Introducción a las reglas de reducción de superficie expuesta a ataques

Se aplica a:

Plataformas

  • Windows

Por qué son importantes las reglas de reducción de superficie expuesta a ataques

La superficie expuesta a ataques de la organización incluye todos los lugares donde un atacante podría poner en peligro los dispositivos o redes de la organización. Reducir la superficie expuesta a ataques significa proteger los dispositivos y la red de su organización, lo que deja a los atacantes con menos formas de realizar ataques. La configuración de reglas de reducción de superficie expuesta a ataques en Microsoft Defender para punto de conexión puede ayudar.

Las reglas de reducción de superficie expuesta a ataques tienen como objetivo determinados comportamientos de software, como:

  • Inicio de archivos ejecutables y scripts que intentan descargar o ejecutar archivos
  • Ejecución de scripts ofuscados o sospechosos
  • Realizar comportamientos que las aplicaciones no suelen iniciar durante el trabajo diario normal

Estos comportamientos de software a veces se ven en aplicaciones legítimas. Sin embargo, estos comportamientos a menudo se consideran de riesgo porque los atacantes suelen abusar de ellos a través de malware. Las reglas de reducción de la superficie expuesta a ataques pueden restringir los comportamientos de riesgo basados en software y ayudar a mantener la seguridad de su organización.

Para ver un proceso secuencial de un extremo a otro de cómo administrar las reglas de reducción de superficie expuesta a ataques, consulte:

Evaluación de reglas antes de la implementación

Puede evaluar cómo puede afectar una regla de reducción de superficie expuesta a ataques a la red abriendo la recomendación de seguridad para esa regla en Administración de vulnerabilidades de Microsoft Defender.

Recomendación de reducción de superficie expuesta a ataques

En el panel de detalles de la recomendación, compruebe el impacto del usuario para determinar qué porcentaje de los dispositivos puede aceptar una nueva directiva que habilite la regla en modo de bloqueo sin afectar negativamente a la productividad.

Consulte Requisitos en el artículo "Habilitar reglas de reducción de superficie expuesta a ataques" para obtener información sobre los sistemas operativos compatibles y otra información de requisitos.

Modo de auditoría para la evaluación

Modo de auditoría

Use el modo de auditoría para evaluar cómo afectarían las reglas de reducción de superficie expuesta a ataques a su organización si está habilitada. Ejecute todas las reglas en el modo de auditoría primero para que pueda comprender cómo afectan a las aplicaciones de línea de negocio. Muchas aplicaciones de línea de negocio se escriben con problemas de seguridad limitados y pueden realizar tareas de maneras que parezcan similares al malware.

Exclusiones

Al supervisar los datos de auditoría y agregar exclusiones para las aplicaciones necesarias, puede implementar reglas de reducción de superficie expuesta a ataques sin reducir la productividad.

Exclusiones por regla

Para obtener información sobre cómo configurar exclusiones por regla, vea la sección titulada Configurar las reglas de reducción de superficie expuesta a ataques por regla en el artículo Reglas de reducción de superficie expuesta a ataques de prueba.

Modo de advertencia para los usuarios

(¡NUEVO!) Antes de las funcionalidades del modo de advertencia, las reglas de reducción de superficie expuesta a ataques habilitadas se podían establecer en modo auditoría o modo de bloque. Con el nuevo modo de advertencia, cada vez que una regla de reducción de superficie expuesta a ataques bloquea el contenido, los usuarios ven un cuadro de diálogo que indica que el contenido está bloqueado. El cuadro de diálogo también ofrece al usuario la opción de desbloquear el contenido. A continuación, el usuario puede volver a intentar su acción y la operación se completa. Cuando un usuario desbloquea el contenido, el contenido permanece desbloqueado durante 24 horas y, a continuación, se reanuda el bloqueo.

El modo de advertencia ayuda a la organización a tener reglas de reducción de la superficie expuesta a ataques implementadas sin impedir que los usuarios accedan al contenido que necesitan para realizar sus tareas.

Requisitos para que el modo de advertencia funcione

El modo de advertencia se admite en dispositivos que ejecutan las siguientes versiones de Windows:

Microsoft Defender Antivirus debe ejecutarse con protección en tiempo real en modo activo.

Además, asegúrese de que Microsoft Defender están instaladas las actualizaciones antivirus y antimalware.

  • Requisito mínimo de versión de plataforma: 4.18.2008.9
  • Requisito mínimo de versión del motor: 1.1.17400.5

Para obtener más información y obtener las actualizaciones, consulte Actualización para Microsoft Defender plataforma antimalware.

