Requisitos previos de Microsoft Defender for Identity

En este artículo se describen los requisitos para implementar Microsoft Defender for Identity correctamente en el entorno.

Nota

Para más información sobre cómo planear la capacidad y los recursos, consulte Planeamiento de la capacidad de Defender for Identity.

Defender for Identity consta del servicio en la nube de Defender for Identity, que está formado por el portal de Defender for Identity y el sensor de Defender for Identity. Para más información sobre cada componente de Defender for Identity, consulte Arquitectura de Defender for Identity.

Defender for Identity protege a los usuarios de Active Directory local y a los usuarios sincronizados con Azure Active Directory. Para proteger un entorno compuesto por solo los usuarios AAD, consulte ¿Qué es Azure Active Directory Identity Protection?

Para crear la instancia de Defender for Identity, necesita un inquilino de AAD con al menos un administrador global o de seguridad. Cada instancia de Defender for Identity admite un límite de bosque de Active Directory múltiple y un nivel funcional de bosque (FFL) de Windows 2003 y versiones posteriores.

Esta guía de requisitos previos está dividida en las secciones siguientes para garantizar que tenga todo lo que necesita para implementar correctamente Defender for Identity.

Antes de empezar: indica la información que debe reunir y las cuentas y entidades de red que debe tener para iniciar la instalación.

Portal de Defender for Identity: se describen los requisitos del explorador del portal de Defender for Identity.

Sensor de Defender for Identity: se enumeran los requisitos de hardware y software del sensor de Defender for Identity.

Sensor independiente de Defender for Identity: el sensor independiente de Defender for Identity se instala en un servidor dedicado y requiere la configuración de la creación de reflejo del puerto en el controlador de dominio para recibir el tráfico de red.

Nota

Los sensores independientes de Defender for Identity no admiten la recopilación de entradas de registro de Seguimiento de eventos para Windows (ETW) que proporcionan los datos para varias detecciones. Para obtener una cobertura completa de su entorno, se recomienda implementar el sensor de Defender for Identity.

Antes de empezar

En esta sección se muestra la información que debe reunir, así como las cuentas y la información de las entidades de red que deben existir antes de comenzar la instalación de Defender for Identity.

  • Adquiera una licencia de Enterprise Mobility + Security E5 (EMS E5/A5), Microsoft 365 E5 (M365 E5/A5/G5) o Microsoft 365 E5/A5/G5 Security directamente en el portal de Microsoft 365, o bien use el modelo de asignación de licencias de Proveedor de soluciones en la nube (CSP). También están disponibles las licencias de Defender for Identity independientes.

  • Compruebe que los controladores de dominio en los que tiene intención de instalar los sensores de Defender for Identity disponen de conectividad a Internet para el servicio en la nube de Defender for Identity. El sensor de Defender for Identity admite el uso de un servidor proxy. Para más información sobre la configuración de proxy, consulte Configuración de un proxy para Defender for Identity.

  • Al menos una de las siguientes cuentas de servicios de directorio con acceso de lectura a todos los objetos de los dominios supervisados:

    • Una cuenta de usuario de AD estándar y contraseña. Se requiere para los sensores que ejecutan Windows Server 2008 R2 SP1.

    • Una cuenta de servicio administrada de grupo (gMSA). Requiere Windows Server 2012 o posterior.
      Todos los sensores deben tener permisos para recuperar la contraseña de la cuenta de gMSA.
      Para obtener información sobre las cuentas de gMSA, consulte Introducción a las cuentas de servicio administradas de grupo.

