Configuración de características avanzadas en Defender para punto de conexión

Se aplica a:

• Microsoft Defender para punto de conexión Plan 2
• Microsoft Defender XDR

¿Quiere experimentar Defender para punto de conexión? Regístrese para obtener una prueba gratuita.

En función de los productos de seguridad de Microsoft que use, es posible que haya algunas características avanzadas disponibles para integrar Defender para punto de conexión con .

Habilitación de características avanzadas

1. Vaya al portal de Microsoft Defender e inicie sesión.

2. En el panel de navegación, seleccione Configuración>Puntos de conexiónCaracterísticas avanzadas>.

3. Seleccione la característica avanzada que desea configurar y cambie la configuración entre Activado y Desactivado.

4. Seleccione Guardar preferencias.

Use las siguientes características avanzadas para protegerse mejor frente a archivos potencialmente malintencionados y obtener una mejor información durante las investigaciones de seguridad.

Restricción de la correlación a dentro de grupos de dispositivos con ámbito

Esta configuración se puede usar para escenarios en los que las operaciones soc locales desean limitar las correlaciones de alertas solo a los grupos de dispositivos a los que pueden acceder. Al activar esta configuración, un incidente compuesto por alertas de que los grupos entre dispositivos ya no se considerarán un único incidente. A continuación, el SOC local puede tomar medidas sobre el incidente porque tienen acceso a uno de los grupos de dispositivos implicados. Sin embargo, soc global verá varios incidentes diferentes por grupo de dispositivos en lugar de un incidente. No se recomienda activar esta configuración a menos que hacerlo supere las ventajas de la correlación de incidentes en toda la organización.

Nota:

• Cambiar esta configuración afecta solo a las correlaciones de alertas futuras.

• La creación de grupos de dispositivos se admite en El plan 1 y el plan 2 de Defender para punto de conexión.

Habilitación de EDR en modo de bloque

La detección y respuesta de puntos de conexión (EDR) en modo de bloque proporciona protección contra artefactos malintencionados, incluso cuando el Antivirus de Microsoft Defender se ejecuta en modo pasivo. Cuando está activado, EDR en modo de bloque bloquea los artefactos malintencionados o los comportamientos detectados en un dispositivo. EDR en modo de bloque funciona en segundo plano para corregir artefactos malintencionados que se detectan después de la infracción.

Resolución automática de alertas

Active esta opción para resolver automáticamente las alertas en las que no se encontraron amenazas o donde se corrigieron las amenazas detectadas. Si no desea que las alertas se resuelvan automáticamente, deberá desactivar manualmente la característica.

Nota:

• El resultado de la acción de resolución automática puede influir en el cálculo del nivel de riesgo del dispositivo, que se basa en las alertas activas que se encuentran en un dispositivo.
• Si un analista de operaciones de seguridad establece manualmente el estado de una alerta en "En curso" o "Resuelto", la funcionalidad de resolución automática no la sobrescribirá.

Permitir o bloquear el archivo

El bloqueo solo está disponible si su organización cumple estos requisitos:

• Usa antivirus de Microsoft Defender como solución antimalware activa y,
• La característica de protección basada en la nube está habilitada

Esta característica le permite bloquear archivos potencialmente malintencionados en la red. El bloqueo de un archivo impedirá que se lea, escriba o ejecute en dispositivos de su organización.

Para activar Permitir o bloquear archivos:

1. En el portal de Microsoft Defender, en el panel de navegación, seleccione Configuración>Puntos de conexiónCaracterísticas> avanzadas >generales>Permitir o bloquear el archivo.

2. Cambie la configuración entre Activado y Desactivado.

   

3. Seleccione Guardar preferencias en la parte inferior de la página.

Después de activar esta característica, puede bloquear archivos a través de la pestaña Agregar indicador de la página de perfil de un archivo.

Ocultar posibles registros de dispositivos duplicados

Al habilitar esta característica, puede asegurarse de que ve la información más precisa sobre los dispositivos ocultando posibles registros de dispositivos duplicados. Hay diferentes razones por las que pueden producirse registros de dispositivos duplicados, por ejemplo, la funcionalidad de detección de dispositivos en Microsoft Defender para punto de conexión podría examinar la red y detectar un dispositivo que ya esté incorporado o que se haya quitado recientemente.

Esta característica identificará los posibles dispositivos duplicados en función de su nombre de host y la hora que se ha visto por última vez. Los dispositivos duplicados se ocultarán de varias experiencias en el portal, como el inventario de dispositivos, las páginas de administración de vulnerabilidades de Microsoft Defender y las API públicas para los datos de la máquina, dejando visible el registro de dispositivo más preciso. Sin embargo, los duplicados seguirán siendo visibles en las páginas de búsqueda global, búsqueda avanzada, alertas e incidentes.

