En este artículo se proporciona una lista de las preguntas y respuestas frecuentes sobre Microsoft Defender for Identity organizada en las siguientes categorías:
¿Qué es Defender for Identity?
¿Qué puede detectar Defender for Identity?
Defender for Identity detecta ataques y técnicas malintencionados conocidos, problemas de seguridad y riesgos para la red. Para obtener la lista completa de detecciones de Defender for Identity, consulte Alertas de seguridad de Defender for Identity.
¿Qué datos recopila Defender for Identity?
Defender for Identity recopila y almacena información de los servidores configurados, como controladores de dominio, servidores miembros, etc. Los datos se almacenan en una base de datos específica del servicio con fines de administración, seguimiento e informes.
La información recopilada incluye:
- Tráfico de red hacia y desde controladores de dominio, como la autenticación Kerberos, la autenticación NTLM o las consultas de DNS.
- Registros de seguridad, como eventos de seguridad de Windows.
- Información de Active Directory, como estructura, subredes o sitios.
- Información de la entidad, como nombres, direcciones de correo electrónico y números de teléfono.
Microsoft usa estos datos para:
- Identificar de forma proactiva indicadores de ataque (IOA) en su organización.
- Generar alertas si se detectó un posible ataque.
- Proporcionar a las operaciones de seguridad una vista de las entidades relacionadas con las señales de amenazas de la red, lo que le permitirá investigar y explorar la presencia de amenazas de seguridad en la red.
Microsoft no extrae sus datos para publicidad ni para ningún otro propósito que no sea proporcionarle el servicio.
¿Cuántas credenciales del servicio de directorio admite Defender for Identity?
Defender for Identity admite actualmente la adición de hasta 30 credenciales de servicio de directorio diferentes para admitir entornos de Active Directory con bosques que no son de confianza. Si necesita más cuentas, abra una incidencia de soporte técnico.
¿Defender for Identity solo usa el tráfico de Active Directory?
Además de analizar el tráfico de Active Directory mediante tecnología de inspección profunda de paquetes, Defender for Identity también recopila eventos de Windows pertinentes del controlador de dominio y crea perfiles de entidad basados en información de Active Directory Domain Services. Defender for Identity también admite la recepción de la contabilidad RADIUS de registros VPN de varios proveedores (Microsoft, Cisco, F5 y Checkpoint).
¿Supervisa Defender for Identity solo los dispositivos unidos a un dominio?
No. Defender for Identity supervisa todos los dispositivos de la red que realizan solicitudes de autenticación y autorización en Active Directory, incluidos los dispositivos móviles y que no son Windows.
¿Supervisa Defender for Identity las cuentas de equipo y las cuentas de usuario?
Sí. Dado que las cuentas de equipo y otras entidades se pueden usar para realizar actividades malintencionadas, Defender for Identity supervisa todo el comportamiento de las cuentas de equipo y todas las demás entidades del entorno.
¿Cuál es la diferencia entre Advanced Threat Analytics (ATA) y Defender for Identity?
ATA es una solución local independiente con varios componentes, como el Centro ATA que requiere hardware dedicado local.
Defender for Identity es una solución de seguridad basada en la nube que usa las señales de Active Directory local. La solución es altamente escalable y se actualiza con frecuencia.
La versión final de ATA está generalmente disponible. El soporte estándar de ATA finalizó el 12 de enero de 2021. El soporte extendido continuará hasta enero de 2026. Si desea obtener más información, lea nuestra entrada de blog.
A diferencia del sensor de ATA, el sensor de Defender for Identity también usa orígenes de datos, como seguimiento de eventos para Windows (ETW), lo que permite a Defender for Identity entregar detecciones adicionales.
Las actualizaciones frecuentes de Defender for Identity incluyen las siguientes características y funcionalidades:
Soporte de entornos de varios bosques: proporciona visibilidad de las organizaciones en los bosques de AD.
Evaluaciones de la posición de puntuación de seguridad de Microsoft: identifica las configuraciones incorrectas comunes y los componentes que se pueden aprovechar y proporciona rutas de corrección para reducir la superficie expuesta a ataques.
Funcionalidades de UEBA: información sobre riesgo de usuario individual a través de la puntuación de prioridad de investigación de usuarios. La puntuación puede ayudar a SecOps en sus investigaciones y ayudar a los analistas a comprender las actividades inusuales para el usuario y la organización.
Integraciones nativas: se integra con Microsoft Defender for Cloud Apps y Azure AD Identity Protection para proporcionar una vista híbrida de lo que está teniendo lugar en entornos locales e híbridos.
