Directiva de detección y respuesta de puntos de conexión para la seguridad de puntos de conexión en IntuneEndpoint detection and response policy for endpoint security in Intune

Al integrar Advanced Threat Protection de Microsoft Defender (ATP de Microsoft Defender) con Intune, puede usar directivas de seguridad de punto de conexión para la detección de puntos de conexión y respuesta (EDR) a fin de administrar la configuración de EDR e incorporar dispositivos a ATP de Defender.When you integrate Microsoft Defender Advanced Threat Protection (Microsoft Defender ATP) with Intune, you can use endpoint security policies for endpoint detection and response (EDR) to manage the EDR settings and onboard devices to Microsoft Defender ATP.

Las funciones de detección de puntos de conexión y respuesta de ATP de Microsoft Defender proporcionan detecciones de ataques avanzadas casi en tiempo real y procesables.The capabilities of Microsoft Defender ATP endpoint detection and response provide advanced attack detections that are near real-time and actionable. Los analistas de seguridad pueden priorizar las alertas de forma eficaz, obtener visibilidad sobre el ámbito completo de una vulneración y tomar medidas de respuesta para corregir las amenazas.Security analysts can prioritize alerts effectively, gain visibility into the full scope of a breach, and take response actions to remediate threats.

Las directivas de EDR incluyen perfiles específicos de la plataforma para administrar la configuración de EDR.EDR policies include platform-specific profiles to manage settings for EDR. Los perfiles incluyen automáticamente un paquete de incorporación para ATP de Microsoft Defender.The profiles automatically include an onboarding package for Microsoft Defender ATP. La incorporación de paquetes es la manera de configurar los dispositivos de modo que funcionen con ATP de Microsoft Defender.Onboarding packages are how devices are configured to work with Microsoft Defender ATP. Una vez que se incorpora un dispositivo, puede empezar a usar los datos de amenazas de ese dispositivo.After a device onboards, you can start to use threat data from that device.

Las directivas de EDR se implementan en grupos de dispositivos en Azure Active Directory (Azure AD) que se administran con Intune y en colecciones de dispositivos locales que se administran con Configuration Manager, incluidos los servidores de Windows.EDR policies deploy to groups of devices in Azure Active Directory (Azure AD) that you manage with Intune, and to collections of on-premises devices that you manage with Configuration Manager, including Windows servers. Las directivas de EDR para las distintas rutas de administración requieren otros paquetes de incorporación.The EDR policies for the different management paths require different onboarding packages. Por tanto, creará directivas de EDR independientes para los diferentes tipos de dispositivos que administra.Therefore, you’ll create separate EDR policies for the different types of devices you manage.

Busque las directivas de seguridad de puntos de conexión para EDR en Administrar, en el nodo Seguridad de los puntos de conexión del Centro de administración de Microsoft Endpoint Manager.Find the endpoint security policies for EDR under Manage in the Endpoint security node of the Microsoft Endpoint Manager admin center.

Vea Configuración del perfil de respuesta y detección de puntos de conexión.View settings for Endpoint detection and response profiles.

Requisitos previos para las directivas de EDRPrerequisites for EDR policies

General:General:

  • Inquilino de Advanced Threat Protection de Microsoft Defender: el inquilino de ATP de Microsoft Defender se debe integrar con el de Microsoft Endpoint Manager (suscripción de Intune) para poder crear directivas de EDR.Tenant for Microsoft Defender Advanced Threat Protection – Your Microsoft Defender ATP tenant must be integrated with your Microsoft Endpoint Manager tenant (Intune subscription) before you can create EDR policies. Vea Uso de ATP de Microsoft Defender en la documentación de Intune.See Use Microsoft Defender ATP in the Intune documentation.

Compatibilidad con características de Configuration Manager:Support for Configuration Manager clients:

  • Configuración de la asociación de inquilinos para dispositivos de Configuration Manager: para admitir la implementación de directivas de EDR en dispositivos administrados por Configuration Manager, configure la asociación de inquilinos.Set up tenant attach for Configuration Manager devices - To support deploying EDR policy to devices managed by Configuration Manager, configure tenant attach. Esto incluye la configuración de colecciones de dispositivos de Configuration Manager para admitir las directivas de seguridad de punto de conexión de Intune.This includes configuring Configuration Manager device collections to support endpoint security policies from Intune.

