Administración de la detección de dispositivos y la evaluación de vulnerabilidades

  • 9 minutos

La protección del entorno requiere realizar un inventario de los dispositivos que están en la red. Sin embargo, asignar dispositivos en una red suele ser costoso, difícil y lento.

Microsoft Defender para puntos de conexión proporciona una funcionalidad de detección de dispositivos que ayuda a una organización a encontrar dispositivos no administrados conectados a su red corporativa. Completa este proceso de detección sin necesidad de dispositivos adicionales ni de cambios engorrosos durante el proceso. La detección de dispositivos usa puntos de conexión incorporados para recopilar, sondear y examinar la red para detectar dispositivos no administrados. La funcionalidad de detección de dispositivos permite a las organizaciones detectar:

  • Puntos de conexión empresariales (estaciones de trabajo, servidores y dispositivos móviles) que Microsoft Defender para punto de conexión aún no se han incorporado.
  • Dispositivos de red como enrutadores y conmutadores.
  • Dispositivos IoT como impresoras y cámaras.

Los dispositivos desconocidos y no administrados presentan riesgos significativos para una red. No importa si se trata de una impresora sin revisiones, dispositivos de red con configuraciones de seguridad débiles o un servidor sin controles de seguridad.

Una vez que el servicio de detección de dispositivos Microsoft Defender para punto de conexión detecta dispositivos, una organización puede:

  • Incorporar puntos de conexión no administrados al servicio, lo que aumenta la visibilidad de seguridad en ellos.
  • Reducir la superficie expuesta a ataques mediante la identificación y evaluación de vulnerabilidades y la detección de brechas de configuración.

Visualización adicional. Seleccione el vínculo siguiente para ver un breve vídeo que presenta la detección de dispositivos.

También hay disponible una recomendación de seguridad para incorporar dispositivos a Microsoft Defender para punto de conexión como parte del módulo Administración de vulnerabilidades.

Métodos de detección

Una organización puede elegir el modo de detección que deben usar sus dispositivos incorporados. El modo controla el nivel de visibilidad que puede obtener para los dispositivos no administrados en la red corporativa.

Hay dos modos de detección disponibles:

  • Detección básica. En este modo, los puntos de conexión recopilarán de forma pasiva eventos en una red y extraerán información del dispositivo de ellos. La detección básica usa el archivo binario SenseNDR.exe para la recopilación pasiva de datos de red. Este modo no inicia el tráfico de red. Los puntos de conexión solo extraen datos del tráfico de red que ve un dispositivo incorporado. Con la detección básica, solo obtiene visibilidad limitada de los puntos de conexión no administrados en la red.
  • Detección estándar (recomendado). Este modo permitirá a los puntos de conexión buscar activamente dispositivos en una red para enriquecer los datos recopilados y detectar más dispositivos. Este proceso ayuda a las organizaciones a crear inventarios de dispositivos confiables y coherentes. Además de los dispositivos que usan el método pasivo, el modo estándar también aplica protocolos de detección comunes que usan consultas de multidifusión en la red. Este proceso encuentra todavía más dispositivos. El modo estándar usa sondeos inteligentes y activos para descubrir más información sobre los dispositivos observados para enriquecer la información existente del dispositivo. Cuando una organización habilita Standard modo, sus herramientas de supervisión de red pueden observar una actividad de red mínima y insignificante generada por el sensor de detección.

La detección estándar es el modo predeterminado para todos los clientes a partir de julio de 2021. Puede cambiar esta configuración a básica a través de la página de Configuración. Si elige el modo básico, solo obtendrá visibilidad limitada de los puntos de conexión no administrados en la red.

Las organizaciones pueden cambiar y personalizar su configuración de detección. Para obtener más información, consulte Configurar la detección de dispositivos.

El motor de detección distingue entre los eventos de red recibidos en la red corporativa y fuera de la red corporativa. El servicio de detección de dispositivos Microsoft Defender para punto de conexión no puede detectar dispositivos ni enumerarlos en el inventario de dispositivos si los dispositivos no se conectan a redes corporativas.

Inventario de dispositivos

El centro de administración de Microsoft Intune enumera los dispositivos del inventario de dispositivos. Lo hace incluso si el servicio de detección de dispositivos Microsoft Defender para punto de conexión detectó los dispositivos, pero Microsoft Defender para punto de conexión aún no los ha incorporado y protegido.

