Microsoft Descontinúa las Alertas de Datos Sensibles en Defender for Endpoint
Microsoft ha desactivado completamente las alertas para acciones que involucran datos sensibles en los endpoints en el portal de Microsoft Defender a partir del 23 de marzo de 2026. Las organizaciones que utilizan Defender XDR para monitorear estos eventos deben migrar a Microsoft Purview DLP. Este cambio requiere una revisión inmediata y actualizaciones de las políticas de seguridad.
Cronología del Cierre
El proceso de desactivación comenzó el 16 de febrero de 2026: Microsoft eliminó la capacidad de crear nuevas políticas de alertas en Defender for Endpoint. La cesación completa del soporte ocurrió el 23 de marzo. Ahora, todas las notificaciones, políticas e investigaciones para datos sensibles están disponibles solo a través de Purview DLP.
Componentes afectados:
- Alertas de Defender XDR para el acceso y manipulación de información sensible en dispositivos físicos.
- Configuraciones de monitoreo de prevención de pérdida de datos (DLP) en endpoints.
- Integraciones con flujos de trabajo existentes de SecOps.
Pasos de Migración
Se recomienda a las organizaciones tomar las siguientes acciones sin demora:
- Revisar las políticas actuales en el portal de Microsoft Defender para identificar dependencias en las alertas desactivadas.
- Exportar configuraciones y recrearlas en Microsoft Purview DLP.
- Notificar a los equipos de SecOps y al soporte de Microsoft sobre la transición.
- Actualizar la documentación interna sobre cumplimiento y respuesta a incidentes.
- Probar las nuevas políticas en Purview DLP para una cobertura completa.
Purview DLP ofrece funciones avanzadas: políticas granulares, acciones de corrección automatizadas e integración con el ecosistema de Microsoft 365.
Impactos Técnicos en la Infraestructura
El cierre afecta los flujos de trabajo de detección y respuesta en endpoints (EDR), donde Defender XDR se utilizaba para alertas en tiempo real sobre fugas de PII, PHI o datos financieros. Sin migración, las organizaciones corren el riesgo de perder visibilidad en incidentes de exfiltración de datos.
Diferencias clave entre plataformas:
| Aspecto | Defender (antes del cierre) | Purview DLP |
|--------------------------|---------------------------------|-------------------------|
| Alertas | Centradas en endpoints | Multi-carga de trabajo (endpoint + nube) |
| Políticas | Reglas básicas de DLP | Etiquetas de sensibilidad avanzadas |
| Investigaciones | Alertas XDR | Registros de auditoría unificados + forense |
| Integración | Portal de Defender | Centro de cumplimiento de M365 |
Tras la migración, se habilitan funciones mejoradas, como protección adaptativa y detección basada en machine learning.
Puntos Clave
- Cierre Completo: A partir del 23 de marzo de 2026, las alertas en Defender for endpoints no están disponibles.
- Migración Obligatoria: Recrear políticas en Purview DLP para mantener el cumplimiento.
- Riesgos: Pérdida del monitoreo de datos sensibles sin acción.
- Soporte: Contactar el centro de administración de M365 (MC1217649) para detalles.
- Impacto en SecOps: Actualizar playbooks y notificar a los equipos.
— Editorial Team
Aún no hay comentarios.