Requisitos previos de Microsoft Defender for Identity

En este artículo se describen los requisitos para una implementación correcta de Microsoft Defender for Identity en el entorno.

Nota

Para más información sobre cómo planear la capacidad y los recursos, consulte Planeamiento de la capacidad de Defender for Identity.

Defender for Identity consta del servicio en la nube de Defender for Identity, el portal de Microsoft 365 Defender y el sensor de Defender for Identity. Para más información sobre cada componente de Defender for Identity, consulte Arquitectura de Defender for Identity.

Defender for Identity protege a los usuarios de Active Directory local y a los usuarios sincronizados con Azure Active Directory (Azure AD). Para proteger un entorno compuesto solamente por los usuarios de Azure AD, consulte Azure AD Identity Protection.

En este artículo se incluyen los requisitos del sensor de Defender for Identity y los requisitos del sensor independiente de Defender for Identity. El sensor independiente de Defender for Identity se instala en un servidor dedicado y requiere la configuración de la creación de reflejo del puerto en el controlador de dominio para recibir el tráfico de red.

Antes de comenzar

En esta sección se muestra la información que debe reunir, así como las cuentas y la información de las entidades de red que deben existir antes de comenzar la instalación de Defender for Identity.

Licencias

  • Adquiera una licencia de Enterprise Mobility + Security E5 (EMS E5/A5), Microsoft 365 E5 (M365 E5/A5/G5) o Microsoft 365 E5/A5/G5 Security directamente en el portal de Microsoft 365, o bien use el modelo de asignación de licencias de Proveedor de soluciones en la nube (CSP). También hay licencias de Defender for Identity independientes disponibles. Para obtener más información sobre los requisitos de licencia, consulte Licencia y privacidad.

Cuentas

Permisos

  • Para crear la instancia de Defender for Identity, necesita un inquilino de Azure AD con al menos un administrador global o de seguridad. Cada instancia de Defender for Identity admite un límite de bosque de Active Directory múltiple y un nivel funcional de bosque (FFL) de Windows 2003 y versiones posteriores.

  • Para acceder a la sección Identidad del portal de Microsoft 365 Defender, debe ser administrador global o administrador de seguridad en el inquilino y poder crear el área de trabajo.

Requisitos del portal de Microsoft 365 Defender

Acceda a Defender for Identity en el portal de Microsoft 365 Defender mediante Microsoft Edge, Internet Explorer 11 o cualquier explorador web compatible con HTML 5.

Requisitos del firewall de Defender for Identity

Nota:

Los requisitos de red para ofertas para la Administración Pública de Estados Unidos se pueden encontrar en Microsoft Defender for Identity para ofertas para la Administración Pública de Estados Unidos.

  • Compruebe que los servidores en los que tiene intención de instalar los sensores de Defender for Identity puedan acceder al servicio en la nube de Defender for Identity. Deben poder acceder a https://su-nombre-instanciasensorapi.atp.azure.com (puerto 443). Por ejemplo, https://contoso-corpsensorapi.atp.azure.com.

    Para obtener el nombre de la instancia, consulte la página Acerca de en la sección Configuración de identidades en https://security.microsoft.com/settings/identities. El sensor de Defender for Identity admite el uso de un servidor proxy. Para obtener más información sobre la configuración de proxy, consulte Configuración de un proxy para Defender for Identity.

    Nota

    También puede usar nuestra etiqueta de servicio de Azure (AzureAdvancedThreatProtection) para habilitar el acceso a Defender for Identity. Para obtener más información acerca de las etiquetas de servicio, consulte Etiquetas de servicio de red virtual o descargue el archivo de etiquetas de servicio.

    Diagrama de la arquitectura de Defender for Identity

Puertos

En la tabla siguiente se enumeran los puertos mínimos que necesita el sensor de Defender for Identity:

Protocolo Transporte Puerto From En
Puertos de Internet
SSL (*.atp.azure.com) TCP 443 Sensor de Defender for Identity Servicio en la nube de Defender for Identity
Puertos internos
DNS TCP y UDP 53 Sensor de Defender for Identity Servidores DNS
Netlogon (SMB, CIFS, SAM-R) TCP/UDP 445 Sensor de Defender for Identity Todos los dispositivos de la red
RADIUS UDP 1813 RADIUS Sensor de Defender for Identity
Puertos localhost* Obligatorio para el actualizador del Servicio de sensores
SSL (localhost) TCP 444 Servicio de sensores Servicio del actualizador de sensores
Puertos de NNR**
NTLM sobre RPC TCP Puerto 135 Sensor de Defender for Identity Todos los dispositivos de la red
NetBIOS UDP 137 Sensor de Defender for Identity Todos los dispositivos de la red
RDP TCP 3389, solo el primer paquete de Client hello Sensor de Defender for Identity Todos los dispositivos de la red

* De manera predeterminada, se permite el tráfico de localhost a localhost a menos que una directiva de firewall lo bloquee.
** Uno de estos puertos es obligatorio, pero se recomienda abrirlos todos.

