Auditar el cifrado de dispositivos con Microsoft Defender
Un dispositivo puede aparecer en buen estado en una consola, pero todavía necesita revisión de seguridad cuando cambia su posición de cifrado, su telemetría se queda obsoleta o su configuración ya no coincide con la línea base. Microsoft Defender ayuda a auditar esa postura mediante la combinación de datos de inventario de dispositivos, evaluaciones de configuración seguras y consultas de búsqueda avanzadas.
En esta unidad, examinará qué telemetría de Defender admite la auditoría de cifrado, cómo consultar evaluaciones relacionadas con el cifrado y cómo detectar anomalías que requieren investigación. Este enfoque complementa el informe de cifrado de Intune de la unidad anterior al proporcionar a los equipos de operaciones de seguridad una vista centrada en la búsqueda del riesgo de cifrado.
| Pregunta de auditoría | Telemetría de Defender que se va a usar | Lo que aprendes |
|---|---|---|
| ¿Qué dispositivos notifican datos de configuración relacionados con el cifrado? | Protección de los datos de evaluación de configuración | Si Administración de vulnerabilidades de Defender evalúa un control relacionado con el cifrado para el dispositivo. |
| ¿Qué dispositivos producen un error en un control relacionado con el cifrado? | Estado de cumplimiento en evaluaciones de configuración seguras | Si un dispositivo es aplicable pero no compatible con la configuración de seguridad esperada. |
| ¿Qué dispositivos necesitan revisión de prioridad? | Inventario de dispositivos y contexto de dispositivo | Si el dispositivo está activo, crítico, expuesto o parte de un grupo de dispositivos específico. |
| ¿Qué resultados parecen inusuales? | Patrones de consulta de búsqueda avanzada | Si el estado de cifrado, la aplicabilidad o la actualización de informes difieren de la línea base esperada. |
Asignación de telemetría de Defender al objetivo de auditoría
Una auditoría confiable comienza con el conocimiento de lo que contribuye cada origen de telemetría. La telemetría de seguridad del punto de conexión de Microsoft Defender no reemplaza la directiva de BitLocker ni Intune informe de cifrado. En su lugar, proporciona datos de operaciones de seguridad que le ayudan a validar si la posición del punto de conexión se alinea con la línea base esperada.
- La búsqueda avanzada es una experiencia de investigación basada en consultas en el portal de Microsoft Defender. Use Lenguaje de consulta Kusto, también denominada KQL, para buscar datos de dispositivo, alerta y evaluación.
- Administración de vulnerabilidades de Defender proporciona evaluaciones de configuración seguras, que indican si una configuración de dispositivo específica se aplica a un dispositivo y si el dispositivo informa como conforme.
| Origen de datos | Rol en la auditoría de cifrado | Campos clave que se van a revisar |
|---|---|---|
DeviceTvmSecureConfigurationAssessment |
Proporciona resultados de evaluación por dispositivo para configuraciones seguras. |
DeviceId, DeviceName, ConfigurationId, IsApplicable, IsCompliant, Timestamp, Context |
DeviceTvmSecureConfigurationAssessmentKB |
Agrega nombres de configuración legibles, descripciones, detalles de riesgo e instrucciones de corrección. |
ConfigurationId, ConfigurationName, ConfigurationDescription, RiskDescription, RemediationOptions |
DeviceTvmInfoGathering |
Agrega el contexto de inventario de dispositivos para la evaluación de prioridades y el ámbito. |
DeviceId, DeviceName, OSPlatform, Timestamp, LastSeenTime, AdditionalFields |
| Datos de evaluación de configuración segura exportados | Admite auditorías más grandes e informes sin conexión. | Instantánea de configuración actual por dispositivo, incluida la aplicabilidad y el estado de cumplimiento. |
Use la tabla de evaluación y knowledge base tabla juntos. En la tabla de evaluación se indica lo que informa cada dispositivo. En la tabla knowledge base se indica lo que significa la evaluación.
Búsqueda de evaluaciones relacionadas con el cifrado antes de auditar dispositivos
Una buena auditoría evita los identificadores de configuración de codificación rígida antes de validarlos en el inquilino. Los nombres de configuración seguros y la disponibilidad pueden diferir según las actualizaciones de plataforma, licencias y servicios. Empiece por detectar las configuraciones relacionadas con el cifrado que Defender expone actualmente.
