Compartir a través de

¿Qué es Microsoft Defender for Identity?

  • Artículo

Microsoft Defender for Identity es una solución de seguridad basada en la nube que ayuda a proteger la supervisión de identidades en toda la organización.

Defender for Identity está totalmente integrado con Microsoft Defender XDR y aprovecha las señales de Active Directory local e identidades en la nube para ayudarle a identificar, detectar e investigar mejor las amenazas avanzadas dirigidas a su organización.

Implemente Defender for Identity para ayudar a los equipos de SecOp a ofrecer una solución moderna de detección de amenazas de identidad (ITDR) en entornos híbridos, entre los que se incluyen:

  • Prevención de infracciones mediante evaluaciones proactivas de la posición de seguridad de identidad
  • Detección de amenazas, mediante análisis en tiempo real e inteligencia de datos
  • Investigación de actividades sospechosas, con información clara y procesable de incidentes
  • Respuesta a ataques, mediante la respuesta automática a identidades en peligro

Defender for Identity se conocía anteriormente como Azure Advanced Threat Protection (Azure ATP).

Importante

Los clientes que usan el portal clásico de Defender for Identity ahora se redirigen automáticamente a Microsoft Defender XDR, sin opción de volver al portal clásico.

Para obtener más información, consulte nuestra entrada de blog y Microsoft Defender for Identity en Microsoft Defender XDR.

Proteger las identidades de los usuarios y reducir la superficie expuesta a ataques

Defender for Identity proporciona información valiosa sobre las configuraciones de identidad y los procedimientos recomendados de seguridad sugeridos. A través de informes de seguridad y análisis de perfiles de usuario, Defender for Identity ayuda a reducir drásticamente la superficie expuesta a ataques de la organización, lo que dificulta poner en peligro las credenciales de usuario y avanzar en un ataque.

Evaluación proactiva de la posición de identidad

Defender for Identity proporciona una visión clara de su posición de seguridad de identidad, lo que le ayuda a identificar y resolver problemas de seguridad antes de que los atacantes puedan aprovecharlos.

Por ejemplo:

Detección de amenazas en entornos de identidad modernos

Los entornos de identidad modernos suelen abarcar tanto en el entorno local como en la nube. Defender for Identity usa datos de todo el entorno, incluidos controladores de dominio, Servicios de federación de Active Directory (AD FS) (AD FS) y servicios de certificados de Active Directory (AD CS), para proporcionarle una vista completa del entorno de identidad.

Los sensores de Defender for Identity supervisan el tráfico del controlador de dominio de forma predeterminada. En el caso de los servidores de AD FS o AD CS, asegúrese de instalar el tipo de sensor correspondiente para una supervisión de identidad completa.

Para más información, vea:

Identificar actividades sospechosas en la cadena de eliminación de ataques cibernéticos

Normalmente, los ataques se inician contra cualquier entidad accesible, como un usuario con pocos privilegios. A continuación, los atacantes se mueven rápidamente lateralmente hasta que obtienen acceso a recursos valiosos, como cuentas confidenciales, administradores de dominio y datos altamente confidenciales.

Defender for Identity identifica estas amenazas avanzadas en el origen a lo largo de toda la cadena de ataques cibernéticos:

Amenaza En Defender for Identity...
Reconocimiento Identifique a los usuarios no autorizados y los intentos de los atacantes de obtener información.

Los atacantes buscan información sobre los nombres de usuario, la pertenencia a grupos de usuarios, las direcciones IP asignadas a dispositivos, recursos, etc., mediante varios métodos.
Credenciales en peligro Identifique los intentos de poner en peligro las credenciales de usuario mediante ataques por fuerza bruta, autenticaciones erróneas, cambios de pertenencia a grupos de usuarios y otros métodos.
Movimientos laterales Detecte intentos de moverse lateralmente dentro de la red para obtener un mayor control de los usuarios confidenciales, utilizando métodos como Pass the Ticket, Pass the Hash, Overpass the Hash y mucho más.
Dominación de dominio Vea el comportamiento del atacante resaltado si se logra la dominación del dominio. Por ejemplo, los atacantes pueden ejecutar código de forma remota en el controlador de dominio o usar métodos como DC Shadow, replicación malintencionada del controlador de dominio, actividades de Golden Ticket, etc.

Para obtener más información, consulte Alertas de seguridad en Microsoft Defender for Identity.

Investigar alertas y actividades de usuario

Defender for Identity está diseñado para reducir el ruido general de las alertas, lo que le proporciona una lista priorizada de alertas de seguridad relevantes e importantes en una escala de tiempo de ataques de la organización simple y en tiempo real.

La integración perfecta con Microsoft Defender XDR proporciona otra capa de seguridad mejorada mediante la correlación de datos de otros dominios, para una mayor visibilidad y precisión entre usuarios, dispositivos y recursos de red.

Para obtener más información, vea Investigar recursos e Investigar alertas de seguridad.

Contenido relacionado

Use la tabla siguiente para encontrar más recursos sobre Defender for Identity:

Tipo de recurso Referencias
Más información - Implementación de Microsoft Defender for Identity
- Preguntas más frecuentes sobre licencias y privacidad
- Preguntas más frecuentes sobre Defender for Identity
- Trabajar con alertas de seguridad
- Arquitectura de Defender for Identity
- Confianza cero con Defender for Identity
Unirse a comunidades - Follow Defender for Identity en Microsoft TechCommunity
- Unirse a la comunidad de Yammer de Defender for Identity
- Leer el blog de Defender for Identity
Mapa de ruta Consulte la próxima hoja de ruta de Defender for Identity.
Página del producto Visite la página del producto Defender for Identity.
Evaluación gratuita Iniciar una evaluación gratuita