Configuración del proxy del punto de conexión y de la conectividad a Internet para el sensor de Microsoft Defender for Identity

Cada sensor de Microsoft Defender for Identity requiere conectividad a Internet con el servicio en la nube de Defender for Identity para comunicar los datos del sensor y funcionar correctamente. En algunas organizaciones, los controladores de dominio no están conectados directamente a Internet, pero se conectan a través de una conexión de proxy web.

Le recomendamos que use la línea de comandos para configurar el servidor proxy, ya que esto le permite asegurarse de que solo los servicios de sensor de Defender for Identity se comunican a través del proxy.

Configuración del servidor proxy mediante la línea de comandos

Puede configurar el servidor proxy durante la instalación del sensor mediante el uso de los siguientes modificadores de la línea de comandos.

Sintaxis

"Azure ATP sensor Setup.exe" [/quiet] [/Help] [ProxyUrl="http://proxy.internal.com"] [ProxyUserName="domain\proxyuser"] [ProxyUserPassword="ProxyPassword"]

Descripciones de los modificadores

Nombre Sintaxis ¿Obligatorio para la instalación silenciosa? Descripción
ProxyUrl ProxyUrl="http://proxy.contoso.com:8080" No Especifica la dirección URL del proxy y el número de puerto del sensor de Defender for Identity.
ProxyUserName ProxyUserName="Contoso\ProxyUser" No Si el servicio de proxy requiere autenticación, proporcione un nombre de usuario con el formato DOMINIO\usuario.
ProxyUserPassword ProxyUserPassword="P@ssw0rd" No Especifica la contraseña del nombre de usuario del proxy. *Las credenciales se cifran y almacenan localmente en el sensor de Defender for Identity.

Métodos alternativos para configurar el servidor proxy

Puede usar uno de los siguientes métodos alternativos para configurar el servidor proxy. Al configurar el proxy con estos métodos, otros servicios que se ejecuten en el contexto como sistema local o servicio local también dirigirán el tráfico a través del proxy.

Configuración del servidor proxy mediante WinINet

Puede configurar el servidor proxy mediante la configuración del proxy de Microsoft Windows Internet (WinINet) para permitir que el sensor de Defender for Identity notifique los datos de diagnóstico y se comunique con el servicio en la nube de Defender for Identity cuando no se permita que un equipo se conecte a Internet. Si usa WinHTTP para la configuración del proxy, sigue teniendo que configurar el proxy de explorador de Windows Internet (WinINet) para la comunicación entre el sensor y el servicio en la nube de Defender for Identity.

Al configurar el proxy, recuerde que el servicio del sensor de Defender for Identity insertado se ejecuta en el contexto del sistema con la cuenta LocalService y que el servicio actualizador del sensor de Defender for Identity se ejecuta en el contexto del sistema con la cuenta LocalSystem.

Nota

Si usa proxy transparente o WPAD en la topología de red, no es necesario configurar WinINet para el proxy.

Configuración del servidor proxy mediante el registro

También puede configurar el servidor proxy manualmente con un proxy estático basado en el Registro para permitir que el sensor de Defender for Identity notifique datos de diagnóstico y se comunique con el servicio en la nube de Defender for Identity cuando no se permita que un equipo se conecte a Internet.

Nota

Los cambios del Registro deben aplicarse únicamente a LocalService y LocalSystem.

El proxy estático es configurable a través del Registro. Debe copiar la configuración de proxy que se utiliza en el contexto de usuario en LocalSystem y LocalService. Para copiar la configuración de proxy del contexto de usuario:

  1. Asegúrese de realizar una copia de seguridad de estas claves del Registro antes de modificarlas.

  2. En el Registro, busque el valor DefaultConnectionSettings como REG_BINARY en la clave del Registro HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\DefaultConnectionSettings y cópielo.

  3. Si LocalSystem no tiene la configuración de proxy correcta (no se ha configurado o es diferente a la de Current_User), copie la configuración de proxy de Current_User a LocalSystem. En la clave del Registro HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\DefaultConnectionSettings.

  4. Pegue el valor de Current_user DefaultConnectionSettings como REG_BINARY.

  5. Si LocalService no tiene la configuración de proxy correcta, copie la configuración de proxy de Current_User a LocalService. En la clave del Registro HKU\S-1-5-19\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\DefaultConnectionSettings.

  6. Pegue el valor de Current_User DefaultConnectionSettings como REG_BINARY.

Nota

Esto afectará a todas las aplicaciones, incluidos los servicios de Windows que utilizan WinINET con el contexto LocalService y LocalSystem.

Habilitación del acceso a direcciones URL del servicio de Defender for Identity en el servidor proxy

Para habilitar el acceso a Defender for Identity, se recomienda permitir el tráfico en las siguientes URL. Las URL se asignan automáticamente a la ubicación del servicio correcta de su instancia de Defender for Identity.

  • <your-instance-name>.atp.azure.com: para la conectividad de la consola. Por ejemplo, contoso-corp.atp.azure.com.

  • <your-instance-name>sensorapi.atp.azure.com: para la conectividad de los sensores. Por ejemplo, contoso-corpsensorapi.atp.azure.com.

También puede usar los intervalos de direcciones IP en nuestra etiqueta de servicio de Azure (AzureAdvancedThreatProtection) para permitir el acceso a Defender for Identity. Para obtener más información acerca de las etiquetas de servicio, consulte Etiquetas de servicio de red virtual o descargue el archivo de etiquetas de servicio.

De forma alternativa, si necesita un control más pormenorizado, es recomendable que permita el tráfico en los puntos de conexión pertinentes de la tabla siguiente:

Ubicación del servicio Registro DNS *.atp.azure.com
EE. UU. triprd1wcusw2sensorapi.atp.azure.com
triprd1wcuswb3sensorapi.atp.azure.com
triprd1wcuse3sensorapi.atp.azure.com
GCC High para Estados Unidos https://triff1wcva2sensorapi.atp.azure.us
Europa triprd1wceun2sensorapi.atp.azure.com
triprd1wceuw3sensorapi.atp.azure.com
Asia triprd1wcasse2sensorapi.atp.azure.com
Reino Unido triprd1wcuks2sensorapi.atp.azure.com

Nota

  • Para garantizar la máxima seguridad y privacidad de los datos, Defender for Identity usa la autenticación mutua basada en certificado entre cada sensor de Defender for Identity y el back-end de nube de Defender for Identity. Si se usa la inspección de SSL en su entorno, asegúrese de que se configura para la autenticación mutua y, por tanto, no interfiere en el proceso de autenticación.
  • En ocasiones, las direcciones IP del servicio Defender for Identity pueden cambiar. Por lo tanto, si configura manualmente las direcciones IP o si el proxy resuelve automáticamente los nombres DNS en su dirección IP y los usa, debe comprobar periódicamente que las direcciones IP configuradas sigan estando actualizadas.

Consulte también