ICM / microsoft / Qué es Microsoft Defender for Endpoint

Qué es Microsoft Defender for Endpoint

19 enero 2021 | Carlos Calvo

Últimamente hablamos de algunos temas que, en mayor o menor medida, están relacionados con la seguridad. Y es que cada vez más empresas se están preocupando por cómo proteger sus negocios contra posibles peligros de/en la red. Por eso, hoy vamos a tratar otra forma de securizar nuestro negocio. Hablaremos de Microsoft Defender for Endpoint (ATP – Advanced Threat Protection) como solución para la gestión de amenazas en nuestra plataforma.

Esta herramienta es ideal para empresas con un parque informático de cualquier tamaño. No importa si tienes 3 servers u operas con decenas de miles de equipos entre servidores y máquinas de usuarios. De hecho, cuanto mayor sea tu parque de dispositivos, más tiempo te ahorrará la información que Windows Defender for Endpoint nos proporciona, haciéndonos conscientes, en un solo vistazo, del estado actual de cada equipo.

¿Cómo incluyo una máquina en el servicio de Microsoft Defender for Endpoint ?

Para poder acceder los datos de los que hablaré a continuación, debemos disponer de, al menos, una licencia Microsoft Defender for Endpoint.

Primero abordaremos el tema del método de inclusión en el servicio. O lo que Microsoft llama proceso de OnBoarding. En nuestro caso, hemos trabajado con un pequeño laboratorio formado por unos cuantos Servidores Windows Server 2019 y varias máquinas Windows 10. Las máquinas Windows Server forman parte de un dominio de Active Directory OnPremise que está sincronizado con una suscripción de Microsoft Azure Active Directory. Además, hemos configurado una cuenta de Microsoft Intune para manejar varios equipos Windows 10. Estos están unidos a AzureAD a través de Intune y son manejados desde Intune también.

https://www.microsoft.com/es-es/microsoft-365/security/endpoint-defender
Fuente: https://www.microsoft.com/es-es/microsoft-365/security/endpoint-defender

Dado el montaje que hemos planteado, hemos elegido el proceso de OnBoarding a partir de una GPO. Es cierto que hay varios métodos, pero este nos parece el mejor en estos casos. Así,  con este método, hemos creado una política de grupo (GPO) en nuestro Active Directory que afecte a todas las máquinas. Y, por otro lado, hemos habilitado el conector de Microsoft Intune para ATP, para que este pueda leer toda la información de dispositivos registrados en Microsoft Intune. Hacemos un pequeño comentario: Intune no es necesario en absoluto para poder usar ATP. Pero desde ICM nos gusta recomendar que estas dos piezas vayan de la mano cuando sea necesario y posible.

Para saber más sobre el proceso de OnBoarding mediante GPO, podéis consultar tal información aquí.

¿Qué información podemos ver?

Una vez hemos realizado el proceso de OnBoarding de forma correcta y hemos esperado el tiempo suficiente empezaremos a ver como en nuestro panel de Windows Defender Security Center van apareciendo las máquinas acompañadas de información básica.

Veremos el sistema operativo de cada una, la versión o revisión y el nivel de exposición, entre otras informaciones. El nivel de exposición nos marcará la calificación que esa máquina recibe en cuanto a la seguridad de la mima. Si entramos en el detalle, podemos ver información sobre recomendaciones de seguridad, inventario de software, KBs no presentes en nuestro sistema operativo y un listado de vulnerabilidades asociados a la máquina, entre otros datos interesantes, como el Timeline.

Cada vulnerabilidad asociada a una de nuestras máquinas vendrá correctamente detallada con su código (CVE). De este modo, podremos observar, desde el mismo panel, una breve descripción del CVE y posibles formas de mitigarlo, resolverlo o solucionarlo. Pudiendo incluso consultar a un experto en seguridad de Microsoft si fuera necesario.