Compartir a través de

Configuración de Microsoft Defender for Identity sensor

  • Artículo

En este artículo, aprenderá a configurar correctamente Microsoft Defender for Identity sensor para empezar a ver datos. Tendrá que realizar una configuración e integración adicionales para aprovechar las funcionalidades completas de Defender for Identity.

Visualización y configuración del sensor

Una vez instalado el sensor de Defender for Identity, haga lo siguiente para ver y configurar la configuración del sensor de Defender for Identity:

  1. En Microsoft Defender XDR, vaya a Configuración>Sensores de identidades>. Por ejemplo:

    Captura de pantalla de la página Sensores.

    En la página Sensores se muestran todos los sensores de Defender for Identity y se enumeran los siguientes detalles por sensor:

    • Nombre del sensor
    • Pertenencia al dominio del sensor
    • Número de versión del sensor
    • Si se deben retrasar las actualizaciones
    • Estado del servicio sensor
    • Estado del sensor
    • Estado de mantenimiento del sensor
    • Número de problemas de mantenimiento
    • Cuando se creó el sensor

    Para obtener más información, consulte Detalles del sensor.

  2. Seleccione Filtros para seleccionar los filtros que desea que estén visibles. Por ejemplo:

    Captura de pantalla de los filtros del sensor.

  3. Use los filtros mostrados para determinar qué sensores se van a mostrar. Por ejemplo:

    Captura de pantalla de una lista filtrada de sensores.

  4. Seleccione un sensor para mostrar un panel de detalles con más información sobre el sensor y su estado de mantenimiento. Por ejemplo:

    Captura de pantalla de un panel de detalles del sensor.

  5. Desplácese hacia abajo y seleccione Administrar sensor para mostrar un panel donde puede configurar los detalles del sensor. Por ejemplo:

    Captura de pantalla de la opción Administrar sensor.

  6. Configure los siguientes detalles del sensor:

    Nombre Descripción
    Descripción Opcional. Escriba una descripción para el sensor de Defender for Identity.
    Controladores de dominio (FQDN) Necesario para los sensores y sensores independientes de Defender for Identity instalados en servidores de AD FS o AD CS, y no se puede modificar para el sensor de Defender for Identity.

    Escriba el FQDN completo del controlador de dominio y seleccione el signo más para agregarlo a la lista. Por ejemplo, DC1.domain1.test.local.

    Para los servidores que defina en la lista Controladores de dominio :

    - Todos los controladores de dominio cuyo tráfico se supervisa a través de la creación de reflejo del puerto mediante el sensor independiente de Defender for Identity deben aparecer en la lista Controladores de dominio . Si un controlador de dominio no aparece en la lista Controladores de dominio , es posible que la detección de actividades sospechosas no funcione según lo esperado.

    - Al menos un controlador de dominio de la lista debe ser un catálogo global. Esto permite a Defender for Identity resolver objetos de equipo y de usuario en otros dominios del bosque.
    Captura de adaptadores de red Obligatorio.

    - Para los sensores de Defender for Identity, todos los adaptadores de red que se usan para la comunicación con otros equipos de la organización.

    - Para el sensor independiente de Defender for Identity en un servidor dedicado, seleccione los adaptadores de red configurados como puerto reflejado de destino. Estos adaptadores de red reciben el tráfico del controlador de dominio reflejado.

  7. En la página Sensores , seleccione Exportar para exportar una lista de los sensores a un archivo .csv . Por ejemplo:

    Captura de pantalla de la exportación de una lista de sensores.

Validación de instalaciones

Use los procedimientos siguientes para validar la instalación del sensor de Defender for Identity.

Nota:

Si va a instalar en un servidor de AD FS o AD CS, usará un conjunto diferente de validaciones. Para obtener más información, consulte Validación de la implementación correcta en servidores de AD FS o AD CS.

Validación de una implementación correcta

Para validar que el sensor de Defender for Identity se ha implementado correctamente:

  1. Compruebe que el servicio de sensores de Azure Advanced Threat Protection se está ejecutando en la máquina del sensor. Después de guardar la configuración del sensor de Defender for Identity, el servicio puede tardar unos segundos en iniciarse.

  2. Si el servicio no se inicia, revise el archivo Microsoft.Tri.sensor-Errors.log , que se encuentra de forma predeterminada en %programfiles%\Azure Advanced Threat Protection sensor\<sensor version>\Logs, donde <sensor version> es la versión que implementó.

Comprobación de la funcionalidad de alertas de seguridad

En esta sección se describe cómo puede comprobar que las alertas de seguridad se desencadenan según lo esperado.

Al usar los ejemplos de los pasos siguientes, asegúrese de reemplazar contosodc.contoso.azure y contoso.azure por el FQDN del sensor de Defender for Identity y el nombre de dominio, respectivamente.

  1. En un dispositivo unido a un miembro, abra un símbolo del sistema y escriba nslookup

  2. Escriba server y el FQDN o la dirección IP del controlador de dominio donde está instalado el sensor de Defender for Identity. Por ejemplo: server contosodc.contoso.azure

  3. Escriba ls -d contoso.azure

  4. Repita los dos pasos anteriores para cada sensor que quiera probar.

  5. Acceda a la página de detalles del dispositivo del equipo desde el que ejecutó la prueba de conectividad, como desde la página Dispositivos , buscando el nombre del dispositivo o desde otro lugar en el portal de Defender.

  6. En la pestaña Detalles del dispositivo, seleccione la pestaña Escala de tiempo para ver la actividad siguiente:

    • Eventos: consultas DNS realizadas en un nombre de dominio especificado
    • Tipo de acción MdiDnsQuery

Si el controlador de dominio o AD FS o AD CS que está probando es el primer sensor que ha implementado, espere al menos 15 minutos antes de comprobar cualquier actividad lógica para ese controlador de dominio, lo que permite al back-end de la base de datos completar las implementaciones iniciales de microservicios.

Comprobación de la versión más reciente del sensor disponible

La versión de Defender for Identity se actualiza con frecuencia. Busque la versión más reciente enla página Deidentidades> de configuración> de Microsoft Defender XDR.

Contenido relacionado

Ahora que ha configurado los pasos de configuración iniciales, puede configurar más opciones. Vaya a cualquiera de las páginas siguientes para obtener más información:

Paso siguiente

Colección de eventos con Microsoft Defender for Identity »