Preguntas más frecuentes sobre Microsoft defender para identidad

En este artículo se proporciona una lista de preguntas más frecuentes y respuestas acerca de Microsoft defender para la identidad dividida en las siguientes categorías:

¿Qué es defender para identidad?

¿Qué puede detectar la identidad de defender?

Defender for Identity detecta ataques y técnicas malintencionados conocidos, problemas de seguridad y riesgos en la red. Para obtener la lista completa de las detecciones de identidad, consulte ¿qué detecciones realiza la identidad defender?.

¿Qué datos se recopilan en la identidad?

Defender for Identity recopila y almacena información de los servidores configurados (controladores de dominio, servidores miembro, etc.) en una base de datos específica del servicio para fines de administración, seguimiento e informes. La información recopilada incluye tráfico de red hacia y desde los controladores de dominio (por ejemplo, la autenticación Kerberos, la autenticación NTLM, consultas de DNS), registros de seguridad (por ejemplo, eventos de seguridad de Windows), información de Active Directory (estructura, subredes, sitios) y la información de entidades (como nombres, direcciones de correo electrónico y números de teléfono).

Microsoft usa estos datos para:

  • Identificar de manera proactiva los indicadores de ataque (IOA) en la organización
  • Generar alertas si se ha detectado un posible ataque
  • Proporcionar a las operaciones de seguridad una vista a las entidades relacionadas con las señales de amenaza de la red, lo que permite investigar y explorar la presencia de amenazas de seguridad en la red.

Microsoft no extrae sus datos con fines publicitarios o de ningún otro tipo, solo lo hace para proporcionar el servicio.

¿Cuántas credenciales del servicio de directorio es compatible con la identidad?

En la actualidad, defender for Identity admite la adición de hasta 10 credenciales diferentes del servicio de directorio para admitir entornos de Active Directory con bosques que no son de confianza. Si necesita más cuentas, abra una incidencia de soporte técnico.

¿La identidad defender solo aprovecha el tráfico de Active Directory?

Además de analizar el tráfico Active Directory mediante una tecnología de inspección profunda de paquetes, defender for Identity también recopila eventos relevantes de Windows del controlador de dominio y crea perfiles de entidad basados en información de Active Directory Domain Services. Defender for Identity también admite la recepción de cuentas de RADIUS de registros de VPN de varios proveedores (Microsoft, Cisco, F5 y Checkpoint).

¿Solo defender para el monitor de identidad los dispositivos Unidos a un dominio?

No. Defender for Identity supervisa todos los dispositivos de la red que realizan solicitudes de autenticación y autorización en Active Directory, incluidos los dispositivos móviles y los que no son de Windows.

¿Defender para las cuentas de equipo del monitor de identidad, así como las cuentas de usuario?

Sí. Como las cuentas de equipo (así como cualquier otra entidad) se pueden usar para realizar actividades malintencionadas, defender for Identity supervisa el comportamiento de todas las cuentas de equipo y todas las demás entidades del entorno.

¿Cuál es la diferencia entre Advanced Threat Analytics (ATA) y defender for Identity?

ATA es una solución local e independiente con varios componentes, como el Centro de ATA, que requiere hardware dedicado en el entorno local.

Defender for Identity es una solución de seguridad basada en la nube que aprovecha las señales locales de Active Directory (Azure AD). La solución es muy escalable y se actualiza con frecuencia.

La versión final de ATA está disponible con carácter general. ATA finalizará el soporte estándar el 12 de enero de 2021. El soporte extendido continuará hasta el 2026 de enero. Para obtener más información, lea nuestro blog.

A diferencia del sensor de ATA, el sensor de identidad de defender también usa orígenes de datos, como el seguimiento de eventos para Windows (ETW), lo que permite que la identidad proporcione detecciones adicionales.

Defender para las actualizaciones frecuentes de identidad incluye las siguientes características y capacidades:

  • Compatibilidad con entornos de varios bosques : ofrece a las organizaciones visibilidad entre los bosques de AD.

  • Evaluaciones de la posición de seguridad de las identidades : identifica configuraciones y componentes vulnerables habituales, así como rutas de corrección para reducir la superficie expuesta a ataques.

  • Funcionalidades de UEBA : información detallada sobre el riesgo de un usuario individual mediante una puntuación de prioridad relativa a la investigación del usuario en cuestión. La puntuación puede ser útil para SecOps a la hora de efectuar la investigación; también para los analistas, ya que les permite entender las actividades inusuales del usuario y la organización.

  • Integraciones nativas: se integra con Microsoft Cloud App Security y Azure AD Identity Protection para proporcionar una vista híbrida de lo que ocurre tanto en los entornos locales como en los híbridos.

  • Contribuye a Microsoft 365 defender: aporta datos de alertas y amenazas a Microsoft 365 defender. Microsoft 365 defender aprovecha la cartera de seguridad Microsoft 365 (identidades, extremos, datos y aplicaciones) para analizar automáticamente los datos de amenazas entre dominios y crear una imagen completa de cada ataque en un solo panel. Con esta amplitud y profundidad de claridad, los defensores pueden centrarse en amenazas críticas y en la búsqueda de infracciones sofisticadas, que confían en que la eficaz automatización de Microsoft 365 defender detiene los ataques en cualquier parte de la cadena de eliminación y devuelve la organización a un estado seguro.

