Evaluación de líneas base de seguridad

Se aplica a:

• Administración de vulnerabilidades de Microsoft Defender
• Microsoft Defender XDR
• Microsoft Defender para el plan 2 de servidores

Nota:

Para usar esta característica necesitará Administración de vulnerabilidades de Microsoft Defender independiente o si ya es un cliente de Microsoft Defender para punto de conexión Plan 2, el Administración de vulnerabilidades de Defender complemento.

En lugar de ejecutar exámenes de cumplimiento interminables, la evaluación de líneas base de seguridad le ayuda a supervisar continua y sin esfuerzo el cumplimiento de las líneas base de seguridad de su organización e identificar los cambios en tiempo real.

Un perfil de línea base de seguridad es un perfil personalizado que puede crear para evaluar y supervisar los puntos de conexión de su organización en comparación con los puntos de referencia de seguridad del sector. Al crear un perfil de línea base de seguridad, va a crear una plantilla que consta de varias opciones de configuración de dispositivo y una prueba comparativa base con la que comparar.

Las líneas base de seguridad proporcionan compatibilidad con las pruebas comparativas de Center for Internet Security (CIS) para Windows 10, Windows 11 y Windows Server 2008 R2 y versiones posteriores, así como pruebas comparativas de las Guías de implementación técnica de seguridad (STIG) para Windows 10 y Windows Server 2019.

Nota:

Actualmente, las pruebas comparativas solo admiten configuraciones de objetos directiva de grupo (GPO) y no Microsoft Configuration Manager (Intune).

Sugerencia

¿Sabía que puede probar todas las características de Administración de vulnerabilidades de Microsoft Defender de forma gratuita? Obtenga información sobre cómo registrarse para obtener una evaluación gratuita.

Nota:

La evaluación de línea de base de seguridad no se admite cuando DFSS (programación dinámica de acciones equitativas) está habilitada en Windows Server 2012 R2.

Introducción a la evaluación de líneas de base de seguridad

1. Vaya a Evaluación delíneas base de administración >de vulnerabilidadesen el portal de Microsoft Defender.

2. Seleccione la pestaña Perfiles en la parte superior y, a continuación, seleccione el botón Crear perfil .

3. Escriba un nombre y una descripción para el perfil de líneas base de seguridad y seleccione Siguiente.

4. En la página Ámbito del perfil de línea base , establezca la configuración del perfil como software, base benchmark (CIS o STIG) y el nivel de cumplimiento y seleccione Siguiente.

5. Seleccione las configuraciones que desea incluir en el perfil.

   

   Seleccione Personalizar si desea cambiar el valor de configuración de umbral para su organización.

   

6. Seleccione Siguiente para elegir los grupos de dispositivos y las etiquetas de dispositivo que desea incluir en el perfil de línea base. El perfil se aplicará automáticamente a los dispositivos agregados a estos grupos en el futuro.

7. Seleccione Siguiente para revisar el perfil.

8. Seleccione Enviar para crear el perfil.

9. En la página final, seleccione Ver página de perfil para ver los resultados de la evaluación.

Nota:

Puede crear varios perfiles para el mismo sistema operativo con varias personalizaciones.

Al personalizar una configuración, aparecerá un icono junto a él para indicar que se ha personalizado y que ya no usa el valor recomendado. Seleccione el botón restablecer para revertir al valor recomendado.

Iconos útiles que debe tener en cuenta:

: esta configuración se ha personalizado antes. Al crear un nuevo perfil si selecciona Personalizar, verá las variaciones disponibles entre las que puede elegir.

: esta configuración se ha personalizado y no usa el valor predeterminado.

Introducción a la evaluación de líneas de base de seguridad

En la página de información general de la evaluación de líneas de base de seguridad puede ver el cumplimiento de dispositivos, el cumplimiento de perfiles, los principales dispositivos con errores y los principales dispositivos mal configurados.

Revisión de los resultados de la evaluación del perfil de línea de base de seguridad

1. En la página Perfiles , seleccione cualquiera de los perfiles para abrir un control flotante con información adicional.

   

2. Seleccione Abrir página de perfil. La página de perfil contiene dos pestañas Configuraciones y Dispositivos.

Visualización por configuración

En la pestaña Configuraciones , puede revisar la lista de configuraciones y evaluar su estado de cumplimiento notificado.

