Novedades de Microsoft Defender for Identity
Este artículo se actualiza con frecuencia para informarle de las novedades de la última versión de Microsoft Defender for Identity.
Importante
Los clientes que usan el portal clásico de Defender for Identity ahora se redirigen automáticamente a Microsoft Defender XDR, sin opción para volver al portal clásico.
Para obtener más información, consulte nuestra entrada de blog y Microsoft Defender for Identity en Microsoft Defender XDR.
Recibir notificaciones sobre actualizaciones
Reciba una notificación cuando se actualice esta página. Para ello, copie y pegue la siguiente dirección URL en su lector de fuentes: https://aka.ms/mdi/rss
Novedades del ámbito y las referencias
Las versiones de Defender for Identity se implementan gradualmente en los inquilinos del cliente. Si hay una característica documentada aquí que aún no ve en el inquilino, vuelva a comprobarla más adelante para la actualización.
Para obtener más información, vea también:
- Novedades de Microsoft Defender XDR
- Novedades de Microsoft Defender para punto de conexión
- Novedades de Microsoft Defender for Cloud Apps
Para obtener actualizaciones sobre las versiones y características publicadas hace seis meses o versiones anteriores, consulte el archivo Novedades de Microsoft Defender for Identity.
Abril de 2024
Detectar fácilmente la vulnerabilidad de eludir la función de seguridad de Kerberos de Windows CVE-2024-21427
Para ayudar a los clientes a identificar y detectar mejor los intentos de eludir los protocolos de seguridad según esta vulnerabilidad, hemos agregado una nueva actividad dentro de la búsqueda avanzada que supervisa la autenticación de AS de Kerberos.
Con estos datos, ahora los clientes pueden crear fácilmente sus propias reglas de detección personalizadas en Microsoft Defender XDR y desencadenar automáticamente alertas para este tipo de actividad.
Acceda al portal de Defender XDR -> Búsqueda -> Búsqueda avanzada.
Ahora, puede copiar nuestra consulta recomendada como se proporciona a continuación y hacer clic en "Crear regla de detección". Tenga en cuenta que la consulta que proporcionamos también realiza un seguimiento de los intentos de inicio de sesión erróneos, que pueden generar información no relacionada con un posible ataque. Por lo tanto, no dude en personalizar la consulta para adaptarla a sus requisitos específicos.
IdentityLogonEvents
| where Application == "Active Directory"
| where Protocol == "Kerberos"
| where LogonType in("Resource access", "Failed logon")
| extend Error = AdditionalFields["Error"]
| extend KerberosType = AdditionalFields['KerberosType']
| where KerberosType == "KerberosAs"
| extend Spns = AdditionalFields["Spns"]
| extend DestinationDC = AdditionalFields["TO.DEVICE"]
| where Spns !contains "krbtgt" and Spns !contains "kadmin"
| project Timestamp, ActionType, LogonType, AccountUpn, AccountSid, IPAddress, DeviceName, KerberosType, Spns, Error, DestinationDC, DestinationIPAddress, ReportId
Defender for Identity, versión 2.234
Esta versión incluye mejoras y correcciones de errores para los servicios en la nube y el sensor de Defender for Identity.
Defender for Identity, versión 2.233
Esta versión incluye mejoras y correcciones de errores para los servicios en la nube y el sensor de Defender for Identity.
Marzo de 2024
Nuevos permisos de solo lectura para ver la configuración de Defender for Identity
Ahora puede configurar usuarios de Defender for Identity con permisos de solo lectura para ver la configuración de Defender for Identity.
Para obtener más información, consulte Permisos requeridos de Defender for Identity en Microsoft Defender XDR.
Nueva API basada en Graph para ver y administrar problemas de mantenimiento
Ahora puede ver y administrar problemas de mantenimiento de Microsoft Defender for Identity a través de la API de Graph.
Para obtener más información, consulte Administración de problemas de mantenimiento con la API de Graph.
