Compartir a través de


Novedades de Microsoft Defender for Identity

Este artículo se actualiza con frecuencia para informarle de las novedades de la última versión de Microsoft Defender for Identity.

Importante

Los clientes que usan el portal clásico de Defender for Identity ahora se redirigen automáticamente a Microsoft Defender XDR, sin opción para volver al portal clásico.

Para obtener más información, consulte nuestra entrada de blog y Microsoft Defender for Identity en Microsoft Defender XDR.

Novedades del ámbito y las referencias

Las versiones de Defender for Identity se implementan gradualmente en los inquilinos del cliente. Si hay una característica documentada aquí que aún no ve en el inquilino, vuelva a comprobarla más adelante para la actualización.

Para obtener más información, vea también:

Para obtener actualizaciones sobre las versiones y características publicadas hace seis meses o versiones anteriores, consulte el archivo Novedades de Microsoft Defender for Identity.

Junio de 2024

Defender for Identity, versión 2.237

Esta versión incluye mejoras y correcciones de errores para los servicios en la nube y el sensor de Defender for Identity.

Mayo de 2024

Defender for Identity, versión 2.236

Esta versión incluye mejoras y correcciones de errores para los servicios en la nube y el sensor de Defender for Identity.

Defender for Identity, versión 2.235

Esta versión incluye mejoras y correcciones de errores para los servicios en la nube y el sensor de Defender for Identity.

Abril de 2024

Detectar fácilmente la vulnerabilidad de eludir la función de seguridad de Kerberos de Windows CVE-2024-21427

Para ayudar a los clientes a identificar y detectar mejor los intentos de eludir los protocolos de seguridad según esta vulnerabilidad, hemos agregado una nueva actividad dentro de la búsqueda avanzada que supervisa la autenticación de AS de Kerberos.
Con estos datos, ahora los clientes pueden crear fácilmente sus propias reglas de detección personalizadas en Microsoft Defender XDR y desencadenar automáticamente alertas para este tipo de actividad.

Acceda al portal de Defender XDR -> Búsqueda -> Búsqueda avanzada.

Ahora, puede copiar nuestra consulta recomendada como se proporciona a continuación y hacer clic en "Crear regla de detección". Tenga en cuenta que la consulta que proporcionamos también realiza un seguimiento de los intentos de inicio de sesión erróneos, que pueden generar información no relacionada con un posible ataque. Por lo tanto, no dude en personalizar la consulta para adaptarla a sus requisitos específicos.

IdentityLogonEvents
| where Application == "Active Directory"
| where Protocol == "Kerberos"
| where LogonType in("Resource access", "Failed logon")
| extend Error =  AdditionalFields["Error"]
| extend KerberosType = AdditionalFields['KerberosType']
| where KerberosType == "KerberosAs"
| extend Spns = AdditionalFields["Spns"]
| extend DestinationDC = AdditionalFields["TO.DEVICE"]
| where  Spns !contains "krbtgt" and Spns !contains "kadmin"
| project Timestamp, ActionType, LogonType, AccountUpn, AccountSid, IPAddress, DeviceName, KerberosType, Spns, Error, DestinationDC, DestinationIPAddress, ReportId

Defender for Identity, versión 2.234

Esta versión incluye mejoras y correcciones de errores para los servicios en la nube y el sensor de Defender for Identity.

Defender for Identity, versión 2.233

Esta versión incluye mejoras y correcciones de errores para los servicios en la nube y el sensor de Defender for Identity.

Marzo de 2024

Nuevos permisos de solo lectura para ver la configuración de Defender for Identity

Ahora puede configurar usuarios de Defender for Identity con permisos de solo lectura para ver la configuración de Defender for Identity.

Para obtener más información, consulte Permisos requeridos de Defender for Identity en Microsoft Defender XDR.

Nueva API basada en Graph para ver y administrar problemas de mantenimiento

Ahora puede ver y administrar problemas de mantenimiento de Microsoft Defender for Identity a través de la API de Graph.

Para obtener más información, consulte Administración de problemas de mantenimiento con la API de Graph.

Defender for Identity, versión 2.232

Esta versión incluye mejoras y correcciones de errores para los servicios en la nube y el sensor de Defender for Identity.

