Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
La detección de dispositivos le permite mejorar la visibilidad de los dispositivos no administrados, evaluar su posición de seguridad y realizar las acciones adecuadas para protegerlos.
En este artículo se describe cómo revisar y evaluar los dispositivos detectados por la detección de dispositivos en Microsoft Defender para punto de conexión. También aprenderá a obtener datos en dispositivos que no están incorporados a Microsoft Defender para punto de conexión y a consultar datos en dispositivos detectados.
Requisitos previos
Sistemas operativos admitidos
- Windows 10 y versiones posteriores
- Windows Server 2019 y versiones posteriores.
Supervisión de dispositivos no incorporados en el inventario de dispositivos
Puede revisar el inventario de dispositivos para los dispositivos detectados que no están incorporados a Defender para punto de conexión.
Nota:
Un dispositivo no incorporado permanece en el portal de Defender (durante más de 180 días), si se cumple una de estas condiciones:
- Un punto de conexión incorporado detecta el dispositivo en la misma red
- Un sensor OT detecta el dispositivo.
Para evaluar estos dispositivos, vaya al inventario de dispositivos y use el filtro Estado de incorporación , con uno de los valores siguientes:
| Valor | Description |
|---|---|
| Incorporado | El punto de conexión se incorpora a Defender para punto de conexión. |
| Se puede incorporar | Defender para punto de conexión detecta el dispositivo en la red y admite su sistema operativo, pero el dispositivo no está incorporado. Nota: - Le recomendamos que incorpore estos dispositivos. - Es posible que observe diferencias entre el número de dispositivos enumerados en se pueden incorporar en el inventario de dispositivos, la recomendación de incorporación a Microsoft Defender para punto de conexión seguridad y los dispositivos para incorporar el widget de panel. La recomendación de seguridad y el widget de panel son para dispositivos que son estables en la red, excepto dispositivos efímeros, dispositivos invitados y otros. La idea es recomendar dispositivos persistentes que también afecten a la puntuación de seguridad general de la organización. |
| No compatible | Defender para punto de conexión detecta el punto de conexión, pero no admite el dispositivo. |
| Información insuficiente | El sistema no pudo determinar la compatibilidad del dispositivo. Habilite la detección estándar en más dispositivos de la red para enriquecer los atributos detectados. |
Incorporación de dispositivos no administrados
Puede incorporar dispositivos no administrados manualmente. Los puntos de conexión no administrados de la red presentan vulnerabilidades y riesgos en la red. Incorporarlos al servicio puede aumentar la visibilidad de seguridad en ellos.
Uso de la búsqueda avanzada en dispositivos detectados
Puede usar consultas de búsqueda avanzadas para obtener visibilidad en los dispositivos detectados. Busque detalles sobre los dispositivos detectados en la tabla DeviceInfo, o información relacionada con la red sobre esos dispositivos, en la tabla DeviceNetworkInfo.
Sugerencia
También puede usar la columna de estado de incorporación en las consultas de API para filtrar los dispositivos no administrados.
Explorar dispositivos en la red
Puede usar la siguiente consulta de búsqueda avanzada para obtener más contexto sobre cada nombre de red descrito en la lista de redes. La consulta enumera todos los dispositivos incorporados que se conectaron a una red determinada en los últimos siete días.
DeviceNetworkInfo
| where Timestamp > ago(7d)
| where ConnectedNetworks != ""
| extend ConnectedNetworksExp = parse_json(ConnectedNetworks)
| mv-expand bagexpansion = array ConnectedNetworks=ConnectedNetworksExp
| extend NetworkName = tostring(ConnectedNetworks ["Name"]), Description = tostring(ConnectedNetworks ["Description"]), NetworkCategory = tostring(ConnectedNetworks ["Category"])
| where NetworkName == "<your network name here>"
| summarize arg_max(Timestamp, *) by DeviceId
Obtener información sobre el dispositivo
Puede usar la siguiente consulta de búsqueda avanzada para obtener la información completa más reciente en un dispositivo específico.
DeviceInfo
| where DeviceName == "<device name here>" and isnotempty(OSPlatform)
| summarize arg_max(Timestamp, *) by DeviceId
Consulta de los detalles de los dispositivos detectados
Ejecute esta consulta en la tabla DeviceInfo para devolver todos los dispositivos detectados junto con los detalles más actualizados de cada dispositivo:
DeviceInfo
| summarize arg_max(Timestamp, *) by DeviceId // Get latest known good per device Id
| where isempty(MergedToDeviceId) // Remove invalidated/merged devices
| where OnboardingStatus != "Onboarded"
Al invocar la función SeenBy , en la consulta de búsqueda avanzada, puede obtener detalles sobre qué dispositivo incorporado ha visto un dispositivo detectado. Esta información puede ayudar a determinar la ubicación de red de cada dispositivo detectado y, posteriormente, ayudar a identificarla en la red.
DeviceInfo
| where OnboardingStatus != "Onboarded"
| summarize arg_max(Timestamp, *) by DeviceId
| where isempty(MergedToDeviceId)
| limit 100
| invoke SeenBy()
| project DeviceId, DeviceName, DeviceType, SeenBy
Para obtener más información, vea la función SeenBy().
Consultar información relacionada con la red
La detección de dispositivos aprovecha los dispositivos incorporados de Defender para punto de conexión como origen de datos de red para atribuir actividades a dispositivos no incorporados. El sensor de red en el dispositivo incorporado de Defender para punto de conexión identifica dos nuevos tipos de conexión:
- ConnectionAttempt: intento de establecer una conexión TCP (syn)
- ConnectionAcknowledged: confirmación de que se aceptó una conexión TCP (syn\ack)
Esto significa que cuando un dispositivo no incorporado intenta comunicarse con un dispositivo de Defender para punto de conexión incorporado, el intento genera un DeviceNetworkEvent y las actividades de dispositivo no incorporadas se pueden ver en la escala de tiempo del dispositivo incorporado y a través de la tabla DeviceNetworkEvents de búsqueda avanzada.
Puede probar esta consulta de ejemplo:
DeviceNetworkEvents
| where ActionType == "ConnectionAcknowledged" or ActionType == "ConnectionAttempt"
| take 10
Evaluación de vulnerabilidades en dispositivos detectados
Administración de vulnerabilidades de Microsoft Defender detecta riesgos en los dispositivos y otros dispositivos no administrados detectados en la red.
Para revisar las vulnerabilidades pertinentes, consulte la páginaRecomendaciones de administración > de la exposicióny otras páginas de entidad en el portal de Defender.
Por ejemplo, busque SSH en la lista de recomendaciones de seguridad para buscar vulnerabilidades ssh relacionadas con dispositivos no administrados y administrados.
Para obtener más información sobre las características de administración de vulnerabilidades, consulte Administración de vulnerabilidades de Microsoft Defender.