Licencia y privacidad

¿Dónde puedo obtener una licencia de Microsoft defender para la identidad?

Defender for Identity está disponible como parte de Enterprise Mobility + Security 5 Suite (EMS E5) y como una licencia independiente. Puede adquirir una licencia directamente en el portal de Microsoft 365 o a través del modelo de licencias de proveedores de soluciones en la nube (CSP).

¿La identidad de defender solo necesita una licencia o requiere una licencia para cada usuario que deseo proteger?

Para obtener información sobre defender para los requisitos de licencias de identidad, vea defender for Identity Licensing Guidance.

¿Mis datos están aislados de los de otros clientes?

Sí, sus datos se aíslan mediante autenticación de acceso y segregación lógica en función de los identificadores de cliente. Cada cliente solo puede tener acceso a los datos recopilados de su propia organización y a los datos genéricos proporcionados por Microsoft.

¿Tengo flexibilidad para seleccionar dónde almacenar los datos?

No. Cuando se crea la instancia de defender for Identity, se almacena automáticamente en el centro de datos del país más cercano a la ubicación geográfica del inquilino de AAD. Defender para los datos de identidad no se puede migrar una vez que se ha creado la instancia de defender for Identity en otro centro de datos.

¿Cómo impide Microsoft las actividades de un infiltrado malintencionado y el abuso de roles con privilegios elevados?

De forma predeterminada, a los administradores y desarrolladores de Microsoft se les proporcionan privilegios suficientes para llevar a cabo sus tareas asignadas para operar y desarrollar el servicio. Microsoft implementa combinaciones de controles de prevención, detección y reacción incluidos los mecanismos siguientes para ayudar a proteger contra actividades de desarrollo o administrativas no autorizadas:

  • Control de acceso estricto a los datos confidenciales
  • Combinaciones de controles que mejoran considerablemente la detección independiente de actividades malintencionadas
  • Varios niveles de supervisión, registro e informes

Además, Microsoft realiza comprobaciones de verificación en segundo plano de determinado personal de operaciones y limita el acceso a las aplicaciones, sistemas y la infraestructura de red en proporción con el nivel de comprobación en segundo plano. El personal de operaciones sigue un proceso formal cuando tiene que acceder a la cuenta de un cliente o a información relacionada en el cumplimiento de sus tareas.

Implementación

¿Cuántos defender de los sensores de identidad necesito?

Cada controlador de dominio del entorno debe estar incluido en un sensor de defender for Identity o en un sensor independiente. Para obtener más información, consulte defender for Identity sensor Sizing.

¿Funciona defender for Identity con tráfico cifrado?

Los protocolos de red con tráfico cifrado (por ejemplo, AtSvc y WMI) no se descifran, pero los sensores los analizan.

¿Defender for Identity funciona con la protección de Kerberos?

La habilitación de la protección de Kerberos, también conocida como túnel seguro de autenticación flexible (FAST), es compatible con defender para la identidad, con la excepción de la detección de hash superada, que no funciona con la protección de Kerberos.

Cómo supervisar un controlador de dominio virtual con defender para la identidad

La mayoría de los controladores de dominio virtuales se pueden incluir en el sensor de defender para identidad, para determinar si el sensor de identidad de defender es adecuado para su entorno, consulte defender for Identity Capacity Planning.

Si el sensor de identidad de defender no puede cubrir un controlador de dominio virtual, puede tener un sensor virtual o físico para el sensor independiente de identidad, tal como se describe en configuración de la creación de reflejo del puerto. La manera más fácil es tener un sensor virtual defender for Identity independiente en cada host donde exista un controlador de dominio virtual. Si los controladores de dominio virtuales se mueven entre hosts, debe realizar uno de los siguientes pasos:

  • Cuando el controlador de dominio virtual se mueva a otro host, configure previamente el sensor de defender para identidad en ese host para recibir el tráfico del controlador de dominio virtual que se ha trasladado recientemente.
  • Asegúrese de que ha afiliado el sensor de virtual defender for Identity independiente con el controlador de dominio virtual para que, si se mueve, el sensor independiente de la identidad de defender se mueva con él.
  • Hay algunos conmutadores virtuales que pueden enviar tráfico entre hosts.

Cómo configurar defender para que los sensores de identidad se comuniquen con defender para el servicio en la nube de identidades cuando tengo un servidor proxy?

Para que los controladores de dominio se comuniquen con el servicio en la nube, debe abrir el puerto 443 de *.atp.azure.com en el firewall o proxy. Para obtener instrucciones sobre cómo hacerlo, consulte configuración del proxy o firewall para habilitar la comunicación con defender para los sensores de identidad.

¿Puede defenderse en la solución IaaS los controladores de dominio supervisados por identidad?

Sí, puede usar el sensor de defender para identidad para supervisar los controladores de dominio que se encuentran en cualquier solución de IaaS.

