Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Los dispositivos son la base de las operaciones de seguridad en Microsoft Defender para punto de conexión. Comprender cómo aparecen los dispositivos en su entorno, cómo administrarlos de forma eficaz y cómo organizarlos para realizar acciones de seguridad es esencial para proteger su organización.
¿Qué son los dispositivos de Defender para punto de conexión?
Los dispositivos de Microsoft Defender para punto de conexión incluyen cualquier punto de conexión que informe de telemetría de seguridad al servicio. Esto incluye lo siguiente:
- Equipos y dispositivos móviles: estaciones de trabajo, servidores, portátiles y dispositivos móviles (Windows, macOS, Linux, iOS, Android)
- Dispositivos de red: enrutadores, conmutadores y otra infraestructura de red
- Dispositivos IoT/OT: impresoras, cámaras, sistemas de control industriales y dispositivos de tecnología operativa
Los dispositivos aparecen en el inventario a través de dos métodos principales:
- Incorporación: dispositivos que se incorporan explícitamente a Defender para punto de conexión con el agente completo instalado. Los dispositivos incorporados muestran un estado de incorporaciónincorporado y suelen tener un estado de mantenimiento del sensor activo . Dado que el agente está instalado, Defender para punto de conexión puede recopilar datos de seguridad detallados de estos dispositivos, incluidas alertas, vulnerabilidades e inventario de software. Para obtener más información, consulte Incorporación de dispositivos a Microsoft Defender para punto de conexión.
- Detección: los dispositivos se detectan automáticamente en la red sin tener instalado un agente. La detección se realiza a través de puntos de conexión incorporados que observan el tráfico de red (detección básica) o sondean activamente el entorno (detección estándar). Los dispositivos detectados muestran un estado de incorporación de Información de incorporación, No compatible o Insuficiente. Para obtener más información, consulte Introducción a la detección de dispositivos.
- Dispositivos IoT y OT: los dispositivos de IoT y tecnología operativa (OT), como impresoras, cámaras y sistemas de control industriales, aparecen en el inventario al habilitar Microsoft Defender para IoT en el portal de Defender. Estos dispositivos aparecen en la pestaña Dispositivos IoT/OT e incluyen campos adicionales como tipo de dispositivo, subtipo, proveedor y modelo.
La columna Orígenes de detección del inventario de dispositivos indica cómo se encontró cada dispositivo: MDE (que encuentra el sensor de Defender para punto de conexión), Microsoft Defender para IoT (detectado por Defender para IoT) y otros orígenes. Use esta columna para comprender por qué aparece un dispositivo y si requiere incorporación.
Ciclo de vida y recorrido del dispositivo
La administración de dispositivos en Defender para punto de conexión sigue un ciclo de vida predecible. En la tabla siguiente se describen las fases clave, las tareas, los roles implicados y la documentación relacionada:
| Etapa | Tareas | Roles implicados | Más información |
|---|---|---|---|
| Detección e incorporación de dispositivos | • Detectar dispositivos en la red • Incorporación de dispositivos con el agente de Defender para punto de conexión • Visualización de dispositivos en el inventario de dispositivos • Evaluar los niveles de riesgo y las puntuaciones de exposición |
Administrador de seguridad Operaciones de TI |
Exploración de dispositivos en el inventario de dispositivos Incorporar dispositivos Configuración de la detección de dispositivo |
| Administración del ámbito y la relevancia | • Filtrar dispositivos transitorios (automático) • Excluir dispositivos de la administración de vulnerabilidades (manual) • Determinar qué dispositivos requieren atención de seguridad |
Administrador de seguridad | Administración del ámbito y la relevancia del dispositivo |
| Clasificación y organización con etiquetas y exclusiones | • Agregar etiquetas manuales a dispositivos individuales • Creación de etiquetas dinámicas mediante reglas • Organización de dispositivos en grupos significativos • Aplicar etiquetas para el contexto empresarial |
Administrador de seguridad Analista de seguridad |
Crear y administrar etiquetas de dispositivos |
| Dispositivos de destino para acciones de seguridad | • Uso de grupos de dispositivos para el acceso basado en roles • Recopilación de telemetría personalizada de grupos de dispositivos • Aplicar reglas de automatización a dispositivos etiquetados • Implementación de directivas de seguridad en grupos de dispositivos |
Administrador de seguridad Analista de seguridad |
Creación y administración de etiquetas de dispositivo y dispositivos de destino Recopilación de datos personalizada |
| Investigar dispositivos | • Revisar las escalas de tiempo del dispositivo • Investigar alertas e incidentes • Identificar dispositivos accesibles desde Internet • Búsqueda de amenazas entre grupos de dispositivos • Realizar acciones de respuesta |
Analista de seguridad Administrador de seguridad |
Investigar dispositivos Revisión de la escala de tiempo del dispositivo Identificación de dispositivos accesibles desde Internet |
| Supervisión y mantenimiento | • Supervisar el estado de mantenimiento del dispositivo • Corrección de sensores incorrectos • Revisar los informes de estado del sensor • Seguimiento del estado de incorporación |
Operaciones de TI Administrador de seguridad |
Corregir sensores con estado incorrecto Informes de estado del dispositivo |
Destino del dispositivo
La segmentación de dispositivos usa etiquetas de dispositivo para identificar qué dispositivos deben recibir acciones de seguridad específicas. En lugar de administrar los dispositivos de forma individual, la segmentación permite organizar los dispositivos en grupos significativos y aplicar configuraciones, directivas o reglas de recopilación de datos a escala.