Defender for Identity, versión 2.232
Esta versión incluye mejoras y correcciones de errores para los servicios en la nube y el sensor de Defender for Identity.
Defender for Identity, versión 2.231
Esta versión incluye mejoras y correcciones de errores para los servicios en la nube y el sensor de Defender for Identity.
Febrero de 2024
Defender for Identity, versión 2.230
Esta versión incluye mejoras y correcciones de errores para los servicios en la nube y el sensor de Defender for Identity.
Nueva evaluación de la posición de seguridad para la configuración no segura de puntos de conexión de IIS de AD CS
Defender for Identity ha agregado la nueva recomendación Editar puntos de conexión de IIS de inscripción de certificados de ADCS no seguros (ESC8) en Puntuación de seguridad de Microsoft.
Active Directory Certificate Services (AD CS) admite la inscripción de certificados a través de varios métodos y protocolos, incluida la inscripción a través de HTTP mediante el Servicio de inscripción de certificados (CES) o la Interfaz de inscripción web (Certsrv). Las configuraciones no seguras de los puntos de conexión de CES o Certsrv IIS podrían crear vulnerabilidades para retransmitir ataques (ESC8).
La nueva recomendación Editar puntos de conexión de IIS de inscripción de certificados de ADCS no seguros (ESC8) se agrega a otras recomendaciones relacionadas con AD CS publicadas recientemente. En conjunto, estas evaluaciones ofrecen informes sobre la posición de seguridad que sacan a la luz los problemas de seguridad y los errores graves de configuración que suponen un riesgo para toda la organización, junto con las detecciones relacionadas.
Para más información, vea:
- Evaluación de seguridad: Editar puntos de conexión de IIS de inscripción de certificados de ADCS no seguros (ESC8)
- Evaluaciones de posición de seguridad para sensores de AD CS
- Evaluaciones de la posición de seguridad de Microsoft Defender for Identity
Defender for Identity, versión 2.229
Esta versión incluye mejoras y correcciones de errores para los servicios en la nube y el sensor de Defender for Identity.
Experiencia de usuario mejorada para ajustar los umbrales de alerta (versión preliminar)
La página Configuración avanzada de Defender for Identity ha cambiado de nombre a Ajustar umbrales de alerta y ofrece una experiencia renovada con más flexibilidad para ajustar los umbrales de alerta.
Los cambios incluyen:
Hemos eliminado la opción anterior Quitar período de aprendizaje y hemos añadido una nueva opción llamada Modo de prueba recomendado. Seleccione Modo de prueba recomendado para establecer todos los niveles de umbral en Bajo, lo que aumentará el número de alertas y establecerá todos los demás niveles de umbral en solo lectura.
La columna anterior Nivel de confidencialidad pasa a llamarse Nivel de umbral, con valores recién definidos. De forma predeterminada, todas las alertas se establecen en un umbral Alto, que representa el comportamiento predeterminado y una configuración de alerta estándar.
En la tabla siguiente se muestra la asignación entre los valores de Nivel de confidencialidad anteriores y los nuevos valores de Nivel de umbral:
| Nivel de confidencialidad (nombre anterior) | Nivel de umbral (nombre nuevo) |
|---|---|
| Normal | Alta |
| Mediano | Mediano |
| Alta | Baja |
Si tenía valores específicos definidos en la página Configuración avanzada, los hemos transferido a la nueva página Ajustar umbrales de alerta de la siguiente manera:
| Configuración de la página Configuración avanzada | Configuración de la nueva página Ajustar umbrales de alerta |
|---|---|
| Quitar período de aprendizaje activado. | Modo de prueba recomendado desactivado. Las opciones de configuración del umbral de alerta siguen siendo las mismas. |
| Quitar período de aprendizaje desactivado. | Modo de prueba recomendado desactivado. Las opciones de configuración del umbral de alerta se restablecen a sus valores predeterminados, con un nivel de umbral Alto. |
Las alertas siempre se desencadenan inmediatamente si se selecciona la opción Modo de prueba recomendado o si se establece un nivel de umbral en Medio o Bajo, independientemente de si el período de aprendizaje de la alerta ya se ha completado.
