Compartir a través de

Revisión de las recomendaciones de seguridad

En Microsoft Defender for Cloud, los recursos y las cargas de trabajo se evalúan con las directivas de seguridad integradas y personalizadas y los marcos de cumplimiento normativo, que se aplican en los entornos en la nube (Azure, Amazon Web Services (AWS), Google Cloud Platform (GCP) y mucho más). En función de esas evaluaciones, las recomendaciones de seguridad proporcionan pasos prácticos para corregir problemas de seguridad y mejorar su posición de seguridad.

Para obtener información detallada sobre las recomendaciones de seguridad, incluidos los factores de riesgo, la priorización y la clasificación, consulte Recomendaciones de seguridad.

Nota:

En el portal, algunas recomendaciones que anteriormente aparecían como un solo elemento agregado ahora se muestran como varias recomendaciones individuales. Este cambio refleja un cambio de agrupación de conclusiones relacionadas en una recomendación para enumerar cada recomendación por separado.

  • Es posible que vea una lista más larga de recomendaciones en comparación con antes. Los resultados combinados (como vulnerabilidades, secretos expuestos o configuraciones incorrectas) ahora aparecen como recomendaciones individuales en lugar de anidadas bajo una recomendación primaria.
  • Las recomendaciones agrupadas antiguas siguen apareciendo en paralelo con el nuevo formato por ahora, pero finalmente están en desuso.
  • Estas recomendaciones se marcan como versión preliminar. Esta etiqueta indica que la recomendación está en un estado temprano y que aún no afecta a la puntuación de seguridad.
  • La puntuación segura solo se aplica actualmente a la recomendación primaria, no a cada elemento individual.

Si ve ambos formatos o recomendaciones con una etiqueta de Vista previa, esta condición es esperada durante la transición. El objetivo es mejorar la claridad y permitirle actuar con recomendaciones específicas más fácilmente. Para obtener más información, consulte Transición de recomendaciones agrupadas a individuales.

Prerrequisitos

Las recomendaciones se incluyen con Defender for Cloud, pero no puede ver la priorización de riesgos a menos que habilite CSPM de Defender en su entorno.

Revisar la página de recomendaciones

Revise las recomendaciones y asegúrese de que todos los detalles son correctos antes de resolverlos.

  1. Inicie sesión en el portal Azure.

  2. Vaya aRecomendaciones de .

  3. Aplique filtros como:

    • Recurso expuesto: filtre por recursos con exposición a amenazas.
    • Factores de riesgo de recursos: filtre por condiciones de riesgo específicas.
    • Environment: Filtrar por Azure, AWS o GCP.
    • Carga de trabajo: filtre por tipos de carga de trabajo específicos.
    • Nivel de madurez de la recomendación: filtre por nivel de preparación de la recomendación.

  4. En el lado izquierdo de la página, puede elegir ver las recomendaciones por categoría de seguridad:

    • Todas las recomendaciones: lista completa de recomendaciones de seguridad.
    • Configuraciones incorrectas: problemas de seguridad relacionados con la configuración.
    • Vulnerabilidades: vulnerabilidades de software que requieren revisiones.
    • Secretos expuestos: credenciales y secretos que podrían estar en peligro.

Estas pestañas de categoría pueden ayudarle a centrar la vista por categoría de seguridad para que pueda elegir ver todo a la vez o explorar en profundidad áreas específicas.

Nota:

Al seleccionar un filtro de categoría de seguridad, tanto la lista de recomendaciones como las tarjetas de resumen se actualizan para reflejar solo las recomendaciones de esa categoría.

  1. Seleccione una recomendación.

Vistas de recomendación

El portal de Azure proporciona tres maneras distintas de ver e interactuar con las recomendaciones:

Vista de lista plana

Esta vista muestra una lista de todas las recomendaciones organizadas por recursos individuales, ordenadas por nivel de riesgo. Cada fila representa una sola recomendación que afecta a un recurso específico.

Captura de pantalla del portal de Azure en vista de lista plana que muestra una lista de recomendaciones críticas de cuentas de almacenamiento por recurso.

