Implementación de la directiva de detección y respuesta de puntos de conexión con Intune

Al integrar Microsoft Defender para punto de conexión con Intune, puede usar directivas de seguridad de punto de conexión para la detección y respuesta de puntos de conexión (EDR) para administrar la configuración de EDR e incorporar dispositivos a Microsoft Defender para punto de conexión.

Intune directivas para EDR incluyen perfiles específicos de la plataforma que administran la incorporación (instalación) de Microsoft Defender para punto de conexión. El uso de paquetes de incorporación es cómo se configuran los dispositivos para que funcionen con Microsoft Defender para punto de conexión. La incorporación a Defender a través de Intune directivas de EDR configura dispositivos para enviar telemetría de seguridad a Microsoft Defender para punto de conexión, lo que permite funcionalidades avanzadas de detección, investigación y respuesta de amenazas.

En este artículo se tratan los escenarios de implementación de EDR, desde la implementación automática basada en conectores hasta la configuración manual para entornos especializados.

Descripción de la incorporación de EDR

La incorporación de EDR configura los dispositivos para que puedan enviar telemetría de seguridad al inquilino de Defender para punto de conexión. El paquete de incorporación es un archivo de configuración específico de la plataforma que contiene:

• Configuración del inquilino: identifica la organización específica de Defender para punto de conexión.
• Puntos de conexión de servicio: direcciones URL para comunicarse con los servicios de Defender.
• Material de autenticación: certificados y tokens para una comunicación segura entre dispositivos y servicios.
• Configuración básica: configuración de registro de dispositivos y parámetros de comunicación iniciales.

Conceptos clave:

• Los dispositivos aparecen en el portal de Defender poco después de la incorporación correcta y el envío de telemetría inicial.
• La incorporación permite el flujo de telemetría, pero no configura opciones avanzadas, como la reducción de la superficie expuesta a ataques, el firewall o las directivas antivirus.
• Las directivas de EDR no administran reglas de búsqueda de amenazas, lógica de detección personalizada, automatización de respuestas o flujos de trabajo de investigación.

Para obtener detalles técnicos, consulte Incorporación de dispositivos para Microsoft Defender para punto de conexión.

Se aplica a:

• Linux
• macOS
• Windows
• Windows Server 2012 R2 y versiones posteriores se admiten cuando los dispositivos se administran a través de una de las siguientes opciones:
  • Configuration Manager (asociación de inquilinos)
  • administración de la configuración de seguridad de Microsoft Defender para punto de conexión

Requisitos previos

Antes de implementar directivas de EDR, confirme que su organización cumple los requisitos de licencias y permisos.

Licencia

• Plan 1 de Microsoft Intune

Necesita licencias para Microsoft Defender:

• Licencia del plan 1 de Defender para punto de conexión por usuario
• Microsoft 365 E5/A5/G5 (incluye el plan 2 de Defender para punto de conexión)
• Microsoft Defender XDR (independiente)

Para obtener información detallada sobre las licencias, consulte:

• Licencias de Microsoft Intune
• Licencia de Microsoft Defender para punto de conexión

Control de acceso basado en roles

Para configurar la directiva de EDR, a la cuenta se le debe asignar un rol de Intune con permisos suficientes de control de acceso basado en rol (RBAC):

• Endpoint Security Manager: el rol Administrador de seguridad de puntos de conexión incluye permisos para crear y administrar directivas de seguridad de puntos de conexión.
• Rol personalizado: como mínimo, crear permisos de/eliminación de actualización/ delectura/ para la seguridad del punto de conexión.

También necesita permisos en Microsoft Defender para punto de conexión para establecer la conexión de servicio:

• Rol administrador de seguridad en Microsoft Entra ID o
• Rol personalizado con permisos equivalentes: microsoft.directory/applications/create, microsoft.directory/applications/delete, microsoft.directory/servicePrincipals/create

Para obtener instrucciones detalladas sobre los permisos, consulte Control de acceso basado en rol para la seguridad de los puntos de conexión.

Plataformas y perfiles admitidos

Windows:

• Perfil: detección y respuesta de puntos de conexión
  • Uso compartido de ejemplo: elija cómo los dispositivos envían ejemplos de archivos a Defender para punto de conexión.
  • Opciones de incorporación: auto del conector (disponible cuando se configura la conexión de servicio) o agregar manualmente un paquete onboard o offboard .
    • Auto del conector (se recomienda cuando se configura la conexión de servicio a servicio).
    • Incorporación manual mediante un paquete onboard o offboard desde el portal de Defender.
  • Administración: dispositivos inscritos Intune o dispositivos no inscritos a través de la administración de la configuración de seguridad de Defender para punto de conexión.