      En la tabla siguiente se muestran qué cuentas de usuario de AD se pueden usar con qué versiones de servidor:

      Tipo de cuenta Windows Server 2008 R2 SP1 Windows Server 2012 o superior
      Una cuenta de usuario de AD estándar
      Cuenta de gMSA No

      Nota

      • En el caso de las máquinas de sensores que ejecutan Windows Server 2012 y versiones posteriores, se recomienda usar una cuenta de gMSA para mejorar la seguridad y la administración automática de contraseñas.
      • Si tiene varios sensores, algunos con Windows Server 2008 R2 y otros con Windows Server 2012 o posterior, además de la recomendación de usar una cuenta de gMSA, también debe usar al menos una cuenta de usuario de AD estándar.
      • Si tiene configuradas ACL personalizadas en varias unidades organizativas del dominio, procure que el usuario seleccionado tenga permiso de lectura a esas unidades organizativas.
  • Si ejecuta Wireshark en el sensor independiente de Defender for Identity, reinicie el servicio del sensor de Defender for Identity después de haber detenido la captura de Wireshark. Si no reinicia el servicio del sensor, el sensor deja de capturar tráfico.

  • Si intenta instalar el sensor de Defender for Identity en una máquina configurada con un adaptador de formación de equipos NIC, recibirá un error de instalación. Si quiere instalar el sensor de Defender for Identity en una máquina configurada con formación de equipos NIC, consulte Problema de formación de equipos NIC con el sensor de Defender for Identity.

  • Recomendación del contenedor Objetos eliminados: el usuario debería tener permisos de solo lectura en el contenedor de objetos eliminados. Los permisos de solo lectura en este contenedor permiten que Defender for Identity detecte eliminaciones de usuarios de Active Directory. Para obtener información sobre cómo configurar permisos de solo lectura en el contenedor Objetos eliminados, vea la sección Cambiar permisos en un contenedor de objetos eliminados del artículo Ver o establecer permisos en un objeto de directorio.

  • Honeytoken opcional: una cuenta de usuario de un usuario que no tenga actividades de red. Esta cuenta se configura como un usuario de honeytoken de Defender for Identity. Para más información sobre el uso de Honeytokens, consulte Administración de cuentas confidenciales o de honeytoken.

  • (Opcional) Cuando se implementa el sensor independiente, es necesario reenviar eventos de Windows a Defender for Identity para mejorar aún más las detecciones basadas en la autenticación de Defender for Identity, las adiciones a grupos confidenciales y las detecciones de creación de servicios sospechosos. El sensor de Defender for Identity recibe automáticamente estos eventos. En el sensor independiente de Defender for Identity, estos eventos se pueden recibir del SIEM o mediante el establecimiento del reenvío de eventos de Windows desde el controlador de dominio. Los eventos recopilados proporcionan a Defender for Identity información adicional que no está disponible a través del tráfico de red del controlador de dominio.

Requisitos del portal de Defender for Identity

El acceso al portal de Defender for Identity se efectúa a través de un explorador. Se admiten los siguientes exploradores y configuraciones:

  • Un explorador que admita TLS 1.2, como:

    • Microsoft Edge
    • Internet Explorer 11 y versiones posteriores
    • Google Chrome 30.0 y versiones posteriores
  • Resolución de ancho de pantalla mínima de 1700 píxeles

  • Firewall/proxy abierto: para comunicarse con el servicio en la nube de Defender for Identity, el puerto 443 de *.atp.azure.com debe estar abierto en el firewall o proxy.

    Nota

    También puede usar nuestra etiqueta de servicio de Azure (AzureAdvancedThreatProtection) para habilitar el acceso a Defender for Identity. Para obtener más información acerca de las etiquetas de servicio, consulte Etiquetas de servicio de red virtual o descargue el archivo de etiquetas de servicio.

Diagrama de arquitectura de Defender for Identity

Nota

De forma predeterminada, Defender for Identity admite hasta 350 sensores. Si quiere instalar más, póngase en contacto con el soporte técnico de Defender for Identity.

Requisitos de la resolución de nombres de red (NNR) de Defender for Identity

La resolución de nombres de red (NNR) es un componente principal de la funcionalidad de Defender for Identity. Para resolver direcciones IP a nombres de equipo, los sensores de Defender for Identity buscan las direcciones IP mediante los métodos siguientes:

  • NTLM a través de RPC (puerto TCP 135)
  • NetBIOS (puerto UDP 137)
  • RDP (puerto TCP 3389), solo el primer paquete de Client hello
  • Consulta al servidor DNS mediante la búsqueda DNS inversa de la dirección IP (UDP 53)

Para que los tres primeros métodos funcionen, deben abrirse los puertos correspondientes entre los sensores de Defender for Identity y los dispositivos de la red. Para más información sobre Defender for Identity y NNR, consulte Directiva de NNR de Defender for Identity.

