Introducción a la modificación de recursos

En este artículo se describe cómo modificar los recursos de inventario. Puede cambiar el estado de un recurso, asignar un identificador externo o aplicar etiquetas para ayudar a proporcionar contexto y usar datos de inventario. También puede marcar los CVE y otras observaciones como no aplicables para quitarlos de los recuentos notificados. También puede quitar recursos de su inventario de forma masiva en función del método con el que se detectan. Por ejemplo, los usuarios pueden quitar un valor de inicialización de un grupo de detección y optar por quitar los recursos que se detectan a través de una conexión a este valor de inicialización. En este artículo se describen todas las opciones de modificación disponibles en Defender EASM y se describe cómo actualizar recursos y realizar un seguimiento de las actualizaciones con el Administrador de tareas.

Etiquetar recursos

Las etiquetas le ayudan a organizar la superficie expuesta a ataques y a aplicar el contexto empresarial de forma personalizable. Puede aplicar cualquier etiqueta de texto a un subconjunto de recursos para agrupar recursos y hacer un mejor uso del inventario. Los clientes suelen clasificar los recursos que:

  • Recientemente ha pasado a ser propiedad de su organización a través de una fusión o adquisición.
  • Requerir supervisión de cumplimiento.
  • Pertenecen a una unidad de negocio específica de su organización.
  • Se ven afectados por una vulnerabilidad específica que requiere mitigación.
  • Se relaciona con una marca determinada propiedad de la organización.
  • Se agregaron al inventario dentro de un intervalo de tiempo específico.

Las etiquetas son campos de texto de forma libre, por lo que puede crear una etiqueta para cualquier caso de uso que se aplique a su organización.

Captura de pantalla que muestra una vista de lista de inventario con una columna etiquetas filtradas.

Cambio del estado de un recurso

Los usuarios también pueden cambiar el estado de un recurso. Los estados ayudan a clasificar el inventario en función de su rol en la organización. Los usuarios pueden cambiar entre los siguientes estados:

  • Inventario aprobado: una parte de la superficie de ataque de su propiedad; un elemento del que es directamente responsable.
  • Dependencia: infraestructura propiedad de un tercero, pero que forma parte de la superficie expuesta a ataques porque admite directamente el funcionamiento de los recursos de su propiedad. Por ejemplo, puede depender de un proveedor de TI para hospedar el contenido web. Aunque el dominio, el nombre de host y las páginas formarían parte del "Inventario aprobado", es posible que desee tratar la dirección IP que ejecuta el host como una "dependencia".
  • Solo supervisión: un recurso que es relevante para la superficie expuesta a ataques, pero no está controlado directamente por su organización, ni por una dependencia técnica. Por ejemplo, los franquiciados o activos independientes pertenecientes a empresas relacionadas podrían etiquetarse como "Solo supervisión" en lugar de "Inventario aprobado" para separar los grupos con fines de informes.
  • Candidato: un recurso que tiene alguna relación con los recursos de inicialización conocidos de su organización, pero que no tiene una conexión lo suficientemente fuerte como para etiquetarlo inmediatamente como "Inventario aprobado". Estos recursos candidatos se deben revisar manualmente para determinar la propiedad.
  • Requiere investigación: un estado similar a los estados "Candidato", pero este valor se aplica a los recursos que requieren una investigación manual para validar. Esto se determina en función de nuestras puntuaciones de confianza generadas internamente que evalúan la solidez de las conexiones detectadas entre los recursos. No indica la relación exacta de la infraestructura con la organización, tanto como indica que este recurso se ha marcado como que requiere una revisión adicional para determinar cómo se debe clasificar.

Aplicar un Id. externa

Los usuarios también pueden aplicar un identificador externo a un recurso. Esta acción es útil en situaciones en las que se emplean varias soluciones para el seguimiento de activos, las actividades de corrección o la supervisión de la propiedad; ver los identificadores externos dentro de Defender EASM le ayuda a alinear esta información de recursos dispare. Id. externa valores pueden ser numéricos o alfanuméricos y deben escribirse en formato de texto. Los identificadores externos también se muestran en la sección Detalles del recurso.