    Para configurar la asociación de inquilinos, incluida la sincronización de colecciones de Configuration Manager con el centro de administración de Microsoft Endpoint Manager y permitirles trabajar con directivas de seguridad de punto de conexión, consulte Configuración de la asociación de inquilinos para admitir directivas de protección de puntos de conexión.To set up tenant attach, including the synchronization of Configuration Manager collections to the Microsoft Endpoint Manager admin center and enabling them to work with endpoint security policies, see Configure tenant attach to support endpoint protection policies.

Perfiles de EDREDR profiles

Vea las opciones que puede configurar para las siguientes plataformas y perfiles.View the settings you can configure for the following platforms and profiles.

Intune: los dispositivos que administra con Intune admiten lo siguiente:Intune – The following are supported for devices you manage with Intune:

  • Plataforma: Windows 10 y versiones posteriores: Intune implementa la directiva en los dispositivos de los grupos de Azure AD.Platform: Windows 10 and later - Intune deploys the policy to devices in your Azure AD groups.
  • Perfil: Detección y respuesta de puntos de conexión (MDM)Profile: Endpoint detection and response (MDM)

Configuration Manager: los dispositivos que se administran con Configuration Manager admiten lo siguiente:Configuration Manager - The following are supported for devices you manage with Configuration Manager:

  • Plataforma: Windows 10 y Windows Server (ConfigMgr) : Configuration Manager implementa la directiva en los dispositivos de las colecciones de Configuration Manager.Platform: Windows 10 and Windows Server (ConfigMgr) - Configuration Manager deploys the policy to devices in your Configuration Manager collections.
  • Perfil: Detección de puntos de conexión y respuesta (ConfigMgr)Profile: Endpoint detection and response (ConfigMgr)

Configurar Configuration Manager para admitir la directiva de EDRSet up Configuration Manager to support EDR policy

Antes de implementar las directivas de EDR en dispositivos de Configuration Manager, complete las configuraciones que se detallan en las secciones siguientes.Before you can deploy EDR policies to Configuration Manager devices, complete the configurations detailed in the following sections.

Estas configuraciones se realizan en la consola de Configuration Manager y en la implementación de Configuration Manager.These configurations are made within the Configuration Manager console and to your Configuration Manager deployment. Si no está familiarizado con Configuration Manager, planee trabajar con un administrador de Configuration Manager para completar estas tareas.If you’re not familiar with Configuration Manager, plan to work with a Configuration Manager admin to complete these tasks.

En las secciones siguientes se tratan las tareas necesarias:The following sections cover the required tasks:

  1. Instalación de la actualización de Configuration ManagerInstall the update for Configuration Manager
  2. Habilitación de la asociación de inquilinosEnable tenant attach

Sugerencia

Para obtener más información sobre el uso de ATP de Microsoft Defender con Configuration Manager, vea los artículos siguientes en el contenido de la Configuration Manager:To learn more about using Microsoft Defender ATP with Configuration Manager, see the following articles in the Configuration Manager content:

Tarea 1: Instalación de la actualización de Configuration ManagerTask 1: Install the update for Configuration Manager

La versión 2002 de Configuration Manager requiere una actualización para admitir el uso de las directivas de detección y respuesta de puntos de conexión que se implementan desde el centro de administración de Microsoft Endpoint Manager.Configuration Manager version 2002 requires an update to support use with Endpoint detection and response policies you deploy from the Microsoft Endpoint Manager admin center.

Detalles de la actualización:Update details:

  • Revisión de Configuration Manager 2002 (KB4563473)Configuration Manager 2002 Hotfix (KB4563473)

Encontrará esta actualización como actualización en la consola para Configuration Manager 2002.You’ll find this update as an in-console update for Configuration Manager 2002.