Ejecute una consulta de detección en Búsqueda avanzada. La consulta busca en la configuración segura knowledge base nombres o descripciones que mencionan BitLocker o cifrado.
DeviceTvmSecureConfigurationAssessmentKB
| where ConfigurationName has_any ("BitLocker", "Encryption", "Encrypt")
or ConfigurationDescription has_any ("BitLocker", "Encryption", "Encrypt")
or RiskDescription has_any ("BitLocker", "Encryption", "Encrypt")
| project ConfigurationId,
ConfigurationName,
ConfigurationCategory,
ConfigurationSubcategory,
ConfigurationImpact,
ConfigurationDescription,
RiskDescription,
RemediationOptions
| order by ConfigurationImpact desc, ConfigurationName asc
| Paso de consulta | Objetivo | Valor de auditoría |
|---|---|---|
| Nombres y descripciones de búsqueda | Busca configuraciones seguras relacionadas con el cifrado sin asumir un identificador fijo. | Mantiene la resistencia de la auditoría cuando cambian los nombres de configuración. |
| Detalles de configuración del proyecto | Muestra el nombre de evaluación legible, las instrucciones de riesgo y corrección. | Ayuda a decidir qué evaluación pertenece a la auditoría de cifrado. |
| Orden por impacto | Places primero los resultados de configuración de mayor impacto. | Admite la priorización basada en riesgos. |
Después de identificar las filas de configuración pertinentes, use sus ConfigurationId valores para inspeccionar los resultados de nivel de dispositivo. Este patrón de dos pasos reduce las suposiciones falsas y facilita la explicación de la auditoría a otro administrador.
Auditoría de la posición de cifrado con búsqueda avanzada
Una auditoría de posición responde a tres preguntas prácticas: ¿Se aplica la evaluación al dispositivo? ¿El dispositivo notifica como compatible? ¿El resultado es lo suficientemente reciente como para confiar? La consulta siguiente combina los resultados de la evaluación con detalles de knowledge base y el registro de inventario de dispositivos más reciente.
let EncryptionConfigurations =
DeviceTvmSecureConfigurationAssessmentKB
| where ConfigurationName has_any ("BitLocker", "Encryption", "Encrypt")
or ConfigurationDescription has_any ("BitLocker", "Encryption", "Encrypt")
or RiskDescription has_any ("BitLocker", "Encryption", "Encrypt")
| project ConfigurationId,
ConfigurationName,
ConfigurationCategory,
ConfigurationSubcategory,
ConfigurationImpact,
RiskDescription,
RemediationOptions;
let LatestDeviceInfo =
DeviceTvmInfoGathering
| summarize arg_max(Timestamp, *) by DeviceId
| project DeviceId,
InventoryDeviceName = DeviceName,
OSPlatform;
DeviceTvmSecureConfigurationAssessment
| where IsApplicable == true
| join kind=inner EncryptionConfigurations on ConfigurationId
| join kind=leftouter LatestDeviceInfo on DeviceId
| project AssessmentTime = Timestamp,
DeviceName,
InventoryDeviceName,
OSPlatform,
ConfigurationName,
IsCompliant,
IsApplicable,
ConfigurationImpact,
RiskDescription,
RemediationOptions,
Context
| order by IsCompliant asc, ConfigurationImpact desc, AssessmentTime desc
| Patrón de resultado | Significado | Cómo responde |
|---|---|---|
IsApplicable es true y IsCompliant es false |
El dispositivo está en el ámbito de la evaluación, pero produce un error en la configuración segura esperada. | Compare la búsqueda con el informe de cifrado de Intune e inspeccione los detalles del dispositivo. |
IsApplicable es true y IsCompliant es true |
El dispositivo pasa la evaluación relacionada con el cifrado. | Use el resultado como prueba de auditoría compatible. |
| Faltan campos de inventario de dispositivos | Defender tiene datos de evaluación, pero un contexto de inventario actual limitado. | Confirme el estado de incorporación, el estado del sensor y la identidad del dispositivo. |
Context contiene detalles adicionales |
Defender proporciona información adicional específica de la evaluación. | Use el contexto para refinar el siguiente paso de consulta o investigación. |
Use la salida de la consulta como una cola de auditoría en lugar de una decisión final por sí misma. La telemetría de Defender proporciona una vista de evaluación de seguridad. Intune sigue siendo el mejor lugar para validar la asignación de directivas, la preparación del cifrado, la custodia de la clave de recuperación y el estado de la directiva de cumplimiento.
