Arquitectura de Microsoft Defender for IdentityMicrosoft Defender for Identity architecture

Para supervisar los controladores de dominio, Microsoft Defender for IdentityMicrosoft Defender for Identity captura y analiza el tráfico de red y aprovecha los eventos de Windows directamente desde los controladores de dominio; luego, analiza los datos en busca de amenazas y ataques.Microsoft Defender for IdentityMicrosoft Defender for Identity monitors your domain controllers by capturing and parsing network traffic and leveraging Windows events directly from your domain controllers, then analyzes the data for attacks and threats. Con la generación de perfiles, la detección determinista, el aprendizaje automático y los algoritmos de comportamiento, Defender for IdentityDefender for Identity obtiene información sobre la red, permite la detección de anomalías y le avisa de las actividades sospechosas.Utilizing profiling, deterministic detection, machine learning, and behavioral algorithms Defender for IdentityDefender for Identity learns about your network, enables detection of anomalies, and warns you of suspicious activities.

Arquitectura de Defender for IdentityDefender for Identity:Defender for IdentityDefender for Identity architecture:

Diagrama de la topología de arquitectura de Defender for IdentityDefender for Identity

En esta sección se describe cómo funciona el flujo de captura de eventos y red de Defender for IdentityDefender for Identity, y se explora en profundidad para describir las funciones de los componentes principales: el portal de Defender for IdentityDefender for Identity, el sensor de Defender for IdentityDefender for Identity y el servicio en la nube de Defender for IdentityDefender for Identity.This section describes how the flow of Defender for IdentityDefender for Identity's network and event capturing works, and drills down to describe the functionality of the main components: the Defender for IdentityDefender for Identity portal, Defender for IdentityDefender for Identity sensor, and Defender for IdentityDefender for Identity cloud service.

Instalado directamente en el controlador de dominio o en los servidores de AD FS, el sensor de Defender for IdentityDefender for Identity accede a los registros de eventos que necesita directamente desde los servidores.Installed directly on your domain controller or AD FS servers, the Defender for IdentityDefender for Identity sensor accesses the event logs it requires directly from the servers. Después de que el sensor haya analizado estos registros y el tráfico de red, Defender for IdentityDefender for Identity envía solo esta información analizada al servicio en la nube de Defender for IdentityDefender for Identity (solo se envía un porcentaje de los registros).After the logs and network traffic are parsed by the sensor, Defender for IdentityDefender for Identity sends only the parsed information to the Defender for IdentityDefender for Identity cloud service (only a percentage of the logs are sent).

Componentes de Defender for IdentityDefender for Identity components

Defender for IdentityDefender for Identity consta de los siguientes componentes:Defender for IdentityDefender for Identity consists of the following components:

  • Portal de Defender for IdentityDefender for IdentityDefender for IdentityDefender for Identity portal
    El portal de Defender for IdentityDefender for Identity permite crear una instancia de Defender for IdentityDefender for Identity, muestra los datos recibidos de los sensores de Defender for IdentityDefender for Identity y permite supervisar, administrar e investigar las amenazas en el entorno de red.The Defender for IdentityDefender for Identity portal allows the creation of your Defender for IdentityDefender for Identity instance, displays the data received from Defender for IdentityDefender for Identity sensors, and enables you to monitor, manage, and investigate threats in your network environment.

  • Sensor de Defender for IdentityDefender for IdentityDefender for IdentityDefender for Identity sensor
    Los sensores de Defender for IdentityDefender for Identity se pueden instalar directamente en los siguientes servidores:Defender for IdentityDefender for Identity sensors can be directly installed on the following servers:

