Proteja los puntos de conexión con la solución EDR integrada de Security Center: Microsoft Defender para punto de conexión

Microsoft Defender para punto de conexión es una solución integral de seguridad de punto de conexión que se entrega en la nube. Sus principales características son:

  • Evaluación y administración de vulnerabilidades basadas en riesgos.
  • Reducción de la superficie expuesta a ataques
  • Protección basada en el comportamiento y con tecnología de nube.
  • Detección y respuesta de puntos de conexión (EDR).
  • Investigación y corrección automatizadas.
  • Servicios de búsqueda administrados.

Sugerencia

Originalmente se inició como ATP de Windows Defender, pero se cambió el nombre de este producto de Detección y respuesta de puntos de conexión (EDR) en 2019 a ATP de Microsoft Defender.

En Ignite 2020, lanzamos el conjunto Microsoft Defender XDR y se cambió el nombre del componente EDR a Microsoft Defender para punto de conexión.

Disponibilidad

Aspecto Detalles
Estado de la versión: Disponible con carácter general
Precios: Requiere Azure Defender para servidores.
Plataformas compatibles: • Máquinas de Azure que ejecutan Windows.
• Máquinas de Azure Arc que ejecutan Windows.
Versiones compatibles de Windows para la detección: • Windows Server 2019, 2016, 2012 R2 y 2008 R2 SP1
Windows Virtual Desktop (WVD)
Windows 10 Enterprise multi-session (antes Enterprise for Virtual Desktops (EVD)
Sistemas operativos no admitidos: • Windows 10 (excepto EVD o WVD)
• Linux
Roles y permisos necesarios: Para habilitar o deshabilitar la integración: Administrador de seguridad o Propietario
Para ver las alertas de MDATP en Security Center: Lector de seguridad, Lector, Colaborador del grupo de recursos, Propietario del grupo de recursos, Administrador de seguridad, Propietario de la suscripción o Colaborador de la suscripción
Nubes: Sí Nubes comerciales
Sí US Gov
No China Gov, otros gobiernos

Características de Microsoft Defender para punto de conexión en Security Center

Microsoft Defender para punto de conexión proporciona lo siguiente:

  • Sensores de detección avanzados posteriores a las brechas. Los sensores de Defender para punto de conexión para máquinas de Windows recopilan una amplia gama de señales de comportamiento.

  • Detección posterior a las brechas basada en el análisis y con tecnología de nube. Defender para punto de conexión se adapta rápidamente a las amenazas cambiantes. Utiliza análisis avanzados y macrodatos. Asimismo, se amplía gracias a la eficacia de Intelligent Security Graph con señales a través de Windows, Azure y Office para detectar amenazas desconocidas. Proporciona alertas que requieren intervención y le permite responder rápidamente.

  • Información sobre amenazas. Defender para punto de conexión crea alertas cuando identifica las herramientas, las técnicas y los procedimientos de los atacantes. Usa datos generados por los equipos de seguridad y los buscadores de amenazas de Microsoft, con la ayuda de mecanismos de inteligencia que aportan los partners.

Mediante la integración de Defender para punto de conexión con Security Center, también puede beneficiarse de las siguientes funcionalidades adicionales:

  • Incorporación automatizada. Security Center habilita automáticamente el sensor de Microsoft Defender para punto de conexión en todos los servidores Windows que supervisa Security Center.

  • Panel único. la consola de Security Center muestra las alertas de Microsoft Defender para punto de conexión. Para obtener más detalles, use las páginas del portal de Microsoft Defender para punto de conexión, donde verá información adicional, como el árbol de procesos de alerta y el gráfico de incidentes. También puede ver una escala de tiempo de la máquina detallada que muestra cada comportamiento durante un período histórico de hasta seis meses.

    Security Center en Microsoft Defender para punto de conexión

¿Cuáles son los requisitos del inquilino de Microsoft Defender para punto de conexión?

Al usar Azure Security Center para supervisar los servidores, se crea automáticamente un inquilino Microsoft Defender para punto de conexión.

  • Ubicación: los datos que recopila Defender para punto de conexión se almacenan en la ubicación geográfica del inquilino identificada durante el aprovisionamiento. Los datos de cliente en formato seudonimizado también se pueden almacenar en los sistemas de procesamiento y almacenamiento central en el Estados Unidos. Una vez configurada la ubicación, no se puede cambiar. Si tiene su propia licencia de Microsoft Defender para el punto de conexión y necesita trasladar los datos a otra ubicación, póngase en contacto con Soporte técnico de Microsoft para restablecer el inquilino.
  • Mover suscripciones: si movió la suscripción de Azure entre inquilinos de Azure, se requieren algunos pasos de preparación manuales para que Security Center pueda implementar Defender para punto de conexión. Para obtener más información, póngase en contacto con el soporte técnico de Microsoft.

