Pilotar e implementar Microsoft Defender for Identity
Se aplica a:
- Microsoft Defender XDR
En este artículo se proporciona un flujo de trabajo para probar e implementar Microsoft Defender for Identity en su organización. Puede usar estas recomendaciones para incorporar Microsoft Defender for Identity como una herramienta de ciberseguridad individual o como parte de una solución de un extremo a otro con Microsoft Defender XDR.
En este artículo se supone que tiene un inquilino de Producción de Microsoft 365 y que está pilotando e implementando Microsoft Defender for Identity en este entorno. Esta práctica mantendrá cualquier configuración y personalización que configure durante el piloto para la implementación completa.
Defender para Office 365 contribuye a una arquitectura Confianza cero al ayudar a evitar o reducir los daños empresariales de una infracción. Para obtener más información, consulte El marco de adopción de Microsoft Confianza cero impedir o reducir los daños empresariales de un escenario empresarial de vulneración.
Implementación de un extremo a otro para Microsoft Defender XDR
Este es el artículo 2 de 6 de una serie para ayudarle a implementar los componentes de Microsoft Defender XDR, incluida la investigación y respuesta a incidentes.
Los artículos de esta serie corresponden a las siguientes fases de la implementación de un extremo a otro:
| Fase | Vínculo |
|---|---|
| R. Iniciar el piloto | Iniciar el piloto |
| B. Piloto e implementación de componentes de Microsoft Defender XDR |
-
Piloto e implementación de Defender for Identity (este artículo) - Pilotar e implementar Defender para Office 365 - Piloto e implementación de Defender para punto de conexión - Pilotar e implementar Microsoft Defender for Cloud Apps |
| C. Investigar y responder a amenazas | Práctica de la investigación y respuesta a incidentes |
Piloto e implementación del flujo de trabajo para Defender for Identity
En el diagrama siguiente se muestra un proceso común para implementar un producto o servicio en un entorno de TI.
Empiece por evaluar el producto o servicio y cómo funcionará dentro de su organización. A continuación, pilote el producto o servicio con un subconjunto adecuadamente pequeño de la infraestructura de producción para pruebas, aprendizaje y personalización. A continuación, aumente gradualmente el ámbito de la implementación hasta que se cubra toda la infraestructura o la organización.
Este es el flujo de trabajo para probar e implementar Defender for Identity en el entorno de producción.
Siga estos pasos:
- Configuración de la instancia de Defender for Identity
- Instalación y configuración de sensores
- Configuración del registro de eventos y del proxy en las máquinas con el sensor
- Permitir que Defender for Identity identifique administradores locales en otros equipos
- Configuración de recomendaciones de pruebas comparativas para el entorno de identidad
- Probar las funcionalidades
Estos son los pasos recomendados para cada fase de implementación.
| Fase de implementación | Descripción |
|---|---|
| Calcular | Realice la evaluación de productos para Defender for Identity. |
| Piloto | Realice los pasos 1 a 6 para un subconjunto adecuado de servidores con sensores en el entorno de producción. |
| Implementación completa | Realice los pasos del 2 al 5 para los servidores restantes, expandiéndose más allá del piloto para incluirlos todos. |
Protección de la organización frente a hackers
Defender for Identity proporciona una protección eficaz por sí sola. Sin embargo, cuando se combina con las otras funcionalidades de Microsoft Defender XDR, Defender for Identity proporciona datos en las señales compartidas que, juntos, ayudan a detener los ataques.
Este es un ejemplo de un ciberataque y cómo los componentes de Microsoft Defender XDR ayudan a detectarlo y mitigarlo.
Defender for Identity recopila señales de Servicios de dominio de Active Directory (AD DS) controladores de dominio y servidores que ejecutan Servicios de federación de Active Directory (AD FS) (AD FS) y Servicios de certificados de Active Directory (AD CS). Usa estas señales para proteger el entorno de identidad híbrida, incluida la protección contra los hackers que usan cuentas en peligro para moverse lateralmente entre estaciones de trabajo en el entorno local.
