Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Administración de superficie expuesta a ataques externos de Microsoft Defender (Defender EASM) detecta y asigna continuamente la superficie de ataque digital para proporcionar una vista externa de la infraestructura en línea. Esta visibilidad ayuda a los equipos de seguridad y TI a identificar desconocidos, priorizar el riesgo, eliminar amenazas y ampliar el control de vulnerabilidad y exposición más allá del firewall. La información de superficie expuesta a ataques se genera mediante el análisis de datos de vulnerabilidades y de infraestructura para mostrar las áreas clave que preocupan a su organización.
la integración de Microsoft Security Copilot (Security Copilot) en Defender EASM le ayuda a interactuar con las superficies de ataque detectadas por Microsoft. La identificación de superficies expuestas a ataques ayuda a la organización a comprender rápidamente su infraestructura externa y los riesgos importantes y críticos. Proporciona información sobre áreas específicas de riesgo, incluidas las vulnerabilidades, el cumplimiento y la higiene de seguridad.
Para obtener más información sobre Security Copilot, consulte ¿Qué es Security Copilot? Para obtener información sobre la experiencia de Security Copilot incrustada, consulte Consulta de la superficie expuesta a ataques con Defender EASM mediante Azure Copilot.
Saber antes de empezar
Si no está familiarizado con Security Copilot, es una buena idea familiarizarse con la solución mediante la lectura de estos artículos:
- ¿Qué es Seguridad de Microsoft Copilot?
- experiencias de Security Copilot
- Introducción a Seguridad de Copilot
- Descripción de la autenticación en Security Copilot
- Preguntar en Security Copilot
Security Copilot en Defender EASM
Security Copilot puede exponer información de Defender EASM sobre la superficie expuesta a ataques de la organización. Puede usar Security Copilot características integradas. Para obtener más información, use los mensajes en Security Copilot. La información puede ayudarle a comprender su posición de seguridad y a mitigar las vulnerabilidades.
En este artículo se presenta Security Copilot e incluye mensajes de ejemplo que pueden ayudar a Defender EASM usuarios.
Características principales
La integración EASM Security Copilot puede ayudarle a:
Obtenga una instantánea de la superficie expuesta a ataques externos y genere información sobre posibles riesgos.
Para obtener una vista rápida de la superficie expuesta a ataques externos, analice la información disponible en Internet combinada con el algoritmo de detección propietario Defender EASM. Proporciona una explicación en lenguaje natural fácil de entender de los recursos externos de la organización, como hosts, dominios, páginas web y direcciones IP. Resalta los riesgos críticos asociados a cada uno de ellos.
Priorice los esfuerzos de corrección en función del riesgo de los recursos y los elementos de lista Vulnerabilidades y exposiciones comunes (CVE).
Defender EASM ayuda a los equipos de seguridad a priorizar sus esfuerzos de corrección ayudándoles a comprender qué recursos y CVE suponen el mayor riesgo en su entorno. Analiza los datos de vulnerabilidad e infraestructura para mostrar áreas clave de preocupación, proporcionando una explicación en lenguaje natural de los riesgos y las acciones recomendadas.
Use Security Copilot para exponer conclusiones.
Puede usar Security Copilot para preguntar sobre la información mediante lenguaje natural y extraer conclusiones de Defender EASM sobre la superficie expuesta a ataques de su organización. Detalles de consulta como el número de certificados de capa de sockets seguros (SSL) que no son seguros, puertos detectados y vulnerabilidades específicas que afectan a la superficie expuesta a ataques.
Acelere la conservación de la superficie expuesta a ataques.
Usa Security Copilot para mantener la superficie expuesta a ataques mediante etiquetas, identificadores externos y modificaciones de estado para un conjunto de recursos. Este proceso acelera la curación para que pueda organizar el inventario de forma más rápida y eficaz.
Habilitación de la integración Security Copilot
Para configurar Security Copilot integración en Defender EASM, complete los pasos descritos en las secciones siguientes.
Requisitos previos
Para habilitar la integración, debe tener estos requisitos previos:
- Acceso a Microsoft Security Copilot
- Permisos para activar nuevas conexiones
Conexión de Security Copilot a Defender EASM
Acceda a Security Copilot y asegúrese de que está autenticado.
Seleccione el icono de complemento Security Copilot en la parte superior derecha de la barra de entrada del símbolo del sistema.
En Microsoft, busque Administración de superficie expuesta a ataques externos de Defender. Seleccione Activado para conectarse.