Para evaluar estos dispositivos, puede usar un filtro en la lista de inventario de dispositivos denominado Estado de incorporación. Este filtro puede tener cualquiera de los siguientes valores:

  • Incorporado. Microsoft Defender para punto de conexión incorpora el punto de conexión.
  • Puede incorporarse. Microsoft Defender para punto de conexión detectó el punto de conexión en la red. Identificó el sistema operativo como uno compatible con Microsoft Defender para punto de conexión. Sin embargo, Microsoft Defender para punto de conexión todavía tiene que incorporar el dispositivo. Microsoft recomienda que las organizaciones incorpore estos dispositivos lo antes posible.
  • No compatible. Microsoft Defender para punto de conexión detectó el punto de conexión en la red, pero no admite el punto de conexión.
  • Información insuficiente. El sistema no pudo determinar la compatibilidad del dispositivo. Habilitar la detección estándar en más dispositivos de la red puede enriquecer los atributos detectados.

Siempre puede aplicar filtros para excluir dispositivos no administrados de la lista de inventario de dispositivos. También puede usar la columna de estado de incorporación en las consultas de API para filtrar los dispositivos no administrados.

Lectura adicional. Para obtener más información, consulte Inventario de dispositivos.

Detección de dispositivos de red

El gran número de dispositivos de red no administrados implementados en una organización crea una gran superficie expuesta a ataques. También representan un riesgo significativo para toda la empresa. La funcionalidad de detección de red de Microsoft Defender para punto de conexión ayuda a las organizaciones a:

  • Descubra sus dispositivos de red.
  • Clasifique sus dispositivos con precisión.
  • Agregue sus dispositivos a su inventario de recursos.

Microsoft Defender para punto de conexión no administra los dispositivos de red como puntos de conexión estándar. ¿Por qué? Dado que Microsoft Defender para puntos de conexión no tiene un sensor integrado en los propios dispositivos de red. En su lugar, estos tipos de dispositivos requieren un enfoque sin agente en el que un examen remoto obtiene la información necesaria de los dispositivos. Para recopilar esta información, cada segmento de red usa un dispositivo Microsoft Defender para punto de conexión designado para realizar exámenes autenticados periódicos de dispositivos de red preconfigurados. La característica de administración de vulnerabilidades de Microsoft Defender para punto de conexión proporciona flujos de trabajo integrados para proteger la siguiente información detectada:

  • Modificadores
  • Routers
  • Controladores WLAN
  • Firewalls
  • Puertas de enlace VPN

Lectura adicional. Para obtener más información, consulte Dispositivos de red.

Integraciones de detección de dispositivos

Microsoft Defender para puntos de conexión aborda el desafío de obtener suficiente visibilidad para que las organizaciones busquen, identifiquen y protejan su inventario completo de activos de OT/IOT. Para ello, admite las siguientes integraciones:

  • Corelight. Microsoft se asoció con Corelight para recibir datos de dispositivos de red de Corelight. Este diseño proporciona Microsoft Defender XDR con una mayor visibilidad de las actividades de red de los dispositivos no administrados. Esta visibilidad incluye la comunicación con otros dispositivos no administrados o redes externas. Para obtener más información, consulte Habilitar la integración de datos de Corelight.
  • Microsoft Defender para IoT. Esta integración combina las funcionalidades de detección de dispositivos de Microsoft Defender para puntos de conexión con las funcionalidades de supervisión sin agente de Microsoft Defender para IoT. Esta integración protege los dispositivos IoT empresariales conectados a una red de IT. Por ejemplo, protocolo de voz sobre Internet (VoIP), impresoras y televisores inteligentes. Para obtener más información, consulte Habilitar la integración de Microsoft Defender para IoT.

Configuración de la detección de dispositivo

Como se indicó anteriormente, las organizaciones pueden configurar la detección de dispositivos en cualquiera de los dos modos: estándar o básico. Las organizaciones deben usar la opción estándar para buscar activamente dispositivos en sus redes. Esta opción garantiza la detección de puntos de conexión y proporciona una clasificación de dispositivos más completa.

Una organización puede personalizar la lista de dispositivos que se usan para realizar la detección estándar. Puede hacer lo siguiente:

  • Habilite la detección estándar en todos los dispositivos incorporados que también admiten esta funcionalidad (actualmente, Windows 10 o posterior y solo Windows Server dispositivos 2019 o posteriores).
  • Seleccione un subconjunto o subconjuntos de los dispositivos especificando sus etiquetas de dispositivo.

Complete los siguientes pasos para configurar la detección de dispositivos:

  1. Vaya al portal de Microsoft Defender.

  2. En el panel de navegación del portal de Microsoft Defender, seleccione Configuración y, a continuación, seleccione Detección de dispositivos.

  3. Si desea configurar Basic como modo de detección para usarlo en los dispositivos incorporados, seleccione Básico y, a continuación, seleccione Guardar.

