Protección de los puntos de conexión con la solución EDR integrada de Defender for Cloud: Microsoft Defender para punto de conexión

Con Microsoft Defender para servidores, puede implementar el plan 2 de Microsoft Defender para punto de conexión en los recursos del servidor. Microsoft Defender para punto de conexión es una solución integral de seguridad del punto de conexión que se entrega en la nube. Sus principales características son:

  • Evaluación y administración de vulnerabilidades basadas en riesgos.
  • Reducción de la superficie expuesta a ataques
  • Protección basada en el comportamiento y con tecnología de nube.
  • Detección y respuesta de puntos de conexión (EDR).
  • Investigación y corrección automatizadas.
  • Servicios de búsqueda administrados.

Para obtener información sobre la integración de Defender for Cloud con Microsoft Defender para punto de conexión, vea este vídeo de la serie de vídeos de Defender for Cloud en la serie de vídeos Field: Integración de Defender para servidores con Microsoft Defender para punto de conexión

Para obtener más información sobre cómo migrar servidores de Defender para punto de conexión a Defender for Cloud, consulte la guía de migración de Microsoft Defender para punto de conexión a Microsoft Defender for Cloud.

Disponibilidad

Aspecto Detalles
Estado de la versión: Disponibilidad general (GA)
Precios: Requiere el plan 1 o plan 2 de Microsoft Defender para servidores
Entornos admitidos: Máquinas habilitadas para Azure Arc que ejecutan Windows o Linux
Máquinas virtuales de Azure que ejecutan Linux (versiones admitidas)
Máquinas virtuales de Azure que ejecutan Windows Server 2022, 2019, 2016, 2012 R2 o 2008 R2 SP1, Sesión múltiple de Windows 10/11 Enterprise (anteriormente Enterprise para escritorios virtuales)
Máquinas virtuales de Azure Windows 10 o Windows 11 (excepto si se ejecuta la sesión múltiple de Windows 10/11 Enterprise)
Roles y permisos necesarios: - Para habilitar o deshabilitar la integración: Administrador de seguridad o Propietario
- Para ver las alertas de Defender para punto de conexión en Defender for Cloud: Lector de seguridad, Lector, Colaborador de grupo de recursos, Propietario de grupo de recursos, Administrador de seguridad, Propietario de suscripción o Colaborador de suscripción
Nubes: Nubes comerciales
Azure Government
Azure China 21Vianet
Cuentas de AWS conectadas
Proyectos de GCP conectados

Ventajas de integrar Microsoft Defender para punto de conexión con Defender for Cloud

El plan 2 de Microsoft Defender para punto de conexión protege las máquinas Windows y Linux tanto si se hospedan en Azure, nubes híbridas (locales) o multinube. Las protecciones incluyen lo siguiente:

  • Sensores de detección avanzados posteriores a las brechas. Los sensores de Defender para punto de conexión recopilan una amplia gama de señales de comportamiento de las máquinas.

  • Evaluación de vulnerabilidades desde la solución de administración de amenazas y vulnerabilidades de Microsoft. Con Microsoft Defender para punto de conexión instalado, Defender for Cloud puede mostrar las vulnerabilidades detectadas por el módulo de administración de amenazas y vulnerabilidades, así como ofrecer este módulo como una solución de evaluación de vulnerabilidades compatible. Obtenga más información en Investigación de puntos débiles con la solución de administración de amenazas y vulnerabilidades de Microsoft Defender para punto de conexión.

    Este módulo también incluye las características de inventario de software descritas en Acceso a un inventario de software y se puede habilitar automáticamente para las máquinas compatibles con la configuración de implementación automática.

  • Detección posterior a las brechas basada en el análisis y con tecnología de nube. Defender para punto de conexión se adapta rápidamente a las amenazas cambiantes. Utiliza análisis avanzados y macrodatos. Asimismo, se amplía gracias a la eficacia de Intelligent Security Graph con señales a través de Windows, Azure y Office para detectar amenazas desconocidas. Proporciona alertas que requieren intervención y le permite responder rápidamente.

  • Información sobre amenazas. Defender para punto de conexión crea alertas cuando identifica las herramientas, las técnicas y los procedimientos de los atacantes. Usa datos generados por los equipos de seguridad y los buscadores de amenazas de Microsoft, con la ayuda de mecanismos de inteligencia que aportan los partners.

Integrando Defender para punto de conexión con Defender for Cloud, se beneficiará de las siguientes funcionalidades extras:

  • Incorporación automatizada. Defender for Cloud habilita automáticamente el sensor de Defender para punto de conexión en todas las máquinas admitidas que estén conectadas a Defender for Cloud.

