Administración del ámbito y la relevancia del dispositivo con etiquetas y exclusiones

  • Se aplica a: Microsoft Defender for Endpoint Plan 1, Microsoft Defender for Endpoint Plan 2

No todos los dispositivos detectados en la red requieren el mismo nivel de atención de seguridad. Algunos dispositivos aparecen brevemente en la red (invitados, dispositivos de prueba), mientras que otros están permanentemente fuera del ámbito de la administración de vulnerabilidades (laboratorios aislados, sistemas retirados). La administración del ámbito del dispositivo con el etiquetado transitorio de dispositivos y las exclusiones de dispositivos mantiene al equipo de seguridad centrado en los dispositivos pertinentes, garantiza una exposición precisa y puntuaciones seguras y genera informes más limpios que reflejan el verdadero entorno de producción.

Uso de etiquetas o exclusiones

Defender para punto de conexión proporciona dos mecanismos complementarios para administrar la relevancia del dispositivo. Use la tabla siguiente para determinar qué enfoque se ajusta a su situación.

Situación Enfoque Cómo funciona Impacto
Los dispositivos aparecen y desaparecen con frecuencia (invitados, máquinas virtuales de prueba, contenedores de corta duración) Etiquetado transitorio de dispositivos (automático) Un algoritmo interno detecta patrones de red intermitentes y etiquetas que coinciden con los dispositivos. Los servidores, los dispositivos de red, las impresoras, los dispositivos industriales y de instalación inteligente nunca se etiquetan como transitorios. Los dispositivos transitorios se filtran fuera de la vista de inventario predeterminada, pero permanecen visibles si cambia el filtro. La puntuación de exposición, la puntuación de seguridad, los informes de vulnerabilidades y la búsqueda avanzada todavía incluyen estos dispositivos.
Entorno de laboratorio o espacio aislado permanente Exclusión de dispositivos (manual) Los dispositivos se excluyen individualmente o de forma masiva con una justificación documentada. Los dispositivos excluidos no aparecen en páginas o informes de administración de vulnerabilidades y no contribuyen a la exposición ni a puntuaciones seguras. Permanecen en el inventario de dispositivos, pero se marcan como excluidos.
Dispositivos programados para retirarse Exclusión de dispositivos (manual) Excluir con una justificación y anotar sobre la fecha de retirada planeada. Igual que antes. Los registros históricos permanecen en el inventario.
Entradas duplicadas después de volver a compilar Exclusión de dispositivos (manual) Excluya las entradas obsoletas con una justificación de "Dispositivo duplicado"; mantener el dispositivo activo en el ámbito. Limpia el inventario y garantiza recuentos precisos de dispositivos.
Dispositivos sin conexión durante períodos prolongados Compruebe si ya está etiquetado como transitorio; si no es así, considere la posibilidad de la exclusión Es posible que el etiquetado transitorio ya lo controle. Excluya manualmente solo si el dispositivo no volverá. Depende del enfoque elegido.
Dispositivos activos que desea omitir temporalmente Filtros de dispositivo o etiquetas personalizadas Use filtros de inventario o etiquetas de dispositivo para crear vistas de destino. Se mantiene la visibilidad completa. No excluya nunca los dispositivos activos, lo que crea puntos ciegos.
Dispositivos administrados por un equipo diferente Filtros de dispositivo o etiquetas personalizadas Use etiquetas y filtros de dispositivo para limitar las vistas por equipo. La visibilidad completa se mantiene en toda la organización.

Importante

Revise periódicamente los dispositivos etiquetados y excluidos transitorios. Agregue siempre notas significativas al excluir dispositivos. Nunca excluya dispositivos activos conectados a la red: la exclusión solo afecta a la visibilidad de la administración de vulnerabilidades, no al riesgo real.

Visualización y administración de dispositivos transitorios

El etiquetado transitorio de dispositivos es automático y no se puede deshabilitar. Puede controlar la visibilidad a través de filtros.

Visualización de dispositivos transitorios en el inventario

  1. En el portal de Microsoft Defender, vaya a Dispositivos activos>.
  2. Seleccione el icono Configuración.
  3. En el filtro Dispositivo transitorio , seleccione para ver solo los dispositivos transitorios o seleccione No para excluirlos de la lista.