Defender for Identity, versión 2.231

Esta versión incluye mejoras y correcciones de errores para los servicios en la nube y el sensor de Defender for Identity.

Febrero de 2024

Defender for Identity, versión 2.230

Esta versión incluye mejoras y correcciones de errores para los servicios en la nube y el sensor de Defender for Identity.

Nueva evaluación de la posición de seguridad para la configuración no segura de puntos de conexión de IIS de AD CS

Defender for Identity ha agregado la nueva recomendación Editar puntos de conexión de IIS de inscripción de certificados de ADCS no seguros (ESC8) en Puntuación de seguridad de Microsoft.

Active Directory Certificate Services (AD CS) admite la inscripción de certificados a través de varios métodos y protocolos, incluida la inscripción a través de HTTP mediante el Servicio de inscripción de certificados (CES) o la Interfaz de inscripción web (Certsrv). Las configuraciones no seguras de los puntos de conexión de CES o Certsrv IIS podrían crear vulnerabilidades para retransmitir ataques (ESC8).

La nueva recomendación Editar puntos de conexión de IIS de inscripción de certificados de ADCS no seguros (ESC8) se agrega a otras recomendaciones relacionadas con AD CS publicadas recientemente. En conjunto, estas evaluaciones ofrecen informes sobre la posición de seguridad que sacan a la luz los problemas de seguridad y los errores graves de configuración que suponen un riesgo para toda la organización, junto con las detecciones relacionadas.

Para más información, vea:

Defender for Identity, versión 2.229

Esta versión incluye mejoras y correcciones de errores para los servicios en la nube y el sensor de Defender for Identity.

Experiencia de usuario mejorada para ajustar los umbrales de alerta (versión preliminar)

La página Configuración avanzada de Defender for Identity ha cambiado de nombre a Ajustar umbrales de alerta y ofrece una experiencia renovada con más flexibilidad para ajustar los umbrales de alerta.

Captura de pantalla de la nueva página Ajustar umbrales de alerta.

Los cambios incluyen:

  • Hemos eliminado la opción anterior Quitar período de aprendizaje y hemos añadido una nueva opción llamada Modo de prueba recomendado. Seleccione Modo de prueba recomendado para establecer todos los niveles de umbral en Bajo, lo que aumentará el número de alertas y establecerá todos los demás niveles de umbral en solo lectura.

  • La columna anterior Nivel de confidencialidad pasa a llamarse Nivel de umbral, con valores recién definidos. De forma predeterminada, todas las alertas se establecen en un umbral Alto, que representa el comportamiento predeterminado y una configuración de alerta estándar.

En la tabla siguiente se muestra la asignación entre los valores de Nivel de confidencialidad anteriores y los nuevos valores de Nivel de umbral:

Nivel de confidencialidad (nombre anterior) Nivel de umbral (nombre nuevo)
Normal Alta
Mediano Mediano
Alta Baja

Si tenía valores específicos definidos en la página Configuración avanzada, los hemos transferido a la nueva página Ajustar umbrales de alerta de la siguiente manera:

Configuración de la página Configuración avanzada Configuración de la nueva página Ajustar umbrales de alerta
Quitar período de aprendizaje activado. Modo de prueba recomendado desactivado.

Las opciones de configuración del umbral de alerta siguen siendo las mismas.
Quitar período de aprendizaje desactivado. Modo de prueba recomendado desactivado.

Las opciones de configuración del umbral de alerta se restablecen a sus valores predeterminados, con un nivel de umbral Alto.

Las alertas siempre se desencadenan inmediatamente si se selecciona la opción Modo de prueba recomendado o si se establece un nivel de umbral en Medio o Bajo, independientemente de si el período de aprendizaje de la alerta ya se ha completado.

Para obtener más información, consulte Ajuste de los umbrales de alerta.

Las páginas de detalles del dispositivo ahora incluyen descripciones del dispositivo (versión preliminar)

Microsoft Defender XDR ahora incluye descripciones de dispositivos en los paneles y páginas de detalles del dispositivo. Las descripciones se rellenan desde el atributo Description de Active Directory del dispositivo.

Por ejemplo, en el panel lateral detalles del dispositivo:

Captura de pantalla del nuevo campo Descripción del dispositivo en un panel de detalles del dispositivo.

