Microsoft Defender for Identity en el portal de Microsoft Defender
Nota:
¿Quieres experimentar Microsoft Defender XDR? Obtenga más información sobre cómo puede evaluar y probar Microsoft Defender XDR.
Se aplica a:
Microsoft Defender for Identity ahora forma parte del portal de Microsoft Defender, el hogar para supervisar y administrar la seguridad en las identidades, los datos, los dispositivos, las aplicaciones y la infraestructura de Microsoft. El portal de Microsoft Defender permite a los administradores de seguridad realizar sus tareas de seguridad en una ubicación, lo que simplifica los flujos de trabajo e integra la funcionalidad de otros servicios de Microsoft Defender XDR.
Microsoft Defender for Identity aporta información centrada en la identidad en los incidentes y alertas que presenta el portal de Microsoft Defender. Esta información es clave para proporcionar contexto y correlacionar alertas de los demás productos dentro de Microsoft Defender XDR.
Experiencias convergentes en el portal de Microsoft Defender
El portal de Microsoft Defender combina funcionalidades de seguridad que protegen, detectan, investigan y responden a amenazas de correo electrónico, colaboración, identidad y dispositivo, y ahora incluyen todas las funciones proporcionadas en el portal de Defender for Identity clásico heredado.
Aunque la ubicación de los datos puede diferir del portal clásico de Defender for Identity, los datos ahora se integran en las páginas del portal Microsoft Defender para que pueda ver los datos en todas las entidades supervisadas.
En las secciones siguientes se describen las características mejoradas de Defender for Identity que se encuentran en el portal de Microsoft Defender.
Nota:
Los clientes que usan el portal clásico de Defender for Identity ahora se redirigen automáticamente al portal de Microsoft Defender, sin opción de volver al portal clásico.
Configuración y posición
| Área | Descripción |
|---|---|
| Exclusiones globales | Las exclusiones globales permiten definir determinadas entidades, como direcciones IP, dispositivos o dominios, que se van a excluir en todas las detecciones de Defender for Identity. Por ejemplo, si solo excluye un dispositivo, la exclusión solo se aplica a las detecciones que tienen una identificación de dispositivo como parte de la detección. Para obtener más información, consulte Entidades excluidas globales. |
| Administración de cuentas de servicio de acción y directorio | Es posible que quiera responder a los usuarios en peligro deshabilitando sus cuentas o restableciendo su contraseña. Al realizar cualquiera de estas acciones, el portal de Microsoft Defender se configura de forma predeterminada para usar la cuenta del sistema local. Por lo tanto, solo tendrá que configurar las opciones de cuenta de servicio de directorio y acción si desea tener más control y definir una cuenta de usuario diferente para realizar acciones de corrección de usuarios. Para obtener más información, consulte Microsoft Defender for Identity cuentas de acción. |
| Roles de permisos personalizados | El portal de Microsoft Defender admite roles de permisos personalizados. Para obtener más información, consulte Microsoft Defender XDR control de acceso basado en rol (RBAC) |
| Puntuación de seguridad de Microsoft | Las evaluaciones de la posición de seguridad de Defender for Identity están disponibles en Puntuación de seguridad de Microsoft. Cada evaluación es un informe descargable con instrucciones de uso y herramientas para crear un plan de acción para corregir o resolver el problema. Filtre puntuación segura de Microsoft por identidad para ver las evaluaciones de Defender for Identity. Para obtener más información, consulte las evaluaciones de la posición de seguridad de Microsoft Defender for Identity. |
| API | Use cualquiera de las siguientes API de Microsoft Defender XDR con Defender for Identity: - Consulta de actividades a través de la API - Administración de alertas de seguridad a través de la API - Stream alertas y actividades de seguridad a Microsoft Sentinel Sugerencia: El portal de Microsoft Defender solo almacena datos de búsqueda avanzada durante 30 días. Si necesita períodos de retención más largos, transmita las actividades a Microsoft Sentinel u otro sistema de administración de eventos e información de seguridad de asociados (SIEM). |
| Incorporación | La incorporación de Defender for Identity ahora es automática para los nuevos clientes, sin necesidad de configurar un área de trabajo. Si necesita eliminar la instancia, abra un caso de soporte técnico de Microsoft. |
Investigación
| Área | Descripción |
|---|---|
| Área identidades | En el portal de Microsoft Defender, expanda el área Identidades para ver un panel de gráficos y widgets con datos usados habitualmente, una página problemas de mantenimiento, una lista de todos los problemas de mantenimiento de la implementación de Defender for Identity y una página Herramientas, con vínculos a herramientas y documentación de uso común. Para obtener más información, vea Ver el panel de ITDR y Problemas de mantenimiento de Defender for Identity. |
| Página de identidad | La página de detalles de identidad del portal de Microsoft Defender proporciona datos inclusivos sobre cada identidad, como: - Cualquier alerta asociada - Control de cuentas de Active Directory - Rutas de desplazamiento lateral de riesgo - Una escala de tiempo de actividades y alertas - Detalles sobre las ubicaciones, dispositivos y grupos observados. Para obtener más información, vea Investigar usuarios en el portal de Microsoft Defender. |
| Página dispositivo | La evidencia de alerta del portal de Microsoft Defender enumera todos los dispositivos y usuarios conectados a cada actividad sospechosa. Para investigar más, seleccione un dispositivo específico en una alerta para acceder a una página de detalles del dispositivo. Para obtener más información, vea Investigar dispositivos en la lista dispositivos Microsoft Defender para punto de conexión. |
