Requisitos previos del sensor independiente de Microsoft Defender for Identity
En este artículo se enumeran los requisitos previos para implementar un sensor independiente de Microsoft Defender for Identity en el que difieren de los requisitos previos de implementación principales.
Para obtener más información, consulte Planear la capacidad para la implementación de Microsoft Defender for Identity.
Importante
Los sensores independientes de Defender for Identity no admiten la recopilación de entradas de registro de Seguimiento de eventos para Windows (ETW) que proporcionan los datos para varias detecciones. Para obtener una cobertura completa de su entorno, se recomienda implementar el sensor de Defender for Identity.
Requisitos adicionales del sistema para sensores independientes
Los sensores independientes difieren de los requisitos previos del sensor de Defender for Identity de la siguiente manera:
Los sensores independientes requieren un mínimo de 5 GB de espacio en disco
Los sensores independientes también se pueden instalar en servidores que se encuentran en un grupo de trabajo.
Los sensores independientes permiten supervisar varios controladores de dominio, según la cantidad de tráfico de red hacia y desde estos.
Si está trabajando con varios bosques, se debe permitir que las máquinas del sensor independiente se comuniquen con todos los controladores de dominio de bosque remotos mediante LDAP.
Para más información sobre cómo usar máquinas virtuales con el sensor independiente de Defender for Identity, consulte Configuración de la creación de reflejo del puerto.
Adaptadores de red para sensores independientes
Los sensores independientes requieren al menos uno de los siguientes adaptadores de red:
Adaptadores de administración: se usan para las comunicaciones en la red corporativa. El sensor usa este adaptador para consultar el controlador de dominio que protege y realiza la resolución en las cuentas de máquina.
Configure adaptadores de administración con direcciones IP estáticas, incluida una puerta de enlace predeterminada y servidores DNS preferidos y alternativos.
El sufijo DNS para esta conexión debe ser el nombre DNS del dominio para cada dominio que se está supervisando.
Nota:
Si el sensor independiente de Defender for Identity es un miembro del dominio, se puede configurar automáticamente.
Adaptador de captura: se usa para capturar el tráfico hacia y desde los controladores de dominio.
Importante
- Configure la creación de reflejo del puerto para el adaptador de captura como destino del tráfico de red del controlador de dominio. Normalmente, debe trabajar con el equipo de redes o virtualización para configurar la creación de reflejo del puerto.
- Configure una dirección IP no enrutable estática (con máscara /32) para su entorno sin puerta de enlace de sensor predeterminada y ninguna dirección de servidor DNS. Por ejemplo: `10.10.0.10/32. Esta configuración garantiza que el adaptador de red de captura pueda capturar la cantidad máxima de tráfico y que el adaptador de red de administración se use para enviar y recibir el tráfico de red necesario.
Nota:
Si ejecuta Wireshark en el sensor independiente de Defender for Identity, reinicie el servicio del sensor de Defender for Identity después de haber detenido la captura de Wireshark. Si no reinicia el servicio del sensor, el sensor deja de capturar el tráfico.
Si intenta instalar el sensor de Defender for Identity en una máquina configurada con un adaptador de formación de equipos NIC, recibirá un error de instalación. Si quiere instalar el sensor de Defender for Identity en una máquina configurada con formación de equipos NIC, consulte Problema de formación de equipos NIC con el sensor de Defender for Identity.
Puertos para sensores independientes
En la tabla siguiente se enumeran los puertos adicionales que el servidor independiente de Defender for Identity necesita que se configuren en el adaptador de administración, además de los puertos enumerados para el Sensor de Defender for Identity.
Protocolo | Transporte | Port | De | En |
---|---|---|---|---|
Puertos internos | ||||
LDAP | TCP y UDP | 389 | Sensor de Defender for Identity | Controladores de dominios |
LDAP seguro (LDAPS) | TCP | 636 | Sensor de Defender for Identity | Controladores de dominios |
LDAP al Catálogo global | TCP | 3268 | Sensor de Defender for Identity | Controladores de dominios |
LDAPS al Catálogo global | TCP | 3269 | Sensor de Defender for Identity | Controladores de dominios |
Kerberos | TCP y UDP | 88 | Sensor de Defender for Identity | Controladores de dominios |
Hora de Windows | UDP | 123 | Sensor de Defender for Identity | Controladores de dominios |
Syslog (opcional) | TCP/UDP | 514, Según la configuración | Servidor SIEM | Sensor de Defender for Identity |
Requisitos del registro de eventos de Windows
La detección de Defender for Identity se basa en registros de eventos de Windows específicos que el sensor analiza desde los controladores de dominio. Para que se auditen los eventos correctos y se incluyan en el registro de eventos de Windows, los controladores de dominio requieren una configuración precisa de la directiva de auditoría avanzada de Windows.
Para obtener más información, consulte Comprobación avanzada de directivas de auditoría y Directivas de auditoría de seguridad avanzadas en la documentación de Windows.
Para asegurarse de que el servicio audita el evento 8004 de Windows según sea necesario, revise la configuración de auditoría de NTLM.
Para los sensores que se ejecutan en servidores de AD FS/AD CS, configure el nivel de auditoría en Detallado. Para obtener más información, consulte Información de auditoría de eventos para AD FS e Información de auditoría de eventos para AD CS.