Contribuye a Microsoft Defender XDR: aporta los datos de alertas y amenazas a Microsoft Defender XDR. Microsoft Defender XDR usa la cartera de seguridad de Microsoft 365 (identidades, puntos de conexión, datos y aplicaciones) para analizar automáticamente los datos de amenazas entre dominios, creando una imagen completa de cada ataque en un único panel.
Con esta amplitud y profundidad de claridad, los defensores pueden centrarse en amenazas críticas y buscar vulneraciones sofisticadas. Los defensores pueden confiar en que la eficaz automatización de Microsoft Defender XDR detiene los ataques en cualquier lugar de la cadena de eliminación y devuelve la organización a un estado seguro.
Licencia y privacidad
¿Dónde puedo obtener una licencia para Microsoft Defender for Identity?
Defender for Identity está disponible como parte del conjunto de aplicaciones Enterprise Mobility + Security 5 (EMS E5) y como licencia independiente. Puede adquirir una licencia directamente desde el portal de Microsoft 365 o mediante el modelo de licencias de Cloud Solution Partner (CSP).
¿Defender for Identity solo necesita una licencia o requiere una licencia para cada usuario que quiero proteger?
Para obtener información sobre los requisitos de licencias de Defender for Identity, consulte Guía de licencias de Defender for Identity.
¿Mis datos están aislados de otros datos de clientes?
Sí, los datos se aíslan mediante la autenticación de acceso y la segregación lógica en función de los identificadores de cliente. Cada cliente solo puede acceder a los datos recopilados de su propia organización y a los datos genéricos que proporciona Microsoft.
¿Tengo la flexibilidad de seleccionar dónde almacenar mis datos?
No. Cuando se crea el área de trabajo de Defender for Identity, se almacena automáticamente en la región de Azure más cercana a la ubicación geográfica de la cuenta empresarial de Microsoft Entra. Una vez creado el área de trabajo de Defender for Identity, los datos de Defender for Identity no se pueden mover a otra región.
¿Cómo evita Microsoft las actividades internas malintencionadas y el mal uso de los altos roles con privilegios?
Los desarrolladores y administradores de Microsoft tienen, por diseño, privilegios suficientes para llevar a cabo sus tareas asignadas para operar y evolucionar el servicio. Microsoft implementa combinaciones de controles preventivos, de detección y reactivos para ayudar en la protección frente a actividades de desarrollo y administrativas no autorizadas, incluyendo los siguientes mecanismos:
- Control estricto del acceso a los datos confidenciales
- Combinaciones de controles que mejoran notablemente la detección independiente de actividades malintencionadas
- Varios niveles de supervisión, registro y elaboración de informes
Además, Microsoft realiza comprobaciones en segundo plano sobre cierto personal de operaciones y limita el acceso a aplicaciones, sistemas e infraestructura de red en proporción al nivel de comprobación en segundo plano. El personal de operaciones sigue un proceso formal cuando se les pide que accedan a la cuenta de un cliente o a la información relacionada en el desempeño de sus tareas.
Implementación
¿Cuántos sensores de Defender for Identity necesito?
Se recomienda tener un sensor de Defender for Identity o un sensor independiente para cada uno de los controladores de dominio. Para más información, consulte Dimensionamiento de sensor de Defender for Identity.
¿Funciona Defender for Identity con tráfico cifrado?
Mientras los protocolos de red con tráfico cifrado, como AtSvc y WMI, no se desencripten, los sensores siguen analizando el tráfico.
¿Funciona Defender for Identity con Kerberos Armoring?
Defender for Identity admite Kerberos Armoring, también conocida como tunelización segura de autenticación flexible (FAST). La excepción a esta compatibilidad es la detección de hash superada, que no funciona con Kerberos Armoring.
¿Cómo supervisar un controlador de dominio virtual mediante Defender for Identity?
El sensor de Defender for Identity puede cubrir la mayoría de los controladores de dominio virtuales. Para obtener más información, consulte Cancelar un planeamiento de capacidad de Defender for Identity.
Si el sensor de Defender for Identity no puede cubrir un controlador de dominio virtual, use en su lugar un sensor independiente virtual o físico de Defender for Identity. Para obtener más información, vea Configuración de creación de reflejos de puertos.
La manera más fácil es tener un sensor independiente de Defender for Identity virtual en cada host donde exista un controlador de dominio virtual.
