Configurar Microsoft Defender para la implementación de puntos de conexión

Se aplica a:

• Microsoft Defender para punto de conexión
• Microsoft 365 Defender

¿Quiere experimentar Microsoft Defender para punto de conexión? Regístrese para obtener una prueba gratuita.

La implementación de Defender for Endpoint es un proceso de tres fases:

Fase 1: Preparación	Fase 2: Configuración	Fase 3: Incorporación
	¡Estás aquí!

Actualmente se encuentra en la fase de configuración.

En este escenario de implementación, se le guiará a través de los pasos siguientes:

• Validación de licencias
• Configuración del espacio empresarial
• Configuración de red

Comprobar el estado de la licencia

Comprobar el estado de la licencia y si se aprovisionó correctamente, se puede realizar a través del Centro de administración o a través del portal Microsoft Azure .

1. Para ver las licencias, vaya al portal de Microsoft Azure y vaya a la sección Microsoft Azure licencia del portal.

   

2. Como alternativa, en el Centro de administración, vaya a Suscripciones de > facturación.

   En la pantalla, verá todas las licencias aprovisionadas y su estado actual.

   

Validación del proveedor de servicios en la nube

Para obtener acceso a las licencias que se aprovisionan a su empresa y comprobar el estado de las licencias, vaya al Centro de administración.

1. En el portal de partners, seleccione Administrar servicios > Office 365.

2. Al hacer clic en el vínculo Portal de partners, se abrirá la opción Administrador en nombre del usuario y se le dará acceso al Centro de administración de clientes.

   

Configuración del espacio empresarial

La incorporación a Microsoft Defender para Endpoint es fácil. En el menú de navegación, seleccione cualquier elemento en la sección Puntos de conexión o cualquier característica de Microsoft 365 Defender como Incidentes, Búsqueda, Centro de acción o Análisis de amenazas para iniciar el proceso de incorporación.

Desde un explorador web, vaya al portal Microsoft 365 Defender web.

Configuración de red

Si la organización no requiere que los puntos de conexión usen un proxy para tener acceso a Internet, omita esta sección.

El sensor de Microsoft Defender para punto de conexión requiere HTTP de Microsoft Windows (WinHTTP) para informar los datos del sensor y comunicarse con el servicio Microsoft Defender para punto de conexión. El sensor incrustado de Microsoft Defender para endpoint se ejecuta en el contexto del sistema mediante la cuenta LocalSystem. El sensor usa los servicios HTTP de Microsoft Windows (WinHTTP) para habilitar la comunicación con el servicio en la nube Microsoft Defender para punto de conexión. La configuración de WinHTTP es independiente de la configuración de proxy de exploración de Internet de Windows (WinINet) y solo puede detectar un servidor proxy mediante los siguientes métodos de detección:

• Métodos de detección automática:

  • Proxy transparente
  • Protocolo de detección automática de proxy web (WPAD)

  Si se ha implementado un proxy transparente o WPAD en la topología de red, no es necesario que haya opciones de configuración especiales. Para obtener más información sobre las exclusiones de url de extremo de Microsoft Defender en el proxy, consulte la sección Direcciones URL del servicio proxy de este documento para la lista de direcciones URL permitidas o en Configurar el proxy de dispositivo y la configuración de conectividad a Internet.

• Configuración manual de proxy estático:

  • Configuración basada en el registro

  • WinHTTP configurado mediante el comando netsh

    Adecuado solo para escritorios en una topología estable (por ejemplo: un escritorio en una red corporativa detrás del mismo proxy).

