Descripción y uso de funcionalidades de reducción de superficie expuesta a ataques

Se aplica a:

Plataformas

  • Windows

Sugerencia

¿Quiere experimentar Microsoft Defender para punto de conexión? Regístrese para obtener una prueba gratuita.

Las superficies expuestas a ataques son todos los lugares donde su organización es vulnerable a ciberamenazas y ataques. Defender for Endpoint incluye varias funcionalidades para ayudar a reducir las superficies expuestas a ataques. Vea el siguiente vídeo para obtener más información sobre la reducción de la superficie expuesta a ataques.

Configurar capacidades de reducción de superficie de ataques

Para configurar la reducción de la superficie expuesta a ataques en el entorno, siga estos pasos:

  1. Habilite el aislamiento basado en hardware para Microsoft Edge.

  2. Habilite las reglas de reducción de superficie expuesta a ataques.

  3. Habilitar el control de aplicación.

    1. Revise las directivas base en Windows. Consulte Directivas base de ejemplo.

    2. Consulte la guía de diseño de Windows Defender Application Control.

    3. Consulte Implementación Windows Defender directivas de Control de aplicaciones (WDAC).

  4. Habilitar el acceso controlado a carpetas.

  5. Habilite la protección de almacenamiento extraíble.

  6. Active la protección de red.

  7. Habilite la protección web.

  8. Habilite la protección contra vulnerabilidades de seguridad.

  9. Configure el firewall de red.

    1. Obtenga información general sobre Firewall de Windows con seguridad avanzada.

    2. Usa la guía de diseño de Firewall de Windows para decidir cómo quieres diseñar las directivas de firewall.

    3. Use la guía de implementación de Firewall de Windows para configurar el firewall de su organización con seguridad avanzada.

Sugerencia

En la mayoría de los casos, al configurar funcionalidades de reducción de superficie expuesta a ataques, puede elegir entre varios métodos:

  • Microsoft Intune
  • Microsoft Configuration Manager
  • Directiva de grupo
  • Cmdlets de PowerShell

Reducción de la superficie expuesta a ataques de prueba en Microsoft Defender para punto de conexión

Como parte del equipo de seguridad de la organización, puede configurar las funcionalidades de reducción de la superficie expuesta a ataques para que se ejecuten en modo de auditoría para ver cómo funcionan. Puede habilitar las siguientes características de seguridad de reducción de superficie expuesta a ataques en modo de auditoría:

  • Reglas de reducción de la superficie expuesta a ataques
  • Protección contra vulnerabilidades de seguridad
  • Protección de red
  • Acceso controlado a carpetas
  • Control de dispositivos

El modo auditoría le permite ver un registro de lo que habría ocurrido si la característica estuviera habilitada.

Puede habilitar el modo de auditoría al probar cómo funcionan las características. Habilitar el modo de auditoría solo para pruebas ayuda a evitar que el modo de auditoría afecte a las aplicaciones de línea de negocio. También puede hacerse una idea de cuántos intentos de modificación de archivos sospechosos se producen durante un período de tiempo determinado.

Las características no bloquean ni impiden que se modifiquen aplicaciones, scripts o archivos. Sin embargo, el registro de eventos de Windows registra eventos como si las características estuvieran totalmente habilitadas. Con el modo de auditoría, puede revisar el registro de eventos para ver qué efecto habría tenido la característica si estuviera habilitada.

Para buscar las entradas auditadas, vaya a Aplicaciones y servicios>Microsoft>Windows>Windows Defender>Operational.

Use Defender para punto de conexión para obtener más detalles para cada evento. Estos detalles son especialmente útiles para investigar las reglas de reducción de superficie expuesta a ataques. El uso de la consola de Defender para punto de conexión le permite investigar problemas como parte de la escala de tiempo de alertas y los escenarios de investigación.

Puede habilitar el modo de auditoría mediante directiva de grupo, PowerShell y proveedores de servicios de configuración (CSP).