Al seleccionar una fila de recomendación, se abre un panel lateral que muestra:

  • Información general: información general sobre la recomendación, incluida su descripción, detalles del recurso expuesto y otras recomendaciones pertinentes específicas
  • Pasos de corrección: guía procesable para resolver el problema de seguridad
  • Vista previa del mapa: muestra todas las rutas de acceso de ataque relacionadas que pasan por el recurso, agregados por tipo de nodo de destino. Se puede hacer lo siguiente:
    • Selección de una ruta de acceso agregada para mostrar todos los ataques asociados y rutas de acceso adicionales
    • Selección de una ruta de acceso específica para ver su visualización detallada
  • Iniciativas relacionadas: iniciativas de seguridad y marcos de cumplimiento asociados a la recomendación
  • Es posible que aparezcan pestañas adicionales para recomendaciones específicas con información contextual relevante

Vistas de recursos

Además de Group por título, el portal de Azure admite Group por recurso. Esto agrupa todos los resultados del mismo recurso en un solo lugar, lo que resulta útil cuando un único propietario es responsable de un recurso y debe recibir todos sus hallazgos juntos.

Captura de pantalla de Azure portal de seguridad agrupado por recurso, mostrando conclusiones críticas, niveles de riesgo, recomendaciones y columnas de propietario.

Vista del título de la recomendación

Esta vista agrega recomendaciones por título, en la que se muestra una lista consolidada ordenada por nivel de riesgo. Cada fila representa todas las instancias de una recomendación determinada en todo el entorno.

  1. Inicie sesión en el portal Azure.

  2. Vaya aRecomendaciones de .

  3. Seleccione Agrupar por título.

    Captura de pantalla de la página de recomendaciones que muestra la ubicación del interruptor para agrupar por título.

Al seleccionar una fila de recomendación agregada, se abre un panel lateral que muestra:

  • Información general: información general, incluida la descripción de la recomendación, la distribución de nivel de riesgo entre los recursos afectados, el estado de gobernanza y otros detalles pertinentes.
  • Pasos de corrección: guía procesable para resolver el problema de seguridad
  • Recursos expuestos: una lista de todos los recursos afectados por esta recomendación
  • Iniciativas relacionadas: iniciativas de seguridad y marcos de cumplimiento asociados a la recomendación
  • Es posible que aparezcan pestañas adicionales para recomendaciones específicas con información contextual relevante

Nota:

Esta funcionalidad actualmente se encuentra disponible en modo de vista previa. Para más información sobre las brechas y restricciones actuales, consulte Limitaciones conocidas.

La página Recomendaciones de Administración de exposiciones proporciona una lista prioritaria de acciones de seguridad diseñadas para mejorar la posición de seguridad en la nube mediante la solución de vulnerabilidades, configuraciones incorrectas y secretos expuestos. Estas recomendaciones se clasifican por riesgo efectivo, lo que ayuda a los equipos de seguridad a centrarse primero en las amenazas más críticas.

  1. Inicie sesión en el portal Microsoft Defender.

  2. Vaya a la pestaña Administración de ExposiciónRecomendacionesen la nube.

    Captura de pantalla de la página Recomendaciones en el Portal de Defender.

  3. Aplique filtros como:

    • Recurso expuesto: filtre por recursos con exposición a amenazas.
    • Factores de riesgo de recursos: filtre por condiciones de riesgo específicas.
    • Environment: Filtrar por Azure, AWS o GCP.
    • Carga de trabajo: filtre por tipos de carga de trabajo específicos.
    • Nivel de madurez de la recomendación: filtre por nivel de preparación de la recomendación.

  4. En el lado izquierdo de la página, puede elegir ver las recomendaciones por categoría de seguridad:

    • Todas las recomendaciones: lista completa de recomendaciones de seguridad.
    • Configuraciones incorrectas: problemas de seguridad relacionados con la configuración.
    • Vulnerabilidades: vulnerabilidades de software que requieren revisiones.
    • Secretos expuestos: credenciales y secretos que podrían estar en peligro.

    Nota:

    Al seleccionar un filtro de categoría de seguridad, tanto la lista de recomendaciones como las tarjetas de resumen se actualizan para reflejar solo las recomendaciones de esa categoría.

Tarjetas de resumen de recomendaciones

Para cada vista, la página muestra tarjetas de resumen que proporcionan una visión general de la posición de seguridad en la nube:

  • Puntuación segura en la nube: muestra el estado general de la seguridad en la nube en función de las recomendaciones de seguridad de su entorno.
  • Historial de puntuación: realiza un seguimiento de los cambios de puntuación de seguridad durante los últimos siete días, lo que le ayuda a identificar tendencias y medir la mejora.
  • Recomendaciones por nivel de riesgo: resume el número de recomendaciones de seguridad activas, clasificadas por gravedad (Crítico, Alto, Medio, Bajo).
  • Cómo se calcula el nivel de riesgo: explica cómo se combinan las clasificaciones de gravedad y los factores de riesgo específicos de los recursos para determinar el nivel de riesgo general de cada recomendación.

