Compartir a través de

Habilitar la integración de Defender para punto de conexión

  • Artículo

Microsoft Defender for Cloud se integra de forma nativa con Microsoft Defender para punto de conexión para proporcionar funcionalidades de Administración de vulnerabilidades de Defender para punto de conexión y Microsoft Defender en Defender for Cloud.

  • Al activar el plan de Defender para servidores en Defender for Cloud, la integración de Defender para punto de conexión está activada de forma predeterminada.
  • La integración implementa automáticamente el agente de Defender para punto de conexión en las máquinas.

En este artículo se describe cómo habilitar la integración de Defender para punto de conexión manual según sea necesario.

Requisitos previos

Requisito Detalles
Compatibilidad con ventanas Compruebe que las máquinas del Windows admiten los sistemas operativos.
Compatibilidad con Linux En el caso de los servidores Linux, debe tener instalado Python. Se recomienda Python 3 para todas las distribuciones, pero es obligatorio para RHEL 8.x y Ubuntu 20.04 o versiones posteriores.

Es posible que la implementación automática del sensor de Defender para punto de conexión en máquinas Linux no funcione según lo previsto si las máquinas ejecutan servicios que usan fanotify. Instale manualmente el sensor de Defender para punto de conexión en estas máquinas.
Máquinas virtuales de Azure Compruebe que las máquinas virtuales pueden conectarse al servicio Defender para punto de conexión.

Si las máquinas no tienen acceso directo, la configuración del proxy o las reglas de firewall deben permitir el acceso a las direcciones URL de Defender para punto de conexión. Revise la configuración del proxy para máquinas Windows y Linux.
Máquinas virtuales locales Se recomienda incorporar máquinas locales como máquinas virtuales habilitadas para Azure Arc.

Si incorpora máquinas virtuales locales directamente, las características del Plan 1 de Defender Server están disponibles, pero la mayoría de las funciones del plan 2 de Defender para servidores no funcionan.
Inquilino de Azure Si ha movido la suscripción entre inquilinos de Azure, también se requieren algunos pasos de preparación manuales. Para obtener información, póngase en contacto con el servicio de soporte técnico de Microsoft.
Windows Server 2016, 2012 R2 A diferencia de las versiones posteriores de Windows Server, que vienen con el sensor de Defender para punto de conexión preinstalado, Defender for Cloud instala el sensor en máquinas que ejecutan Windows Server 2016/2012 R2 mediante la solución unificada Defender para punto de conexión. Después de habilitar un plan de Defender para servidores con la integración, no se puede revertir. Aunque deshabilite el plan y vuelva a habilitarlo, se volverá a habilitar la integración.

Habilitar en una suscripción

La integración de Defender para punto de conexión está habilitada de forma predeterminada cuando se habilita un plan de Defender para servidores. Si desactiva la integración de Defender para punto de conexión en una suscripción, puede volver a activarla manualmente según sea necesario mediante estas instrucciones.

  1. En Defender for Cloud, seleccione Configuración del entorno y seleccione la suscripción que contiene las máquinas en las que quiera recibir Defender para punto de conexión.

  2. En Configuración y supervisión>Endpoint Protection, cambie la configuración de la columna Estado a Activado.

    Captura de pantalla del conmutador de estado que activa Microsoft Defender para punto de conexión.

  3. Seleccione Continuar y Guardar para guardar la configuración.

  4. El sensor del Defender para punto de conexión se implementa en todas las máquinas de Windows y Linux en la suscripción seleccionada.

    Este proceso de incorporación puede tardar hasta una hora. En las máquinas Linux Defender for Cloud detecta las instalaciones anteriores de Defender para punto de conexión y volver a configurarlas para que se integren con Defender for Cloud.

Comprobación de la instalación en máquinas Linux

Compruebe la instalación del sensor de Defender para punto de conexión en una máquina Linux de la siguiente manera:

  1. Ejecute el siguiente comando de shell en cada máquina: mdatp health. Si está instalado Microsoft Defender para punto de conexión, aparecerá su estado de mantenimiento:

    healthy : true

    licensed: true

  2. Además, en Azure Portal, puede comprobar que las máquinas Linux tienen una nueva extensión de Azure denominada MDE.Linux.

Habilitar la solución unificada de Defender para punto de conexión en el Windows Server 2016/2012 R2

Si Defender para servidores ya está habilitado y la integración de Defender para punto de conexión está activada en una suscripción, puede activar manualmente la integración de la solución unificada para las máquinas que ejecutan Windows Server 2016 o Windows Server 2012 R2 en la suscripción.

  1. En Defender for Cloud, seleccione Configuración del entorno y, a continuación, la suscripción con las máquinas de Windows en las que quiera recibir Defender para punto de conexión.

  2. En la columna Cobertura de supervisión del plan de Defender para servidores, seleccione Configuración.

    El estado del componente Protecciones de punto de conexión es Parcial, lo que significa que no todas las partes del componente están habilitadas.