Opciones de auditoría Habilitación del modo de auditoría Visualización de eventos
La auditoría se aplica a todos los eventos Habilitar el acceso controlado a carpetas Eventos de acceso controlado a carpetas
La auditoría se aplica a reglas individuales Paso 1: Probar las reglas de reducción de superficie expuesta a ataques mediante el modo auditoría Paso 2: Descripción de la página de informes de reglas de reducción de superficie expuesta a ataques
La auditoría se aplica a todos los eventos Habilitación de la protección de red Eventos de protección de red
La auditoría se aplica a mitigaciones individuales Habilitar la protección contra vulnerabilidades de seguridad Eventos de protección contra vulnerabilidades

Por ejemplo, puede probar las reglas de reducción de superficie expuesta a ataques en modo de auditoría antes de habilitarlas en modo de bloque. Las reglas de reducción de superficie expuesta a ataques están predefinidas para proteger las superficies de ataque comunes y conocidas. Hay varios métodos que puede usar para implementar reglas de reducción de superficie expuesta a ataques. El método preferido se documenta en los siguientes artículos de implementación de reglas de reducción de superficie expuesta a ataques:

Ver eventos de la reducción de la superficie expuesta a ataques

Revise los eventos de reducción de la superficie expuesta a ataques en Visor de eventos para supervisar qué reglas o configuraciones funcionan. También puede determinar si alguna configuración es demasiado "ruidosa" o afecta al flujo de trabajo diario.

La revisión de eventos es útil cuando se evalúan las características. Puede habilitar el modo de auditoría para las características o la configuración y, a continuación, revisar lo que habría ocurrido si estuvieran totalmente habilitadas.

En esta sección se enumeran todos los eventos, su característica o configuración asociada, y se describe cómo crear vistas personalizadas para filtrar a eventos específicos.

Obtenga informes detallados sobre eventos, bloques y advertencias como parte de Seguridad de Windows si tiene una suscripción A5 y usa Microsoft Defender para punto de conexión.

Uso de vistas personalizadas para revisar las funcionalidades de reducción de superficie expuesta a ataques

Create vistas personalizadas en la Visor de eventos de Windows para ver solo los eventos de funcionalidades y configuraciones específicas. La manera más fácil es importar una vista personalizada como un archivo XML. Puede copiar el XML directamente desde esta página.

También puede navegar manualmente al área de eventos que corresponde a la característica.

Importación de una vista personalizada XML existente

  1. Create un archivo .txt vacío y copie el XML de la vista personalizada que desea usar en el archivo .txt. Haga esto para cada una de las vistas personalizadas que desea usar. Cambie el nombre de los archivos como se indica a continuación (asegúrese de cambiar el tipo de .txt a .xml):

    • Vista personalizada de eventos de acceso controlado a carpetas: cfa-events.xml
    • Vista personalizada de eventos de protección contra vulnerabilidades de seguridad: ep-events.xml
    • Vista personalizada de eventos de reducción de superficie expuesta a ataques: asr-events.xml
    • Vista personalizada de eventos de red y protección: np-events.xml
  2. Escriba visor de eventos en el menú Inicio y abra Visor de eventos.

  3. Seleccione Importar acción>vista personalizada...

    Resaltado de animación Importar vista personalizada a la izquierda de la ventana Visor par.

  4. Vaya al lugar donde extrajo el archivo XML para la vista personalizada que desee y selecciónelo.

  5. Seleccione Abrir.

  6. Crea una vista personalizada que filtra para mostrar solo los eventos relacionados con esa característica.

Copiar el XML directamente

  1. Escriba el visor de eventos en el menú Inicio y abra el Visor de eventos de Windows.

  2. En el panel izquierdo, en Acciones, seleccione Create Vista personalizada...

    Animación que resalta la opción crear vista personalizada en la ventana Visor de eventos.

  3. Vaya a la pestaña XML y seleccione Editar consulta manualmente. Verá una advertencia que indica que no puede editar la consulta mediante la pestaña Filtro si usa la opción XML. Haga clic en .

  4. Pegue el código XML de la característica desde la que desea filtrar los eventos en la sección XML.

  5. Seleccione Aceptar. Especifique un nombre para el filtro. Esta acción crea una vista personalizada que filtra para mostrar solo los eventos relacionados con esa característica.

