Corrección de las recomendaciones de configuración de invitado

Defender for Cloud evalúa errores de configuración de líneas base para máquinas virtuales (VM) conectadas a la suscripción. La evaluación evalúa las máquinas virtuales con respecto a las líneas base de seguridad predefinidas, identificando las desviaciones o configuraciones incorrectas que podrían suponer posibles riesgos. Al alinear las máquinas virtuales con los procedimientos recomendados de seguridad y las directivas organizativas, puede mantener un entorno informático sólido y seguro.

La información de la máquina se recopila a través de la configuración de invitado de Azure Policy y la evaluación se basa en pruebas comparativas de Microsoft que cubren diversos puntos de referencia y normativas de cumplimiento. Por ejemplo, CIS, STIG y mucho más. La configuración de invitado de Azure Policy habilita las siguientes directivas en la suscripción:

• Base de referencia de configuración de invitado de Azure Policy para Windows

• Línea base de configuración de invitado de Azure Policy para Linux

Requisitos previos

• Habilite Plan 2 de Defender para servidores en su suscripción.

• Revise la página de precios de Defender for Cloud para conocer la información sobre los precios de Defender para servidores Plan 2.

• Revise la matriz de compatibilidad para la configuración de invitados de Azure Policy.

• Instale la configuración de invitado de Azure Policy en las máquinas

  • Máquinas de Azure: en el portal de Defender for Cloud, en la página de recomendaciones, busque y seleccione La extensión de configuración de invitados debería instalarse en las máquinas y corrija la recomendación.

  • Solo máquinas virtuales de Azure: debe asignar la identidad administrada en el portal de Defender for Cloud. Vaya a la página de recomendaciones. Busque y seleccione La extensión de configuración de invitado de las máquinas virtuales debe implementarse con una identidad administrada asignada por el sistema. A continuación, corrija la recomendación.

  • (Opcional) Solo máquinas virtuales de Azure: habilite la configuración de invitado de Azure Policy en toda la suscripción.

  • Habilite la extensión de configuración de invitado de Azure Policy en las máquinas de Azure en toda la suscripción:

    1. Inicie sesión en Azure Portal.

    2. Busca y selecciona Microsoft Defender for Cloud.

    3. Navegue hasta Configuración del entorno>Su suscripción>Configuración y supervisión.

       

    4. Cambie el agente de configuración de invitados (versión preliminar) a Activado.

       

    5. Seleccione Continuar.

  • GCP y AWS: la configuración de invitado de Azure Policy se instala automáticamente cuando conecta su proyecto de GCP o sus cuentas de AWS, con el aprovisionamiento automático de Azure Arc habilitado, a Defender for Cloud.

  • Máquinas locales: la configuración de invitado de Azure Policy está habilitada de forma predeterminada cuando se incorporan máquinas locales como máquinas o máquinas virtuales habilitadas para Azure Arc.

Revisión y corrección de las recomendaciones de configuración de invitado

Una vez incorporada la configuración de invitado de Azure Policy a la suscripción, Defender for Cloud comienza a evaluar las máquinas virtuales con respecto a las líneas base de seguridad. En función de los entornos, si se encuentran configuraciones incorrectas, es posible que aparezcan las siguientes recomendaciones en la página de recomendaciones:

• Las vulnerabilidades de la configuración de seguridad de las máquinas Windows deben corregirse (mediante la configuración de invitado)
• Las vulnerabilidades de la configuración de seguridad de las máquinas Linux deben corregirse (mediante la configuración de invitado)

Para revisarlas y corregirlas:

1. Inicie sesión en Azure Portal.

2. Vaya a Defender for Cloud> Recomendaciones**.

3. Busque y seleccione una de las recomendaciones.

4. Revise la recomendación.

5. Corrija la recomendación.

Recomendaciones de consulta con API

Defender for Cloud usa Azure Resource Graph para consultas de API y portal para consultar información de recomendaciones. Puede usar estos recursos para crear sus propias consultas para recuperar información.

Puede obtener información sobre cómo revisar las recomendaciones en Azure Resource Graph.

A continuación, se muestran dos consultas de ejemplo que puede usar:

• Consulta de todas las reglas incorrectas de un recurso específico

  Securityresources 
  | where type == "microsoft.security/assessments/subassessments" 
  | extend assessmentKey=extract(@"(?i)providers/Microsoft.Security/assessments/([^/]*)", 1, id) 
  | where assessmentKey == '1f655fb7-63ca-4980-91a3-56dbc2b715c6' or assessmentKey ==  '8c3d9ad0-3639-4686-9cd2-2b2ab2609bda' 
  | parse-where id with machineId:string '/providers/Microsoft.Security/' * 
  | where machineId  == '{machineId}'
  

• Todas las reglas incorrectas y la cantidad de máquinas incorrectas para cada una

  securityresources 
  | where type == "microsoft.security/assessments/subassessments" 
  | extend assessmentKey=extract(@"(?i)providers/Microsoft.Security/assessments/([^/]*)", 1, id) 
  | where assessmentKey == '1f655fb7-63ca-4980-91a3-56dbc2b715c6' or assessmentKey ==  '8c3d9ad0-3639-4686-9cd2-2b2ab2609bda' 
  | parse-where id with * '/subassessments/' subAssessmentId:string 
  | parse-where id with machineId:string '/providers/Microsoft.Security/' * 
  | extend status = tostring(properties.status.code) 
  | summarize count() by subAssessmentId, status
  

Para obtener más información sobre cómo crear consultas más detalladas, obtenga más información sobre el lenguaje de consulta de Azure Resource Graph.

Paso siguiente