¿Qué es la resolución de nombres de red?

La resolución de nombres de red (NNR) es un componente principal de la Microsoft Defender for Identity funcionalidad. Defender for Identitycaptura actividades basadas en el tráfico de red, Windows eventos y ETW: estas actividades normalmente contienen datos IP.

El uso de NNR puede correlacionarse entre las actividades sin procesar (que contienen direcciones IP) y los Defender for Identity equipos pertinentes implicados en cada actividad. En función de las actividades sin procesar, genera perfiles de entidades, incluidos los equipos, y genera alertas de Defender for Identity seguridad para actividades sospechosas.

Para resolver direcciones IP a nombres de equipo, los sensores de Defender for Identity buscan las direcciones IP mediante los métodos siguientes:

Métodos principales:

  • NTLM a través de RPC (puerto TCP 135)
  • NetBIOS (puerto UDP 137)
  • RDP (puerto TCP 3389), solo el primer paquete de Client hello

Método secundario:

  • Consulta al servidor DNS mediante la búsqueda DNS inversa de la dirección IP (UDP 53)

Para obtener los mejores resultados, se recomienda usar al menos uno de los métodos principales. La búsqueda inversa de DNS de la dirección IP solo se realiza cuando:

  • No hay ninguna respuesta de ninguno de los métodos principales.
  • Hay un conflicto en la respuesta que se revivió a partir de dos o más métodos principales.

Nota

No se realiza la autenticación en ninguno de los puertos.

Defender for Identity evalúa y determina el sistema operativo del dispositivo en función del tráfico de red. Después de recuperar el nombre del equipo, el sensor comprueba Active Directory y usa huellas digitales TCP para ver si hay un objeto de equipo correlacionado con el mismo nombre Defender for Identity de equipo. El uso de huellas digitales TCP ayuda a identificar los dispositivos sin registrar y que no sean de Windows, lo que contribuye al proceso de investigación. Cuando el Defender for Identity sensor encuentra la correlación, el sensor asocia la dirección IP al objeto de equipo.

En casos donde no se recupera ningún nombre, se crea un perfil de equipo por IP sin resolver con la dirección IP y la actividad detectada pertinente.

Perfil de equipo sin resolver.

Los datos NNR son fundamentales para detectar las siguientes amenazas:

  • Sospecha de robo de identidad (pass-the-ticket)
  • Sospecha de ataque DCSync (replicación de servicios de directorio)
  • Reconocimiento de asignación de redes (DNS)

Para mejorar la capacidad de determinar si una alerta es un verdadero positivo (TP) o falso positivo (FP), incluye el grado de certeza de la resolución de la nomenclatura del equipo en la evidencia de cada alerta de Defender for Identity seguridad.

Por ejemplo, cuando los nombres de equipo se han resuelto con certeza alta, aumenta la confianza en la alerta de seguridad resultante como verdadero positivo o TP.

La evidencia incluye el tiempo, la dirección IP y el nombre del equipo en el que se resolvió la dirección IP. Cuando la certeza de la resolución es baja, utilice esta información para investigar y comprobar qué dispositivo era el verdadera origen de la dirección IP en ese momento. Después de confirmar el dispositivo, puede determinar si la alerta es un falso positivo o FP, de forma similar a los siguientes ejemplos:

  • Sospecha de robo de identidad (Pass-the-Ticket): la alerta se desencadenó para el mismo equipo.

  • Sospecha de ataque DCSync (replicación de servicios de directorio): la alerta se desencadenó desde un controlador de dominio.

  • Reconocimiento de asignación de redes (DNS): la alerta se desencadenó desde un servidor DNS.

    Certeza de la evidencia.

Prerrequisitos

Protocolo Transporte Puerto Dispositivo Dirección
NTLM sobre RPC* TCP 135 Todos los dispositivos de la red Entrada
NetBIOS* UDP 137 Todos los dispositivos de la red Entrada
RDP* TCP 3389 Todos los dispositivos de la red Entrada
DNS UDP 53 Controladores de dominios Saliente

* Uno de estos métodos es necesario, pero se recomienda usar todos ellos.

Para asegurarse de que funciona de forma ideal y de que el entorno está configurado correctamente, comprueba el estado de resolución de cada sensor y emite una alerta de estado por método, proporcionando una lista de los sensores con una tasa de éxito baja de resolución de nombres activas mediante cada Defender for Identity Defender for Identity Defender for Identity método.

Nota

Para deshabilitar un método NNR opcional en para satisfacer las necesidades Defender for Identity de su entorno, abra una llamada de soporte técnico.

Cada alerta de estado proporciona detalles específicos del método, los sensores, la directiva problemática y las recomendaciones de configuración.

Alerta de resolución de nombres de red (NNR) de baja tasa de éxito.

Recomendaciones para la configuración

  • NTLM a través de RPC:

    • Compruebe que el puerto TCP 135 está abierto para la comunicación entrante desde Defender for Identity sensores, en todos los equipos del entorno.
    • Compruebe toda la configuración de la red (firewalls), ya que esto puede impedir la comunicación con los puertos correspondientes.
  • NetBIOS:

    • Compruebe que el puerto UDP 137 está abierto para la comunicación entrante desde Defender for Identity sensores, en todos los equipos del entorno.
    • Compruebe toda la configuración de la red (firewalls), ya que esto puede impedir la comunicación con los puertos correspondientes.
  • RDP:

    • Compruebe que el puerto TCP 3389 está abierto para la comunicación entrante desde Defender for Identity sensores, en todos los equipos del entorno.
    • Compruebe toda la configuración de la red (firewalls), ya que esto puede impedir la comunicación con los puertos correspondientes.

    Nota

    No se admiten puertos RDP personalizados.

  • DNS inverso:

    • Compruebe que el sensor puede llegar al servidor DNS y que las zonas de búsqueda inversa están habilitadas.

Consulte también