Cómo activar y configurar Microsoft Defender para Endpoint desde cero

Cómo activar y configurar Microsoft Defender para Endpoint desde cero

01/01/2024

Este artículo técnico y educativo tiene como objetivo proporcionar una guía práctica y detallada sobre cómo habilitar y configurar Microsoft Defender para Endpoint (MDE) desde cero. MDE es una plataforma unificada de seguridad de terminales para protección preventiva, detección posterior a una infracción, investigación y respuesta automatizadas. Es una herramienta esencial para analistas de seguridad, administradores de TI e ingenieros de sistemas que buscan fortalecer la postura de seguridad de sus entornos Microsoft.

Introducción

El panorama de las ciberamenazas evoluciona constantemente y los ataques se vuelven más sofisticados y dirigidos. Proteger los puntos finales (computadoras, servidores, dispositivos móviles) es una prioridad absoluta para cualquier organización. Microsoft Defender for Endpoint (MDE) ofrece una solución sólida que va más allá del antivirus tradicional al proporcionar capacidades avanzadas de detección y respuesta de endpoints (EDR), administración de vulnerabilidades y amenazas, reducción de la superficie de ataque, protección de próxima generación e investigación y corrección automatizadas [1].

Esta guía cubrirá los pasos fundamentales para implementar MDE, desde los requisitos previos iniciales hasta la configuración, validación y mejores prácticas de recursos esenciales. Nuestro enfoque es 100% práctico, con instrucciones paso a paso, ejemplos de comandos y descripciones para que el lector pueda replicar el proceso en su propio entorno y validar los resultados.

¿Por qué Microsoft Defender para endpoints?

MDE se integra de forma nativa con otras soluciones de seguridad de Microsoft, como Microsoft 365 Defender, Azure Active Directory (ahora Microsoft Entra ID), Microsoft Intune y Microsoft Sentinel, creando un tejido de seguridad cohesivo. Sus principales beneficios incluyen:

  • Protección integral: Detecta y bloquea malware, ransomware y ataques sin archivos.
  • Visibilidad en profundidad: Monitoreo continuo de la actividad de los endpoints para identificar comportamientos sospechosos.
  • Respuesta rápida: herramientas automatizadas de investigación y remediación para contener rápidamente las amenazas.
  • Gestión de Postura: Evaluación de vulnerabilidades y recomendaciones para mejorar la higiene de seguridad.

Requisitos previos

Antes de comenzar a configurar Microsoft Defender para Endpoint, asegúrese de que se cumplan los siguientes requisitos previos:

  1. Licencia: una licencia válida para Microsoft Defender para Endpoint. Esto puede ser parte de paquetes como Microsoft 365 E5, Microsoft 365 E3 (con complemento de seguridad), Windows E5 o licencias independientes [2].
  2. Acceso administrativo: Cuentas con permisos de Administrador global o Administrador de seguridad en el portal de Microsoft 365 Defender (security.microsoft.com).
  3. Conectividad de red: los puntos finales deben tener acceso a Internet para comunicarse con los servicios en la nube de MDE. Asegúrese de que las URL y los puertos requeridos estén permitidos en firewalls y servidores proxy [3].
  4. Sistemas operativos compatibles: MDE admite una amplia gama de sistemas operativos, incluidos:
    • Windows 10/11 Empresa, Pro, Educación
    • Servidor Windows (2008 R2 SP1, 2012 R2, 2016, 2019, 2022)
    • macOS (versiones recientes)
    • Linux (varias distribuciones)
    • Android e iOS (a través de Microsoft Intune)
  5. Microsoft Intune (opcional, pero recomendado): para la administración centralizada y la incorporación de dispositivos a gran escala, se recomienda encarecidamente la integración con Microsoft Intune.

Paso a Paso: Activación y Configuración Inicial

1. Habilite Microsoft Defender para endpoints

El primer paso es activar el servicio en tu inquilino. Por lo general, esto se hace automáticamente al comprar la licencia, pero es crucial verificar y garantizar que el servicio esté brindado.

  1. Vaya al portal de Microsoft 365 Defender: https://security.microsoft.com.
  2. En el panel de navegación izquierdo, vaya a Configuración (el ícono de ajustes) > Puntos finales.
  3. Verifique el estado del servicio. Si no está activo, siga las instrucciones para iniciar el proceso de aprovisionamiento. Es posible que deba aceptar los términos de servicio.

2. Configuración general y funciones avanzadas

Después de la activación, es importante revisar y configurar las funciones avanzadas que mejoran las capacidades de detección y respuesta de MDE.

