Introducción a las reglas de reducción de superficie expuesta a ataques

Se aplica a:

Plataformas

  • Windows

Por qué son importantes las reglas de reducción de superficie expuesta a ataques

La superficie expuesta a ataques de la organización incluye todos los lugares donde un atacante podría poner en peligro los dispositivos o redes de la organización. Reducir la superficie expuesta a ataques significa proteger los dispositivos y la red de su organización, lo que deja a los atacantes con menos formas de realizar ataques. La configuración de reglas de reducción de superficie expuesta a ataques en Microsoft Defender para punto de conexión puede ayudar.

Las reglas de reducción de superficie expuesta a ataques tienen como objetivo determinados comportamientos de software, como:

  • Inicio de archivos ejecutables y scripts que intentan descargar o ejecutar archivos
  • Ejecución de scripts ofuscados o sospechosos
  • Realizar comportamientos que las aplicaciones no suelen iniciar durante el trabajo diario normal

Estos comportamientos de software a veces se ven en aplicaciones legítimas. Sin embargo, estos comportamientos a menudo se consideran de riesgo porque suelen ser objeto de abuso por parte de los atacantes a través de malware. Las reglas de reducción de la superficie expuesta a ataques pueden restringir los comportamientos de riesgo basados en software y ayudar a mantener la seguridad de la organización.

Para obtener más información sobre cómo configurar reglas de reducción de superficie expuesta a ataques, consulte Habilitar reglas de reducción de superficie expuesta a ataques.

Evaluación del impacto de la regla antes de la implementación

Puede evaluar cómo puede afectar una regla de reducción de superficie expuesta a ataques a la red abriendo la recomendación de seguridad para esa regla en Administración de amenazas y vulnerabilidades.

La recomendación de ASR

En el panel de detalles de la recomendación, compruebe el impacto del usuario para determinar qué porcentaje de los dispositivos puede aceptar una nueva directiva que habilite la regla en modo de bloqueo sin afectar negativamente a la productividad.

Consulte Requisitos en el artículo "Habilitar reglas de reducción de superficie expuesta a ataques" para obtener información sobre los sistemas operativos admitidos e información adicional sobre los requisitos.

Modo de auditoría para la evaluación

Use el modo de auditoría para evaluar cómo afectarían las reglas de reducción de superficie expuesta a ataques a su organización si está habilitada. Ejecute todas las reglas en el modo de auditoría primero para que pueda comprender cómo afectan a las aplicaciones de línea de negocio. Muchas aplicaciones de línea de negocio se escriben con problemas de seguridad limitados y pueden realizar tareas de maneras que parezcan similares al malware. Al supervisar los datos de auditoría y agregar exclusiones para las aplicaciones necesarias, puede implementar reglas de reducción de superficie expuesta a ataques sin reducir la productividad.

Modo de advertencia para los usuarios

(¡NUEVO!) Antes de las funcionalidades del modo de advertencia, las reglas de reducción de superficie expuesta a ataques habilitadas se podían establecer en modo auditoría o modo de bloque. Con el nuevo modo de advertencia, cada vez que una regla de reducción de superficie expuesta a ataques bloquea el contenido, los usuarios ven un cuadro de diálogo que indica que el contenido está bloqueado. El cuadro de diálogo también ofrece al usuario la opción de desbloquear el contenido. A continuación, el usuario puede volver a intentar su acción y la operación se completa. Cuando un usuario desbloquea el contenido, el contenido permanece desbloqueado durante 24 horas y, a continuación, se reanuda el bloqueo.

El modo de advertencia ayuda a la organización a tener reglas de reducción de la superficie expuesta a ataques implementadas sin impedir que los usuarios accedan al contenido que necesitan para realizar sus tareas.

Requisitos para que el modo de advertencia funcione

El modo de advertencia se admite en dispositivos que ejecutan las siguientes versiones de Windows:

Antivirus de Microsoft Defender debe ejecutarse con protección en tiempo real en modo activo.

Además, asegúrese de que están instaladas las actualizaciones de Antivirus de Microsoft Defender y antimalware.

  • Requisito mínimo de versión de plataforma: 4.18.2008.9
  • Requisito mínimo de versión del motor: 1.1.17400.5

Para obtener más información y obtener las actualizaciones, consulte Actualización para la plataforma antimalware de Microsoft Defender.

