Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
En los entornos de TI dinámicos de hoy en día, muchas organizaciones tienen dificultades para obtener visibilidad completa de todos sus dispositivos y recursos. La diversidad de dispositivos, la ti instantánea, el trabajo remoto y los cambios rápidos crean brechas que exponen a las organizaciones a riesgos de seguridad.
Microsoft Defender para punto de conexión detección de dispositivos proporciona información directa sobre los dispositivos no administrados en la red. Puede identificar riesgos y actuar rápidamente, sin dispositivos adicionales ni configuraciones complejas.
La detección de dispositivos está diseñada para reducir los puntos ciegos en el entorno, lo que facilita la identificación, evaluación y protección de dispositivos que, de lo contrario, podrían presentar riesgos. La característica funciona como una funcionalidad integrada de Defender para punto de conexión, con una configuración avanzada disponible para obtener información más detallada y escenarios personalizados.
En este artículo se explica cómo funciona la detección de dispositivos, se describen las funcionalidades admitidas y se proporciona información sobre el examen y los recursos detectados.
Funcionamiento de la detección de dispositivos
Defender for Endpoint usa puntos de conexión incorporados para observar pasivamente el tráfico de red y sondear activamente el entorno para identificar puntos de conexión, dispositivos de red y recursos de IoT que no se pueden administrar ni proteger.
Este es un flujo de alto nivel que describe cómo funciona la detección de dispositivos:
- Defender for Endpoint examina el entorno e identifica dispositivos no administrados mediante el análisis del tráfico de red y el uso de técnicas de sondeo activas.
- Defender para punto de conexión clasifica los dispositivos detectados y los agrega al inventario de dispositivos, lo que proporciona visibilidad para los dispositivos que no están incorporados.
- Puede ver los dispositivos que no están incorporados en el inventario de dispositivos e incorporarlos para aumentar la posición de seguridad y reducir el riesgo.
- También puede configurar la funcionalidad de detección de dispositivos: cambiar el modo de examen, agregar exclusiones y redes de confianza, habilitar exámenes de red y mucho más. Para obtener más información, consulte Configurar la detección de dispositivos.
Vea este vídeo para obtener información general rápida sobre cómo evaluar e incorporar dispositivos no administrados detectados por Defender para punto de conexión.
Recursos detectados
Los dispositivos desconocidos y no administrados presentan riesgos significativos para la red, ya sea una impresora sin revisiones, dispositivos de red con configuraciones de seguridad débiles o un servidor sin controles de seguridad.
Defender para punto de conexión detecta lo siguiente:
- Puntos de conexión empresariales (estaciones de trabajo, servidores y dispositivos móviles) que aún no están incorporados a Defender para punto de conexión
- Dispositivos de red como enrutadores y conmutadores
- Dispositivos IoT como impresoras y cámaras
Dispositivos IoT y OT detectados
Defender para punto de conexión puede detectar una amplia gama de dispositivos de Internet de las cosas (IoT) y tecnología operativa (OT) en la red, incluidas impresoras, cámaras, dispositivos médicos, sistemas de control industrial (ICS) y mucho más. Estos dispositivos suelen tener características únicas y es posible que no admitan los agentes de seguridad tradicionales, lo que les dificulta supervisar y proteger. Para detectar estos dispositivos, debe incorporar Defender para IoT en el portal de Defender.
Modos y exámenes de detección
La detección de dispositivos usa dos modos de detección principales. El modo controla el nivel de visibilidad que puede obtener para los dispositivos no administrados en la red corporativa.
Seleccione el modo de detección de dispositivos en la sección Modo dedetección dedispositivos>de configuración> del sistema>. Para obtener más información, consulte Configuración de la detección de dispositivos.