XML para eventos de regla de reducción de superficie expuesta a ataques

<QueryList>
  <Query Id="0" Path="Microsoft-Windows-Windows Defender/Operational">
   <Select Path="Microsoft-Windows-Windows Defender/Operational">*[System[(EventID=1121 or EventID=1122 or EventID=5007)]]</Select>
   <Select Path="Microsoft-Windows-Windows Defender/WHC">*[System[(EventID=1121 or EventID=1122 or EventID=5007)]]</Select>
  </Query>
</QueryList>

XML para eventos de acceso controlado a carpetas

<QueryList>
  <Query Id="0" Path="Microsoft-Windows-Windows Defender/Operational">
   <Select Path="Microsoft-Windows-Windows Defender/Operational">*[System[(EventID=1123 or EventID=1124 or EventID=5007)]]</Select>
   <Select Path="Microsoft-Windows-Windows Defender/WHC">*[System[(EventID=1123 or EventID=1124 or EventID=5007)]]</Select>
  </Query>
</QueryList>

XML para eventos de protección contra vulnerabilidades de seguridad

<QueryList>
  <Query Id="0" Path="Microsoft-Windows-Security-Mitigations/KernelMode">
   <Select Path="Microsoft-Windows-Security-Mitigations/KernelMode">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID &gt;= 1 and EventID &lt;= 24)  or EventID=5 or EventID=260)]]</Select>
   <Select Path="Microsoft-Windows-Win32k/Concurrency">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID &gt;= 1 and EventID &lt;= 24)  or EventID=5 or EventID=260)]]</Select>
   <Select Path="Microsoft-Windows-Win32k/Contention">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID &gt;= 1 and EventID &lt;= 24)  or EventID=5 or EventID=260)]]</Select>
   <Select Path="Microsoft-Windows-Win32k/Messages">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID &gt;= 1 and EventID &lt;= 24)  or EventID=5 or EventID=260)]]</Select>
   <Select Path="Microsoft-Windows-Win32k/Operational">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID &gt;= 1 and EventID &lt;= 24)  or EventID=5 or EventID=260)]]</Select>
   <Select Path="Microsoft-Windows-Win32k/Power">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID &gt;= 1 and EventID &lt;= 24)  or EventID=5 or EventID=260)]]</Select>
   <Select Path="Microsoft-Windows-Win32k/Render">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID &gt;= 1 and EventID &lt;= 24)  or EventID=5 or EventID=260)]]</Select>
   <Select Path="Microsoft-Windows-Win32k/Tracing">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID &gt;= 1 and EventID &lt;= 24)  or EventID=5 or EventID=260)]]</Select>
   <Select Path="Microsoft-Windows-Win32k/UIPI">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID &gt;= 1 and EventID &lt;= 24)  or EventID=5 or EventID=260)]]</Select>
   <Select Path="System">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID &gt;= 1 and EventID &lt;= 24)  or EventID=5 or EventID=260)]]</Select>
   <Select Path="Microsoft-Windows-Security-Mitigations/UserMode">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID &gt;= 1 and EventID &lt;= 24)  or EventID=5 or EventID=260)]]</Select>
  </Query>
</QueryList>

XML para eventos de protección de red

<QueryList>
 <Query Id="0" Path="Microsoft-Windows-Windows Defender/Operational">
  <Select Path="Microsoft-Windows-Windows Defender/Operational">*[System[(EventID=1125 or EventID=1126 or EventID=5007)]]</Select>
  <Select Path="Microsoft-Windows-Windows Defender/WHC">*[System[(EventID=1125 or EventID=1126 or EventID=5007)]]</Select>
 </Query>
</QueryList>

Lista de eventos de reducción de superficie expuesta a ataques

Todos los eventos de reducción de superficie expuesta a ataques se encuentran en Registros de aplicaciones y servicios > de Microsoft > Windows y, a continuación, la carpeta o el proveedor, como se muestra en la tabla siguiente.

Puede acceder a estos eventos en el Visor de eventos de Windows:

  1. Abra el menú Inicio y escriba visor de eventos y, a continuación, seleccione el resultado Visor de eventos.

  2. Expanda Registros de aplicaciones y servicios > de Microsoft > Windows y, a continuación, vaya a la carpeta que aparece en Proveedor/origen en la tabla siguiente.

