Partekatu honen bidez:


Requisitos previos del sensor independiente de Microsoft Defender for Identity

En este artículo se enumeran los requisitos previos para implementar un sensor independiente de Microsoft Defender for Identity en el que difieren de los requisitos previos de implementación principales.

Para obtener más información, consulte Planear la capacidad para la implementación de Microsoft Defender for Identity.

Importante

Los sensores independientes de Defender for Identity no admiten la recopilación de entradas de registro de Seguimiento de eventos para Windows (ETW) que proporcionan los datos para varias detecciones. Para obtener una cobertura completa de su entorno, se recomienda implementar el sensor de Defender for Identity.

Requisitos adicionales del sistema para sensores independientes

Los sensores independientes difieren de los requisitos previos del sensor de Defender for Identity de la siguiente manera:

  • Los sensores independientes requieren un mínimo de 5 GB de espacio en disco

  • Los sensores independientes también se pueden instalar en servidores que se encuentran en un grupo de trabajo.

  • Los sensores independientes permiten supervisar varios controladores de dominio, según la cantidad de tráfico de red hacia y desde estos.

  • Si está trabajando con varios bosques, se debe permitir que las máquinas del sensor independiente se comuniquen con todos los controladores de dominio de bosque remotos mediante LDAP.

Para más información sobre cómo usar máquinas virtuales con el sensor independiente de Defender for Identity, consulte Configuración de la creación de reflejo del puerto.

Adaptadores de red para sensores independientes

Los sensores independientes requieren al menos uno de los siguientes adaptadores de red:

  • Adaptadores de administración: se usan para las comunicaciones en la red corporativa. El sensor usa este adaptador para consultar el controlador de dominio que protege y realiza la resolución en las cuentas de máquina.

    Configure adaptadores de administración con direcciones IP estáticas, incluida una puerta de enlace predeterminada y servidores DNS preferidos y alternativos.

    El sufijo DNS para esta conexión debe ser el nombre DNS del dominio para cada dominio que se está supervisando.

    Nota:

    Si el sensor independiente de Defender for Identity es un miembro del dominio, se puede configurar automáticamente.

  • Adaptador de captura: se usa para capturar el tráfico hacia y desde los controladores de dominio.

    Importante

    • Configure la creación de reflejo del puerto para el adaptador de captura como destino del tráfico de red del controlador de dominio. Normalmente, debe trabajar con el equipo de redes o virtualización para configurar la creación de reflejo del puerto.
    • Configure una dirección IP no enrutable estática (con máscara /32) para su entorno sin puerta de enlace de sensor predeterminada y ninguna dirección de servidor DNS. Por ejemplo: `10.10.0.10/32. Esta configuración garantiza que el adaptador de red de captura pueda capturar la cantidad máxima de tráfico y que el adaptador de red de administración se use para enviar y recibir el tráfico de red necesario.

Nota:

Si ejecuta Wireshark en el sensor independiente de Defender for Identity, reinicie el servicio del sensor de Defender for Identity después de haber detenido la captura de Wireshark. Si no reinicia el servicio del sensor, el sensor deja de capturar el tráfico.

Si intenta instalar el sensor de Defender for Identity en una máquina configurada con un adaptador de formación de equipos NIC, recibirá un error de instalación. Si quiere instalar el sensor de Defender for Identity en una máquina configurada con formación de equipos NIC, consulte Problema de formación de equipos NIC con el sensor de Defender for Identity.

Puertos para sensores independientes

En la tabla siguiente se enumeran los puertos adicionales que el servidor independiente de Defender for Identity necesita que se configuren en el adaptador de administración, además de los puertos enumerados para el Sensor de Defender for Identity.

Protocolo Transporte Port De En
Puertos internos
LDAP TCP y UDP 389 Sensor de Defender for Identity Controladores de dominios
LDAP seguro (LDAPS) TCP 636 Sensor de Defender for Identity Controladores de dominios
LDAP al Catálogo global TCP 3268 Sensor de Defender for Identity Controladores de dominios
LDAPS al Catálogo global TCP 3269 Sensor de Defender for Identity Controladores de dominios
Kerberos TCP y UDP 88 Sensor de Defender for Identity Controladores de dominios
Hora de Windows UDP 123 Sensor de Defender for Identity Controladores de dominios
Syslog (opcional) TCP/UDP 514, Según la configuración Servidor SIEM Sensor de Defender for Identity

Requisitos del registro de eventos de Windows

La detección de Defender for Identity se basa en registros de eventos de Windows específicos que el sensor analiza desde los controladores de dominio. Para que se auditen los eventos correctos y se incluyan en el registro de eventos de Windows, los controladores de dominio requieren una configuración precisa de la directiva de auditoría avanzada de Windows.

Para obtener más información, consulte Comprobación avanzada de directivas de auditoría y Directivas de auditoría de seguridad avanzadas en la documentación de Windows.

Pasos siguientes