Monitorizar endpoints con Microsoft Defender ATP y sacarles todo el partido

En cualquier empresa medianamente conectada a Internet, tener visibilidad real de lo que ocurre en los endpoints ya no es un extra, es pura supervivencia. Portátiles, servidores, móviles, equipos remotos… todos son puertas de entrada potencial para ataques cada vez más sofisticados.

En este escenario entra en juego Microsoft Defender para Endpoint (el antiguo Microsoft Defender ATP), una plataforma que combina antivirus de nueva generación, EDR, gestión de vulnerabilidades y automatización en una única solución. Bien configurada, permite monitorizar el estado de cada dispositivo, reaccionar ante incidentes y conectar esa inteligencia con otras herramientas como SIEM, SOAR o Power Automate.

Qué es Microsoft Defender ATP y por qué es clave para monitorizar endpoints

Microsoft Defender para Endpoint es una plataforma unificada de protección de endpoints en la nube que va mucho más allá del antivirus clásico Windows Defender. Su misión es detectar comportamientos anómalos, bloquear amenazas avanzadas (incluyendo ransomware y ataques de día cero) y ayudar al equipo de seguridad a investigar y remediar incidentes desde una consola central.

La solución protege equipos Windows, servidores, macOS, Linux, Android, iOS e incluso IoT, de modo que la monitorización abarca prácticamente cualquier dispositivo que se conecte a la red corporativa. Además, se integra de forma nativa con el resto del ecosistema Microsoft 365 (Defender for Office 365, Azure AD, Microsoft 365 Defender, etc.).

Entre sus capacidades más importantes para la monitorización destacan: detección y respuesta en endpoints (EDR), análisis forense automatizado y manual, investigación automática de alertas, evaluación continua de vulnerabilidades y un sistema muy potente de consultas avanzadas para hacer hunting sobre los datos históricos.

Todo esto se apoya en la inteligencia de amenazas de Microsoft, que procesa diariamente centenares de millones de señales e indicadores procedentes de su ecosistema global. Esa base de conocimiento se vuelca en los endpoints de tu organización, permitiendo identificar patrones sospechosos que, de otro modo, pasarían desapercibidos durante meses.

Requisitos, sistemas soportados y licenciamiento para empezar a monitorizar

Antes de empezar a desplegar agentes y crear paneles, es fundamental comprobar que cumples los requisitos de Defender para Endpoint y que tus dispositivos están soportados. Esto marca la diferencia entre una monitorización estable y un infierno de falsos positivos e incompatibilidades.

A nivel de suscripción, necesitas licencias de Microsoft Defender for Endpoint (incluidas en planes como Microsoft 365 E5, Windows 10/11 Enterprise E5 o licencias específicas de servidor). Los usuarios con licencia suelen poder proteger hasta cinco dispositivos simultáneamente.

En cuanto a sistemas operativos cliente compatibles para incorporarlos vía Configuration Manager, se admiten, entre otros: Windows 11, Windows 10 (1709 o posterior) y varias versiones de Windows Server (2016, 2019, 2022, 2025 y canal semianual a partir de 1803). También hay soporte para servidores más antiguos y para endpoints no Windows (macOS, Linux, Android, iOS), aunque el método de incorporación puede variar.

Para algunas versiones de servidor, como Windows Server 2016 o 2012 R2, es obligatorio tener instaladas determinadas actualizaciones de la pila de mantenimiento (SSU), la última actualización acumulativa (LCU) y asegurarse de que la característica de antivirus Microsoft Defender está presente y actualizada. Si no cumples estos requisitos previos, el agente de Defender para Endpoint puede no desplegarse correctamente o quedar sin reportar.

Además, la cuenta que use la consola de administración (por ejemplo, en Configuration Manager) debe disponer del rol de seguridad de Endpoint Protection Manager o equivalente, para poder crear y aplicar directivas de incorporación y supervisar estados.

Onboarding de endpoints: cómo incorporar y preparar dispositivos para la monitorización

La monitorización empieza realmente cuando los dispositivos están “onboarded” al servicio, es decir, cuando ejecutan el agente de Defender para Endpoint y se comunican con la nube de Microsoft. El camino concreto depende de la herramienta de gestión que utilices: Configuration Manager, Intune, GPO, scripts, herramientas de despliegue propias, etc.

