Detección y respuesta de puntos de conexión en modo de bloque

Se aplica a:

• Microsoft Defender para punto de conexión Plan 2
• Microsoft Defender XDR
• Antivirus de Microsoft Defender

Plataformas

• Windows

¿Quiere experimentar Defender para punto de conexión? Regístrese para obtener una prueba gratuita.

En este artículo se describe EDR en modo de bloque, lo que ayuda a proteger los dispositivos que ejecutan una solución antivirus que no es de Microsoft (con antivirus de Microsoft Defender en modo pasivo).

¿Qué es EDR en modo de bloque?

La detección y respuesta de puntos de conexión (EDR) en modo de bloque proporciona protección adicional contra artefactos malintencionados cuando Antivirus de Microsoft Defender no es el producto antivirus principal y se ejecuta en modo pasivo. EDR en modo de bloque está disponible en El plan 2 de Defender para punto de conexión.

Importante

EDR en modo de bloque no puede proporcionar toda la protección disponible cuando la protección en tiempo real del Antivirus de Microsoft Defender está en modo pasivo. Algunas funcionalidades que dependen del Antivirus de Microsoft Defender para ser la solución antivirus activa no funcionarán, como los ejemplos siguientes:

• La protección en tiempo real, incluido el examen a acceso y el examen programado no están disponibles cuando antivirus de Microsoft Defender está en modo pasivo. Para más información sobre la configuración de directivas de protección en tiempo real, consulte Habilitación y configuración de la protección always-on del Antivirus de Microsoft Defender.
• Las características como la protección de red y las reglas e indicadores de reducción de la superficie expuesta a ataques (hash de archivo, dirección IP, dirección URL y certificados) solo están disponibles cuando el Antivirus de Microsoft Defender se ejecuta en modo activo. Se espera que la solución antivirus que no es de Microsoft incluya estas funcionalidades.

EDR en modo de bloque funciona en segundo plano para corregir artefactos malintencionados detectados por las funcionalidades de EDR. Es posible que el producto antivirus principal que no es de Microsoft haya perdido estos artefactos. EDR en modo de bloque permite que Antivirus de Microsoft Defender realice acciones en detecciones de EDR posteriores a la vulneración y comportamiento.

EDR en modo de bloque se integra con las funcionalidades de administración de vulnerabilidades & amenazas . El equipo de seguridad de la organización obtiene una recomendación de seguridad para activar EDR en modo de bloque si aún no está habilitada.

Sugerencia

Para obtener la mejor protección, asegúrese de implementar líneas base de Microsoft Defender para punto de conexión.

Vea este vídeo para obtener información sobre por qué y cómo activar la detección y respuesta de puntos de conexión (EDR) en modo de bloque, habilitar el bloqueo de comportamiento y la contención en cada fase, desde la infracción previa hasta la posterior a la vulneración.

¿Qué ocurre cuando se detecta algo?

Cuando se activa EDR en modo de bloque y se detecta un artefacto malintencionado, Defender para punto de conexión corrige ese artefacto. El equipo de operaciones de seguridad ve el estado de detección como Bloqueado o Impedido en el Centro de acciones, que aparece como acciones completadas. En la imagen siguiente se muestra una instancia de software no deseado que se detectó y corrigieron a través de EDR en modo de bloque:

Habilitación de EDR en modo de bloque

Importante

• Asegúrese de que se cumplen los requisitos antes de activar EDR en modo de bloque.
• Se requieren licencias del plan 2 de Defender para punto de conexión.
• A partir de la versión 4.18.2202.X de la plataforma, puede establecer EDR en modo de bloque para dirigirse a grupos de dispositivos específicos mediante CSP de Intune. Puede seguir estableciendo EDR en modo de bloque para todo el inquilino en el portal de Microsoft Defender.
• EDR en modo de bloque se recomienda principalmente para dispositivos que ejecutan antivirus de Microsoft Defender en modo pasivo (se instala una solución antivirus que no es de Microsoft y está activa en el dispositivo).