  • Panel único. En las páginas del portal de Defender for Cloud se muestran alertas de Defender para punto de conexión. Para obtener más detalles, use las páginas del portal de Microsoft Defender para punto de conexión, donde verá información adicional, como el árbol de procesos de alerta y el gráfico de incidentes. También puede ver una escala de tiempo de la máquina detallada que muestra cada comportamiento durante un período histórico de hasta seis meses.

    Security Center en Microsoft Defender para punto de conexión

¿Cuáles son los requisitos del inquilino de Microsoft Defender para punto de conexión?

Al usar Defender for Cloud para supervisar sus máquinas, se crea automáticamente un inquilino de  Defender para punto de conexión.

  • Ubicación: los datos que recopila Defender para punto de conexión se almacenan en la ubicación geográfica del inquilino identificada durante el aprovisionamiento. Los datos de cliente en formato seudonimizado también se pueden almacenar en los sistemas de procesamiento y almacenamiento central en el Estados Unidos. Una vez configurada la ubicación, no se puede cambiar. Si tiene su propia licencia de Microsoft Defender para punto de conexión y necesita trasladar los datos a otra ubicación, póngase en contacto con el Soporte técnico de Microsoft para restablecer el inquilino.
  • Mover suscripciones: si movió la suscripción de Azure entre inquilinos de Azure, se requieren algunos pasos de preparación manuales para que Defender for Cloud pueda implementar Defender para punto de conexión. Para obtener más información, póngase en contacto con el soporte técnico de Microsoft.

Habilitación de la integración de Microsoft Defender para punto de conexión

Requisitos previos

Compruebe que el equipo cumple los requisitos necesarios para Defender para punto de conexión:

  1. Asegúrese de que la máquina está conectada a Azure y a Internet según sea necesario:

  2. Habilitar Microsoft Defender para servidores. Consulte Inicio rápido: Habilitación de las características de seguridad mejoradas de Defender for Cloud.

    Importante

    La integración de Defender for Cloud con Microsoft Defender para punto de conexión está habilitada de manera predeterminada. Por lo tanto, al habilitar las características de seguridad mejoradas, da su consentimiento para que Microsoft Defender para servidores acceda a los datos de Microsoft Defender para punto de conexión relacionados con vulnerabilidades, software instalado y alertas de sus puntos de conexión.

  3. Para servidores Windows, asegúrese de que cumplen los requisitos de incorporación de Microsoft Defender para punto de conexión.

  4. Si ha movido la suscripción entre inquilinos de Azure, también se requieren algunos pasos de preparación manuales. Para obtener más información, póngase en contacto con el soporte técnico de Microsoft.

Habilitación de la integración

La solución unificada de MDE no usa ni requiere la instalación del agente de Log Analytics. La solución unificada se implementa automáticamente para todos los servidores Windows conectados mediante Azure Arc y los servidores multinube conectados mediante los conectores multinube, excepto los servidores Windows 2012 R2 y 2016 en Azure protegidos por el plan 2 de Defender para servidores. Puede optar por implementar la solución unificada de MDE en esas máquinas.

Puede implementar Defender para punto de conexión en las máquinas Windows de una de estas dos maneras, en función de si ya lo ha implementado en las máquinas Windows:

Usuarios con Defender para servidores habilitado y Microsoft Defender para punto de conexión implementado

Si ya ha habilitado la integración con Defender para punto de conexión, tiene plena capacidad de decisión sobre si implementar la solución unificada de MDE en sus máquinas Windows y cuándo hacerlo.

Para implementar la solución unificada de MDE, deberá usar la llamada a la API REST o el Azure Portal:

  1. En el menú de Defender for Cloud, seleccione Configuración del entorno y, a continuación, la suscripción con las máquinas de Windows en las que quiera recibir Defender para punto de conexión.

  2. Seleccione Integraciones. Sabrá que la integración está habilitada si la casilla Permitir que Microsoft Defender para punto de conexión acceda a mis datos está seleccionada como se muestra a continuación:

    La integración entre Microsoft Defender for Cloud y la solución EDR de Microsoft, Microsoft Defender para punto de conexión, se ha habilitado.

    Nota

    Si no está seleccionada, siga las instrucciones que se indican en Usuarios que no han habilitado nunca la integración con Microsoft Defender para punto de conexión para Windows.

  3. Para implementar la solución unificada de MDE en las máquinas de Windows Server 2012 R2 y 2016:

    1. Seleccione Habilitar solución unificada.
    2. Seleccione Guardar.
    3. En el mensaje de confirmación, compruebe la información y seleccione Habilitar para continuar.

    Confirmación del uso de la solución unificada de MDE para las máquinas de Windows Server 2012 R2 y 2016

    Microsoft Defender for Cloud hará lo siguiente:

    • Detenga el proceso de MDE existente en el agente de Log Analytics que recopila los datos de Defender para servidores.
    • Instale la solución unificada de MDE para todas las máquinas existentes y nuevas de Windows Server 2012 R2 y 2016.
    • Quite la opción Habilitar solución unificada de las opciones de Integraciones.