Marcar la observación como no aplicable

Muchos paneles de Defender EASM incluyen datos de CVE, lo que atrae la atención sobre posibles vulnerabilidades basadas en la infraestructura de componentes web que alimenta la superficie expuesta a ataques. Por ejemplo, los CVE aparecen en el panel resumen de La superficie expuesta a ataques, categorizados por su gravedad potencial. Al investigar estos CVE, puede determinar que algunos no son relevantes para su organización. Esto puede deberse a que está ejecutando una versión sin obstáculos del componente web o que su organización tiene diferentes soluciones técnicas para protegerle de esa vulnerabilidad específica.

En la vista de obtención de detalles de cualquier gráfico relacionado con CVE, junto al botón "Descargar informe CSV", ahora tiene la opción de establecer una observación como no aplicable. Al hacer clic en este valor, se le enruta a una lista de inventario de todos los activos asociados a esa observación y, a continuación, puede elegir marcar todas las observaciones como no aplicables desde esta página. El cambio real se realiza desde la vista Lista de inventario o desde la página Detalles del recurso de un recurso determinado.

Captura de pantalla de la vista de obtención de detalles del panel con el botón

Modificación de recursos

Puede modificar los recursos de la lista de inventario y de las páginas de detalles de recursos. Puede realizar cambios en un solo recurso desde la página de detalles del recurso. Puede realizar cambios en un solo recurso o en varios recursos desde la página de lista de inventario. En las secciones siguientes se describe cómo aplicar los cambios de las dos vistas de inventario en función del caso de uso.

Página de lista de inventario

Debe modificar los recursos de la página de lista de inventario si desea actualizar varios recursos a la vez. Puede refinar la lista de recursos en función de los parámetros de filtro. Este proceso le ayuda a identificar los recursos que deben clasificarse con la etiqueta, el identificador externo o el cambio de estado que desee. Para modificar los recursos de esta página:

  1. En el panel izquierdo del recurso de Administración de superficie expuesta a ataques externos de Microsoft Defender (Defender EASM), seleccione Inventario.

  2. Aplique filtros para generar los resultados previstos. En este ejemplo, estamos buscando dominios que expiren en un plazo de 30 días que requieran renovación. La etiqueta aplicada le ayuda a acceder más rápidamente a los dominios que expiran para simplificar el proceso de corrección. Puede aplicar tantos filtros como sea necesario para obtener los resultados específicos necesarios. Para obtener más información sobre los filtros, consulte Información general sobre los filtros de inventario. En el caso de las instancias en las que desea marcar los CVE como no aplicables, la obtención de detalles del gráfico de panel pertinente proporciona un vínculo que le enruta directamente a esta página Inventario con los filtros correctos aplicados.

    Captura de pantalla que muestra la vista de lista de inventario con la lista desplegable Agregar filtro abierta para mostrar el editor de consultas.

  3. Una vez filtrada la lista de inventario, seleccione la lista desplegable junto a la casilla situada junto al encabezado De la tabla de recursos . Esta lista desplegable le ofrece la opción de seleccionar todos los resultados que coincidan con la consulta o los resultados de esa página específica (hasta 25). La opción Ninguno borra todos los recursos. También puede seleccionar solo resultados específicos en la página seleccionando las marcas de verificación individuales junto a cada recurso.

    Captura de pantalla que muestra la vista de lista de inventario con la lista desplegable de selección masiva abierta.

  4. Seleccione Modificar recursos.

    Captura de pantalla que muestra las opciones de modificación disponibles.

  5. En el panel Modificar recursos que se abre en el lado derecho de la pantalla, puede cambiar rápidamente varios campos de los recursos seleccionados. En este ejemplo, creará una nueva etiqueta. Seleccione Crear una nueva etiqueta.

  6. Determine el nombre de la etiqueta y los valores de texto para mostrar. El nombre de la etiqueta no se puede cambiar después de crear inicialmente la etiqueta, pero el texto para mostrar se puede editar más adelante. El nombre de la etiqueta se usa para consultar la etiqueta en la interfaz del producto o a través de la API, por lo que las modificaciones se deshabilitan para asegurarse de que estas consultas funcionan correctamente. Para editar un nombre de etiqueta, debe eliminar la etiqueta original y crear una nueva.

    Seleccione un color para la nueva etiqueta y seleccione Agregar. Esta acción le lleva de vuelta a la pantalla Modificar recursos .

    Captura de pantalla que muestra el panel Agregar etiqueta que muestra los campos de configuración.