Si los controladores de dominio virtuales se mueven entre hosts, debe realizar uno de los pasos siguientes:
Cuando el controlador de dominio virtual se mueve a otro host, configure previamente el sensor independiente de Defender for Identity en ese host para recibir el tráfico del controlador de dominio virtual movido recientemente.
Asegúrese de asociar el sensor independiente de Defender for Identity virtual con el controlador de dominio virtual para que, si se mueve, el sensor independiente de Defender for Identity se mueva con él.
Hay algunos conmutadores virtuales que pueden enviar tráfico entre hosts.
¿Cómo configurar los sensores de Defender for Identity para comunicarse con el servicio en la nube de Defender for Identity cuando tengo un proxy?
Para que los controladores de dominio se comuniquen con el servicio en la nube, debe abrir: *.atp.azure.com puerto 443 en el servidor de seguridad o proxy. Para obtener más información, consulte Configuración del proxy o servidor de seguridad para habilitar la comunicación con sensores de Defender for Identity.
¿Se pueden virtualizar los controladores de dominio supervisados de Defender for Identity en la solución IaaS?
Sí, puede usar el sensor de Defender for Identity para supervisar los controladores de dominio que se encuentran en cualquier solución de IaaS.
¿Puede Defender for Identity admitir entornos de varios dominios y bosques?
Defender for Identity admite entornos de múltiples dominios y bosques. Para obtener más información y requisitos de confianza, consulte Soporte de varios bosques.
¿Puede ver el estado general de la implementación?
Sí, puede ver el estado general de la implementación y cualquier problema específico relacionado con la configuración o la conectividad, entre otros. Se le alertará a medida que se produzcan estos eventos con problemas de mantenimiento de Defender for Identity.
¿Requiere Microsoft Defender for Identity sincronizar usuarios con Microsoft Entra ID?
Microsoft Defender for Identity proporciona valor de seguridad para todas las cuentas de Active Directory, incluidas las que no se sincronizan con el identificador de Microsoft Entra. Las cuentas de usuario que se sincronizan con el identificador de Microsoft Entra también se beneficiarán del valor de seguridad proporcionado por el identificador de Microsoft Entra (en función del nivel de licencia) y de la puntuación de prioridad de investigación.
Controladores WinPcap y Npcap
¿Qué recomendaciones sobre los controladores WinPcap y Npcap están cambiando?
El equipo de Microsoft Defender for Identity recomienda que todos los clientes usen el controlador Npcap en lugar de los controladores de WinPcap. A partir de Defender for Identity versión 2.184, el paquete de instalación instala Npcap 1.0 OEM en lugar de los controladores WinPcap 4.1.3.
¿Por qué nos alejamos de WinPcap?
WinPcap ya no se admite y, dado que ya no se está desarrollando, el controlador ya no se puede optimizar para el sensor de Defender for Identity. Además, si hay un problema en el futuro con el controlador WinPcap, no hay opciones para una corrección.
¿Por qué Npcap?
Npcap es compatible, mientras que WinPcap ya no es un producto compatible.
¿Qué versión de Npcap se admite?
El sensor MDI requiere Npcap 1.0 o posterior. El paquete de instalación del sensor instalará la versión 1.0 si no se instala ninguna otra versión de Npcap. Si ya tiene Npcap instalado (debido a otros requisitos de software, o cualquier otro motivo), es importante asegurarse de que sea la versión 1.0 o posterior, y que se haya instalado con la configuración necesaria para MDI.
¿Es necesario quitar y volver a instalar manualmente el sensor o el servicio de actualización automática lo controlará como parte de su actualización normal?
Sí. Es necesario quitar manualmente el sensor para quitar los controladores WinPcap. La reinstalación mediante el paquete más reciente instalará los controladores Npcap.
¿Cómo puedo comprobar si mi instalación actual de Defender for Identity usa Npcap o WinPcap?
Puede ver que "Npcap OEM" está instalado a través de Agregar/Remover programas (appwiz.cpl) y si se produjo un problema de mantenimiento abierto para esto, se cerrará automáticamente.
Tengo más de cinco controladores de dominio en mi organización. ¿Necesito comprar una licencia Npcap si uso Npcap en estos controladores de dominio?
No, Npcap tiene una exención del límite habitual de cinco instalaciones. Puede instalarlo en sistemas ilimitados donde solo se usa con el sensor de Defender for Identity.
Consulte el contrato de licencia Npcap aquí y busque Microsoft Defender for Identity.
¿Npcap también es relevante para ATA?
No, solo el sensor de Microsoft Defender for Identity admite Npcap versión 1.00.
Me gustaría incluir en el script la implementación de Npcap, ¿necesito comprar la versión OEM?
