Microsoft Defender for Identity preguntas más frecuentes

En este artículo se proporciona una lista de las preguntas y respuestas más frecuentes Microsoft Defender for Identity se dividen en las siguientes categorías:

¿Qué es Defender for Identity?

¿Qué puede detectar Defender for Identity?

Defender for Identity detecta ataques malintencionados y técnicas conocidas, problemas de seguridad y riesgos contra la red. Para obtener la lista completa de detecciones de Defender for Identity, consulte ¿Qué detecciones realiza Defender for Identity?.

¿Qué datos recopila Defender for Identity?

Defender for Identity recopila y almacena información de los servidores configurados (controladores de dominio, servidores miembros, etc.) en una base de datos específica del servicio con fines de administración, seguimiento e informes. La información recopilada incluye tráfico de red hacia y desde los controladores de dominio (por ejemplo, la autenticación Kerberos, la autenticación NTLM, consultas de DNS), registros de seguridad (por ejemplo, eventos de seguridad de Windows), información de Active Directory (estructura, subredes, sitios) y la información de entidades (como nombres, direcciones de correo electrónico y números de teléfono).

Microsoft usa estos datos para:

  • Identificar de manera proactiva los indicadores de ataque (IOA) en la organización
  • Generar alertas si se ha detectado un posible ataque
  • Proporcionar a las operaciones de seguridad una vista a las entidades relacionadas con las señales de amenaza de la red, lo que permite investigar y explorar la presencia de amenazas de seguridad en la red.

Microsoft no extrae sus datos con fines publicitarios o de ningún otro tipo, solo lo hace para proporcionar el servicio.

¿Cuántas credenciales del servicio de directorio admite Defender for Identity?

Defender for Identity admite actualmente la adición de hasta 30 credenciales diferentes del servicio de directorio para admitir Active Directory entornos con bosques que no son de confianza. Si necesita más cuentas, abra una incidencia de soporte técnico.

¿Defender for Identity solo aprovecha el tráfico de Active Directory?

Además de analizar el tráfico Active Directory mediante la tecnología de inspección profunda de paquetes, Defender for Identity también recopila eventos de Windows pertinentes del controlador de dominio y crea perfiles de entidad basados en la información de Servicios de dominio de Active Directory. Defender for Identity también admite la recepción de cuentas RADIUS de registros de VPN de varios proveedores (Microsoft, Cisco, F5 y Checkpoint).

¿Defender for Identity supervisa solo los dispositivos unidos a un dominio?

No. Defender for Identity supervisa todos los dispositivos de la red que realizan solicitudes de autenticación y autorización en Active Directory, incluidos dispositivos móviles y no Windows móviles.

¿Defender for Identity supervisa las cuentas de equipo, así como las cuentas de usuario?

Sí. Puesto que las cuentas de equipo (así como cualquier otra entidad) se pueden usar para realizar actividades malintencionadas, Defender for Identity supervisa el comportamiento de todas las cuentas de equipo y todas las demás entidades del entorno.

¿Cuál es la diferencia entre Advanced Threat Analytics (ATA) y Defender for Identity?

ATA es una solución local e independiente con varios componentes, como el Centro de ATA, que requiere hardware dedicado en el entorno local.

Defender for Identity es una solución de seguridad basada en la nube que aprovecha sus Active Directory local señales. La solución es muy escalable y se actualiza con frecuencia.

La versión final de ATA está disponible con carácter general. ATA finalizará el soporte técnico estándar el 12 de enero de 2021. El soporte extendido continuará hasta enero de 2026. Para más información, lea nuestro blog.

A diferencia del sensor de ATA, el sensor de Defender for Identity también usa orígenes de datos, como seguimiento de eventos para Windows (ETW), lo que permite a Defender for Identity proporcionar detecciones adicionales.

Las actualizaciones frecuentes de Defender for Identity incluyen las siguientes características y funcionalidades:

  • Compatibilidad con entornos de varios bosques : ofrece a las organizaciones visibilidad entre los bosques de AD.

  • Evaluaciones de la posición de seguridad de las identidades : identifica configuraciones y componentes vulnerables habituales, así como rutas de corrección para reducir la superficie expuesta a ataques.

  • Funcionalidades de UEBA : información detallada sobre el riesgo de un usuario individual mediante una puntuación de prioridad relativa a la investigación del usuario en cuestión. La puntuación puede ser útil para SecOps a la hora de efectuar la investigación; también para los analistas, ya que les permite entender las actividades inusuales del usuario y la organización.

  • Integraciones nativas: se integra con Microsoft Defender for Cloud Apps y Azure AD Identity Protection para proporcionar una vista híbrida de lo que tiene lugar en entornos locales e híbridos.