Para obtener más información, consulte Pasos de investigación para dispositivos sospechosos.

Defender for Identity, versión 2.228

Esta versión incluye mejoras y correcciones de errores para los servicios en la nube y el sensor de Defender for Identity, así como las siguientes alertas nuevas:

Enero de 2024

Defender for Identity, versión 2.227

Esta versión incluye mejoras y correcciones de errores para los servicios en la nube y el sensor de Defender for Identity.

Pestaña Escala de tiempo añadida para entidades de grupo

Ahora puede ver las actividades y alertas relacionadas con la entidad del grupo de Active Directory de los últimos 180 días en Microsoft Defender XDR, como los cambios de pertenencia a grupos, las consultas LDAP, etc.

Para acceder a la página de escala de tiempo del grupo, seleccione Abrir escala de tiempo en el panel de detalles del grupo.

Por ejemplo:

Captura de pantalla del botón Abrir escala de tiempo en el panel de detalles de una entidad de grupo.

Para obtener más información, consulte Pasos de investigación para grupos sospechosos.

Configuración y validación del entorno de Defender for Identity mediante PowerShell

Defender for Identity ahora admite el nuevo módulo de PowerShell DefenderForIdentity, que está diseñado para ayudarle a configurar y validar el entorno para trabajar con Microsoft Defender for Identity.

Use los comandos de PowerShell para evitar configuraciones incorrectas, ahorrar tiempo y evitar la carga innecesaria en el sistema.

Hemos añadido los procedimientos siguientes a la documentación de Defender for Identity para ayudarle a usar los nuevos comandos de PowerShell:

Para más información, vea:

Defender for Identity, versión 2.226

Esta versión incluye mejoras y correcciones de errores para los servicios en la nube y el sensor de Defender for Identity.

Defender for Identity, versión 2.225

Esta versión incluye mejoras y correcciones de errores para los servicios en la nube y el sensor de Defender for Identity.

Diciembre de 2023

Nota:

Si ve un número reducido de alertas de intentos de ejecución de código remoto, consulte nuestros anuncios de septiembre actualizados, que incluyen una actualización de la lógica de detección de Defender for Identity. Defender for Identity sigue registrando las actividades de ejecución remota de código como antes.

Nueva área de Identidades y panel en Microsoft 365 Defender (versión preliminar)

Los clientes de Defender for Identity ahora tienen una nueva área de Identidades en Microsoft 365 Defender para obtener información sobre la seguridad de identidad con Defender for Identity.

En Microsoft 365 Defender, seleccione Identidades para ver cualquiera de las páginas nuevas siguientes:

Defender for Identity, versión 2.224

Esta versión incluye mejoras y correcciones de errores para los servicios en la nube y el sensor de Defender for Identity.

Evaluaciones de posición de seguridad para sensores de AD CS (versión preliminar)

Las evaluaciones de la posición de seguridad de Defender for Identity detectan y recomiendan acciones de forma proactiva en las configuraciones locales de Active Directory.

Las acciones recomendadas ahora incluyen las siguientes evaluaciones de posición de seguridad nuevas, específicamente para las plantillas de certificado y las entidades de certificación.

Las nuevas evaluaciones están disponibles en Microsoft Secure Score, y sacan a la luz, junto con las detecciones, los problemas de seguridad y los errores graves de configuración que suponen un riesgo para toda la organización. La puntuación se actualiza según corresponda.

Por ejemplo:

Captura de pantalla de las nuevas evaluaciones de la posición de seguridad de AD CS.

Para obtener más información, consulte Evaluaciones de la posición de seguridad de Microsoft Defender for Identity.

Nota:

Aunque las evaluaciones de plantillas de certificado están disponibles para todos los clientes que tienen AD CS instalado en su entorno, las evaluaciones de la entidad de certificación solo están disponibles para los clientes que han instalado un sensor en un servidor de AD CS. Para obtener más información, consulte Nuevo tipo de sensor para Active Directory Certificate Services (AD CS).

Defender for Identity, versión 2.223

Esta versión incluye mejoras y correcciones de errores para los servicios en la nube y el sensor de Defender for Identity.

Defender for Identity, versión 2.222

Esta versión incluye mejoras y correcciones de errores para los servicios en la nube y el sensor de Defender for Identity.