    • Controladores de dominio: El sensor supervisa directamente el tráfico del controlador de dominio, sin que sea necesario usar un servidor dedicado ni la configuración de una creación de reflejo del puerto.Domain controllers: The sensor directly monitors domain controller traffic, without the need for a dedicated server, or configuration of port mirroring.
    • AD FS: el sensor supervisa directamente los eventos de autenticación y el tráfico de red.AD FS: The sensor directly monitors network traffic and authentication events.
  • Servicio en la nube de Defender for IdentityDefender for IdentityDefender for IdentityDefender for Identity cloud service
    El servicio en la nube de Defender for IdentityDefender for Identity se ejecuta en la infraestructura de Azure y actualmente está implementado en Estados Unidos, Europa y Asia.Defender for IdentityDefender for Identity cloud service runs on Azure infrastructure and is currently deployed in the US, Europe, and Asia. El servicio en la nube de Defender for IdentityDefender for Identity está conectado a Microsoft Intelligent Security Graph.Defender for IdentityDefender for Identity cloud service is connected to Microsoft's intelligent security graph.

Portal de Defender for IdentityDefender for Identity portal

Use el portal de Defender for IdentityDefender for Identity para:Use the Defender for IdentityDefender for Identity portal to:

  • Crear la instancia de Defender for IdentityDefender for IdentityCreate your Defender for IdentityDefender for Identity instance
  • Integrar con otros servicios de seguridad de MicrosoftIntegrate with other Microsoft security services
  • Administrar la configuración del sensor de Defender for IdentityDefender for IdentityManage Defender for IdentityDefender for Identity sensor configuration settings
  • Visualizar los datos recibidos de los sensores de Defender for IdentityDefender for IdentityView data received from Defender for IdentityDefender for Identity sensors
  • Supervisar las actividades sospechosas detectadas y los ataques sospechosos basados en el modelo de cadena de interrupción de ataqueMonitor detected suspicious activities and suspected attacks based on the attack kill chain model
  • Opcional: el portal también puede configurarse para que envíe correos electrónicos y eventos cuando se detecten problemas de mantenimiento o alertas de seguridad.Optional: the portal can also be configured to send emails and events when security alerts or health issues are detected

Nota

Si no hay ningún sensor instalado en la instancia de Defender for IdentityDefender for Identity al cabo de 60 días, se podría eliminar y tendría que volver a crearla.If no sensor is installed on your Defender for IdentityDefender for Identity instance within 60 days, the instance may be deleted and you'll need to recreate it.

Sensor de Defender for IdentityDefender for Identity sensor

El sensor de Defender for IdentityDefender for Identity tiene esta función principal:The Defender for IdentityDefender for Identity sensor has the following core functionality:

  • Capturar e inspeccionar el tráfico de red del controlador de dominio (tráfico local del controlador de dominio).Capture and inspect domain controller network traffic (local traffic of the domain controller)
  • Recibir eventos de Windows directamente desde los controladores de dominio.Receive Windows Events directly from the domain controllers
  • Recibir información de cuentas de Radius del proveedor de VPNReceive RADIUS accounting information from your VPN provider
  • Recuperar datos sobre usuarios y equipos del dominio de Active DirectoryRetrieve data about users and computers from the Active Directory domain
  • Llevar a cabo tareas de resolución de entidades de red (usuarios, grupos y equipos)Perform resolution of network entities (users, groups, and computers)
  • Transferir datos de interés al servicio en la nube de Defender for IdentityDefender for IdentityTransfer relevant data to the Defender for IdentityDefender for Identity cloud service

Características de los sensores de Defender for IdentityDefender for Identity sensor features

El sensor de Defender for IdentityDefender for Identity lee los eventos localmente, sin necesidad de adquirir y mantener ningún hardware o configuración adicional.Defender for IdentityDefender for Identity sensor reads events locally, without the need to purchase and maintain additional hardware or configurations. El sensor de Defender for IdentityDefender for Identity también admite Seguimiento de eventos para Windows (ETW), que proporciona la información de registro de varias detecciones.The Defender for IdentityDefender for Identity sensor also supports Event Tracing for Windows (ETW) which provides the log information for multiple detections. Las detecciones basadas en ETW incluyen sospechas de ataques DCShadow que se hayan intentado realizar mediante solicitudes de replicación del controlador de dominio y la promoción de este.ETW-based detections include Suspected DCShadow attacks attempted using domain controller replication requests and domain controller promotion.