Una práctica muy común en entornos corporativos es usar Configuration Manager (SCCM) o Microsoft Intune para distribuir el paquete de incorporación. También puedes optar por GPO en dominios on-premises o por scripts manuales para laboratorios y entornos pequeños. La propia herramienta de implementación que uses condiciona el método exacto de onboarding.

Desde el portal de Microsoft Defender (Centro de seguridad de Microsoft Defender), el flujo típico es: elegir sistema operativo, seleccionar método de implementación y descargar el paquete de incorporación correspondiente (normalmente un .zip con scripts o archivos de configuración). Ese paquete se despliega posteriormente con tu herramienta preferida.

Para Windows 10, Windows 11 y servidores modernos, los dispositivos de “nivel superior” solo necesitan el archivo de configuración de incorporación. En Configuration Manager, se crea una directiva de Microsoft Defender ATP, se importa ese archivo de configuración y se implementa sobre las colecciones objetivo. A partir de ahí, el agente empieza a enviar telemetría y el dispositivo aparece en los paneles.

En sistemas como Windows Server 2016 o servidores heredados, puedes elegir entre usar el cliente MDE nativo (recomendado) o el Microsoft Monitoring Agent (MMA), que es la ruta antigua. Si optas por MMA, tendrás que proporcionar la clave e identificador del área de trabajo y Configuration Manager se encargará de instalar y conectar ese agente a Defender para Endpoint.

Incorporación con Configuration Manager: cliente MDE y MMA

Cuando administras un parque amplio con Configuration Manager, es habitual que en una misma colección convivan equipos con sistemas “tier superior” y servidores más antiguos. Defender para Endpoint permite tratar estos escenarios de forma flexible adaptando el método de onboarding según el sistema operativo.

En equipos modernos (Windows 10/11 y servidores 1803+), el enfoque recomendado es usar el cliente MDE. Para ello, en el portal de Microsoft Defender seleccionas Windows 10 y 11 como sistema operativo, eliges “Configuration Manager rama actual” como método, descargas el paquete y utilizas la directiva de ATP en SCCM para distribuir el archivo de configuración. En la sección Endpoint Protection de la configuración de cliente te aseguras de que la opción para Windows Server 2012 R2/2016 esté en “MDE cliente (recomendado)” en lugar de MMA heredado.

Si necesitas seguir usando Microsoft Monitoring Agent para determinados sistemas (como Windows 8.1 o algunos servidores), el portal de Defender te proporcionará, además del archivo de configuración, la clave del área de trabajo y el ID de workspace. Esos valores se copian a la directiva de ATP en Configuration Manager, que instalará y configurará el MMA donde sea necesario, aunque no lo actualizará automáticamente.

En colecciones mixtas, el truco está en combinar el archivo de configuración de MDE con los datos de MMA dentro de la misma política, de modo que los equipos compatibles usen el cliente moderno mientras los sistemas legacy recurren al agente antiguo. Configuration Manager se encarga de aplicar lo que corresponda a cada máquina en función de su sistema operativo.

Una vez creadas las directivas e implementadas sobre las colecciones previstas, los dispositivos incorporados empezarán a aparecer en la consola de Defender y podrás verificar que la telemetría fluye correctamente consultando el panel de estado de incorporación.

Monitorizar el estado de incorporación y del agente

Con los dispositivos ya integrados en el servicio, el siguiente paso lógico es vigilar que todo sigue reportando como debe. Desde la consola de Configuration Manager puedes acceder a Supervisión > Seguridad > Microsoft Defender ATP y revisar un panel muy útil para operaciones diarias.

Este panel muestra, entre otros datos, el estado de incorporación del agente (número y porcentaje de equipos con directiva activa y correctamente onboarded), el estado del propio agente de Defender para Endpoint (porcentaje de clientes que reportan salud) y desgloses por categorías: correctos, inactivos, con problemas de servicio o no incorporados.

