Ir al contenido principal

Monitor de Antivirus

Get alerted when antivirus protection on a Windows workstation is disabled, running stale definitions, or has real-time protection turned off. Reads Windows Security Center, so it works with most AV products.

Introducción

Un antivirus instalado pero desactivado es peor que no tener ninguno, porque todos asumen que el dispositivo está protegido. El Monitor de Antivirus detecta esa brecha. Vigila el estado de protección de cada dispositivo y genera alertas en aproximadamente un minuto si el antivirus se desactiva, las definiciones quedan desactualizadas o la protección en tiempo real se apaga.

No hay nada que configurar. Agrégalo a una política y comenzará a vigilar.

Monitor de Antivirus

El Monitor de Antivirus lee el estado del Centro de seguridad de Windows del dispositivo. No está vinculado a ningún producto específico: informa la evaluación de estado del Centro de seguridad del antivirus que esté registrado, ya sea Microsoft Defender o un producto de terceros (SentinelOne, Bitdefender, Webroot, entre otros). Lo que ves en la alerta refleja lo que verías en la aplicación Seguridad de Windows del dispositivo.

El Centro de seguridad reporta uno de cinco estados. El monitor genera alertas para cualquier estado que no sea Correcto:

Estado

¿Genera alertas?

Significado

Correcto

No

El antivirus está presente, habilitado y actualizado

Deficiente

El antivirus está registrado pero en mal estado (desactivado o con definiciones desactualizadas)

Sin supervisión

El Centro de seguridad no está supervisando el antivirus

En pausa

Las alertas del antivirus están en pausa en Seguridad de Windows

Desconocido

Ningún antivirus está registrado en el Centro de seguridad, o no se pudo determinar el estado

El contenido de la alerta muestra Antivirus status: <state>, por lo que la propia alerta indica qué estado la activó.

Antivirus Monitor

🖥️ NOTA DE PLATAFORMA:

  • Windows: Solo estaciones de trabajo (Windows 10/11). El Centro de seguridad no existe en Windows Server, por lo que el monitor no puede evaluar servidores. No generará una falsa alerta de «sin antivirus» en un servidor; simplemente no reportará ningún estado.

  • macOS: No compatible.

  • Linux: No compatible.

ℹ️ NOTA: El monitor refleja el antivirus que esté registrado en el Centro de seguridad. Si un producto de terceros se ejecuta sin registrarse (algunos agentes EDR empresariales hacen esto), el estado aparece como Desconocido y el monitor genera una alerta, aunque ese antivirus esté técnicamente en ejecución. Registra el producto en el Centro de seguridad o excluye esos dispositivos de la política.

Configuración del Monitor de Antivirus

Abre la política de monitor a la que deseas agregar este monitor y luego haz clic en + Agregar nuevo monitor (o abre un Monitor de Antivirus existente para editarlo). El Editar monitor el panel se abre a la derecha.

Antivirus Monitor

Nombre y tipo

  1. Introduce un nombre en el Nombre campo. Sé específico. «Estaciones de trabajo - Estado del AV» es más claro en una lista de alertas que «Monitor de Antivirus».

  2. Establece Tipo a Antivirus. El menú desplegable lo etiqueta como Solo Windows.

Gravedad

Establece Gravedad según cómo debería responder tu equipo:

  • Información — baja prioridad, solo informativo

  • Advertencia — merece atención, pero no es urgente

  • Crítico — requiere respuesta inmediata

  • Emergencia — prioridad máxima

💡 CONSEJO: Crítico es un valor predeterminado razonable aquí. Un dispositivo sin antivirus funcional representa una exposición activa, no un elemento de mantenimiento.

Condiciones de detección

No hay umbral, duración de incumplimiento ni condición que configurar. El agente verifica el estado del Centro de seguridad aproximadamente una vez por minuto y crea una alerta en la primera lectura que no sea Correcto (consulta la tabla de estados más arriba).