Para obtener más información, consulte Ajuste de los umbrales de alerta.
Las páginas de detalles del dispositivo ahora incluyen descripciones del dispositivo (versión preliminar)
Microsoft Defender XDR ahora incluye descripciones de dispositivos en los paneles y páginas de detalles del dispositivo. Las descripciones se rellenan desde el atributo Description de Active Directory del dispositivo.
Por ejemplo, en el panel lateral detalles del dispositivo:
Para obtener más información, consulte Pasos de investigación para dispositivos sospechosos.
Defender for Identity, versión 2.228
Esta versión incluye mejoras y correcciones de errores para los servicios en la nube y el sensor de Defender for Identity, así como las siguientes alertas nuevas:
- Reconocimiento de enumeración de cuentas (LDAP) (ID externo 2437) (Versión preliminar)
- Cambio de contraseña del modo de restauración de Directory Services (ID externo 2438) (Versión preliminar)
Enero de 2024
Defender for Identity, versión 2.227
Esta versión incluye mejoras y correcciones de errores para los servicios en la nube y el sensor de Defender for Identity.
Pestaña Escala de tiempo añadida para entidades de grupo
Ahora puede ver las actividades y alertas relacionadas con la entidad del grupo de Active Directory de los últimos 180 días en Microsoft Defender XDR, como los cambios de pertenencia a grupos, las consultas LDAP, etc.
Para acceder a la página de escala de tiempo del grupo, seleccione Abrir escala de tiempo en el panel de detalles del grupo.
Por ejemplo:
Para obtener más información, consulte Pasos de investigación para grupos sospechosos.
Configuración y validación del entorno de Defender for Identity mediante PowerShell
Defender for Identity ahora admite el nuevo módulo de PowerShell DefenderForIdentity, que está diseñado para ayudarle a configurar y validar el entorno para trabajar con Microsoft Defender for Identity.
Use los comandos de PowerShell para evitar configuraciones incorrectas, ahorrar tiempo y evitar la carga innecesaria en el sistema.
Hemos añadido los procedimientos siguientes a la documentación de Defender for Identity para ayudarle a usar los nuevos comandos de PowerShell:
- Cambio de la configuración del proxy mediante PowerShell
- Configuración, obtención y prueba de directivas de auditoría mediante PowerShell
- Generación de un informe con las configuraciones actuales mediante PowerShell
- Prueba de los permisos y delegaciones de DSA a través de PowerShell
- Prueba de la conectividad del servicio mediante PowerShell
Para más información, vea:
- Módulo de PowerShell DefenderForIdentity (Galería de PowerShell)
- Documentación de referencia de PowerShell de DefenderForIdentity
Defender for Identity, versión 2.226
Esta versión incluye mejoras y correcciones de errores para los servicios en la nube y el sensor de Defender for Identity.
Defender for Identity, versión 2.225
Esta versión incluye mejoras y correcciones de errores para los servicios en la nube y el sensor de Defender for Identity.
Diciembre de 2023
Nota:
Si ve un número reducido de alertas de intentos de ejecución de código remoto, consulte nuestros anuncios de septiembre actualizados, que incluyen una actualización de la lógica de detección de Defender for Identity. Defender for Identity sigue registrando las actividades de ejecución remota de código como antes.
Nueva área de Identidades y panel en Microsoft 365 Defender (versión preliminar)
Los clientes de Defender for Identity ahora tienen una nueva área de Identidades en Microsoft 365 Defender para obtener información sobre la seguridad de identidad con Defender for Identity.
