Preguntas más frecuentes sobre Microsoft Defender for Identity

Defender for Identity detecta ataques y técnicas malintencionados conocidos, problemas de seguridad y riesgos para la red. Para obtener la lista completa de detecciones de Defender for Identity, consulte Alertas de seguridad de Defender for Identity.

Defender for Identity recopila y almacena información de los servidores configurados, como controladores de dominio, servidores miembros, etc. Los datos se almacenan en una base de datos específica del servicio con fines de administración, seguimiento e informes.

La información recopilada incluye:

• Tráfico de red hacia y desde controladores de dominio, como la autenticación Kerberos, la autenticación NTLM o las consultas de DNS.
• Registros de seguridad, como eventos de seguridad de Windows.
• Información de Active Directory, como estructura, subredes o sitios.
• Información de la entidad, como nombres, direcciones de correo electrónico y números de teléfono.

Microsoft usa estos datos para:

• Identificar de forma proactiva indicadores de ataque (IOA) en su organización.
• Generar alertas si se detectó un posible ataque.
• Proporcionar a las operaciones de seguridad una vista de las entidades relacionadas con las señales de amenazas de la red, lo que le permitirá investigar y explorar la presencia de amenazas de seguridad en la red.

Microsoft no extrae sus datos para publicidad ni para ningún otro propósito que no sea proporcionarle el servicio.

Defender for Identity admite actualmente la adición de hasta 30 credenciales de servicio de directorio diferentes para admitir entornos de Active Directory con bosques que no son de confianza. Si necesita más cuentas, abra una incidencia de soporte técnico.

Además de analizar el tráfico de Active Directory mediante tecnología de inspección profunda de paquetes, Defender for Identity también recopila eventos de Windows pertinentes del controlador de dominio y crea perfiles de entidad basados en información de Active Directory Domain Services. Defender for Identity también admite la recepción de la contabilidad RADIUS de registros VPN de varios proveedores (Microsoft, Cisco, F5 y Checkpoint).

No. Defender for Identity supervisa todos los dispositivos de la red que realizan solicitudes de autenticación y autorización en Active Directory, incluidos los dispositivos móviles y que no son Windows.

Sí. Dado que las cuentas de equipo y otras entidades se pueden usar para realizar actividades malintencionadas, Defender for Identity supervisa todo el comportamiento de las cuentas de equipo y todas las demás entidades del entorno.

ATA es una solución local independiente con varios componentes, como el Centro ATA que requiere hardware dedicado local.

Defender for Identity es una solución de seguridad basada en la nube que usa las señales de Active Directory local. La solución es altamente escalable y se actualiza con frecuencia.

La versión final de ATA está generalmente disponible. El soporte estándar de ATA finalizó el 12 de enero de 2021. El soporte extendido continuará hasta enero de 2026. Si desea obtener más información, lea nuestra entrada de blog.

A diferencia del sensor de ATA, el sensor de Defender for Identity también usa orígenes de datos, como seguimiento de eventos para Windows (ETW), lo que permite a Defender for Identity entregar detecciones adicionales.

Las actualizaciones frecuentes de Defender for Identity incluyen las siguientes características y funcionalidades:

• Soporte de entornos de varios bosques: proporciona visibilidad de las organizaciones en los bosques de AD.

• Evaluaciones de la posición de puntuación de seguridad de Microsoft: identifica las configuraciones incorrectas comunes y los componentes que se pueden aprovechar y proporciona rutas de corrección para reducir la superficie expuesta a ataques.

• Funcionalidades de UEBA: información sobre riesgo de usuario individual a través de la puntuación de prioridad de investigación de usuarios. La puntuación puede ayudar a SecOps en sus investigaciones y ayudar a los analistas a comprender las actividades inusuales para el usuario y la organización.

• Integraciones nativas: se integra con Microsoft Defender for Cloud Apps y Azure AD Identity Protection para proporcionar una vista híbrida de lo que está teniendo lugar en entornos locales e híbridos.

• Contribuye a Microsoft Defender XDR: aporta los datos de alertas y amenazas a Microsoft Defender XDR. Microsoft Defender XDR usa la cartera de seguridad de Microsoft 365 (identidades, puntos de conexión, datos y aplicaciones) para analizar automáticamente los datos de amenazas entre dominios, creando una imagen completa de cada ataque en un único panel.

