Microsoft Defender para punto de conexión en Windows

Microsoft Defender para punto de conexión en Windows proporciona protección preventiva, detección posterior a la vulneración, investigación automatizada y respuesta para los puntos de conexión de Windows. En la tabla siguiente se describen las funcionalidades de Defender para punto de conexión en Windows:

Categoría Descripción
Protección autónoma La interrupción automática de ataques identifica y contiene ataques activos en tiempo real mediante el aislamiento automático de dispositivos en peligro y la deshabilitación de cuentas de usuario en peligro, deteniendo el movimiento lateral antes de que sea necesaria la intervención humana.

El blindaje predictivo usa la inteligencia artificial para anticipar amenazas y proteger proactivamente los recursos de alto valor antes de que un ataque les alcance.
Protección de última generación Defender para punto de conexión en Windows incluye protección antivirus de última generación que usa técnicas de aprendizaje automático, entrega en la nube y basadas en comportamientos.

El bloqueo y la contención del comportamiento detectan y bloquean comportamientos malintencionados y ayudan a contener dispositivos en peligro.

La protección web protege contra sitios web malintencionados, intentos de suplantación de identidad (phishing) y amenazas basadas en web. La protección de red bloquea las conexiones a destinos de red malintencionados.

Las funcionalidades de reducción de la superficie expuesta a ataques, incluidas las reglas de reducción de la superficie expuesta a ataques y el control de dispositivos, reducen la exposición a técnicas de ataque comunes, como el robo de credenciales, la ejecución de malware y el uso no autorizado del almacenamiento extraíble.

La protección contra alteraciones protege la configuración de seguridad crítica frente a cambios no autorizados. La configuración del firewall habilita la conectividad del servicio Defender para punto de conexión.
Detección y respuesta de puntos de conexión (EDR) Defender para punto de conexión en Windows usa inteligencia artificial y análisis avanzados para detectar y responder a amenazas cerca de tiempo real. El portal de Microsoft Defender de https://security.microsoft.com proporciona una ubicación central para ver las detecciones y administrar los dispositivos de la organización.

Puede usar la búsqueda avanzada para consultar datos de eventos sin procesar y obtener información más detallada sobre los eventos de red. El análisis de amenazas proporciona informes de inteligencia seleccionados sobre amenazas activas y emergentes.

EDR en modo de bloque permite que Defender para punto de conexión bloquee y corrija las amenazas incluso cuando Microsoft Defender Antivirus se ejecuta en modo pasivo.

Las acciones de respuesta incluyen la ejecución de exámenes antivirus, el aislamiento de dispositivos, la recopilación de paquetes de investigación y la recopilación de archivos para un análisis profundo. También puede usar la respuesta dinámica para las conexiones de shell remoto para realizar investigaciones detalladas.

Las notificaciones de ataque de punto de conexión proporcionan búsqueda proactiva y priorización para ayudar a identificar y responder a las amenazas más críticas.
Administración de amenazas y vulnerabilidades Defender para punto de conexión en Windows ofrece administración de vulnerabilidades basada en riesgos con priorización, corrección y seguimiento inteligentes. Estas características le ayudan a administrar y proteger los dispositivos Windows.

El equipo de seguridad obtiene una visión completa de la puntuación de exposición de la organización, las recomendaciones de seguridad, lasactividades de corrección, el inventario de software y la Puntuación de seguridad de Microsoft para dispositivos.
Investigación y respuesta automatizadas La investigación y respuesta automatizadas (AIR) investiga automáticamente las alertas y corrige las amenazas, lo que reduce la carga de los equipos de seguridad.
Administración y operaciones simplificadas Defender para punto de conexión en Windows se integra con las herramientas de administración existentes, incluidos Microsoft Intune y directiva de grupo.

La administración de la configuración de seguridad le permite administrar directivas de seguridad directamente desde el portal de Microsoft Defender.

Defender para punto de conexión proporciona un conjunto completo de API de administración para el acceso mediante programación a la administración de dispositivos, la administración de vulnerabilidades y la inteligencia sobre amenazas. Las integraciones de asociados permiten la integración con soluciones de seguridad de Microsoft y que no son de Microsoft.
Integración y extensibilidad sin problemas Microsoft Defender para punto de conexión en Windows garantiza un rendimiento estable y duradero con un sensor de comportamiento ligero integrado en el sistema operativo.