Microsoft Defender XDR correlaciona las señales de todos los componentes de Microsoft Defender para proporcionar la historia de ataque completa.
Arquitectura de Defender for Identity
Microsoft Defender for Identity está totalmente integrado con Microsoft Defender XDR y aprovecha las señales de las identidades de Active Directory local para ayudarle a identificar, detectar e investigar mejor las amenazas avanzadas dirigidas a su organización.
Implemente Microsoft Defender for Identity para ayudar a los equipos de Operaciones de seguridad (SecOps) a ofrecer una solución moderna de detección y respuesta de amenazas de identidad (ITDR) en entornos híbridos, entre los que se incluyen:
- Prevención de infracciones mediante evaluaciones proactivas de la posición de seguridad de identidad
- Detección de amenazas, mediante análisis en tiempo real e inteligencia de datos
- Investigación de actividades sospechosas, con información clara y procesable de incidentes
- Responder a ataques mediante la respuesta automática a identidades en peligro. Para obtener más información, consulte ¿Qué es Microsoft Defender for Identity?
Defender for Identity protege las cuentas de usuario de AD DS locales y las cuentas de usuario sincronizadas con el inquilino de Microsoft Entra ID. Para proteger un entorno formado solo por cuentas de usuario Microsoft Entra, consulte Protección de Microsoft Entra ID.
En el diagrama siguiente se muestra la arquitectura de Defender for Identity.
En esta ilustración:
- Los sensores instalados en controladores de dominio de AD DS y servidores de AD CS analizan los registros y el tráfico de red y los envían a Microsoft Defender for Identity para su análisis e informes.
- Los sensores también pueden analizar las autenticaciones de AD FS para proveedores de identidades de terceros y cuando Microsoft Entra ID está configurado para usar la autenticación federada (las líneas de puntos de la ilustración).
- Microsoft Defender for Identity comparte señales para Microsoft Defender XDR.
Los sensores de Defender for Identity se pueden instalar directamente en los siguientes servidores:
Controladores de dominio de AD DS
El sensor supervisa directamente el tráfico del controlador de dominio, sin necesidad de un servidor dedicado ni de la configuración de la creación de reflejo del puerto.
Servidores de AD CS
Servidores de AD FS
El sensor supervisa directamente el tráfico de red y los eventos de autenticación.
Para obtener una visión más detallada de la arquitectura de Defender for Identity, consulte arquitectura de Microsoft Defender for Identity.
Paso 1: Configuración de la instancia de Defender for Identity
En primer lugar, Defender for Identity requiere algunos requisitos previos para asegurarse de que los componentes de red e identidad local cumplen los requisitos mínimos. Use el artículo Microsoft Defender for Identity requisitos previos como lista de comprobación para asegurarse de que el entorno está listo.
A continuación, inicie sesión en el portal de Defender for Identity para crear la instancia y, a continuación, conecte esta instancia al entorno de Active Directory.
| Paso | Descripción | Más información |
|---|---|---|
| 1 | Creación de la instancia de Defender for Identity | Inicio rápido: crear la instancia de Microsoft Defender for Identity |
| 2 | Conexión de la instancia de Defender for Identity al bosque de Active Directory | Inicio rápido: Conexión al bosque de Active Directory |
Paso 2: Instalación y configuración de sensores
A continuación, descargue, instale y configure el sensor de Defender for Identity en los controladores de dominio, AD FS y servidores de AD CS en el entorno local.
| Paso | Descripción | Más información |
|---|---|---|
| 1 | Determine cuántos sensores de Microsoft Defender for Identity necesita. | Capacidad del plan para Microsoft Defender for Identity |
| 2 | Descarga del paquete de configuración del sensor | Inicio rápido: Descarga del paquete de configuración del sensor de Microsoft Defender for Identity |
| 3 | Instalación del sensor de Defender for Identity | Inicio rápido: Instalación del sensor de Microsoft Defender for Identity |
| 4 | Configuración del sensor | Configuración de Microsoft Defender for Identity sensor |
Paso 3: Configuración del registro de eventos y del proxy en las máquinas con el sensor
En las máquinas en las que instaló el sensor, configure la recopilación de registros de eventos de Windows y la configuración del proxy de Internet para habilitar y mejorar las funcionalidades de detección.