Macos:

• Perfil: detección y respuesta de puntos de conexión
  • Etiquetas de dispositivo: las etiquetas de dispositivo incluyen un par de nombre y valor que se usa para organizar los dispositivos en Defender para punto de conexión.
  • Métodos de administración:
    • Intune inscrito
    • Administración de la configuración de seguridad de Defender para punto de conexión

Linux:

• Perfiles:
  • Detección y respuesta de puntos de conexión
    • Etiquetas de dispositivo: las etiquetas de dispositivo incluyen un par de nombre y valor que se usa para organizar los dispositivos en Defender para punto de conexión.
    • Métodos de administración:
      • Intune inscrito
      • Administración de la configuración de seguridad de Defender para punto de conexión
  • Microsoft Defender exclusiones globales (AV+EDR): consulte perfil de exclusiones globales de Linux más adelante en este artículo.

Windows Server 2012 R2+:

• Perfil: detección y respuesta de puntos de conexión (ConfigMgr)
  • Administración:
    • Configuration Manager asociación de inquilinos
    • Administración de la configuración de seguridad de Defender para punto de conexión.
  • Destino de recopilación: asignar a colecciones de Configuration Manager en lugar de grupos de id. de entra.
  • Requisitos:
    • revisión de KB4563473
    • Colecciones sincronizadas con Intune para asignaciones
    • Las asignaciones se aplican a colecciones de Configuration Manager, no a grupos de id. de entra

Configuración de la conexión Intune-Defender para punto de conexión

Intune requiere una conexión a Microsoft Defender para punto de conexión para recuperar automáticamente los paquetes de incorporación y admitir la implementación de directivas EDR.

Cuando la conexión está habilitada:

• Intune recupera el paquete de incorporación más reciente de Defender para punto de conexión.
• La creación de directivas usa la configuración de incorporación más reciente.
• Puede usar Auto desde el conector en perfiles de EDR.

Para configurar la conexión:

1. En el centro de administración de Microsoft Intune, vaya aConectores y tokens de administración> de inquilinos >Microsoft Defender para punto de conexión.
2. Seleccione Conectar Microsoft Defender para punto de conexión a Intune.
3. Habilite la conexión y configure las preferencias de uso compartido de datos.
4. Compruebe que el estado de la conexión muestra Conectado.

Para obtener instrucciones de configuración detalladas, consulte Conexión de Microsoft Defender para punto de conexión a Intune.

Implementación de la directiva de EDR

Acerca del nodo Detección y respuesta de puntos de conexión:

En el centro de administración de Intune, el nodo Detección y respuesta de puntos de conexión incluye las pestañas siguientes:

• Resumen : muestra todas las directivas de EDR, el estado del conector e incluye el gráfico "Dispositivos Windows incorporados a Defender para punto de conexión" y la opción Crear directiva .
• Estado de incorporación de EDR : muestra el gráfico de resumen de incorporación, la lista de dispositivos con estado detallado e incluye la opción Implementar directiva preconfigurada . Para obtener instrucciones detalladas sobre el uso de esta pestaña, vea Informe de estado de incorporación de EDR.

Todos los dispositivos que notifican telemetría de seguridad a Microsoft Defender para punto de conexión deben incorporarse mediante un paquete de configuración (denominado "blob" de incorporación). Este paquete contiene:

• Configuración específica del inquilino: indica al dispositivo a qué organización de Defender para punto de conexión debe informar.
• Certificados de autenticación: habilita la comunicación segura con los servicios de Defender.
• Configuración de informes: configura qué datos enviar y con qué frecuencia.

Tanto si usa la implementación automática como la manual, Intune aplica la misma configuración de incorporación a los dispositivos. La diferencia es cómo Intune obtiene esa configuración:

• Automático (recomendado): Intune recupera el paquete de incorporación de Defender para punto de conexión a través de la conexión de servicio configurada.
• Manual : use un paquete de incorporación descargado del portal de Defender cuando la recuperación automática no esté disponible.