  Con esta amplitud y profundidad de claridad, los defensores pueden centrarse en amenazas críticas y buscar vulneraciones sofisticadas. Los defensores pueden confiar en que la eficaz automatización de Microsoft Defender XDR detiene los ataques en cualquier lugar de la cadena de eliminación y devuelve la organización a un estado seguro.

Defender for Identity está disponible como parte del conjunto de aplicaciones Enterprise Mobility + Security 5 (EMS E5) y como licencia independiente. Puede adquirir una licencia directamente desde el portal de Microsoft 365 o mediante el modelo de licencias de Cloud Solution Partner (CSP).

Para obtener información sobre los requisitos de licencias de Defender for Identity, consulte Guía de licencias de Defender for Identity.

Sí, los datos se aíslan mediante la autenticación de acceso y la segregación lógica en función de los identificadores de cliente. Cada cliente solo puede acceder a los datos recopilados de su propia organización y a los datos genéricos que proporciona Microsoft.

No. Cuando se crea el área de trabajo de Defender for Identity, se almacena automáticamente en la región de Azure más cercana a la ubicación geográfica de la cuenta empresarial de Microsoft Entra. Una vez creado el área de trabajo de Defender for Identity, los datos de Defender for Identity no se pueden mover a otra región.

Los desarrolladores y administradores de Microsoft tienen, por diseño, privilegios suficientes para llevar a cabo sus tareas asignadas para operar y evolucionar el servicio. Microsoft implementa combinaciones de controles preventivos, de detección y reactivos para ayudar en la protección frente a actividades de desarrollo y administrativas no autorizadas, incluyendo los siguientes mecanismos:

• Control estricto del acceso a los datos confidenciales
• Combinaciones de controles que mejoran notablemente la detección independiente de actividades malintencionadas
• Varios niveles de supervisión, registro y elaboración de informes

Además, Microsoft realiza comprobaciones en segundo plano sobre cierto personal de operaciones y limita el acceso a aplicaciones, sistemas e infraestructura de red en proporción al nivel de comprobación en segundo plano. El personal de operaciones sigue un proceso formal cuando se les pide que accedan a la cuenta de un cliente o a la información relacionada en el desempeño de sus tareas.

Se recomienda tener un sensor de Defender for Identity o un sensor independiente para cada uno de los controladores de dominio. Para más información, consulte Dimensionamiento de sensor de Defender for Identity.

Mientras los protocolos de red con tráfico cifrado, como AtSvc y WMI, no se desencripten, los sensores siguen analizando el tráfico.

Defender for Identity admite Kerberos Armoring, también conocida como tunelización segura de autenticación flexible (FAST). La excepción a esta compatibilidad es la detección de hash superada, que no funciona con Kerberos Armoring.

El sensor de Defender for Identity puede cubrir la mayoría de los controladores de dominio virtuales. Para obtener más información, consulte Cancelar un planeamiento de capacidad de Defender for Identity.

Si el sensor de Defender for Identity no puede cubrir un controlador de dominio virtual, use en su lugar un sensor independiente virtual o físico de Defender for Identity. Para obtener más información, vea Configuración de creación de reflejos de puertos.

La manera más fácil es tener un sensor independiente de Defender for Identity virtual en cada host donde exista un controlador de dominio virtual.

Si los controladores de dominio virtuales se mueven entre hosts, debe realizar uno de los pasos siguientes:

• Cuando el controlador de dominio virtual se mueve a otro host, configure previamente el sensor independiente de Defender for Identity en ese host para recibir el tráfico del controlador de dominio virtual movido recientemente.

• Asegúrese de asociar el sensor independiente de Defender for Identity virtual con el controlador de dominio virtual para que, si se mueve, el sensor independiente de Defender for Identity se mueva con él.

• Hay algunos conmutadores virtuales que pueden enviar tráfico entre hosts.

Para que los controladores de dominio se comuniquen con el servicio en la nube, debe abrir: *.atp.azure.com puerto 443 en el servidor de seguridad o proxy. Para obtener más información, consulte Configuración del proxy o servidor de seguridad para habilitar la comunicación con sensores de Defender for Identity.

Sí, puede usar el sensor de Defender for Identity para supervisar los controladores de dominio que se encuentran en cualquier solución de IaaS.

Defender for Identity admite entornos de múltiples dominios y bosques. Para obtener más información y requisitos de confianza, consulte Soporte de varios bosques.