Etiquetas frente a grupos
Las etiquetas de dispositivo son etiquetas que se asocian a los dispositivos, ya sea manualmente o mediante reglas dinámicas, para capturar el contexto empresarial, como el departamento, la ubicación o la importancia crítica. Todos los usuarios pueden ver los dispositivos etiquetados. Las etiquetas por sí solas no controlan el acceso ni aplican directivas de seguridad; proporcionan la base organizativa para la segmentación.
Los grupos de dispositivos se basan en etiquetas para controlar qué equipos de seguridad pueden acceder a dispositivos específicos y administrarlos. Al crear un grupo de dispositivos, se definen reglas coincidentes (a menudo basadas en etiquetas), se establecen niveles de corrección automatizados y se asignan Microsoft Entra grupos de usuarios. Los grupos de dispositivos habilitan el control de acceso basado en rol (RBAC) para que, por ejemplo, un equipo de seguridad regional vea solo los dispositivos en su geografía. Para obtener instrucciones detalladas, consulte Creación y administración de grupos de dispositivos.
Etiquetas dinámicas frente a etiquetas manuales
Las etiquetas manuales son etiquetas personalizadas que se aplican directamente a dispositivos individuales a través del portal o la API. Son rápidos de configurar y son útiles para las necesidades ad hoc, como el etiquetado de dispositivos durante una investigación activa. Sin embargo, no se escalan bien y requieren actualizaciones manuales. Las etiquetas manuales no se admiten para la recopilación de datos personalizada ni para algunos escenarios de automatización.
Las etiquetas dinámicas se aplican automáticamente en función de las reglas que defina en Asset Rule Management. Se actualizan a medida que cambian las propiedades del dispositivo (aproximadamente cada hora), se escalan a miles de dispositivos y son necesarias para funcionalidades avanzadas como la recopilación de datos personalizada. Use etiquetas dinámicas siempre que necesite etiquetas para mantenerse al día sin esfuerzo manual.
Importante
Muchas funcionalidades avanzadas de Defender para punto de conexión, incluida la recopilación de datos personalizada, requieren etiquetas dinámicas. Las etiquetas manuales no se admiten en estos escenarios.
Escenarios de destino
En la tabla siguiente se resumen los escenarios comunes en los que el destino del dispositivo controla las operaciones de seguridad.