Para obtener los mejores resultados, se recomienda utilizar todos los métodos. Si esto no es posible, debe usar el método de búsqueda de DNS y al menos uno de los otros métodos.

Requisitos de los sensores de Defender for Identity

En esta sección se enumeran los requisitos del sensor de Defender for Identity.

General

El sensor de Defender for Identity permite su instalación en controladores de dominio o en servidores de Servicios de federación de Active Directory (AD FS), tal como se muestra en la tabla siguiente.

Versión del sistema operativo Servidor con experiencia de escritorio Server Core Nano Server Instalaciones compatibles
Windows Server 2008 R2 SP1 No es aplicable Controlador de dominio
Windows Server 2012 No es aplicable Controlador de dominio
Windows Server 2012 R2 No es aplicable Controlador de dominio
Windows Server 2016 Controlador de dominio, AD FS
Windows Server 2019* Controlador de dominio, AD FS

* Requiere KB4487044 o una actualización acumulativa más reciente. Los sensores instalados en Server 2019 sin esta actualización se detendrán automáticamente si la versión del archivo ntdsai.dll del directorio del sistema es anterior a 10.0.17763.316.

El controlador de dominio puede ser un controlador de dominio de solo lectura (RODC).

Para que los sensores que se ejecuten en los controladores de dominio y AD FS se comuniquen con el servicio en la nube, debe abrir el puerto 443 en los firewalls o servidores proxy a *.atp.azure.com. Si va a realizar la instalación en una granja de AD FS, se recomienda instalar el sensor en cada servidor de AD FS o, al menos, en el nodo principal.

Durante la instalación, si .NET Framework 4.7 o posterior no está instalado, se instala y es posible que sea necesario reiniciar el servidor. También es posible que se requiera un reinicio si ya hay un reinicio pendiente.

Nota

Se requiere un mínimo de 5 GB de espacio en disco, pero se recomienda disponer de 10 GB. Esto incluye el espacio necesario para los binarios de Defender for Identity, los registros de Defender for Identity y los registros de rendimiento.

Especificaciones del servidor

El sensor de Defender for Identity necesita tener instalados 2 núcleos y 6 GB de RAM como mínimo en el controlador de dominio. Para disfrutar del mejor rendimiento posible, establezca la opción de energía de la máquina en la que se ejecuta el sensor de Defender for Identity en Alto rendimiento.

Los sensores de Defender for Identity se pueden implementar en controladores de dominio o en servidores de AD FS de varias cargas y tamaños, según la cantidad de tráfico de red hacia y desde los servidores, y la cantidad de recursos instalados.

En el caso de los sistemas operativos Windows 2008 R2 y 2012, el sensor de Defender for Identity no se admite en un modo de grupo de varios procesadores. Para obtener más información sobre el modo de grupo de varios procesadores, consulte el artículo sobre la solución de problemas.

Nota

Cuando se ejecuta como una máquina virtual, es necesario que toda la memoria esté asignada a la máquina virtual en todo momento.

Para más información sobre los requisitos de hardware del sensor de Defender for Identity, consulte Planeamiento de la capacidad de Defender for Identity.

Sincronización de hora

Los servidores y controladores de dominio en los que está instalado el sensor deben estar sincronizados a intervalos de cinco minutos entre sí.

Adaptadores de red

El sensor de Defender for Identity supervisa el tráfico local en todos los adaptadores de red del controlador de dominio.
Después de la implementación, use el portal de Defender for Identity para modificar los adaptadores de red que se supervisan.

Los controladores de dominio con Windows 2008 R2 y la opción de formación de equipos de adaptadores de red de Broadcom habilitada no admiten el sensor.