En Microsoft 365 Defender, seleccione Identidades para ver cualquiera de las páginas nuevas siguientes:
Panel: en esta página se muestran gráficos y widgets para ayudarle a supervisar las actividades de detección y respuesta antes amenazas de identidad. Por ejemplo:
Para obtener más información, consulte Trabajo con el panel de ITDR de Defender for Identity.
Problemas de estado: esta página se ha movido del área Configuración > Identidades y enumera los problemas de estado actuales de la implementación general de Defender for Identity y sensores específicos. Consulte Problemas de estado del sensor de Microsoft Defender for Identity para obtener más información.
Herramientas: esta página contiene vínculos a información útil y recursos al trabajar con Defender for Identity. En esta página encontrará vínculos a documentación, específicamente en la herramienta de planeamiento de capacidad y el script Test-MdiReadiness.ps1.
Defender for Identity, versión 2.224
Esta versión incluye mejoras y correcciones de errores para los servicios en la nube y el sensor de Defender for Identity.
Evaluaciones de posición de seguridad para sensores de AD CS (versión preliminar)
Las evaluaciones de la posición de seguridad de Defender for Identity detectan y recomiendan acciones de forma proactiva en las configuraciones locales de Active Directory.
Las acciones recomendadas ahora incluyen las siguientes evaluaciones de posición de seguridad nuevas, específicamente para las plantillas de certificado y las entidades de certificación.
Acciones recomendadas de plantillas de certificado:
- Impedir que los usuarios soliciten un certificado válido para usuarios arbitrarios basándose en la plantilla de certificado (ESC1)
- Editar una plantilla de certificado excesivamente permisiva con EKU con privilegios (cualquier EKU de propósito o sin EKU) (ESC2)
- Plantilla de certificado del agente de inscripción mal configurada (ESC3)
- Editar plantillas de certificado mal configuradas ACL (ESC4)
- Editar el propietario de plantillas de certificado mal configuradas (ESC4)
Acciones recomendadas por la entidad de certificación:
Las nuevas evaluaciones están disponibles en Microsoft Secure Score, y sacan a la luz, junto con las detecciones, los problemas de seguridad y los errores graves de configuración que suponen un riesgo para toda la organización. La puntuación se actualiza según corresponda.
Por ejemplo:
Para obtener más información, consulte Evaluaciones de la posición de seguridad de Microsoft Defender for Identity.
Nota:
Aunque las evaluaciones de plantillas de certificado están disponibles para todos los clientes que tienen AD CS instalado en su entorno, las evaluaciones de la entidad de certificación solo están disponibles para los clientes que han instalado un sensor en un servidor de AD CS. Para obtener más información, consulte Nuevo tipo de sensor para Active Directory Certificate Services (AD CS).
Defender for Identity, versión 2.223
Esta versión incluye mejoras y correcciones de errores para los servicios en la nube y el sensor de Defender for Identity.
Defender for Identity, versión 2.222
Esta versión incluye mejoras y correcciones de errores para los servicios en la nube y el sensor de Defender for Identity.
Defender for Identity, versión 2.221
Esta versión incluye mejoras y correcciones de errores para los servicios en la nube y el sensor de Defender for Identity.
noviembre de 2023
Defender for Identity, versión 2.220
Esta versión incluye mejoras y correcciones de errores para los servicios en la nube y el sensor de Defender for Identity.
Defender for Identity, versión 2.219
Esta versión incluye mejoras y correcciones de errores para los servicios en la nube y el sensor de Defender for Identity.
La escala de tiempo de identidad incluye más de 30 días de datos (versión preliminar)
Defender for Identity implementa gradualmente las retenciones de datos extendidas en los detalles de identidad en más de 30 días.
La pestaña Escala de tiempo de la página de detalles de identidad, que incluye actividades de Defender for Identity, Microsoft Defender for Cloud Apps y Microsoft Defender para punto de conexión, incluye actualmente un mínimo de 150 días y está creciendo. Puede haber alguna variación en las tasas de retención de datos en las próximas semanas.