Esta configuración está activada de forma predeterminada y se aplica en todo el inquilino. Si no desea ocultar posibles registros de dispositivos duplicados, deberá desactivar manualmente la característica.

Indicadores de red personalizados

Activar esta característica le permite crear indicadores para direcciones IP, dominios o direcciones URL, que determinan si se permitirán o bloquearán en función de la lista de indicadores personalizados.

Para usar esta característica, los dispositivos deben ejecutar Windows 10, versión 1709 o posterior, o Windows 11. También deben tener protección de red en modo de bloque y la versión 4.18.1906.3 o posterior de la plataforma antimalware , consulte KB 4052623.

Para obtener más información, vea Administrar indicadores.

Nota:

La protección de red aprovecha los servicios de reputación que procesan solicitudes en ubicaciones que podrían estar fuera de la ubicación que ha seleccionado para los datos de Defender para punto de conexión.

Protección contra alteraciones

Durante algunos tipos de ciberataques, los actores malintencionados intentan deshabilitar las características de seguridad, como la protección antivirus, en las máquinas. A los actores incorrectos les gusta deshabilitar las características de seguridad para obtener un acceso más fácil a los datos, para instalar malware o para aprovechar los datos, la identidad y los dispositivos. La protección contra alteraciones básicamente bloquea el Antivirus de Microsoft Defender e impide que la configuración de seguridad se cambie a través de aplicaciones y métodos.

Para obtener más información, incluido cómo configurar la protección contra alteraciones, consulte Protección de la configuración de seguridad con protección contra alteraciones.

Mostrar los detalles del usuario

Active esta característica para que pueda ver los detalles del usuario almacenados en Microsoft Entra ID. Los detalles incluyen la información de imagen, nombre, título y departamento de un usuario al investigar entidades de cuenta de usuario. Puede encontrar información de la cuenta de usuario en las vistas siguientes:

• Cola de alertas
• Página de detalles del dispositivo

Para obtener más información, vea Investigar una cuenta de usuario.

Integración de Skype Empresarial

La habilitación de la integración de Skype Empresarial le permite comunicarse con los usuarios mediante Skype Empresarial, correo electrónico o teléfono. Esta activación puede ser útil cuando necesite comunicarse con el usuario y mitigar los riesgos.

Nota:

Cuando un dispositivo se aísla de la red, hay un elemento emergente en el que puede optar por habilitar las comunicaciones de Outlook y Skype que permiten las comunicaciones con el usuario mientras están desconectados de la red. Esta configuración se aplica a la comunicación de Skype y Outlook cuando los dispositivos están en modo de aislamiento.

Microsoft Defender for Cloud Apps

La habilitación de esta configuración reenvía las señales de Defender para punto de conexión a Microsoft Defender for Cloud Apps para proporcionar una visibilidad más profunda del uso de aplicaciones en la nube. Los datos reenviados se almacenan y procesan en la misma ubicación que los datos de Defender for Cloud Apps.

Nota:

Esta característica estará disponible con una licencia E5 para Enterprise Mobility + Security en dispositivos que ejecutan Windows 10, versión 1709 (compilación del sistema operativo 16299.1085 con KB4493441), Windows 10, versión 1803 (compilación del sistema operativo 17134.704 con KB4493464), Windows 10, versión 1809 (compilación del sistema operativo 17763.379 con KB4489899), versiones posteriores de Windows 10 o Windows 11.

Filtrado de contenido web

Bloquear el acceso a sitios web que contienen contenido no deseado y realizar un seguimiento de la actividad web en todos los dominios. Para especificar las categorías de contenido web que desea bloquear, cree una directiva de filtrado de contenido web. Asegúrese de que tiene protección de red en modo de bloque al implementar la línea base de seguridad de Microsoft Defender para punto de conexión.

Registro de auditoría unificado

La búsqueda en Microsoft Purview permite al equipo de seguridad y cumplimiento ver los datos críticos de eventos de registro de auditoría para obtener información e investigar las actividades del usuario. Cada vez que un usuario o un administrador realizan una actividad auditada, se genera y almacena un registro de auditoría en el registro de auditoría de Microsoft 365 para su organización. Para obtener más información, vea Buscar en el registro de auditoría.

Detección de dispositivo

Ayuda a encontrar dispositivos no administrados conectados a la red corporativa sin necesidad de dispositivos adicionales ni cambios en los procesos engorrosos. Con los dispositivos incorporados, puede encontrar dispositivos no administrados en la red y evaluar vulnerabilidades y riesgos. Para obtener más información, consulte Detección de dispositivos.

