Protección de los servidores con la solución EDR integrada de Defender for Cloud: Microsoft Defender para punto de conexión

Con Microsoft Defender para servidores, obtiene acceso y puede implementar Microsoft Defender para punto de conexión en los recursos del servidor. Microsoft Defender para punto de conexión es una solución integral de seguridad del punto de conexión que se entrega en la nube. Las principales características incluyen:

• Evaluación y administración de vulnerabilidades basadas en riesgos.
• Reducción de la superficie expuesta a ataques
• Protección basada en el comportamiento y con tecnología de nube.
• Detección y respuesta de puntos de conexión (EDR).
• Investigación y corrección automatizadas.
• Servicios de búsqueda administrados.

Para obtener información sobre la integración de Defender for Cloud con Microsoft Defender para punto de conexión, vea este vídeo de la serie de vídeos de Defender for Cloud en la serie de vídeos Field: Integración de Defender para servidores con Microsoft Defender para punto de conexión

Para obtener más información sobre cómo migrar servidores de Defender para punto de conexión a Defender for Cloud, consulte la guía de migración de Microsoft Defender para punto de conexión a Microsoft Defender for Cloud.

Disponibilidad

Aspecto	Detalles
Estado de la versión:	Disponibilidad general (GA)
Precios:	Requiere el plan 1 o plan 2 de Microsoft Defender para servidores
Entornos admitidos:	Máquinas habilitadas para Azure Arc que ejecutan Windows o Linux Máquinas virtuales de Azure que ejecutan Linux (versiones admitidas) Máquinas virtuales de Azure que ejecutan Windows Server 2022, 2019, 2016, 2012 R2 o 2008 R2 SP1, Sesión múltiple de Windows 10/11 Enterprise (anteriormente Enterprise para escritorios virtuales) Máquinas virtuales de Azure Windows 10 o Windows 11 (excepto si se ejecuta la sesión múltiple de Windows 10/11 Enterprise)
Roles y permisos necesarios:	- Para habilitar o deshabilitar la integración: Administrador de seguridad o Propietario - Para ver las alertas de Defender para punto de conexión en Defender for Cloud: Lector de seguridad, Lector, Colaborador de grupo de recursos, Propietario de grupo de recursos, Administrador de seguridad, Propietario de suscripción o Colaborador de suscripción
Nubes:	Nubes comerciales Azure Government Microsoft Azure operado por 21Vianet Cuentas de AWS conectadas Proyectos de GCP conectados

Ventajas de integrar Microsoft Defender para punto de conexión con Defender for Cloud

Microsoft Defender para punto de conexión protege las máquinas Windows y Linux tanto si se hospedan en Azure, nubes híbridas (locales) o multinube.

Las protecciones incluyen:

• Sensores de detección avanzados posteriores a las brechas. Los sensores de Defender para punto de conexión recopilan una amplia gama de señales de comportamiento de sus máquinas.

• Evaluación de vulnerabilidades de la Administración de vulnerabilidades de Microsoft Defender. Con Microsoft Defender para punto de conexión instalado, Defender for Cloud puede mostrar las vulnerabilidades detectadas por la Administración de vulnerabilidades de Defender, así como ofrecer este módulo como una solución de evaluación de vulnerabilidades compatible. Más información en Investigación de puntos débiles con la Administración de vulnerabilidades de Microsoft Defender.

  Este módulo también incluye las características de inventario de software descritas en Acceso a un inventario de software y se puede habilitar automáticamente para las máquinas compatibles con la configuración de implementación automática.

• Detección posterior a las brechas basada en el análisis y con tecnología de nube. Defender para punto de conexión se adapta rápidamente a las amenazas cambiantes. Utiliza análisis avanzados y macrodatos. Asimismo, se amplía gracias a la eficacia de Intelligent Security Graph con señales a través de Windows, Azure y Office para detectar amenazas desconocidas. Proporciona alertas que requieren intervención y le permite responder rápidamente.