  3. Seleccione Corregir para ver los componentes que no están habilitados.

    Captura de pantalla del botón Corregir que habilita la compatibilidad con Microsoft Defender para punto de conexión.

  4. En Componentes que faltan>Solución unificada, seleccione Habilitar para instalar automáticamente el agente de Defender para punto de conexión en máquinas Windows Server 2012 R2 y 2016 conectadas a Microsoft Defender for Cloud.

    Captura de pantalla que muestra la habilitación del uso de la solución unificada Defender para punto de conexión en máquinas Windows Server 2012 R2 y 2016.

  5. Para guardar los cambios, seleccione Guardar en la parte superior de la página. En la página Configuración y supervisión, seleccione Continuar.

    Defender for Cloud incorpora máquinas existentes y nuevas a Defender para punto de conexión.

    Este proceso de incorporación puede tardar hasta 12 horas. En el caso de las nuevas máquinas creadas una vez habilitada la integración, la incorporación tarda hasta una hora.

Habilitar en máquinas Linux (plan/integración habilitada)

Si Defender para servidores ya está habilitado y la integración de Defender para punto de conexión está activada en una suscripción, puede activar manualmente la integración para máquinas Linux en una suscripción.

  1. En Defender for Cloud, seleccione Configuración del entorno y, a continuación, la suscripción con las máquinas de Linux en las que quiera recibir Defender para punto de conexión.

  2. En la columna Cobertura de supervisión del plan de Defender for Server, seleccione Configuración.

    El estado del componente Protecciones de punto de conexión es Parcial, lo que significa que no todas las partes del componente están habilitadas.

  3. Seleccione Corregir para ver los componentes que no están habilitados.

    Captura de pantalla del botón Corregir que habilita la compatibilidad con Microsoft Defender para punto de conexión.

  4. En Componentes que faltan>Máquinas Linux, seleccione Habilitar.

    Captura de pantalla de habilitación de la integración entre Defender for Cloud y la solución de EDR de Microsoft, Microsoft Defender para punto de conexión para Linux.

  5. Para guardar los cambios, seleccione Guardar en la parte superior de la página. En la página Configuración y supervisión, seleccione Continuar.

    • Defender for Cloud incorpora máquinas Linux a Defender para punto de conexión.
    • Defender for Cloud detecta las instalaciones anteriores de Defender para punto de conexión en las equipos Linux y vuelve a configurarlas para que se integren con Defender for Cloud.
    • Este proceso de incorporación puede tardar hasta 12 horas. En el caso de las nuevas máquinas creadas una vez habilitada la integración, la incorporación tarda hasta una hora.

  6. Para comprobar el sensor de instalación de Defender para punto de conexión en una máquina de Linux, ejecute el siguiente comando de shell en cada máquina.

    mdatp health

    Si está instalado Microsoft Defender para punto de conexión, aparecerá su estado de mantenimiento:

    healthy : true

    licensed: true

  7. En Azure Portal, puede comprobar que las máquinas Linux tienen una nueva extensión de Azure denominada MDE.Linux.

Nota:

Habilitar la integración de Defender para punto de conexión en equipos Linux es una acción única. Si deshabilita el plan y vuelve a habilitarlo, la integración permanece habilitada.

Habilitación de la integración en Linux en varias suscripciones

  1. En Defender for Cloud, abra el panel Protección de cargas de trabajo.

  2. En el panel, revise el panel de información para ver qué suscripciones y recursos no tienen habilitado Defender para punto de conexión para máquinas Linux.

    • El panel de información muestra la información sobre las suscripciones que tienen activada la integración para equipos Windows, pero no para equipos Linux.
    • Las suscripciones que no tienen máquinas Linux no muestran recursos afectados.

  3. En el panel de información, seleccione las suscripciones en las que se habilitará la integración de Defender para punto de conexión para equipos Linux.

  4. Seleccione Habilitar para activar Endpoint Protection para equipos Linux. Defender for Cloud:

    • Incorpora automáticamente las máquinas Linux a Defender para punto de conexión en las suscripciones seleccionadas.
    • Detecta instalaciones anteriores de Defender para punto de conexión y vuelve a configurarlas para que se integren con Defender for Cloud.

Utilice el libro de estado de implementación de Defender para servidores. Entre otras cosas en este libro, puede verificar el estado de instalación e implementación de Defender para punto de conexión en un equipo Linux.

Administración de las actualizaciones automáticas para Linux

En Windows, las actualizaciones de la versión de Defender para punto de conexión se proporcionan a través de actualizaciones continuas de la base de conocimiento. En Linux, debe actualizar el paquete de Defender para punto de conexión.

  • Cuando usa Defender para servidores con la extensión MDE.Linux, las actualizaciones automáticas de Microsoft Defender para punto de conexión están habilitadas de forma predeterminada.

  • Si quiere administrar manualmente las actualizaciones de la versión, puede deshabilitar las actualizaciones automáticas en las máquinas. Para ello, agregue la siguiente etiqueta para las máquinas incorporadas con la extensión MDE.Linux.

