¿Qué es Microsoft Defender for IdentityMicrosoft Defender for Identity?What is Microsoft Defender for IdentityMicrosoft Defender for Identity?

Microsoft Defender for IdentityMicrosoft Defender for Identity (antes Azure Advanced Threat Protection, conocido también como Azure ATP) es una solución de seguridad basada en la nube que aprovecha las señales de Active Directory local para identificar, detectar e investigar amenazas avanzadas, identidades puestas en peligro y acciones malintencionadas dirigidas a la organización por parte de usuarios internos.Microsoft Defender for IdentityMicrosoft Defender for Identity (formerly Azure Advanced Threat Protection, also known as Azure ATP) is a cloud-based security solution that leverages your on-premises Active Directory signals to identify, detect, and investigate advanced threats, compromised identities, and malicious insider actions directed at your organization.

Defender for IdentityDefender for Identity permite a los analistas de operaciones de seguridad y a los profesionales de la seguridad, que pueden tener problemas para detectar ataques avanzados en entornos híbridos:Defender for IdentityDefender for Identity enables SecOp analysts and security professionals struggling to detect advanced attacks in hybrid environments to:

  • Supervisar usuarios, el comportamiento de la entidad y las actividades con análisis basados en aprendizaje.Monitor users, entity behavior, and activities with learning-based analytics
  • Proteger las identidades y las credenciales del usuario almacenadas en Active Directory.Protect user identities and credentials stored in Active Directory
  • Identificar e investigar las actividades del usuario sospechosas y los ataques avanzados a lo largo de la cadena de destrucción.Identify and investigate suspicious user activities and advanced attacks throughout the kill chain
  • Proporcionar información clara sobre los incidentes en una escala de tiempo sencilla para una rápida evaluación de prioridades.Provide clear incident information on a simple timeline for fast triage

Supervisar las actividades y el comportamiento del usuario del perfil.Monitor and profile user behavior and activities

Defender for IdentityDefender for Identity supervisa y analiza las actividades de los usuarios y la información que atraviesa la red, como los permisos y la pertenencia a grupos, y crea una línea de base de comportamiento para cada usuario.Defender for IdentityDefender for Identity monitors and analyzes user activities and information across your network, such as permissions and group membership, creating a behavioral baseline for each user. Después, Defender for IdentityDefender for Identity identifica las anomalías gracias a su inteligencia adaptable integrada, que le ofrece información detallada sobre actividades y eventos sospechosos, y le revela las amenazas avanzadas, los usuarios en peligro y las amenazas internas a las que se enfrenta su organización.Defender for IdentityDefender for Identity then identifies anomalies with adaptive built-in intelligence, giving you insights into suspicious activities and events, revealing the advanced threats, compromised users, and insider threats facing your organization. Los sensores propietarios de Defender for IdentityDefender for Identity supervisan los controladores de dominio de la organización, y proporcionan una vista completa de todas las actividades de los usuarios de todos los dispositivos.Defender for IdentityDefender for Identity's proprietary sensors monitor organizational domain controllers, providing a comprehensive view for all user activities from every device.

Proteger las identidades de usuario y reducir la superficie expuesta a ataquesProtect user identities and reduce the attack surface

Defender for IdentityDefender for Identity proporciona información muy útil sobre las configuraciones de identidad y los procedimientos recomendados de seguridad sugeridos.Defender for IdentityDefender for Identity provides you invaluable insights on identity configurations and suggested security best-practices. Mediante informes de seguridad y análisis de los perfiles de usuario, Defender for IdentityDefender for Identity permite reducir drásticamente la superficie de ataque de la organización, lo que hace que sea más difícil poner en peligro las credenciales de los usuarios y que se lleve a cabo un ataque.Through security reports and user profile analytics, Defender for IdentityDefender for Identity helps dramatically reduce your organizational attack surface, making it harder to compromise user credentials, and advance an attack. Con las rutas de desplazamiento lateral visuales de Defender for IdentityDefender for Identity, comprenderá al momento el modo exacto en que un atacante puede desplazar lateralmente el contenido dentro de la organización y poner en peligro cuentas confidenciales. También le ayudan a prevenir estos riesgos con antelación.Defender for IdentityDefender for Identity's visual Lateral Movement Paths help you quickly understand exactly how an attacker can move laterally inside your organization to compromise sensitive accounts and assists in preventing those risks in advance. Con los informes de seguridad de Defender for IdentityDefender for Identity es más fácil identificar los usuarios y los dispositivos que se autentican mediante contraseñas no cifradas. También ofrecen otro tipo de información con la que podrá mejorar las directivas y su postura frente a la seguridad de la organización.Defender for IdentityDefender for Identity security reports help you identify users and devices that authenticate using clear-text passwords and provide additional insights to improve your organizational security posture and policies.