  4. Si seleccionó la opción para usar Standard detección, seleccione una de las siguientes opciones para determinar qué dispositivos usar para el sondeo activo:

    • Todos los dispositivos
    • Subconjunto de dispositivos especificando sus etiquetas de dispositivo

  5. Haga clic en Guardar.

Nota:

La detección estándar usa varios scripts de PowerShell para sondear activamente los dispositivos de la red. Esos scripts de PowerShell están firmados por Microsoft y el sistema los ejecuta desde la siguiente ubicación:

C:\\ProgramData\\Microsoft\\Windows Defender Advanced Threat Protection\\Downloads\\\*.ps.

Por ejemplo, C:\\ProgramData\\Microsoft\\Windows Defender Advanced Threat Protection\\Downloads\\UnicastScannerV1.1.0.ps1.

Exclusión de dispositivos del examen activo en la detección estándar

Algunas organizaciones tienen dispositivos en su red que Microsoft Defender para punto de conexión servicio de detección de dispositivos no deben examinar activamente. Por ejemplo, los dispositivos usados como honeypots para otra herramienta de seguridad. En estos casos, una organización puede definir una lista de exclusiones para evitar el examen de estos dispositivos. Puede configurar los dispositivos a excluir en la página Exclusiones.

Nota:

el servicio de detección de dispositivos de Microsoft Defender para punto de conexión puede seguir usando el modo de detección básico para detectar dispositivos. También puede detectar dispositivos a través de intentos de detección de multidifusión. El servicio de detección de dispositivos detecta pasivamente esos dispositivos, pero no los sondea activamente.

Seleccionar redes para supervisar

Cuando Microsoft Defender para puntos de conexión analiza una red, determina si la red es:

  • Una red corporativa que debe supervisar.
  • Una red nocorporación que puede omitir.

Para identificar una red como corporativa, Microsoft Defender para puntos de conexión correlaciona los identificadores de red entre todos los clientes del inquilino. Se supone que la red es una red corporativa si la mayoría de los dispositivos de la organización se conectan a la misma:

  • Nombre de red
  • Puerta de enlace predeterminada
  • Dirección del servidor DHCP

Las organizaciones suelen elegir supervisar sus redes corporativas. Sin embargo, puede invalidar esta decisión si elige supervisar las redes no corporativas que contienen dispositivos incorporados.

Una organización puede configurar dónde realizar la detección de dispositivos. Para ello, se especifican las redes que se van a supervisar. Microsoft Defender para punto de conexión puede realizar la detección de dispositivos en una red supervisada.

La página Redes supervisadas muestra una lista de redes en las que Microsoft Defender para punto de conexión pueden realizar la detección de dispositivos. En la lista se muestran las redes identificadas como redes corporativas. Si hay más de 50 redes identificadas como redes corporativas, la lista muestra hasta 50 redes con los dispositivos más incorporados.

La página Redes supervisadas ordena la lista de redes supervisadas en función del número total de dispositivos vistos en la red en los últimos siete días.

Puede aplicar un filtro para ver cualquiera de los siguientes estados de detección de red:

  • Redes supervisadas. Redes donde Microsoft Defender para punto de conexión realiza la detección de dispositivos.
  • Redes omitidas. Microsoft Defender para punto de conexión omite esta red y no realiza la detección de dispositivos en ella.
  • Todos. Microsoft Defender para punto de conexión muestra las redes supervisadas e ignoradas.

Configurar el estado del monitor de red

Las organizaciones pueden controlar dónde tiene lugar la detección de dispositivos. Las redes supervisadas son donde Microsoft Defender para punto de conexión realiza la detección de dispositivos. Estas redes suelen ser redes corporativas. También puede optar por omitir las redes o seleccionar la clasificación de detección inicial después de modificar un estado.

  • Seleccionar la clasificación de detección inicial significa aplicar el estado predeterminado del monitor de red creado por el sistema.

  • La selección del estado predeterminado del monitor de red creado por el sistema significa que la detección de dispositivos:

    • Supervisa las redes identificadas como corporativas.
    • Omite las redes identificadas como nocorporadas.

Complete los siguientes pasos para configurar el estado del monitor de red:

  1. Vaya al portal de Microsoft Defender.

  2. En el panel de navegación del portal de Microsoft Defender, seleccione Configuración y, a continuación, seleccione Detección de dispositivos.

  3. En la página Detección de dispositivos, seleccione Redes supervisadas.

  4. Ver la lista de redes. Seleccione el icono de puntos suspensivos (tres puntos) junto al nombre de la red que desea supervisar.