Para instalar esta actualización, siga las instrucciones de Instalación de actualizaciones en la consola en la documentación de Configuration Manager.To install this update, follow the guidance from Install in-console updates in the Configuration Manager documentation.

Después de instalar la actualización, vuelva aquí para continuar con la configuración del entorno para admitir la directiva de EDR desde el centro de administración de Microsoft Endpoint Manager.After installing the update, return here to continue configuring your environment to support EDR policy from the Microsoft Endpoint Manager admin center.

Tarea 2: Configuración de la asociación de inquilinos y sincronización de coleccionesTask 2: Configure tenant attach and synchronize collections

Con la asociación de inquilinos se especifican colecciones de dispositivos desde la implementación de Configuration Manager para la sincronización con el centro de administración de Microsoft Endpoint Manager.With Tenant attach you specify collections of devices from your Configuration Manager deployment to synchronize with the Microsoft Endpoint Manager admin center. Después de sincronizar las colecciones, use el centro de administración para ver información sobre esos dispositivos e implementar en ellos la directiva de EDR desde Intune.After collections synchronize, use the admin center to view information about those devices and to deploy EDR policy from Intune to them.

Para obtener más información sobre el escenario de asociación de inquilinos, vea Habilitación de la asociación de inquilinos en el contenido de Configuration Manager.For more information about the Tenant attach scenario, see Enable tenant attach in the Configuration Manager content.

Habilitación de la asociación de inquilinos cuando no se ha habilitado la administración conjuntaEnable tenant attach when co-management hasn’t been enabled

Sugerencia

El Asistente para la configuración de administración conjunta de la consola de Configuration Manager se usa para habilitar la asociación de inquilinos, pero no es necesario habilitar la administración conjunta.You use the Co-management Configuration Wizard in the Configuration Manager console to enable tenant attach, but you don’t need to enable co-management.

Si tiene previsto habilitar la administración conjunta, antes de continuar debe estar familiarizado con la administración conjunta, sus requisitos previos y la administración de cargas de trabajo.If you're planning to enable co-management, be familiar with co-management, its prerequisites, and how to manage workloads before you continue. Vea ¿Qué es la administración conjunta? en la documentación de Configuration Manager.See What is co-management? in the Configuration Manager documentation.

  1. En la consola de administración de Configuration Manager, vaya a Administración > Información general > Servicios de nube > Co-management (Administración conjunta).In the Configuration Manager admin console, go to Administration > Overview > Cloud Services > Co-management.
  2. En la cinta de opciones, haga clic en Configure co-management (Configurar la administración conjunta) para abrir el asistente.In the ribbon, click Configure co-management to open the wizard.
  3. En la página Tenant onboarding (Incorporación de inquilinos), seleccione AzurePublicCloud para el entorno.On the Tenant onboarding page, select AzurePublicCloud for your environment. La nube de Azure Government no es compatible.Azure Government cloud isn't supported.
    1. Haga clic en Iniciar sesión.Click Sign In. Use la cuenta de administrador global para iniciar sesión.Use your Global Administrator account to sign in.

Los dispositivos que se administran con Intune admiten lo siguiente:The following are supported for devices you manage with Intune:

  • Plataforma: Windows 10 y versiones posteriores: Intune implementa la directiva en los dispositivos de los grupos de Azure AD.Platform: Windows 10 and later - Intune deploys the policy to devices in your Azure AD groups.
    • Perfil: Detección y respuesta de puntos de conexión (MDM)Profile: Endpoint detection and response (MDM)

Dispositivos administrados por Configuration Manager (en versión preliminar)Devices managed by Configuration Manager (In preview)

Los dispositivos que se administran con Configuration Manager admiten lo siguiente gracias al escenario de asociación de inquilinos:The following are supported for devices you manage with Configuration Manager through the tenant attach scenario:

  • Plataforma: Windows 10 y Windows Server (ConfigMgr) : Configuration Manager implementa la directiva en los dispositivos de las colecciones de Configuration Manager.Platform: Windows 10 and Windows Server (ConfigMgr) - Configuration Manager deploys the policy to devices in your Configuration Manager collections.
    • Perfil: Detección de puntos de conexión y respuesta (ConfigMgr) (versión preliminar)Profile: Endpoint detection and response (ConfigMgr) (Preview)

