Configurar sensores de Microsoft Defender for Identity

  • 5 minutos

En un nivel alto, se requieren los siguientes pasos para habilitar Microsoft Defender for Identity:

  1. Crear una instancia en el portal de administración de Microsoft Defender for Identity.
  2. Especificar una cuenta de servicio de AD local en el portal de Microsoft Defender for Identity.
  3. Descargar e instalar el paquete de sensores.
  4. Instalar el sensor de Microsoft Defender for Identity en todos los controladores de dominio.
  5. Integrar la solución VPN (opcional).
  6. Excluir las cuentas confidenciales que se han enumerado durante el proceso de diseño.
  7. Configurar los permisos necesarios para que el sensor haga llamadas SAM-R.
  8. Configurar la integración de Microsoft Defender for Cloud Apps.
  9. Configure la integración con Microsoft Defender XDR (opcional).

El siguiente diagrama muestra la arquitectura de Microsoft Defender for Identity. En esta unidad, discutiremos cómo configurar el sensor de Microsoft Defender for Identity.

Arquitectura de Microsoft Defender for Identity

Al estar instalado directamente en los controladores de su dominio, el sensor de Microsoft Defender for Identity accede a los registros de eventos que necesita, directamente desde el controlador del dominio. Después de que los registros y el tráfico de red son analizados por el sensor, Microsoft Defender for Identity envía sólo la información analizada al servicio en la nube de Microsoft Defender for Identity (sólo se envía un porcentaje de los registros).

El sensor de Microsoft Defender for Identity tiene las siguientes funciones principales:

  • Capturar e inspeccionar el tráfico de la red del controlador de dominio (tráfico local del controlador de dominio)
  • Recibir los eventos de Windows directamente de los controladores de dominio
  • Recibir la información sobre la cuenta de RADIUS de su proveedor de VPN
  • Recuperar datos sobre usuarios y ordenadores del dominio de Active Directory
  • Realizar la solución de entidades de red (usuarios, grupos y ordenadores)
  • Transferir datos relevantes al servicio en la nube de Microsoft Defender for Identity

El sensor de Microsoft Defender for Identity tiene los siguientes requisitos:

  • KB4487044 está instalado en el Servidor 2019. Los sensores de Microsoft Defender for Identity ya instalados en los servidores de 2019 sin esta actualización se detendrán automáticamente.
  • Lista de los sistemas operativos de controlador de dominio admitidos por el sensor de Microsoft Defender for Identity:
    • Windows Server 2008 R2 SP1 (no incluye Server Core)
    • Windows Server 2012
    • Windows Server 2012 R2
    • Windows Server 2016 (incluyendo Windows Server Core pero no Windows Nano Server)
    • Windows Server 2019 (incluyendo Windows Core pero no Windows Nano Server)
  • El controlador de dominio puede ser un controlador de dominio de sólo lectura (RODC).
  • Se recomiendan 10 GB de espacio en el disco. Esto incluye el espacio necesario para archivos binarios de Microsoft Defender for Identity, registros de Microsoft Defender for Identity, y registros de rendimiento.
  • El sensor de Microsoft Defender for Identity requiere un mínimo de 2 núcleos y 6 GB de RAM instalados en el controlador de dominio.
  • Opción de potencia del sensor de Microsoft Defender for Identity para el alto rendimiento.
  • Los sensores de Microsoft Defender for Identity pueden desplegarse en controladores de dominio de varias cargas y tamaños, dependiendo de la cantidad de tráfico de red hacia y desde los controladores de dominio, y la cantidad de recursos instalados.
  • Cuando se ejecute como una máquina virtual, la memoria dinámica, o cualquier otra característica de aumento de memoria, no será compatible.

Para instalar el sensor de Microsoft Defender for Identity:

  1. Descargue y extraiga el archivo del sensor. Ejecute Sensor de Microsoft Defender for Identity setup.exe y siga el asistente de configuración.
  2. En la página de principal, seleccione su idioma y haga clic en Siguiente

Pasos de instalación: elegir idioma.

  1. El asistente de instalación comprueba automáticamente si el servidor es un controlador de dominio o un servidor dedicado. Si es un controlador de dominio, se instala el sensor de Microsoft Defender for Identity. Si es un servidor dedicado, se instala el sensor independiente de Microsoft Defender for Identity. Por ejemplo, para un sensor de Microsoft Defender for Identity, se mostrará la siguiente pantalla para hacerle saber que un sensor de Microsoft Defender for Identity está instalado en el servidor dedicado:

    Pasos de instalación: determinar el tipo de servidor.

  2. En Configurar el sensor, introduzca la ruta de instalación y la clave de acceso, según su entorno:

    • Ruta de instalación: la ubicación en la que está instalado el sensor de Microsoft Defender for Identity. De forma predeterminada, la ruta es %programfiles%\Microsoft Defender for Identity sensor. Dejar el valor predeterminado.
    • Clave de acceso: recuperada desde el portal de Microsoft Defender for Identity.

    Pasos de instalación: configurar el sensor.

  3. Haga clic en Instalar.

Una vez instalado el sensor de Microsoft Defender for Identity, realice lo siguiente para establecer la configuración del sensor de Microsoft Defender for Identity:

  1. Haga clic en Inicio para abrir su navegador e iniciar la sesión en el portal de Microsoft Defender for Identity.

  2. En el portal de Microsoft Defender for Identity, vaya a Configuración. En la sección Sistema, seleccione Sensores.

    Pasos de instalación: seleccionar sensores en el portal de Microsoft Defender para Office 365.

  3. Haga clic en el sensor que desea configurar e introduzca la siguiente información:

    • Descripción: escriba una descripción para el sensor de Microsoft Defender for Identity (opcional).

    • Controladores de Dominio (FQDN) (requerido para el sensor independiente de Microsoft Defender for Identity, esto no puede ser cambiado para el sensor de Microsoft Defender for Identity): escriba el FQDN completo de su controlador de dominio y haga clic en el signo más para agregarlo a la lista. Por ejemplo, dc01.contoso.com.

      La siguiente información se aplica a los servidores que se introducen en la lista de controladores de dominio:

      • Todos los controladores de dominio cuyo tráfico está siendo monitoreado a través de un reflejo del puerto por el sensor independiente de Microsoft Defender for Identity deben estar incluidos en la lista de controladores de dominio. Si un controlador de dominio no figura en la lista de controladores de dominio, la detección de actividades sospechosas podría no funcionar como se esperaba.
      • Al menos un controlador de dominio en la lista debería ser un catálogo global. Esto le permite a Microsoft Defender for Identity resolver objetos de ordenadores y de usuario en otros dominios en el bosque.

    • Adaptadores de red de captura (necesarios):

      • Para los sensores de Microsoft Defender for Identity, todos los adaptadores de red que se utilizan para la comunicación con otros ordenadores de su organización.
      • Para el sensor independiente de Microsoft Defender for Identity en un servidor dedicado, seleccione los adaptadores de red que están configurados como el puerto de reflejo de destino. Estos adaptadores de red reciben el tráfico del controlador de dominio reflejado.

    Pasos de instalación: escriba información para configurar el sensor.

  4. Haga clic en Guardar.