No, no es necesario comprar la versión OEM. Descargue el paquete de instalación del sensor versión 2.156 y posteriores de la consola de Defender for Identity, que incluye la versión OEM de Npcap.
¿Cómo descargar e instalar o actualizar el controlador Npcap?
Puede obtener los archivos ejecutables de Npcap descargando el paquete de implementación más reciente del sensor de Defender for Identity.
Si aún no ha instalado el sensor, instale la versión 2.184 o posterior.
Si ya ha instalado el sensor con WinPcap y necesita actualizar para usar Npcap:
Desinstale el sensor. Use Agregar/Remover programas del panel de control de Windows (appwiz.cpl) o ejecute el siguiente comando de desinstalación:
".\Azure ATP Sensor Setup.exe" /uninstall /quiet
Desinstale WinPcap si es necesario. Este paso solo es relevante si WinPcap se instaló manualmente antes de la instalación del sensor. En este caso, tendría que quitar manualmente WinPcap.
Vuelva a instalar el sensor con la versión 2.184 o posterior.
Si desea instalar Npcap manualmente: instale Npcap con las siguientes opciones:
- Si usa el instalador de GUI, desactive la opción de compatibilidad con bucle invertido y seleccione Modo winPcap. Asegúrese de que la opción Restringir el acceso del controlador Npcap a Administradores únicamente está desactivada.
- Si está utilizando la línea de comandos, ejecute:
npcap-1.00-oem.exe /loopback_support=no /winpcap_mode=yes /admin_only=no /S
Si desea actualizar manualmente Npcap:
Detenga los servicios del sensor de Defender for Identity AATPSensorUpdater y AATPSensor. Ejecute
Stop-Service -Name AATPSensorUpdater -Force; Stop-Service -Name AATPSensor -Force
.Quite Npcap mediante Agregar/Remover programas en el panel de control de Windows (appwiz.cpl).
Instale Npcap con las opciones siguientes:
Si usa el instalador de GUI, desactive la opción de compatibilidad con bucle invertido y seleccione Modo winPcap. Asegúrese de que la opción Restringir el acceso del controlador Npcap a Administradores únicamente está desactivada.
Si está utilizando la línea de comandos, ejecute:
npcap-1.00-oem.exe /loopback_support=no /winpcap_mode=yes /admin_only=no /S
Inicie los servicios del sensor de Defender for Identity, AATPSensorUpdater y AATPSensor. Ejecute
Start-Service -Name AATPSensorUpdater; Start-Service -Name AATPSensor
.
Operación
¿Qué tipo de integración tiene Defender for Identity con SIEM?
Defender for Identity se puede configurar para enviar una alerta de Syslog a cualquier servidor SIEM mediante el formato CEF cuando hay problemas de mantenimiento o se detecta una alerta de seguridad. Para más información, consulte la referencia del registro de SIEM.
¿Por qué ciertas cuentas se consideran confidenciales?
Las cuentas se consideran confidenciales cuando una cuenta es miembro de grupos designados como confidenciales (por ejemplo: "Administradores de dominio").
Para comprender por qué una cuenta es confidencial, puede revisar su pertenencia a grupos para descubrir a qué grupos confidenciales pertenece. El grupo al que pertenece también puede ser confidencial debido a otro grupo, por lo que se debe realizar el mismo proceso hasta que encuentre el grupo confidencial de nivel más alto. Como alternativa, etiquete las cuentas como confidenciales manualmente.
¿Tiene que escribir sus propias reglas y crear un umbral o línea base?
Con Defender for Identity, no es necesario crear reglas, umbrales o líneas base y, a continuación, ajustarlas. Defender for Identity analiza los comportamientos entre usuarios, dispositivos y recursos, así como su relación entre sí, y puede detectar rápidamente actividades sospechosas y ataques conocidos. Tres semanas después de la implementación, Defender for Identity comienza a detectar actividades sospechosas de comportamiento. Por otro lado, inmediatamente después de la implementación Defender for Identity comenzará a detectar ataques malintencionados conocidos y problemas de seguridad.
¿Qué tráfico genera Defender for Identity en la red a partir de controladores de dominio y por qué?
Defender for Identity genera tráfico de controladores de dominio a equipos de la organización en uno de estos tres escenarios:
La resolución de nombres de red de Defender for Identity captura el tráfico y los eventos, el aprendizaje y la generación de perfiles de usuarios y actividades de equipo en la red. Para aprender y generar perfiles de actividades según los equipos de la organización, Defender for Identity debe resolver direcciones IP en cuentas de equipo. Para resolver direcciones IP en nombres de equipos en los sensores de Defender for Identity, solicite la dirección IP del nombre del equipo detrás de la dirección IP.