Si desea que Security Copilot extraiga datos del recurso de Defender EASM, seleccione el icono de engranaje para abrir la configuración del complemento. Escriba o seleccione valores mediante los valores de la sección Essentials del recurso en el panel Información general .
Nota:
Puede usar sus aptitudes de Defender EASM incluso si no ha comprado Defender EASM. Para obtener más información, consulte Referencia de funcionalidades de complemento.
Solicitudes de Defender EASM de ejemplo
Security Copilot usa principalmente mensajes de lenguaje natural. Al consultar información de Defender EASM, envía un mensaje que guía Security Copilot para seleccionar el complemento Defender EASM e invocar la funcionalidad pertinente.
Para que los mensajes de Security Copilot se realicen correctamente, se recomiendan los siguientes enfoques:
Asegúrese de hacer referencia al nombre de la empresa en el primer aviso. A menos que se especifique lo contrario, todas las solicitudes futuras proporcionan datos sobre la empresa especificada inicialmente.
Sea claro y específico con sus indicaciones. Puede obtener mejores resultados si incluye nombres de recursos específicos o valores de metadatos (por ejemplo, identificadores de CVE) en los mensajes.
También puede resultar útil agregar Defender EASM al símbolo del sistema, como en estos ejemplos:
- Según Defender EASM, ¿cuáles son mis dominios expirados?
- Cuéntame sobre Defender EASM información de superficie expuesta a ataques de alta prioridad.
Experimente con diferentes avisos y variaciones para ver lo que funciona mejor para su caso de uso. Los modelos de IA del chat varían, así que repite y mejora los mensajes en función de los resultados que reciba.
Seguridad de Copilot guarda las sesiones de solicitud. Para ver sesiones anteriores, en Security Copilot, en el menú, seleccione Mis sesiones.
Para obtener un tutorial de Security Copilot, incluidas las características de anclaje y uso compartido, consulte Navegar Security Copilot.
Para obtener más información sobre cómo escribir mensajes de Security Copilot, consulte Security Copilot sugerencias de solicitud.
Referencia de funcionalidades del complemento
| Funcionalidad | Descripción | Entradas | Behaviors |
|---|---|---|---|
| Obtención del resumen de la superficie expuesta a ataques | Devuelve el resumen de la superficie expuesta a ataques para el recurso Defender EASM del cliente o un nombre de empresa específico. |
Entradas de ejemplo: • Obtener la superficie expuesta a ataques para LinkedIn. • Obtener mi superficie expuesta a ataques. • ¿Cuál es la superficie expuesta a ataques para Microsoft? • ¿Cuál es mi superficie expuesta a ataques? • ¿Cuáles son los recursos externos para Azure? • ¿Cuáles son mis recursos externos? Entradas opcionales: • CompanyName |
Si el complemento está configurado en un recurso de Defender EASM activo y no se especifica ninguna otra empresa: • Devuelve un resumen de la superficie expuesta a ataques para el recurso Defender EASM del cliente. Si se proporciona otro nombre de empresa: • Si no se encuentra ninguna coincidencia exacta para el nombre de la empresa, devuelve una lista de posibles coincidencias. • Si hay una coincidencia exacta, devuelve el resumen de la superficie expuesta al ataque para el nombre de la empresa. |
| Obtener información sobre la superficie expuesta a ataques | Devuelve la información de superficie expuesta a ataques para el recurso de Defender EASM del cliente o un nombre de empresa específico. |
Entradas de ejemplo: • Obtenga información sobre la superficie expuesta a ataques de alta prioridad para LinkedIn. • Obtén mi información de superficie expuesta a ataques de alta prioridad. • Obtenga información sobre la superficie expuesta a ataques de prioridad baja para Microsoft. • Obtenga información sobre la superficie expuesta a ataques de prioridad baja. • ¿Tengo vulnerabilidades de alta prioridad en mi superficie de ataque externo para Azure? Entradas necesarias: • PriorityLevel (el nivel de prioridad debe ser alto, medio o bajo; si no se proporciona, el valor predeterminado es alto) Entradas opcionales: • CompanyName (nombre de la empresa) |
Si el complemento está configurado en un recurso de Defender EASM activo y no se especifica ninguna otra empresa: • Devuelve información de superficie expuesta a ataques para el recurso Defender EASM del cliente. Si se proporciona otro nombre de empresa: • Si no se encuentra ninguna coincidencia exacta para el nombre de la empresa, devuelve una lista de posibles coincidencias. • Si hay una coincidencia exacta, devuelve la información de la superficie expuesta a ataques para el nombre de la empresa. |