Requisitos de la resolución de nombres de red (NNR) de Defender for Identity

La resolución de nombres de red (NNR) es un componente principal de la funcionalidad de Defender for Identity. Para resolver direcciones IP a nombres de equipo, los sensores de Defender for Identity buscan las direcciones IP mediante los métodos siguientes:

  • NTLM a través de RPC (puerto TCP 135)
  • NetBIOS (puerto UDP 137)
  • RDP (puerto TCP 3389), solo el primer paquete de Client hello
  • Consulta al servidor DNS mediante la búsqueda DNS inversa de la dirección IP (UDP 53)

Para que los tres primeros métodos funcionen, deben abrirse los puertos correspondientes entre los sensores de Defender for Identity y los dispositivos de la red. Para obtener más información sobre el sensor de Defender for Identity y NNR, consulte Directiva de NNR de Defender for Identity.

Para obtener los mejores resultados, se recomienda utilizar todos los métodos. Si esto no es posible, debe usar el método de búsqueda de DNS y al menos uno de los otros métodos.

Requisitos de los sensores de Defender for Identity

En esta sección se enumeran los requisitos del sensor de Defender for Identity.

Nota:

Desde el 15 de junio de 2022, Microsoft ya no admite el sensor de Defender for Identity en dispositivos que ejecuten Windows Server 2008 R2. Se recomienda identificar los controladores de dominio (DC) o los servidores (AD FS) restantes que todavía ejecuten Windows Server 2008 R2 como sistema operativo y planificar su actualización a un sistema operativo compatible.

General

El sensor de Defender for Identity permite su instalación en controladores de dominio o en servidores de Servicios de federación de Active Directory (AD FS), tal como se muestra en la tabla siguiente.

Versión del sistema operativo Servidor con experiencia de escritorio Server Core Nano Server Instalaciones compatibles
Windows Server 2012 No es aplicable Controlador de dominio
Windows Server 2012 R2 No es aplicable Controlador de dominio
Windows Server 2016 Controlador de dominio, AD FS
Windows Server 2019* Controlador de dominio, AD FS
Windows Server 2022 Controlador de dominio, AD FS

* Requiere KB4487044 o una actualización acumulativa más reciente. Los sensores instalados en Server 2019 sin esta actualización se detendrán automáticamente si la versión del archivo ntdsai.dll del directorio del sistema es anterior a 10.0.17763.316.

El controlador de dominio puede ser un controlador de dominio de solo lectura (RODC).

Si va a realizar la instalación en una granja de AD FS, se recomienda instalar el sensor en cada servidor de AD FS o, al menos, en el nodo principal.

Durante la instalación, si .NET Framework 4.7 o posterior no está instalado, se instala y es posible que sea necesario reiniciar el servidor. También es posible que se requiera un reinicio si ya hay un reinicio pendiente. Así pues, al instalar los sensores, considere la posibilidad de programar una ventana de mantenimiento para los controladores de dominio.

Nota

Se requiere un mínimo de 6 GB de espacio en disco, pero se recomienda disponer de 10 GB. Esto incluye el espacio necesario para los archivos binarios de Defender for Identity, los registros de Defender for Identity y los registros de rendimiento.

Especificaciones del servidor

El sensor de Defender for Identity necesita tener instalados 2 núcleos y 6 GB de RAM como mínimo en el controlador de dominio.

Para disfrutar del mejor rendimiento posible, establezca la opción de energía de la máquina en la que se ejecuta el sensor de Defender for Identity en Alto rendimiento.

Los sensores de Defender for Identity se pueden implementar en controladores de dominio o en servidores de AD FS de varias cargas y tamaños, según la cantidad de tráfico de red hacia y desde los servidores, y la cantidad de recursos instalados.

En el caso de Windows Server 2012, el sensor de Defender for Identity no se admite en un modo de grupo de varios procesadores. Para obtener más información sobre el modo de grupo de varios procesadores, consulte el artículo sobre la solución de problemas.

Nota

Cuando se ejecuta como una máquina virtual, es necesario que toda la memoria esté asignada a la máquina virtual en todo momento.

Para obtener más información sobre los requisitos de hardware del sensor de Defender for Identity, vea Planeamiento de la capacidad de Defender for Identity.