Los estados “Inactivo” o “No incorporado” suelen indicar que no se están enviando datos durante un periodo determinado o que la directiva se ha aplicado pero el agente todavía no ha confirmado la incorporación. Esta información te permite detectar rápidamente máquinas desconectadas, con servicios parados o con errores en la instalación.

Además, desde el propio portal de Microsoft 365 Defender puedes filtrar máquinas por estado de salud, nivel de riesgo, última conexión o plataforma, lo que ofrece una visión transversal de todo el entorno sin necesidad de saltar entre varias herramientas.

Actualizar, offboardear y migrar cargas de incorporación

Con el tiempo, es habitual que cambien las cargas de incorporación (por ejemplo, cuando Microsoft lanza una nueva versión de MDE o modificas la configuración de telemetría). En esos casos, puede que tengas que actualizar la información de onboarding en equipos ya incorporados.

El proceso recomendado suele consistir en descargar el nuevo paquete de incorporación (ya sea de Group Policy o de Configuration Manager), actualizar la directiva correspondiente y ejecutar un script puntual que fuerce la migración de la antigua carga a la nueva en todos los dispositivos afectados. Normalmente, el cambio se hará efectivo en el siguiente reinicio del equipo.

Para reducir riesgos, es buena idea crear una colección de validación, excluirla de la colección general de Defender, desplegar primero la nueva carga ahí y verificar que los dispositivos usan el nuevo perfil sin problemas. Después, se extiende al resto del entorno usando el mismo script de aumento.

En el sentido contrario, cuando necesitas retirar equipos del servicio (por ejemplo, en un proyecto de desmantelamiento o migración), el portal de Defender permite generar un archivo de offboarding con caducidad de 30 días. Ese archivo se distribuye mediante una directiva de ATP de tipo Offboarding en Configuration Manager y, al aplicarse, los dispositivos dejan de enviar telemetría y, si procede, se desinstala MMA.

Es importante controlar bien estos flujos porque un offboarding mal aplicado puede dejar endpoints sin monitorización ni protección avanzada, justo lo contrario de lo que buscas.

Cómo monitoriza realmente Defender los endpoints: sensores, inteligencia y nube

Una vez desplegado, Defender para Endpoint se convierte en un sensor permanente en cada dispositivo. Integra componentes en el sistema operativo que recogen eventos de red, creación y modificación de ficheros, procesos, inicios de sesión y un largo etcétera.

Estos sensores envían continuamente telemetría a la nube de Microsoft, donde entra en juego el análisis de Big Data, el aprendizaje automático y la correlación con indicadores de compromiso conocidos (IOC) y técnicas de ataque (MITRE ATT&CK). La inteligencia de amenazas la proporcionan tanto algoritmos como equipos humanos de Microsoft dedicados a investigar nuevos métodos de ataque.

Gracias a este enfoque, la herramienta es capaz de detectar actividad anómala que no encaja con el comportamiento habitual del endpoint: inyecciones de código entre procesos, scripts PowerShell extraños, conexiones a dominios mal reputados, escaladas de privilegios atípicas, etc. Cuando algo así se identifica, se genera una alerta en el portal y, si tienes activadas respuestas automáticas, se pueden iniciar acciones de contención.

Otra ventaja clave es que Defender conserva hasta seis meses de historial sobre el comportamiento de la empresa, lo que facilita muchísimo los . Puedes explorar qué procesos se ejecutaron, qué URL se visitaron o qué ficheros se descargaron antes, durante y después de un incidente.

Portal Microsoft Defender Security Center: paneles para monitorizar y actuar

Todo ese caudal de señales se centraliza en el portal de Microsoft Defender Security Center, el punto de entrada para los equipos de seguridad. Desde ahí se monitorizan endpoints, se gestionan alertas, se lanzan acciones remotas y se consultan análisis avanzados.

Uno de los paneles más utilizados es el panel de Operaciones de seguridad, que ofrece una vista rápida del “pulso” de la red: alertas activas, máquinas y usuarios en riesgo, investigaciones automáticas en curso y eventos sospechosos agrupados. Desde ahí puedes profundizar en cada incidente, ver la cadena de ataque y lanzar acciones de respuesta directamente sobre la máquina afectada.