  • Contribuye a la Microsoft 365 Defender: contribuye a los datos de alertas y amenazas a Microsoft 365 Defender. Microsoft 365 Defender aprovecha la cartera de seguridad de Microsoft 365 (identidades, puntos de conexión, datos y aplicaciones) para analizar automáticamente los datos de amenazas entre dominios, creando una imagen completa de cada ataque en un único panel. Con esta amplitud y profundidad de claridad, los defenderes pueden centrarse en amenazas críticas y buscar infracciones sofisticadas, con la confianza de que la eficaz automatización de Microsoft 365 Defender detiene los ataques en cualquier parte de la cadena de eliminación y devuelve la organización a un estado seguro.

Licencia y privacidad

¿Dónde puedo obtener una licencia para Microsoft Defender for Identity?

Defender for Identity está disponible como parte de Enterprise Mobility + Security suite 5 (EMS E5) y como una licencia independiente. Puede adquirir una licencia directamente en el portal de Microsoft 365 o a través del modelo de licencias de proveedores de soluciones en la nube (CSP).

¿Defender for Identity solo necesita una licencia única o requiere una licencia para cada usuario que quiera proteger?

Para obtener información sobre los requisitos de licencia de Defender for Identity, consulte La guía de licencias de Defender for Identity.

¿Mis datos están aislados de los de otros clientes?

Sí, sus datos se aíslan mediante autenticación de acceso y segregación lógica en función de los identificadores de cliente. Cada cliente solo puede tener acceso a los datos recopilados de su propia organización y a los datos genéricos proporcionados por Microsoft.

¿Tengo flexibilidad para seleccionar dónde almacenar los datos?

No. Cuando se crea la instancia de Defender for Identity, se almacena automáticamente en la región de Azure más cercana a la ubicación geográfica del Azure Active Directory inquilino. Una vez creada la instancia de Defender for Identity, los datos de Defender for Identity no se pueden mover a otra región.

¿Cómo impide Microsoft las actividades de un infiltrado malintencionado y el abuso de roles con privilegios elevados?

De forma predeterminada, a los administradores y desarrolladores de Microsoft se les proporcionan privilegios suficientes para llevar a cabo sus tareas asignadas para operar y desarrollar el servicio. Microsoft implementa combinaciones de controles de prevención, detección y reacción incluidos los mecanismos siguientes para ayudar a proteger contra actividades de desarrollo o administrativas no autorizadas:

  • Control de acceso estricto a los datos confidenciales
  • Combinaciones de controles que mejoran considerablemente la detección independiente de actividades malintencionadas
  • Varios niveles de supervisión, registro e informes

Además, Microsoft realiza comprobaciones de verificación en segundo plano de determinado personal de operaciones y limita el acceso a las aplicaciones, sistemas y la infraestructura de red en proporción con el nivel de comprobación en segundo plano. El personal de operaciones sigue un proceso formal cuando tiene que acceder a la cuenta de un cliente o a información relacionada en el cumplimiento de sus tareas.

Implementación

¿Cuántos sensores de Defender for Identity necesito?

Cada controlador de dominio del entorno debe estar cubierto por un sensor de Defender for Identity o un sensor independiente. Para más información, consulte El tamaño del sensor de Defender for Identity.

¿Defender for Identity funciona con tráfico cifrado?

Los protocolos de red con tráfico cifrado (por ejemplo, AtSvc y WMI) no se descifran, pero los sensores los analizan.

¿Defender for Identity funciona con la protección de Kerberos?

La habilitación de la protección de Kerberos, también conocida como túnel seguro de autenticación flexible (FAST), es compatible con Defender for Identity, a excepción de la detección de hash superada, que no funciona con la protección de Kerberos.

Cómo supervisar un controlador de dominio virtual mediante Defender for Identity?

La mayoría de los controladores de dominio virtuales pueden estar cubiertos por el sensor de Defender for Identity, para determinar si el sensor de Defender for Identity es adecuado para su entorno, consulte Defender for Identity Capacity Planning.

Si el sensor defender for Identity no puede cubrir un controlador de dominio virtual, puede tener un sensor independiente de Defender for Identity virtual o físico, tal como se describe en Configuración de la creación de reflejo del puerto. La manera más fácil es tener un sensor independiente de Defender for Identity virtual en cada host donde exista un controlador de dominio virtual. Si los controladores de dominio virtuales se mueven entre hosts, debe realizar uno de los siguientes pasos:

  • Cuando el controlador de dominio virtual se mueva a otro host, preconfigure el sensor independiente de Defender for Identity en ese host para recibir el tráfico del controlador de dominio virtual que se ha movido recientemente.
  • Asegúrese de afiliar el sensor independiente de Defender for Identity virtual con el controlador de dominio virtual para que, si se mueve, el sensor independiente de Defender for Identity se mueva con él.
  • Hay algunos conmutadores virtuales que pueden enviar tráfico entre hosts.