Creación e implementación de directivas de EDRCreate and deploy EDR policies

Cuando se integra la suscripción de ATP de Microsoft Defender con Intune, puede crear e implementar directivas de EDR.When you integrate your Microsoft Defender ATP subscription with Intune, you can create and deploy EDR policies. Existen dos tipos distintos de directivas de EDR que se pueden crear.There are two distinct types of EDR policy you can create. Uno es para los dispositivos que administra con Intune a través de MDM.One policy type for devices you manage with Intune through MDM. El segundo tipo es para los dispositivos que administra con Configuration Manager.The second type is for devices you manage with Configuration Manager.

Para selecciona el tipo de directiva que se va a crear durante la configuración de una nueva directiva de EDR, se elige una plataforma para la directiva.You choose the type of policy to create while configuring a new EDR policy, by choosing a platform for the policy.

Antes de implementar la directiva en los dispositivos administrados por Configuration Manager, configure Configuration Manager para admitir la directiva de EDR desde el centro de administración de Microsoft Endpoint Manager.Before you can deploy policy to devices managed by Configuration Manager, set up Configuration Manager to support EDR policy from the Microsoft Endpoint Manager admin center. Consulte Configuración de la asociación de inquilinos para admitir directivas de protección de puntos de conexión.See Configure tenant attach to support endpoint protection policies.

Creación de directivas de EDRCreate EDR policies

  1. Inicie sesión en el Centro de administración del Administrador de puntos de conexión de Microsoft.Sign in to the Microsoft Endpoint Manager admin center.

  2. Seleccione Seguridad de los puntos de conexión > Detección y respuesta de puntos de conexión > Crear directiva.Select Endpoint security > Endpoint detection and response > Create Policy.

  3. Seleccione la plataforma y el perfil de la directiva.Select the platform and profile for your policy. La siguiente información identifica las opciones:The following information identifies your options:

    • Intune: Intune implementa la directiva en los dispositivos de los grupos de Azure AD.Intune - Intune deploys the policy to devices in your Azure AD groups. Al crear la directiva, seleccione lo siguiente:When you create the policy, select:

      • Plataforma: Windows 10 y versiones posterioresPlatform: Windows 10 and later
      • Perfil: Detección y respuesta de puntos de conexión (MDM)Profile: Endpoint detection and response (MDM)
    • Configuration Manager: Configuration Manager implementa la directiva en los dispositivos de las colecciones de Configuration Manager.Configuration Manager - Configuration Manager deploys the policy to devices in your Configuration Manager collections. Al crear la directiva, seleccione lo siguiente:When you create the policy, select:

      • Plataforma: Windows 10 y Windows Server (ConfigMgr)Platform: Windows 10 and Windows Server (ConfigMgr)
      • Perfil: Detección de puntos de conexión y respuesta (ConfigMgr)Profile: Endpoint detection and response (ConfigMgr)
  4. Seleccione Crear.Select Create.

  5. En la página Datos básicos, escriba un nombre y una descripción para el perfil y, después, elija Siguiente.On the Basics page, enter a name and description for the profile, then choose Next.

  6. En la página Opciones de configuración, configure las opciones que quiera administrar con este perfil.On the Configuration settings page, configure the settings you want to manage with this profile. El paquete de incorporación se incluye de forma automática y no se puede configurar.The onboarding package is automatically included and isn’t something you can configure.

    Cuando haya finalizado la configuración, seleccione Siguiente.When your done configuring settings, select Next.

  7. *Este paso solo se aplica al perfil **Detección de puntos de conexión y respuesta (MDM)***:This step only applies for the Endpoint detection and response (MDM) profile:

    En la página Etiquetas de ámbito, seleccione Seleccionar etiquetas de ámbito para abrir el panel Seleccionar etiquetas a fin de asignar etiquetas de ámbito al perfil.On the Scope tags page, choose Select scope tags to open the Select tags pane to assign scope tags to the profile.