    • Nombre de etiqueta: "ExcludeMdeAutoUpdate"
    • Valor de etiqueta: "true"

= Esta configuración es compatible con máquinas virtuales de Azure y máquinas de Azure Arc, donde la extensión MDE.Linux inicia la actualización automática.

Habilitación de la integración con PowerShell en varias suscripciones

Para habilitar Endpoint Protection en equipos Linux y equipos Windows que ejecutan Windows Server 2016/2012 R2 en varias suscripciones, use nuestro script de PowerShell desde el repositorio de GitHub de Defender for Cloud.

Habilitación de la integración a escala

Puede habilitar la integración del Defender para punto de conexión a gran escala a través de la API REST (versión 2022-05-01) proporcionada. Para obtener más información, consulte la documentación de la API.

El siguiente es un ejemplo de cuerpo de la solicitud PUT para habilitar la integración Defender para punto de conexión:

Identificador URI: https://management.azure.com/subscriptions/<subscriptionId>/providers/Microsoft.Security/settings/WDATP?api-version=2022-05-01

{
    "name": "WDATP",
    "type": "Microsoft.Security/settings",
    "kind": "DataExportSettings",
    "properties": {
        "enabled": true
    }
}

Seguimiento del estado de la implementación de Microsoft Defender para punto de conexión

Puede usar el libro de estado de implementación de Defender para punto de conexión para realizar un seguimiento del estado de implementación de Defender para punto de conexión en las máquinas virtuales de Azure y las máquinas virtuales habilitadas para Azure Arc. El libro interactivo proporciona información general sobre los equipos del entorno que muestran el estado de implementación de la extensión de Microsoft Defender para punto de conexión.

Acceso al portal Defender

  1. Asegúrese de tener los permisos adecuados para acceder al portal.

  2. Compruebe si tiene un proxy o firewall que esté bloqueando el tráfico anónimo.

  3. Abra el portal de Microsoft Defender. Obtenga información sobre Microsoft Defender para punto de conexión en Microsoft Defender XDR.

Envío de una alerta de prueba desde Defender para punto de conexión

Para generar una alerta de prueba benigna desde Defender para punto de conexión, seleccione la pestaña del sistema operativo correspondiente del punto de conexión:

Prueba en Windows

En el caso de puntos de conexión que ejecuten Windows:

  1. Cree una carpeta "C:\test-MDATP-test".

  2. Use el Escritorio remoto para acceder a su máquina.

  3. Abra una ventana de línea de comandos.

  4. En el símbolo del sistema, copie el siguiente comando y ejecútelo. La ventana del símbolo del sistema se cerrará automáticamente.

    powershell.exe -NoExit -ExecutionPolicy Bypass -WindowStyle Hidden (New-Object System.Net.WebClient).DownloadFile('http://127.0.0.1/1.exe', 'C:\\test-MDATP-test\\invoice.exe'); Start-Process 'C:\\test-MDATP-test\\invoice.exe'

    Ventana del símbolo del sistema con el comando para generar una alerta de prueba.

    Si el comando se ejecuta correctamente, verá una nueva alerta en el panel de protección de cargas de trabajo y el portal de Microsoft Defender para punto de conexión. Esta alerta puede tardar unos minutos en aparecer.

  5. Para revisar la alerta en Defender for Cloud, vaya a Alertas de seguridad>Línea de comandos de PowerShell sospechosa.

  6. En la ventana de la investigación, seleccione el vínculo para ir al portal de Microsoft Defender para punto de conexión.

    Sugerencia

    La alerta se desencadena con gravedad Información.

Prueba en Linux

En el caso de puntos de conexión que ejecuten Linux:

  1. Descargue la herramienta de alertas de prueba desde: https://aka.ms/LinuxDIY.

  2. Extraiga el contenido del archivo ZIP y ejecute este script de shell:

    ./mde_linux_edr_diy

    Si el comando se ejecuta correctamente, verá una nueva alerta en el panel de protección de cargas de trabajo y el portal de Microsoft Defender para punto de conexión. Esta alerta puede tardar unos minutos en aparecer.

  3. Para revisar la alerta en Defender for Cloud, vaya a Alertas de seguridad>Enumeración de archivos con datos confidenciales.

  4. En la ventana de la investigación, seleccione el vínculo para ir al portal de Microsoft Defender para punto de conexión.

    Sugerencia

    La alerta se desencadena con una gravedad Baja.

Eliminación de Defender para punto de conexión de una máquina

Para quitar la solución Defender para punto de conexión de las máquinas:

  1. Para desactivar la integración, en Defender for Cloud >Configuración del entorno, seleccione la suscripción con las máquinas correspondientes.
  2. En la página Planes de Defender, seleccione Configuración y Supervisión.
  3. En el estado del componente de protección de puntos de conexión, seleccione Desactivado para desactivar la integración con Microsoft Defender para punto de conexión para la suscripción.
  4. Seleccione Continuar y Guardar para guardar la configuración.
  5. Quite la extensión MDE.Windows/MDE.Linux de la máquina.
  6. Desactive el dispositivo desde el servicio Microsoft Defender para punto de conexión.