Activación de funcionalidades de Microsoft Defender for Identity directamente en un controlador de dominio

Microsoft Defender para punto de conexión clientes, que ya han incorporado sus controladores de dominio a Defender para punto de conexión, pueden activar las funcionalidades de Microsoft Defender for Identity directamente en un controlador de dominio en lugar de usar un Microsoft Defender for Identity sensor.

En este artículo se describe cómo activar y probar las funcionalidades de Microsoft Defender for Identity en el controlador de dominio.

Importante

La información de este artículo se relaciona con una característica que actualmente está en disponibilidad limitada para un conjunto selecto de casos de uso. Si no se le ha dirigido a usar la página Activación de Defender for Identity, use nuestra guía de implementación principal en su lugar.

Requisitos previos

Antes de activar las funcionalidades de Defender for Identity en el controlador de dominio, asegúrese de que el entorno cumple los requisitos previos de esta sección.

Conflictos del sensor de Defender for Identity

La configuración descrita en este artículo no admite la instalación en paralelo con un sensor de Defender for Identity existente y no se recomienda como reemplazo del sensor de Defender for Identity.

Asegúrese de que el controlador de dominio donde planea activar las funcionalidades de Defender for Identity no tenga implementado un sensor de Defender for Identity .

Requisitos del sistema

Las funcionalidades de Direct Defender for Identity solo se admiten en controladores de dominio, con uno de los siguientes sistemas operativos:

• Windows Server 2019
• Windows Server 2022

También debe tener instalada la actualización acumulativa de marzo de 2024 .

Importante

Después de instalar la actualización acumulativa de marzo de 2024, LSASS podría experimentar una pérdida de memoria en los controladores de dominio cuando las solicitudes de autenticación Kerberos del servicio de controladores de Dominio de Active Directory locales y basadas en la nube.

Este problema se soluciona en la KB5037422 de actualización fuera de banda.

Incorporación de Defender para punto de conexión

El controlador de dominio debe incorporarse a Microsoft Defender para punto de conexión.

Para obtener más información, consulte Incorporación de un servidor Windows.

Permisos necesarios

Para acceder a la página Activación de Defender for Identity, debe ser administrador de seguridad o tener los siguientes permisos de RBAC unificados:

• Authorization and settings / System settings (Read and manage)
• Authorization and settings / Security setting (All permissions)

Para más información, vea:

• RBAC de control de acceso basado en rol unificado
• Creación de un rol para acceder y administrar roles y permisos

Requisitos de conectividad

Las funcionalidades de Defender for Identity directamente en los controladores de dominio usan puntos de conexión url de Defender para punto de conexión para la comunicación, incluidas las direcciones URL simplificadas.

Para obtener más información, consulte Configuración del entorno de red para garantizar la conectividad con Defender para punto de conexión.

Configuración de la auditoría de Windows

Las detecciones de Defender for Identity se basan en entradas específicas del registro de eventos de Windows para mejorar las detecciones y proporcionar información adicional sobre los usuarios que realizan acciones específicas, como inicios de sesión NTLM y modificaciones de grupos de seguridad.

Configure la recopilación de eventos de Windows en el controlador de dominio para admitir detecciones de Defender for Identity. Para obtener más información, vea Recopilación de eventos con Microsoft Defender for Identity y Configuración de directivas de auditoría para registros de eventos de Windows.

Es posible que quiera usar el módulo de PowerShell de Defender for Identity para configurar los valores necesarios. Para más información, vea:

• Módulo DefenderForIdentity
• Defender for Identity en el Galería de PowerShell

Por ejemplo, el siguiente comando define toda la configuración del dominio, crea objetos de directiva de grupo y los vincula.

Set-MDIConfiguration -Mode Domain -Configuration All

Activación de las funcionalidades de Defender for Identity

Después de asegurarse de que el entorno está completamente configurado, active las funcionalidades de Microsoft Defender for Identity en el controlador de dominio.