• Información sobre amenazas. Defender para punto de conexión crea alertas cuando identifica las herramientas, las técnicas y los procedimientos de los atacantes. Usa datos generados por los equipos de seguridad y los buscadores de amenazas de Microsoft, con la ayuda de mecanismos de inteligencia que aportan los partners.

Al integrar Defender para punto de conexión con Defender for Cloud, se obtiene acceso a las ventajas de las siguientes funcionalidades adicionales:

• Incorporación automatizada. Defender for Cloud habilita automáticamente el sensor de Defender para punto de conexión en todas las máquinas admitidas que estén conectadas a Defender for Cloud.

• Panel único. En las páginas del portal de Defender for Cloud se muestran alertas de Defender para punto de conexión. Para obtener más detalles, use las páginas del portal de Microsoft Defender para punto de conexión, donde verá información adicional, como el árbol de procesos de alerta y el gráfico de incidentes. También puede ver una escala de tiempo de la máquina detallada que muestra cada comportamiento durante un período histórico de hasta seis meses.

  

¿Cuáles son los requisitos del inquilino de Microsoft Defender para punto de conexión?

Se crea automáticamente un inquilino de Defender para punto de conexión cuando se usa Defender for Cloud para supervisar las máquinas.

• Ubicación: los datos que recopila Defender para punto de conexión se almacenan en la ubicación geográfica del inquilino identificada durante el aprovisionamiento. Los datos de los clientes, en forma seudonimizada, también se pueden almacenar en los sistemas centrales de almacenamiento y procesamiento de Los Estados Unidos. Una vez configurada la ubicación, no se puede cambiar. Si tiene su propia licencia de Microsoft Defender para punto de conexión y necesita trasladar los datos a otra ubicación, póngase en contacto con el Soporte técnico de Microsoft para restablecer el inquilino.

• Mover suscripciones: si movió la suscripción de Azure entre inquilinos de Azure, se requieren algunos pasos de preparación manuales para que Defender for Cloud pueda implementar Defender para punto de conexión. Para obtener más información, póngase en contacto con el soporte técnico de Microsoft.

Habilitación de la integración de Microsoft Defender para punto de conexión

Requisitos previos

Para poder habilitar la integración de Microsoft Defender para punto de conexión con Defender for Cloud, debe confirmar que la máquina cumple los requisitos necesarios para Defender para punto de conexión:

• Asegúrese de que la máquina está conectada a Azure y a Internet según sea necesario:

  • Máquinas virtuales de Azure (Windows o Linux) : configure las opciones de red que se describen en "Configuración del proxy de dispositivo y la configuración de conectividad a Internet" (Windows o Linux).

  • Máquinas locales: conecte sus máquinas de destino a Azure Arc como se explica en Conexión de máquinas híbridas con servidores habilitados para Azure Arc.

• Habilitar Microsoft Defender para servidores. Consulte Inicio rápido: Habilitación de las características de seguridad mejoradas de Defender for Cloud.

  Importante

  La integración de Defender for Cloud con Microsoft Defender para punto de conexión está habilitada de manera predeterminada. Por lo tanto, al habilitar las características de seguridad mejoradas, da su consentimiento para que Microsoft Defender para servidores acceda a los datos de Microsoft Defender para punto de conexión relacionados con vulnerabilidades, software instalado y alertas de sus puntos de conexión.

• Para servidores Windows, asegúrese de que cumplen los requisitos de incorporación de Microsoft Defender para punto de conexión.

• En el caso de los servidores Linux, debe tener instalado Python. Se recomienda Python 3 para todas las distribuciones, pero es obligatorio para RHEL 8.x y Ubuntu 20.04 o versiones posteriores. Si es necesario, consulte las instrucciones paso a paso para instalar Python en Linux.

• Si ha movido la suscripción entre inquilinos de Azure, también se requieren algunos pasos de preparación manuales. Para obtener información, póngase en contacto con el servicio de soporte técnico de Microsoft.

Habilitación de la integración

• En Windows

• En Linux

Windows

La solución unificada Defender para punto de conexión no usa ni requiere la instalación del agente de Log Analytics. La solución unificada se implementa automáticamente para los servidores de Azure Windows 2012 R2 y 2016, los servidores Windows conectados a través de Azure Arc y los servidores Windows multinube conectados a través de los conectores multinube.