Protección de AD FS en entornos híbridosProtecting the AD FS in hybrid environments

Los Servicios de federación de Active Directory (AD FS) desempeñan un papel importante en la infraestructura de hoy en día cuando se trata de la autenticación en entornos híbridos.Active Directory Federation Services (AD FS) plays important role in today's infrastructure when it comes to authentication in hybrid environments. Defender for IdentityDefender for Identity protege AD FS en su entorno mediante la detección de ataques locales en AD FS y la visibilidad de los eventos de autenticación generados por AD FS.Defender for IdentityDefender for Identity protects the AD FS in your environment by detecting on-premises attacks on the AD FS and providing visibility into authentication events generated by the AD FS.

Identificación de actividades sospechosas y ataques avanzados a través de la cadena de destrucción de ciberataquesIdentify suspicious activities and advanced attacks across the cyber-attack kill-chain

Normalmente, los ataques se inician contra cualquier entidad accesible, como un usuario con pocos privilegios, y después se mueven lateralmente hasta que el atacante accede a recursos valiosos, como cuentas confidenciales, los administradores de dominio e información confidencial.Typically, attacks are launched against any accessible entity, such as a low-privileged user, and then quickly move laterally until the attacker gains access to valuable assets – such as sensitive accounts, domain administrators, and highly sensitive data. Defender for IdentityDefender for Identity identifica estas amenazas avanzadas en el origen a lo largo de toda la cadena de eliminación del ciberataque:Defender for IdentityDefender for Identity identifies these advanced threats at the source throughout the entire cyber-attack kill chain:

ReconocimientoReconnaissance

Identifique los intentos de usuarios maliciosos y atacantes de obtener información.Identify rogue users and attackers' attempts to gain information. Los atacantes buscan información sobre nombres de usuario, pertenencia a grupos de usuarios, direcciones IP asignadas a dispositivos, recursos y mucho más, mediante distintos métodos.Attackers are searching for information about user names, users' group membership, IP addresses assigned to devices, resources, and more, using a variety of methods.

Credenciales en peligroCompromised credentials

Identifique los intentos de poner en peligro las credenciales de usuario mediante ataques por fuerza bruta, autenticaciones erróneas, cambios en la pertenencia a un grupo de usuarios y otros métodos.Identify attempts to compromise user credentials using brute force attacks, failed authentications, user group membership changes, and other methods.

Movimientos lateralesLateral movements

Detecte intentos de desplazar lateralmente el contenido dentro de la red para obtener un control adicional de los usuarios confidenciales mediante ataques como pass-the-hash, pass-the-ticket, overpass-the-hash y más.Detect attempts to move laterally inside the network to gain further control of sensitive users, utilizing methods such as Pass the Ticket, Pass the Hash, Overpass the Hash and more.

Dominación de dominioDomain dominance

Descubra el comportamiento del atacante si se logra la dominación del dominio mediante la ejecución remota de código en el controlador de dominio y métodos como DC Shadow, replicación del controlador de dominio malintencionado, actividades de golden ticket y más.Highlighting attacker behavior if domain dominance is achieved, through remote code execution on the domain controller, and methods such as DC Shadow, malicious domain controller replication, Golden Ticket activities, and more.

Investigar alertas y actividades de usuarioInvestigate alerts and user activities

Defender for IdentityDefender for Identity está diseñado para reducir el ruido general de las alertas, y proporcionar solo las alertas de seguridad pertinentes e importantes en una escala de tiempo de ataque organizativa, simple y en tiempo real.Defender for IdentityDefender for Identity is designed to reduce general alert noise, providing only relevant, important security alerts in a simple, real-time organizational attack timeline. La vista de la escala de tiempo de ataque de Defender for IdentityDefender for Identity permite centrarse fácilmente en lo que importa, y aprovechar la sabiduría del análisis inteligente.The Defender for IdentityDefender for Identity attack timeline view allows you to easily stay focused on what matters, leveraging the intelligence of smart analytics. Use Defender for IdentityDefender for Identity para investigar rápidamente las amenazas y obtener información sobre los usuarios, dispositivos y recursos de red de toda la organización.Use Defender for IdentityDefender for Identity to quickly investigate threats, and gain insights across the organization for users, devices, and network resources. Su perfecta integración con Microsoft Defender for Endpoint proporciona otra capa de seguridad mejorada mediante la detección y protección adicionales contra amenazas persistentes avanzadas en el sistema operativo.Seamless integration with Microsoft Defender for Endpoint provides another layer of enhanced security by additional detection and protection against advanced persistent threats on the operating system.