Elección del método de implementación:

Creación de una directiva EDR automática

Mejor para entornos con integración estándar de Intune + Defender y un único inquilino de Defender para punto de conexión.

Requisitos previos: Conexión de servicio a servicio activa entre Intune y Defender para punto de conexión.

Implementación de la directiva preconfigurada de Windows EDR

La forma más rápida de implementar la incorporación de EDR en todos los dispositivos Windows es mediante la opción de directiva preconfigurada disponible en la pestaña Estado de incorporación de EDR. Este método usa automáticamente el paquete de incorporación más reciente del inquilino de Defender para punto de conexión e implementa con la configuración recomendada.

Para obtener instrucciones detalladas paso a paso, consulte Implementación rápida con directiva preconfigurada en la sección Informe de estado de incorporación de EDR.

Creación de una directiva EDR personalizada (todas las plataformas)

Cuando necesite implementar directivas de EDR en grupos o plataformas específicos con una configuración personalizada, use la opción Crear directiva en la pestaña Resumen. Este enfoque proporciona control total sobre la selección de la plataforma, la configuración y las asignaciones de grupos.

Las opciones de configuración clave incluyen:

• Microsoft Defender para punto de conexión tipo de paquete de configuración de cliente: seleccione Auto desde el conector cuando esté disponible.
• Uso compartido de ejemplo: elija en función de los requisitos de confidencialidad de datos
• Etiquetas de dispositivo (macOS y Linux): configuración para el filtrado y la agrupación de dispositivos

Para obtener instrucciones detalladas sobre la creación de directivas, vea Corrección dirigida en la sección Informe de estado de incorporación de EDR.

Creación manual de directivas de EDR

Use este método cuando su organización no pueda usar la conexión de servicio (varios inquilinos, entornos con conexión aérea o control de cambios estricto).

Descargue el paquete de incorporación:

1. En el portal de Microsoft Defender, vaya a Configuración>Puntos de conexión>Administración de> dispositivosIncorporación.
2. Seleccione el sistema operativo y elija Mobile Administración de dispositivos/Microsoft Intune.
3. Seleccione Descargar paquete.

Cree la directiva:

1. En Intune, vaya a Endpoint security>Endpoint detection and response Create Policy (Detección de puntos de conexión y respuesta>crear directiva).
2. Seleccione la plataforma y el perfil.
3. En Tipo de paquete, elija Onboard (Incorporar) o Offboard (Offboard).
4. Pegue el contenido del archivo de incorporación descargado.
5. Configure las opciones restantes y, a continuación, asigne y cree la directiva.

Perfiles adicionales para dispositivos Linux

Después de crear las directivas principales de EDR, puede implementar perfiles especializados adicionales para una administración de seguridad mejorada.

Creación de una directiva de exclusiones globales de Linux

1. Vaya aDetección y respuesta> del punto de conexión de seguridad> del punto de conexiónCrear directiva.
2. Seleccione Linux para la plataforma y Microsoft Defender Exclusiones globales (AV+EDR) para el perfil.
3. Configure exclusiones agregando entradas con:
   • Ruta de acceso: ruta de acceso de archivo o directorio que se va a excluir (no se admiten caracteres comodín).
   • Nombre del proceso: nombre del proceso que se va a excluir de la supervisión de EDR (no se admiten caracteres comodín).
4. Asignar a grupos de dispositivos Linux administrados mediante MDE administración de la configuración de seguridad.

Implementación de Configuration Manager

Asociación de inquilinos

La asociación de inquilinos permite a Intune implementar directivas EDR en dispositivos Windows administrados por Configuration Manager.

requisitos de Configuration Manager:

• Rama actual 2002 o posterior
• Para 2002, instale KB4563473 (revisión)

Configuración de asociación de inquilinos:

• Sincronice las colecciones de dispositivos con Intune (Cloud Sync).
• Asegúrese de que todos los clientes de escritorio y servidor estén habilitados y sincronizados (es necesario para las directivas preconfiguradas de Windows EDR).

Permisos:

• Intune rol integrado Entra ID de administrador de servicios o rol equivalente para la asociación de inquilinos y la administración de directivas de seguridad de puntos de conexión.

Configuración de Configuration Manager para EDR

1. Instalar Configuration Manager actualización: aplique KB4563473 revisión para Configuration Manager 2002.
2. Configuración de la asociación de inquilinos: sincronice las colecciones de Configuration Manager con Intune.
3. Comprobar conectividad: confirme que las recopilaciones aparecen en los centros de administración de Configuration Manager y Intune.