  3. Haga doble clic en el subelemento para ver los eventos. Desplácese por los eventos para encontrar el que está buscando.

    Animación que muestra el uso de Visor de eventos.

Característica Proveedor u origen Id. de evento Descripción
Protección contra vulnerabilidades de seguridad Mitigaciones de seguridad (modo kernel/modo de usuario) 1 Auditoría de ACG
Protección contra vulnerabilidades de seguridad Mitigaciones de seguridad (modo kernel/modo de usuario) 2 Aplicación de ACG
Protección contra vulnerabilidades de seguridad Mitigaciones de seguridad (modo kernel/modo de usuario) 3 No permitir auditoría de procesos secundarios
Protección contra vulnerabilidades de seguridad Mitigaciones de seguridad (modo kernel/modo de usuario) 4 No permitir bloqueo de procesos secundarios
Protección contra vulnerabilidades de seguridad Mitigaciones de seguridad (modo kernel/modo de usuario) 5 Bloquear auditoría de imágenes de integridad baja
Protección contra vulnerabilidades de seguridad Mitigaciones de seguridad (modo kernel/modo de usuario) 6 Bloquear bloqueo de imágenes de integridad baja
Protección contra vulnerabilidades de seguridad Mitigaciones de seguridad (modo kernel/modo de usuario) 7 Bloquear auditoría de imágenes remota
Protección contra vulnerabilidades de seguridad Mitigaciones de seguridad (modo kernel/modo de usuario) 8 Bloquear bloqueo de imágenes remoto
Protección contra vulnerabilidades de seguridad Mitigaciones de seguridad (modo kernel/modo de usuario) 9 Deshabilitar auditoría de llamadas del sistema de Win32k
Protección contra vulnerabilidades de seguridad Mitigaciones de seguridad (modo kernel/modo de usuario) 10 Deshabilitar bloqueo de llamadas del sistema de Win32k
Protección contra vulnerabilidades de seguridad Mitigaciones de seguridad (modo kernel/modo de usuario) 11 Auditoría de protección de integridad de código
Protección contra vulnerabilidades de seguridad Mitigaciones de seguridad (modo kernel/modo de usuario) 12 Bloque de protección de integridad de código
Protección contra vulnerabilidades de seguridad Mitigaciones de seguridad (modo kernel/modo de usuario) 13 Auditoría de EAF
Protección contra vulnerabilidades de seguridad Mitigaciones de seguridad (modo kernel/modo de usuario) 14 Aplicación de EAF
Protección contra vulnerabilidades de seguridad Mitigaciones de seguridad (modo kernel/modo de usuario) 15 Auditoría de EAF+
Protección contra vulnerabilidades de seguridad Mitigaciones de seguridad (modo kernel/modo de usuario) 16 Aplicación de EAF+
Protección contra vulnerabilidades de seguridad Mitigaciones de seguridad (modo kernel/modo de usuario) 17 Auditoría de IAF
Protección contra vulnerabilidades de seguridad Mitigaciones de seguridad (modo kernel/modo de usuario) 18 Aplicación de IAF
Protección contra vulnerabilidades de seguridad Mitigaciones de seguridad (modo kernel/modo de usuario) 19 Auditoría ROP StackPivot
Protección contra vulnerabilidades de seguridad Mitigaciones de seguridad (modo kernel/modo de usuario) 20 Aplicación de ROP StackPivot
Protección contra vulnerabilidades de seguridad Mitigaciones de seguridad (modo kernel/modo de usuario) 21 Auditoría ROP CallerCheck
Protección contra vulnerabilidades de seguridad Mitigaciones de seguridad (modo kernel/modo de usuario) 22 Aplicación de ROP CallerCheck
Protección contra vulnerabilidades de seguridad Mitigaciones de seguridad (modo kernel/modo de usuario) 23 Auditoría de ROP SimExec
Protección contra vulnerabilidades de seguridad Mitigaciones de seguridad (modo kernel/modo de usuario) 24 Aplicación de ROP SimExec
Protección contra vulnerabilidades de seguridad Diagnósticos WER 5 Bloque CFG
Protección contra vulnerabilidades de seguridad Win32K (operativo) 260 Fuente que no es de confianza
Protección de red Windows Defender (operativo) 5007 Evento cuando se cambia la configuración
Protección de red Windows Defender (operativo) 1125 Evento cuando se activa la protección de red en modo de auditoría
Protección de red Windows Defender (operativo) 1126 Evento cuando se activa la protección de red en modo de bloque
Acceso controlado a carpetas Windows Defender (operativo) 5007 Evento cuando se cambia la configuración
Acceso controlado a carpetas Windows Defender (operativo) 1124 Evento de acceso a carpetas controladas auditadas
Acceso controlado a carpetas Windows Defender (operativo) 1123 Evento de acceso a carpetas controladas bloqueadas
Acceso controlado a carpetas Windows Defender (operativo) 1127 Evento de bloque de escritura del sector de acceso controlado bloqueado
Acceso controlado a carpetas Windows Defender (operativo) 1128 Evento de bloque de escritura del sector de acceso controlado auditado a carpetas
Reducción de la superficie expuesta a ataques Windows Defender (operativo) 5007 Evento cuando se cambia la configuración
Reducción de la superficie expuesta a ataques Windows Defender (operativo) 1122 Evento cuando se activa la regla en modo auditoría
Reducción de la superficie expuesta a ataques Windows Defender (operativo) 1121 Evento cuando se activa la regla en modo de bloque