Para ver las actividades y las alertas en la escala de tiempo de identidad dentro de un período de tiempo específico, seleccione el valor predeterminado 30 Días y, a continuación, seleccione Intervalo personalizado. Los datos filtrados de hace más de 30 días se muestran durante un máximo de siete días cada vez.
Por ejemplo:
Para obtener más información, consulte Investigar recursos e Investigar usuarios en Microsoft Defender XDR.
Defender for Identity, versión 2.218
Esta versión incluye mejoras y correcciones de errores para los servicios en la nube y el sensor de Defender for Identity.
Octubre de 2023
Defender for Identity, versión 2.217
Esta versión incluye las siguientes mejoras:
Informe de resumen: el informe de resumen se actualiza para incluir dos nuevas columnas en la pestaña Problemas de estado:
- Detalles: información adicional sobre el problema, como una lista de objetos afectados o sensores específicos en los que se produce el problema.
- Recomendaciones: una lista de las acciones recomendadas que se pueden realizar para resolver el problema o cómo investigar el problema más adelante.
Para obtener más información, vea Descargar y programar informes de Defender for Identity en Microsoft Defender XDR (versión preliminar).
Problemas de mantenimiento: se ha agregado el botón de alternancia "Quitar período de aprendizaje" automáticamente para este problema de mantenimiento de inquilino.
Esta versión también incluye correcciones de errores para los servicios en la nube y el sensor de Defender for Identity.
Defender for Identity, versión 2.216
Esta versión incluye mejoras y correcciones de errores para los servicios en la nube y el sensor de Defender for Identity.
Septiembre de 2023
Número reducido de alertas para intentos de ejecución remota de código
Para alinear mejor las alertas de Defender for Identity y Microsoft Defender para punto de conexión, hemos actualizado la lógica de detección de las detecciones de intentos de ejecución remota de código de Defender for Identity.
Aunque este cambio produce un número reducido de alertas de intentos de ejecución de código remoto, Defender for Identity continúa registrando las actividades de ejecución remota de código. Los clientes pueden seguir creando sus propias consultas de búsqueda avanzadas y crear directivas de detección personalizadas.
Configuración de confidencialidad de alertas y mejoras del período de aprendizaje
Algunas alertas de Defender for Identity esperan un período de aprendizaje antes de que se desencadenen las alertas, al crear un perfil de patrones que se usarán al distinguir entre actividades legítimas y sospechosas.
Defender for Identity ahora proporciona las siguientes mejoras para la experiencia del período de aprendizaje:
Los administradores pueden utilizar ahora el ajuste Quitar periodo de aprendizaje para configurar la sensibilidad utilizada para alertas específicas. Defina la sensibilidad como Normal para configurar el valor Quitar período de aprendizaje como Desactivado para el tipo de alerta seleccionado.
Después de implementar un nuevo sensor en una nueva área de trabajo de Defender for Identity, la opción Quitar período de aprendizaje se activa automáticamente durante 30 días. Transcurridos los 30 días, la configuración Eliminar período de aprendizaje se desactiva automáticamente y los niveles de sensibilidad de alerta vuelven a su funcionalidad predeterminada.
Para que Defender for Identity use la funcionalidad del período de aprendizaje estándar, donde las alertas no se generan hasta que se realice el período de aprendizaje, configure la opción Quitar períodos de aprendizaje en Desactivado.
Si ha actualizado previamente la configuración Quitar período de aprendizaje, la configuración permanece como lo ha configurado.
Para obtener más información, consulte la Configuración avanzada.
Nota:
La página Configuración avanzada aparece originalmente en la alerta de reconocimiento de enumeración de cuentas en las opciones Quitar período de aprendizaje como configurables para la configuración de confidencialidad. Esta alerta se quitó de la lista y se reemplaza por la alerta de reconocimiento de la entidad de seguridad (LDAP). Este error de interfaz de usuario se corrigió en noviembre de 2023.