| Escenario | Enfoque | Ejemplo |
|---|---|---|
| Investigaciones de ámbito | Etiquete los dispositivos por departamento o incidente y, a continuación, filtre las alertas y las consultas de búsqueda avanzadas por etiqueta. | Investigue todos los Finance-Department dispositivos para detectar movimientos laterales sospechosos. |
| Recopilación de telemetría especializada | Cree etiquetas dinámicas para los dispositivos de destino y, a continuación, cree reglas de recopilación de datos personalizadas. Requiere etiquetas dinámicas y un área de trabajo de Microsoft Sentinel. | Recopile eventos de acceso a archivos desde Database-Servers para supervisar el acceso a los datos. |
| Automatización de acciones de respuesta | Defina respuestas automatizadas para grupos de dispositivos en función de etiquetas. | Aísla Public-Kiosk automáticamente los dispositivos cuando se detecta malware de gravedad alta. |
| Control del acceso del analista (RBAC) | Cree grupos de dispositivos a partir de etiquetas y asígnelos a Microsoft Entra equipos de seguridad. | Conceda al equipo de seguridad financiera acceso solo a los Finance-Department dispositivos. |
| Implementación de reglas de ASR por tipo de dispositivo | Aplique diferentes directivas de reducción de superficie expuesta a ataques a distintos grupos basados en etiquetas. | Bloqueo agresivo en Internet-Facing-Servers; modo de prueba en Development-Machines. |
| Aplicación del acceso condicional | Use los niveles de riesgo del dispositivo y la pertenencia a grupos para informar sobre las decisiones de acceso. | Requerir MFA para High-Risk-Devices acceder a aplicaciones confidenciales. |
| Organizar por geografía | Etiquetar dispositivos por región o sitio para operaciones de seguridad distribuidas. | El equipo de seguridad de EMEA supervisa y responde a Location-EMEA los dispositivos. |
| Administración del ciclo de vida del dispositivo | Etiquetar dispositivos por fase operativa (producción, ensayo, retirada). | Aplicar controles completos a Producción; supervisión reducida para el desmantelamiento. |
| Pruebas piloto de nuevas características de seguridad | Aplique etiquetas manuales a un grupo piloto, implemente la característica en modo de prueba y, a continuación, expanda. | Etiquetar 20 dispositivos con ASR-Pilot-2026, probar nueva regla, refinar y, a continuación, implementar ampliamente. |
Para obtener instrucciones paso a paso sobre cómo crear etiquetas y grupos de dispositivos, consulte Creación y administración de etiquetas de dispositivo y dispositivos de destino.
Acciones de seguridad con tecnología de destino
Las etiquetas de dispositivo y los grupos le permiten aplicar operaciones de seguridad en varias áreas:
| Acción de seguridad | Descripción | Escenarios | Más información |
|---|---|---|---|
| Investigaciones y búsqueda de amenazas | Filtrado de alertas e investigaciones de ámbito a grupos de dispositivos específicos | • Investigar todos los dispositivos "Finance-Department" para actividades sospechosas • Búsqueda de amenazas en "Servidores Windows" en una región específica • Realizar un seguimiento de los dispositivos implicados en un riesgo mediante etiquetas de incidente |
Búsqueda avanzada de amenazas |
| Recopilación de datos personalizada | Recopilación de telemetría especializada de dispositivos con etiquetas dinámicas | • Recopilar eventos de archivo de "Servidores de base de datos" • Captura de conexiones de red desde "Developer-Workstations" • Supervisión de la ejecución de scripts en "Administrative-Systems" |
Recopilación de datos personalizada Creación de reglas de recopilación de datos personalizadas |
| Reglas de automatización | Aplicación de acciones de respuesta automatizadas a categorías de dispositivos | • Aislar automáticamente los dispositivos "Public-Kiosk" si se detecta malware • Ejecución de la recopilación forense en "Critical-Servers" durante incidentes • Restringir "BYOD-Devices" de recursos confidenciales |
Investigación y respuesta automatizadas |
| Grupos de dispositivos para el acceso basado en rol | Controlar qué analistas de seguridad pueden ver y actuar en dispositivos específicos | • El equipo de seguridad financiera solo administra dispositivos "Finance-Department" • Los equipos regionales administran dispositivos en sus ubicaciones geográficas • Los analistas junior solo acceden a grupos de dispositivos "que no son de producción". |
Crear y administrar grupos de dispositivos |
| Reglas de la reducción de la superficie expuesta a ataques | Implementación de distintos controles de seguridad en diferentes tipos de dispositivos | • Reglas de bloqueo estrictas en "Servidores accesibles desde Internet" • Modo de prueba en "Development-Machines" • Standard línea base para estaciones de trabajo de usuario generales |
Reglas de la reducción de la superficie expuesta a ataques |
| Directivas de acceso condicional | Aplicación de controles de acceso en función de la posición de seguridad del dispositivo y las etiquetas | • Requerir MFA para "dispositivos de alto riesgo" • Bloquear los "dispositivos no compatibles" de los recursos corporativos • Permitir el acceso limitado "Managed-BYOD" a los servicios aprobados |
Acceso condicional con Intune |