    Seleccione Siguiente para continuar.Select Next to continue.

  8. En la página Asignaciones, seleccione los grupos o colecciones que recibirán esta directiva.On the Assignments page, select the groups or collections that will receive this policy. La elección depende de la plataforma y el perfil que haya seleccionado:The choice depends on the platform and profile you selected:

    • Para Intune, seleccionará grupos de Azure AD.For Intune, you’ll select groups from Azure AD.
    • Por Configuration Manager, seleccionará colecciones de Configuration Manager que haya sincronizado con el centro de administración de Microsoft Endpoint Manager y habilitado para la directiva de ATP de Microsoft Defender.For Configuration Manager, you'll select collections from Configuration Manager that you’ve synced to Microsoft Endpoint Manager admin center and enabled for Microsoft Defender ATP policy.

    En este momento, puede elegir no asignar grupos o colecciones y editar después la directiva para agregar una asignación.You can choose not to assign groups or collections at this time, and later edit the policy to add an assignment.

    Cuando esté listo para continuar, seleccione Siguiente.When ready to continue, select Next.

  9. Cuando haya terminado, elija Crear en la página Revisar y crear.On the Review + create page, when you're done, choose Create.

    El nuevo perfil se muestra en la lista cuando se selecciona el tipo de directiva del perfil creado.The new profile is displayed in the list when you select the policy type for the profile you created.

Informes de directivas de EDREDR policy reports

Puede ver los detalles de las directivas de EDR que implemente en el centro de administración de Microsoft Endpoint Manager.You can view details about the EDR policies you deploy in the Microsoft Endpoint Manager admin center. Para ver los detalles, vaya a Seguridad de los puntos de conexión > Implementación y respuesta de puntos de conexión, y seleccione una directiva para la que quiera ver los detalles de cumplimiento:To view details, go to Endpoint security > Endpoint deployment and response, and select a policy for which you want to view compliance details:

  • En el caso de las directivas que tienen como destino la plataforma Windows 10 y versiones posteriores (Intune), verá información general del cumplimiento de la directiva.For policies that target the Windows 10 and later platform (Intune), you’ll see an overview of compliance to the policy. También puede seleccionar el gráfico para ver una lista de los dispositivos que han recibido la directiva y profundizar en dispositivos individuales para obtener más detalles.You can also select the chart to view a list of devices that received the policy, and drill-in to individual devices for more details.

    En el gráfico de los dispositivos con sensor ATP solo se muestran los dispositivos que se incorporan correctamente a ATP de Microsoft Defender mediante el uso del perfil Windows 10 y versiones posteriores.The chart for Devices with ATP sensor displays only devices that successfully onboard to Microsoft Defender ATP through use of the Windows 10 and later profile. Para asegurarse de que tiene una representación completa de los dispositivos en este gráfico, implemente el perfil de incorporación en todos los dispositivos.To ensure you have full representation of your devices in this chart, deploy the onboarding profile to all your devices. Los dispositivos que se incorporan a ATP de Microsoft Defender por medios externos, como la directiva de grupo o PowerShell, se cuentan como Dispositivos sin el sensor ATP.Devices that onboard to Microsoft Defender ATP by external means, like Group Policy or PowerShell, are counted as Devices without the ATP sensor.

  • En el caso de las directivas que se dirigen a la plataforma Windows 10 y Windows Server (ConfigMgr) (Configuration Manager), verá información general sobre el cumplimiento de la directiva, pero no puede profundizar para ver detalles adicionales.For policies that target the Windows 10 and Windows Server (ConfigMgr) platform (Configuration Manager), you’ll see an overview of compliance to the policy but can't drill-in to view additional details. La vista está limitada porque el centro de administración recibe detalles de estado limitados de Configuration Manager, que administra la implementación de la directiva en los dispositivos de Configuration Manager.The view is limited because the admin center receives limited status details from Configuration Manager, which manages the deployment of the policy to Configuration Manager devices.

Vea las opciones que puede configurar para plataformas y perfiles.View the settings you can configure for both platforms and profiles.

Pasos siguientesNext steps