Nota:

Desde la perspectiva del usuario, las notificaciones del modo de advertencia de reducción de superficie expuesta a ataques se realizan como una notificación del sistema de Windows para las reglas de reducción de la superficie expuesta a ataques.

En la reducción de la superficie expuesta a ataques, Protección de red solo proporciona los modos Auditoría y Bloquear.

Recursos para obtener más información sobre la reducción de la superficie expuesta a ataques

Como se mencionó en el vídeo, Defender for Endpoint incluye varias funcionalidades de reducción de superficie expuesta a ataques. Use los siguientes recursos para obtener más información:

Artículo Descripción
Control de la aplicación Use el control de aplicaciones para que las aplicaciones deberán ganar confianza para poder ejecutarse.
Referencia de reglas de reducción de superficie expuesta a ataques Proporciona detalles sobre cada regla de reducción de superficie expuesta a ataques.
Guía de implementación de reglas de reducción de superficie expuesta a ataques Presenta información general y requisitos previos para implementar reglas de reducción de superficie expuesta a ataques, seguida de instrucciones paso a paso para las pruebas (modo auditoría), habilitación (modo de bloque) y supervisión.
Acceso controlado a carpetas Ayuda a evitar que las aplicaciones malintencionadas o sospechosas (incluido el malware ransomware de cifrado de archivos) realicen cambios en los archivos de las carpetas clave del sistema (requiere Microsoft Defender Antivirus).
Control de dispositivos Protege contra la pérdida de datos mediante la supervisión y el control de los medios utilizados en los dispositivos, como el almacenamiento extraíble y las unidades USB, en la organización.
Protección contra vulnerabilidades de seguridad Ayude a proteger los sistemas operativos y las aplicaciones que usa su organización para que no se aprovechen. La protección contra vulnerabilidades también funciona con soluciones antivirus de terceros.
Aislamiento basado en hardware Proteja y mantenga la integridad de un sistema a medida que se inicia y mientras se ejecuta. Valide la integridad del sistema a través de la atestación local y remota. Use el aislamiento de contenedor para Microsoft Edge para ayudar a protegerse frente a sitios web malintencionados.
Protección de red Amplíe la protección al tráfico de red y a la conectividad en los dispositivos de su organización. (Requiere Antivirus de Microsoft Defender).
Reglas de reducción de superficie expuesta a ataques de prueba Proporciona los pasos necesarios para usar el modo de auditoría para probar las reglas de reducción de superficie expuesta a ataques.
Protección web La protección web le permite proteger los dispositivos frente a amenazas web y le ayuda a regular el contenido no deseado.

Sugerencia

¿Desea obtener más información? Engage con la comunidad de seguridad de Microsoft en nuestra comunidad tecnológica: Microsoft Defender para punto de conexión Tech Community.