  1. En el portal de Microsoft 365 Defender, en Configuración > Puntos finales, sseleccione Funciones avanzadas.
  2. Habilite las siguientes funciones (si aún no están habilitadas) para maximizar la protección:
    • Permitir análisis de muestras: permite que MDE recopile muestras de archivos sospechosos para su análisis. Elija entre 'Automático' o 'Seguro'.
    • Detección de EDR en modo de bloqueo: permite que MDE bloquee artefactos maliciosos detectados por EDR, incluso si el antivirus de próxima generación está en modo pasivo.
    • Vista previa de recursos: Activa el acceso a recursos que aún están en fase de vista previa. Recomendado para entornos de prueba.
    • Integración con Microsoft Intune: Esencial para administrar dispositivos y políticas de seguridad.
    • Integración con Microsoft Cloud App Security: amplía la visibilidad y el control de las aplicaciones en la nube.
    • Integración con Azure Information Protection: Permite la protección de datos sensibles.
    • Acceso al contexto de archivos para análisis automatizado: mejora la capacidad de investigación automatizada.

3. Incorporación de dispositivos

El proceso de incorporación conecta los dispositivos al servicio MDE, permitiéndoles enviar datos de seguridad y recibir políticas. Hay varias formas de realizar la incorporación, según el tamaño y la infraestructura de su organización.

Opción A: Incorporación manual (para algunos dispositivos)

  1. En el portal de Microsoft 365 Defender, vaya a Configuración > Puntos finales > Administración de dispositivos > Incorporación.
  2. Seleccione el sistema operativo del dispositivo que desea integrar (por ejemplo, Windows 10 y 11).
  3. Elija el método de implementación. Para la incorporación manual, seleccione Secuencia de comandos local.
  4. Descargue el paquete de incorporación (un archivo .zip que contiene un script de PowerShell).
  5. Copie el script en el dispositivo de destino y ejecútelo con privilegios de administrador.
# Ejemplo de ejecución del script de incorporación
# Asegúrese de que el archivo WindowsDefenderATPLocalScript.cmd esté en el directorio actual
.\WindowsDefenderATPLocalScript.cmd

Opción B: Incorporación a través de Microsoft Intune (para gran escala)

Esta es la forma más recomendada para entornos corporativos, ya que permite automatizar la incorporación y gestionar las políticas de seguridad.

  1. Verifique la conexión MDE-Intune: en el portal de Microsoft 365 Defender, en Configuración > Puntos finales > Características avanzadas, asegúrese de que Integración de Microsoft Intune esté habilitada.
  2. Acceda al portal de Microsoft Intune (centro de administración de Microsoft Endpoint Manager): https://endpoint.microsoft.com.
  3. En el panel de navegación izquierdo, vaya a Endpoint Security > Microsoft Defender for Endpoint.
  4. Verifique el Estado de la conexión. Debería aparecer como "Habilitado". De lo contrario, configure la conexión como se indica en la pantalla.
  5. Cree una política de configuración de dispositivos para la incorporación: en Intune, vaya a Endpoint Security > Incorporación de dispositivos.
  6. Haga clic en Crear perfil.
  7. Seleccione Windows 10 y versiones posteriores para Plataforma y Microsoft Defender para Endpoint para Perfil.
  8. Déle a la póliza un nombre y una descripción.
  9. En la configuración, Intune debe configurar automáticamente el tipo de incorporación debido a la integración.
  10. Asigne la política a los grupos de dispositivos deseados.

4. Configuración de políticas de seguridad (Ejemplo: Reducción de la superficie de ataque)

Después de la incorporación, es fundamental configurar políticas para proteger los puntos finales. Usaremos las reglas de Reducción de la superficie de ataque (ASR) como ejemplo.

  1. En el portal de Microsoft 365 Defender, vaya a Configuración > Puntos finales > Reducción de la superficie de ataque.
  2. Seleccione Reglas de reducción de superficie de ataque.
  3. Puede configurar reglas específicas para bloquear comportamientos maliciosos. Por ejemplo, habilite la regla Bloquear el robo de credenciales del subsistema de la autoridad de seguridad local de Windows para proteger las credenciales.
  4. Configure el modo de regla en Auditar (para monitorear el impacto antes del bloqueo) o Bloquear (para aplicar la protección inmediatamente).

Validación y pruebas

Validar la configuración es un paso fundamental para garantizar que MDE funcione correctamente y proteja sus puntos finales.

1. Verifique el estado del sensor en el terminal

En el dispositivo integrado, puede verificar el estado del servicio MDE.