El panel de análisis de amenazas se centra en amenazas concretas (como ransomware o vulnerabilidades críticas recientes). Muestra el impacto potencial en tu organización, nivel de exposición y recomendaciones de mitigación. También permite seguir de cerca vulnerabilidades de procesador como Spectre o Meltdown y comprobar qué dispositivos están en riesgo.

En la sección de lista de máquinas se controla el inventario de equipos incorporados, con detalles de sistema operativo, exposición, alertas relacionadas y estado de salud. Desde ahí se puede filtrar por etiquetas, grupos RBAC o puntuación de riesgo, lo que facilita priorizar máquinas críticas.

Por último, destaca la búsqueda avanzada basada en consultas (Kusto Query Language, KQL), con la que puedes “cazar” actividad sospechosa en los datos de tu organización: procesos que lanzan cmd.exe de forma inusual, conexiones a dominios específicos, ejecución de scripts, etc. Esta funcionalidad es especialmente útil para equipos de threat hunting y para validar hipótesis tras un incidente.

Investigación automática y respuesta: de la alerta a la remediación

Una de las grandes fortalezas de Defender para Endpoint es que no se limita a lanzar avisos, sino que puede investigar y responder automáticamente a muchas amenazas. La característica de “investigación automática” analiza las alertas, evalúa su contexto y determina si realmente hay un compromiso.

Si la plataforma concluye que se trata de una amenaza real, puede aplicar acciones automáticas de remediación: eliminar archivos maliciosos, revertir cambios de configuración, limpiar claves de registro, marcar artefactos como indicadores bloqueados, etc. Todo ello sin necesidad de intervención humana en los casos más claros.

Esto es clave porque muchas organizaciones sufren una sobrecarga brutal de alertas. Sin automatización, el equipo de TI acaba apagando fuegos manualmente, perdiendo tiempo en falsos positivos. La investigación automática reduce esa carga, permitiendo que los analistas se centren en los casos complejos o en amenazas dirigidas.

Además, puedes complementar esta lógica con otras herramientas Microsoft como Microsoft Intune, Azure AD Conditional Access o Microsoft Cloud App Security, para que el nivel de riesgo de una máquina influya, por ejemplo, en si puede acceder o no a datos sensibles de Office 365.

Monitorizar endpoints no Windows: macOS, Linux, Android e iOS

La monitorización moderna no se limita a PCs y servidores Windows. Microsoft ha extendido Defender para Endpoint a macOS y Linux y dispositivos móviles con Android e iOS, cubriendo así un espectro mucho mayor de la realidad corporativa.

En móviles, la solución ayuda especialmente a controlar ataques de phishing y enlaces maliciosos, que hoy en día llegan tanto por correo como por apps de mensajería, SMS o redes sociales. Defender analiza las URLs y bloquea las que considere peligrosas, registrando el evento en el portal de seguridad para que el SOC pueda revisarlo.

También se encargará de bloquear conexiones de red inseguras que realizan las aplicaciones sin conocimiento del usuario, y permite definir indicadores personalizados para decidir qué dominios o direcciones IP deben ser bloqueados u observados con especial atención.

En macOS y Linux, el agente aporta telemetría equivalente a la que tienes en Windows: procesos, conexiones, ficheros, etc. Esto te permite tener una visión homogénea de la seguridad en toda la flota, independientemente del sistema operativo.

Gestión de vulnerabilidades y superficie de ataque

Una parte muy potente de la plataforma es la administración de amenazas y vulnerabilidades, que adopta un enfoque basado en el riesgo. No solo te dice qué máquinas tienen software desactualizado; también te indica qué vulnerabilidades son más críticas para tu entorno concreto.

El sistema mantiene inventarios en tiempo real de dispositivos y software, detecta nuevas instalaciones, desinstalaciones y parches, y calcula el nivel de exposición de cada endpoint. A partir de ahí, genera recomendaciones concretas: qué actualizar, qué configuración modificar y qué acciones tomar para reducir la superficie de ataque.