| Búsqueda avanzada de amenazas | El portal de Microsoft Defender le ayuda a buscar amenazas y actividades malintencionadas de forma proactiva mediante consultas de búsqueda avanzadas. Estas consultas eficaces se pueden usar para buscar y revisar indicadores de amenazas y entidades para las amenazas conocidas y potenciales. Cree reglas de detección personalizadas a partir de consultas de búsqueda avanzadas para ayudarle a watch proactivamente para eventos que podrían indicar la actividad de infracción y los dispositivos mal configurados. Para obtener más información, consulte Búsqueda proactiva de amenazas con búsqueda avanzada en el portal de Microsoft Defender. |
| Búsqueda global | Use la barra de búsqueda de la parte superior de la página del portal de Microsoft Defender para buscar cualquier entidad supervisada por Microsoft Defender XDR, incluidas identidades, puntos de conexión, datos Office 365, grupos de Active Directory (versión preliminar) y mucho más. Seleccione los resultados directamente en la lista desplegable de búsqueda o seleccione Todos los usuarios o Todos los dispositivos para ver todas las entidades asociadas a un término de búsqueda determinado. |
| Rutas de desplazamiento lateral | El portal de Microsoft Defender proporciona datos de rutas de desplazamiento lateral en la página Búsqueda avanzada y la evaluación de seguridad rutas de desplazamiento lateral, además de la pestaña Rutas de desplazamiento lateral en la página de detalles del usuario. Para obtener más información, consulte Descripción e investigación de rutas de desplazamiento lateral (LMP) con Microsoft Defender for Identity. |
Detección y respuesta
| Área | Descripción |
|---|---|
| Correlación de alertas e incidentes | Las alertas de Defender for Identity ahora se incluyen en la cola de alertas del portal de Microsoft Defender, lo que las pone a disposición de la característica de correlación automatizada de incidentes. Vea todas las alertas en un solo lugar y determine el ámbito de la infracción incluso más rápido que antes. Para obtener más información, consulte Investigar alertas de Defender for Identity en el portal de Microsoft Defender. |
| Exclusiones de alertas | La interfaz de alertas del portal de Microsoft Defender es más fácil de usar e incluye una función de búsqueda y exclusiones globales, lo que significa que puede excluir cualquier entidad de todas las alertas generadas por Defender for Identity. Para obtener más información, vea Configurar exclusiones de detección de Defender for Identity en Microsoft Defender XDR. |
| Optimización de alertas | El ajuste de alertas, conocido anteriormente como supresión de alertas, permite ajustar y optimizar las alertas. El ajuste de alertas reduce los falsos positivos, lo que permite a los equipos de SOC centrarse en alertas de alta prioridad y mejora la cobertura de detección de amenazas en todo el sistema. En Microsoft Defender XDR, cree condiciones de regla basadas en tipos de evidencia y, a continuación, aplique la regla en cualquier tipo de regla que coincida con las condiciones. Para obtener más información, vea Optimizar una alerta. |
| Acciones de corrección | Las acciones de corrección de Defender for Identity, como deshabilitar cuentas o requerir restablecimientos de contraseña, están disponibles en la página de detalles del usuario del portal de Microsoft Defender. Para obtener más información, vea Acciones de corrección en Microsoft Defender for Identity. |
Referencia rápida
En la tabla siguiente se enumeran los cambios en la navegación entre Microsoft Defender for Identity y el portal de Microsoft Defender.
| Defender para Identidad | Portal de Microsoft Defender |
|---|---|
| Timeline | - Microsoft Defender cola de alertas e incidentes del portal |
| Informes | Los siguientes tipos de informes están disponibles en la> páginaAdministración de informes deidentidades> de informes del portal de Microsoft Defender, ya sea para descarga inmediata o programada para una entrega periódica de correo electrónico: - Un informe de resumen de alertas y problemas de salud que debe tener en cuenta. - Una lista de cada vez que se realiza una modificación en grupos confidenciales. - Una lista de contraseñas de cuenta y equipo de origen que se detectan como enviadas en texto no cifrado. - Una lista de las cuentas confidenciales expuestas en las rutas de desplazamiento lateral. Para obtener más información, vea Administración de informes. |
| Página de identidad | Microsoft Defender página de detalles del usuario del portal |
| Página dispositivo | página de detalles del dispositivo del portal de Microsoft Defender |
| Página de grupo | panel lateral de grupos de Microsoft Defender portal |
| Página alerta | Microsoft Defender página de detalles de alertas del portal Sugerencia: Use el ajuste de alertas para optimizar las alertas que ve en el portal de Microsoft Defender. |
| Búsqueda | búsqueda global del portal de Microsoft Defender |
| Problemas de mantenimiento | problemas de mantenimiento de identidades > del portal de Microsoft Defender |
| Actividades de entidad | - Búsqueda avanzada - Escala de tiempo de la página del dispositivo > - Pestaña Escala de tiempo de la página > de identidad - Pestaña Escalade tiempo del panel de grupo > |
| Configuración | Configuración-Identidades> |
| Usuarios y cuentas | Activos ->Identidades |
| Posición de seguridad de identidad | evaluaciones de la posición de seguridad de Microsoft Defender for Identity |
| Incorporación de un nuevo área de trabajo | Configuración ->Identidades (automáticamente) |
| About | Configuración > de identidades > |
Siguientes pasos
Para más información, vea:
- Vídeos relacionados para Microsoft Defender for Identity
- Microsoft Defender XDR
- Microsoft Defender for Identity
Sugerencia
¿Desea obtener más información? Engage con la comunidad de seguridad de Microsoft en nuestra comunidad tecnológica: Microsoft Defender XDR Tech Community.
Comentarios
Próximamente: A lo largo de 2024 iremos eliminando gradualmente GitHub Issues como mecanismo de comentarios sobre el contenido y lo sustituiremos por un nuevo sistema de comentarios. Para más información, vea: https://aka.ms/ContentUserFeedback.
Enviar y ver comentarios de