| Modo | Descripción | Cómo funciona | Consideraciones y acciones | Casos de uso y recomendaciones |
|---|---|---|---|---|
| examen de Standard (valor predeterminado) | Examen activo que enriquece los datos del dispositivo y detecta más dispositivos mediante protocolos de red y análisis activo. | : usa protocolos de detección comunes y consultas de multidifusión para buscar dispositivos. - Examina activamente los dispositivos observados para obtener más información. - Examina los dispositivos cuando cambian las características, normalmente no más de una vez cada tres semanas. |
- El análisis activo puede generar hasta 50 KB de tráfico entre el dispositivo incorporado y el dispositivo escaneado por intento. - Standard detección usa varios scripts de PowerShell para examinar activamente los dispositivos de la red. Estos scripts de PowerShell están firmados por Microsoft y se ejecutan desde la siguiente ubicación: C:\ProgramData\Microsoft\Windows Defender Advanced Threat Protection\Downloads\*.ps. Por ejemplo, C:\ProgramData\Microsoft\Windows Defender Advanced Threat Protection\Downloads\UnicastScannerV1.1.0.ps1.- Para personalizar qué dispositivos realizan la detección estándar, consulte Control de qué dispositivos realizan la detección estándar. - Para excluir destinos de la detección estándar, consulte Excluir dispositivos. |
- Se recomienda encarecidamente para crear un inventario de dispositivos confiable y coherente. - En casi todos los casos, las organizaciones no deben tener problemas de seguridad en relación con la habilitación de la detección estándar. Para obtener más información, consulte Consideraciones de seguridad para la detección estándar. |
| Examen básico | Examen pasivo que recopila eventos de red e información del dispositivo sin enviar sondeos. | - Recopila de forma pasiva eventos y extrae información del dispositivo de todo el tráfico de red que ven los dispositivos incorporados. : usa el binarioSenseNDR.exe para la recopilación de datos de red pasiva. - El examen no inicia ningún tráfico de red. |
Dado que la detección de dispositivos usa métodos pasivos para detectar dispositivos en la red, cualquier dispositivo que se comunique con los dispositivos incorporados en la red corporativa se puede detectar y enumerar en el inventario. Solo puede excluir dispositivos de exámenes estándar (activos). | - Recomendado para redes confidenciales o heredadas. : proporciona visibilidad limitada de los puntos de conexión no administrados. |
Consideraciones de seguridad para la detección estándar
Al considerar la detección estándar, es posible que se pregunte sobre las implicaciones del sondeo y, en concreto, si las herramientas de seguridad podrían sospechar que dicha actividad es malintencionada. En casi todos los casos, las organizaciones no deben preocuparse por habilitar la detección estándar.
Sondear dispositivos no administrados es poco frecuente y ligero: cada dispositivo no administrado se examina normalmente como máximo una vez cada tres semanas, lo que genera menos de 50 KB de tráfico por intento. Por el contrario, la actividad malintencionada genera tráfico de red mucho más frecuente y voluminoso, que se detecta fácilmente mediante herramientas de supervisión.
La detección activa es una característica estándar de Windows: Windows y muchas otras plataformas han incluido durante mucho tiempo la detección activa para buscar dispositivos cercanos para funciones como el uso compartido de archivos y la detección de impresoras. Defender para punto de conexión aprovecha estos mismos métodos, por lo que las herramientas de supervisión de red tratan esta actividad como normal.
Solo los dispositivos no administrados están destinados: la detección de dispositivos evita de forma intencionada el examen de los dispositivos que ya están incorporados con Defender para punto de conexión. Solo los dispositivos no administrados o desconocidos están sujetos a análisis activos.
Puede excluir dispositivos o subredes específicos: si tiene señuelos de red o dispositivos confidenciales, puede configurar exclusiones en la configuración de detección de dispositivos. Los dispositivos excluidos no se examinan activamente y solo se detectan pasivamente, de forma similar al modo de detección básico.
Exámenes de red autenticados
Los exámenes de red autenticados proporcionan una manera sin agente de detectar y evaluar dispositivos de infraestructura de red, como conmutadores, enrutadores, controladores WLAN, firewalls y puertas de enlace VPN. Los dispositivos incorporados designados en su entorno examinan periódicamente los dispositivos de red preconfigurados mediante protocolos compatibles, lo que ofrece una visibilidad más profunda de la red más allá de lo que los sensores de punto de conexión estándar pueden proporcionar.
Dado que los dispositivos de red normalmente no admiten sensores incorporados, Defender para punto de conexión se basa en exámenes remotos autenticados para recopilar información. En cada segmento de red, uno o varios dispositivos Windows incorporados actúan como dispositivos de examen, realizando estos exámenes a intervalos regulares. Una vez detectados y clasificados, los dispositivos de red se integran en los flujos de trabajo de administración de vulnerabilidades de Defender para punto de conexión, lo que permite a los administradores de seguridad recibir recomendaciones y revisar las vulnerabilidades.
