Arquitectura de Microsoft Defender for Identity
Microsoft Defender for Identity supervisa los controladores de dominio mediante la captura y el análisis del tráfico de red y el aprovechamiento de los eventos de Windows directamente desde los controladores de dominio, y analiza los datos de amenazas y ataques.
En la imagen siguiente se muestra cómo Defender for Identity se superpone a Microsoft Defender XDR y funciona junto con otros proveedores de identidades de servicios Microsoft y de terceros para supervisar el tráfico procedente de controladores de dominio y servidores de Active Directory.
Instalado directamente en su controlador de dominio, en los servidores Active Directory Federation Services (AD FS) o Active Directory Certificate Services (AD CS), el sensor Defender for Identity accede a los registros de eventos que necesita directamente desde los servidores. Después de que el sensor analice los registros y el tráfico de red, Defender for Identity envía únicamente la información analizada al servicio en la nube de Defender for Identity.
Componentes de Defender for Identity
Defender for Identity consta de los siguientes componentes:
Portal de Microsoft Defender
El portal de Microsoft Defender crea una instancia de Defender for Identity, muestra los datos recibidos de los sensores de Defender for Identity y permite supervisar, administrar e investigar las amenazas en el entorno de red.Sensor de Defender for Identity: los sensores de Defender for Identity se pueden instalar directamente en los siguientes servidores:
- Controladores de dominio: El sensor supervisa directamente el tráfico del controlador de dominio, sin que sea necesario usar un servidor dedicado ni la configuración de una creación de reflejo del puerto.
- AD FS/AD CS: El sensor supervisa directamente el tráfico de red y los eventos de autenticación.
Servicio en la nube de Defender for Identity
El servicio en la nube de Defender for Identity se ejecuta en la infraestructura de Azure y actualmente está implementado en Estados Unidos, Europa, Australia Oriental y Asia. El servicio en la nube de Defender for Identity está conectado a Microsoft Intelligent Security Graph.
Portal de Microsoft Defender
Use el portal de Microsoft Defender para:
- Cree el área de trabajo de Defender for Identity.
- Integración con otros servicios de seguridad de Microsoft
- Administrar la configuración del sensor de Defender for Identity
- Visualizar los datos recibidos de los sensores de Defender for Identity
- Supervise las actividades sospechosas detectadas y los ataques sospechosos en función del modelo de cadena de eliminación de ataques.
- Opcional: el portal también se puede configurar para enviar correos electrónicos y eventos cuando se detectan alertas de seguridad o problemas de mantenimiento.
Nota:
Si no hay ningún sensor instalado en el área de trabajo de Defender for Identity al cabo de 60 días, se podría eliminar y tendría que volver a crearlo.
Sensor de Defender for Identity
El sensor de Defender for Identity tiene esta función principal:
- Capturar e inspeccionar el tráfico de red del controlador de dominio (tráfico local del controlador de dominio)
- Recibir eventos de Windows directamente desde los controladores de dominio
- Recibir información de contabilidad RADIUS de su proveedor de VPN
- Recuperación de datos sobre usuarios y equipos del dominio de Active Directory
- Resolución de entidades de red (usuarios, grupos y equipos)
- Transferir datos de interés al servicio en la nube de Defender for Identity
El sensor de Defender for Identity lee los eventos localmente, sin necesidad de adquirir y mantener ningún hardware o configuración adicional. El sensor de Defender for Identity también admite Seguimiento de eventos para Windows (ETW), que proporciona la información de registro de varias detecciones. Entre las detecciones basadas en ETW se incluyen los ataques sospechosos de DCShadow que se han intentado usar solicitudes de replicación del controlador de dominio y la promoción del controlador de dominio.
Proceso del sincronizador de dominio
El proceso del sincronizador de dominio es responsable de sincronizar todas las entidades de un dominio de Active Directory específico de forma proactiva (similar al mecanismo usado por los propios controladores de dominio para la replicación). Un sensor se elige automáticamente al azar de todos los sensores aptos para servir como sincronizador de dominio.
Si el sincronizador de dominio está sin conexión durante más de 30 minutos, se elige automáticamente otro sensor.
Limitaciones de recursos
El sensor de Defender for Identity incluye un componente de supervisión que evalúa la capacidad de proceso y memoria disponibles en el servidor en el que se está ejecutando. El proceso de supervisión se ejecuta cada 10 segundos y actualiza dinámicamente la cuota de uso de CPU y memoria en el proceso del sensor de Defender for Identity. El proceso de supervisión garantiza que el servidor siempre tenga al menos un 15 % de recursos informáticos y de memoria libres disponibles.
Independientemente de lo que ocurra en el servidor, el proceso de supervisión libera continuamente recursos para asegurarse de que la funcionalidad principal del servidor nunca se vea afectada.
Si el proceso de supervisión hace que el sensor de Defender for Identity se quede sin recursos, se supervisa únicamente el tráfico parcial y, en la página del sensor de Defender for Identity, aparecerá una alerta de estado para indicar que se quitó el tráfico de red reflejado en puerto.
Eventos de Windows
Para mejorar la cobertura de detección de Defender for Identity en relación con las autenticaciones NTLM, las modificaciones de grupos confidenciales y la creación de servicios sospechosos, Defender for Identity analiza los registros de eventos específicos de Windows.
Para asegurarse de que se leen los registros, asegúrese de que el sensor de Defender for Identity tenga configurada correctamente la configuración avanzada de la directiva de auditoría. Para asegurarse de que el servicio audita el evento 8004 de Windows según sea necesario, revise la configuración de auditoría de NTLM.
Paso siguiente
Implementación de Microsoft Defender for Identity con Microsoft Defender XDR