Compartir a través de


Configuración de la detección de dispositivo

Se aplica a:

La detección se puede configurar para que esté en modo estándar o básico. Use la opción estándar para buscar activamente dispositivos en la red, lo que garantizará mejor la detección de puntos de conexión y proporcionará una clasificación de dispositivos más completa.

Puede personalizar la lista de dispositivos que se usan para realizar la detección estándar. Puede habilitar la detección estándar en todos los dispositivos incorporados que también admiten esta funcionalidad (actualmente: Windows 10 o posterior y Windows Server 2019 o dispositivos posteriores solamente) o seleccionar un subconjunto o subconjuntos de los dispositivos especificando sus etiquetas de dispositivo.

Configuración de la detección de dispositivos

Para configurar la detección de dispositivos, realice los pasos de configuración siguientes en el portal de Microsoft Defender:

Vaya a Configuración Detección>de dispositivos

  1. Si desea configurar Básico como modo de detección para usarlo en los dispositivos incorporados, seleccione Básico y, a continuación, seleccione Guardar.
  2. Si ha seleccionado usar la detección estándar, seleccione qué dispositivos usar para el sondeo activo: todos los dispositivos o en un subconjunto especificando sus etiquetas de dispositivo y, a continuación, seleccione Guardar.

Nota:

La detección estándar usa varios scripts de PowerShell para sondear activamente los dispositivos de la red. Esos scripts de PowerShell están firmados por Microsoft y se ejecutan desde la siguiente ubicación: C:\ProgramData\Microsoft\Windows Defender Advanced Threat Protection\Downloads\*.ps. Por ejemplo, C:\ProgramData\Microsoft\Windows Defender Advanced Threat Protection\Downloads\UnicastScannerV1.1.0.ps1.

Excluir de dispositivos para que no se sondeen activamente en la detección estándar

Si hay dispositivos en la red que no deben examinarse activamente (por ejemplo, los dispositivos que se usan como honeypots para otra herramienta de seguridad), también puede definir una lista de exclusiones para evitar que se examinen. Tenga en cuenta que los dispositivos todavía se pueden detectar mediante el modo de detección básico y también se pueden detectar mediante intentos de detección de multidifusión. Esos dispositivos se detectarán de forma pasiva, pero no se sondearán activamente.

Puede configurar los dispositivos que se van a excluir en la página Exclusiones .

Seleccionar redes para supervisar

Microsoft Defender para punto de conexión analiza una red y determina si es una red corporativa que debe supervisarse o una red no corporativa que se puede omitir. Para identificar una red como corporativa, correlacionamos los identificadores de red entre todos los clientes del inquilino y si la mayoría de los dispositivos de la organización informan de que están conectados al mismo nombre de red, con la misma puerta de enlace predeterminada y la misma dirección del servidor DHCP, suponemos que se trata de una red corporativa. Normalmente se elige supervisar redes corporativas. Sin embargo, puede invalidar esta decisión eligiendo supervisar las redes no corporativas donde están los dispositivos incorporados.

Puede configurar dónde se puede realizar la detección de dispositivos especificando qué redes se van a supervisar. Cuando se supervisa una red, se puede realizar la detección de dispositivos en ella.

En la página de redes supervisadas se muestra una lista de las redes en las que se puede realizar la detección de dispositivos.

Nota:

La lista muestra las redes que se identificaron como redes corporativas. Si menos de 50 redes se identifican como redes corporativas, la lista mostrará hasta 50 redes con más dispositivos incorporados.

La lista de redes supervisadas se ordena en función del número total de dispositivos vistos en la red en los últimos siete días.

Puede aplicar un filtro para ver cualquiera de los siguientes estados de detección de red:

  • Redes supervisadas : redes donde se realiza la detección de dispositivos.
  • Redes ignoradas : esta red se omite y no se realiza la detección de dispositivos en ella.
  • Todo : se muestran las redes supervisadas e ignoradas.

Configurar el estado del monitor de red

Controla dónde tiene lugar la detección de dispositivos. Las redes supervisadas son donde se realiza la detección de dispositivos y suelen ser redes corporativas. También puede optar por omitir las redes o seleccionar la clasificación de detección inicial después de modificar un estado.

Elegir la clasificación de detección inicial significa aplicar el estado predeterminado del monitor de red creado por el sistema. La selección del estado predeterminado del monitor de red creado por el sistema significa que las redes que se identificaron como corporativas, se supervisan y las que se identifican como no corporativas se omiten automáticamente.

  1. Seleccione Configuración Detección > de dispositivos.

  2. Seleccione Redes supervisadas.

  3. Ver la lista de redes.

  4. Seleccione los tres puntos junto al nombre de red.

  5. Elija si desea supervisar, omitir o usar la clasificación de detección inicial.

    Advertencia

    • La elección de supervisar una red no identificada por Microsoft Defender para punto de conexión como una red corporativa puede provocar la detección de dispositivos fuera de la red corporativa y, por tanto, puede detectar dispositivos domésticos u otros dispositivos no corporativos.
    • Si elige omitir una red, se detendrá la supervisión y la detección de dispositivos en esa red. Los dispositivos que ya se detectaron no se quitarán del inventario, pero ya no se actualizarán, y los detalles se conservarán hasta que expire el período de retención de datos de Defender para punto de conexión.
    • Antes de elegir supervisar redes no corporativas, debe asegurarse de que tiene permiso para hacerlo.
  6. Confirme que desea realizar el cambio.

Explorar dispositivos en la red

Puede usar la siguiente consulta de búsqueda avanzada para obtener más contexto sobre cada nombre de red descrito en la lista de redes. La consulta enumera todos los dispositivos incorporados que se conectaron a una red determinada en los últimos siete días.

DeviceNetworkInfo
| where Timestamp > ago(7d)
| where ConnectedNetworks  != ""
| extend ConnectedNetworksExp = parse_json(ConnectedNetworks)
| mv-expand bagexpansion = array ConnectedNetworks=ConnectedNetworksExp
| extend NetworkName = tostring(ConnectedNetworks ["Name"]), Description = tostring(ConnectedNetworks ["Description"]), NetworkCategory = tostring(ConnectedNetworks ["Category"])
| where NetworkName == "<your network name here>"
| summarize arg_max(Timestamp, *) by DeviceId

Obtener información sobre el dispositivo

Puede usar la siguiente consulta de búsqueda avanzada para obtener la información completa más reciente en un dispositivo específico.

DeviceInfo
| where DeviceName == "<device name here>" and isnotempty(OSPlatform)
| summarize arg_max(Timestamp, *) by DeviceId

Vea también

Sugerencia

¿Desea obtener más información? Interactúe con la comunidad de seguridad de Microsoft en nuestra comunidad tecnológica: Microsoft Defender para punto de conexión Tech Community.