| Obtención de recursos afectados por un CVE | Devuelve los recursos afectados por un CVE para el recurso Defender EASM del cliente o un nombre de empresa específico. |
Entradas de ejemplo: • Obtener activos afectados por CVE-2023-0012 para LinkedIn. • ¿Qué activos se ven afectados por CVE-2023-0012 para Microsoft? • ¿La superficie expuesta a ataques externos de Azure se ve afectada por CVE-2023-0012? • Obtener activos afectados por CVE-2023-0012 para mi superficie de ataque. • ¿Cuál de mis activos se ve afectado por CVE-2023-0012? • ¿Mi superficie expuesta a ataques externos se ve afectada por CVE-2023-0012? Entradas necesarias: • CveId Entradas opcionales: • CompanyName |
Si el complemento está configurado en un recurso de Defender EASM activo y no se especifica ninguna otra empresa: • Si la configuración del complemento no se rellena, no se puede realizar correctamente y recordar a los clientes. • Si se rellena la configuración del complemento, devuelve los recursos afectados por un CVE para el recurso Defender EASM del cliente. Si se proporciona otro nombre de empresa: • Si no se encuentra ninguna coincidencia exacta para el nombre de la empresa, devuelve una lista de posibles coincidencias. • Si hay una coincidencia exacta, devuelve los activos afectados por un CVE para el nombre específico de la empresa. |
| Obtención de recursos afectados por un CVSS | Devuelve los recursos afectados por una puntuación del sistema de puntuación de vulnerabilidades comunes (CVSS) para el recurso Defender EASM del cliente o un nombre de empresa específico. |
Entradas de ejemplo: • Obtener activos afectados por puntuaciones CVSS de alta prioridad en la superficie de ataque de LinkedIn. • ¿Cuántos recursos tienen una puntuación de CVSS crítica para Microsoft? • ¿Qué activos tienen puntuaciones críticas de CVSS para Azure? • Obtener activos afectados por puntuaciones CVSS de alta prioridad en mi superficie de ataque. • ¿Cuántos de mis recursos tienen puntuaciones críticas de CVSS? • ¿Cuál de mis activos tiene puntuaciones críticas de CVSS? Entradas necesarias: • CvssPriority (la prioridad cvss debe ser crítica, alta, media o baja) Entradas opcionales: • CompanyName |
Si el complemento está configurado en un recurso de Defender EASM activo y no se especifica ninguna otra empresa: • Si la configuración del complemento no se rellena, no se puede realizar correctamente y recordar a los clientes. • Si se rellena la configuración del complemento, devuelve los recursos afectados por una puntuación CVSS para el recurso de Defender EASM del cliente. Si se proporciona otro nombre de empresa: • Si no se encuentra ninguna coincidencia exacta para el nombre de la empresa, devuelve una lista de posibles coincidencias. • Si hay una coincidencia exacta, devuelve los activos afectados por una puntuación CVSS para el nombre específico de la empresa. |
| Obtención de dominios expirados | Devuelve el número de dominios expirados para el recurso de Defender EASM del cliente o un nombre de empresa específico. |
Entradas de ejemplo: • ¿Cuántos dominios han expirado en la superficie de ataque de LinkedIn? • ¿Cuántos recursos usan dominios expirados para Microsoft? • ¿Cuántos dominios han expirado en mi superficie expuesta a ataques? • ¿Cuántos de mis recursos usan dominios expirados para Microsoft? Entradas opcionales: • CompanyName |
Si el complemento está configurado en un recurso de Defender EASM activo y no se especifica ninguna otra empresa: • Devuelve el número de dominios expirados para el recurso de Defender EASM del cliente. Si se proporciona otro nombre de empresa: • Si no se encuentra ninguna coincidencia exacta para el nombre de la empresa, devuelve una lista de posibles coincidencias. • Si hay una coincidencia exacta, devuelve el número de dominios expirados para el nombre específico de la empresa. |
| Obtención de certificados expirados | Devuelve el número de certificados SSL expirados para el recurso de Defender EASM del cliente o un nombre de empresa específico. |
Entradas de ejemplo: • ¿Cuántos certificados SSL han expirado para LinkedIn? • ¿Cuántos recursos usan certificados SSL expirados para Microsoft? • ¿Cuántos certificados SSL han expirado para mi superficie expuesta a ataques? • ¿Cuáles son mis certificados SSL expirados? Entradas opcionales: • CompanyName |