Sincronización de hora

Los servidores y controladores de dominio en los que está instalado el sensor deben estar sincronizados a intervalos de cinco minutos entre sí.

Adaptadores de red

El sensor de Defender for Identity supervisa el tráfico local en todos los adaptadores de red del controlador de dominio.
Después de la implementación, use el portal de Microsoft 365 Defender para modificar los adaptadores de red que se supervisan.

Si intenta instalar el sensor de Defender for Identity en una máquina configurada con un adaptador de formación de equipos NIC, recibirá un error de instalación. Si quiere instalar el sensor de Defender for Identity en una máquina configurada con formación de equipos NIC, consulte Problema de formación de equipos NIC con el sensor de Defender for Identity.

Registros de eventos de Windows

La detección de Defender for Identity se basa en registros de eventos de Windows específicos que el sensor analiza desde los controladores de dominio. Para que los eventos correctos se auditen y se incluyan en el registro de eventos de Windows, es preciso que los controladores de dominio tengan una configuración de directiva de auditoría avanzada precisa. Para obtener más información acerca de cómo establecer las directivas correctas, consulte Comprobación de directivas de auditoría avanzada de Azure ATP. Para asegurarse de que el evento 8004 de Windows se audita según sea necesario para el servicio, revise la configuración de auditoría NTLM.

En el caso de los sensores que se ejecutan en servidores de AD FS, configure el nivel de auditoría como Detallado. Para obtener información sobre cómo configurar el nivel de auditoría, vea Información de auditoría de eventos para AD FS.

Nota

Con la cuenta de usuario del servicio de directorio, el sensor consulta los administradores locales en los puntos de conexión de la organización mediante SAM-R (inicio de sesión de red) con el fin de generar el gráfico de rutas de desplazamiento lateral. Para obtener más información, vea Configuración de los permisos necesarios de SAM-R.

Requisitos de un sensor independiente de Defender for Identity

En esta sección se enumeran los requisitos del sensor independiente de Defender for Identity.

Nota

Los sensores independientes de Defender for Identity no admiten la recopilación de entradas de registro de Seguimiento de eventos para Windows (ETW) que proporcionan los datos para varias detecciones. Para obtener una cobertura completa de su entorno, se recomienda implementar el sensor de Defender for Identity en todos los controladores de dominio.

Cuando se implementa el sensor independiente, es necesario reenviar eventos de Windows a Defender for Identity para mejorar aún más las detecciones basadas en la autenticación de Defender for Identity, las adiciones a grupos confidenciales y las detecciones de creación de servicios sospechosos. El sensor de Defender for Identity recibe automáticamente estos eventos. En el sensor independiente de Defender for Identity, estos eventos se pueden recibir del SIEM o mediante el establecimiento del reenvío de eventos de Windows desde el controlador de dominio. Los eventos recopilados proporcionan a Defender for Identity información adicional que no está disponible a través del tráfico de red del controlador de dominio.

Requisitos generales del sensor independiente

El sensor independiente de Defender for Identity se puede instalar en un servidor que ejecute Windows Server 2012 R2, Windows Server 2016, Windows Server 2019 y Windows Server 2022 (incluido Server Core). El sensor independiente de Defender for Identity se puede instalar en un servidor que sea miembro de un dominio o un grupo de trabajo. El sensor independiente de Defender for Identity se puede usar para supervisar controladores de dominio con el nivel de dominio funcional de dominio de Windows 2003 y versiones posteriores.

Para que el sensor independiente se comunique con el servicio en la nube, el puerto 443 para *.atp.azure.com debe estar abierto en los firewall o proxy de sensorapi.atp.azure.com. Consulte la sección Requisitos del firewall de Defender for Identity para obtener más detalles.

Para más información sobre cómo usar máquinas virtuales con el sensor independiente de Defender for Identity, consulte Configuración de la creación de reflejo del puerto.

Nota

Se requiere un mínimo de 5 GB de espacio en disco, pero se recomienda disponer de 10 GB. Esto incluye el espacio necesario para los archivos binarios de Defender for Identity, los registros de Defender for Identity y los registros de rendimiento.

Especificaciones del servidor para sensores independientes

Para disfrutar del mejor rendimiento posible, establezca la opción de energía de la máquina en la que se ejecuta el sensor independiente de Defender for Identity en Alto rendimiento.

Un sensor independiente de Defender for Identity permite supervisar varios controladores de dominio, según la cantidad de tráfico de red hacia y desde estos.

Nota

Cuando se ejecuta como una máquina virtual, es necesario que toda la memoria esté asignada a la máquina virtual en todo momento.