Vistas de recomendación

El portal de Defender proporciona dos maneras distintas de ver e interactuar con las recomendaciones:

Recomendación por vista de activo

Esta vista muestra una lista de todas las recomendaciones organizadas por recursos individuales, ordenadas por nivel de riesgo. Cada fila representa una sola recomendación que afecta a un recurso específico.

Al seleccionar una fila de recomendación, se abre un panel lateral que muestra:

  • Información general: información general sobre la recomendación, incluida su descripción, detalles del recurso expuesto y otras recomendaciones pertinentes específicas
  • Pasos de corrección: guía procesable para resolver el problema de seguridad
  • Vista previa del mapa: muestra todas las rutas de acceso de ataque relacionadas que pasan por el recurso, agregados por tipo de nodo de destino. Se puede hacer lo siguiente:
    • Selección de una ruta de acceso agregada para mostrar todos los ataques asociados y rutas de acceso adicionales
    • Selección de una ruta de acceso específica para ver su visualización detallada
  • Iniciativas relacionadas: iniciativas de seguridad y marcos de cumplimiento asociados a la recomendación
  • Es posible que aparezcan pestañas adicionales para recomendaciones específicas con información contextual relevante

Vista del título de la recomendación

Esta vista agrega recomendaciones por título, en la que se muestra una lista consolidada ordenada por nivel de riesgo. Cada fila representa todas las instancias de una recomendación determinada en todo el entorno.

Al seleccionar una fila de recomendación agregada, se abre un panel lateral que muestra:

  • Información general: información general, incluida la descripción de la recomendación, la distribución de nivel de riesgo entre los recursos afectados, el estado de gobernanza y otros detalles pertinentes.
  • Pasos de corrección: guía procesable para resolver el problema de seguridad
  • Recursos expuestos: una lista de todos los recursos afectados por esta recomendación
  • Iniciativas relacionadas: iniciativas de seguridad y marcos de cumplimiento asociados a la recomendación
  • Es posible que aparezcan pestañas adicionales para recomendaciones específicas con información contextual relevante

Recomendación por vista de recursos

Además de Agrupar por título, el portal admite Agrupar por recurso. Esto agrupa todos los resultados del mismo recurso en un solo lugar, lo que resulta útil cuando un único propietario es responsable de un recurso y debe recibir todos sus hallazgos juntos.

Captura de pantalla del panel lateral de recomendaciones.

Rutas de acceso alternativas a recomendaciones:

  • Infraestructura en la nubeVisión generalPosición de seguridadRecomendaciones de seguridadVer recomendaciones
  • Gestión de la exposiciónIniciativasSeguridad en la nubeAbrir página de iniciativapestaña Recomendaciones de seguridad

Nota:

Por qué podría encontrarse con diferentes recursos entre el portal de Azure y el portal de Defender:

  • Recursos eliminados: Es posible que observe que los recursos eliminados todavía se muestran en el portal de Azure. Esta condición se produce porque el portal de Azure muestra actualmente el último estado conocido de los recursos. El equipo del producto está trabajando para corregir esta condición para que los recursos eliminados ya no aparezcan.
  • Recursos de Azure Policy: puede que algunos recursos procedentes de Azure Policy no aparezcan en el portal de Defender. Durante la versión preliminar, el portal solo muestra los recursos que tienen contexto de seguridad y contribuyen a información de seguridad significativa.
  • Los recursos vinculados a suscripciones gratuitas no aparecen actualmente en el portal de Defender.

Exploración de una recomendación

Puede interactuar con recomendaciones de varias maneras. Si una opción no está disponible, esa opción no es relevante para la recomendación.

  1. Inicie sesión en el portal Azure.

  2. Vaya aRecomendaciones de .

  3. Seleccione una recomendación.

  4. En Tomar medidas:

    • Corrección: una descripción de los pasos manuales necesarios para resolver el problema de seguridad en los recursos afectados. Para obtener recomendaciones con la opción Corregir , puede seleccionar Ver lógica de corrección antes de aplicar la corrección sugerida a los recursos.
    • Propietario de la recomendación y fecha de vencimiento establecida: si habilita una regla de gobernanza para la recomendación, puede asignar un propietario y una fecha de vencimiento.
    • Excluir: es posible excluir recursos de la recomendación o deshabilitar conclusiones específicas mediante reglas de deshabilitación.
    • Automatización del flujo de trabajo: establezca una aplicación lógica para que se desencadene con la recomendación.