Si el complemento está configurado en un recurso de Defender EASM activo y no se especifica ninguna otra empresa: • Devuelve el número de certificados SSL para el recurso Defender EASM del cliente. Si se proporciona otro nombre de empresa: • Si no se encuentra ninguna coincidencia exacta para el nombre de la empresa, devuelve una lista de posibles coincidencias. • Si hay una coincidencia exacta, devuelve el número de certificados SSL para el nombre específico de la empresa. |
| Obtención de certificados SHA1 | Devuelve el número de certificados SSL SHA1 para el recurso Defender EASM del cliente o un nombre de empresa específico. |
Entradas de ejemplo: • ¿Cuántos certificados SSL SHA1 están presentes para LinkedIn? • ¿Cuántos recursos usan SSL SHA1 para Microsoft? • ¿Cuántos certificados SSL SHA1 están presentes para mi superficie expuesta a ataques? • ¿Cuántos de mis recursos usan SSL SHA1? Entradas opcionales: • CompanyName |
Si el complemento está configurado en un recurso de Defender EASM activo y no se especifica ninguna otra empresa: • Devuelve el número de certificados SSL SHA1 para el recurso Defender EASM del cliente. Si se proporciona otro nombre de empresa: • Si no se encuentra ninguna coincidencia exacta para el nombre de la empresa, devuelve una lista de posibles coincidencias. • Si hay una coincidencia exacta, devuelve el número de certificados SSL SHA1 para el nombre de empresa específico. |
| Traducción del lenguaje natural a una consulta de Defender EASM | Convierte cualquier pregunta de lenguaje natural en una consulta Defender EASM y devuelve los recursos que coinciden con la consulta. |
Entradas de ejemplo: • ¿Qué recursos usan la versión 3.1.0 de jQuery? • Haga que los hosts con el puerto 80 abierto en mi superficie de ataque. • Busque todos los recursos de página, host y ASN en mi inventario que tengan una dirección IP que sea IP X, IP Y o IP Z. • ¿Cuál de mis activos tiene un correo electrónico registrador de <name@example.com>? |
Si el complemento está configurado en un recurso de Defender EASM activo: • Devuelve los recursos que coinciden con la consulta traducida. |
Cambio entre los datos de recursos y los datos de la empresa
Aunque hemos agregado la integración de recursos para nuestras aptitudes, seguimos admitiendo la extracción de datos de superficies de ataque precompiladas para empresas específicas. Para mejorar la precisión de Security Copilot en la determinación de cuándo un cliente quiere extraer de su superficie expuesta a ataques o de una superficie de ataque precompilada de la empresa, se recomienda usar misuperficie expuesta a ataques, etc., para transmitir que desea usar el recurso. Use sunombre de empresa específico, etc., para transmitir que desea usar una superficie de ataque precompilada. Aunque este enfoque mejora la experiencia en una sola sesión, se recomienda encarecidamente usar dos sesiones independientes para evitar confusiones.
Enviar comentarios
Sus comentarios sobre Security Copilot en general, y el complemento Defender EASM específicamente, es vital para guiar el desarrollo actual y planeado del producto. La manera óptima de proporcionar estos comentarios es directamente en el producto, usando los botones de comentarios en la parte inferior de cada mensaje completado. Seleccione Apariencia correcta, Mejora de las necesidades o Inapropiada. Te recomendamos que elijas Looks right cuando el resultado coincida con las expectativas, Needs improvement when it doesn't y Inappropriate cuando el resultado sea perjudicial de alguna manera.
Siempre que sea posible, y especialmente cuando el resultado que seleccione sea Necesita mejora, escriba unas palabras para explicar lo que podemos hacer para mejorar el resultado. Esta solicitud también se aplica cuando se espera que Security Copilot invoque el complemento Defender EASM, pero en su lugar se activa un complemento diferente.
Privacidad y seguridad de los datos en Security Copilot
Cuando interactúa con Security Copilot para obtener datos Defender EASM, Copilot extrae esos datos de Defender EASM. Los mensajes, los datos que se recuperan y la salida que se muestra en los resultados de la solicitud se procesan y almacenan en el servicio Security Copilot.
Para obtener más información sobre la privacidad de los datos en Security Copilot, consulte Privacidad y seguridad de datos en Security Copilot.