Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
La detección de dispositivos le permite mejorar la visibilidad de los dispositivos no administrados, evaluar su posición de seguridad y realizar las acciones adecuadas para protegerlos.
En este artículo se describe cómo configurar y configurar la detección de dispositivos en Microsoft Defender para punto de conexión.
Obtenga información sobre los sistemas operativos admitidos para esta característica.
Configuración de la detección de dispositivos
Para configurar la detección de dispositivos:
En el portal de Microsoft Defender, vaya a Configuración Detección>de dispositivos.
Si ha seleccionado usar la detección estándar, seleccione qué dispositivos usar para el examen activo:
- Seleccione todos los dispositivos (recomendados) para examinar todos los dispositivos.
- Seleccione Seleccionar etiquetas para examinar por etiquetas de dispositivo y, en la página Etiquetas , seleccione las etiquetas. Esta opción es útil para examinar dispositivos en una subred específica.
Sugerencia
Aunque estándar es el modo recomendado, puede cambiar al modo básico si es necesario. Para obtener más información, consulte Modos y exámenes de detección.
Haga clic en Guardar.
Controlar qué dispositivos realizan la detección estándar
Para personalizar la lista de dispositivos usados para realizar la detección estándar, realice una de las siguientes acciones:
- Habilite la detección estándar en todos los dispositivos incorporados que admiten la detección de dispositivos.
- Seleccione un subconjunto o subconjuntos de los dispositivos mediante etiquetas de dispositivo (consulte Configuración de la detección de dispositivos). En este caso, todos los demás dispositivos solo ejecutan la detección básica.
Excluir dispositivos de la detección estándar
Es posible que quiera excluir determinados dispositivos de la red de los exámenes activos, por ejemplo, los dispositivos que se usan como honeypots para otra herramienta de seguridad.
Es posible que los dispositivos excluidos todavía se detecten mediante la detección básica o mediante intentos de detección de multidifusión. Defender for Endpoint detecta pasivamente estos dispositivos, pero no los examina activamente.
Para excluir un dispositivo:
- En la configuración de detección de dispositivos, seleccione Exclusiones.
- Seleccione Agregar exclusión y, en la página Agregar exclusión , agregue direcciones IP o subredes para excluir de los exámenes estándar.
- Agregue una descripción para la exclusión.
- Haga clic en Guardar.
La exclusión está visible en la lista Exclusiones . Puede seleccionar una exclusión en la lista para ver los detalles de exclusión, editar o eliminar la exclusión.
Nota:
- Es posible que los dispositivos excluidos sigan respondiendo a los intentos de detección de multidifusión en la red. Estos dispositivos se detectan, pero no se examinan activamente.
- Dado que la detección de dispositivos usa métodos pasivos para detectar dispositivos en la red, cualquier dispositivo que se comunique con los dispositivos incorporados en la red corporativa se puede detectar y enumerar en el inventario. Solo puede excluir dispositivos de la detección activa.
Visualización y administración de redes supervisadas
La página Redes supervisadas muestra una lista de redes en las que está activa la detección de dispositivos.
De forma predeterminada, Defender para punto de conexión supervisa automáticamente las redes que se identifican como redes corporativas e ignora las redes no corporativas.
La lista ordena las redes en función del número total de dispositivos vistos en la red en los últimos siete días. Si se identifican menos de 50 redes como redes corporativas, la lista muestra hasta 50 redes con los dispositivos más incorporados.
Administración de redes supervisadas
Es posible que desee supervisar una red, por ejemplo, si tiene una nueva oficina corporativa o un sitio remoto que debe supervisarse. Para obtener más información, consulte Redes supervisadas.
Para administrar redes supervisadas, en la configuración de detección de dispositivos, seleccione Redes supervisadas, seleccione los tres puntos junto a un nombre de una red y seleccione una de las siguientes opciones.
| Opción | Description | Notas |
|---|---|---|
| Supervisión de esta red | Supervisa una red que Defender para punto de conexión no supervisa de forma predeterminada. | La supervisión de una red no identificada como corporativa puede desencadenar la detección de dispositivos fuera de la red corporativa, incluidos los dispositivos domésticos u otros dispositivos no corporativos. Asegúrese de que tiene permiso antes de supervisar redes no corporativas. |
| Omitir esta red de la supervisión | Detiene la supervisión y detección de dispositivos en la red. | Los dispositivos detectados permanecen en el inventario, pero ya no se actualizan. Los detalles se conservan hasta que expire el período de retención de datos de Defender para punto de conexión. |
| Supervisión automática | Supervisa automáticamente una red que se identifica como corporativa. |
Importante
- La elección de supervisar una red que no se identificó por Microsoft Defender para punto de conexión como una red corporativa puede provocar la detección de dispositivos fuera de la red corporativa y, por lo tanto, puede detectar dispositivos domésticos u otros dispositivos no corporativos.
- Al elegir omitir una red, se detiene la supervisión y la detección de dispositivos en esa red. Los dispositivos que ya se detectaron no se quitarán del inventario, pero ya no se actualizarán, y los detalles se conservarán hasta que expire el período de retención de datos de Defender para punto de conexión.
- Antes de elegir supervisar redes no corporativas, debe asegurarse de que tiene permiso para hacerlo.
Filtrar lista de redes
Para filtrar la lista de red, seleccione Filtrar, seleccione el filtro Estado del monitor de red y seleccione Aplicar. En la lista de red, seleccione el filtro Estado del monitor de red y seleccione un estado:
- Supervisado: redes en las que está activa la detección de dispositivos.
- Omitido: redes en las que la detección de dispositivos no está activa.
- Todo: muestra las redes supervisadas e ignoradas.
Revisión y evaluación de dispositivos
Para revisar y evaluar dispositivos no incorporados y buscar otros detalles del dispositivo, consulte Revisión y evaluación de dispositivos.
Deshabilitación de la detección de dispositivos
Puede deshabilitar la detección de dispositivos en la página Características avanzadas . Al deshabilitar la detección de dispositivos, Defender para punto de conexión no detecta dispositivos en la red, pero SenseNDR.exe sigue ejecutándose en los dispositivos incorporados.
Solucionar problemas
Si tiene problemas con la detección de dispositivos o los exámenes de red autenticados, consulte Solución de problemas de detección de dispositivos y exámenes de red autenticados.
Explorar dispositivos en la red
Puede usar la siguiente consulta de búsqueda avanzada para obtener más contexto sobre cada nombre de red descrito en la lista de redes. La consulta enumera todos los dispositivos incorporados que se conectaron a una red determinada en los últimos siete días.
DeviceNetworkInfo
| where Timestamp > ago(7d)
| where ConnectedNetworks != ""
| extend ConnectedNetworksExp = parse_json(ConnectedNetworks)
| mv-expand bagexpansion = array ConnectedNetworks=ConnectedNetworksExp
| extend NetworkName = tostring(ConnectedNetworks ["Name"]), Description = tostring(ConnectedNetworks ["Description"]), NetworkCategory = tostring(ConnectedNetworks ["Category"])
| where NetworkName == "<your network name here>"
| summarize arg_max(Timestamp, *) by DeviceId
Obtener información sobre el dispositivo
Puede usar la siguiente consulta de búsqueda avanzada para obtener la información completa más reciente en un dispositivo específico.
DeviceInfo
| where DeviceName == "<device name here>" and isnotempty(OSPlatform)
| summarize arg_max(Timestamp, *) by DeviceId