También monitoriza continuamente las configuraciones de seguridad: antivirus deshabilitado, firewall apagado, políticas de protección de carpetas, control de aplicaciones, etc. Los problemas aparecen en el panel junto con instrucciones accionables, y pueden desencadenar solicitudes de remediación a través de Intune con un solo clic.

Un detalle interesante es cómo se integra con Azure Information Protection y Defender for Identity: una máquina con documentos etiquetados como sensibles o con indicios de movimiento lateral se considerará de mayor prioridad, incluso aunque comparta las mismas vulnerabilidades que otra.

Todo esto te permite priorizar esfuerzos donde más duele: primero los endpoints con mayor impacto para el negocio y mayor probabilidad de ser explotados.

Integración con Google SecOps (SIEM/SOAR) para monitorizar y orquestar

Muchas organizaciones combinan la telemetría de Defender con plataformas de operaciones de seguridad de terceros. Un ejemplo muy potente es la integración con Google SecOps, que permite llevar las alertas y datos de Microsoft Defender for Endpoint a un entorno SIEM/SOAR más amplio.

Para habilitar esta integración, necesitas crear una aplicación en Microsoft Entra ID (Azure AD), configurar los permisos de API adecuados (WindowsDefenderATP y Microsoft Graph, entre otros), conceder consentimiento de administrador y generar un secreto de cliente. Estos datos (Client ID, Client Secret, ID de directorio) se usan como parámetros de la integración en Google SecOps.

Con la conexión establecida, Google SecOps puede consultar las APIs de Defender para obtener alertas, máquinas, archivos, dominios, eventos, etc. Por ejemplo, es posible lanzar peticiones como GET /api/alerts?$expand=files,ips,domains para recuperar alertas enriquecidas con información de IPs, dominios y ficheros relacionados.

El conector ofrece acciones para enriquecer entidades (host, IP, hash de archivo) con datos de Defender (prevalencia global, fechas de primera/última observación, firmante del archivo, tamaño, tipo, nivel de riesgo de la máquina, etc.), lo que resulta muy útil para investigaciones en cuadernos de estrategias.

Acciones remotas desde SecOps: aislar, escanear, cuarentenar y más

La integración con Google SecOps no se queda en la mera lectura de datos; también permite ejecutar acciones de respuesta sobre los endpoints usando la API de Defender for Endpoint. Esto es especialmente potente cuando lo integras en playbooks automáticos.

Entre las acciones más relevantes para la monitorización y respuesta destacan: aislar una máquina (de forma completa o selectiva, permitiendo solo Outlook, Teams, etc.), desaislarla cuando el incidente se considera resuelto, ejecutar un examen antivirus rápido o completo, detener y poner en cuarentena un archivo según su hash SHA-1, o incluso ejecutar comandos de respuesta activa.

La acción de ejecutar comandos en respuesta activa acepta objetos JSON con el tipo de comando y parámetros, lo que abre la puerta a remediaciones personalizadas mediante scripts o herramientas específicas. La respuesta de la API proporciona un identificador de tarea y un estado (Pending, Succeeded, Failed), que SecOps puede seguir mediante otras acciones como “Obtener estado de la tarea” o “Esperar estado de la tarea”.

También existen acciones para actualizar alertas (cambiar estado a InProgress o Resolved, ajustar clasificación y determinación, asignar a un analista específico) y para gestionar indicadores: enviar entidades (IP, URL, hash de archivo) como indicadores de bloqueo, listar indicadores existentes o eliminar indicadores que ya no sean necesarios.

Este tipo de integraciones convierten a Defender en un motor de ejecución dentro de flujos SOAR, donde una alerta disparada en cualquier parte del ecosistema puede terminar ejecutando acciones concretas sobre los endpoints controlados por MDE.

Conectores, reglas y límites de API para una ingestión eficiente

Para orquestar la ingestión de eventos, tanto Microsoft como Google SecOps ofrecen conectores específicos de Microsoft Defender ATP. El conector clásico se apoya en una API SIEM que Microsoft ha declarado obsoleta, mientras que el conector más reciente (Connector V2) utiliza la API de incidentes de Microsoft 365 Defender, más moderna y rica en contexto.