Casos en los que no se admite el modo de advertencia

El modo de advertencia no se admite para tres reglas de reducción de superficie expuesta a ataques al configurarlas en Microsoft Endpoint Manager. (Si usas directiva de grupo para configurar las reglas de reducción de superficie expuesta a ataques, se admite el modo de advertencia). Las tres reglas que no admiten el modo de advertencia al configurarlas en Microsoft Endpoint Manager son las siguientes:

Además, el modo de advertencia no se admite en dispositivos que ejecutan versiones anteriores de Windows. En esos casos, las reglas de reducción de superficie expuesta a ataques configuradas para ejecutarse en modo de advertencia se ejecutarán en modo de bloque.

Notificaciones y alertas

Cada vez que se desencadena una regla de reducción de superficie expuesta a ataques, se muestra una notificación en el dispositivo. Puede personalizar la notificación con los detalles de la empresa y la información de contacto.

Además, cuando se desencadenan determinadas reglas de reducción de superficie expuesta a ataques, se generan alertas.

Las notificaciones y las alertas generadas se pueden ver en el portal de Microsoft 365 Defender.

Para obtener detalles específicos sobre la funcionalidad de notificaciones y alertas, consulte: Por alerta de regla y detalles de notificación, en el artículo Referencia de reglas de reducción de superficie expuesta a ataques.

Eventos avanzados de reducción de la superficie expuesta a ataques y búsqueda

Puede usar la búsqueda avanzada para ver eventos de reducción de superficie expuesta a ataques. Para simplificar el volumen de datos entrantes, solo se pueden ver los procesos únicos para cada hora con la búsqueda avanzada. La hora de un evento de reducción de superficie expuesta a ataques es la primera vez que se ve ese evento dentro de la hora.

Por ejemplo, supongamos que se produce un evento de reducción de la superficie expuesta a ataques en 10 dispositivos durante las 2:00 p.m. Supongamos que el primer evento se produjo a las 2:15 y el último a las 2:45. Con la búsqueda avanzada, verá una instancia de ese evento (aunque realmente se haya producido en 10 dispositivos) y su marca de tiempo será a las 2:15 p. m.

Para obtener más información sobre la búsqueda avanzada, vea Búsqueda proactiva de amenazas con búsqueda avanzada.

Características de reducción de superficie expuesta a ataques en versiones Windows

Puede establecer reglas de reducción de superficie expuesta a ataques para dispositivos que ejecutan cualquiera de las siguientes ediciones y versiones de Windows:

Aunque las reglas de reducción de superficie expuesta a ataques no requieren una licencia Windows E5, si tiene Windows E5, obtendrá funcionalidades avanzadas de administración. Las funcionalidades avanzadas , disponibles solo en Windows E5, incluyen:

Estas funcionalidades avanzadas no están disponibles con una licencia Windows Professional o Windows E3. Sin embargo, si tiene esas licencias, puede usar registros de Visor de eventos y Antivirus de Microsoft Defender para revisar los eventos de la regla de reducción de la superficie expuesta a ataques.

Revisar los eventos de reducción de superficie expuesta a ataques en el portal de Microsoft 365 Defender

Defender para punto de conexión proporciona informes detallados de eventos y bloques como parte de escenarios de investigación de alertas.

Puede consultar datos de Defender para punto de conexión en Microsoft 365 Defender mediante la búsqueda avanzada.

A continuación le mostramos un ejemplo de consulta:

DeviceEvents
| where ActionType startswith 'Asr'

Revisar los eventos de reducción de superficie expuesta a ataques en Windows Visor de eventos

Puede revisar el registro de eventos Windows para ver los eventos generados por las reglas de reducción de superficie expuesta a ataques:

  1. Descargue el paquete de evaluación y extraiga el archivo cfa-events.xml en una ubicación de fácil acceso en el dispositivo.

  2. Escriba las palabras , Visor de eventos, en el menú Inicio para abrir el Windows Visor de eventos.

  3. En Acciones, seleccione Importar vista personalizada....

  4. Seleccione el archivocfa-events.xml desde el que se extrajo. Como alternativa, copie el XML directamente.

  5. Seleccione Aceptar.

Puede crear una vista personalizada que filtre los eventos para mostrar solo los siguientes eventos, todos ellos relacionados con el acceso controlado a carpetas:

Id. de evento Descripción
5007 Evento cuando se cambia la configuración
1121 Evento cuando se activa la regla en modo de bloque
1122 Evento cuando se activa la regla en modo auditoría

La "versión del motor" que aparece para los eventos de reducción de la superficie expuesta a ataques en el registro de eventos la genera Defender for Endpoint, no el sistema operativo. Defender para punto de conexión se integra con Windows 10 y Windows 11, por lo que esta característica funciona en todos los dispositivos con Windows 10 o Windows 11 instalados.