Implementación de la directiva de EDR en colecciones de Configuration Manager

1. En el centro de administración de Intune, vaya a Endpoint security>Endpoint detection and response>Create Policy (Creación de directivas).
2. Seleccione Plataforma Windows (ConfigMgr) y Perfil de respuesta y detección de puntos de conexión (ConfigMgr).
3. Configure las mismas opciones de directiva disponibles para dispositivos administrados Intune.
4. En Asignaciones, seleccione Configuration Manager colecciones en lugar de Grupos de id. de entra.
5. Cree e implemente la directiva.

Después de implementar la directiva, espere tiempo para la sincronización de Intune ConfigMgr y Configuration Manager evaluación de directivas de cliente antes de que los dispositivos se muestren como incorporados.

Para obtener información detallada sobre la configuración de la asociación de inquilinos, consulte Configuración de la asociación de inquilinos para admitir directivas de Endpoint Protection.

Informe de estado de incorporación de EDR

El informe Estado de incorporación de EDR proporciona a los administradores una vista completa del progreso de la incorporación de dispositivos en toda la organización. Este informe le ayuda a realizar un seguimiento de qué dispositivos se han incorporado correctamente para Microsoft Defender para punto de conexión e identificar los dispositivos que pueden necesitar atención.

Acceso al informe estado de incorporación de EDR

1. En el centro de administración de Microsoft Intune, vaya a Endpoint securityEndpoint detection and response (Detección y respuesta del punto de conexión de seguridad > del punto de conexión).
2. Seleccione la pestaña Estado de incorporación de EDR .

Descripción del informe

La pestaña Estado de incorporación de EDR incluye lo siguiente:

• Gráfico de resumen de incorporación: dispositivos Windows incorporados a Defender para punto de conexión : este gráfico muestra los recuentos de dispositivos que se han incorporado y los dispositivos que no se han incorporado.

• Lista de dispositivos con información detallada: esta lista de dispositivos incluye las siguientes columnas de detalles:

  • Nombre del dispositivo: nombre de cada dispositivo de la organización
  • Administrado por: cómo se administra el dispositivo (Intune, Configuration Manager mediante la asociación de inquilinos o MDE administración de la configuración de seguridad)
  • Estado del sensor de Defender: estado de mantenimiento actual del sensor de Defender para punto de conexión.
    • Activo: el sensor se ejecuta y se comunica con normalidad
    • Inactivo: el sensor no se ha notificado recientemente
    • Afectados: el sensor está experimentando problemas
  • Estado de incorporación: estado de incorporación actual para cada dispositivo.
    • Incorporado: el dispositivo envía correctamente telemetría a Defender para punto de conexión
    • No incorporado: el dispositivo no ha completado el proceso de incorporación
    • Pendiente: el dispositivo está en proceso de incorporación
    • Último check-in: la hora y la fecha de la comunicación más reciente desde el dispositivo a Intune
    • UPN principal: el nombre principal de usuario principal asociado al dispositivo

Uso del informe para la implementación de EDR

Implementación rápida con directiva preconfigurada

Para una implementación rápida en todos los dispositivos Windows aptos directamente desde la pestaña Estado de incorporación de EDR:

1. En la pestaña Estado de incorporación de EDR , seleccione Implementar directiva preconfigurada.

   

2. Elija el ámbito de implementación:

   • Detección y respuesta de Windows y puntos de conexión: para dispositivos administrados por Intune
   • Windows (ConfigMgr) + Respuesta y detección de puntos de conexión (ConfigMgr): para colecciones de Configuration Manager

3. Proporcione un nombre de directiva y una descripción opcional.

4. Seleccione Crear para implementar inmediatamente.

Esta directiva preconfigurada se realiza automáticamente:

• Usa el paquete de incorporación más reciente del inquilino de Defender para punto de conexión
• Se implementa en todos los dispositivos aplicables de la organización.
• Aplica la configuración de seguridad recomendada

Uso del informe para la corrección de destino

El informe Estado de incorporación de EDR ayuda a identificar los dispositivos que necesitan atención, que puede abordar con la implementación de directivas de destino:

