Corrección de las recomendaciones de configuración de invitado

Nota:

Dado que el agente de Log Analytics (también conocido como MMA) se retirará en noviembre de 2024, todas las características de Defender para servidores que dependen actualmente de él, incluidas las que se describen en esta página, estarán disponibles a través de la integración de Microsoft Defender para punto de conexión o el análisis sin agente, antes de la fecha de retirada. Para obtener más información sobre el mapa de ruta de cada una de las características que se basan actualmente en el agente de Log Analytics, consulte este anuncio.

Defender for Cloud evalúa errores de configuración de líneas base para máquinas virtuales (VM) conectadas a la suscripción. La evaluación evalúa las máquinas virtuales con respecto a las líneas base de seguridad predefinidas, identificando las desviaciones o configuraciones incorrectas que podrían suponer posibles riesgos. Al alinear las máquinas virtuales con los procedimientos recomendados de seguridad y las directivas organizativas, puede mantener un entorno informático sólido y seguro.

La información de la máquina se recopila a través de la configuración de invitado de Azure Policy y la evaluación se basa en pruebas comparativas de Microsoft que cubren diversos puntos de referencia y normativas de cumplimiento. Por ejemplo, CIS, STIG y mucho más. La configuración de invitado de Azure Policy habilita las siguientes directivas en la suscripción:

• Base de referencia de configuración de invitado de Azure Policy para Windows

• Línea base de configuración de invitado de Azure Policy para Linux

Nota:

Si quita estas directivas, no podrá acceder a las ventajas de la extensión de configuración de invitado de Azure Policy.

Requisitos previos

• Habilite Plan 2 de Defender para servidores en su suscripción.

• Revise la página de precios de Defender for Cloud para conocer la información sobre los precios de Defender para servidores Plan 2.

Importante

Tenga en cuenta que las características adicionales proporcionadas por la configuración de invitado de Azure Policy que existen fuera del portal de Defender for Cloud no se incluyen con Defender for Cloud y están sujetas a directivas de precios de configuraciones de invitado de Azure Policy. Por ejemplo, la corrección y las directivas personalizadas. Para más información, consulte la página de precios de configuración de invitado de Azure Policy.

• Revise la matriz de compatibilidad para la configuración de invitados de Azure Policy.

• Instale la configuración de invitado de Azure Policy en las máquinas

  • Máquinas de Azure: en el portal de Defender for Cloud, en la página de recomendaciones, busque y seleccione La extensión de configuración de invitados debería instalarse en las máquinas y corrija la recomendación.

  • Solo máquinas virtuales de Azure: debe asignar la identidad administrada en el portal de Defender for Cloud. Vaya a la página de recomendaciones. Busque y seleccione La extensión de configuración de invitado de las máquinas virtuales debe implementarse con una identidad administrada asignada por el sistema. A continuación, corrija la recomendación.

  • (Opcional) Solo máquinas virtuales de Azure: habilite la configuración de invitado de Azure Policy en toda la suscripción.

  • Habilite la extensión de configuración de invitado de Azure Policy en las máquinas de Azure en toda la suscripción:

    1. Inicie sesión en Azure Portal.

    2. Busca y selecciona Microsoft Defender for Cloud.

    3. Navegue hasta Configuración del entorno>Su suscripción>Configuración y supervisión.

       

    4. Cambie el agente de configuración de invitados (versión preliminar) a Activado.

       

    5. Seleccione Continuar.

  • GCP y AWS: la configuración de invitado de Azure Policy se instala automáticamente cuando conecta su proyecto de GCP o sus cuentas de AWS, con el aprovisionamiento automático de Azure Arc habilitado, a Defender for Cloud.

  • Máquinas locales: la configuración de invitado de Azure Policy está habilitada de forma predeterminada cuando se incorporan máquinas locales como máquinas o máquinas virtuales habilitadas para Azure Arc.

Revisión y corrección de las recomendaciones de configuración de invitado

Una vez incorporada la configuración de invitado de Azure Policy a la suscripción, Defender for Cloud comienza a evaluar las máquinas virtuales con respecto a las líneas base de seguridad. En función de los entornos, si se encuentran configuraciones incorrectas, es posible que aparezcan las siguientes recomendaciones en la página de recomendaciones:

• Las vulnerabilidades de la configuración de seguridad de las máquinas Windows deben corregirse (mediante la configuración de invitado)
• Las vulnerabilidades de la configuración de seguridad de las máquinas Linux deben corregirse (mediante la configuración de invitado)

Para revisarlas y corregirlas:

1. Inicie sesión en Azure Portal.

2. Vaya a Defender for Cloud> Recomendaciones**.

3. Busque y seleccione una de las recomendaciones.

4. Revise la recomendación.

5. Corrija la recomendación.

Nota:

Durante el proceso de desuso del agente de Log Analytics, también conocido como Microsoft Monitoring Agent (MMA), puede recibir recomendaciones duplicadas para la misma máquina. Esto se debe al hecho de que la configuración de invitado de MMA y Azure Policy están evaluando la misma máquina. Para evitarlo, puede deshabilitar el MMA en la máquina.

Recomendaciones de consulta con API

Defender for Cloud usa Azure Resource Graph para consultas de API y portal para consultar información de recomendaciones. Puede usar estos recursos para crear sus propias consultas para recuperar información.

Puede obtener información sobre cómo revisar las recomendaciones en Azure Resource Graph.

A continuación, se muestran dos consultas de ejemplo que puede usar:

• Consulta de todas las reglas incorrectas de un recurso específico

  Securityresources 
  | where type == "microsoft.security/assessments/subassessments" 
  | extend assessmentKey=extract(@"(?i)providers/Microsoft.Security/assessments/([^/]*)", 1, id) 
  | where assessmentKey == '1f655fb7-63ca-4980-91a3-56dbc2b715c6' or assessmentKey ==  '8c3d9ad0-3639-4686-9cd2-2b2ab2609bda' 
  | parse-where id with machineId:string '/providers/Microsoft.Security/' * 
  | where machineId  == '{machineId}'
  

• Todas las reglas incorrectas y la cantidad de máquinas incorrectas para cada una

  securityresources 
  | where type == "microsoft.security/assessments/subassessments" 
  | extend assessmentKey=extract(@"(?i)providers/Microsoft.Security/assessments/([^/]*)", 1, id) 
  | where assessmentKey == '1f655fb7-63ca-4980-91a3-56dbc2b715c6' or assessmentKey ==  '8c3d9ad0-3639-4686-9cd2-2b2ab2609bda' 
  | parse-where id with * '/subassessments/' subAssessmentId:string 
  | parse-where id with machineId:string '/providers/Microsoft.Security/' * 
  | extend status = tostring(properties.status.code) 
  | summarize count() by subAssessmentId, status
  

Para obtener más información sobre cómo crear consultas más detalladas, obtenga más información sobre el lenguaje de consulta de Azure Resource Graph.

Nota:

Durante el proceso de desuso del agente de Log Analytics, también conocido como Microsoft Monitoring Agent (MMA), puede recibir recomendaciones duplicadas para la misma máquina. Esto se debe al hecho de que la configuración de invitado de MMA y Azure Policy están evaluando la misma máquina. Para evitarlo, puede deshabilitar el MMA en la máquina.

Paso siguiente

Revisar las recomendaciones de protección de host de Docker