Al seleccionar una configuración en la lista, verá un control flotante con detalles para la configuración de directiva, incluido el valor recomendado (el intervalo de valores esperado para que un dispositivo se considere compatible) y el origen que se usa para determinar la configuración actual del dispositivo.

En la pestaña Dispositivos se muestra una lista de todos los dispositivos aplicables y su estado de cumplimiento con respecto a esta configuración específica. Para cada dispositivo, puede usar el valor actual detectado para ver por qué es compatible o no.

Visualización por dispositivo

En la pestaña Dispositivos principal, puede revisar la lista de dispositivos y evaluar su estado de cumplimiento notificado.

Al seleccionar un dispositivo en la lista, verá un control flotante con detalles adicionales.

Seleccione la pestaña Configuración para ver el cumplimiento de este dispositivo específico en todas las configuraciones de perfil.

En la parte superior del panel lateral del dispositivo, seleccione Abrir página de dispositivo para ir a la página del dispositivo en el inventario de dispositivos. La página del dispositivo muestra la pestaña Cumplimiento de línea base que proporciona visibilidad pormenorizada sobre el cumplimiento del dispositivo.

Al seleccionar una configuración en la lista, verá un control flotante con los detalles de cumplimiento de la configuración de directiva en este dispositivo.

Creación y administración de excepciones

Es posible que tenga casos en los que no quiera evaluar configuraciones específicas en determinados dispositivos. Por ejemplo, un dispositivo podría estar bajo control de terceros o podría tener una mitigación alternativa ya en vigor. En estas situaciones, puede agregar excepciones para excluir la evaluación de configuraciones específicas en un dispositivo.

Los dispositivos incluidos en las excepciones no se evaluarán para las configuraciones especificadas en los perfiles de línea base. Esto significa que no afectará a las métricas y la puntuación de una organización, y puede ayudar a las organizaciones a tener una visión más clara de su cumplimiento.

Para ver las excepciones:

1. Vaya a Evaluación delíneas base de administración >de vulnerabilidadesen el portal de Microsoft Defender.
2. Seleccione la pestaña Excepciones en la parte superior.

Para agregar una nueva excepción:

1. En la pestaña Excepciones , seleccione el botón Crear .

2. Rellene los detalles solicitados, incluido el motivo de la justificación y la duración.

3. Seleccione Siguiente.

4. En la página Ámbito de configuración , elija el software, la prueba comparativa base y el nivel de cumplimiento y seleccione Siguiente.

5. Seleccione las configuraciones que desea agregar a la excepción.

   

6. Seleccione Siguiente para elegir los dispositivos que desea incluir en la excepción. La excepción se aplicará automáticamente a los dispositivos.

7. Seleccione Siguiente para revisar la excepción.

8. Seleccione Enviar para crear la excepción.

9. En la página final, seleccione Ver todas las excepciones para volver a la página excepciones.

En la página Excepciones , seleccione cualquiera de las excepciones para abrir un panel flotante donde puede ver el estado, editar o eliminar la excepción:

Uso de la búsqueda avanzada

Puede ejecutar consultas de búsqueda avanzadas en las tablas siguientes para obtener visibilidad sobre las líneas base de seguridad de su organización:

• DeviceBaselineComplianceProfiles: proporciona detalles sobre los perfiles creados.
• DeviceBaselineComplianceAssessment: información relacionada con el cumplimiento de dispositivos.
• DeviceBaselineComplianceAssessmentKB: configuración general para las pruebas comparativas CIS y STIG (no relacionadas con ningún dispositivo).

Problemas conocidos con la recopilación de datos

Somos conscientes de problemas conocidos que afectan a la recopilación de datos en determinadas versiones de los bancos de pruebas CIS, STIG y Microsoft. Los problemas pueden provocar resultados inexactos o incompletos al ejecutar pruebas en estas versiones. Estos problemas se están trabajando activamente y se resolverán en futuras actualizaciones.

Se recomienda excluir las pruebas afectadas del perfil de pruebas comparativas mientras se ejecuta la evaluación para evitar el impacto de estos problemas.