Proceso del sincronizador de dominioDomain synchronizer process

El proceso del sincronizador de dominio es responsable de sincronizar todas las entidades de un dominio de Active Directory específico de forma proactiva (similar al mecanismo que usan los propios controladores de dominio para la replicación).The domain synchronizer process is responsible for synchronizing all entities from a specific Active Directory domain proactively (similar to the mechanism used by the domain controllers themselves for replication). Un sensor se selecciona de forma automática de entre todos los sensores aptos para que actúe como sincronizador de dominio.One sensor is automatically chosen at random from all of your eligible sensors to serve as the domain synchronizer.

Si el sincronizador del dominio está sin conexión durante más de 30 minutos, se seleccionará otro automáticamente.If the domain synchronizer is offline for more than 30 minutes, another sensor is automatically chosen instead.

Limitaciones de recursosResource limitations

El sensor de Defender for IdentityDefender for Identity incluye un componente de supervisión que evalúa la capacidad de proceso y memoria disponibles en el controlador de dominio en el que se está ejecutando.The Defender for IdentityDefender for Identity sensor includes a monitoring component that evaluates the available compute and memory capacity on the domain controller on which it's running. El proceso de supervisión se ejecuta cada 10 segundos y actualiza dinámicamente la cuota de uso de CPU y memoria en el proceso del sensor de Defender for IdentityDefender for Identity.The monitoring process runs every 10 seconds and dynamically updates the CPU and memory utilization quota on the Defender for IdentityDefender for Identity sensor process. El proceso de supervisión se asegura de que el controlador de dominio siempre tiene al menos el 15% de recursos de proceso y memoria disponibles.The monitoring process makes sure the domain controller always has at least 15% of free compute and memory resources available.

Independientemente de lo que ocurra en el controlador de dominio, el proceso de supervisión libera continuamente recursos para asegurarse de que la función principal del controlador de dominio no se vea nunca afectada.No matter what occurs on the domain controller, the monitoring process continually frees up resources to make sure the domain controller's core functionality is never affected.

Si el proceso de supervisión hace que el sensor de Defender for IdentityDefender for Identity se quede sin recursos, se supervisa únicamente el tráfico parcial y, en la página de estado del portal de Defender for IdentityDefender for Identity, aparecerá una alerta de estado para indicar que se quitó el tráfico de red reflejado en puerto.If the monitoring process causes the Defender for IdentityDefender for Identity sensor to run out of resources, only partial traffic is monitored and the health alert "Dropped port mirrored network traffic" appears in the Defender for IdentityDefender for Identity portal Health page.

Eventos de WindowsWindows Events

Para mejorar la cobertura de detección de Defender for IdentityDefender for Identity relativa a las autenticaciones NTLM, las modificaciones de grupos confidenciales y la creación de servicios sospechosos, Defender for IdentityDefender for Identity necesita analizar los registros de los siguientes eventos de Windows: 4776,4732,4733,4728,4729,4756,4757,7045 y 8004.To enhance Defender for IdentityDefender for Identity detection coverage related to NTLM authentications, modifications to sensitive groups and creation of suspicious services, Defender for IdentityDefender for Identity needs to analyze the logs of the following Windows events: 4776,4732,4733,4728,4729,4756,4757,7045 and 8004. Estos eventos los leen automáticamente los sensores de Defender for IdentityDefender for Identity con la configuración de directiva de auditoría avanzada correcta.These events are read automatically by Defender for IdentityDefender for Identity sensors with correct advanced audit policy settings. Para asegurarse de que el evento 8004 de Windows se audita según sea necesario para el servicio, revise la configuración de auditoría NTLM.To make sure Windows Event 8004 is audited as needed by the service, review your NTLM audit settings.

Pasos siguientesNext steps