| Paso | Descripción | Más información |
|---|---|---|
| 1 | Configuración de la recopilación de registros de eventos de Windows | Configuración de la colección de eventos de Windows |
| 2 | Configuración del proxy de Internet | Configurar el proxy de punto de conexión y las opciones de conectividad a Internet para el Sensor de Microsoft Defender for Identity |
Paso 4: Permitir que Defender for Identity identifique administradores locales en otros equipos
La detección de rutas de movimiento lateral de Microsoft Defender for Identity se basa en consultas que identifican a los administradores locales en máquinas específicas. Estas consultas se realizan con el protocolo SAM-R mediante la cuenta de Defender for Identity Service.
Para asegurarse de que los clientes y servidores de Windows permiten que la cuenta de Defender for Identity realice SAM-R, se debe realizar una modificación en directiva de grupo para agregar la cuenta de servicio de Defender for Identity además de las cuentas configuradas enumeradas en la directiva de acceso de red. Asegúrese de aplicar directivas de grupo a todos los equipos excepto a los controladores de dominio.
Para obtener instrucciones sobre cómo hacerlo, consulte Configuración de Microsoft Defender for Identity para realizar llamadas remotas a SAM.
Paso 5: Configuración de recomendaciones de pruebas comparativas para el entorno de identidad
Microsoft proporciona recomendaciones de pruebas comparativas de seguridad para los clientes que usan servicios de Microsoft Cloud. Azure Security Benchmark (ASB) proporciona procedimientos recomendados y recomendaciones prescriptivas para ayudar a mejorar la seguridad de las cargas de trabajo, los datos y los servicios en Azure.
La implementación de estas recomendaciones puede tardar algún tiempo en planearse e implementarse. Aunque estas recomendaciones aumentan considerablemente la seguridad del entorno de identidad, no deben impedir que continúe e implemente Microsoft Defender for Identity. Estas recomendaciones se proporcionan aquí para su reconocimiento.
Paso 6: Probar funcionalidades
La documentación de Defender for Identity incluye los siguientes tutoriales que le guiarán por el proceso de identificación y corrección de varios tipos de ataque:
- Alertas de reconocimiento
- Alertas de credenciales en peligro
- Alertas de movimiento lateral
- Alertas de dominación de dominio
- Alertas de filtración
- Investigación de un usuario
- Investigación de un equipo
- Investigar rutas de movimiento lateral
- Investigar entidades
Integración de SIEM
Puede integrar Defender for Identity con Microsoft Sentinel o un servicio genérico de administración de eventos e información de seguridad (SIEM) para habilitar la supervisión centralizada de alertas y actividades de aplicaciones conectadas. Con Microsoft Sentinel, puede analizar eventos de seguridad de forma más completa en toda la organización y crear cuadernos de estrategias para obtener una respuesta eficaz e inmediata.
Microsoft Sentinel incluye un conector de Defender for Identity. Para obtener más información, consulte Microsoft Defender for Identity conector para Microsoft Sentinel.
Para obtener información sobre la integración con sistemas SIEM de terceros, consulte Integración siem genérica.
Paso siguiente
Incorpore lo siguiente en los procesos de SecOps:
- Visualización del panel de ITDR
- Visualización y administración de problemas de mantenimiento de Defender for Identity
Siguiente paso para la implementación de un extremo a otro de Microsoft Defender XDR
Continúe con la implementación de un extremo a otro de Microsoft Defender XDR con Piloto e implemente Defender para Office 365.
Sugerencia
¿Desea obtener más información? Participe con la comunidad de Seguridad de Microsoft en nuestra Tech Community: Tech Community de Microsoft Defender XDR.