Estos conectores permiten configurar parámetros como la raíz de la API, el número máximo de alertas por ciclo, la ventana temporal de consulta, los estados y gravedades de alerta a recuperar, así como ajustes de proxy, verificación SSL y expresiones regulares para manipular campos de entorno.

También admiten lógica de listas dinámicas, de forma que puedas filtrar qué tipos de alerta ingieres en función del origen de detección (detectionSource), y mecanismos de desbordamiento para evitar que volúmenes masivos de eventos saturen el sistema. Todo esto se coordina con límites de llamadas por conexión (por ejemplo, 100 llamadas por cada 60 segundos en algunos conectores) para respetar las cuotas de API.

Configurar correctamente estos parámetros es esencial para que la monitorización sea estable, escalable y útil, evitando a la vez ruido innecesario y pérdidas de información relevantes.

Uso de Power Automate, Logic Apps y conectores low-code

Además de integraciones de alto nivel con SIEM/SOAR, Microsoft ofrece un conector oficial de Defender ATP para Power Automate, Power Apps y Azure Logic Apps. Este conector permite construir flujos low-code que reaccionan a eventos de Defender y ejecutan acciones sin necesidad de programar a bajo nivel.

Algunas acciones disponibles son: aislar/”desaislar” máquinas, iniciar escaneos antivirus, restringir o permitir ejecución de aplicaciones, lanzar investigaciones (clásicas o automatizadas), recopilar paquetes de investigación, obtener URIs de descarga de resultados de respuesta activa, crear o actualizar alertas, etiquetar máquinas, consultar estadísticas de archivos, dominios o IPs, etc.

Con estos bloques se pueden montar automatismos muy prácticos, como: cuando se cree una nueva alerta de determinada severidad, enviar un aviso a un canal de Teams, crear una tarea en un sistema de ticketing y, si se cumplen ciertas condiciones, iniciar automáticamente un aislamiento selectivo hasta que un analista revise el caso.

El conector incorpora también desencadenadores, como el disparador cuando se crea una nueva alerta o una actividad de corrección, lo que facilita la construcción de flujos reactivos. Es importante tener en cuenta sus límites de llamadas y cuotas para no sobrepasar las restricciones de la API.

Para organizaciones que no disponen de un SOC muy grande, esta combinación de Defender + Power Automate puede suponer un salto enorme en capacidad de monitorización y respuesta sin necesidad de inversiones complejas en desarrollo.

Buenas prácticas para sacar partido a la monitorización con Defender

Para que todo lo anterior no se quede en teoría, conviene aplicar algunas buenas prácticas de diseño y operación en la monitorización de endpoints con Microsoft Defender ATP.

Una recomendación habitual es implantar un enfoque de despliegue por anillos: empezar con un conjunto reducido de dispositivos de laboratorio, continuar con un anillo piloto en producción (50-100 endpoints representativos) y, solo cuando se compruebe que los criterios de salida se cumplen, extender la implantación al resto del parque en bloques más grandes.

También es clave mantener los sistemas operativos y la plataforma MDE siempre actualizados, revisar periódicamente la puntuación de seguridad (Secure Score) y ajustar las políticas de reducción de superficie de ataque, protección web, control de aplicaciones y acceso controlado a carpetas.

Otra buena práctica es definir roles y responsabilidades claras en el portal (RBAC), evitando que una única cuenta tenga demasiados privilegios y separando funciones entre quienes monitorizan, quienes remedia y quienes administran configuración.

Por último, merece la pena formar al equipo en el uso de la búsqueda avanzada y el hunting proactivo, de manera que no solo reaccionen a las alertas que dispara el sistema, sino que también exploren posibles indicios de compromiso en función de campañas recientes o informes de inteligencia pública.

Con todo este ecosistema bien montado —desde el onboarding de dispositivos, pasando por el análisis continuo en la nube, las integraciones con SIEM/SOAR y los automatismos con Power Automate—, Microsoft Defender para Endpoint permite tener un control muy fino sobre lo que ocurre en cada endpoint, reduciendo tiempos de detección, mejorando la capacidad de respuesta y ayudando a las empresas a dormir bastante más tranquilas frente a las amenazas actuales.