Información general de la detección de dispositivo

  • Artículo

Se aplica a:

La protección del entorno requiere realizar un inventario de los dispositivos que están en la red. Sin embargo, asignar dispositivos en una red suele ser costoso, difícil y lento.

Microsoft Defender para punto de conexión proporciona una funcionalidad de detección de dispositivos que le ayuda a encontrar dispositivos no administrados conectados a la red corporativa sin necesidad de dispositivos adicionales ni cambios en los procesos engorrosos. La detección de dispositivos usa puntos de conexión incorporados en la red para recopilar, sondear o examinar la red para detectar dispositivos no administrados. La funcionalidad de detección de dispositivos le permite detectar:

  • Puntos de conexión empresariales (estaciones de trabajo, servidores y dispositivos móviles) que aún no están incorporados a Defender para punto de conexión
  • Dispositivos de red como enrutadores y conmutadores
  • Dispositivos IoT como impresoras y cámaras

Los dispositivos desconocidos y no administrados presentan riesgos significativos para la red, ya sea una impresora sin revisiones, dispositivos de red con configuraciones de seguridad débiles o un servidor sin controles de seguridad. Una vez detectados los dispositivos, puede hacer lo siguiente:

  • Incorporar puntos de conexión no administrados al servicio, lo que aumenta la visibilidad de seguridad en ellos.
  • Reducir la superficie expuesta a ataques mediante la identificación y evaluación de vulnerabilidades y la detección de brechas de configuración.

Vea este vídeo para obtener información general rápida sobre cómo evaluar e incorporar dispositivos no administrados detectados por Defender para punto de conexión.

Con esta funcionalidad, hay disponible una recomendación de seguridad para incorporar dispositivos a Defender para punto de conexión como parte de la experiencia de Administración de vulnerabilidades de Microsoft Defender existente.

Métodos de detección

Puede elegir el modo de detección que usarán los dispositivos incorporados. El modo controla el nivel de visibilidad que puede obtener para los dispositivos no administrados en la red corporativa.

Hay dos modos de detección disponibles:

  • Detección básica: en este modo, los puntos de conexión recopilan eventos de forma pasiva en la red y extraen información del dispositivo de ellos. La detección básica usa el binario SenseNDR.exe para la recopilación pasiva de datos de red y no se inicia ningún tráfico de red. Los puntos de conexión extraen datos de todo el tráfico de red que ve un dispositivo incorporado. Con la detección básica, solo obtiene visibilidad limitada de los puntos de conexión no administrados en la red.

  • Detección estándar (recomendado): este modo permite a los puntos de conexión encontrar dispositivos de forma activa en la red para enriquecer los datos recopilados y detectar más dispositivos, lo que le ayuda a crear un inventario de dispositivos confiable y coherente. Además de los dispositivos que se observaron mediante el método pasivo, el modo estándar también usa protocolos de detección comunes que usan consultas de multidifusión en la red para encontrar aún más dispositivos. El modo estándar usa sondeos activos y inteligentes para detectar información adicional sobre los dispositivos observados para enriquecer la información existente del dispositivo. Cuando el modo Estándar está habilitado, las herramientas de supervisión de red de su organización podrían observar la actividad de red mínima y insignificante generada por el sensor de detección.

Puede cambiar y personalizar la configuración de detección. Para obtener más información, consulte Configuración de la detección de dispositivos.

Importante

La detección estándar es el modo predeterminado para todos los clientes a partir del 19 de julio de 2021. Puede optar por cambiar esta configuración a básica a través de la página de configuración. Si elige el modo básico, solo obtendrá una visibilidad limitada de los puntos de conexión no administrados en la red.

El motor de detección distingue entre los eventos de red que se reciben en la red corporativa versus fuera de la red corporativa. Los dispositivos que no están conectados a redes corporativas no se detectarán ni se mostrarán en el inventario de dispositivos.

Inventario de dispositivos

Los dispositivos que se detectaron, pero que no se incorporaron a Defender para punto de conexión y los protegen, aparecen en el inventario de dispositivos.

Para evaluar estos dispositivos, puede usar un filtro en la lista de inventario de dispositivos denominado Estado de incorporación, que puede tener cualquiera de los siguientes valores:

  • Incorporado: el punto de conexión se incorpora a Defender para punto de conexión.
  • Se puede incorporar: el punto de conexión se detectó en la red y el sistema operativo se identificó como uno compatible con Defender para punto de conexión, pero no está incorporado actualmente. Se recomienda encarecidamente incorporar estos dispositivos.
  • No compatible: el punto de conexión se detectó en la red, pero no es compatible con Defender para punto de conexión.
  • Información insuficiente: el sistema no pudo determinar la compatibilidad del dispositivo. Habilitar la detección estándar en más dispositivos de la red puede enriquecer los atributos detectados.

Panel de inventario de dispositivos

Sugerencia

Siempre puede aplicar filtros para excluir dispositivos no administrados de la lista de inventario de dispositivos. También puede usar la columna de estado de incorporación en las consultas de API para filtrar los dispositivos no administrados.