Defender for Endpoint se integra sin problemas con el conjunto de Microsoft Defender más amplio, que ofrece extensibilidad a través de la integración de API, conectores SIEM, compatibilidad con Power BI y control de acceso basado en rol (RBAC).
Detección de dispositivos y redes La detección de dispositivos de red y puntos de conexión detecta puntos de conexión no administrados, dispositivos de red y dispositivos IoT en la red corporativa, lo que le ayuda a mantener la visibilidad y la protección.

Sugerencia

Para obtener una comparación detallada de las características admitidas para todas las plataformas de Defender para punto de conexión (Windows, macOS y Linux), consulte Funcionalidades de Defender para punto de conexión.

Características de seguridad principales

En la tabla siguiente se resumen las características de seguridad principales disponibles en Windows:

Característica Descripción
Protección de última generación Protección antivirus y antimalware que usa técnicas de aprendizaje automático, entrega en la nube y basadas en comportamientos.
Bloqueo y contención de comportamientos Detecta y bloquea comportamientos malintencionados y ayuda a contener dispositivos en peligro.
Protección web Protege los dispositivos de sitios web malintencionados, intentos de suplantación de identidad (phishing) y amenazas basadas en web.
Firewall Configure los valores de firewall y proxy para habilitar la conectividad del servicio Defender para punto de conexión.
Protección contra alteraciones Evita cambios no autorizados en la configuración de seguridad crítica en los puntos de conexión.
Modo pasivo Ejecuta Microsoft Defender Antivirus en modo de supervisión junto con un antivirus que no es de Microsoft.

Reducción de la superficie expuesta a ataques

Las funcionalidades de reducción de la superficie expuesta a ataques ayudan a reducir la exposición a técnicas de ataque comunes:

Característica Descripción
Reglas de la reducción de la superficie expuesta a ataques Bloquee las técnicas de ataque comunes, como el robo de credenciales y la ejecución de malware.
Control de dispositivos Administre y audite el uso de dispositivos periféricos y de almacenamiento extraíbles.
Protección de red Bloquear las conexiones a destinos de red malintencionados.

Administración de amenazas y vulnerabilidades

Estas funcionalidades le ayudan a identificar, evaluar y corregir vulnerabilidades y configuraciones incorrectas para reducir el riesgo:

Característica Descripción
Evaluación de vulnerabilidades Identifica vulnerabilidades de software y configuraciones incorrectas en los dispositivos.
Recomendaciones de seguridad Guía accionable para reducir el riesgo del punto de conexión.
Seguimiento de corrección Realiza un seguimiento de las actividades de corrección y la reducción de la exposición.
Puntuación de seguridad de Microsoft para dispositivos Evalúa el estado de seguridad de la red, identifica sistemas no protegidos y proporciona acciones para mejorar la seguridad general de la organización.

Detección de dispositivos y redes

Característica Descripción
Detección de dispositivos de red y punto de conexión Detecta puntos de conexión no administrados, dispositivos de red y dispositivos IoT en la red corporativa.

Detección y respuesta de puntos de conexión (EDR)

Estas funcionalidades le ayudan a detectar, investigar y responder a amenazas avanzadas que podrían omitir las defensas preventivas:

Característica Descripción
Detección y respuesta de puntos de conexión Detecta amenazas avanzadas y actividad sospechosa en puntos de conexión y proporciona funcionalidades de investigación.
Búsqueda avanzada de amenazas Búsqueda de amenazas basada en consultas para telemetría de punto de conexión.
Análisis de amenazas Informes de inteligencia seleccionados sobre amenazas activas y emergentes.
EDR en modo bloqueo Permite que Defender para punto de conexión bloquee y corrija las amenazas incluso cuando Microsoft Defender Antivirus se ejecuta en modo pasivo.
Respuesta inmediata Proporciona un shell remoto seguro para investigar y corregir dispositivos en peligro en tiempo real.
Notificaciones de ataque de punto de conexión Búsqueda proactiva y priorización que ayuda a identificar y responder a las amenazas más críticas.

