Informe de reglas de reducción de superficie expuesta a ataques (ASR) en el portal de Microsoft Defender

El informe De reducción de la superficie expuesta a ataques (ASR) proporciona información detallada sobre las reglas aplicadas en los dispositivos de la organización. Por ejemplo:

• Amenazas detectadas.
• Amenazas bloqueadas.
• Dispositivos que no están configurados para usar las reglas de protección estándar para bloquear amenazas.

El informe proporciona una interfaz fácil de usar que le permite completar las siguientes tareas:

• Ver detecciones de amenazas.
• Vea la configuración de las reglas de ASR.
• Agregar y administrar exclusiones.
• Recopile información detallada.

Para obtener más información sobre las reglas de ASR, consulte Introducción a las reglas de reducción de superficie expuesta a ataques (ASR).

Requisitos previos

Sistemas operativos admitidos

• Windows

  Para que aparezca en el informe, Windows Server 2012 dispositivos R2 y Windows Server 2016 deben incorporarse mediante el paquete de solución unificada moderna. Para obtener más información, consulte Nueva funcionalidad en la solución unificada moderna para Windows Server 2012 R2 y 2016.

Permisos de acceso de informes

Para poder realizar los procedimientos de este artículo, deberá tener asignados los permisos necesarios. Tiene las siguientes opciones:

• Microsoft Defender XDR control de acceso basado en rol unificado (RBAC):Operaciones de seguridad \ Datos de seguridad \ Conceptos básicos de datos de seguridad (lectura).

• Permisos de Defender para punto de conexión (disponible en organizaciones creadas antes de febrero de 2025): verlas operaciones de seguridad dedatos>.

• Permisos de Microsoft Entra: pertenencia a los roles de Administrador global^*, Administrador de seguridad, Lector global o Lector de seguridad otorga a los usuarios los permisos necesarios y los permisos para otras características en Microsoft 365.

  Importante

  Microsoft recomienda utilizar roles con la menor cantidad de permisos. Esto ayuda a mejorar la seguridad de la organización. Administrador global es un rol con muchos privilegios que debe limitarse a escenarios de emergencia cuando no se puede usar un rol existente.

Página del informe Reglas de reducción de superficie expuesta a ataques

En el portal de Microsoft Defender en https://security.microsoft.com, vaya a la pestañaPuntos de conexiónde informes> Reglas > de reducción de superficie expuesta a ataques. O bien, para ir directamente a la página de informe Reglas de reducción de superficie expuesta a ataques , use https://security.microsoft.com/asr.

Las pestañas siguientes están disponibles en la página de informe Reglas de reducción de superficie expuesta a ataques :

• Detections
• Configuración
• Agregar exclusiones

Pestaña Detecciones

La pestaña Detecciones es la pestaña predeterminada de la página. Para ir directamente a la pestaña Detecciones del informe Reglas de reducción de superficie expuesta a ataques, use https://security.microsoft.com/asr o .https://security.microsoft.com/asr?viewid=detections

De forma predeterminada, la información de la regla ASR de la página usa los filtros siguientes:

• Reglas: el valor Standard protección está seleccionado de forma predeterminada para mostrar solo los datos de las reglas de protección estándar, pero puede cambiar el valor a Todos para mostrar los datos de todas las reglas de ASR.

• Fecha: el intervalo de fechas de los últimos 30 días está seleccionado de forma predeterminada, pero puede cambiar los valores Hora de inicio y Hora de finalización a un intervalo de los últimos 30 días.

• Seleccionar reglas^*: el valor Any está seleccionado de forma predeterminada, pero puede cambiar el valor en función del valor del filtro Reglas :

  • Standard protección: seleccione una o varias reglas de protección estándar en la lista desplegable.
  • Todo: seleccione una o varias reglas de ASR (incluidas las reglas de protección estándar) en la lista desplegable.