Defender for Identity, versión 2.221

Esta versión incluye mejoras y correcciones de errores para los servicios en la nube y el sensor de Defender for Identity.

Noviembre de 2023

Defender for Identity, versión 2.220

Esta versión incluye mejoras y correcciones de errores para los servicios en la nube y el sensor de Defender for Identity.

Defender for Identity, versión 2.219

Esta versión incluye mejoras y correcciones de errores para los servicios en la nube y el sensor de Defender for Identity.

La escala de tiempo de identidad incluye más de 30 días de datos (versión preliminar)

Defender for Identity implementa gradualmente las retenciones de datos extendidas en los detalles de identidad en más de 30 días.

La pestaña Escala de tiempo de la página de detalles de identidad, que incluye actividades de Defender for Identity, Microsoft Defender for Cloud Apps y Microsoft Defender para punto de conexión, incluye actualmente un mínimo de 150 días y está creciendo. Puede haber alguna variación en las tasas de retención de datos en las próximas semanas.

Para ver las actividades y las alertas en la escala de tiempo de identidad dentro de un período de tiempo específico, seleccione el valor predeterminado 30 Días y, a continuación, seleccione Intervalo personalizado. Los datos filtrados de hace más de 30 días se muestran durante un máximo de siete días cada vez.

Por ejemplo:

Captura de pantalla de las opciones de plazo de tiempo personalizado.

Para obtener más información, consulte Investigar recursos e Investigar usuarios en Microsoft Defender XDR.

Defender for Identity, versión 2.218

Esta versión incluye mejoras y correcciones de errores para los servicios en la nube y el sensor de Defender for Identity.

Octubre de 2023

Defender for Identity, versión 2.217

Esta versión incluye las siguientes mejoras:

  • Informe de resumen: el informe de resumen se actualiza para incluir dos nuevas columnas en la pestaña Problemas de estado:

    • Detalles: información adicional sobre el problema, como una lista de objetos afectados o sensores específicos en los que se produce el problema.
    • Recomendaciones: una lista de las acciones recomendadas que se pueden realizar para resolver el problema o cómo investigar el problema más adelante.

    Para obtener más información, vea Descargar y programar informes de Defender for Identity en Microsoft Defender XDR (versión preliminar).

  • Problemas de mantenimiento: se ha agregado el botón de alternancia "Quitar período de aprendizaje" automáticamente para este problema de mantenimiento de inquilino.

Esta versión también incluye correcciones de errores para los servicios en la nube y el sensor de Defender for Identity.

Defender for Identity, versión 2.216

Esta versión incluye mejoras y correcciones de errores para los servicios en la nube y el sensor de Defender for Identity.

Septiembre de 2023

Número reducido de alertas para intentos de ejecución remota de código

Para alinear mejor las alertas de Defender for Identity y Microsoft Defender para punto de conexión, hemos actualizado la lógica de detección de las detecciones de intentos de ejecución remota de código de Defender for Identity.

Aunque este cambio produce un número reducido de alertas de intentos de ejecución de código remoto, Defender for Identity continúa registrando las actividades de ejecución remota de código. Los clientes pueden seguir creando sus propias consultas de búsqueda avanzadas y crear directivas de detección personalizadas.

Configuración de confidencialidad de alertas y mejoras del período de aprendizaje

Algunas alertas de Defender for Identity esperan un período de aprendizaje antes de que se desencadenen las alertas, al crear un perfil de patrones que se usarán al distinguir entre actividades legítimas y sospechosas.

Defender for Identity ahora proporciona las siguientes mejoras para la experiencia del período de aprendizaje:

  • Los administradores pueden utilizar ahora el ajuste Quitar periodo de aprendizaje para configurar la sensibilidad utilizada para alertas específicas. Defina la sensibilidad como Normal para configurar el valor Quitar período de aprendizaje como Desactivado para el tipo de alerta seleccionado.

  • Después de implementar un nuevo sensor en una nueva área de trabajo de Defender for Identity, la opción Quitar período de aprendizaje se activa automáticamente durante 30 días. Transcurridos los 30 días, la configuración Eliminar período de aprendizaje se desactiva automáticamente y los niveles de sensibilidad de alerta vuelven a su funcionalidad predeterminada.