Detectar anomalías que necesitan investigación
Una anomalía es un resultado que no se ajusta a la línea base de cifrado esperada. En este escenario, buscará dispositivos que no cumplan las evaluaciones relacionadas con el cifrado, dispositivos con marcas de tiempo de evaluación obsoletas y dispositivos en los que varios controles relacionados con el cifrado no se alineen.
La consulta siguiente crea una vista de anomalía compacta. Agrupa los resultados de la evaluación relacionada con el cifrado por dispositivo y resalta los dispositivos que producen un error al menos en un control aplicable o tienen datos de evaluación antiguos.
let FreshnessThreshold = 7d;
let EncryptionConfigurations =
DeviceTvmSecureConfigurationAssessmentKB
| where ConfigurationName has_any ("BitLocker", "Encryption", "Encrypt")
or ConfigurationDescription has_any ("BitLocker", "Encryption", "Encrypt")
or RiskDescription has_any ("BitLocker", "Encryption", "Encrypt")
| project ConfigurationId, ConfigurationName, ConfigurationImpact;
DeviceTvmSecureConfigurationAssessment
| where IsApplicable == true
| join kind=inner EncryptionConfigurations on ConfigurationId
| summarize LatestAssessment = max(Timestamp),
ApplicableControls = dcount(ConfigurationId),
FailedControls = countif(IsCompliant == false),
FailedControlNames = make_set_if(ConfigurationName, IsCompliant == false),
HighestImpact = max(ConfigurationImpact)
by DeviceId, DeviceName, OSPlatform
| extend AssessmentAge = now() - LatestAssessment
| where FailedControls > 0 or AssessmentAge > FreshnessThreshold
| order by FailedControls desc, HighestImpact desc, AssessmentAge desc
| Posible anomalía | ¿Por qué es importante? | Investigación |
|---|---|---|
| Uno o varios controles con errores | El dispositivo no coincide con la configuración segura esperada. | Revise Intune estado de la directiva, el estado de BitLocker y los detalles del dispositivo Defender. |
| Marca de tiempo de evaluación obsoleta | El dispositivo no proporciona pruebas recientes. | Compruebe el estado del sensor, el estado de incorporación, la conectividad de red y la hora que se ha visto por última vez. |
| Control con errores de alto impacto | El hallazgo tiene una mayor influencia en la posición de seguridad. | Priorice el dispositivo antes de los resultados de menor impacto. |
| Errores repetidos en un grupo de dispositivos | El problema puede deberse a condiciones de implementación, hardware o directiva compartidas. | Agrupar por versión del sistema operativo o modelo de dispositivo si está disponible. |
Si necesita pruebas periódicas fuera de la retención de búsqueda avanzada, exporte datos de evaluación de configuración segura y almacene instantáneas en la plataforma de informes. Los datos de evaluación exportados representan el estado actual en el momento de la exportación, por lo que las tendencias históricas de auditoría dependen de guardar cada instantánea.
Convertir los resultados de auditoría en un flujo de trabajo de investigación
Una auditoría de cifrado útil genera una acción, no solo una lista. Comience con evaluaciones con errores de alto impacto y, a continuación, correlacione el resultado de Defender con el informe de cifrado de Intune, el estado de cumplimiento y los detalles del dispositivo. Esta secuencia le ayuda a separar las brechas de cifrado verdaderas de los retrasos de informes o la telemetría obsoleta.
| Paso | Acción | Resultado |
|---|---|---|
| 1 | Detecte configuraciones seguras relacionadas con el cifrado en el knowledge base. | Sabe qué evaluaciones de Defender pertenecen a la auditoría. |
| 2 | Consultar los resultados de la evaluación de dispositivos aplicables. | Identifica los dispositivos que pasan o no los controles relacionados con el cifrado. |
| 3 | Agregar contexto de inventario de dispositivos. | Prioriza por sistema operativo, tipo de combinación o importancia empresarial. |
| 4 | Detectar resultados erróneos o obsoletos. | La investigación se centra en los dispositivos que presentan riesgo de auditoría. |
| 5 | Correlación con Intune. | Confirma la directiva, la preparación del cifrado, el estado de cifrado y el impacto en el cumplimiento. |
Este flujo de trabajo proporciona una manera repetible de auditar la posición de cifrado desde el lado de las operaciones de seguridad.