Sí, puede ver el estado general de la implementación y cualquier problema específico relacionado con la configuración o la conectividad, entre otros. Se le alertará a medida que se produzcan estos eventos con problemas de mantenimiento de Defender for Identity.

Microsoft Defender for Identity proporciona valor de seguridad para todas las cuentas de Active Directory, incluidas las que no se sincronizan con el identificador de Microsoft Entra. Las cuentas de usuario que se sincronizan con el identificador de Microsoft Entra también se beneficiarán del valor de seguridad proporcionado por el identificador de Microsoft Entra (en función del nivel de licencia) y de la puntuación de prioridad de investigación.

El equipo de Microsoft Defender for Identity recomienda que todos los clientes usen el controlador Npcap en lugar de los controladores de WinPcap. A partir de Defender for Identity versión 2.184, el paquete de instalación instala Npcap 1.0 OEM en lugar de los controladores WinPcap 4.1.3.

WinPcap ya no se admite y, dado que ya no se está desarrollando, el controlador ya no se puede optimizar para el sensor de Defender for Identity. Además, si hay un problema en el futuro con el controlador WinPcap, no hay opciones para una corrección.

Npcap es compatible, mientras que WinPcap ya no es un producto compatible.

El sensor MDI requiere Npcap 1.0 o posterior. El paquete de instalación del sensor instalará la versión 1.0 si no se instala ninguna otra versión de Npcap. Si ya tiene Npcap instalado (debido a otros requisitos de software, o cualquier otro motivo), es importante asegurarse de que sea la versión 1.0 o posterior, y que se haya instalado con la configuración necesaria para MDI.

Sí. Es necesario quitar manualmente el sensor para quitar los controladores WinPcap. La reinstalación mediante el paquete más reciente instalará los controladores Npcap.

Puede ver que "Npcap OEM" está instalado a través de Agregar/Remover programas (appwiz.cpl) y si se produjo un problema de mantenimiento abierto para esto, se cerrará automáticamente.

No, Npcap tiene una exención del límite habitual de cinco instalaciones. Puede instalarlo en sistemas ilimitados donde solo se usa con el sensor de Defender for Identity.

Consulte el contrato de licencia Npcap aquí y busque Microsoft Defender for Identity.

No, solo el sensor de Microsoft Defender for Identity admite Npcap versión 1.00.

No, no es necesario comprar la versión OEM. Descargue el paquete de instalación del sensor versión 2.156 y posteriores de la consola de Defender for Identity, que incluye la versión OEM de Npcap.

• Puede obtener los archivos ejecutables de Npcap descargando el paquete de implementación más reciente del sensor de Defender for Identity.

• Si aún no ha instalado el sensor, instale la versión 2.184 o posterior.

• Si ya ha instalado el sensor con WinPcap y necesita actualizar para usar Npcap:

  1. Desinstale el sensor. Use Agregar/Remover programas del panel de control de Windows (appwiz.cpl) o ejecute el siguiente comando de desinstalación: ".\Azure ATP Sensor Setup.exe" /uninstall /quiet

  2. Desinstale WinPcap si es necesario. Este paso solo es relevante si WinPcap se instaló manualmente antes de la instalación del sensor. En este caso, tendría que quitar manualmente WinPcap.

  3. Vuelva a instalar el sensor con la versión 2.184 o posterior.

• Si desea instalar Npcap manualmente: instale Npcap con las siguientes opciones:

  • Si usa el instalador de GUI, desactive la opción de compatibilidad con bucle invertido y seleccione Modo winPcap. Asegúrese de que la opción Restringir el acceso del controlador Npcap a Administradores únicamente está desactivada.
  • Si está utilizando la línea de comandos, ejecute: npcap-1.00-oem.exe /loopback_support=no /winpcap_mode=yes /admin_only=no /S

• Si desea actualizar manualmente Npcap:

  1. Detenga los servicios del sensor de Defender for Identity AATPSensorUpdater y AATPSensor. Ejecute Stop-Service -Name AATPSensorUpdater -Force; Stop-Service -Name AATPSensor -Force.

  2. Quite Npcap mediante Agregar/Remover programas en el panel de control de Windows (appwiz.cpl).

  3. Instale Npcap con las opciones siguientes:

     • Si usa el instalador de GUI, desactive la opción de compatibilidad con bucle invertido y seleccione Modo winPcap. Asegúrese de que la opción Restringir el acceso del controlador Npcap a Administradores únicamente está desactivada.