ℹ️ NOTA: El estado del Centro de seguridad puede reflejar la realidad con un ligero retraso. Si el antivirus se desactiva o las definiciones quedan desactualizadas, puede pasar un momento antes de que el Centro de seguridad lo refleje y el monitor lo detecte.

Resolución automática

Resolver alerta automáticamente cuando las condiciones se corrijan cierra la alerta automáticamente una vez que el Centro de seguridad reporta Correcto de nuevo, por ejemplo, después de que las definiciones se actualicen o se reactive la protección en tiempo real.

Déjalo activado a menos que quieras que cada interrupción del antivirus quede abierta para revisión manual.

Remediación

Adjunta una o más automatizaciones para ejecutar cuando este monitor se active. Un patrón habitual: reinstalar o reparar el agente del antivirus, forzar una actualización de definiciones o reactivar la protección en tiempo real mediante un script.

  1. Haz clic en el Remediación campo y selecciona una automatización.

  2. Para agregar más, haz clic en + Agregar otra remediación.

  3. Para eliminar uno, haz clic en × junto a él.

Una vez adjunto, abre la automatización desde el ícono de enlace para asignar el contenido del monitor a una variable de automatización si deseas pasar el contexto de la alerta a la lógica de la automatización.

💡 CONSEJO: Si un dispositivo legítimamente no debería ejecutar tu antivirus estándar (una máquina de laboratorio, un equipo de pruebas aislado), exclúyelo de las etiquetas de destino de la política en lugar de ignorar alertas repetidas.

Notificaciones

En Notificar a los destinatarios, dos casillas de verificación controlan si los destinatarios de la política reciben un correo electrónico:

  • Al crear la alerta — los destinatarios reciben un correo electrónico cuando se activa la alerta

  • Al resolver la alerta — los destinatarios reciben un correo electrónico cuando se resuelve la alerta

Los destinatarios se administran a nivel de política de monitor, en la Destinatarios sección.

Preguntas frecuentes

  • ¿Quién puede crear y editar monitores? Los técnicos con acceso a la política de monitor correspondiente. La configuración de permisos se administra en Espacio de trabajo → Permisos.

  • ¿Funcionará esto con mi antivirus de terceros, o solo con Defender? Funciona con cualquier antivirus que se registre en el Centro de seguridad de Windows, lo que incluye la mayoría de los productos comerciales. Lee la evaluación de estado del Centro de seguridad, no busca un producto específico.

  • ¿Por qué este monitor no se activa en mi Windows Server? El Centro de seguridad no existe en Windows Server, por lo que el monitor no puede evaluarlo. Solo se aplica a estaciones de trabajo Windows. Tampoco generará falsas alertas en servidores.

  • ¿Puedo supervisar el antivirus en macOS o Linux? No con este monitor. Para otras plataformas, utiliza un Monitor de Ejecución de Script que verifique el estado de tu agente antivirus directamente.

  • ¿Qué activa exactamente la alerta? Cualquier estado del Centro de seguridad que no sea Correcto: Deficiente (desactivado o definiciones desactualizadas), Sin supervisión, En pausa o Desconocido. El contenido de la alerta indica cuál de ellos se produjo.

  • Mi EDR está en ejecución, pero el monitor indica «Estado del antivirus: Desconocido». ¿Por qué? El producto no está registrado en el Centro de seguridad, por lo que Windows no puede responder por él. Verifica si tu EDR tiene una opción de registro en el Centro de seguridad, o excluye esos dispositivos de la política si confías en tu cobertura.

  • La alerta se activó, pero el antivirus parece estar bien en el dispositivo. ¿Qué ocurre? El estado del Centro de seguridad puede tardar un momento en actualizarse tras una actualización o reinicio de un producto antivirus. Si la alerta no se resuelve automáticamente en unos minutos, abre Seguridad de Windows → Virus & protección contra amenazas en el dispositivo para ver qué está reportando realmente el Centro de seguridad.

Artículos relacionados
Primeros pasos con los monitores
Monitor de proceso
Monitor de Longitud de Cola de Disco
Monitor de usuario
Monitor de estado SMART del disco
¿Ha quedado contestada tu pregunta?