Habilitación de la integración de Microsoft Defender para punto de conexión

Requisitos previos

Compruebe que el equipo cumple los requisitos necesarios para Defender para punto de conexión:

  1. Asegúrese de que la máquina está conectada a Azure según sea necesario:

  2. Habilite Azure Defender para los servidores. Consulte Inicio rápido: Habilitación de Azure Defender.

  3. Si ya ha obtenido una licencia e implementado Microsoft defender para punto de conexión en sus servidores, quítelo mediante el procedimiento descrito en la Retirada de servidores de Windows.

  4. Si ha movido la suscripción entre inquilinos de Azure, también se requieren algunos pasos de preparación manuales. Para obtener más información, póngase en contacto con el soporte técnico de Microsoft.

Habilitación de la integración

  1. En el menú de Security Center, seleccione Precios y configuración, y seleccione la suscripción que quiere cambiar.

  2. Seleccione Detección de amenazas.

  3. Seleccione Permitir que Microsoft Defender for Endpoint acceda a mis datos y luego Guardar.

    Habilitar la integración entre Azure Security Center y la solución EDR de Microsoft, Microsoft Defender para punto de conexión

    Azure Security Center incorporará automáticamente los servidores en Microsoft Defender para punto de conexión. Este proceso de incorporación puede tardar hasta 24 horas.

Acceso al portal de Microsoft Defender para punto de conexión

  1. Asegúrese de que la cuenta de usuario tenga los permisos necesarios. Obtenga más información en Asignar acceso de usuario al Centro de seguridad de Microsoft Defender.

  2. Compruebe si tiene un proxy o firewall que esté bloqueando el tráfico anónimo. El sensor de Defender para punto de conexión se conecta desde el contexto del sistema, por lo que se debe permitir el tráfico anónimo. Para garantizar un acceso sin obstáculos al portal de Defender para punto de conexión, siga las instrucciones de Habilitar el acceso a las direcciones URL de servicio en el servidor proxy.

  3. Abra el portal del Centro de seguridad de Microsoft Defender. Obtenga más información sobre las características e iconos del portal, en Información general del portal del Centro de seguridad de Microsoft Defender.

Envío de una alerta de prueba

Para generar una alerta de prueba benigna de Microsoft Defender para punto de conexión:

  1. Cree una carpeta "C:\test-MDATP-test".

  2. Use el Escritorio remoto para acceder a su máquina.

  3. Abra una ventana de línea de comandos.

  4. En el símbolo del sistema, copie el siguiente comando y ejecútelo. La ventana del símbolo del sistema se cerrará automáticamente.

    powershell.exe -NoExit -ExecutionPolicy Bypass -WindowStyle Hidden (New-Object System.Net.WebClient).DownloadFile('http://127.0.0.1/1.exe', 'C:\\test-MDATP-test\\invoice.exe'); Start-Process 'C:\\test-MDATP-test\\invoice.exe'
    

    Ventana del símbolo del sistema con el comando para generar una alerta de prueba.

  5. Si el comando se ejecuta correctamente, verá una nueva alerta en el panel de Azure Security Center y el portal de Microsoft Defender para punto de conexión. Esta alerta puede tardar unos minutos en aparecer.

  6. Para revisar la alerta en Security Center, vaya a Security Alerts (Alertas de seguridad) > Suspicious Powershell CommandLine (Línea de comandos de PowerShell sospechosa) .

  7. En la ventana de la investigación, seleccione el vínculo para ir al portal de Microsoft Defender para punto de conexión.

    Sugerencia

    La alerta se desencadena con gravedad Información.

Preguntas más frecuentes sobre la instancia de Microsoft Defender para punto de conexión integrada en Security Center

¿Cuáles son los requisitos de licencia de Microsoft Defender para punto de conexión?

Defender para punto de conexión se incluye sin costo adicional en los servidores de Azure Defender. Como alternativa, se puede adquirir por separado para 50 máquinas o más.

Si tengo una licencia de Microsoft Defender para punto de conexión, ¿puedo obtener un descuento en Azure Defender?

Si ya tiene una licencia de Microsoft Defender para punto de conexión, no tendrá que pagar esa parte de la licencia de Azure Defender.

Para confirmar su descuento, póngase en contacto con el equipo de soporte técnico de Security Center y especifique el identificador de área de trabajo, la región y la información de licencia pertinentes de cada licencia.

¿Cómo puedo cambiar una herramienta de EDR de terceros?

Las instrucciones completas para cambiarse de una solución de punto de conexión que no es de Microsoft están disponibles en la documentación de Microsoft Defender para punto de conexión: Información general sobre la migración.

Pasos siguientes