Configuración de las características avanzadas del entorno
La opción Características avanzadas del área de Configuración general proporciona muchos conmutadores de activación o desactivación para las características del producto. Obtendrá información sobre algunas de estas características en módulos posteriores.
En función de los productos de seguridad de Microsoft que use, puede que algunas características avanzadas estén disponibles para integrarlas con Defender para punto de conexión.
En el panel de navegación, seleccione Configuración > Puntos de conexión > Funciones avanzadas.
Seleccione la función avanzada que desea configurar y alterne entre Activado y Desactivado.
Seleccione Guardar preferencias.
Use las siguientes funciones avanzadas para protegerse mejor de archivos potencialmente malintencionados y obtener una mejor información durante las investigaciones de seguridad.
Investigación automatizada
Active esta característica para aprovechar las ventajas de las características de investigación y corrección automatizadas del servicio. Para más información, consulte Investigación automatizada.
Respuesta dinámica
Nota
La respuesta inmediata requiere que se active la Investigación automatizada para poder habilitarla en la sección configuración avanzada del portal.
Active esta característica para que los usuarios con los permisos adecuados puedan iniciar una sesión de respuesta dinámica en los dispositivos.
Respuesta inmediata para servidores
Active esta característica para que los usuarios con los permisos adecuados puedan iniciar una sesión de respuesta inmediata en los servidores.
Ejecución de scripts sin firmar de respuesta dinámica
La habilitación de esta característica permite ejecutar scripts sin firmar en una sesión de respuesta dinámica.
Corrección continua de PUA
Las aplicaciones potencialmente no deseadas (PUA) son una categoría de software que puede hacer que la máquina se ejecute con lentitud, mostrar anuncios inesperados o, en el peor de los casos, instalar otro software, que podría ser inesperado o no deseado.
Active esta característica para que las aplicaciones potencialmente no deseadas (PUA) se corrijan en todos los dispositivos del inquilino, incluso si la protección contra PUA no está configurada en los dispositivos. Esta activación de la característica ayuda a proteger a los usuarios de la instalación involuntaria de aplicaciones no deseadas en su dispositivo. Cuando está desactivada, la corrección depende de la configuración del dispositivo.
Restricción de la correlación a dentro de grupos de dispositivos de un ámbito
Esta configuración se puede usar en escenarios en los que las operaciones SOC locales tendrían que limitar las correlaciones de alertas solo a los grupos de dispositivos a los que pueden acceder. Al habilitar esta configuración, un incidente compuesto por alertas que grupos entre dispositivos ya no se considerará un único incidente. Después, el SOC local podrá tomar medidas en el incidente porque tiene acceso a uno de los grupos de dispositivos implicados. Sin embargo, el SOC global ve varios incidentes diferentes por grupo de dispositivos en lugar de un incidente. No se recomienda activar esta configuración a menos que hacerlo supere las ventajas de la correlación de incidentes entre toda la organización.
Nota
Cambiar esta configuración solo afecta a las correlaciones de alertas futuras.
Habilitar EDR en modo de bloqueo
La detección y respuesta de puntos de conexión (EDR) en modo de bloqueo proporciona protección contra artefactos malintencionados, incluso cuando el Antivirus de Microsoft Defender se ejecuta en modo pasivo. Cuando se activa, EDR en modo de bloqueo bloquea artefactos o comportamientos malintencionados detectados en un dispositivo. EDR en modo de bloqueo funciona en segundo plano para corregir artefactos malintencionados que se detectan después de una infracción.
Resolución automática de las alertas corregidas
En el caso de los inquilinos creados en la versión 1809 de Windows 10, la característica de investigación y corrección automatizadas se configura de manera predeterminada para resolver alertas en las que el estado del resultado del análisis automatizado es "No se encontraron amenazas" o "Solucionado". Si no desea que las alertas se resuelvan de forma automática, deberá desactivar la función.
Sugerencia
En el caso de los inquilinos creados antes de esa versión, deberá activar manualmente esta característica desde la página Características avanzadas.
Nota:
El resultado de la acción de resolución automática puede influir en el cálculo del nivel de riesgo del dispositivo, que se basa en las alertas activas de un dispositivo. Si un analista de operaciones de seguridad establece manualmente el estado de una alerta en "En curso" o "Resuelto", la funcionalidad de resolución automática no lo sobrescribirá.