  7. Aplique la nueva etiqueta a los recursos. Haga clic en el cuadro de texto Agregar etiquetas para ver una lista completa de las etiquetas disponibles. O bien, puede escribir dentro del cuadro para buscar por palabra clave. Después de seleccionar las etiquetas que desea aplicar, seleccione Actualizar.

    Captura de pantalla que muestra el panel Modificar recurso con la etiqueta recién creada aplicada.

  8. Espere unos instantes para que se apliquen las etiquetas. Una vez finalizado el proceso, verá una notificación "Completada". La página se actualiza automáticamente y muestra la lista de recursos con las etiquetas visibles. Un banner en la parte superior de la pantalla confirma que se han aplicado las etiquetas.

    Captura de pantalla que muestra la vista de lista de inventario con los recursos seleccionados que ahora muestran la nueva etiqueta.

Página de detalles del recurso

También puede modificar un solo recurso desde la página de detalles del recurso. Esta opción es ideal para situaciones en las que los recursos deben revisarse exhaustivamente antes de aplicar una etiqueta o un cambio de estado.

  1. En el panel izquierdo del recurso de Defender EASM, seleccione Inventario.

  2. Seleccione el recurso específico que desea modificar para abrir la página de detalles del recurso.

  3. En esta página, seleccione Modificar recurso.

    Captura de pantalla que muestra la página de detalles del recurso con el botón Modificar recurso resaltado.

  4. Siga los pasos del 5 al 7 en la sección "Lista de inventario".

  5. La página de detalles del recurso se actualiza y muestra la etiqueta o el cambio de estado recién aplicados. Un banner indica que el recurso se actualizó correctamente.

Modificar, quitar o eliminar etiquetas

Los usuarios pueden quitar una etiqueta de un recurso accediendo al mismo panel Modificar recurso desde la lista de inventario o la vista de detalles del recurso. En la vista de lista de inventario, puede seleccionar varios recursos a la vez y, a continuación, agregar o quitar la etiqueta deseada en una acción.

Para modificar la propia etiqueta o eliminar una etiqueta del sistema:

  1. En el panel izquierdo del recurso de Defender EASM, seleccione Etiquetas (versión preliminar).

    Captura de pantalla que muestra la página Etiquetas (versión preliminar) que permite la administración de etiquetas.

    Esta página muestra todas las etiquetas del inventario de Defender EASM. Las etiquetas de esta página pueden existir en el sistema, pero no se aplican activamente a ningún recurso. También puede agregar nuevas etiquetas desde esta página.

  2. Para editar una etiqueta, seleccione el icono de lápiz en la columna Acciones de la etiqueta que desea editar. Se abre un panel en el lado derecho de la pantalla, donde puede modificar el nombre o el color de una etiqueta. Seleccione Actualizar.

  3. Para quitar una etiqueta, seleccione el icono de papelera de la columna Acciones de la etiqueta que desea eliminar. Seleccione Quitar etiqueta.

    Captura de pantalla que muestra la opción Confirmar quitar en la página De administración de etiquetas.

La página Etiquetas se actualiza automáticamente. La etiqueta se quita de la lista y también se quita de los recursos que tenían aplicada la etiqueta. Un banner confirma la eliminación.

Marcar las observaciones como no aplicables

Aunque las observaciones se pueden marcar como no aplicables desde las mismas pantallas "Modificar recursos" para otros cambios manuales, también puede realizar estas actualizaciones desde la pestaña Observaciones de Detalles del recurso. La pestaña Observaciones incluye dos tablas: Observaciones y Observaciones no apreciables. Todas las observaciones activas determinadas como "recientes" dentro de la superficie expuesta a ataques se encuentran en la tabla Observaciones, mientras que en la tabla Observaciones no aplicables se enumeran las observaciones que se marcaron manualmente como no aplicables o que el sistema determinó que ya no son aplicables. Para marcar las observaciones como no aplicables y, por lo tanto, excluir esa observación en particular de los recuentos de paneles, simplemente seleccione las observaciones deseadas y haga clic en "Establecer como no aplicable". Estas observaciones desaparecen inmediatamente de la tabla observaciones activas y, en su lugar, aparecen en la tabla "Observaciones no aplicables". Puede revertir este cambio en cualquier momento seleccionando las observaciones pertinentes de esta tabla y seleccionando "Establecer según corresponda".