Portal de Microsoft Defender

1. Vaya al portal de Microsoft Defender (https://security.microsoft.com/) e inicie sesión.

2. Elija Configuración>Puntos de conexiónCaracterísticas avanzadas>generales>.

3. Desplácese hacia abajo y, a continuación, active Habilitar EDR en modo de bloque.

Intune

Para crear una directiva personalizada en Intune, consulte Implementación de OMA-URIs para dirigirse a un CSP a través de Intune y una comparación con el entorno local.

Para obtener más información sobre el CSP de Defender que se usa para EDR en modo de bloque, vea "Configuration/PassiveRemediation" en CSP de Defender.

Requisitos de EDR en modo de bloque

En la tabla siguiente se enumeran los requisitos de EDR en modo de bloque:

Requisito	Detalles
Permissions	Debe tener asignado el rol Administrador global o Administrador de seguridad en Microsoft Entra ID. Para obtener más información, consulte Permisos básicos.
Sistema operativo	Los dispositivos deben ejecutar una de las siguientes versiones de Windows: - Windows 11 - Windows 10 (todas las versiones) - Windows Server 2019 o posterior - Windows Server, versión 1803 o posterior - Windows Server 2016 y Windows Server 2012 R2 (con la nueva solución de cliente unificada)
Plan 2 de Microsoft Defender para punto de conexión	Los dispositivos deben incorporarse a Defender para punto de conexión. Consulte los siguientes artículos: - Requisitos mínimos para Microsoft Defender para punto de conexión - Incorporación de dispositivos y configuración de funcionalidades de Microsoft Defender para punto de conexión - Incorporación de servidores Windows al servicio Defender para punto de conexión - Nuevas funciones de Windows Server 2012 R2 y 2016 en la solución unificada moderna (Consulte ¿Se admite EDR en modo de bloque en Windows Server 2016 y Windows Server 2012 R2?)
Antivirus de Microsoft Defender	Los dispositivos deben tener instalado el Antivirus de Microsoft Defender y ejecutarse en modo activo o pasivo. Confirme que Antivirus de Microsoft Defender está en modo activo o pasivo.
Protección entregada en la nube	El Antivirus de Microsoft Defender debe configurarse de forma que la protección entregada en la nube esté habilitada.
Plataforma antivirus de Microsoft Defender	Los dispositivos deben estar actualizados. Para confirmar que, con PowerShell, ejecute el cmdlet Get-MpComputerStatus como administrador. En la línea AMProductVersion , debería ver la versión 4.18.2001.10 o posterior. Para obtener más información, consulte Administrar actualizaciones de Antivirus de Microsoft Defender y aplicar bases de referencia.
Motor antivirus de Microsoft Defender	Los dispositivos deben estar actualizados. Para confirmar que, con PowerShell, ejecute el cmdlet Get-MpComputerStatus como administrador. En la línea AMEngineVersion , debería ver 1.1.16700.2 o superior. Para obtener más información, consulte Administrar actualizaciones de Antivirus de Microsoft Defender y aplicar bases de referencia.

Importante

Para obtener el mejor valor de protección, asegúrese de que la solución antivirus está configurada para recibir actualizaciones periódicas y características esenciales, y de que las exclusiones están configuradas. EDR en modo de bloque respeta las exclusiones definidas para el Antivirus de Microsoft Defender, pero no los indicadores definidos para Microsoft Defender para punto de conexión.

Microsoft recomienda usar roles con los permisos más mínimos. Esto ayuda a mejorar la seguridad de su organización. Administrador global es un rol con privilegios elevados que debe limitarse a escenarios de emergencia cuando no se puede usar un rol existente.

Vea también

• Detección y respuesta de puntos de conexión (EDR) en modo de bloque preguntas frecuentes (P+F)

Sugerencia

¿Desea obtener más información? Interactúe con la comunidad de seguridad de Microsoft en nuestra comunidad tecnológica: Microsoft Defender para punto de conexión Tech Community.