Defender for Identity, versión 2.215
Esta versión incluye mejoras y correcciones de errores para los servicios en la nube y el sensor de Defender for Identity.
Los informes de Defender for Identity se mueven al área de informes principal
Ahora puede acceder a los informes de Defender for Identity desde el área informes principales de Microsoft Defender XDR en lugar del área de Configuración. Por ejemplo:
Para obtener más información, vea Descargar y programar informes de Defender for Identity en Microsoft Defender XDR (versión preliminar).
Botón Ir a la búsqueda de grupos en Microsoft Defender XDR
Defender for Identity añadió el botón Ir a la búsqueda para grupos de Microsoft Defender XDR. Los usuarios pueden usar el botón Ir a la búsqueda para consultar las actividades y alertas relacionadas con grupos durante una investigación.
Por ejemplo:
Para obtener más información, consulte Búsqueda rápida de información de entidades o eventos con Ir a la búsqueda.
Defender for Identity, versión 2.214
Esta versión incluye mejoras y correcciones de errores para los servicios en la nube y el sensor de Defender for Identity.
Mejoras de rendimiento
Defender for Identity ha realizado mejoras internas de latencia, estabilidad y rendimiento al transferir eventos en tiempo real desde los servicios de Defender for Identity a Microsoft Defender XDR. Los clientes no deben esperar retrasos en los datos de Defender for Identity que aparecen en Microsoft Defender XDR, como alertas o actividades para la búsqueda avanzada.
Para más información, vea:
- Alertas de seguridad en Microsoft Defender for Identity
- Evaluaciones de la posición de seguridad de Microsoft Defender for Identity
- Búsqueda proactiva de amenazas con búsqueda avanzada en Microsoft 365 Defender
Agosto de 2023
Defender for Identity, versión 2.213
Esta versión incluye mejoras y correcciones de errores para los servicios en la nube y el sensor de Defender for Identity.
Defender for Identity, versión 2.212
Esta versión incluye mejoras y correcciones de errores para los servicios en la nube y el sensor de Defender for Identity.
Defender for Identity, versión 2.211
Esta versión incluye mejoras y correcciones de errores para los servicios en la nube y el sensor de Defender for Identity.
Nuevo tipo de sensor para Servicios de certificados de Active Directory (AD CS)
Defender for Identity ahora admite el nuevo tipo de sensor ADCS para un servidor dedicado con Servicios de certificados de Active Directory (AD CS) configurado.
Verá el nuevo tipo de sensor identificado en la página Configuración > Identidades > Sensores de Microsoft Defender XDR. Para obtener más información, consulte Administración y actualización de sensores de Microsoft Defender for Identity.
Junto con el nuevo tipo de sensor, Defender for Identity también proporciona alertas de AD CS relacionadas e informes de puntuación segura. Para ver las nuevas alertas y los informes de puntuación de seguridad, asegúrese de que los eventos necesarios se recopilan e inician sesión en el servidor. Para obtener más información, consulte Configuración de la auditoría para eventos de Active Directory Certificate Services (AD CS).
AD CS es una función de Windows Server que emite y gestiona certificados de infraestructura de clave pública (PKI) en protocolos seguros de comunicación y autenticación. Para obtener más información, consulte ¿Qué son los servicios de certificación de Active Directory?
Defender for Identity, versión 2.210
Esta versión incluye mejoras y correcciones de errores para los servicios en la nube y el sensor de Defender for Identity.
Pasos siguientes
Comentarios
Próximamente: A lo largo de 2024 iremos eliminando gradualmente GitHub Issues como mecanismo de comentarios sobre el contenido y lo sustituiremos por un nuevo sistema de comentarios. Para más información, vea: https://aka.ms/ContentUserFeedback.
Enviar y ver comentarios de