Si la versión del banco de pruebas no aparece a continuación y experimenta problemas, póngase en contacto con Soporte técnico de Microsoft para ayudarnos a investigar más y ayudarle a resolverlo.

Las siguientes pruebas comparativas cis, Microsoft y STIG se ven afectadas:

• CEI

  • CIS 17.1.1
  • CIS 17.2.1
  • CIS 17.3.1 a 17.3.2
  • CIS 17.5.1 a 17.5.6
  • CIS 17.6.1 a 17.6.4
  • CIS 17.7.1 a 17.7.5
  • CIS 17.8.1
  • CIS 17.9.1 a 17.9.5

• Adiciones de comprobaciones de CIS

  • CIS 2.3.7.3 a 2.3.7.5
  • CIS 2.3.10.1
  • CIS 1.1.5

• Comprobaciones de Microsoft

  • Microsoft 2.1
  • Microsoft 2.10
  • Microsoft 2.12 a 2.30
  • Microsoft 2.33 a 2.37
  • Microsoft 2.40 a 2.50
  • Microsoft 3.55
  • Microsoft 3.57
  • Microsoft 3.60
  • Microsoft 3.72

• Comprobaciones de Microsoft Certificate Store para Windows y Windows Server

  • MCS 1.1 para Windows 10 1909 (temporal) 1.1.5
  • MCS 2.0 para Windows 10 1909 (temporal) 1.1.5
  • MCS 1.1 para Windows 10 20H2 (temporal) 1.1.5
  • MCS 2.0 para Windows 10 20H2 (temporal) 1.1.5
  • MCS 2.0 para Windows 10 v21H2 1.1.5
  • MCS 2.0 para Windows 10 v22H2 1.1.5
  • MCS 2.0 para Windows 11 1.1.5
  • MCS 2.0 para Windows 11 23H2 1.1.5
  • MCS 2.0 para Windows Server 2022 1.1.5
  • MCS 2.0 para el controlador de dominio de Windows Server 2022 1.1.5
  • MCS 2.0 para Windows Server 2019 1.1.5
  • MCS 2.0 para Windows Server 2019 Domain Controller 1.1.5
  • MCS 2.0 para Windows Server 2016 1.1.5
  • MCS 2.0 para Windows Server 2016 controlador de dominio 1.1.5
  • MCS 2.0 para Windows Server 2012_R2 1.1.5
  • MCS 1.1 para Windows Server 2008_R2 (temporal) 1.1.5
  • MCS 2.0 para el controlador de dominio de Windows Server 2022 2.3.10.1
  • MCS 2.0 para Windows Server 2019 Domain Controller 2.3.10.1
  • MCS 2.0 para Windows Server 2016 controlador de dominio 2.3.10.1

• Lista de STIG

  • STIG SV-205678r569188
  • STIG SV-220746r569187
  • STIG SV-220754r569187
  • STIG SV-220757r569187
  • STIG SV-220760r569187
  • STIG SV-220767r569187
  • STIG SV-220768r569187
  • STIG SV-220768r851975
  • STIG SV-220775r569187
  • STIG SV-220775r851978
  • STIG SV-220786r569187
  • STIG SV-220769r569187
  • STIG SV-225273r569185
  • STIG SV-225281r569185
  • STIG SV-225284r569185
  • STIG SV-225287r569185
  • STIG SV-225292r569185
  • STIG SV-225294r569185
  • STIG SV-225294r852189
  • STIG SV-225295r569185
  • STIG SV-225302r569185
  • STIG SV-225302r852194
  • STIG SV-226092r569184
  • STIG SV-226092r794343
  • STIG SV-226099r569184
  • STIG SV-226099r794279
  • STIG SV-226102r569184
  • STIG SV-226102r794335
  • STIG SV-226107r569184
  • STIG SV-226107r794336
  • STIG SV-226110r569184
  • STIG SV-226110r794366
  • STIG SV-226117r569184
  • STIG SV-226117r794356
  • STIG SV-226117r852079
  • STIG SV-226109r569184
  • STIG SV-226109r794353
  • STIG SV-226109r852074
  • STIG SV-226063r569184
  • STIG SV-226063r794292
  • STIG SV-254271r848629
  • STIG SV-224873r569186

Artículos relacionados

• Vulnerabilidades de mi organización
• Referencia de esquema de búsqueda avanzada