Revise los requisitos de arquitectura y los conceptos clave para Microsoft Defender for Identity

Se aplica a:

• Microsoft Defender XDR

Este artículo es el paso 1 del 3 en el proceso de configuración del entorno de evaluación para Microsoft Defender for Identity. Para obtener más información sobre este proceso, consulte el artículo de información general.

Antes de habilitar Microsoft Defender for Identity, asegúrese de comprender la arquitectura y de que puede cumplir los requisitos.

Microsoft Defender for Identity usa el aprendizaje automático y el análisis de comportamiento para identificar ataques en la red local, junto con la detección y prevención proactiva de riesgos de inicio de sesión de usuario asociados a identidades en la nube. Para obtener más información, consulte ¿Qué es Microsoft Defender for Identity?

Defender for Identity protege a los usuarios de Active Directory local o a los usuarios sincronizados con el Microsoft Entra ID. Para proteger un entorno formado solo por usuarios Microsoft Entra, consulte Protección de Microsoft Entra ID.

Información sobre la arquitectura

En el diagrama siguiente se muestra la arquitectura de línea base de Defender for Identity.

En esta ilustración:

• Los sensores instalados en controladores de dominio de Servicios de dominio de Active Directory (AD DS) analizan los registros y el tráfico de red y los envían a Microsoft Defender for Identity para su análisis y generación de informes.
• Los sensores también pueden analizar Servicios de federación de Active Directory (AD FS) (AD FS) cuando Microsoft Entra ID está configurado para usar la autenticación federada (línea de puntos en la ilustración).
• Microsoft Defender for Identity comparte señales a Microsoft Defender XDR para la detección y respuesta extendidas (XDR).

Los sensores de Defender for Identity se pueden instalar directamente en los siguientes servidores:

• Controladores de dominio: el sensor supervisa directamente el tráfico del controlador de dominio, sin necesidad de un servidor dedicado ni de la configuración de la creación de reflejo del puerto.
• AD FS: el sensor supervisa directamente el tráfico de red y los eventos de autenticación.

Para más información sobre la arquitectura de Defender for Identity, incluida la integración con Defender for Cloud Apps, consulte arquitectura de Microsoft Defender for Identity.

Descripción de los conceptos clave

En la tabla siguiente se identificaron conceptos clave que son importantes comprender al evaluar, configurar e implementar Microsoft Defender for Identity.

Concepto	Descripción	Más información
Actividades supervisadas	Defender for Identity supervisa las señales generadas desde dentro de la organización para detectar actividades sospechosas o malintencionadas y le ayuda a determinar la validez de cada amenaza potencial para que pueda evaluar y responder de forma eficaz.	Microsoft Defender for Identity actividades supervisadas
Alertas de seguridad	Las alertas de seguridad de Defender for Identity explican las actividades sospechosas detectadas por los sensores de la red junto con los actores y equipos implicados en cada amenaza.	alertas de seguridad de Microsoft Defender for Identity
Perfiles de entidad	Los perfiles de entidad proporcionan una investigación exhaustiva de usuarios, equipos, dispositivos y recursos junto con su historial de acceso.	Descripción de los perfiles de entidad
Rutas de desplazamiento lateral	Un componente clave de la información de seguridad de MDI es la identificación de rutas de desplazamiento lateral en las que un atacante usa cuentas no confidenciales para obtener acceso a las cuentas o máquinas confidenciales en toda la red.	Microsoft Defender for Identity rutas de desplazamiento lateral (LMP)
Resolución de nombres de red	Resolución de nombres de red (NNR) es un componente de la funcionalidad de MDI que captura actividades basadas en el tráfico de red, eventos de Windows, ETW, etc. y correlaciona estos datos sin procesar con los equipos pertinentes implicados en cada actividad.	¿Qué es la resolución de nombres de red?
Informes	Los informes de Defender for Identity le permiten programar o generar y descargar informes inmediatamente que proporcionan información de estado del sistema y de la entidad. Puede crear informes sobre el estado del sistema, las alertas de seguridad y las posibles rutas de desplazamiento lateral detectadas en su entorno.	informes de Microsoft Defender for Identity
Grupos de funciones	Defender for Identity ofrece grupos basados en roles y acceso delegado para proteger los datos según las necesidades específicas de seguridad y cumplimiento de su organización, incluidos administradores, usuarios y visores.	Grupos de roles de Microsoft Defender for Identity
Portal administrativo	Además del portal de Microsoft Defender, el portal de Defender for Identity se puede usar para supervisar y responder a actividades sospechosas.	Trabajo con el portal de Microsoft Defender for Identity
integración Microsoft Defender for Cloud Apps	Microsoft Defender for Cloud Apps se integra con Microsoft Defender for Identity para proporcionar análisis de comportamiento de entidades de usuario (UEBA) en un entorno híbrido, tanto en la aplicación en la nube como en el entorno local.	integración Microsoft Defender for Identity

Revisión de los requisitos previos

Defender for Identity requiere algunos requisitos previos para asegurarse de que los componentes de red e identidad local cumplen los requisitos mínimos. Use este artículo como lista de comprobación para asegurarse de que el entorno está listo: Microsoft Defender for Identity requisitos previos.

Pasos siguientes

Paso 2 de 3: Habilitación del entorno de evaluación de Defender for Identity

Vuelva a la introducción para Evaluar Microsoft Defender for Identity

Vuelva a la información general sobre la evaluación y la Microsoft Defender XDR piloto

Sugerencia

¿Desea obtener más información? Engage con la comunidad de seguridad de Microsoft en nuestra comunidad tecnológica: Microsoft Defender XDR Tech Community.