Puede implementar Defender para punto de conexión en las máquinas Windows de una de estas dos maneras, en función de si ya lo ha implementado en las máquinas Windows:

• Usuarios con Defender para servidores habilitado y Microsoft Defender para punto de conexión implementado
• Usuarios que nunca habilitaron la integración con Microsoft Defender para punto de conexión

Usuarios con Defender para servidores habilitado y Microsoft Defender para punto de conexión implementado

Si ya ha habilitado la integración con Defender para punto de conexión, tiene plena capacidad de decisión sobre si implementar la solución unificada Defender para punto de conexión en sus máquinas Windows y cuándo hacerlo.

Para implementar la solución unificada Defender para punto de conexión, debe usar una llamada API REST o Azure Portal:

1. En el menú de Defender for Cloud, seleccione Configuración del entorno y, a continuación, la suscripción con las máquinas de Windows en las que quiera recibir Defender para punto de conexión.

2. En la columna Cobertura de supervisión del plan de Defender para servidores, seleccione Configuración.

   El estado del componente Protecciones de punto de conexión es Parcial, lo que significa que no todas las partes del componente están habilitadas.

   Nota

   Si el estado es Desactivado, use las instrucciones de Usuarios que nunca han activado la integración con Microsoft Defender para punto de conexión para Windows.

3. Seleccione Corregir para ver los componentes que no están habilitados.

   

4. Para habilitar la solución unificada para máquinas de Windows Server 2012 R2 y 2016, seleccione Habilitar.

   

5. Para guardar los cambios, seleccione Guardar en la parte superior de la página y, a continuación, seleccione Continuar en la página Configuración y supervisión.

Microsoft Defender for Cloud hará lo siguiente:

• Detenga el proceso Defender para punto de conexión actual en el agente de Log Analytics que recopila los datos de Defender para servidores.
• Instale la solución unificada Defender para punto de conexión para todas las máquinas actuales y nuevas con Windows Server 2012 R2 y 2016.

Microsoft Defender for Cloud incorporará automáticamente sus máquinas en Microsoft Defender para punto de conexión. Este proceso de incorporación puede tardar hasta 12 horas. En el caso de las nuevas máquinas creadas una vez habilitada la integración, la incorporación tarda hasta una hora.

Nota:

Si decide no implementar la solución unificada Defender para punto de conexión en los servidores Windows Server 2012 R2 y 2016 en el plan 2 de Defender para servidores y, luego, cambiar Defender para servidores al plan 1, la solución unificada Defender para punto de conexión no se implementa en esos servidores para que la implementación actual no cambie sin su consentimiento explícito.

Usuarios que nunca habilitaron la integración con Microsoft Defender para punto de conexión para Windows

Si nunca ha activado la integración para Windows, la protección para punto de conexión permite a Defender for Cloud implementar Defender for Endpoint en tanto sus equipos Windows como Linux.

Para implementar la solución unificada Defender para punto de conexión, debe usar una llamada API REST o Azure Portal:

1. En el menú de Defender for Cloud, seleccione Configuración del entorno y, a continuación, la suscripción con las máquinas en las que quiera recibir Defender para punto de conexión.

2. En el estado del componente de protección para punto de conexión, seleccione Activado para activar la integración con Microsoft Defender para punto de conexión.

   

La solución unificada del agente de Defender para punto de conexión se implementa en todas las máquinas de la suscripción seleccionada.

