¿Qué es Microsoft Defender for Identity?

Microsoft Defender for Identity (antes Azure Advanced Threat Protection, conocido también como Azure ATP) es una solución de seguridad basada en la nube que aprovecha las señales de Active Directory local para identificar, detectar e investigar amenazas avanzadas, identidades puestas en peligro y acciones malintencionadas dirigidas a la organización por parte de usuarios internos.

Defender for Identity permite a los analistas de operaciones de seguridad y a los profesionales de la seguridad, que pueden tener problemas para detectar ataques avanzados en entornos híbridos:

  • Supervisar usuarios, el comportamiento de la entidad y las actividades con análisis basados en aprendizaje.
  • Proteger las identidades y las credenciales del usuario almacenadas en Active Directory.
  • Identificar e investigar las actividades del usuario sospechosas y los ataques avanzados a lo largo de la cadena de destrucción.
  • Proporcionar información clara sobre los incidentes en una escala de tiempo sencilla para una rápida evaluación de prioridades.

Supervisar y analizar las actividades y el comportamiento del usuario

Defender for Identity supervisa y analiza las actividades del usuario y la información a través de la red, como los permisos y la pertenencia a grupos. De este modo, crea una línea de base de comportamiento para cada usuario. Después, Defender for Identity identifica anomalías con una inteligencia adaptable integrada, lo que le ofrece información detallada sobre actividades y eventos sospechosos, y le informa de las amenazas avanzadas, los usuarios en peligro y las amenazas internas a las que se enfrenta su organización. Los sensores propietarios de Defender for Identity supervisan los controladores de dominio de la organización, lo que proporciona una vista completa de todas las actividades de los usuarios de todos los dispositivos.

Proteger las identidades de usuario y reducir la superficie expuesta a ataques

Defender for Identity proporciona información muy útil sobre las configuraciones de identidad y los procedimientos recomendados de seguridad sugeridos. Mediante informes de seguridad y análisis de los perfiles de usuario, Defender for Identity permite reducir drásticamente la superficie de ataque de la organización, lo que hace que sea más difícil poner en peligro las credenciales de los usuarios y que se lleve a cabo un ataque. Con las rutas de desplazamiento lateral visuales de Defender for Identity, comprenderá al momento el modo exacto por el que un atacante puede desplazar lateralmente el contenido dentro de la organización y poner en peligro cuentas confidenciales. También le ayudan a prevenir estos riesgos con antelación. Con los informes de seguridad de Defender for Identity es más fácil identificar los usuarios y los dispositivos que se autentican mediante contraseñas no cifradas. También ofrecen otro tipo de información con la que podrá mejorar las directivas y su postura en cuanto a la seguridad de la organización.

Protección de AD FS en entornos híbridos

Los Servicios de federación de Active Directory (AD FS) desempeñan un papel importante en la infraestructura de hoy en día cuando se trata de la autenticación en entornos híbridos. Defender for Identity protege AD FS en su entorno mediante la detección de ataques locales en AD FS y la visibilidad de los eventos de autenticación generados por AD FS. Para obtener más información, vea Microsoft Defender for Identity en Servicios de federación de Active Directory (AD FS).

Identificación de actividades sospechosas y ataques avanzados a través de la cadena de destrucción de ciberataques

Normalmente, los ataques se inician contra cualquier entidad accesible, como un usuario con pocos privilegios, y después se mueven lateralmente hasta que el atacante accede a recursos valiosos, como cuentas confidenciales, los administradores de dominio e información confidencial. Defender for Identity identifica estas amenazas avanzadas en el origen a lo largo de toda la cadena de destrucción del ciberataque:

Reconocimiento

Identifique los intentos de usuarios maliciosos y atacantes de obtener información. Los atacantes buscan información sobre nombres de usuario, pertenencia a grupos de usuarios, direcciones IP asignadas a dispositivos, recursos y mucho más, mediante distintos métodos.

Credenciales en peligro

Identifique los intentos de poner en peligro las credenciales de usuario mediante ataques por fuerza bruta, autenticaciones erróneas, cambios en la pertenencia a un grupo de usuarios y otros métodos.

Movimientos laterales

Detecte intentos de desplazar lateralmente el contenido dentro de la red para obtener un control adicional de los usuarios confidenciales mediante ataques como pass-the-hash, pass-the-ticket, overpass-the-hash y más.

Dominación de dominio

Descubra el comportamiento del atacante si se logra la dominación del dominio mediante la ejecución remota de código en el controlador de dominio y métodos como DC Shadow, replicación del controlador de dominio malintencionado, actividades de golden ticket y más.

Investigar alertas y actividades de usuario

Defender for Identity está diseñado para reducir el ruido general de las alertas, y proporcionar solo las alertas de seguridad pertinentes e importantes en una escala de tiempo de ataque organizativa, simple y en tiempo real. La vista de la escala de tiempo de ataque de Defender for Identity permite centrarse fácilmente en lo que importa, y aprovechar la sabiduría del análisis inteligente. Use Defender for Identity para investigar rápidamente las amenazas y obtener información sobre los usuarios, dispositivos y recursos de red de toda la organización. Su perfecta integración con Microsoft Defender for Endpoint proporciona otra capa de seguridad mejorada mediante la detección y protección adicionales contra amenazas persistentes avanzadas en el sistema operativo.

Recursos adicionales para Defender for Identity

Comenzar la evaluación gratuita

https://signup.microsoft.com/Signup?OfferId=87dd2714-d452-48a0-a809-d2f58c4f68b7&ali=1

Hoja de ruta de Defender for Identity

Consulte la próxima hoja de ruta de Defender for Identity

Seguir Defender for Identity en Microsoft Tech Community

https://aka.ms/MDIcommunity

Unirse a la comunidad de Yammer de Defender for Identity

https://www.yammer.com/azureadvisors/#/threads/inGroup?type=in_group&feedId=9386893

Blog de Defender for Identity

Blog de Defender for Identity

Visitar la página de producto de Defender for Identity

https://www.microsoft.com/microsoft-365/security/identity-defender

Más información sobre la arquitectura de Defender for Identity

Arquitectura de Defender for Identity

Preguntas más frecuentes

Preguntas más frecuentes sobre Defender for Identity

Vea nuestros vídeos

Refuerce su postura en materia de seguridad con Defender for Identity: identifique y resuelva de manera anticipada los procedimientos incorrectos conocidos, de forma que deje su entorno en un estado más saludable y más resistente a los actores no válidos. Vea el vídeo de YouTube.

Investigación de incidentes con Defender for Identity: aprenda a detectar, investigar y responder a amenazas avanzadas dirigidas a identidades y controladores de dominio con Defender for Identity. A partir de una alerta en Defender for Identity mostraremos cómo se correlaciona esa información con un incidente, cómo se buscan amenazas con la información capturada por Defender for Identity y cómo podemos iniciar una respuesta automática a los incidentes para corregirlos antes de que evolucionen a un problema mayor. Vea el vídeo de YouTube.

¿Qué sigue?

Introducción a la Implementación de Microsoft Defender for Identity con Microsoft 365 Defender.

Consulte también