  1. AbiertoSímbolo del sistema o PowerShell como administrador.
  2. Ejecute el siguiente comando para verificar el estado del servicio "Sense" (el sensor MDE):
consulta sc Sentido
  • Resultado esperado: el estado debe ser "EN EJECUCIÓN".

2. Verifique el estado de incorporación en el portal

  1. En el portal de Microsoft 365 Defender, vaya a Activos > Dispositivos.
  2. Busque el nombre del dispositivo que incorporó. Debería aparecer en la lista con el estado 'Activo' y un nivel de riesgo y exposición.
  3. Haga clic en el dispositivo para ver los detalles, incluidas las alertas, el cronograma y el estado de cumplimiento.

3. Pruebe la detección de EDR (archivo de prueba EICAR)

Para probar la capacidad de detección sin causar un daño real, puede utilizar el archivo de prueba EICAR. El MDE debería detectarlo y generar una alerta.

  1. En un dispositivo integrado, abra un navegador y navegue hasta https://www.eicar.org/download/eicar.com.txt.
  2. Intente descargar o copiar el contenido del archivo EICAR a su dispositivo.
  3. El MDE debe bloquear la acción y generar una alerta. Consulte el portal de Microsoft 365 Defender en Incidentes y alertas > Alertas para ver la alerta generada.

Consejos de seguridad y mejores prácticas

  • Mantener MDE actualizado: asegúrese de que los agentes de seguridad y las definiciones de MDE estén siempre actualizados. Microsoft lanza continuamente actualizaciones para mejorar la protección.
  • Integre con otras soluciones: aproveche la integración de MDE con Microsoft Intune, Microsoft Sentinel, Azure AD Identity Protection y Microsoft Cloud App Security para obtener una vista unificada y protección en capas.
  • Monitorear activamente: revise periódicamente las alertas y los incidentes en el portal de Microsoft 365 Defender. Configure notificaciones por correo electrónico para alertas críticas.
  • Utilice el modo de auditoría para ASR: al implementar nuevas reglas de reducción de la superficie de ataque, comience en el modo de auditoría para comprender el impacto y evitar interrupciones antes de aplicar el modo de bloqueo.
  • Segmente la red: implemente la segmentación de la red para limitar la propagación lateral de ataques, incluso si un punto final está comprometido.
  • Capacitar a los usuarios: La concientización del usuario es una línea de defensa crucial. Educar a los empleados sobre las mejores prácticas de ciberseguridad.

Solución de problemas comunes

  • El dispositivo no aparece en el portal: verifique la conectividad de red, el estado del servicio "Sense" en el terminal y si el script de incorporación se ejecutó correctamente. En entornos con Intune, verifique el estado de la conexión Intune-MDE.
  • Alertas faltantes: asegúrese de que las funciones de detección avanzadas estén habilitadas. Verifique las exclusiones de antivirus que puedan estar impidiendo la detección.
  • Problemas de rendimiento: MDE está optimizado para un bajo impacto en el rendimiento, pero en casos excepcionales pueden ocurrir conflictos con otro software de seguridad. Revise las pautas de compatibilidad de Microsoft.
  • Error en el script de incorporación: verifique los registros de eventos del sistema en el terminal para ver si hay mensajes de error. Asegúrese de que el script se haya ejecutado con privilegios de administrador.

Conclusión

Microsoft Defender for Endpoint es una herramienta poderosa y esencial para la defensa moderna contra las amenazas cibernéticas. Si sigue esta guía, podrá habilitar, configurar y validar MDE en su entorno, estableciendo una base sólida para la seguridad de sus puntos finales. Recuerde que la seguridad es un proceso continuo que requiere monitoreo, ajustes y actualizaciones constantes. La implementación efectiva de MDE es un paso importante hacia la protección de su organización contra el panorama de amenazas en constante evolución.

Referencias:

[1] Microsoft aprende. Microsoft Defender para punto final. Disponible en: https://learn.microsoft.com/pt-br/microsoft-365/security/defender-endpoint/microsoft-defender-endpoint?view=o365-worldwide [2] Microsoft aprende. Requisitos mínimos para Microsoft Defender para Endpoint. Disponible en: https://learn.microsoft.com/pt-br/microsoft-365/security/defender-endpoint/minimum-requirements?view=o365-worldwide [3] Microsoft aprende. Configurar el entorno de red para Microsoft Defender para Endpointt. Disponible en: https://learn.microsoft.com/pt-br/microsoft-365/security/defender-endpoint/configure-network?view=o365-worldwide '''