Identificación de dispositivos problemáticos

Use la lista de dispositivos en la pestaña Estado de incorporación de EDR para identificar dispositivos específicos que requieren atención:

1. Filtrar dispositivos por estado: céntrese en los dispositivos "No incorporados" o "Pendientes".
2. Revisar métodos de administración: asegúrese de que los dispositivos se administran a través del canal adecuado
3. Comprobación del estado del sensor: identificación de dispositivos con sensores inactivos o afectados

Creación de directivas de destino

Una vez que haya identificado dispositivos problemáticos, cree directivas EDR específicas mediante la opción Crear directiva de la pestaña Resumen:

Escenarios de supervisión

El informe estado de incorporación de EDR admite varios escenarios administrativos clave:

Validación de la implementación inicial

Después de implementar directivas de EDR:

• Supervisión del gráfico de resumen de incorporación para aumentar los recuentos "incorporados"
• Revisar el progreso del dispositivo individual en la lista de dispositivos
• Identificación de dispositivos que no se pueden incorporar dentro de los períodos de tiempo esperados

Supervisión continua del cumplimiento

Para la administración continua de la posición de seguridad:

• Configure revisiones periódicas del estado de incorporación.
• Realice un seguimiento del estado del sensor en toda la flota de dispositivos.
• Identifique los dispositivos que se inactivan o se ven afectados con el tiempo.

Solución de problemas de implementación

Cuando los dispositivos no se pueden incorporar:

• Use la lista de dispositivos para identificar dispositivos problemáticos.
• Revise los métodos de administración para garantizar una segmentación de directiva adecuada.
• Compruebe el estado del sensor para los dispositivos que muestran el estado "No incorporado".
• Referencia cruzada con informes de cumplimiento de directivas de EDR.

Procedimientos recomendados para usar el informe

• Supervisión regular: revise el informe estado de incorporación de EDR semanalmente para garantizar la cobertura de protección continua.
• Corrección proactiva: solucione los dispositivos "no incorporados" rápidamente para mantener la posición de seguridad.
• Correlación con otros informes: use junto con informes de cumplimiento de directivas EDR individuales para obtener una visibilidad completa de la implementación.
• Métricas de línea base del documento: realice un seguimiento de las tasas de éxito de incorporación a lo largo del tiempo para identificar tendencias.

Visibilidad de incorporación adicional

Además del informe de estado de incorporación de EDR dedicado, también puede ver el estado de incorporación de dispositivos a través de los informes Microsoft Defender Antivirus de Intune. Estos informes incluyen información de estado de incorporación para dispositivos MDM de Windows y proporcionan otra manera de supervisar la implementación de Defender para punto de conexión de su organización:

• Informe de estado del agente antivirus: muestra el estado completo del dispositivo, incluido el estado de incorporación de Defender para punto de conexión.
• Informe de puntos de conexión incorrectos: muestra los dispositivos con problemas detectados, incluidos los problemas de incorporación

Estos informes están disponibles en el centro de administración en las siguientes comunicaciones:

• Vaya al iconoDe seguridad> del punto de conexión de informes>Microsoft Defender>Antivirus Reports>Antivirus agent status (Estado del agente antivirus).
• Vaya a la pestaña Endpoint securityAntivirusUnhealthy endpoints (Puntos de conexión incorrectos delantivirus> de seguridad > de puntos de conexión).

Supervisión y validación de la implementación de EDR

Intune informes:

Puede revisar los resultados de implementación e incorporación en el centro de administración de Intune enDetección y respuesta de puntos de conexión de seguridad> de punto de conexión:

• Cumplimiento de directivas: en la pestaña Resumen puede seleccionar la directiva para ver su estado de implementación.
• Detalles del dispositivo: en la pestaña Estado de incorporación de EDR , verá un informe sencillo en el que se muestran los recuentos de dispositivos, revisará una lista de dispositivos con detalles sobre su estado de incorporación y el estado del sensor y, a continuación, seleccionará los dispositivos para profundizar más para obtener más información.

Para una supervisión completa de la incorporación de dispositivos, use el informe Estado de incorporación de EDR.

validación del portal de Microsoft Defender:

En el portal de Defender:

1. El inventario de dispositivos (dispositivos activos>) muestra los dispositivos incorporados poco después de recibir la telemetría.