Casos en los que no se admite el modo de advertencia

El modo de advertencia no se admite para tres reglas de reducción de superficie expuesta a ataques al configurarlas en Microsoft Intune. (Si usas directiva de grupo para configurar las reglas de reducción de superficie expuesta a ataques, se admite el modo de advertencia). Las tres reglas que no admiten el modo de advertencia al configurarlas en Microsoft Intune son las siguientes:

Además, el modo de advertencia no se admite en dispositivos que ejecutan versiones anteriores de Windows. En esos casos, las reglas de reducción de superficie expuesta a ataques que están configuradas para ejecutarse en modo de advertencia se ejecutan en modo de bloque.

Notificaciones y alertas

Cada vez que se desencadena una regla de reducción de superficie expuesta a ataques, se muestra una notificación en el dispositivo. Puede personalizar la notificación con los detalles de la empresa y la información de contacto.

Además, cuando se desencadenan determinadas reglas de reducción de superficie expuesta a ataques, se generan alertas.

Las notificaciones y las alertas generadas se pueden ver en el portal de Microsoft Defender.

Para obtener detalles específicos sobre la funcionalidad de notificaciones y alertas, consulte: Por alerta de regla y detalles de notificación, en el artículo Referencia de reglas de reducción de superficie expuesta a ataques.

Eventos avanzados de reducción de la superficie expuesta a ataques y búsqueda

Puede usar la búsqueda avanzada para ver eventos de reducción de superficie expuesta a ataques. Para simplificar el volumen de datos entrantes, solo se pueden ver los procesos únicos para cada hora con la búsqueda avanzada. La hora de un evento de reducción de superficie expuesta a ataques es la primera vez que se ve ese evento dentro de la hora.

Por ejemplo, supongamos que se produce un evento de reducción de la superficie expuesta a ataques en 10 dispositivos durante las 2:00 p.m. Supongamos que el primer evento se produjo a las 2:15 y el último a las 2:45. Con la búsqueda avanzada, verá una instancia de ese evento (aunque realmente se haya producido en 10 dispositivos) y su marca de tiempo será a las 2:15 p. m.

Para obtener más información sobre la búsqueda avanzada, vea Búsqueda proactiva de amenazas con búsqueda avanzada.

Características de reducción de superficie expuesta a ataques en versiones de Windows

Puede establecer reglas de reducción de superficie expuesta a ataques para dispositivos que ejecutan cualquiera de las siguientes ediciones y versiones de Windows:

Aunque las reglas de reducción de superficie expuesta a ataques no requieren una licencia de Windows E5, si tienes Windows E5, obtienes funcionalidades avanzadas de administración. Las funcionalidades avanzadas , disponibles solo en Windows E5, incluyen:

Estas funcionalidades avanzadas no están disponibles con una licencia de Windows Professional o Windows E3. Sin embargo, si tiene esas licencias, puede usar los registros Visor de eventos y Microsoft Defender Antivirus para revisar los eventos de regla de reducción de la superficie expuesta a ataques.

Revisar los eventos de reducción de superficie expuesta a ataques en el portal de Microsoft Defender

Defender para punto de conexión proporciona informes detallados de eventos y bloques como parte de escenarios de investigación de alertas.

Puede consultar datos de Defender para punto de conexión en Microsoft Defender XDR mediante la búsqueda avanzada.

Esta es una consulta de ejemplo:

DeviceEvents
| where ActionType startswith 'Asr'

Revisar los eventos de reducción de superficie expuesta a ataques en Windows Visor de eventos

Puede revisar el registro de eventos de Windows para ver los eventos generados por las reglas de reducción de superficie expuesta a ataques:

  1. Descargue el paquete de evaluación y extraiga el archivo cfa-events.xml en una ubicación de fácil acceso en el dispositivo.

  2. Escriba las palabras, Visor de eventos, en el menú Inicio para abrir la Visor de eventos de Windows.

  3. En Acciones, seleccione Importar vista personalizada....

  4. Seleccione el archivocfa-events.xml desde el que se extrajo. Como alternativa, copie el XML directamente.

  5. Seleccione Aceptar.

Puede crear una vista personalizada que filtre los eventos para mostrar solo los siguientes eventos, todos ellos relacionados con el acceso controlado a carpetas:

Id. de evento Descripción
5007 Evento cuando se cambia la configuración
1121 Evento cuando se activa la regla en modo de bloque
1122 Evento cuando se activa la regla en modo auditoría

La "versión del motor" que aparece para los eventos de reducción de la superficie expuesta a ataques en el registro de eventos la genera Defender for Endpoint, no el sistema operativo. Defender para punto de conexión se integra con Windows 10 y Windows 11, por lo que esta característica funciona en todos los dispositivos con Windows 10 o Windows 11 instalados.

Vea también

Sugerencia

¿Desea obtener más información? Engage con la comunidad de seguridad de Microsoft en nuestra comunidad tecnológica: Microsoft Defender para punto de conexión Tech Community.