecciona Reglas básicas .

Introducción a la configuración del dispositivo Proporciona una instantánea actual de los dispositivos en uno de los siguientes estados:

  • Todos los dispositivos expuestos (dispositivos con requisitos previos que faltan, reglas en modo auditoría, reglas mal configuradas o reglas no configuradas)
  • Dispositivos con reglas no configuradas
  • Dispositivos con reglas en modo de auditoría
  • Dispositivos con reglas en modo de bloque

La sección inferior sin nombre de la pestaña Configuración proporciona una lista del estado actual de los dispositivos (por dispositivo):

  • Dispositivo (nombre)
  • Configuración general (independientemente de si hay reglas activadas o todas desactivadas)
  • Reglas en modo de bloque (número de reglas por dispositivo establecidas para bloquear)
  • Reglas en modo de auditoría (número de reglas en modo de auditoría)
  • Reglas desactivadas (reglas que están desactivadas o no están habilitadas)
  • Id. de dispositivo (GUID del dispositivo)

Estos elementos se muestran en la ilustración siguiente.

Muestra la pestaña de configuración principal del informe de reglas de ASR

Para habilitar las reglas de ASR:

  1. En Dispositivo, seleccione el dispositivo o los dispositivos para los que desea aplicar las reglas de ASR.
  2. En la ventana flotante, compruebe las selecciones y, a continuación, seleccione Agregar a la directiva.

La pestaña Configuración y el control flotante Agregar regla se muestran en la siguiente imagen.

[NOTA] Si tiene dispositivos que requieren que se apliquen reglas ASR diferentes, debe configurarlos individualmente.

Muestra el control flotante de reglas de ASR para agregar reglas de ASR a los dispositivos

Reglas de reducción de superficie expuesta a ataques Pestaña Agregar exclusiones

La pestaña Agregar exclusiones presenta una lista clasificada de detecciones por nombre de archivo y proporciona un método para configurar exclusiones. De forma predeterminada, se muestra la información agregar exclusiones para tres campos:

  • Nombre de archivo Nombre del archivo que desencadenó el evento de reglas de ASR.
  • Detecciones Número total de eventos detectados para el archivo con nombre. Los dispositivos individuales pueden desencadenar varios eventos de reglas de ASR.
  • Dispositivos Número de dispositivos en los que se produjo la detección.

Muestra la pestaña Agregar exclusiones del informe de reglas de ASR

Importante

La exclusión de archivos o carpetas puede reducir considerablemente la protección proporcionada por las reglas de ASR. Los archivos excluidos pueden ejecutarse y no se registrará ningún informe o evento. Si las reglas de ASR detectan archivos que cree que no deben detectarse, primero debe usar el modo de auditoría para probar la regla.

Al seleccionar un archivo, se abre un resumen & impacto esperado y se presentan los siguientes tipos de información:

  • Archivos seleccionados Número de archivos seleccionados para la exclusión
  • (número de) detecciones Indica la reducción esperada en las detecciones después de agregar las exclusiones seleccionadas. La reducción de las detecciones se representa gráficamente para las detecciones y detecciones realesdespués de las exclusiones.
  • (número de) dispositivos afectados Indica la reducción esperada en los dispositivos que notifican las detecciones de las exclusiones seleccionadas.

La página Agregar exclusión tiene dos botones para las acciones que se pueden usar en los archivos detectados (después de la selección). Puede:

  • Agregue la exclusión que abrirá Microsoft Intune página de directiva de ASR. Para obtener más información, vea: Intune en "Habilitar métodos de configuración alternativos de reglas ASR".
  • Obtener rutas de exclusión que descargarán rutas de acceso de archivo en formato csv

Muestra el resumen de impacto del control flotante de la pestaña Agregar exclusiones del informe de reglas de ASR

Consulte también

Sugerencia

¿Desea obtener más información? Engage con la comunidad de seguridad de Microsoft en nuestra comunidad tecnológica: Microsoft Defender para punto de conexión Tech Community.