Captura de pantalla que muestra la pestaña Observaciones con varios CVE seleccionados para que se marquen como no aplicables.

Administrador de tareas y notificaciones

Una vez enviada una tarea, una notificación confirma que la actualización está en curso. En cualquier página de Azure, seleccione el icono de notificación (campana) para ver más información sobre las tareas recientes.

Captura de pantalla que muestra la notificación enviada por la tarea. Captura de pantalla que muestra el panel Notificaciones que muestra el estado de la tarea reciente.

El sistema de Defender EASM puede tardar segundos en actualizar unos cuantos recursos o minutos para actualizar miles. Puede usar el Administrador de tareas para comprobar el estado de las tareas de modificación en curso. En esta sección se describe cómo acceder al Administrador de tareas y usarlo para comprender mejor la finalización de las actualizaciones enviadas.

  1. En el panel izquierdo del recurso de Defender EASM, seleccione Administrador de tareas.

    Captura de pantalla que muestra la página Administrador de tareas con la sección adecuada en el panel de navegación resaltado.

  2. En esta página se muestran todas las tareas recientes y su estado. Las tareas se muestran como Completadas, Con errores o En curso. También aparecen un porcentaje de finalización y una barra de progreso. Para ver más detalles sobre una tarea específica, seleccione el nombre de la tarea. Se abre un panel en el lado derecho de la pantalla que proporciona más información.

  3. Seleccione Actualizar para ver el estado más reciente de todos los elementos del Administrador de tareas.

Filtro de etiquetas

Después de etiquetar los recursos en el inventario, puede usar filtros de inventario para recuperar una lista de todos los recursos con una etiqueta específica aplicada.

  1. En el panel izquierdo del recurso de Defender EASM, seleccione Inventario.

  2. Seleccione Agregar filtro.

  3. Seleccione Etiquetas en la lista desplegable Filtro . Seleccione un operador y elija una etiqueta en la lista desplegable de opciones. En el ejemplo siguiente se muestra cómo buscar una sola etiqueta. Puede usar el operador In para buscar varias etiquetas. Para obtener más información sobre los filtros, consulte la introducción a los filtros de inventario.

    Captura de pantalla que muestra el editor de consultas usado para aplicar filtros y muestra el filtro Etiquetas con posibles valores de etiqueta en una lista desplegable.

  4. Seleccione Aplicar. La página de lista de inventario se vuelve a cargar y muestra todos los recursos que coinciden con los criterios.

Administración basada en la cadena de activos

En algunos casos, es posible que desee quitar varios recursos a la vez en función de los medios con los que se detectaron. Por ejemplo, puede determinar que un valor de inicialización determinado dentro de un grupo de detección ha extraído recursos que no son relevantes para su organización, o puede que tenga que quitar los recursos relacionados con una subsidiaria que ya no está bajo su control. Por este motivo, Defender EASM ofrece la capacidad de quitar la entidad de origen y los recursos "descendentes" de la cadena de detección. Puede eliminar recursos vinculados con los tres métodos siguientes:

  • Administración basada en inicialización: los usuarios pueden eliminar un valor de inicialización que se incluyó una vez en un grupo de detección, quitando todos los recursos que se introdujeron en el inventario a través de una conexión observada con el valor de inicialización especificado. Este método resulta útil cuando se puede determinar que una inicialización de entrada manual específica produjo que los recursos no deseados se agregaran al inventario.
  • Administración de cadenas de detección: los usuarios pueden identificar un recurso dentro de una cadena de detección y eliminarlo, quitando simultáneamente los recursos detectados por esa entidad. La detección es un proceso recursivo; examina las semillas para identificar nuevos recursos directamente asociados a estas semillas designadas y, a continuación, continúa escaneando las entidades recién detectadas para descubrir más conexiones. Este enfoque de eliminación es útil cuando el grupo de detección está configurado correctamente, pero debe quitar un recurso recién detectado y los recursos introducidos en el inventario por asociación a esa entidad. Considere la configuración del grupo de detección y las semillas designadas como la "parte superior" de la cadena de detección; este enfoque de eliminación le permite quitar recursos del medio.
  • Administración de grupos de detección: los usuarios pueden quitar grupos de detección completos y todos los recursos que se introdujeron en el inventario a través de este grupo de detección. Esto resulta útil cuando un grupo de detección completo ya no es aplicable a su organización. Por ejemplo, puede tener un grupo de detección que busque específicamente recursos relacionados con una subsidiaria. Si esta subsidiaria ya no es relevante para su organización, puede aprovechar la administración basada en la cadena de recursos para eliminar todos los recursos incluidos en el inventario a través de ese grupo de detección.