Puertos

En la tabla siguiente se enumeran los puertos mínimos que necesita el sensor de Defender for Identity:

Protocolo Transporte Puerto From En
Puertos de Internet
SSL (*.atp.azure.com) TCP 443 Sensor de Defender for Identity Servicio en la nube de Defender for Identity
Puertos internos
DNS TCP y UDP 53 Sensor de Defender for Identity Servidores DNS
Netlogon (SMB, CIFS, SAM-R) TCP/UDP 445 Sensor de Defender for Identity Todos los dispositivos de la red
RADIUS UDP 1813 RADIUS Sensor de Defender for Identity
Puertos localhost* Obligatorio para el actualizador del Servicio de sensores
SSL (localhost) TCP 444 Servicio de sensores Servicio del actualizador de sensores
Puertos de NNR**
NTLM sobre RPC TCP Puerto 135 Defender for Identity Todos los dispositivos de la red
NetBIOS UDP 137 Defender for Identity Todos los dispositivos de la red
RDP TCP 3389, solo el primer paquete de Client hello Defender for Identity Todos los dispositivos de la red

* De manera predeterminada, se permite el tráfico de localhost a localhost a menos que una directiva de firewall lo bloquee.
** Uno de estos puertos es obligatorio, pero se recomienda abrirlos todos.

Registros de eventos de Windows

La detección de Defender for Identity se basa en registros de eventos de Windows específicos que el sensor analiza desde los controladores de dominio. Para que los eventos correctos se auditen y se incluyan en el registro de eventos de Windows, es preciso que los controladores de dominio tengan una configuración de directiva de auditoría avanzada precisa. Para obtener más información acerca de cómo establecer las directivas correctas, consulte Comprobación de directivas de auditoría avanzada de Azure ATP. Para asegurarse de que el evento 8004 de Windows se audita según sea necesario para el servicio, revise la configuración de auditoría NTLM.

En el caso de los sensores que se ejecutan en servidores de AD FS, configure el nivel de auditoría como Detallado. Para obtener información sobre cómo configurar el nivel de auditoría, vea Información de auditoría de eventos para AD FS.

Nota

Con la cuenta de usuario del servicio de directorio, el sensor consulta los administradores locales en los puntos de conexión de la organización mediante SAM-R (inicio de sesión de red) con el fin de generar el gráfico de rutas de desplazamiento lateral. Para obtener más información, vea Configuración de los permisos necesarios de SAM-R.

Requisitos de un sensor independiente de Defender for Identity

En esta sección se enumeran los requisitos del sensor independiente de Defender for Identity.

Nota

Los sensores independientes de Defender for Identity no admiten la recopilación de entradas de registro de Seguimiento de eventos para Windows (ETW) que proporcionan los datos para varias detecciones. Para obtener una cobertura completa de su entorno, se recomienda implementar el sensor de Defender for Identity.

General

El sensor independiente de Defender for Identity se puede instalar en un servidor que ejecute Windows Server 2012 R2 o Windows Server 2016 (incluido Server Core). El sensor independiente de Defender for Identity se puede instalar en un servidor que sea miembro de un dominio o un grupo de trabajo. El sensor independiente de Defender for Identity se puede usar para supervisar controladores de dominio con el nivel de dominio funcional de dominio de Windows 2003 y versiones posteriores.

Para que el sensor independiente se comunique con el servicio en la nube, el puerto 443 para *.atp.azure.com debe estar abierto en los firewall o proxy.

Para más información sobre cómo usar máquinas virtuales con el sensor independiente de Defender for Identity, consulte Configuración de la creación de reflejo del puerto.

Nota

Se requiere un mínimo de 5 GB de espacio en disco, pero se recomienda disponer de 10 GB. Esto incluye el espacio necesario para los binarios de Defender for Identity, los registros de Defender for Identity y los registros de rendimiento.

Especificaciones del servidor

Para disfrutar del mejor rendimiento posible, establezca la opción de energía de la máquina en la que se ejecuta el sensor independiente de Defender for Identity en Alto rendimiento.

Un sensor independiente de Defender for Identity permite supervisar varios controladores de dominio, según la cantidad de tráfico de red hacia estos y desde allí.