Nota:

Siempre puede aplicar filtros para excluir dispositivos no administrados de la lista de inventario de dispositivos. También puede usar la columna de estado de incorporación en las consultas de API para filtrar los dispositivos no administrados.

Descarga de archivos en cuarentena

Haga una copia de seguridad de los archivos en cuarentena en una ubicación segura y compatible para que se puedan descargar directamente desde la cuarentena. El botón Descargar archivo siempre estará disponible en la página de archivos. Esta configuración está activada de forma predeterminada. Más información sobre los requisitos

Conectividad simplificada predeterminada al incorporar dispositivos en el portal de Defender

Esta configuración establecerá el paquete de incorporación predeterminado en conectividad simplificada para los sistemas operativos aplicables. Todavía tiene la opción de usar el paquete de incorporación estándar dentro de la página de incorporación, pero debe seleccionarlo específicamente en la lista desplegable.

Respuesta inmediata

Active esta característica para que los usuarios con los permisos adecuados puedan iniciar una sesión de respuesta en vivo en los dispositivos.

Para obtener más información sobre las asignaciones de roles, consulte Creación y administración de roles.

Respuesta dinámica para servidores

Active esta característica para que los usuarios con los permisos adecuados puedan iniciar una sesión de respuesta activa en los servidores.

Para obtener más información sobre las asignaciones de roles, consulte Creación y administración de roles.

Ejecución de script sin signo de respuesta dinámica

La habilitación de esta característica permite ejecutar scripts sin firmar en una sesión de respuesta en directo.

Engaño

El engaño permite al equipo de seguridad administrar e implementar señuelos y señuelos para detectar atacantes en su entorno. Después de activar esto, vaya a Reglas > de engaño para ejecutar campañas de engaño. Consulte Administración de la funcionalidad de engaño en XDR de Microsoft Defender.

Compartir alertas de punto de conexión con el Centro de cumplimiento de Microsoft

Reenvía alertas de seguridad de punto de conexión y su estado de evaluación de prioridades al portal de cumplimiento de Microsoft Purview, lo que le permite mejorar las directivas de administración de riesgos internos con alertas y corregir los riesgos internos antes de que causen daños. Los datos reenviados se procesan y almacenan en la misma ubicación que los datos de Office 365.

Después de configurar los indicadores de infracción de directivas de seguridad en la configuración de administración de riesgos internos, las alertas de Defender para punto de conexión se compartirán con la administración de riesgos internos para los usuarios aplicables.

Conexión de Microsoft Intune

Defender for Endpoint se puede integrar con Microsoft Intune para habilitar el acceso condicional basado en riesgos del dispositivo. Al activar esta característica, podrá compartir la información del dispositivo de Defender para punto de conexión con Intune, lo que mejorará la aplicación de directivas.

Importante

Tendrá que habilitar la integración en Intune y Defender para punto de conexión para usar esta característica. Para obtener más información sobre pasos específicos, vea Configurar el acceso condicional en Defender para punto de conexión.

Esta característica solo está disponible si tiene los siguientes requisitos previos:

• Un inquilino con licencia para Enterprise Mobility + Security E3 y Windows E5 (o Microsoft 365 Enterprise E5)
• Un entorno activo de Microsoft Intune, con dispositivos Windows administrados por Intune unidos a Microsoft Entra.

Telemetría autenticada

Puede activar la telemetría autenticada para evitar la suplantación de telemetría en el panel.

Vista previa de las características

Obtenga información sobre las nuevas características en la versión preliminar de Defender para punto de conexión.

Pruebe las próximas características activando la experiencia de vista previa. Tendrá acceso a las próximas características, en las que puede proporcionar comentarios para ayudar a mejorar la experiencia general antes de que las características estén disponibles con carácter general.

Si ya tiene activadas las características de versión preliminar, administre la configuración desde la configuración principal de XDR de Defender.

Para obtener más información, consulte Características de la versión preliminar de XDR de Microsoft Defender.

Notificaciones de ataque de punto de conexión

Las notificaciones de ataque de punto de conexión permiten a Microsoft buscar activamente amenazas críticas que se prioricen en función de la urgencia y el impacto sobre los datos del punto de conexión.

Para la búsqueda proactiva en todo el ámbito de XDR de Microsoft Defender, incluidas las amenazas que abarcan el correo electrónico, la colaboración, la identidad, las aplicaciones en la nube y los puntos de conexión, obtenga más información sobre los expertos de Microsoft Defender.

Temas relacionados

• Actualización de la configuración de retención de datos
• Configurar notificaciones de alerta

Sugerencia

¿Desea obtener más información? Interactúe con la comunidad de seguridad de Microsoft en nuestra comunidad tecnológica: Microsoft Defender para punto de conexión Tech Community.