  5. Elija si desea supervisar, omitir o usar la clasificación de detección inicial. Tenga en cuenta las siguientes consideraciones:

    • La elección de supervisar una red que no Microsoft Defender para punto de conexión identidad como red corporativa puede provocar la detección de dispositivos fuera de la red corporativa. Por lo tanto, podría detectar dispositivos domésticos u otros dispositivos nocorporativos.
    • Al elegir omitir una red, se detiene la supervisión y la detección de dispositivos en esa red. Microsoft Defender para punto de conexión no quita los dispositivos detectados del inventario. Sin embargo, ya no puede actualizarlos y el sistema conserva los detalles hasta que expire el período de retención de datos de la Microsoft Defender para punto de conexión.
    • Antes de elegir supervisar redes nocorporadas, debe asegurarse de que tiene permiso para hacerlo.

  6. Confirme que desea realizar el cambio.

Explorar dispositivos en la red

Puede usar la siguiente consulta de búsqueda avanzada (Kusto) para obtener más contexto sobre cada nombre de red descrito en la lista de redes. En la consulta se enumeran todos los dispositivos incorporados conectados a una red determinada en los últimos siete días.

DeviceNetworkInfo
| where Timestamp > ago(7d)
| where ConnectedNetworks != ""
| extend ConnectedNetworksExp = parse_json(ConnectedNetworks)
| mv-expand bagexpansion = array ConnectedNetworks=ConnectedNetworksExp
| extend NetworkName = tostring(ConnectedNetworks ["Name"]), Description = tostring(ConnectedNetworks ["Description"]), NetworkCategory = tostring(ConnectedNetworks ["Category"])
| where NetworkName == "<your network name here>"
| summarize arg_max(Timestamp, *) by DeviceId

Obtener información sobre el dispositivo

Puede usar la siguiente consulta de búsqueda avanzada (Kusto) para obtener la información completa más reciente sobre un dispositivo específico.

DeviceInfo
| where DeviceName == "<device name here>" and isnotempty(OSPlatform)
| summarize arg_max(Timestamp, *) by DeviceId

Evaluación de vulnerabilidades en dispositivos detectados

Las vulnerabilidades y riesgos en los dispositivos, así como otros dispositivos no administrados detectados en la red, forman parte de los flujos actuales de administración de amenazas y vulnerabilidades en "Recomendaciones de seguridad". Las páginas de entidad en el portal representan estas vulnerabilidades y riesgos.

Por ejemplo, busque recomendaciones de seguridad relacionadas con "SSH" (SSH significa Secure Shell, un protocolo ampliamente adoptado para las comunicaciones seguras a través de una red que no es de confianza). El propósito de la búsqueda es buscar vulnerabilidades ssh relacionadas con dispositivos no administrados y administrados.

Uso de la búsqueda avanzada en dispositivos detectados

Las organizaciones pueden usar consultas de búsqueda avanzada para obtener visibilidad sobre los dispositivos detectados. Encuentre detalles sobre los dispositivos detectados en la tabla Información del dispositivo o información relacionada con la red sobre esos dispositivos en la tabla Información de la red del dispositivo.

Ejecute la siguiente consulta en la tabla Información del dispositivo para devolver todos los dispositivos detectados. Los resultados también muestran los detalles más recientes de cada dispositivo.

DeviceInfo
| summarize arg_max(Timestamp, *) by DeviceId // Get latest known good per device ID
| where isempty(MergedToDeviceId) // Remove invalidated/merged devices
| where OnboardingStatus != "Onboarded"

Al invocar la función SeenBy en la consulta de búsqueda avanzada, puede obtener detalles sobre qué dispositivo incorporado vio un dispositivo detectado. Esta información puede ayudar a determinar la ubicación de red de cada dispositivo detectado. Puede ayudar a identificarlo en la red.

DeviceInfo
| where OnboardingStatus != "Onboarded"
| summarize arg_max(Timestamp, *) by DeviceId
| where isempty(MergedToDeviceId)
| limit 100
| invoke SeenBy()
| project DeviceId, DeviceName, DeviceType, SeenBy

La detección de dispositivos usa Microsoft Defender para punto de conexión dispositivos incorporados como origen de datos de red para atribuir actividades a dispositivos no incorporados. El sensor de red del dispositivo incorporado de Microsoft Defender para puntos de conexión identifica dos nuevos tipos de conexión:

  • Intento de conexión. Un intento de establecer una conexión TCP.
  • Conexión confirmada. Confirmación de que la red aceptó una conexión TCP.

Cuando un dispositivo no incorporado intenta comunicarse con un dispositivo Microsoft Defender para punto de conexión incorporado, el intento:

  • Generar un evento DeviceNetworkEvent.
  • Muestra las actividades de dispositivo no incorporadas en la escala de tiempo del dispositivo incorporado y a través de la tabla DeviceNetworkEvents de búsqueda avanzada.

Puede probar esta consulta de ejemplo:

DeviceNetworkEvents
| where ActionType == "ConnectionAcknowledged" or ActionType == "ConnectionAttempt"
| take 10