Detección de dispositivos con detección de dispositivos

  • 3 minutos

La protección del entorno requiere realizar un inventario de los dispositivos que están en la red. Sin embargo, la asignación de dispositivos en una red a menudo puede ser costosa, desafiante y lenta.

Microsoft Defender para punto de conexión proporciona una funcionalidad de detección de dispositivos que le ayuda a encontrar dispositivos no administrados conectados a la red corporativa sin necesidad de dispositivos adicionales o cambios de proceso complicados. La detección de dispositivos usa puntos de conexión incorporados en la red para recopilar, sondear o analizar la red para detectar dispositivos no administrados. La funcionalidad de detección de dispositivos le permite detectar:

  • Puntos de conexión empresariales (estaciones de trabajo, servidores y dispositivos móviles) que aún no están incorporados a Microsoft Defender para punto de conexión
  • Dispositivos de red como enrutadores y conmutadores
  • Dispositivos de IoT como impresoras y cámaras

Los dispositivos desconocidos y no administrados presentan riesgos significativos para la red, ya sea una impresora sin revisión, dispositivos de red con configuraciones de seguridad débiles o un servidor sin controles de seguridad. Una vez detectados los dispositivos, puede hacer lo siguiente:

  • Incorporar puntos de conexión no administrados al servicio, lo que aumenta la visibilidad de seguridad sobre ellos.
  • Reducir la superficie expuesta a ataques mediante la identificación y evaluación de vulnerabilidades y la detección de brechas de configuración.

Para detectar dispositivos, vea lo siguiente: Descubrir dispositivos de vídeo.

Para evaluar e incorporar dispositivos no administrados:

Con esta funcionalidad, hay disponible una recomendación de seguridad para incorporar dispositivos a Microsoft Defender para punto de conexión como parte de la experiencia de Administración de amenazas y vulnerabilidades existente.

Métodos de detección Puede elegir el modo de detección que usarán los dispositivos incorporados. El modo controla el nivel de visibilidad que puede obtener para los dispositivos no administrados en la red corporativa.

Hay dos modos de detección disponibles:

  • Detección básica: En este modo, los puntos de conexión recopilan de forma pasiva eventos en la red y extraen información del dispositivo de ellos. La detección básica usa el archivo binario SenseNDR.exe para la recopilación de datos de red pasiva y no se iniciará ningún tráfico de red. Los puntos de conexión extraen datos de cada tráfico de red que ve un dispositivo incorporado. Con la detección básica, solo obtendrá una visibilidad limitada de los puntos de conexión no administrados en la red.

  • Detección estándar (recomendada): este modo permite que los puntos de conexión busquen activamente dispositivos en la red para enriquecer los datos recopilados y detectar más dispositivos, lo que le ayuda a crear un inventario de dispositivos confiable y coherente. Además de los dispositivos que se observaron mediante el método pasivo, el modo estándar también usa protocolos de detección comunes que usan consultas de multidifusión en la red para encontrar aún más dispositivos. El modo estándar usa sondeos inteligentes y activos para detectar información adicional sobre los dispositivos observados para enriquecer la información existente sobre los dispositivos. Cuando el modo estándar está habilitado, las herramientas de supervisión de red de su organización pueden observar una actividad de red mínima e insignificante generada por el sensor de detección.

Los dispositivos detectados pero que aún no se han incorporado y protegido mediante Microsoft Defender para punto de conexión aparecerán en el inventario de dispositivos en la pestaña Equipos y dispositivos móviles.

Para evaluar estos dispositivos, puede usar un filtro en la lista de inventario de dispositivos denominado Estado de incorporación, que puede tener cualquiera de los siguientes valores:

  • Incorporado: el punto de conexión se ha incorporado a Microsoft Defender para punto de conexión.
  • Se puede incorporar: El punto de conexión se detectó en la red y el sistema operativo se identificó como uno compatible con Microsoft Defender para punto de conexión, pero no está incorporado actualmente. Se recomienda encarecidamente incorporar estos dispositivos.
  • No compatible: El punto de conexión se detectó en la red, pero no es compatible con Microsoft Defender para punto de conexión.
  • Información insuficiente: El sistema no pudo determinar la compatibilidad del dispositivo. Habilitar la detección estándar en más dispositivos de la red puede enriquecer los atributos detectados.