    Microsoft Defender for Cloud incorporará automáticamente sus máquinas en Microsoft Defender para punto de conexión. Este proceso de incorporación puede tardar hasta 12 horas. En el caso de las nuevas máquinas creadas una vez habilitada la integración, la incorporación tarda hasta una hora.

    Nota:

    Si decide no implementar la solución unificada de MDE en los servidores de Windows 2012 R2 y 2016 en el plan 2 de Defender para servidores y, luego, cambiar Defender para servidores al plan 1, la solución unificada de MDE no se implementa en esos servidores para que la implementación existente no cambie sin su consentimiento explícito.

Usuarios que nunca habilitaron la integración con Microsoft Defender para punto de conexión para Windows

Si no ha habilitado nunca la integración para Windows, la opción Permitir que Microsoft Defender para punto de conexión acceda a mis datos permitirá que Defender for Cloud implemente Defender para punto de conexión en sus máquinas de Windows y Linux.

Para implementar la solución unificada de MDE, deberá usar la llamada a la API REST o el Azure Portal:

  1. En el menú de Defender for Cloud, seleccione Configuración del entorno y, a continuación, la suscripción con las máquinas en las que quiera recibir Defender para punto de conexión.

  2. Seleccione Integraciones.

  3. Seleccione Permitir que Microsoft Defender for Endpoint acceda a mis datos y luego Guardar.

La solución unificada del agente de MDE se implementa en todas las máquinas de la suscripción seleccionada.

Habilitación de la solución unificada de MDE a escala

También puede habilitar la solución unificada de MDE a escala a través de la API REST proporcionada versión 2022-05-01. Para obtener más información, consulte la documentación de la API.

Se trata de un cuerpo de solicitud de ejemplo para que la solicitud PUT habilite la solución unificada MDE:

Identificador URI: https://management.azure.com/subscriptions/<subscriptionId>providers/Microsoft.Security/settings/WDATP_UNIFIED_SOLUTION?api-version=2022-05-01

{
    "name": "WDATP_UNIFIED_SOLUTION",
    "type": "Microsoft.Security/settings",
    "kind": "DataExportSettings",
    "properties": {
        "enabled": true
    }
}

Acceso al portal de Microsoft Defender para punto de conexión

  1. Asegúrese de que la cuenta de usuario tenga los permisos necesarios. Obtenga más información en Asignar acceso de usuario al Centro de seguridad de Microsoft Defender.

  2. Compruebe si tiene un proxy o firewall que esté bloqueando el tráfico anónimo. El sensor de Defender para punto de conexión se conecta desde el contexto del sistema, por lo que se debe permitir el tráfico anónimo. Para garantizar un acceso sin obstáculos al portal de Defender para punto de conexión, siga las instrucciones de Habilitar el acceso a las direcciones URL de servicio en el servidor proxy.

  3. Abra el portal de Security Center en Defender para punto de conexión. Obtenga más información sobre las características e iconos del portal, en Información general del portal de Security Center en Defender para punto de conexión.

Envío de una alerta de prueba

Para generar una alerta de prueba benigna desde Defender para punto de conexión, seleccione la pestaña del sistema operativo correspondiente del punto de conexión:

En el caso de puntos de conexión que ejecuten Windows:

  1. Cree una carpeta "C:\test-MDATP-test".

  2. Use el Escritorio remoto para acceder a su máquina.

  3. Abra una ventana de línea de comandos.

  4. En el símbolo del sistema, copie el siguiente comando y ejecútelo. La ventana del símbolo del sistema se cerrará automáticamente.

    powershell.exe -NoExit -ExecutionPolicy Bypass -WindowStyle Hidden (New-Object System.Net.WebClient).DownloadFile('http://127.0.0.1/1.exe', 'C:\\test-MDATP-test\\invoice.exe'); Start-Process 'C:\\test-MDATP-test\\invoice.exe'
    

    Ventana del símbolo del sistema con el comando para generar una alerta de prueba.

    Si el comando se ejecuta correctamente, verá una nueva alerta en el panel de protección de cargas de trabajo y el portal de Microsoft Defender para punto de conexión. Esta alerta puede tardar unos minutos en aparecer.

  5. Para revisar la alerta en Defender for Cloud, vaya a Alertas de seguridad>Línea de comandos de PowerShell sospechosa.

  6. En la ventana de la investigación, seleccione el vínculo para ir al portal de Microsoft Defender para punto de conexión.

    Sugerencia

    La alerta se desencadena con gravedad Información.