Las solicitudes se realizan mediante uno de los cuatro métodos:
- NTLM a través de RPC (puerto TCP 135)
- NetBIOS (puerto UDP 137)
- RDP (Puerto TCP 3389)
- Consulta del servidor DNS mediante la búsqueda inversa de DNS de la dirección IP (UDP 53)
Después de obtener el nombre del equipo, los sensores de Defender for Identity comprueban los detalles de Active Directory para ver si hay un objeto de equipo correlacionado con el mismo nombre de equipo. Si se encuentra una coincidencia, se realiza una asociación entre la dirección IP y el objeto de equipo coincidente.
Ruta de desplazamiento lateral (LMP) Para crear posibles LMP para usuarios confidenciales, Defender for Identity requiere información sobre los administradores locales de los equipos. En este escenario, el sensor de Defender for Identity usa SAM-R (TCP 445) para consultar la dirección IP identificada en el tráfico de red, con el fin de determinar los administradores locales del equipo. Para más información sobre Defender for Identity y SAM-R, consulte Configuración de permisoS necesarios de SAM-R.
Consultar Active Directory mediante LDAP para que los sensores de Defender for Identity de datos de entidad consulten el controlador de dominio desde el dominio al que pertenece la entidad. Puede ser el mismo sensor u otro controlador de dominio de ese dominio.
Protocolo | Service | Port | Source | Dirección |
---|---|---|---|---|
LDAP | TCP y UDP | 389 | Controladores de dominios | Salida |
LDAP seguro (LDAPS) | TCP | 636 | Controladores de dominios | Salida |
LDAP al Catálogo global | TCP | 3268 | Controladores de dominios | Salida |
LDAPS al Catálogo global | TCP | 3269 | Controladores de dominios | Salida |
¿Por qué no siempre se muestran las actividades del usuario de origen y del equipo?
Defender for Identity captura actividades en muchos protocolos diferentes. En algunos casos, Defender for Identity no recibe los datos del usuario de origen en el tráfico. Defender for Identity intenta correlacionar la sesión del usuario con la actividad y, cuando el intento es correcto, se muestra el usuario de origen de la actividad. Cuando se produce un error en los intentos de correlación de usuarios, solo se muestra el equipo de origen.
¿Por qué veo consultas DNS en aatp.dns.detection.local?
El sensor de Defender for Identity podría desencadenar una llamada DNS a "aatp.dns.detection.local" en respuesta a determinadas actividades DNS entrantes en la máquina supervisada por MDI.
Administración de datos personales
¿Se pueden actualizar los datos personales del usuario en Defender for Identity?
Los datos personales del usuario en Defender for Identity se derivan del objeto del usuario en Active Directory de la organización y no se pueden actualizar directamente en Defender for Identity.
¿Cómo puedo exportar datos personales desde Defender for Identity?
Puede exportar datos personales de Defender for Identity mediante el mismo método que la exportación de información de alertas de seguridad. Para obtener más información, consulte Revisión de alertas de seguridad.
¿Cómo puedo localizar los datos personales almacenados en Defender for Identity?
Use la barra de búsqueda del portal de Microsoft Defender para buscar datos personales identificables, como un usuario o equipo específicos. Para obtener más información, consulte Investigar recursos.
¿Qué tipo de auditoría ejecuta Defender for Identity en los datos personales?
Defender for Identity implementa la auditoría de los cambios de datos personales, incluida la eliminación y exportación de registros de datos personales. El tiempo de retención del registro de auditoría es de 90 días. La auditoría en Defender for Identity es una característica de back-end y no es accesible para los clientes.
¿Qué ocurre en Defender for Identity cuando se elimina un usuario de Active Directory de la organización?
Después de eliminar un usuario de Active Directory de la organización, Defender for Identity elimina automáticamente el perfil de usuario y cualquier actividad de red relacionada en consonancia con la directiva de retención de datos general de Defender for Identity, a menos que los datos formen parte de un incidente activo. Se recomienda añadir los permisos de solo lectura en el contenedor Objetos eliminados. Para más información, consulte Otorgar permisos necesarios para DSA.
Solución de problemas
¿Qué debo hacer si el sensor de Defender for Identity o el sensor independiente no se inicia?
Examine el error más reciente en el registro de errores actual (donde Defender for Identity está instalado en la carpeta "Registros").