Recursos adicionales de Defender for IdentityDefender for IdentityAdditional resources for Defender for IdentityDefender for Identity

Comenzar la evaluación gratuitaStart a free trial

https://signup.microsoft.com/Signup?OfferId=87dd2714-d452-48a0-a809-d2f58c4f68b7&ali=1

Siga a Defender for IdentityDefender for Identity en Microsoft Tech Community.Follow Defender for IdentityDefender for Identity on Microsoft Tech Community

https://aka.ms/MDIcommunity

Únase a la comunidad Yammer de Defender for IdentityDefender for Identity.Join the Defender for IdentityDefender for Identity Yammer community

https://www.yammer.com/azureadvisors/#/threads/inGroup?type=in_group&feedId=9386893

Visite la página del producto de Defender for IdentityDefender for Identity.Visit the Defender for IdentityDefender for Identity product page

https://www.microsoft.com/microsoft-365/security/identity-defender

Más información sobre la arquitectura de Defender for IdentityDefender for Identity.Learn more about Defender for IdentityDefender for Identity architecture

Arquitectura de Defender for IdentityDefender for IdentityDefender for IdentityDefender for Identity Architecture

Vea nuestros vídeosWatch our videos

Refuerce su postura en materia de seguridad con Defender for IdentityDefender for Identity: identifique y resuelva de manera anticipada los procedimientos incorrectos conocidos, de forma que deje su entorno en un estado más saludable y más resistente a los actores no válidos. Vea el vídeo de YouTube.Bolster your security posture with Defender for IdentityDefender for Identity - Identify and proactively resolve known bad-practices, leaving your environment in a healthier state and more resilient to bad actors - watch the YouTube video

Investigación de incidentes con Defender for IdentityDefender for Identity: aprenda a detectar, investigar y responder a amenazas avanzadas dirigidas a identidades y controladores de dominio con Defender for IdentityDefender for Identity.Incident Investigation with Defender for IdentityDefender for Identity - Learn how to Detect, investigate, and respond to advanced threats targeting identities and domain controllers with Defender for IdentityDefender for Identity. A partir de una alerta en Defender for IdentityDefender for Identity mostraremos cómo se correlaciona esa información con un incidente, cómo se buscan amenazas con la información capturada por Defender for IdentityDefender for Identity y cómo podemos iniciar una respuesta automática a los incidentes para corregirlos antes de que evolucionen a un problema mayor. Vea el vídeo de YouTube.Starting with an alert in Defender for IdentityDefender for Identity we'll demonstrate how that information is correlated into an incident, how to hunt for threats using information captured by Defender for IdentityDefender for Identity and how we can initiate an automatic incident response to remediate the incident before it evolves into a bigger problem - watch the YouTube video

Pasos adicionalesWhat's next?

Se recomienda implementar Defender for IdentityDefender for Identity en tres fases:We recommend deploying Defender for IdentityDefender for Identity in three phases:

Fase 1Phase 1

  1. Configuración de Defender for IdentityDefender for Identity para proteger los entornos principales.Set up Defender for IdentityDefender for Identity to protect your primary environments. El modelo de implementación rápida de Defender for IdentityDefender for Identity permite empezar a proteger la organización hoy mismo.Defender for IdentityDefender for Identity's fast deployment model enables you to start protecting your organization today. Instalación de Defender for IdentityDefender for IdentityInstall Defender for IdentityDefender for Identity
  2. Cree cuentas confidenciales y cuentas de honeytoken.Set sensitive accounts and honeytoken accounts.
  3. Revise los informes y las rutas de desplazamiento lateral.Review reports and lateral movement paths.

Fase 2Phase 2

  1. Proteja todos los controladores de dominio y bosques de su organización.Protect all the domain controllers and forests in your organization.
  2. Supervise todas las alertas: investigue las alertas de dominación de dominio y el movimiento lateral.Monitor all alerts – investigate lateral movement & domain dominance alerts.
  3. Use la Guía de alerta de seguridad para entender las amenazas y evaluar los posibles ataques.Work with the Security Alert guide to understand threats and triage potential attacks.

Fase 3Phase 3

  1. Integre las alertas de Defender for IdentityDefender for Identity en los flujos de trabajo de operaciones de seguridad.Integrate Defender for IdentityDefender for Identity alerts into your SecOp workflows.

Consulte tambiénSee Also