Linux

Puede implementar Defender para punto de conexión en las máquinas Linux de una de estas maneras, en función de si ya lo ha implementado en las máquinas Windows:

• Habilitar para una suscripción específica en la configuración del entorno de Azure Portal
  • Usuarios existentes con las características de seguridad mejorada de Defender for Cloud habilitadas y Microsoft Defender para punto de conexión para Windows
  • Usuarios nuevos que nunca habilitaron la integración con Microsoft Defender para punto de conexión para Windows
• Habilitar para varias suscripciones en el panel de Azure Portal
• Habilitar para varias suscripciones con un script de PowerShell

Nota:

Al habilitar la implementación automática, la instalación de Defender para punto de conexión para Linux se anula en las máquinas que ya tenían servicios en ejecución mediante fanotify y otros servicios que también pueden hacer que Defender para punto de conexión no funcione correctamente o que se pueden ver afectados por Defender para punto de conexión, como los servicios de seguridad. Después de validar posibles problemas de compatibilidad, se recomienda instalar manualmente Defender para punto de conexión en estos servidores.

Usuarios existentes con las características de seguridad mejorada de Defender para la nube habilitadas y Microsoft Defender para punto de conexión para Windows

Si ya ha habilitado la integración con Defender para punto de conexión para Windows, tiene plena capacidad de decisión sobre si implementar Defender para punto de conexión en sus máquinas de Linux y cuándo hacerlo.

1. En el menú de Defender for Cloud, seleccione Configuración del entorno y, a continuación, la suscripción con las máquinas de Linux en las que quiera recibir Defender para punto de conexión.

2. En la columna Cobertura de supervisión del plan de Defender for Server, seleccione Configuración.

   El estado del componente Protecciones de punto de conexión es Parcial, lo que significa que no todas las partes del componente están habilitadas.

   Nota

   Si el estado Desactivado no está seleccionado, use las instrucciones de Usuarios que nunca han activado la integración con Microsoft Defender para punto de conexión para Windows.

3. Seleccione Corregir para ver los componentes que no están habilitados.

   

4. Para habilitar la implementación en máquinas Linux, seleccione Habilitar.

   

5. Para guardar los cambios, seleccione Guardar en la parte superior de la página y, a continuación, seleccione Continuar en la página Configuración y supervisión.

   Microsoft Defender for Cloud hará lo siguiente:

   • Incorporar automáticamente sus máquinas de Linux en Defender para punto de conexión.
   • Detectar instalaciones anteriores de Defender para punto de conexión y volver a configurarlas para que se integren con Defender for Cloud.

   Microsoft Defender for Cloud incorporará automáticamente sus máquinas en Microsoft Defender para punto de conexión. Este proceso de incorporación puede tardar hasta 12 horas. En el caso de las nuevas máquinas creadas una vez habilitada la integración, la incorporación tarda hasta una hora.

   Nota:

   La próxima vez que vuelva a esta página de Azure Portal, no se mostrará el botón Habilitar para máquinas de Linux. Para deshabilitar la integración para Linux, debe deshabilitarla también para Windows al desactivar el botón de alternancia en Endpoint Protection y seleccionar Continuar.

6. Para comprobar la instalación de Defender para punto de conexión en una máquina de Linux, ejecute el siguiente comando de shell en las máquinas:

   mdatp health

   Si está instalado Microsoft Defender para punto de conexión, aparecerá su estado de mantenimiento:

   healthy : true

   licensed: true

   Además, en Azure Portal, aparecerá una nueva extensión de Azure en las máquinas denominada MDE.Linux.

Usuarios nuevos que nunca habilitaron la integración con Microsoft Defender para punto de conexión para Windows

Si nunca ha activado la integración para Windows, la protección para punto de conexión permite a Defender for Cloud implementar Defender para punto de conexión en tanto sus equipos Windows como Linux.

1. En el menú de Defender for Cloud, seleccione Configuración del entorno y, a continuación, la suscripción con las máquinas de Linux en las que quiera recibir Defender para punto de conexión.

2. En la columna Cobertura de supervisión del plan de Defender for Server, seleccione Configuración.

3. En el estado del componente de protección para punto de conexión, seleccione Activado para activar la integración con Microsoft Defender para punto de conexión.

   

   Microsoft Defender for Cloud hará lo siguiente:

   • Incorporar automáticamente sus máquinas de Windows y Linux en Defender para punto de conexión.
   • Detectar instalaciones anteriores de Defender para punto de conexión y volver a configurarlas para que se integren con Defender for Cloud.