¿Puede defenderse la compatibilidad con la identidad entre varios dominios y varios bosques?

Defender for Identity admite entornos de varios dominios y varios bosques. Para más información y conocer los requisitos de confianza, consulte Compatibilidad con varios bosques.

¿Se puede ver el estado general de la implementación?

Sí, puede ver el estado general de la implementación, así como los problemas específicos relacionados con la configuración, la conectividad, etc., y se le avisará cuando se produzcan con defender para las alertas de estado de identidad.

Operación

¿Qué tipo de integración tiene defender para la identidad con SIEMs?

Defender para identidad puede configurarse para enviar una alerta de syslog, a cualquier servidor SIEM con el formato CEF, para las alertas de estado y cuando se detecta una alerta de seguridad. Eche un vistazo a la referencia del registro de SIEM para más información.

¿Por qué algunas cuentas se consideran confidenciales?

Esto ocurre cuando una cuenta es miembro de grupos designados como confidenciales (por ejemplo: "Administradores de dominio").

Si quiere entender por qué una cuenta es confidencial, puede revisar su pertenencia a grupos para saber a qué grupos confidenciales pertenece (el grupo al que pertenece también puede ser confidencial debido a otro grupo, por lo que este mismo proceso deberá realizarse hasta encontrar el grupo confidencial de nivel más alto). También puede etiquetar cuentas como confidenciales manualmente.

¿Tengo que escribir mis propias reglas y crear un umbral o línea base?

Con defender para la identidad, no hay necesidad de crear reglas, umbrales o líneas base y, a continuación, ajustar. Defender for Identity analiza los comportamientos entre usuarios, dispositivos y recursos, así como su relación entre sí, y puede detectar actividades sospechosas y ataques conocidos con rapidez. Tres semanas después de la implementación, defender para identidad comienza a detectar actividades sospechosas de comportamiento. Por otro lado, defender for Identity comenzará a detectar ataques malintencionados y problemas de seguridad conocidos inmediatamente después de la implementación.

¿Qué tráfico de defender genera la identidad en la red de los controladores de dominio y por qué?

Defender for Identity genera tráfico de los controladores de dominio a los equipos de la organización en uno de los tres escenarios siguientes:

  1. Resolución de nombres de red Defender for Identity captura el tráfico y los eventos, el aprendizaje y la generación de perfiles de usuarios y actividades de equipo en la red. Para aprender y generar perfiles de actividades según los equipos de la organización, defender for Identity debe resolver las direcciones IP en las cuentas de equipo. Para resolver las direcciones IP de los nombres de equipo defender para los sensores de identidad, solicite la dirección IP del nombre de equipo detrás de la dirección IP.

    Las solicitudes se realizan mediante uno de los cuatro métodos siguientes:

    • NTLM a través de RPC (puerto TCP 135)
    • NetBIOS (puerto UDP 137)
    • RDP (Puerto TCP 3389)
    • Consulta del servidor DNS mediante la búsqueda DNS inversa de la dirección IP (UDP 53)

    Después de obtener el nombre del equipo, defender for Identity sensors realiza una comprobación cruzada de los detalles de Active Directory para ver si hay un objeto de equipo correlacionado con el mismo nombre de equipo. Si se encuentra una coincidencia, se crea una asociación entre la dirección IP y el objeto de equipo coincidente.

  2. Ruta de desplazamiento lateral (LMP) Para generar posibles LMPs para los usuarios confidenciales, defender for Identity requiere información acerca de los administradores locales en los equipos. En este escenario, el sensor de identidad de defender usa SAM-R (TCP 445) para consultar la dirección IP identificada en el tráfico de red, con el fin de determinar los administradores locales del equipo. Para obtener más información sobre defender para identidad y SAM-R, consulte configuración de los permisos necesarios de Sam-r.

  3. La consulta de Active Directory mediante LDAP para Entity Data defender para los sensores de identidades consulta el controlador de dominio desde el dominio al que pertenece la entidad. Puede ser el mismo sensor u otro controlador de dominio de ese dominio.

Protocolo Servicio Puerto Origen Direction
LDAP TCP y UDP 389 Controladores de dominios Saliente
LDAP seguro (LDAPS) TCP 636 Controladores de dominios Saliente
LDAP para Catálogo global TCP 3268 Controladores de dominios Saliente
LDAPS para Catálogo global TCP 3269 Controladores de dominios Saliente

¿Por qué las actividades no siempre muestran tanto al usuario de origen como al equipo?

Defender for Identity captura actividades a través de muchos protocolos diferentes. En algunos casos, defender para identidad no recibe los datos del usuario de origen en el tráfico. Defender for Identity intenta poner en correlación la sesión del usuario en la actividad y, cuando el intento se realiza correctamente, se muestra el usuario de origen de la actividad. Cuando fallan los intentos de correlación del usuario, solo se muestra el equipo de origen.

Solución de problemas

¿Qué debo hacer si no se inicia la defender para el sensor de identidad o el sensor independiente?

Busque el error más reciente en el registro de errores actual (donde defender for Identity está instalado en la carpeta "logs").