Descripción y uso de funcionalidades de reducción de superficie expuesta a ataques
Se aplica a:
- Microsoft Defender XDR
- Microsoft Defender para punto de conexión Plan 1
- Microsoft Defender para punto de conexión Plan 2
- Antivirus de Microsoft Defender
Plataformas
- Windows
Sugerencia
¿Quiere experimentar Microsoft Defender para punto de conexión? Regístrese para obtener una prueba gratuita.
Las superficies expuestas a ataques son todos los lugares donde su organización es vulnerable a ciberamenazas y ataques. Defender for Endpoint incluye varias funcionalidades para ayudar a reducir las superficies expuestas a ataques. Vea el siguiente vídeo para obtener más información sobre la reducción de la superficie expuesta a ataques.
Configurar capacidades de reducción de superficie de ataques
Para configurar la reducción de la superficie expuesta a ataques en el entorno, siga estos pasos:
Habilite el aislamiento basado en hardware para Microsoft Edge.
Habilite las reglas de reducción de superficie expuesta a ataques.
Habilitar el control de aplicación.
Revise las directivas base en Windows. Consulte Directivas base de ejemplo.
Consulte la guía de diseño de Windows Defender Application Control.
Consulte Implementación Windows Defender directivas de Control de aplicaciones (WDAC).
Habilite la protección de almacenamiento extraíble.
Habilite la protección web.
Habilite la protección contra vulnerabilidades de seguridad.
Configure el firewall de red.
Obtenga información general sobre Firewall de Windows con seguridad avanzada.
Usa la guía de diseño de Firewall de Windows para decidir cómo quieres diseñar las directivas de firewall.
Use la guía de implementación de Firewall de Windows para configurar el firewall de su organización con seguridad avanzada.
Sugerencia
En la mayoría de los casos, al configurar funcionalidades de reducción de superficie expuesta a ataques, puede elegir entre varios métodos:
- Microsoft Intune
- Microsoft Configuration Manager
- Directiva de grupo
- Cmdlets de PowerShell
Reducción de la superficie expuesta a ataques de prueba en Microsoft Defender para punto de conexión
Como parte del equipo de seguridad de la organización, puede configurar las funcionalidades de reducción de la superficie expuesta a ataques para que se ejecuten en modo de auditoría para ver cómo funcionan. Puede habilitar las siguientes características de seguridad de reducción de superficie expuesta a ataques en modo de auditoría:
- Reglas de reducción de la superficie expuesta a ataques
- Protección contra vulnerabilidades de seguridad
- Protección de red
- Acceso controlado a carpetas
- Control de dispositivos
El modo auditoría le permite ver un registro de lo que habría ocurrido si la característica estuviera habilitada.
Puede habilitar el modo de auditoría al probar cómo funcionan las características. Habilitar el modo de auditoría solo para pruebas ayuda a evitar que el modo de auditoría afecte a las aplicaciones de línea de negocio. También puede hacerse una idea de cuántos intentos de modificación de archivos sospechosos se producen durante un período de tiempo determinado.
Las características no bloquean ni impiden que se modifiquen aplicaciones, scripts o archivos. Sin embargo, el registro de eventos de Windows registra eventos como si las características estuvieran totalmente habilitadas. Con el modo de auditoría, puede revisar el registro de eventos para ver qué efecto habría tenido la característica si estuviera habilitada.
Para buscar las entradas auditadas, vaya a Aplicaciones y servicios>Microsoft>Windows>Windows Defender>Operational.
Use Defender para punto de conexión para obtener más detalles para cada evento. Estos detalles son especialmente útiles para investigar las reglas de reducción de superficie expuesta a ataques. El uso de la consola de Defender para punto de conexión le permite investigar problemas como parte de la escala de tiempo de alertas y los escenarios de investigación.