Cómo configurar los sensores de Defender for Identity para que se comuniquen con el servicio en la nube defender for Identity cuando tenga un proxy?

Para que los controladores de dominio se comuniquen con el servicio en la nube, debe abrir el puerto 443 de *.atp.azure.com en el firewall o proxy. Para obtener instrucciones sobre cómo hacerlo, consulte Configuración del proxy o firewall para habilitar la comunicación con los sensores de Defender for Identity.

¿Se pueden virtualizar los controladores de dominio supervisados de Defender for Identity en la solución de IaaS?

Sí, puede usar el sensor defender for Identity para supervisar los controladores de dominio que se encuentran en cualquier solución de IaaS.

¿Puede Defender for Identity admitir varios dominios y varios bosques?

Defender for Identity admite entornos de varios dominios y varios bosques. Para más información y conocer los requisitos de confianza, consulte Compatibilidad con varios bosques.

¿Se puede ver el estado general de la implementación?

Sí, puede ver el estado general de la implementación, así como problemas específicos relacionados con la configuración, la conectividad, etc., y se le avisará a medida que se produzcan con las alertas de mantenimiento de Defender for Identity.

Controladores WinPcap y Npcap

¿Qué recomendaciones sobre los controladores WinPcap y Npcap están cambiando?

El Microsoft Defender for Identity está recomendando actualmente que todos los clientes implemente el controlador Npcap antes de implementar el sensor. Esto garantizará que se usará el controlador Npcap en lugar del controlador WinPcap.

¿Por qué nos alejamos de WinPcap?

WinPcap ya no se admite y, como ya no se está desarrollando, el controlador ya no se puede optimizar para el sensor defender for Identity. Además, si hay un problema en el futuro con el controlador WinPcap, no hay ninguna opción para una corrección.

¿Por qué Npcap?

Se admite Npcap, mientras que WinPcap ya no es un producto compatible.

¿Qué versión de Npcap se admite?

La versión recomendada y admitida oficialmente de Npcap es la versión 1.00. Otras versiones no se admiten.

¿Qué ventajas adicionales se obtienen mediante Npcap?

El equipo de Defender for Identity ha estado trabajando estrechamente con el equipo de Npcap durante los últimos meses para garantizar un rendimiento óptimo del sensor. El controlador Npcap proporcionará un mejor rendimiento y estabilidad sobre el controlador WinPcap.

Tengo más de 5 controladores de dominio en mi organización. ¿Es necesario adquirir una licencia de Npcap si estoy usando Npcap en estos controladores de dominio?

No, Npcap tiene una exención al límite habitual de 5 instalaciones. Puede instalarlo en sistemas ilimitados en los que solo se usa con el sensor defender for Identity.

Consulte el contrato de licencia de Npcap aquí y busque Microsoft Defender for Identity.

¿Npcap también es relevante para ATA?

No, solo el sensor Microsoft Defender for Identity admite Npcap versión 1.0.

Me gustaría incluir en un script la implementación de Npcap, ¿es necesario comprar la versión de OEM?

No, no es necesario adquirir la versión de OEM. Descargue la versión 2.156 y posteriores del paquete de instalación del sensor desde la consola de Defender for Identity, que incluye la versión oem de Npcap.

Cómo descargar e instalar el controlador Npcap?

  • Puede obtener los ejecutables NPCAP descargando el paquete de implementación más reciente del sensor MDI.

    Nota

    Las copias de Npcap no cuentan para la limitación de cinco copias, cinco equipos o cinco licencias de usuario si se instalan y se usan únicamente con Defender for Identity. Para más información, consulte Licencias de Npcap.

  • Si aún no ha instalado el sensor:

    1. Desinstale WinPcap, si estuviera instalado.
    2. Instale Npcap con las siguientes opciones: /loopback_support=no y /winpcap_mode=yes y /S para una instalación silenciosa. NO use la /admin_only opción .
      • Si usa el instalador de la GUI, anule la selección de la compatibilidad con bucles invertidos y seleccione el modo WinPcap. Asegúrese de que la opción Restringir el acceso del controlador Npcap solo a los administradores está seleccionada.
  • Si ya ha instalado el sensor con WinPcap y necesita actualizar para usar Npcap:

    1. Desinstale el sensor.

    2. Desinstale WinPcap.

    3. Instale Npcap con las siguientes opciones: loopback_support=no y winpcap_mode=yes. NO use la /admin_only opción .

      • Si usa el instalador de la GUI, anule la selección de la compatibilidad con bucles invertidos y seleccione el modo WinPcap. Asegúrese de que la opción Restringir el acceso del controlador Npcap solo a los administradores está seleccionada.
    4. Vuelva a instalar el sensor.

