Arquitectura de Microsoft Defender for Identity
Microsoft Defender for Identity supervisa los controladores de dominio mediante la captura y el análisis del tráfico de red y el aprovechamiento de los eventos de Windows directamente desde los controladores de dominio, y analiza los datos de amenazas y ataques. Con la generación de perfiles, la detección determinista, el aprendizaje automático y los algoritmos de comportamiento, Defender for Identity obtiene información sobre la red, permite la detección de anomalías y le avisa de las actividades sospechosas.
Arquitectura de Defender for Identity:
En esta sección se describe cómo funciona el flujo de captura de eventos y red de Defender for Identity, y se explora en profundidad para describir las funciones de los componentes principales: el portal de Defender for Identity, el sensor de Defender for Identity y el servicio en la nube de Defender for Identity.
Instalado directamente en el controlador de dominio o en los servidores de AD FS, el sensor de Defender for Identity accede a los registros de eventos que necesita directamente desde los servidores. Después de que el sensor haya analizado estos registros y el tráfico de red, Defender for Identity envía solo esta información analizada al servicio en la nube de Defender for Identity (solo se envía un porcentaje de los registros).
Componentes de Defender for Identity
Defender for Identity consta de los siguientes componentes:
Portal de Defender for Identity
El portal de Defender for Identity permite crear una instancia de Defender for Identity, muestra los datos recibidos de los sensores de Defender for Identity y permite supervisar, administrar e investigar las amenazas en el entorno de red.Sensor de Defender for Identity
Los sensores de Defender for Identity se pueden instalar directamente en los siguientes servidores:- Controladores de dominio: El sensor supervisa directamente el tráfico del controlador de dominio, sin que sea necesario usar un servidor dedicado ni la configuración de una creación de reflejo del puerto.
- AD FS: el sensor supervisa directamente los eventos de autenticación y el tráfico de red.
Servicio en la nube de Defender for Identity
El servicio en la nube de Defender for Identity se ejecuta en la infraestructura de Azure y actualmente está implementado en Estados Unidos, Europa y Asia. El servicio en la nube de Defender for Identity está conectado a Microsoft Intelligent Security Graph.
Portal de Defender for Identity
Use el portal de Defender for Identity para:
- Creación de una instancia de Defender for Identity
- Integrar con otros servicios de seguridad de Microsoft
- Administrar la configuración del sensor de Defender for Identity
- Visualizar los datos recibidos de los sensores de Defender for Identity
- Supervisar las actividades sospechosas detectadas y los ataques sospechosos basados en el modelo de cadena de interrupción de ataque
- Opcional: el portal también puede configurarse para que envíe correos electrónicos y eventos cuando se detecten problemas de mantenimiento o alertas de seguridad.
Nota
Si no hay ningún sensor instalado en la instancia de Defender for Identity al cabo de 60 días, se podría eliminar y tendría que volver a crearla.
Sensor de Defender for Identity
El sensor de Defender for Identity tiene esta función principal:
- Capturar e inspeccionar el tráfico de red del controlador de dominio (tráfico local del controlador de dominio).
- Recibir eventos de Windows directamente desde los controladores de dominio.
- Recibir información de cuentas de Radius del proveedor de VPN
- Recuperar datos sobre usuarios y equipos del dominio de Active Directory
- Llevar a cabo tareas de resolución de entidades de red (usuarios, grupos y equipos)
- Transferir datos de interés al servicio en la nube de Defender for Identity
Características de los sensores de Defender for Identity
El sensor de Defender for Identity lee los eventos localmente, sin necesidad de adquirir y mantener ningún hardware o configuración adicional. El sensor de Defender for Identity también admite Seguimiento de eventos para Windows (ETW), que proporciona la información de registro de varias detecciones. Las detecciones basadas en ETW incluyen sospechas de ataques DCShadow que se hayan intentado realizar mediante solicitudes de replicación del controlador de dominio y la promoción de este.
Proceso del sincronizador de dominio
El proceso del sincronizador de dominio es responsable de sincronizar todas las entidades de un dominio de Active Directory específico de forma proactiva (similar al mecanismo que usan los propios controladores de dominio para la replicación). Un sensor se selecciona de forma automática de entre todos los sensores aptos para que actúe como sincronizador de dominio.
Si el sincronizador del dominio está sin conexión durante más de 30 minutos, se seleccionará otro automáticamente.
Limitaciones de recursos
El sensor de Defender for Identity incluye un componente de supervisión que evalúa la capacidad de proceso y memoria disponibles en el controlador de dominio en el que se está ejecutando. El proceso de supervisión se ejecuta cada 10 segundos y actualiza dinámicamente la cuota de uso de CPU y memoria en el proceso del sensor de Defender for Identity. El proceso de supervisión se asegura de que el controlador de dominio siempre tiene al menos el 15% de recursos de proceso y memoria disponibles.
Independientemente de lo que ocurra en el controlador de dominio, el proceso de supervisión libera continuamente recursos para asegurarse de que la función principal del controlador de dominio no se vea nunca afectada.
Si el proceso de supervisión hace que el sensor de Defender for Identity se quede sin recursos, se supervisa únicamente el tráfico parcial y, en la página de estado del portal de Defender for Identity, aparecerá una alerta de estado para indicar que se quitó el tráfico de red reflejado en puerto.
Eventos de Windows
Para mejorar la cobertura de detección de Defender for Identity relativa a las autenticaciones NTLM, las modificaciones de grupos confidenciales y la creación de servicios sospechosos, Defender for Identity necesita analizar los registros de los eventos de Windows enumerados aquí. Estos eventos los leen automáticamente los sensores de Defender for Identity con la configuración de directiva de auditoría avanzada correcta. Para asegurarse de que el evento 8004 de Windows se audita según sea necesario para el servicio, revise la configuración de auditoría NTLM.