Permitir o bloquear un archivo
El bloqueo solo está disponible si la organización cumple estos requisitos:
- Usa Antivirus de Microsoft Defender como solución de antimalware activa
- La característica de protección basada en la nube está habilitada
Esta característica permite bloquear archivos potencialmente malintencionados en la red. Bloquear un archivo impide que se lea, escriba o ejecute en dispositivos de su organización.
Después de activar esta característica, puede bloquear los archivos a través de la pestaña Agregar indicador en la página de perfil de un archivo.
Indicadores de red personalizados
Activar esta característica permite crear indicadores para direcciones IP, dominios o direcciones URL, que determinan si se permitirán o bloquearán en función de la lista de indicadores personalizados.
Para usar esta función, los dispositivos deben ejecutar la versión 1709 de Windows 10 o posterior, o Windows 11. También deben tener protección de red en modo de bloqueo y la versión 4.18.1906.3 o posterior de la plataforma antimalware consulte KB 4052623.
Nota:
La protección de red usa servicios de reputación que procesan solicitudes en ubicaciones que podrían estar fuera de la ubicación que ha seleccionado para los datos de Defender para punto de conexión.
Protección contra alteraciones
Durante algunos tipos de ataques cibernéticos, los actores malintencionados intentan deshabilitar las funciones de seguridad, como la protección antivirus, en las máquinas. Los actores malintencionados deshabilitan las características de seguridad para obtener un acceso más fácil a los datos, instalar software malintencionado o sacar provecho de los datos, la identidad y los dispositivos.
La protección contra alteraciones básicamente bloquea el Antivirus de Microsoft Defender y evita que la configuración de seguridad se cambie a través de aplicaciones y métodos.
Esta característica está disponible si la organización usa Antivirus de Microsoft Defender y la protección basada en la nube está habilitada.
Deje activada la protección contra alteraciones para evitar cambios no deseados en la solución de seguridad y sus características esenciales.
Mostrar los detalles del usuario
Active esta característica para que pueda ver los detalles del usuario almacenados en Microsoft Entra ID. Los detalles incluyen la información de la imagen, el nombre, el título y el departamento del usuario al investigar entidades de cuentas de usuario. Puede encontrar información de la cuenta de usuario en las vistas siguientes:
- Panel de operaciones de seguridad
- Cola de alertas
- Página Detalles del dispositivo
Integración de Skype for Business
La habilitación de la integración de Skype for Business le ofrece la capacidad de comunicarse con los usuarios mediante Skype for Business, correo electrónico o teléfono. Esta activación puede resultar útil si necesita comunicarse con el usuario y mitigar los riesgos.
Nota:
Cuando un dispositivo está aislado de la red, hay un elemento emergente en el que puede optar por habilitar las comunicaciones de Outlook y Skype, lo que permite las comunicaciones al usuario mientras están desconectadas de la red. Esta configuración se aplica a la comunicación de Skype y Outlook cuando los dispositivos están en modo de aislamiento.
Integración de Microsoft Defender for Identity
La integración con Microsoft Defender for Identity le permite dinamizar directamente en otro producto de seguridad de Microsoft Identity. Microsoft Defender for Identity amplía una investigación con más información acerca de una cuenta sospechosa en peligro y los recursos relacionados. Al habilitar esta característica, enriquecerá la funcionalidad de investigación basada en dispositivos mediante la dinamización a través de la red desde un punto de vista de la identidad.
Nota:
Deberá tener la licencia adecuada para habilitar esta función.
Conexión con Inteligencia sobre amenazas de Office 365
Esta característica solo está disponible si tiene un complemento de Inteligencia sobre amenazas de Office 365 E5 activo.
Al activar esta función, puede incorporar datos de Microsoft Defender para Office 365 a Microsoft Defender XDR para realizar una investigación de seguridad completa entre los buzones de correo de Office 365 y los dispositivos Windows.
Nota:
Deberá tener la licencia adecuada para habilitar esta función.
Para recibir la integración de dispositivos contextuales en la Inteligencia sobre amenazas de Office 365, deberá habilitar la configuración de Defender para punto de conexión en el panel de Security & Compliance.