Para obtener más información sobre los requisitos de hardware del sensor independiente de Defender for Identity, consulte Planeamiento de la capacidad de Defender for Identity.

Sincronización de hora para sensores independientes

Los servidores y controladores de dominio en los que está instalado el sensor deben estar sincronizados a intervalos de cinco minutos entre sí.

Adaptadores de red para sensores independientes

El sensor independiente de Defender for Identity necesita como mínimo un adaptador de administración y un adaptador de captura:

  • Adaptador de administración: se usa en las comunicaciones de la red corporativa. El sensor utilizará este adaptador para consultar el controlador de dominio que se protege y llevar a cabo la resolución para las cuentas de máquina.

    Este adaptador debe configurarse de la siguiente manera:

    • Dirección IP estática que incluya la puerta de enlace predeterminada

    • Servidores DNS preferido y alternativo

    • El Sufijo DNS para esta conexión debe ser el nombre DNS del dominio de cada dominio que se esté supervisando.

      Configurar el sufijo DNS en Configuración avanzada de TCP/IP.

      Nota

      Si el sensor independiente de Defender for Identity es un miembro del dominio, se puede configurar automáticamente.

  • Adaptador de captura: se usará para capturar el tráfico hacia y desde los controladores de dominio.

    Importante

    • Configure la creación de reflejo del puerto del adaptador de captura como destino del tráfico de red del controlador de dominio. Para más información, vea Configurar la creación de reflejo del puerto. Normalmente, tiene que colaborar con el equipo de virtualización o de redes para configurar la creación de reflejo del puerto.
    • Configure una dirección IP no enrutable estática (con máscara /32) en el entorno sin una puerta de enlace de sensor predeterminada y sin direcciones de servidor DNS. Por ejemplo: 10.10.0.10/32. Esto garantiza que el adaptador de red de captura pueda capturar la máxima cantidad de tráfico posible y que el adaptador de red de administración se use para enviar y recibir el tráfico de red necesario.

Nota:

Si ejecuta Wireshark en el sensor independiente de Defender for Identity, reinicie el servicio del sensor de Defender for Identity después de haber detenido la captura de Wireshark. Si no reinicia el servicio del sensor, el sensor deja de capturar tráfico.

Si intenta instalar el sensor de Defender for Identity en una máquina configurada con un adaptador de formación de equipos NIC, recibirá un error de instalación. Si quiere instalar el sensor de Defender for Identity en una máquina configurada con formación de equipos NIC, consulte Problema de formación de equipos NIC con el sensor de Defender for Identity.

Puertos para sensores independientes

En la tabla siguiente se enumeran los puertos mínimos que el servidor independiente de Defender for Identity necesita que se configuren en el adaptador de administración:

Protocolo Transporte Puerto From En
Puertos de Internet
SSL (*.atp.azure.com) TCP 443 Sensor de Defender for Identity Servicio en la nube de Defender for Identity
Puertos internos
LDAP TCP y UDP 389 Sensor de Defender for Identity Controladores de dominios
LDAP seguro (LDAPS) TCP 636 Sensor de Defender for Identity Controladores de dominios
LDAP para Catálogo global TCP 3268 Sensor de Defender for Identity Controladores de dominios
LDAPS para Catálogo global TCP 3269 Sensor de Defender for Identity Controladores de dominios
Kerberos TCP y UDP 88 Sensor de Defender for Identity Controladores de dominios
Netlogon (SMB, CIFS, SAM-R) TCP y UDP 445 Sensor de Defender for Identity Todos los dispositivos de la red
Hora de Windows UDP 123 Sensor de Defender for Identity Controladores de dominios
DNS TCP y UDP 53 Sensor de Defender for Identity Servidores DNS
Syslog (opcional) TCP/UDP 514, según la configuración Servidor SIEM Sensor de Defender for Identity
RADIUS UDP 1813 RADIUS Sensor de Defender for Identity
Puertos localhost* Obligatorio para el actualizador del Servicio de sensores
SSL (localhost) TCP 444 Servicio de sensores Servicio del actualizador de sensores
Puertos de NNR**
NTLM sobre RPC TCP 135 Sensor de Defender for Identity Todos los dispositivos de la red
NetBIOS UDP 137 Sensor de Defender for Identity Todos los dispositivos de la red
RDP TCP 3389, solo el primer paquete de Client hello Sensor de Defender for Identity Todos los dispositivos de la red

* De manera predeterminada, se permite el tráfico de localhost a localhost a menos que una directiva de firewall lo bloquee.
** Uno de estos puertos es obligatorio, pero se recomienda abrirlos todos.

Nota

Pasos siguientes