También puede agregar la columna Dispositivo transitorio a la vista de inventario para ver el estado transitorio junto con otros detalles del dispositivo.

Funcionamiento del etiquetado transitorio

  • Detección automática: un algoritmo interno identifica los dispositivos transitorios en función de los patrones de apariencia de red.
  • Tipos de dispositivos excluidos: los servidores, los dispositivos de red, las impresoras, los dispositivos industriales, los equipos de vigilancia, los dispositivos de instalación inteligente y los dispositivos inteligentes nunca se etiquetan como transitorios.
  • Filtrado predeterminado: los dispositivos transitorios se filtran fuera del inventario de dispositivos de forma predeterminada.
  • Sin invalidación manual: no se puede etiquetar o anular la etiqueta manualmente de un dispositivo como transitorio. Ajuste la configuración del filtro para controlar la visibilidad.

Excluir dispositivos

La exclusión de dispositivos le permite quitar manualmente dispositivos específicos de la visibilidad de administración de vulnerabilidades. Los dispositivos excluidos permanecen en el inventario de dispositivos (marcados como excluidos), pero no aparecen en páginas o informes de administración de vulnerabilidades y no contribuyen a la exposición ni a puntuaciones seguras.

Advertencia

Los dispositivos excluidos permanecen conectados a la red y todavía pueden presentar riesgos de seguridad. La exclusión de dispositivos solo afecta a la visibilidad de la administración de vulnerabilidades, ya que no evita ataques ni reduce el riesgo real. Si intenta excluir un dispositivo activo, Defender para punto de conexión muestra una advertencia y solicita confirmación.

Excluir un único dispositivo

  1. En el portal de Microsoft Defender, vaya a Dispositivos activos>.
  2. Seleccione el dispositivo que desea excluir.
  3. En el control flotante del dispositivo o en la página del dispositivo, seleccione Excluir.
  4. Seleccione una justificación:
    • Dispositivo inactivo
    • Dispositivo duplicado
    • El dispositivo no existe
    • Fuera de ámbito
    • Otros
  5. Escriba una nota que explique el motivo de la exclusión.
  6. Seleccione Excluir dispositivo.

Captura de pantalla del cuadro de diálogo Excluir dispositivo con opciones de justificación.

Excluir varios dispositivos

  1. En Inventario de dispositivos, seleccione varios dispositivos con las casillas.
  2. En la barra de acciones, seleccione Excluir.
  3. Elija una justificación y agregue una nota.
  4. Seleccione Excluir dispositivos.

Si selecciona dispositivos con estados de exclusión mixtos, el cuadro de diálogo muestra cuántos ya están excluidos. Puede volver a excluir dispositivos, pero la nueva justificación invalida los valores anteriores.

Captura de pantalla de la exclusión masiva de dispositivos que muestra varios dispositivos seleccionados.

Nota:

Los dispositivos pueden tardar hasta 10 horas en excluirse completamente de los datos y vistas de administración de vulnerabilidades.

Visualización y administración de dispositivos excluidos

  1. En Inventario de dispositivos, seleccione el icono Filtro .
  2. Use el filtro de estado de exclusión para ver:
    • No excluido: dispositivos normales
    • Excluido: dispositivos eliminados de la administración de vulnerabilidades

También puede agregar la columna Estado de exclusión a la vista de inventario.

Detener la exclusión de un dispositivo

Para restaurar un dispositivo a la administración de vulnerabilidades activa:

  1. En Inventario de dispositivos, seleccione el dispositivo excluido.
  2. En el control flotante del dispositivo, seleccione Detalles de exclusión.
  3. Seleccione Detener exclusión.

Captura de pantalla que muestra los detalles de exclusión con la opción para detener la exclusión.

Una vez que se detiene la exclusión, los datos de vulnerabilidades vuelven a aparecer en páginas de administración de vulnerabilidades, informes y búsqueda avanzada. Los cambios pueden tardar hasta 8 horas en surtir efecto.

Pasos siguientes

  • Last updated on