    Nota:

    Con el nuevo formato de recomendación individual, la gobernanza funciona en el nivel de hallazgo. Puede asignar propietarios y fechas de vencimiento a resultados específicos y puede usar reglas de gobernanza con etiquetas de recursos (por ejemplo, Team: DataPlatform) para enrutar automáticamente las recomendaciones al propietario o cola correctos.

Captura de pantalla que muestra la pestaña Realizar acción con opciones para corregir, Asignar propietario y fecha de vencimiento, Excluir y Automatización del flujo de trabajo.

  1. En Graph, vea e investigue todo el contexto que se usa para la priorización de riesgos, incluidas las rutas de ataque. Puede seleccionar un nodo en una ruta de acceso de ataque para ver los detalles del nodo seleccionado.

    Captura de pantalla que muestra la pestaña Gráfico en una recomendación, incluidas todas las rutas de acceso a ataques de esa recomendación.

  2. Para ver más detalles, seleccione un nodo.

    Captura de pantalla que muestra la pestaña Gráfico con un nodo seleccionado y muestra detalles adicionales.

  3. Seleccione Conclusiones.

  4. Para ver los detalles, seleccione una vulnerabilidad en el menú desplegable.

    Captura de pantalla de la pestaña Insights de un nodo.

  5. (Opcional) Para ver la página de recomendación asociada, seleccione Abrir la página de vulnerabilidades.

  6. Corrección de una recomendación

Nota:

Durante la transición de la versión preliminar, puede que vea indicadores de versión preliminar y de nueva versión en determinadas recomendaciones. Estas etiquetas distinguen nuevos elementos individuales de los agrupados mostrados en paralelo. Use filtros para limitar la vista a un formato cuando sea necesario. Captura de pantalla de la interfaz de etiquetas de recomendación que muestra las opciones de "Nueva versión" y "Establecer para desuso" para filtrar las recomendaciones.

En el portal de Defender, puede interactuar con recomendaciones de varias maneras a través de la experiencia de administración de exposiciones. Una vez que seleccione una recomendación de la pestaña Administración de ExposiciónNube de Recomendaciones, puede explorar información detallada y tomar medidas.

Aplique filtros y conjuntos de filtros, como Recurso expuesto, Factores de riesgo de recursos, Entorno, Carga de trabajo, Madurez de la recomendación y otros.

En el panel de navegación izquierdo, puede elegir ver todas las recomendaciones o ver por una categoría específica.

Existen vistas independientes para los tipos de problema:

  • Configuraciones incorrectas
  • Vulnerabilidades
  • Secretos expuestos

Para cada vista, verá la puntuación de seguridad en la nube, el historial de puntuación, la recomendación por nivel de riesgo y cómo se calcula el riesgo.

Al integrar Defender for Cloud en el portal de Defender, también puede acceder a recomendaciones mejoradas en la nube a través de la interfaz unificada.

Entre las mejoras clave de la experiencia de recomendaciones en la nube se incluyen las siguientes:

  • Factores de riesgo por recurso: evalúe el contexto de exposición más amplio de cada recomendación para tomar decisiones fundamentadas.
  • Puntuación basada en riesgos: nueva puntuación que pesa las recomendaciones en función de la gravedad, el contexto del recurso y el posible impacto.
  • Datos mejorados: datos centrales de recomendación de Azure Recommendations enriquecidos con campos y funcionalidades adicionales de la administración de exposiciones.
  • Prioridad por importancia: mayor énfasis en los problemas críticos que suponen el riesgo más alto para su organización.

La experiencia unificada garantiza que las recomendaciones de seguridad en la nube se contextualicen dentro del panorama de seguridad más amplio, lo que permite una toma de decisiones más informada y flujos de trabajo de corrección más eficientes.

Para obtener más información sobre cómo comprender los niveles de riesgo, la clasificación de recomendaciones y explicaciones detalladas de los campos del panel de recomendaciones, consulte Recomendaciones de seguridad.