Los exámenes autenticados usan SNMP (solo lectura) y admiten SNMPv2 y SNMPv3. El proceso requiere que designe qué dispositivos incorporados actuarán como escáneres y que especifique los dispositivos de red que desea examinar. Este enfoque garantiza que incluso la infraestructura sin agente se incluya en la estrategia de administración de seguridad y vulnerabilidades.
Una vez detectados y clasificados los dispositivos de red, los administradores de seguridad pueden recibir las recomendaciones de seguridad más recientes y revisar las vulnerabilidades detectadas recientemente en los dispositivos de red implementados en sus organizaciones.
Nota:
El examen autenticado de Windows está en desuso desde el 18 de diciembre de 2025. Para obtener más información, vea Preguntas más frecuentes sobre desuso del examen autenticado de Windows.
Para obtener información sobre cómo iniciar exámenes de red, consulte Configuración de exámenes de red autenticados.
Redes supervisadas
Microsoft Defender para punto de conexión analiza una red y determina si es una red corporativa que debe supervisarse o una red no corporativa que se puede omitir. Los dispositivos que no están conectados a redes corporativas no se detectan ni aparecen en el inventario de dispositivos.
Para identificar una red como corporativa, Defender para punto de conexión correlaciona los identificadores de red entre todos los clientes del inquilino. Si la mayoría de los dispositivos de la organización informan de que están conectados al mismo nombre de red, con la misma puerta de enlace predeterminada y la misma dirección del servidor DHCP, Defender para punto de conexión asume que la red es una red corporativa.
Los dispositivos de red privada no aparecen en el inventario y no se examinan activamente.
Para invalidar esta configuración, puede agregar redes a la lista supervisada. Para obtener más información, vea Seleccionar redes que se van a supervisar.
Sistemas operativos y protocolos admitidos
Para abordar el desafío de obtener suficiente visibilidad para localizar, identificar y proteger el inventario de recursos de OT/IOT completo, Defender para punto de conexión admite la siguiente integración:
Sistemas operativos admitidos
- Windows 10 versión 1809 o posterior
- Windows 11
- Windows Server 2019 y versiones posteriores
- Azure sistema operativo Stack HCI, versión 23H2 y posteriores
Protocolos admitidos
En la tabla siguiente se muestran los protocolos admitidos por cada modo de detección:
| Protocolo | Detección básica | Detección estándar |
|---|---|---|
| AFP | No | Sí |
| ARP | Sí | Sí |
| CDP | Sí | No |
| DHCP | Sí | Sí |
| DHCPv6 | Sí | No |
| FTP | No | Sí |
| HTTP | No | Sí |
| HTTPS | No | Sí |
| ICMP | No | Sí |
| IP (encabezados) | Sí | No |
| IphoneSync | No | Sí |
| IPP | No | Sí |
| LDAP | No | Sí |
| LLDP | Sí | No |
| LLMNR | Sí | Sí |
| mDNS | Sí | Sí |
| MNDP | Sí | No |
| MSSQL | Sí | No |
| NBNS | Sí | Sí |
| NBSS | No | Sí |
| PJL | No | Sí |
| RDP | No | Sí |
| RPC | No | Sí |
| SIP | No | Sí |
| SLP | No | Sí |
| SMB | No | Sí |
| SMTP | No | Sí |
| SNMP | No | Sí |
| SSDP | Sí | No |
| SSH | No | Sí |
| TCP (encabezados SYN) | Sí | No |
| Telnet | No | Sí |
| UDP (encabezados) | Sí | No |
| UPNP | No | Sí |
| VNC | No | Sí |
| WinRM | No | Sí |
| WSD | Sí | Sí |
La detección de dispositivos también podría examinar otros puertos de uso común para mejorar la precisión y la cobertura de la clasificación.
Funcionalidades y opciones de configuración
La mayoría de las organizaciones se benefician de la detección activa integrada, la integración del inventario de dispositivos y el control automático de la red. Puede usar opciones de configuración adicionales para el control, la selección de destino y las exclusiones más granulares según sea necesario para su entorno.