Configurar manualmente el servidor proxy mediante un proxy estático basado en el registro

Configure un proxy estático basado en el Registro para permitir que solo el sensor de Microsoft Defender para endpoints informe datos de diagnóstico y se comunique con Microsoft Defender para los servicios de punto de conexión si un equipo no tiene permiso para conectarse a Internet. El proxy estático se puede configurar mediante la directiva de grupo (GP). La directiva de grupo se puede encontrar aquí:

• Plantillas administrativas Windows recopilación de datos y versiones preliminares Configurar el uso de > proxy autenticado para el servicio de telemetría y experiencia del usuario > > conectado
• Estadíla en Habilitada y seleccione Deshabilitar el uso de proxy autenticado

1. Abra la Consola de administración de directivas de grupo.

2. Cree una directiva o edite una directiva existente basada en las prácticas organizativas.

3. Edite la directiva de grupo y vaya a Plantillas administrativas Windows Componentes de recopilación de datos y versiones preliminares Configure > > > Authenticated Proxy usage for the Connected User Experience and Telemetry Service.

   

4. Seleccione Habilitado.

5. Seleccione Deshabilitar el uso de proxy autenticado.

6. Vaya a Plantillas administrativas Windows de datos componentes y versiones > > preliminares > Configure las experiencias de usuario conectadas y la telemetría.

   

7. Seleccione Habilitado.

8. Escriba el nombre del servidor proxy.

La directiva establece dos valores del registro TelemetryProxyServer como REG_SZ y DisableEnterpriseAuthProxy como REG_DWORD en la clave del registro HKLM\Software\Policies\Microsoft\Windows\DataCollection.

El valor del TelemetryProxyServer Registro tiene el siguiente formato de cadena:

<server name or ip>:<port>

Por ejemplo, 10.0.0.6:8080

El valor del registro DisableEnterpriseAuthProxy debe establecerse en 1.

Configurar el servidor proxy manualmente mediante el comando netsh

Use netsh para configurar un proxy estático en todo el sistema.

1. Abra un símbolo del sistema con privilegios elevados:

   1. Vaya a Inicio y escriba cmd.
   2. Haga clic derecho en Símbolo del sistema y seleccione Ejecutar como administrador.

2. Escriba el siguiente comando y presione Entrar:

   netsh winhttp set proxy <proxy>:<port>
   

   Por ejemplo: netsh winhttp set proxy 10.0.0.6:8080

Configuración de proxy para dispositivos de nivel inferior

Down-Level incluyen Windows estaciones de trabajo de Windows 8.1 y 7 SP1, así como Windows Server 2008 R2, Windows Server 2012, Windows Server 2012 R2 y versiones de Windows Server 2016 anteriores a Windows Servidor CB 1803. Estos sistemas operativos tendrán el proxy configurado como parte del Agente de administración de Microsoft para controlar la comunicación desde el punto de conexión a Azure. Consulte la Guía de implementación rápida de Microsoft Management Agent para obtener información sobre cómo se configura un proxy en estos dispositivos.

Direcciones URL del servicio proxy

Las direcciones URL que incluyen v20 solo son necesarias si Windows 10, versión 1803 o Windows 11 dispositivos. Por ejemplo, solo es necesario si el dispositivo está en us-v20.events.data.microsoft.com Windows 10 versión 1803 o Windows 11.

Si un proxy o firewall bloquea el tráfico anónimo, ya que el sensor de Microsoft Defender para endpoint se conecta desde el contexto del sistema, asegúrese de que el tráfico anónimo está permitido en las direcciones URL enumeradas.

En la siguiente hoja de cálculo descargable se enumeran los servicios y sus direcciones URL asociadas a las que la red debe poder conectarse. Asegúrese de que no hay reglas de filtrado de red o firewall que denieguen el acceso a estas direcciones URL, o puede que necesite crear una regla de permitido específicamente para ellas.

Hoja de cálculo de la lista de dominios	Descripción
	Hoja de cálculo de registros DNS específicos para ubicaciones de servicio, ubicaciones geográficas y sistema operativo. Descargue la hoja de cálculo aquí.

Paso siguiente

Fase 3: Incorporaciónde dispositivos al servicio para que el servicio de Microsoft Defender para endpoints pueda obtener datos de sensores de ellos.