   Este proceso de incorporación puede tardar hasta 1 hora.

4. Seleccione Continuar y Guardar para guardar la configuración.

5. Para comprobar la instalación de Defender para punto de conexión en una máquina de Linux, ejecute el siguiente comando de shell en las máquinas:

   mdatp health

   Si está instalado Microsoft Defender para punto de conexión, aparecerá su estado de mantenimiento:

   healthy : true

   licensed: true

   Además, en Azure Portal, aparecerá una nueva extensión de Azure en las máquinas, denominada MDE.Linux.

Habilitar para varias suscripciones en el panel de Azure Portal

Si una o más de sus suscripciones no tienen activadas las protecciones de punto de conexión para Linux, verá un panel de información en el panel de control de Defender for Cloud. El panel de información le indica las suscripciones que tienen activada la integración de Defender para puntos de conexión para equipos Windows, pero no para equipos Linux. Puede usar el panel de información para ver las suscripciones afectadas con el número de recursos afectados en cada suscripción. Las suscripciones que no tienen máquinas Linux no muestran recursos afectados. Después podrá seleccionar las suscripciones para activar la protección para punto de conexión para la integración con Linux.

Después de seleccionar Habilitar en el panel de información, Defender for Cloud:

• Incorpora automáticamente las máquinas Linux a Defender para punto de conexión en las suscripciones seleccionadas.
• Detecta instalaciones anteriores de Defender para punto de conexión y volver a configurarlas para que se integren con Defender for Cloud.

Utilice el Libro de trabajo del estado de Defender para punto de conexión para verificar el estado de instalación e implementación de Defender para punto de conexión en un equipo Linux.

Habilitar para varias suscripciones con un script de PowerShell

Utilice nuestro script de PowerShell del repositorio de GitHub de Defender for Cloud para activar la protección de puntos de conexión en equipos Linux que estén en varias suscripciones.

Administración de la configuración de actualizaciones automáticas para Linux

En Windows, las actualizaciones de la versión de Defender para punto de conexión se proporcionan a través de actualizaciones continuas de knowledge base; en Linux, debe actualizar el paquete de Defender para punto de conexión. Cuando usa Defender para servidores con la extensión MDE.Linux, las actualizaciones automáticas de Microsoft Defender para punto de conexión están habilitadas de forma predeterminada. Si desea administrar manualmente las actualizaciones de la versión de Defender para punto de conexión, puede deshabilitar las actualizaciones automáticas en las máquinas. Para ello, agregue la siguiente etiqueta para las máquinas incorporadas con la extensión MDE.Linux.

• Nombre de etiqueta: "ExcludeMdeAutoUpdate"
• Valor de etiqueta: "true"

Esta configuración es compatible con máquinas virtuales de Azure y máquinas de Azure Arc, donde la extensión MDE.Linux inicia la actualización automática.

Habilitación de la solución unificada de MDE a escala

También puede habilitar la solución unificada Defender para punto de conexión a gran escala a través de la API REST (versión 2022-05-01) proporcionada. Para obtener más información, consulte la documentación de la API.

El siguiente es un ejemplo de cuerpo de la solicitud PUT para habilitar la solución unificada Defender para punto de conexión:

Identificador URI: https://management.azure.com/subscriptions/<subscriptionId>/providers/Microsoft.Security/settings/WDATP?api-version=2022-05-01

{
    "name": "WDATP",
    "type": "Microsoft.Security/settings",
    "kind": "DataExportSettings",
    "properties": {
        "enabled": true
    }
}

Seguimiento del estado de la implementación

Puede usar el Libro del estado de implementación de Defender para punto de conexión para hacer un seguimiento del estado de implementación de Defender para punto de conexión en sus máquinas virtuales de Azure y en las máquinas que no son de Azure y que están conectadas a través de Azure Arc. El libro interactivo proporciona una visión general de las máquinas de su entorno con el estado de implementación de la extensión Microsoft Defender para punto de conexión.

Acceso al portal de Microsoft Defender para punto de conexión

1. Asegúrese de que la cuenta de usuario tenga los permisos necesarios. Obtenga más información en Asignar acceso de usuario al Centro de seguridad de Microsoft Defender.