Operación

¿Qué tipo de integración tiene Defender for Identity con los OEM?

Defender for Identity se puede configurar para enviar una alerta de Syslog, a cualquier servidor SIEM con el formato CEF, para alertas de estado y cuando se detecta una alerta de seguridad. Eche un vistazo a la referencia del registro de SIEM para más información.

¿Por qué algunas cuentas se consideran confidenciales?

Esto ocurre cuando una cuenta es miembro de grupos designados como confidenciales (por ejemplo: "Administradores de dominio").

Si quiere entender por qué una cuenta es confidencial, puede revisar su pertenencia a grupos para saber a qué grupos confidenciales pertenece (el grupo al que pertenece también puede ser confidencial debido a otro grupo, por lo que este mismo proceso deberá realizarse hasta encontrar el grupo confidencial de nivel más alto). También puede etiquetar cuentas como confidenciales manualmente.

¿Tengo que escribir mis propias reglas y crear un umbral o línea base?

Con Defender for Identity, no es necesario crear reglas, umbrales o líneas base y, a continuación, ajustar. Defender for Identity analiza los comportamientos entre usuarios, dispositivos y recursos, así como su relación entre sí, y puede detectar rápidamente actividades sospechosas y ataques conocidos. Tres semanas después de la implementación, Defender for Identity comienza a detectar actividades sospechosas de comportamiento. Por otro lado, Defender for Identity comenzará a detectar ataques malintencionados conocidos y problemas de seguridad inmediatamente después de la implementación.

¿Qué tráfico genera Defender for Identity en la red desde los controladores de dominio y por qué?

Defender for Identity genera tráfico desde controladores de dominio a equipos de la organización en uno de estos tres escenarios:

  1. Resolución de nombres de red Defender for Identity captura tráfico y eventos, aprendizaje y generación de perfiles de usuarios y actividades de equipo en la red. Para aprender y crear perfiles de actividades según los equipos de la organización, Defender for Identity debe resolver las ips en cuentas de equipo. Para resolver direcciones IP en nombres de equipo, los sensores de Defender for Identity solicitan la dirección IP del nombre del equipo detrás de la dirección IP.

    Las solicitudes se realizan mediante uno de los cuatro métodos siguientes:

    • NTLM a través de RPC (puerto TCP 135)
    • NetBIOS (puerto UDP 137)
    • RDP (Puerto TCP 3389)
    • Consulta del servidor DNS mediante la búsqueda DNS inversa de la dirección IP (UDP 53)

    Después de obtener el nombre del equipo, los sensores de Defender for Identity comprueban los detalles de Active Directory para ver si hay un objeto de equipo correlacionado con el mismo nombre de equipo. Si se encuentra una coincidencia, se crea una asociación entre la dirección IP y el objeto de equipo coincidente.

  2. Ruta de desplazamiento lateral (LMP) Para crear posibles LLA a usuarios confidenciales, Defender for Identity requiere información sobre los administradores locales en los equipos. En este escenario, el sensor de Defender for Identity usa SAM-R (TCP 445) para consultar la dirección IP identificada en el tráfico de red, con el fin de determinar los administradores locales del equipo. Para más información sobre Defender for Identity y SAM-R, consulte Configuración de los permisos necesarios de SAM-R.

  3. Al consultar Active Directory ldap para los sensores de Datos de entidad de Defender para identidad, se consulta el controlador de dominio desde el dominio al que pertenece la entidad. Puede ser el mismo sensor u otro controlador de dominio de ese dominio.

Protocolo Servicio Puerto Origen Direction
LDAP TCP y UDP 389 Controladores de dominios Saliente
LDAP seguro (LDAPS) TCP 636 Controladores de dominios Saliente
LDAP para Catálogo global TCP 3268 Controladores de dominios Saliente
LDAPS para Catálogo global TCP 3269 Controladores de dominios Saliente

¿Por qué las actividades no siempre muestran tanto al usuario de origen como al equipo?

Defender for Identity captura actividades a través de muchos protocolos diferentes. En algunos casos, Defender for Identity no recibe los datos del usuario de origen en el tráfico. Defender for Identity intenta correlacionar la sesión del usuario con la actividad y, cuando el intento se realiza correctamente, se muestra el usuario de origen de la actividad. Cuando fallan los intentos de correlación del usuario, solo se muestra el equipo de origen.

Solución de problemas

¿Qué debo hacer si no se inicia el sensor de Defender for Identity o el sensor independiente?

Mire el error más reciente en el registro de errores actual (donde Defender for Identity está instalado en la carpeta "Logs").