Puede habilitar el modo de auditoría mediante directiva de grupo, PowerShell y proveedores de servicios de configuración (CSP).
| Opciones de auditoría | Habilitación del modo de auditoría | Visualización de eventos |
|---|---|---|
| La auditoría se aplica a todos los eventos | Habilitar el acceso controlado a carpetas | Eventos de acceso controlado a carpetas |
| La auditoría se aplica a reglas individuales | Paso 1: Probar las reglas de reducción de superficie expuesta a ataques mediante el modo auditoría | Paso 2: Descripción de la página de informes de reglas de reducción de superficie expuesta a ataques |
| La auditoría se aplica a todos los eventos | Habilitación de la protección de red | Eventos de protección de red |
| La auditoría se aplica a mitigaciones individuales | Habilitar la protección contra vulnerabilidades de seguridad | Eventos de protección contra vulnerabilidades |
Por ejemplo, puede probar las reglas de reducción de superficie expuesta a ataques en modo de auditoría antes de habilitarlas en modo de bloque. Las reglas de reducción de superficie expuesta a ataques están predefinidas para proteger las superficies de ataque comunes y conocidas. Hay varios métodos que puede usar para implementar reglas de reducción de superficie expuesta a ataques. El método preferido se documenta en los siguientes artículos de implementación de reglas de reducción de superficie expuesta a ataques:
- Introducción a la implementación de reglas de reducción de superficie expuesta a ataques
- Planeación de la implementación de reglas de reducción de superficie expuesta a ataques
- Reglas de reducción de superficie expuesta a ataques de prueba
- Habilitar las reglas de la reducción de superficie expuesta a ataques
- Operacionalización de las reglas de reducción de superficie expuesta a ataques
Ver eventos de la reducción de la superficie expuesta a ataques
Revise los eventos de reducción de la superficie expuesta a ataques en Visor de eventos para supervisar qué reglas o configuraciones funcionan. También puede determinar si alguna configuración es demasiado "ruidosa" o afecta al flujo de trabajo diario.
La revisión de eventos es útil cuando se evalúan las características. Puede habilitar el modo de auditoría para las características o la configuración y, a continuación, revisar lo que habría ocurrido si estuvieran totalmente habilitadas.
En esta sección se enumeran todos los eventos, su característica o configuración asociada, y se describe cómo crear vistas personalizadas para filtrar a eventos específicos.
Obtenga informes detallados sobre eventos, bloques y advertencias como parte de Seguridad de Windows si tiene una suscripción A5 y usa Microsoft Defender para punto de conexión.
Uso de vistas personalizadas para revisar las funcionalidades de reducción de superficie expuesta a ataques
Create vistas personalizadas en la Visor de eventos de Windows para ver solo los eventos de funcionalidades y configuraciones específicas. La manera más fácil es importar una vista personalizada como un archivo XML. Puede copiar el XML directamente desde esta página.
También puede navegar manualmente al área de eventos que corresponde a la característica.
Importación de una vista personalizada XML existente
Create un archivo .txt vacío y copie el XML de la vista personalizada que desea usar en el archivo .txt. Haga esto para cada una de las vistas personalizadas que desea usar. Cambie el nombre de los archivos como se indica a continuación (asegúrese de cambiar el tipo de .txt a .xml):
- Vista personalizada de eventos de acceso controlado a carpetas: cfa-events.xml
- Vista personalizada de eventos de protección contra vulnerabilidades de seguridad: ep-events.xml
- Vista personalizada de eventos de reducción de superficie expuesta a ataques: asr-events.xml
- Vista personalizada de eventos de red y protección: np-events.xml
Escriba visor de eventos en el menú Inicio y abra Visor de eventos.
Seleccione Importar acción>vista personalizada...
Vaya al lugar donde extrajo el archivo XML para la vista personalizada que desee y selecciónelo.
Seleccione Abrir.
Crea una vista personalizada que filtra para mostrar solo los eventos relacionados con esa característica.
Copiar el XML directamente
Escriba el visor de eventos en el menú Inicio y abra el Visor de eventos de Windows.
En el panel izquierdo, en Acciones, seleccione Create Vista personalizada...
Vaya a la pestaña XML y seleccione Editar consulta manualmente. Verá una advertencia que indica que no puede editar la consulta mediante la pestaña Filtro si usa la opción XML. Haga clic en Sí.
Pegue el código XML de la característica desde la que desea filtrar los eventos en la sección XML.
Seleccione Aceptar. Especifique un nombre para el filtro. Esta acción crea una vista personalizada que filtra para mostrar solo los eventos relacionados con esa característica.