2. Compruebe si tiene un proxy o firewall que esté bloqueando el tráfico anónimo. El sensor de Defender para punto de conexión se conecta desde el contexto del sistema, por lo que se debe permitir el tráfico anónimo. Para garantizar un acceso sin obstáculos al portal de Defender para punto de conexión, siga las instrucciones de Habilitar el acceso a las direcciones URL de servicio en el servidor proxy.

3. Abra el portal de Microsoft 365 Defender. Más información acerca de Microsoft Defender para punto de conexión en Microsoft 365 Defender.

Envío de una alerta de prueba

Para generar una alerta de prueba benigna desde Defender para punto de conexión, seleccione la pestaña del sistema operativo correspondiente del punto de conexión:

• Prueba en Windows

• Prueba en Linux

Prueba en Windows

En el caso de puntos de conexión que ejecuten Windows:

1. Cree una carpeta "C:\test-MDATP-test".

2. Use el Escritorio remoto para acceder a su máquina.

3. Abra una ventana de línea de comandos.

4. En el símbolo del sistema, copie el siguiente comando y ejecútelo. La ventana del símbolo del sistema se cerrará automáticamente.

   powershell.exe -NoExit -ExecutionPolicy Bypass -WindowStyle Hidden (New-Object System.Net.WebClient).DownloadFile('http://127.0.0.1/1.exe', 'C:\\test-MDATP-test\\invoice.exe'); Start-Process 'C:\\test-MDATP-test\\invoice.exe'
   

   

   Si el comando se ejecuta correctamente, verá una nueva alerta en el panel de protección de cargas de trabajo y el portal de Microsoft Defender para punto de conexión. Esta alerta puede tardar unos minutos en aparecer.

5. Para revisar la alerta en Defender for Cloud, vaya a Alertas de seguridad>Línea de comandos de PowerShell sospechosa.

6. En la ventana de la investigación, seleccione el vínculo para ir al portal de Microsoft Defender para punto de conexión.

   Sugerencia

   La alerta se desencadena con gravedad Información.

Prueba en Linux

En el caso de puntos de conexión que ejecuten Linux:

1. Descargue la herramienta de alertas de prueba desde: https://aka.ms/LinuxDIY.

2. Extraiga el contenido del archivo ZIP y ejecute este script de shell:

   ./mde_linux_edr_diy

   Si el comando se ejecuta correctamente, verá una nueva alerta en el panel de protección de cargas de trabajo y el portal de Microsoft Defender para punto de conexión. Esta alerta puede tardar unos minutos en aparecer.

3. Para revisar la alerta en Defender for Cloud, vaya a Alertas de seguridad>Enumeración de archivos con datos confidenciales.

4. En la ventana de la investigación, seleccione el vínculo para ir al portal de Microsoft Defender para punto de conexión.

   Sugerencia

   La alerta se desencadena con una gravedad Baja.

Eliminación de Defender para punto de conexión de una máquina

Para quitar la solución Defender para punto de conexión de las máquinas:

1. Deshabilite la integración:

   1. En el menú de Defender for Cloud, seleccione Configuración del entorno y seleccione la suscripción con las máquinas correspondientes.
   2. En la página Planes de Defender, seleccione Configuración & Supervisión.
   3. En el estado del componente de protección de puntos de conexión, seleccione Desactivado para desactivar la integración con Microsoft Defender para punto de conexión.
   4. Seleccione Continuar y Guardar para guardar la configuración.

2. Quite la extensión MDE.Windows/MDE.Linux de la máquina.

3. Siga los pasos descritos en Retirar dispositivos del servicio Microsoft Defender para punto de conexión en la documentación de Defender para puntos de conexión.

Pasos siguientes

• Plataformas y características compatibles con Microsoft Defender for Cloud
• Descubra cómo las recomendaciones le ayudan a proteger sus recursos de Azure.
• Consulte la pregunta común sobre la integración de Defender for Cloud con Microsoft Defender para punto de conexión