Gestiona tus recomendaciones asignadas

Defender for Cloud admite reglas de gobernanza para recomendaciones. Puede asignar un responsable de recomendación o establecer una fecha límite. Puede ayudar a garantizar la responsabilidad mediante el uso de reglas de gobernanza, que también admiten un acuerdo de nivel de servicio (SLA) para recomendaciones.

  • Las recomendaciones aparecen como A tiempo hasta que se supere su fecha de vencimiento. Luego cambian a Vencidas.
  • Cuando una recomendación no se clasifica como Overdue, no afecta al Puntuación de seguridad de Microsoft.
  • También puede aplicar un período de gracia para que las recomendaciones vencidas no afecten a la puntuación de seguridad.

Nota:

Durante el período de versión preliminar, las nuevas recomendaciones individuales se marcan como Versión preliminar y no afectan a la puntuación de seguridad basada en riesgos hasta que el formato alcance la disponibilidad general. Los elementos de disponibilidad general heredados siguen afectando a la puntuación como antes.

Obtenga más información sobre cómo configurar reglas de gobernanza.

Para ver todas las recomendaciones asignadas:

  1. Inicie sesión en el portal Azure.

  2. Vaya aRecomendaciones de .

  3. Seleccione Agregar filtroPropietario.

  4. Seleccione la entrada de usuario.

  5. Selecciona Aplicar.

  6. En los resultados de las recomendaciones, revise las recomendaciones, incluidos los recursos afectados, los factores de riesgo, las rutas de ataque, las fechas de vencimiento y el estado.

  7. Seleccione una recomendación para revisarla más adelante.

Para realizar cambios en una asignación, complete los pasos siguientes:

  1. Vaya a Realizar acciónCambiar propietario y fecha de vencimiento.

  2. Seleccione Editar asignación para cambiar el propietario de la recomendación o la fecha de vencimiento.

  3. Si selecciona una nueva fecha de corrección, especifique por qué debe completarse la corrección en esa fecha en Justificación.   

  4. Haga clic en Guardar.

    Nota:

    Al cambiar la fecha de finalización esperada, la fecha de vencimiento de la recomendación no cambia, pero los asociados de seguridad pueden ver que planea actualizar los recursos según la fecha especificada.

De forma predeterminada, el propietario del recurso recibe un correo electrónico semanal que muestra todas las recomendaciones asignadas.

Use la opción Establecer notificaciones por correo electrónico para:

  • Anule el envío del correo electrónico semanal que se envía por defecto al propietario.
  • Notifique a los propietarios semanalmente una lista de tareas abiertas o vencidas.
  • Notifique al gerente directo del propietario con una lista de tareas abiertas.

Revisar recomendaciones en Azure Resource Graph

Puede usar Azure Resource Graph para escribir una consulta en Kusto Query Language (KQL) para consultar los datos de estado de seguridad de Defender for Cloud en varias suscripciones. Mediante el uso de Azure Resource Graph, puede consultar de forma eficaz a escala en entornos de nube mediante la visualización, el filtrado, la agrupación y la ordenación de datos.

  1. Inicie sesión en el portal Azure.

  2. Vaya aRecomendaciones de .

  3. Seleccione una recomendación.

  4. Seleccione Abrir consulta.

  5. Puede abrir la consulta de una de estas dos maneras:

    • Consulta que devuelve el recurso afectado: devuelve una lista de todos los recursos a los que afecta la recomendación.
    • Consulta que devuelve resultados de seguridad: devuelve una lista de todos los problemas de seguridad que encontró la recomendación.

  6. Seleccione Ejecutar consulta.

    Captura de pantalla de Azure Resource Graph Explorer que muestra los resultados de la recomendación mostrados en la captura de pantalla anterior.

  7. Revise los resultados.

Nota:

Si sus paneles o automatizaciones dependen actualmente de las API de subevaluación o consultas, considere migrar a las API de evaluación o a los securityFindings equivalentes para el formato de recomendación individual. Durante el período en paralelo, es posible que vea datos duplicados (agrupados heredados + nuevos individuales). Utilice etiquetas de interfaz de usuario de vista previa o de nueva versión, o filtros de API, para centrarse en un formato y evitar el recuento doble. El Punto de Entrada de Consultas Abiertas puede ayudarle a generar consultas actualizadas desde el portal.

Contenido relacionado

  • Transición de recomendaciones agrupadas a individuales
  • Corrección de las recomendaciones de seguridad
  • Last updated on