XML para eventos de regla de reducción de superficie expuesta a ataques
<QueryList>
<Query Id="0" Path="Microsoft-Windows-Windows Defender/Operational">
<Select Path="Microsoft-Windows-Windows Defender/Operational">*[System[(EventID=1121 or EventID=1122 or EventID=5007)]]</Select>
<Select Path="Microsoft-Windows-Windows Defender/WHC">*[System[(EventID=1121 or EventID=1122 or EventID=5007)]]</Select>
</Query>
</QueryList>
XML para eventos de acceso controlado a carpetas
<QueryList>
<Query Id="0" Path="Microsoft-Windows-Windows Defender/Operational">
<Select Path="Microsoft-Windows-Windows Defender/Operational">*[System[(EventID=1123 or EventID=1124 or EventID=5007)]]</Select>
<Select Path="Microsoft-Windows-Windows Defender/WHC">*[System[(EventID=1123 or EventID=1124 or EventID=5007)]]</Select>
</Query>
</QueryList>
XML para eventos de protección contra vulnerabilidades de seguridad
<QueryList>
<Query Id="0" Path="Microsoft-Windows-Security-Mitigations/KernelMode">
<Select Path="Microsoft-Windows-Security-Mitigations/KernelMode">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID >= 1 and EventID <= 24) or EventID=5 or EventID=260)]]</Select>
<Select Path="Microsoft-Windows-Win32k/Concurrency">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID >= 1 and EventID <= 24) or EventID=5 or EventID=260)]]</Select>
<Select Path="Microsoft-Windows-Win32k/Contention">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID >= 1 and EventID <= 24) or EventID=5 or EventID=260)]]</Select>
<Select Path="Microsoft-Windows-Win32k/Messages">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID >= 1 and EventID <= 24) or EventID=5 or EventID=260)]]</Select>
<Select Path="Microsoft-Windows-Win32k/Operational">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID >= 1 and EventID <= 24) or EventID=5 or EventID=260)]]</Select>
<Select Path="Microsoft-Windows-Win32k/Power">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID >= 1 and EventID <= 24) or EventID=5 or EventID=260)]]</Select>
<Select Path="Microsoft-Windows-Win32k/Render">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID >= 1 and EventID <= 24) or EventID=5 or EventID=260)]]</Select>
<Select Path="Microsoft-Windows-Win32k/Tracing">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID >= 1 and EventID <= 24) or EventID=5 or EventID=260)]]</Select>
<Select Path="Microsoft-Windows-Win32k/UIPI">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID >= 1 and EventID <= 24) or EventID=5 or EventID=260)]]</Select>
<Select Path="System">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID >= 1 and EventID <= 24) or EventID=5 or EventID=260)]]</Select>
<Select Path="Microsoft-Windows-Security-Mitigations/UserMode">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID >= 1 and EventID <= 24) or EventID=5 or EventID=260)]]</Select>
</Query>
</QueryList>
XML para eventos de protección de red
<QueryList>
<Query Id="0" Path="Microsoft-Windows-Windows Defender/Operational">
<Select Path="Microsoft-Windows-Windows Defender/Operational">*[System[(EventID=1125 or EventID=1126 or EventID=5007)]]</Select>
<Select Path="Microsoft-Windows-Windows Defender/WHC">*[System[(EventID=1125 or EventID=1126 or EventID=5007)]]</Select>
</Query>
</QueryList>
Lista de eventos de reducción de superficie expuesta a ataques
Todos los eventos de reducción de superficie expuesta a ataques se encuentran en Registros de aplicaciones y servicios > de Microsoft > Windows y, a continuación, la carpeta o el proveedor, como se muestra en la tabla siguiente.
Puede acceder a estos eventos en el Visor de eventos de Windows:
Abra el menú Inicio y escriba visor de eventos y, a continuación, seleccione el resultado Visor de eventos.
Expanda Registros de aplicaciones y servicios > de Microsoft > Windows y, a continuación, vaya a la carpeta que aparece en Proveedor/origen en la tabla siguiente.