Expertos en amenazas de Microsoft: notificaciones de ataque dirigido
Solo puede usar la capacidad expertos a petición si ha solicitado la versión preliminar y la aplicación se ha aprobado. Puede recibir notificaciones de ataque dirigidas de Expertos en amenazas de Microsoft a través del panel de alertas del portal y por correo electrónico si lo configura.
Microsoft Defender for Cloud Apps
Al habilitar esta opción, se reenvían las señales de Defender para punto de conexión a Microsoft Defender for Cloud Apps para proporcionar una mayor visibilidad del uso de la aplicación en la nube. Los datos reenviados se almacenan y procesan en la misma ubicación que los datos de Defender for Cloud Apps.
Habilitación de la integración de Microsoft Defender para punto de conexión desde el portal de Microsoft Defender for Identity
Para recibir la integración de dispositivos contextuales en Microsoft Defender for Identity, también deberá habilitar la función en el portal de Microsoft Defender for Identity.
Filtrado de contenido web
Bloquee el acceso a sitios web que contienen contenido no deseado y realice un seguimiento de la actividad web en todos los dominios. Para especificar las categorías de contenido web que desea bloquear, cree una directiva de filtrado de contenido web. Asegúrese de que tiene protección de red en modo de bloqueo al implementar la línea de base de seguridad de Microsoft Defender para punto de conexión.
Uso compartido de alertas de punto de conexión con el portal de cumplimiento de Microsoft Purview
Reenvía las alertas de seguridad del punto de conexión y su estado de evaluación de prioridades al portal de cumplimiento de Microsoft Purview, lo que le permite mejorar las directivas de administración de riesgos internos con alertas y corregir los riesgos internos antes de que causen daños. Los datos enviados se procesan y almacenan en la misma ubicación que los datos de Office 365.
Después de configurar los indicadores de infracción de la directiva de seguridad en la configuración de administración de riesgos internos, las alertas de Defender para punto de conexión se compartirán con la administración de riesgos internos para los usuarios correspondientes.
Conexión con Microsoft Intune
Defender para punto de conexión se puede integrar con Microsoft Intune para habilitar el acceso condicional basado en el riesgo del dispositivo. Al activar esta función, puede compartir la información del dispositivo de Defender para punto de conexión con Intune, lo que mejora la aplicación de la directiva.
Importante
Para esta característica, deberá habilitar la integración en Intune y Defender para punto de conexión.
Esta característica solo está disponible si tiene los siguientes requisitos previos:
Un inquilino con licencia para Enterprise Mobility + Security E3 y Windows E5 (o Microsoft 365 Enterprise E5)
Un entorno de Microsoft Intune activo, con dispositivos Windows administrados por Intune unidos a Microsoft Entra.
Directiva de acceso condicional
Al habilitar la integración de Intune, Intune crea automáticamente una directiva de acceso condicional (CA) clásico. Esta directiva de acceso condicional clásico es un requisito previo para la configuración de informes de estado en Intune. No debe eliminarse.
Nota
La directiva de CA clásica creada por Intune es distinta de las directivas de acceso condicional modernas, que se usan para configurar puntos de conexión.
Detección de dispositivos
Le ayuda a encontrar dispositivos no administrados conectados a la red corporativa sin necesidad de dispositivos adicionales o cambios de proceso complicados. Al usar dispositivos incorporados, puede detectar dispositivos no administrados en la red y evaluar vulnerabilidades y riesgos.
Nota
Siempre puede aplicar filtros para excluir dispositivos no administrados de la lista de inventario de dispositivos. También puede usar la columna estado de incorporación en las consultas de API para filtrar los dispositivos no administrados.
Características en vista previa
Para más información sobre las nuevas funciones, consulte la versión preliminar de Defender para punto de conexión. Pruebe las próximas funciones activando la experiencia de versión preliminar.
Tendrá acceso a las próximas características, sobre las que puede proporcionar comentarios para ayudar a mejorar la experiencia general antes de que las características estén disponibles con carácter general.
Descarga de archivos en cuarentena
Haga una copia de seguridad de los archivos en cuarentena en una ubicación segura y compatible para que se puedan descargar directamente desde la cuarentena. El botón Descargar archivo siempre estará disponible en la página del archivo. De manera predeterminada, esta configuración está activada.