Corrección de sensores incorrectos en Microsoft Defender para punto de conexión
Se aplica a:
- Microsoft Defender para punto de conexión Plan 1
- Microsoft Defender para punto de conexión Plan 2
- Microsoft Defender XDR
¿Quiere experimentar Microsoft Defender para punto de conexión? Regístrese para obtener una prueba gratuita.
Los dispositivos se pueden clasificar como mal configurados o inactivos se marcan por diferentes motivos. En este artículo se proporciona información sobre por qué un dispositivo podría clasificarse como inactivo o mal configurado.
Dispositivos inactivos
Un dispositivo inactivo no se marca necesariamente debido a un problema. Las siguientes acciones realizadas en un dispositivo pueden hacer que un dispositivo se clasifique como inactivo:
- El dispositivo no está en uso
- Se reinstaló o se cambió el nombre del dispositivo
- El dispositivo se desintegró
- El dispositivo no envía señales
El dispositivo no está en uso
Cualquier dispositivo que no esté en uso durante más de siete días conserva el estado "Inactivo" en el portal.
Se reinstaló o se cambió el nombre del dispositivo
Se genera una nueva entidad de dispositivo en Microsoft Defender XDR para dispositivos reinstalados o cuyo nombre se ha cambiado. La entidad de dispositivo anterior permanece, con un estado "Inactivo" en el portal. Si reinstaló un dispositivo e implementó el paquete de Defender para punto de conexión, busque el nuevo nombre del dispositivo para comprobar que el dispositivo notifica con normalidad.
El dispositivo se desintegró
Si el dispositivo estaba desconectado, sigue apareciendo en la lista de dispositivos. Después de siete días, el estado de mantenimiento del dispositivo debe cambiar a inactivo.
El dispositivo no envía señales
Si el dispositivo no envía señales a ningún canal Microsoft Defender para punto de conexión durante más de siete días por cualquier motivo, un dispositivo se puede considerar inactivo. Los dispositivos mal configurados también se pueden considerar inactivos.
Dispositivos mal configurados
Los dispositivos mal configurados se pueden clasificar aún más en:
- Comunicaciones deterioradas
- Sin datos del sensor
Comunicaciones deterioradas
Este estado indica que hay una comunicación limitada entre el dispositivo y el servicio.
Las siguientes acciones sugeridas pueden ayudar a corregir problemas relacionados con un dispositivo mal configurado con comunicaciones afectadas:
Asegúrese de que el dispositivo tiene conexión a Internet. El sensor de Microsoft Defender para punto de conexión requiere HTTP de Microsoft Windows (WinHTTP) para informar los datos del sensor y comunicarse con el servicio Microsoft Defender para punto de conexión.
Compruebe la conectividad del cliente con las direcciones URL de servicio de Microsoft Defender para punto de conexión. Compruebe que la configuración del proxy se completó correctamente, que WinHTTP puede detectar y comunicarse a través del servidor proxy del entorno y que el servidor proxy permite el tráfico a las direcciones URL del servicio Microsoft Defender para punto de conexión.
Si ha realizado acciones correctivas y el estado del dispositivo sigue mal configurado, abra una incidencia de soporte técnico.
Sin datos del sensor
Un dispositivo mal configurado con el estado "Sin datos de sensor" tiene comunicación con el servicio, pero solo puede notificar datos parciales del sensor.
Siga estas acciones para corregir problemas conocidos relacionados con un dispositivo mal configurado con el estado "Sin datos del sensor":
Asegúrese de que el dispositivo tiene conexión a Internet. El sensor de Microsoft Defender para punto de conexión requiere HTTP de Microsoft Windows (WinHTTP) para informar los datos del sensor y comunicarse con el servicio Microsoft Defender para punto de conexión.
Compruebe la conectividad del cliente con las direcciones URL de servicio de Microsoft Defender para punto de conexión. Compruebe que la configuración del proxy se completó correctamente, que WinHTTP puede detectar y comunicarse a través del servidor proxy del entorno y que el servidor proxy permite el tráfico a las direcciones URL del servicio Microsoft Defender para punto de conexión.
Asegúrese de que el servicio de datos de diagnóstico está habilitado. Si los dispositivos no informan correctamente, debe comprobar que el servicio de datos de diagnóstico de Windows está establecido para iniciarse automáticamente. Compruebe también que el servicio de datos de diagnóstico de Windows se ejecuta en el punto de conexión.
Asegúrese de que la directiva no deshabilita Microsoft Defender Antivirus. Si los dispositivos ejecutan un cliente antimalware de terceros, el agente de Defender para punto de conexión requiere que el controlador antimalware de inicio anticipado (ELAM) de Microsoft Defender Antivirus esté habilitado.
En el caso de los dispositivos macOS que duermen durante más de 48 horas (un fin de semana), Microsoft Defender para punto de conexión en macOS sigue enviando datos de canal de comandos y control (CnC), pero no envía datos de canal cibernético. Después de que los dispositivos se activen y usen el primer día laborable, los dispositivos se mostrarán como activos.
Si ha realizado acciones correctivas y el estado del dispositivo sigue mal configurado, abra una incidencia de soporte técnico.
Consulte también
- Comprobación del estado del sensor en Microsoft Defender para punto de conexión
- Información general del Analizador de clientes
- Descargar y ejecutar el Analizador de clientes
- Ejecutar el Analizador de clientes en Windows
- Ejecutar el Analizador de clientes en macOS o Linux
- Recopilación de datos para solucionar problemas avanzados en Windows
Sugerencia
¿Desea obtener más información? Engage con la comunidad de seguridad de Microsoft en nuestra comunidad tecnológica: Microsoft Defender para punto de conexión Tech Community.