Eliminación de Defender para punto de conexión de una máquina

Para quitar la solución Defender para punto de conexión de las máquinas:

  1. Deshabilite la integración:

    1. En el menú de Defender for Cloud, seleccione Configuración del entorno y seleccione la suscripción con las máquinas correspondientes.
    2. Abra Integraciones y desactive la casilla Permitir que Microsoft Defender para punto de conexión acceda a mis datos.
    3. Seleccione Guardar.
  2. Quite la extensión MDE.Windows/MDE.Linux de la máquina.

  3. Siga los pasos descritos en Retirar dispositivos del servicio Microsoft Defender para punto de conexión en la documentación de Defender para puntos de conexión.

Preguntas frecuentes: Integración de Microsoft Defender for Cloud con Microsoft Defender para punto de conexión

¿Qué es esta extensión "MDE.Windows"/"MDE.Linux" que se está ejecutando en mi máquina?

En el pasado, el agente de Log Analytics aprovisionaba Microsoft Defender para punto de conexión. Cuando ampliamos la compatibilidad para incluir Windows Server 2019 y Linux, también agregamos una extensión para realizar una incorporación automática.

Defender for Cloud implementa automáticamente la extensión en máquinas que ejecutan los siguientes sistemas operativos:

  • Windows Server 2019 y Windows Server 2022
  • Windows Server 2012 R2 y 2016 si la integración de la solución unificada de MDE está habilitada
  • Windows 10 en Azure Virtual Desktop.
  • Otras versiones de Windows Server si Defender for Cloud no reconoce la versión del sistema operativo (por ejemplo, cuando se usa una imagen de máquina virtual personalizada). En este caso, el agente de Log Analytics sigue aprovisionando Microsoft Defender para punto de conexión.
  • Linux.

Importante

Si elimina la extensión MDE.Windows/MDE.Linux, no quitará Microsoft Defender para punto de conexión. en "retirar", consulte Retirada de los servidores de Windows.

He habilitado la solución, pero la extensión "MDE.Windows" / "MDE.Linux" no se muestra en mi máquina

Si ha habilitado la integración, pero sigue sin ver la extensión en ejecución en las máquinas, compruebe lo siguiente:

  1. Si no han transcurrido 12 horas desde que habilitó la solución, deberá esperar hasta el final de ese período para asegurarse de que hay un problema que debe investigar.
  2. Una vez pasadas 12 horas, si todavía no ve la extensión en ejecución en las máquinas, compruebe que ha cumplido los requisitos previos para la integración.
  3. Asegúrese de que ha habilitado el plan de Microsoft Defender para servidores para las suscripciones relacionadas con las máquinas que está investigando.
  4. Si movió la suscripción de Azure entre inquilinos de Azure, se requieren algunos pasos de preparación manuales para que Defender for Cloud pueda implementar Defender para punto de conexión. Para obtener más información, póngase en contacto con el soporte técnico de Microsoft.

¿Cuáles son los requisitos de licencia de Microsoft Defender para punto de conexión?

Las licencias de Defender para punto de conexión de los servidores se incluyen con Microsoft Defender para servidores.

¿Tengo que comprar una solución antimalware independiente para proteger mis máquinas?

No. Con la integración de MDE en Defender for Servers, también obtendrá protección contra malware en las máquinas.

  • En Windows Server 2012 R2 con la integración de soluciones unificadas de MDE habilitada, Defender for Servers implementará antivirus de Microsoft Defender en modo activo.
  • En los sistemas operativos Windows Server más recientes, el antivirus de Microsoft Defender forma parte del sistema operativo y se habilitará en modo activo.
  • En Linux, Defender for Servers implementará MDE, incluido el componente antimalware, y establecerá el componente en modo pasivo.

Si ya tengo una licencia de Microsoft Defender para punto de conexión, ¿puedo obtener un descuento para Microsoft Defender para servidores?

Si ya tiene una licencia de Microsoft Defender para punto de conexión para servidores, no pagará esa parte de la licencia del plan 2 de Microsoft Defender para servidores. Obtenga más información acerca de la Licencia de Microsoft 365.

Para solicitar el descuento, póngase en contacto con el equipo de soporte técnico de Defender for Cloud. Tendrá que proporcionar la información pertinente de id. de área de trabajo, región y número de licencias de Microsoft Defender para punto de conexión para servidores aplicadas a las máquinas del área de trabajo determinada.

El descuento será efectivo a partir de la fecha de aprobación y no se aplicará con carácter retroactivo.

¿Cómo puedo cambiar una herramienta de EDR de terceros?

Las instrucciones completas para cambiarse de una solución de punto de conexión que no es de Microsoft están disponibles en la documentación de Microsoft Defender para punto de conexión: Información general sobre la migración.

¿Qué plan de Microsoft Defender para punto de conexión se admite en Defender para servidores?

El plan 1 y el plan 2 de Defender para servidores proporcionan las funcionalidades del plan 2 de Microsoft Defender para punto de conexión.

Pasos siguientes