Para obtener más información, consulte Inventario de dispositivos.

Detección de dispositivos de red

El gran número de dispositivos de red no administrados implementados en una organización crea una gran superficie de ataque y representa un riesgo significativo para toda la empresa. Las funcionalidades de detección de red de Defender para punto de conexión le ayudan a garantizar que los dispositivos de red se detectan, clasifican con precisión y se agregan al inventario de recursos.

Los dispositivos de red no se administran como puntos de conexión estándar, ya que Defender para punto de conexión no tiene un sensor integrado en los propios dispositivos de red. Estos tipos de dispositivos requieren un enfoque sin agente donde un examen remoto obtiene la información necesaria de los dispositivos. Para ello, se usa un dispositivo De Defender para punto de conexión designado en cada segmento de red para realizar exámenes autenticados periódicamente de dispositivos de red preconfigurados. Las funcionalidades de administración de vulnerabilidades de Defender para punto de conexión proporcionan flujos de trabajo integrados para proteger los conmutadores, enrutadores, controladores WLAN, firewalls y puertas de enlace VPN detectados.

Para obtener más información, consulte Dispositivos de red.

Integración de detección de dispositivos

Para abordar el desafío de obtener suficiente visibilidad para localizar, identificar y proteger el inventario de recursos de OT/IOT completo, Defender para punto de conexión ahora admite la siguiente integración:

  • Microsoft Defender para IoT: esta integración combina las funcionalidades de detección de dispositivos de Defender para punto de conexión, con las funcionalidades de supervisión sin agente de Microsoft Defender para IoT, para proteger los dispositivos IoT empresariales conectados a una red de TI (por ejemplo, Protocolo de voz a través de Internet (VoIP), impresoras y televisores inteligentes. Para obtener más información, consulte Habilitación de la seguridad de IoT empresarial con Defender para punto de conexión.

Evaluación de vulnerabilidades en dispositivos detectados

Las vulnerabilidades y riesgos en los dispositivos, así como en otros dispositivos no administrados detectados en la red, forman parte de los flujos actuales de Administración de vulnerabilidades de Defender en "Recomendaciones de seguridad" y se representan en las páginas de entidad en el portal. Búsqueda recomendaciones de seguridad relacionadas con "SSH" para buscar vulnerabilidades ssh relacionadas con dispositivos no administrados y administrados.

Panel de recomendaciones de seguridad

Uso de la búsqueda avanzada en dispositivos detectados

Puede usar consultas de búsqueda avanzadas para obtener visibilidad en los dispositivos detectados. Busque detalles sobre los dispositivos detectados en la tabla DeviceInfo, o información relacionada con la red sobre esos dispositivos, en la tabla DeviceNetworkInfo.

Página Búsqueda avanzada en la que se pueden usar consultas

Consulta de los detalles de los dispositivos detectados

Ejecute esta consulta en la tabla DeviceInfo para devolver todos los dispositivos detectados junto con los detalles más actualizados de cada dispositivo:

DeviceInfo
| summarize arg_max(Timestamp, *) by DeviceId  // Get latest known good per device Id
| where isempty(MergedToDeviceId) // Remove invalidated/merged devices
| where OnboardingStatus != "Onboarded"

Al invocar la función SeenBy , en la consulta de búsqueda avanzada, puede obtener detalles sobre qué dispositivo incorporado ha visto un dispositivo detectado. Esta información puede ayudar a determinar la ubicación de red de cada dispositivo detectado y, posteriormente, ayudar a identificarla en la red.

DeviceInfo
| where OnboardingStatus != "Onboarded"
| summarize arg_max(Timestamp, *) by DeviceId 
| where isempty(MergedToDeviceId) 
| limit 100
| invoke SeenBy()
| project DeviceId, DeviceName, DeviceType, SeenBy

Para obtener más información, vea la función SeenBy().

La detección de dispositivos aprovecha los dispositivos incorporados de Defender para punto de conexión como origen de datos de red para atribuir actividades a dispositivos no incorporados. El sensor de red en el dispositivo incorporado de Defender para punto de conexión identifica dos nuevos tipos de conexión:

  • ConnectionAttempt: intento de establecer una conexión TCP (syn)
  • ConnectionAcknowledged: confirmación de que se aceptó una conexión TCP (syn\ack)

Esto significa que cuando un dispositivo no incorporado intenta comunicarse con un dispositivo de Defender para punto de conexión incorporado, el intento genera un DeviceNetworkEvent y las actividades de dispositivo no incorporadas se pueden ver en la escala de tiempo del dispositivo incorporado y a través de la tabla DeviceNetworkEvents de búsqueda avanzada.

Puede probar esta consulta de ejemplo:

DeviceNetworkEvents
| where ActionType == "ConnectionAcknowledged" or ActionType == "ConnectionAttempt"
| take 10

Pasos siguientes

Sugerencia

¿Desea obtener más información? Engage con la comunidad de seguridad de Microsoft en nuestra comunidad tecnológica: Microsoft Defender para punto de conexión Tech Community.