Nota

Cuando se ejecuta como una máquina virtual, es necesario que toda la memoria esté asignada a la máquina virtual en todo momento.

Para más información sobre los requisitos de hardware del sensor independiente de Defender for Identity, consulte Planeamiento de la capacidad de Defender for Identity.

Sincronización de hora

Los servidores y controladores de dominio en los que está instalado el sensor deben estar sincronizados a intervalos de cinco minutos entre sí.

Adaptadores de red

El sensor independiente de Defender for Identity necesita como mínimo un adaptador de administración y un adaptador de captura:

  • Adaptador de administración: se usa en las comunicaciones de la red corporativa. El sensor utilizará este adaptador para consultar el controlador de dominio que se protege y llevar a cabo la resolución para las cuentas de máquina.

    Este adaptador debe configurarse de la siguiente manera:

    • Dirección IP estática que incluya la puerta de enlace predeterminada

    • Servidores DNS preferido y alternativo

    • El Sufijo DNS para esta conexión debe ser el nombre DNS del dominio de cada dominio que se esté supervisando.

      Configurar el sufijo DNS en Configuración avanzada de TCP/IP.

      Nota

      Si el sensor independiente de Defender for Identity es un miembro del dominio, se puede configurar automáticamente.

  • Adaptador de captura: se usará para capturar el tráfico hacia y desde los controladores de dominio.

    Importante

    • Configure la creación de reflejo del puerto del adaptador de captura como destino del tráfico de red del controlador de dominio. Para más información, vea Configurar la creación de reflejo del puerto. Normalmente, tiene que colaborar con el equipo de virtualización o de redes para configurar la creación de reflejo del puerto.
    • Configure una dirección IP no enrutable estática (con máscara /32) en el entorno sin una puerta de enlace de sensor predeterminada y sin direcciones de servidor DNS. Por ejemplo: 10.10.0.10/32. Esto garantiza que el adaptador de red de captura pueda capturar la máxima cantidad de tráfico posible y que el adaptador de red de administración se use para enviar y recibir el tráfico de red necesario.

Puertos

En la tabla siguiente se enumeran los puertos mínimos que el servidor independiente de Defender for Identity necesita que se configuren en el adaptador de administración:

Protocolo Transporte Puerto From En
Puertos de Internet
SSL (*.atp.azure.com) TCP 443 Sensor de Defender for Identity Servicio en la nube de Defender for Identity
Puertos internos
LDAP TCP y UDP 389 Sensor de Defender for Identity Controladores de dominios
LDAP seguro (LDAPS) TCP 636 Sensor de Defender for Identity Controladores de dominios
LDAP para Catálogo global TCP 3268 Sensor de Defender for Identity Controladores de dominios
LDAPS para Catálogo global TCP 3269 Sensor de Defender for Identity Controladores de dominios
Kerberos TCP y UDP 88 Sensor de Defender for Identity Controladores de dominios
Netlogon (SMB, CIFS, SAM-R) TCP y UDP 445 Sensor de Defender for Identity Todos los dispositivos de la red
Hora de Windows UDP 123 Sensor de Defender for Identity Controladores de dominios
DNS TCP y UDP 53 Sensor de Defender for Identity Servidores DNS
Syslog (opcional) TCP/UDP 514, según la configuración Servidor SIEM Sensor de Defender for Identity
RADIUS UDP 1813 RADIUS Sensor de Defender for Identity
Puertos localhost* Obligatorio para el actualizador del Servicio de sensores
SSL (localhost) TCP 444 Servicio de sensores Servicio del actualizador de sensores
Puertos de NNR**
NTLM sobre RPC TCP 135 Defender for Identity Todos los dispositivos de la red
NetBIOS UDP 137 Defender for Identity Todos los dispositivos de la red
RDP TCP 3389, solo el primer paquete de Client hello Defender for Identity Todos los dispositivos de la red

* De manera predeterminada, se permite el tráfico de localhost a localhost a menos que una directiva de firewall lo bloquee.
** Uno de estos puertos es obligatorio, pero se recomienda abrirlos todos.

Nota

Consulte también