Todavía puede ver los recursos eliminados en Defender EASM; simplemente filtre la lista de inventario por los recursos en el estado "Archivado".

Eliminación basada en inicialización

Puede decidir que una de las semillas de detección designadas inicialmente ya no se incluya en un grupo de detección. Es posible que el valor de inicialización ya no sea relevante para su organización o que traiga más falsos positivos que los activos legítimos de propiedad. En esta situación, puede quitar el valor de inicialización del grupo de detección para evitar que se use en futuras ejecuciones de detección al mismo tiempo que se quitan los recursos que se han traído al inventario a través de la inicialización designada en el pasado.

Para realizar una eliminación masiva basada en una inicialización, enrute a la página de detalles del grupo de detección adecuada y haga clic en "Editar grupo de detección". Siga las indicaciones para llegar a la página Semillas y quite la inicialización problemática de la lista. Al seleccionar "Revisar y actualizar", verá una advertencia que indica que también se quitarán todos los recursos detectados a través de la inicialización designada. Seleccione "Actualizar" o "Actualizar & ejecutar" para completar la eliminación.

Captura de pantalla que muestra la página Editar grupo de detección con una advertencia que indica la eliminación de un valor de inicialización y los recursos detectados a través de ese valor de inicialización.

Eliminación basada en la cadena de detección

En el ejemplo siguiente, imagine que ha detectado un formulario de inicio de sesión no seguro en el panel Resumen de Surface de ataque. La investigación le enruta a un host que no parece ser propiedad de su organización. Puede ver la página de detalles del recurso para obtener más información; al revisar la cadena de detección, aprenderá que el host se ha incluido en el inventario porque el dominio correspondiente se registró mediante la dirección de correo electrónico corporativa de un empleado que también se usó para registrar entidades empresariales aprobadas.

Captura de pantalla que muestra la página Detalles del recurso con la sección Cadena de detección resaltada.

En esta situación, la inicialización de detección inicial (el dominio corporativo) sigue siendo legítima, por lo que es necesario quitar un recurso problemático de la cadena de detección. Aunque podríamos realizar la eliminación de la cadena del correo electrónico de contacto, en su lugar elegiremos quitar todo lo asociado al dominio personal registrado para este empleado para que Defender EASM nos avise de cualquier otro dominio registrado en esa dirección de correo electrónico en el futuro. En la cadena de detección, seleccione este dominio personal para ver la página de detalles del recurso. En esta vista, seleccione "Quitar de la cadena de detección" para quitar el recurso del inventario, así como todos los recursos incluidos en el inventario debido a una conexión observada con el dominio personal. Debe confirmar la eliminación del recurso y todos los recursos de nivel inferior y, a continuación, se presenta una lista resumida de los demás recursos que se quitan con esta acción. Seleccione "Quitar cadena de detección" para confirmar la eliminación masiva.

Captura de pantalla que muestra el cuadro que pide a los usuarios que confirmen la eliminación del recurso actual y todos los recursos de bajada, con un resumen de los demás recursos que se quitan con esta acción.

Eliminación del grupo de detección

Es posible que tenga que eliminar y todo el grupo de detección y todos los recursos detectados a través del grupo. Por ejemplo, es posible que su empresa haya vendido una filial que ya no necesita ser supervisada. Los usuarios pueden eliminar grupos de detección de la página Administración de detección. Para quitar un grupo de detección y todos los recursos relacionados, seleccione el icono de papelera situado junto al grupo adecuado de la lista. Recibirá una advertencia que muestra un resumen de los recursos que se quitarán con esta acción. Para confirmar la eliminación del grupo de detección; y todos los recursos relacionados, seleccione "Quitar grupo de detección".

Captura de pantalla que muestra la página Administración de detección, con el cuadro de advertencia que aparece después de elegir eliminar un grupo resaltado.

Pasos siguientes

  • Last updated on