Para usar los siguientes filtros adicionales que no están configurados de forma predeterminada, seleccione Agregar filtro y, a continuación, seleccione entre las opciones disponibles. Una vez que se muestra el filtro en la parte superior de la pestaña, puede configurar las selecciones para él:

• ^* Grupo de dispositivos: seleccione uno o varios grupos de dispositivos disponibles.
• ¿Bloqueado/auditado?: seleccione Auditado o Bloqueado.

^* Al seleccionar todos los valores disponibles o ningún valor para este filtro se muestran los mismos resultados.

Para quitar un filtro, seleccione Borrar. Para restablecer todos los filtros, seleccione Restablecer todo.

Debajo de los filtros y encima del gráfico, se muestra la siguiente información:

• Detecciones de auditoría: el número de detecciones de amenazas por reglas de ASR en modo auditoría mediante los filtros especificados.

• Detecciones bloqueadas: el número de detecciones de amenazas por reglas de ASR en modo de bloque mediante los filtros especificados.

  Para obtener más información sobre el modo auditoría y el modo de bloqueo , vea Modos de regla de ASR.

El gráfico muestra detecciones auditadas y bloqueadas al día en el intervalo de fechas seleccionado. Mantenga el puntero sobre los datos de un día específico para ver los recuentos de auditorías o bloques en función de los filtros actuales.

La tabla de detalles debajo del gráfico contiene la siguiente información:

• Archivo detectado: el archivo determinado para contener una amenaza posible o conocida.
• Se detectó en: la fecha en que se detectó la amenaza.
• Bloqueado o auditado: si la regla de detección para el evento específico estaba en modo de bloque o auditoría .
• Regla: regla que detectó la amenaza.
• Aplicación de origen: la aplicación que realizó la llamada al archivo detectado.
• Dispositivo: nombre del dispositivo donde se produjo el evento Audit o Block .
• Grupo de dispositivos: el grupo de dispositivos al que pertenece el dispositivo.
• Usuario: la cuenta responsable de que la aplicación de origen abra el archivo detectado (por ejemplo, SYSTEM para la cuenta NT AUTHORITY\SYSTEM).
• Publicador: la empresa que publicó la aplicación.

Seleccione un encabezado de columna para ordenar por ese valor.

El cuadro Buscar está disponible para buscar entradas en la tabla de detalles por identificador de dispositivo, nombre de archivo o nombre de proceso.

GroupBy está disponible para agrupar la información de la tabla de detalles con las siguientes opciones:

• Sin agrupación (valor predeterminado)
• Archivo detectado
• Auditoría o bloque
• Rule
• Aplicación de origen
• Dispositivo
• Grupo de dispositivos
• Usuario
• Publicador

Sugerencia

Actualmente, para usar GroupBy, debe desplazarse hasta la última entrada de detección de la lista para cargar el conjunto de datos completo. A continuación, puede usar GroupBy. De lo contrario, los resultados son incorrectos para cualquier resultado que tenga más de una página visible de detecciones enumeradas.

Actualmente, el número de elementos detectados individualmente enumerados en la tabla de detalles está limitado a 200 reglas. Use Exportar para guardar la lista completa de detecciones en un archivo CSV.

Para ver todas las reglas de ASR desencadenadas en El plan 2 de Defender para punto de conexión, use la tabla DeviceEvents en la búsqueda avanzada.

Detalles del archivo detectado

Al seleccionar un evento de detección en la tabla de detalles de la pestaña Detecciones de la página de informe Reglas de reducción de superficie expuesta a ataques haciendo clic en cualquier lugar de la fila que no sea la casilla situada junto al valor Archivo detectado , se abre un control flotante Detalles de información de archivo con la siguiente información:

• Sección Detecciones :

  En esta sección se muestra una versión más pequeña del gráfico en la página principal filtrada por la detección de reglas de ASR para el archivo.