Protección autónoma

Estas funcionalidades controladas por inteligencia artificial identifican, contienen y evitan ataques a velocidad de máquina de forma proactiva sin necesidad de intervención humana:

Característica Descripción
Interrupción automática de ataques Identifica y contiene ataques activos en tiempo real mediante el aislamiento automático de dispositivos en peligro y la deshabilitación de cuentas de usuario en peligro, deteniendo el movimiento lateral sin necesidad de intervención humana.
Blindaje predictivo Usa la inteligencia artificial para anticipar amenazas y proteger proactivamente los recursos de alto valor antes de que un ataque les alcance.

Investigación y respuesta de amenazas

Característica Descripción
Investigación y respuesta automatizadas (AIR) Investiga automáticamente las alertas y corrige las amenazas.

Acciones de investigación y respuesta

Característica Descripción
Aislamiento del dispositivo Aísla los dispositivos comprometidos para evitar el movimiento lateral. El aislamiento del dispositivo también se desencadena automáticamente mediante la interrupción del ataque cuando se detecta un ataque activo.
Recopilar paquete de investigación Recopila datos forenses de un dispositivo para el análisis sin conexión.
Ejecutar examen antivirus Inicia exámenes antivirus a petición en un dispositivo.
Recopilación de archivos y análisis profundos Recopila archivos de dispositivos y los envía a un espacio aislado de nube seguro para un análisis profundo.
Bloquear, detener y poner en cuarentena archivos Detiene los procesos malintencionados y pone en cuarentena los archivos del entorno.

Indicadores y detecciones personalizadas

Característica Descripción
Indicadores de archivos personalizados Cree reglas de permitir o bloquear basadas en hashes de archivo.
Indicadores de red personalizados Permitir o bloquear direcciones IP, direcciones URL o dominios basados en inteligencia de amenazas personalizada.

API e integraciones

Característica Descripción
API de administración y automatización Automatice los flujos de trabajo e integre Defender para punto de conexión en los procesos existentes.
Integraciones de partners Integración con soluciones de seguridad de Microsoft y que no son de Microsoft.

Compatibilidad de soluciones antivirus

El agente de Microsoft Defender para punto de conexión depende de Microsoft Defender Antivirus para algunas funcionalidades, como el examen de archivos.

Característica Descripción
dependencia del antivirus de Microsoft Defender Defender para punto de conexión se basa en Microsoft Defender Antivirus para las funcionalidades seleccionadas, incluido el examen de archivos.
Actualizaciones de inteligencia de seguridad Mantenga actualizada la inteligencia de seguridad y el motor de examen en los dispositivos incorporados.
Actualizaciones de la plataforma Mantenga la plataforma Microsoft Defender Antivirus actualizada en los dispositivos incorporados.
Modo pasivo con antimalware que no es de Microsoft Cuando un cliente antimalware que no es de Microsoft está activo, Microsoft Defender Antivirus se ejecuta en modo pasivo, sigue recibiendo actualizaciones y msmpeng.exe sigue ejecutándose.

Importante

La detección y respuesta de puntos de conexión (EDR) en Microsoft Defender para punto de conexión no se ajusta a la configuración de exclusiones de antivirus de Microsoft Defender.

Para una protección óptima, configure actualizaciones de inteligencia de seguridad y actualizaciones de plataforma para dispositivos incorporados, independientemente de si Microsoft Defender Antivirus es la solución antimalware activa o no.

Cuando un dispositivo incorporado usa un cliente antimalware que no es de Microsoft y Microsoft Defender Antivirus está en modo pasivo, Microsoft Defender Antivirus no realiza exámenes de protección en tiempo real, exámenes programados o exámenes a petición y no reemplaza al cliente antimalware que no es de Microsoft. Además, la interfaz de usuario Microsoft Defender Antivirus está deshabilitada y los usuarios no pueden ejecutar exámenes a petición ni configurar la mayoría de las opciones (por ejemplo, reglas de reducción de superficie expuesta a ataques (ASR), protección de red, indicadores: dirección IP/archivo/dirección URL/certificados allow/block, filtrado de contenido web y acceso controlado a carpetas).

Para obtener más información, vea Administrar las actualizaciones del antivirus de Microsoft Defender y aplicar líneas base y Microsoft Defender antivirus y Microsoft Defender para punto de conexión tema de compatibilidad.