Haga doble clic en el subelemento para ver los eventos. Desplácese por los eventos para encontrar el que está buscando.
| Característica | Proveedor u origen | Id. de evento | Descripción |
|---|---|---|---|
| Protección contra vulnerabilidades de seguridad | Mitigaciones de seguridad (modo kernel/modo de usuario) | 1 | Auditoría de ACG |
| Protección contra vulnerabilidades de seguridad | Mitigaciones de seguridad (modo kernel/modo de usuario) | 2 | Aplicación de ACG |
| Protección contra vulnerabilidades de seguridad | Mitigaciones de seguridad (modo kernel/modo de usuario) | 3 | No permitir auditoría de procesos secundarios |
| Protección contra vulnerabilidades de seguridad | Mitigaciones de seguridad (modo kernel/modo de usuario) | 4 | No permitir bloqueo de procesos secundarios |
| Protección contra vulnerabilidades de seguridad | Mitigaciones de seguridad (modo kernel/modo de usuario) | 5 | Bloquear auditoría de imágenes de integridad baja |
| Protección contra vulnerabilidades de seguridad | Mitigaciones de seguridad (modo kernel/modo de usuario) | 6 | Bloquear bloqueo de imágenes de integridad baja |
| Protección contra vulnerabilidades de seguridad | Mitigaciones de seguridad (modo kernel/modo de usuario) | 7 | Bloquear auditoría de imágenes remota |
| Protección contra vulnerabilidades de seguridad | Mitigaciones de seguridad (modo kernel/modo de usuario) | 8 | Bloquear bloqueo de imágenes remoto |
| Protección contra vulnerabilidades de seguridad | Mitigaciones de seguridad (modo kernel/modo de usuario) | 9 | Deshabilitar auditoría de llamadas del sistema de Win32k |
| Protección contra vulnerabilidades de seguridad | Mitigaciones de seguridad (modo kernel/modo de usuario) | 10 | Deshabilitar bloqueo de llamadas del sistema de Win32k |
| Protección contra vulnerabilidades de seguridad | Mitigaciones de seguridad (modo kernel/modo de usuario) | 11 | Auditoría de protección de integridad de código |
| Protección contra vulnerabilidades de seguridad | Mitigaciones de seguridad (modo kernel/modo de usuario) | 12 | Bloque de protección de integridad de código |
| Protección contra vulnerabilidades de seguridad | Mitigaciones de seguridad (modo kernel/modo de usuario) | 13 | Auditoría de EAF |
| Protección contra vulnerabilidades de seguridad | Mitigaciones de seguridad (modo kernel/modo de usuario) | 14 | Aplicación de EAF |
| Protección contra vulnerabilidades de seguridad | Mitigaciones de seguridad (modo kernel/modo de usuario) | 15 | Auditoría de EAF+ |
| Protección contra vulnerabilidades de seguridad | Mitigaciones de seguridad (modo kernel/modo de usuario) | 16 | Aplicación de EAF+ |
| Protección contra vulnerabilidades de seguridad | Mitigaciones de seguridad (modo kernel/modo de usuario) | 17 | Auditoría de IAF |
| Protección contra vulnerabilidades de seguridad | Mitigaciones de seguridad (modo kernel/modo de usuario) | 18 | Aplicación de IAF |
| Protección contra vulnerabilidades de seguridad | Mitigaciones de seguridad (modo kernel/modo de usuario) | 19 | Auditoría ROP StackPivot |
| Protección contra vulnerabilidades de seguridad | Mitigaciones de seguridad (modo kernel/modo de usuario) | 20 | Aplicación de ROP StackPivot |
| Protección contra vulnerabilidades de seguridad | Mitigaciones de seguridad (modo kernel/modo de usuario) | 21 | Auditoría ROP CallerCheck |
| Protección contra vulnerabilidades de seguridad | Mitigaciones de seguridad (modo kernel/modo de usuario) | 22 | Aplicación de ROP CallerCheck |
| Protección contra vulnerabilidades de seguridad | Mitigaciones de seguridad (modo kernel/modo de usuario) | 23 | Auditoría de ROP SimExec |
| Protección contra vulnerabilidades de seguridad | Mitigaciones de seguridad (modo kernel/modo de usuario) | 24 | Aplicación de ROP SimExec |
| Protección contra vulnerabilidades de seguridad | Diagnósticos WER | 5 | Bloque CFG |
| Protección contra vulnerabilidades de seguridad | Win32K (operativo) | 260 | Fuente que no es de confianza |
| Protección de red | Windows Defender (operativo) | 5007 | Evento cuando se cambia la configuración |
| Protección de red | Windows Defender (operativo) | 1125 | Evento cuando se activa la protección de red en modo de auditoría |