     • Si está utilizando la línea de comandos, ejecute: npcap-1.00-oem.exe /loopback_support=no /winpcap_mode=yes /admin_only=no /S

  4. Inicie los servicios del sensor de Defender for Identity, AATPSensorUpdater y AATPSensor. Ejecute Start-Service -Name AATPSensorUpdater; Start-Service -Name AATPSensor.

Defender for Identity se puede configurar para enviar una alerta de Syslog a cualquier servidor SIEM mediante el formato CEF cuando hay problemas de mantenimiento o se detecta una alerta de seguridad. Para más información, consulte la referencia del registro de SIEM.

Las cuentas se consideran confidenciales cuando una cuenta es miembro de grupos designados como confidenciales (por ejemplo: "Administradores de dominio").

Para comprender por qué una cuenta es confidencial, puede revisar su pertenencia a grupos para descubrir a qué grupos confidenciales pertenece. El grupo al que pertenece también puede ser confidencial debido a otro grupo, por lo que se debe realizar el mismo proceso hasta que encuentre el grupo confidencial de nivel más alto. Como alternativa, etiquete las cuentas como confidenciales manualmente.

Con Defender for Identity, no es necesario crear reglas, umbrales o líneas base y, a continuación, ajustarlas. Defender for Identity analiza los comportamientos entre usuarios, dispositivos y recursos, así como su relación entre sí, y puede detectar rápidamente actividades sospechosas y ataques conocidos. Tres semanas después de la implementación, Defender for Identity comienza a detectar actividades sospechosas de comportamiento. Por otro lado, inmediatamente después de la implementación Defender for Identity comenzará a detectar ataques malintencionados conocidos y problemas de seguridad.

Defender for Identity genera tráfico de controladores de dominio a equipos de la organización en uno de estos tres escenarios:

• La resolución de nombres de red de Defender for Identity captura el tráfico y los eventos, el aprendizaje y la generación de perfiles de usuarios y actividades de equipo en la red. Para aprender y generar perfiles de actividades según los equipos de la organización, Defender for Identity debe resolver direcciones IP en cuentas de equipo. Para resolver direcciones IP en nombres de equipos en los sensores de Defender for Identity, solicite la dirección IP del nombre del equipo detrás de la dirección IP.

  Las solicitudes se realizan mediante uno de los cuatro métodos:

  • NTLM a través de RPC (puerto TCP 135)
  • NetBIOS (puerto UDP 137)
  • RDP (Puerto TCP 3389)
  • Consulta del servidor DNS mediante la búsqueda inversa de DNS de la dirección IP (UDP 53)

  Después de obtener el nombre del equipo, los sensores de Defender for Identity comprueban los detalles de Active Directory para ver si hay un objeto de equipo correlacionado con el mismo nombre de equipo. Si se encuentra una coincidencia, se realiza una asociación entre la dirección IP y el objeto de equipo coincidente.

• Ruta de desplazamiento lateral (LMP) Para crear posibles LMP para usuarios confidenciales, Defender for Identity requiere información sobre los administradores locales de los equipos. En este escenario, el sensor de Defender for Identity usa SAM-R (TCP 445) para consultar la dirección IP identificada en el tráfico de red, con el fin de determinar los administradores locales del equipo. Para más información sobre Defender for Identity y SAM-R, consulte Configuración de permisoS necesarios de SAM-R.

• Consultar Active Directory mediante LDAP para que los sensores de Defender for Identity de datos de entidad consulten el controlador de dominio desde el dominio al que pertenece la entidad. Puede ser el mismo sensor u otro controlador de dominio de ese dominio.

Defender for Identity captura actividades en muchos protocolos diferentes. En algunos casos, Defender for Identity no recibe los datos del usuario de origen en el tráfico. Defender for Identity intenta correlacionar la sesión del usuario con la actividad y, cuando el intento es correcto, se muestra el usuario de origen de la actividad. Cuando se produce un error en los intentos de correlación de usuarios, solo se muestra el equipo de origen.

Examine el error más reciente en el registro de errores actual (donde Defender for Identity está instalado en la carpeta "Registros").

Contenido relacionado

• Requisitos previos de Defender for Identity
• Planeamiento de una capacidad de Defender for Identity
• Configuración de la recopilación de eventos
• Configuración del reenvío de eventos de Windows
• Solución de problemas
• Consulte el foro de Defender for Identity