Describir Microsoft Defender for Identity

  • 4 minutos

Microsoft Defender for Identity es una solución de seguridad basada en la nube. Utiliza sus datos de Active Directory local (llamados señales) para identificar, detectar e investigar amenazas avanzadas, identidades comprometidas y acciones internas malintencionadas dirigidas a su organización.

Microsoft Defender for Identity permite a los profesionales de seguridad administrar la funcionalidad de entornos híbridos para hacer lo siguiente:

  • Supervisar a los usuarios, el comportamiento de las entidades y las actividades con análisis basados en el aprendizaje
  • Proteger las identidades y las credenciales del usuario almacenadas en Active Directory.
  • Identificar e investigar actividades sospechosas y ataques avanzados a lo largo de la cadena de eliminación del ciberataque.
  • Proporcionar información clara sobre los incidentes en una escala de tiempo sencilla para una rápida evaluación de prioridades.

Supervisión y análisis del comportamiento y las actividades del usuario

Defender for Identity supervisa y analiza las actividades de los usuarios y la información en su red, incluidos los permisos y la pertenencia a grupos, y crea una línea de base de comportamiento para cada usuario. Defender for Identity identifica a continuación anomalías con inteligencia integrada adaptable. Brinda información sobre actividades y eventos sospechosos, revelando las amenazas avanzadas, los usuarios comprometidos y las amenazas internas que enfrenta su organización.

Proteger las identidades y las credenciales del usuario almacenadas en Active Directory.

Defender for Identity proporciona información sobre las configuraciones de identidades y procedimientos recomendados de seguridad. A través de informes de seguridad y análisis de perfil de usuario, Defender for Identity ayuda a reducir la superficie de ataque de su organización, lo que dificulta comprometer las credenciales de usuario y promover un ataque.

Los informes de seguridad de Defender for Identity ayudan a identificar usuarios y dispositivos que se autentican mediante contraseñas de texto sin cifrar. También proporciona información adicional sobre cómo mejorar la postura y las directivas de seguridad.

Para entornos híbridos en los que Servicios de federación de Active Directory (AD FS) está presente, Defender for Identity protege AD FS mediante la detección de ataques locales y la visibilidad de los eventos de autenticación generados por AD FS.

Identificar actividades sospechosas y ataques avanzados a lo largo de la cadena de eliminación del ciberataque

Normalmente, los ataques se lanzan contra cualquier entidad accesible, como un usuario con pocos privilegios. Después, los ataques se mueven rápidamente hasta que el atacante accede a recursos valiosos. Estos recursos pueden incluir cuentas confidenciales, administradores de dominio y datos extremadamente confidenciales. Defender for Identity identifica estas amenazas avanzadas en el origen a lo largo de toda la cadena de eliminación del ciberataque:

  • Reconocimiento: identifique los intentos de usuarios maliciosos y atacantes de obtener información.
  • Credenciales en peligro: identifique los intentos de poner en peligro las credenciales de usuario mediante ataques por fuerza bruta, autenticaciones erróneas, cambios en la pertenencia a un grupo de usuarios y otros métodos.
  • Movimientos laterales: detecte los intentos de moverse lateralmente dentro de la red para obtener un mayor control de los usuarios confidenciales.
  • Dominación del dominio: resalta el comportamiento del atacante si se logra la dominación del dominio, mediante la ejecución remota de código en el controlador de dominio u otros métodos.

Investigar alertas y actividades de usuario

Defender for Identity está diseñado para reducir el ruido general de las alertas, y proporcionar solo las alertas de seguridad pertinentes e importantes en una escala de tiempo de ataque organizativa, simple y en tiempo real.

Utilice la vista de la línea de tiempo del ataque de Defender for Identity y la inteligencia de los análisis inteligentes para mantenerse enfocado en lo que importa. Además, puede utilizar Defender for Identity para investigar rápidamente las amenazas y obtener información sobre los usuarios, los dispositivos y los recursos de red de toda la organización.

Microsoft Defender for Identity protege su organización frente a identidades en peligro, amenazas avanzadas y acciones de Insider malintencionadas.

A diagram of Defender for Identity. The diagram shows a domain controller and AD FS sending and signals to Defender for Identity. Defender for Identity is sending and receiving signals from Microsoft Defender XDR which gets signals from endpoints, Office 365, and cloud apps.