En esta tabla se resumen qué funcionalidades proporciona la detección de dispositivos, qué habilita cada opción de configuración adicional y dónde puede cambiar las opciones configurables en el portal de Defender.
Para administrar las opciones de detección de dispositivos, consulte Administración de la detección de dispositivos. Para el análisis avanzado, la evaluación de vulnerabilidades y las consultas de búsqueda, consulte Revisión y evaluación de dispositivos.
| Característica o opción | Predeterminado | Lo que incluye o habilita | Dónde configurar en el portal de Defender | Más información |
|---|---|---|---|---|
| Detección básica | No | Detecta puntos de conexión no administrados, dispositivos de red y recursos de IoT a través del tráfico. Se puede usar para redes confidenciales o heredadas. | Sistema>Configuración>Detección de dispositivos>Modo >de detecciónBásico | Modos y exámenes de detección |
| Detección estándar | Sí | Agrega exámenes basados en protocolos para una identificación de dispositivos más profunda y un inventario más completo. Se puede deshabilitar (cambiar al modo básico ). | Sistema>Configuración>Detección de dispositivos>Modo >de deteccióndetección de Standard (recomendado) | Modos y exámenes de detección |
| Integración del inventario de dispositivos | Sí | Vista unificada de dispositivos incorporados y detectados. Filtre, evalúe y tome medidas en el inventario. | Recursos>Dispositivos | Revisar los dispositivos que no están incorporados |
| Administración de listas de red | Sí | Supervisa las redes corporativas y omite las que no son corporativas de forma predeterminada. Puede supervisar o omitir redes específicas. | Sistema>Configuración>Detección de dispositivos>Redes supervisadas | Administración de listas de red |
| Exclusiones | No | Excluir direcciones IP o grupos de dispositivos de los exámenes. | Sistema>Configuración>Detección de dispositivos>Exclusiones | Excluir dispositivos |
| Exámenes de red autenticados | No | - Detectar y clasificar dispositivos de infraestructura de red que no se pueden incorporar. - Programar exámenes y definir destinos de examen más allá de la subred predeterminada. |
Sistema>Configuración>Detección de dispositivos>Detección de dispositivos>Exámenes autenticados | Configuración de exámenes de red autenticados |
| Detección de dispositivos OT/IoT | No | Integre con Defender para IoT para detectar dispositivos DE OT y IoT empresariales. | Sistema>Configuración>Detección de dispositivos>IoT empresarial | Incorporación de Defender para IoT en el portal de Defender |
| Evaluación de vulnerabilidades | Sí | Evalúe las vulnerabilidades en los dispositivos detectados y obtenga instrucciones de corrección. Por ejemplo, busque SSH para buscar recomendaciones sobre vulnerabilidades ssh relacionadas con dispositivos no administrados. | Recomendaciones de administración de > la exposición | Información general sobre la administración de amenazas y vulnerabilidades |
| Búsqueda avanzada en dispositivos detectados | Sí | Use consultas de búsqueda avanzadas para investigar los dispositivos detectados, sus actividades y las amenazas relacionadas. | Búsqueda avanzada de amenazas | Uso de la búsqueda avanzada en dispositivos detectados |
Funcionalidades y disponibilidad de detección de dispositivos
La detección de dispositivos permite a las organizaciones identificar dispositivos administrados y no administrados en su red, incluidos los puntos de conexión, los dispositivos de red y los dispositivos IoT/OT. Todos los dispositivos detectados aparecen en el inventario de dispositivos, independientemente del tipo de dispositivo.
La experiencia de detección principal, incluida la visibilidad del dispositivo y los exámenes autenticados de red, es coherente en todos los entornos de Defender para punto de conexión admitidos. Las recomendaciones de seguridad y evaluación de vulnerabilidades se proporcionan para los dispositivos de punto de conexión como parte de las funcionalidades de evaluación de vulnerabilidades de defender.
Cuando la licencia de Seguridad de IoT empresarial está habilitada (ya sea a través de Microsoft 365 E5 o a través de una licencia de IoT empresarial independiente), la evaluación de vulnerabilidades está disponible para los dispositivos IoT detectados, lo que proporciona una visibilidad de riesgo más profunda más allá del inventario básico.
Para obtener información sobre la disponibilidad de características y las licencias, consulte la descripción del servicio Microsoft Defender.