  Las siguientes acciones están disponibles en esta sección:

  • Búsqueda de go: en El plan 2 de Defender para punto de conexión, esta acción abre la página de consulta de búsqueda avanzada con el nombre de archivo detectado especificado en la consulta. Por ejemplo, para el archivo conhost.exe, la consulta tiene este aspecto:

    DeviceEvents
        | where Timestamp >= ago(1d)
        | where FileName == 'conhost.exe'
        | where ActionType startswith 'Asr'
        | extend ParsedFields=parse_json(AdditionalFields)
        | distinct ActionType, Audit=tostring(ParsedFields.IsAudit), InitiatingProcessParentFileName, InitiatingProcessFolderPath, InitiatingProcessFileName, InitiatingProcessCommandLine, FolderPath, FileName, ProcessCommandLine, ASRRuleId=tostring(ParsedFields.RuleId)
        | take 1000
    

    Para obtener más información sobre la búsqueda avanzada, vea Búsqueda proactiva de amenazas con la búsqueda avanzada en Microsoft Defender XDR.

  • Abra la página del archivo: abre el archivo en la página de entidad de archivo del archivo detectado en Defender para punto de conexión.

• Sección posible de exclusión e impacto : muestra detalles sobre las detecciones del archivo por reglas de ASR en los últimos 30 días (el número total de detecciones y el porcentaje).

• Agregar exclusiones en la parte inferior del control flotante abre el centro de administración de Microsoft Intune. Para obtener más información sobre la configuración de exclusiones para las reglas de ASR, vea Configurar las exclusiones y reglas de reducción de la superficie expuesta a ataques (ASR).

Pestaña Configuración

Para ir directamente a la pestaña Configuración de la página de informe Reglas de reducción de superficie expuesta a ataques , use https://security.microsoft.com/asr?viewid=configuration.

La pestaña Configuración proporciona detalles de configuración de reglas ASR de resumen y por dispositivo.

Reglas permite filtrar los resultados en la sección Información general de configuración del dispositivo . De forma predeterminada, Standard protección está seleccionada para mostrar solo los datos de las reglas de protección estándar, pero puede cambiar a Todo para mostrar los datos de todas las reglas de ASR.

En la sección Información general sobre la configuración del dispositivo se muestran los totales de los estados de regla de ASR en función de la protección de Standard o del filtro Todo:

• Todos los dispositivos expuestos: el número de dispositivos con reglas ASR no configuradas.
• Número de dispositivos con reglas no configuradas
• Número de dispositivos con reglas en modo de auditoría
• Número de dispositivos con reglas en modo de bloque

En la tabla de detalles se muestra la siguiente información para cada dispositivo afectado:

• Dispositivo: nombre del dispositivo.

• Configuración general: resume la condición de todas las reglas de ASR en el dispositivo. Por ejemplo:

  • Reglas en modo de bloque: algunas reglas del dispositivo están en modo de bloque .
  • Reglas desactivadas: algunas reglas del dispositivo están desactivadas.

• Reglas en modo de bloque

• Reglas en modo de auditoría

• Reglas en modo de advertencia

  Para obtener más información sobre los diferentes modos de regla de ASR, vea Modos de regla de ASR.

• Reglas desactivadas

• Reglas no aplicables: por ejemplo, la regla Bloquear creación de WebShell para servidores en estaciones de trabajo cliente.

• Desconocido

• Id. de dispositivo: identificador único del valor hash SHA-1 para el dispositivo en Microsoft Defender para punto de conexión. Para obtener más información, consulte Tipo de recurso de máquina.

Seleccione un encabezado de columna para ordenar por ese valor.

Use el cuadro Buscar para buscar un dispositivo específico en la tabla de detalles por valor de Id. de dispositivo o dispositivo. Se admiten coincidencias parciales.

Detalles del dispositivo

Al seleccionar una entrada de dispositivo en la tabla de detalles de la pestaña Configuración de la página de informe Reglas de reducción de superficie expuesta a ataques haciendo clic en cualquier lugar de la fila, se abre un control flotante de detalles del dispositivo con la siguiente información:

• Una lista de todas las reglas de ASR disponibles y sus estados en el dispositivo:

• Desactivado

• Auditoría

• Bloquear

• Advertir

• No aplicable

• Agregar a la directiva en la parte inferior del control flotante abre el centro de administración de Microsoft Intune. Para obtener más información sobre las distintas formas de configurar las reglas de ASR, consulte Métodos de implementación y configuración para las reglas de ASR.