    Para que Defender for Identity use la funcionalidad del período de aprendizaje estándar, donde las alertas no se generan hasta que se realice el período de aprendizaje, configure la opción Quitar períodos de aprendizaje en Desactivado.

Si ha actualizado previamente la configuración Quitar período de aprendizaje, la configuración permanece como lo ha configurado.

Para obtener más información, consulte la Configuración avanzada.

Nota:

La página Configuración avanzada aparece originalmente en la alerta de reconocimiento de enumeración de cuentas en las opciones Quitar período de aprendizaje como configurables para la configuración de confidencialidad. Esta alerta se quitó de la lista y se reemplaza por la alerta de reconocimiento de la entidad de seguridad (LDAP). Este error de interfaz de usuario se corrigió en noviembre de 2023.

Defender for Identity, versión 2.215

Esta versión incluye mejoras y correcciones de errores para los servicios en la nube y el sensor de Defender for Identity.

Los informes de Defender for Identity se mueven al área de informes principal

Ahora puede acceder a los informes de Defender for Identity desde el área informes principales de Microsoft Defender XDR en lugar del área de Configuración. Por ejemplo:

Captura de pantalla del acceso al informe de Defender for Identity desde el área principal informes.

Para obtener más información, vea Descargar y programar informes de Defender for Identity en Microsoft Defender XDR (versión preliminar).

Botón Ir a la búsqueda de grupos en Microsoft Defender XDR

Defender for Identity añadió el botón Ir a la búsqueda para grupos de Microsoft Defender XDR. Los usuarios pueden usar el botón Ir a la búsqueda para consultar las actividades y alertas relacionadas con grupos durante una investigación.

Por ejemplo:

Captura de pantalla del nuevo botón Ir a buscar (Go hunt) en el panel de detalles de un grupo.

Para obtener más información, consulte Búsqueda rápida de información de entidades o eventos con Ir a la búsqueda.

Defender for Identity, versión 2.214

Esta versión incluye mejoras y correcciones de errores para los servicios en la nube y el sensor de Defender for Identity.

Mejoras de rendimiento

Defender for Identity ha realizado mejoras internas de latencia, estabilidad y rendimiento al transferir eventos en tiempo real desde los servicios de Defender for Identity a Microsoft Defender XDR. Los clientes no deben esperar retrasos en los datos de Defender for Identity que aparecen en Microsoft Defender XDR, como alertas o actividades para la búsqueda avanzada.

Para más información, vea:

Agosto de 2023

Defender for Identity, versión 2.213

Esta versión incluye mejoras y correcciones de errores para los servicios en la nube y el sensor de Defender for Identity.

Defender for Identity, versión 2.212

Esta versión incluye mejoras y correcciones de errores para los servicios en la nube y el sensor de Defender for Identity.

Defender for Identity, versión 2.211

Esta versión incluye mejoras y correcciones de errores para los servicios en la nube y el sensor de Defender for Identity.

Nuevo tipo de sensor para Servicios de certificados de Active Directory (AD CS)

Defender for Identity ahora admite el nuevo tipo de sensor ADCS para un servidor dedicado con Servicios de certificados de Active Directory (AD CS) configurado.

Verá el nuevo tipo de sensor identificado en la página Configuración > Identidades > Sensores de Microsoft Defender XDR. Para obtener más información, consulte Administración y actualización de sensores de Microsoft Defender for Identity.

Junto con el nuevo tipo de sensor, Defender for Identity también proporciona alertas de AD CS relacionadas e informes de puntuación segura. Para ver las nuevas alertas y los informes de puntuación de seguridad, asegúrese de que los eventos necesarios se recopilan e inician sesión en el servidor. Para obtener más información, consulte Configuración de la auditoría para eventos de Active Directory Certificate Services (AD CS).

AD CS es una función de Windows Server que emite y gestiona certificados de infraestructura de clave pública (PKI) en protocolos seguros de comunicación y autenticación. Para obtener más información, consulte ¿Qué son los servicios de certificación de Active Directory?

Defender for Identity, versión 2.210

Esta versión incluye mejoras y correcciones de errores para los servicios en la nube y el sensor de Defender for Identity.

Pasos siguientes