2. El estado del sensor muestra la hora vista por última vez, la versión del sensor y el estado de comunicación.

3. La evaluación de riesgos comienza después de que los dispositivos envíen su telemetría inicial.

Supervisión continua

Revise lo siguiente para asegurarse de que la incorporación continua se ha realizado correctamente:

• Tasas de éxito de la implementación de directivas
• Estado de incorporación de dispositivos
• Estado del sensor y comunicación
• Implementaciones con errores que requieren corrección

Solución de problemas

Los dispositivos no aparecen en el portal de Defender

• Confirme que el dispositivo puede alcanzar los puntos de conexión necesarios (por ejemplo, *.securitycenter.windows.com y *.protection.outlook.com).
• Compruebe el estado de cumplimiento de la directiva EDR en Intune y revise los detalles específicos del dispositivo en el informe Estado de incorporación de EDR.
• Asegúrese de que el servicio de Microsoft Defender para punto de conexión se está ejecutando en el dispositivo.

La opción "Auto desde el conector" no está disponible

• Compruebe que la conexión de Defender muestra Conectado enConectores y tokens de administración> de inquilinos.
• Espere hasta 15 minutos después de habilitar la conexión para que aparezca la opción .
• Asegúrese de que la cuenta tiene los permisos administrativos adecuados.

Para obtener más información, consulte Solución de problemas de incorporación de Microsoft Defender para punto de conexión.

Retirar dispositivos

Intune directiva de EDR admite la opción de usar un blob de offboarding en dispositivos fuera del panel. La eliminación de dispositivos de Defender para punto de conexión suele ser un proceso poco común pero planeado. Algunas situaciones que requieren la retirada incluyen, pero no se limitan a mover un dispositivo fuera de un laboratorio de pruebas, parte de la administración del ciclo de vida del dispositivo o necesaria durante la consolidación del inquilino.

Para crear una directiva de offboarding:

1. Descargue un nuevo paquete de offboarding desde el portal de Microsoft Defender yendo a Configuración>Puntos de conexión>Administración> de dispositivosOffboarding.
2. Seleccione el sistema operativo y elija Mobile Administración de dispositivos/Microsoft Intune.
3. Seleccione Descargar paquete.
4. Cree una nueva directiva EDR con tipo de paquete establecido en Offboard y pegue el contenido del blob de offboarding, o bien actualice una directiva de eliminación existente reemplazando el contenido del blob.

Al implementar una directiva de EDR de offboarding en Intune:

• Por motivos de seguridad, el blob de eliminación o el paquete de Defender expirarán siete días después de su descarga. Se rechazan los paquetes de offboarding expirados enviados a los dispositivos.
• Cuando se implementa en un dispositivo, el blob de offboarding deshabilita el sensor de Defender para punto de conexión, pero no quita el cliente de Defender para punto de conexión.
• Los dispositivos dejan de enviar telemetría al portal de Defender para punto de conexión.
• Los dispositivos se muestran como "inactivos" en Defender después de siete días.
• El estado de cumplimiento de la directiva EDR Intune debe mostrar una implementación correcta.
• Los datos históricos permanecen en Defender hasta que las directivas de retención los quiten.

Al desconectar un dispositivo de Defender para punto de conexión:

• Detenciones de telemetría: no se envían nuevas detecciones, vulnerabilidades o datos de seguridad al portal de Microsoft Defender.
• Cambios en el estado del dispositivo: siete días después de la retirada, el estado del dispositivo cambia a "inactivo".
• Retención de datos: los datos pasados (alertas, vulnerabilidades, escala de tiempo del dispositivo) permanecen en el portal de Defender hasta que expira el período de retención configurado.
• Visibilidad del dispositivo: el perfil del dispositivo (sin datos) permanece visible en el inventario de dispositivos durante un máximo de 180 días.
• Puntuación de exposición: los dispositivos inactivos durante más de 30 días no tienen en cuenta la puntuación de exposición de su organización.

Para obtener más información, consulte los temas siguientes en la documentación de Microsoft Defender para punto de conexión:

• Dispositivos fuera del panel con herramientas de mobile Administración de dispositivos
• Dispositivos fuera del panel

Contenido relacionado

Después de incorporar dispositivos con directivas EDR, considere la posibilidad de implementar controles de seguridad de punto de conexión adicionales:

• Reglas de la reducción de la superficie expuesta a ataques
• Directivas antimalware
• Directivas de firewall
• Directivas de cumplimiento de dispositivos