Pestaña Agregar exclusiones

Importante

La exclusión de archivos o carpetas puede reducir considerablemente la protección proporcionada por las reglas de ASR. Los archivos excluidos pueden ejecutarse y no se registra ningún informe o evento.

Si las reglas de ASR detectan archivos que cree que no deben detectarse, debe cambiar la regla al modo auditoría para su investigación.

Para ir directamente a la pestaña Agregar exclusiones de la página de informe Reglas de reducción de superficie expuesta a ataques , use https://security.microsoft.com/asr?viewid=exclusions.

En la pestaña Agregar exclusiones se enumeran las detecciones de archivos por reglas de ASR en todos los dispositivos.

Filtro > Reglas o filtro le permite filtrar los resultados de la página. De forma predeterminada, Standard protección está seleccionada para mostrar solo los datos de las reglas de protección estándar, pero puede cambiar a Todo para mostrar los datos de todas las reglas de ASR.

En la tabla de detalles se muestra la siguiente información:

• Nombre de archivo: nombre del archivo que desencadenó el evento de regla ASR.
• Detecciones: el número total de eventos detectados para el archivo. Los dispositivos individuales pueden desencadenar varios eventos de regla de ASR.
• Dispositivos: el número de dispositivos en los que se produjo la detección.

Seleccione un encabezado de columna para ordenar por ese valor.

Use el cuadro Buscar para buscar entradas por nombre de archivo.

Resumen & panel de impacto esperado

Al seleccionar una o varias entradas de archivo en la tabla de detalles de la pestaña Agregar exclusiones del informe Reglas de reducción de superficie expuesta a ataques activando las casillas situadas junto a la columna Nombre de archivo, el panel Resumen & impacto esperado se rellena con información y acciones para los archivos seleccionados:

• Sección resumen : número de archivos seleccionados.

• <sección n> detecciones : ¿Qué ocurrirá con las detecciones de reglas de ASR para los archivos seleccionados si los excluye de las reglas de ASR?

  • Cuántas detecciones de reglas se excluirán (<n> detecciones menos después de exclusiones)
  • Gráfico que muestra el número de detecciones y detecciones realesdespués de las exclusiones.

• <sección n> dispositivos afectados: ¿Qué ocurrirá con las detecciones de reglas de ASR en los dispositivos si excluye los archivos seleccionados de las reglas de ASR?

  • <n> dispositivos afectados: cuántos dispositivos se verán afectados (<n> dispositivos menos después de exclusiones)
  • Gráfico que muestra el número de dispositivos que siguen teniendo detecciones y que ya no tienen detecciones.

• Las siguientes acciones están disponibles en la parte inferior del panel Resumen & impacto esperado :

  • Agregar exclusiones: abre el centro de administración de Microsoft Intune. Para obtener más información sobre las distintas formas de excluir archivos y carpetas de las reglas de ASR, consulte Exclusiones de archivos y carpetas para las reglas de ASR.

  • Obtener rutas de exclusión seleccionadas: genera un AsrExclusionPaths.csv archivo con las rutas de acceso completas a los archivos afectados para su descarga.

Contenido relacionado

• Guía de implementación de reglas de reducción de la superficie expuesta a ataques (ASR)
• Planeamiento de la implementación de reglas de reducción de la superficie expuesta a ataques (ASR)
• Prueba de la implementación de reglas de reducción de la superficie expuesta a ataques (ASR)
• Habilitar reglas de la reducción de la superficie expuesta a ataques (ASR)
• Administración y supervisión de la implementación de reglas de reducción de la superficie expuesta a ataques (ASR)
• Referencia de reglas de reducción de la superficie expuesta a ataques (ASR)