| Protección de red | Windows Defender (operativo) | 1126 | Evento cuando se activa la protección de red en modo de bloque |
| Acceso controlado a carpetas | Windows Defender (operativo) | 5007 | Evento cuando se cambia la configuración |
| Acceso controlado a carpetas | Windows Defender (operativo) | 1124 | Evento de acceso a carpetas controladas auditadas |
| Acceso controlado a carpetas | Windows Defender (operativo) | 1123 | Evento de acceso a carpetas controladas bloqueadas |
| Acceso controlado a carpetas | Windows Defender (operativo) | 1127 | Evento de bloque de escritura del sector de acceso controlado bloqueado |
| Acceso controlado a carpetas | Windows Defender (operativo) | 1128 | Evento de bloque de escritura del sector de acceso controlado auditado a carpetas |
| Reducción de la superficie expuesta a ataques | Windows Defender (operativo) | 5007 | Evento cuando se cambia la configuración |
| Reducción de la superficie expuesta a ataques | Windows Defender (operativo) | 1122 | Evento cuando se activa la regla en modo auditoría |
| Reducción de la superficie expuesta a ataques | Windows Defender (operativo) | 1121 | Evento cuando se activa la regla en modo de bloque |
Nota:
Desde la perspectiva del usuario, las notificaciones del modo de advertencia de reducción de superficie expuesta a ataques se realizan como una notificación del sistema de Windows para las reglas de reducción de la superficie expuesta a ataques.
En la reducción de la superficie expuesta a ataques, Protección de red solo proporciona los modos Auditoría y Bloquear.
Recursos para obtener más información sobre la reducción de la superficie expuesta a ataques
Como se mencionó en el vídeo, Defender for Endpoint incluye varias funcionalidades de reducción de superficie expuesta a ataques. Use los siguientes recursos para obtener más información:
| Artículo | Descripción |
|---|---|
| Control de la aplicación | Use el control de aplicaciones para que las aplicaciones deberán ganar confianza para poder ejecutarse. |
| Referencia de reglas de reducción de superficie expuesta a ataques | Proporciona detalles sobre cada regla de reducción de superficie expuesta a ataques. |
| Guía de implementación de reglas de reducción de superficie expuesta a ataques | Presenta información general y requisitos previos para implementar reglas de reducción de superficie expuesta a ataques, seguida de instrucciones paso a paso para las pruebas (modo auditoría), habilitación (modo de bloque) y supervisión. |
| Acceso controlado a carpetas | Ayuda a evitar que las aplicaciones malintencionadas o sospechosas (incluido el malware ransomware de cifrado de archivos) realicen cambios en los archivos de las carpetas clave del sistema (requiere Microsoft Defender Antivirus). |
| Control de dispositivos | Protege contra la pérdida de datos mediante la supervisión y el control de los medios utilizados en los dispositivos, como el almacenamiento extraíble y las unidades USB, en la organización. |
| Protección contra vulnerabilidades de seguridad | Ayude a proteger los sistemas operativos y las aplicaciones que usa su organización para que no se aprovechen. La protección contra vulnerabilidades también funciona con soluciones antivirus de terceros. |
| Aislamiento basado en hardware | Proteja y mantenga la integridad de un sistema a medida que se inicia y mientras se ejecuta. Valide la integridad del sistema a través de la atestación local y remota. Use el aislamiento de contenedor para Microsoft Edge para ayudar a protegerse frente a sitios web malintencionados. |
| Protección de red | Amplíe la protección al tráfico de red y a la conectividad en los dispositivos de su organización. (Requiere Antivirus de Microsoft Defender). |
| Reglas de reducción de superficie expuesta a ataques de prueba | Proporciona los pasos necesarios para usar el modo de auditoría para probar las reglas de reducción de superficie expuesta a ataques. |
| Protección web | La protección web le permite proteger los dispositivos frente a amenazas web y le ayuda a regular el contenido no deseado. |
Sugerencia
¿Desea obtener más información? Engage con la comunidad de seguridad de Microsoft en nuestra comunidad tecnológica: Microsoft Defender para punto de conexión Tech Community.