1. En el portal de Defender, seleccione Configuración Activación > de identidades>.

   En la página Activación se enumeran los controladores de dominio detectados y aptos.

2. Seleccione el controlador de dominio donde desea activar las funcionalidades de Defender for Identity y, a continuación, seleccione Activar. Confirme la selección cuando se le solicite.

Una vez completada la activación, se muestra un banner de éxito verde. En el banner, seleccione Haga clic aquí para ver los servidores incorporados> para ir a la página Configuración > Sensores de identidades, donde puede comprobar el estado del sensor.

Probar funcionalidades activadas

La primera vez que active las funcionalidades de Defender for Identity en el controlador de dominio, el primer sensor puede tardar hasta una hora en aparecer como En ejecución en la página Sensores . Las activaciones posteriores se muestran en un plazo de cinco minutos.

Las funcionalidades de Defender for Identity en controladores de dominio admiten actualmente la siguiente funcionalidad de Defender for Identity:

• Características de investigación en el panel de ITDR, el inventario de identidades y los datos de búsqueda avanzada de identidades
• Recomendaciones de posición de seguridad especificadas
• Detecciones de alertas especificadas
• Acciones de corrección
• Interrupción automática de ataques

Use los procedimientos siguientes para probar el entorno para las funcionalidades de Defender for Identity en un controlador de dominio.

Comprobación del panel de ITDR

En el portal de Defender, seleccione Panel de > identidades y revise los detalles que se muestran y compruebe los resultados esperados del entorno.

Para obtener más información, vea Trabajar con el panel de ITDR (versión preliminar) de Defender for Identity.

Confirmación de los detalles de la página de entidad

Confirme que las entidades, como controladores de dominio, usuarios y grupos, se rellenan según lo esperado.

En el portal de Defender, compruebe los detalles siguientes:

• Entidades de dispositivo: seleccione Dispositivos activos >y seleccione la máquina para el nuevo sensor. Los eventos de Defender for Identity se muestran en la escala de tiempo del dispositivo.

• Entidades de usuario. Seleccione Usuarios > activos y busque usuarios de un dominio recién incorporado. Como alternativa, use la opción búsqueda global para buscar usuarios específicos. Las páginas de detalles del usuario deben incluir información general, observada en la organización y datos de escala de tiempo .

• Entidades de grupo: use el búsqueda global para buscar un grupo de usuarios o dinamizar desde una página de detalles de usuario o dispositivo donde se muestran los detalles del grupo. Compruebe si hay detalles de pertenencia a grupos, visualización de usuarios del grupo y datos de escala de tiempo de grupo.

  Si no se encuentra ningún dato de evento en la escala de tiempo del grupo, es posible que tenga que crear algunos manualmente. Por ejemplo, para ello, agregue y quite usuarios del grupo en Active Directory.

Para obtener más información, consulte Investigación de recursos.

Prueba de tablas de búsqueda avanzadas

En la página Búsqueda avanzada del portal de Defender, use las siguientes consultas de ejemplo para comprobar que los datos aparecen en las tablas pertinentes según lo esperado para su entorno:

IdentityDirectoryEvents
| where TargetDeviceName contains "DC_FQDN" // insert domain controller FQDN

IdentityInfo 
| where AccountDomain contains "domain" // insert domain

IdentityQueryEvents 
| where DeviceName contains "DC_FQDN" // insert domain controller FQDN

Para obtener más información, vea Búsqueda avanzada en el portal de Microsoft Defender.

Recomendaciones de administración de posturas de seguridad de identidad (ISPM) de prueba

Las funcionalidades de Defender for Identity en controladores de dominio admiten las siguientes evaluaciones de ISPM:

• Instalación de Defender for Identity Sensor en todos los controladores de dominio
• Uso de Microsoft LAPS
• Resolución de configuraciones de dominio no seguras
• Establecimiento de una cuenta de honeytoken
• Atributos de cuenta no seguros
• Atributos de historial de SID no seguros

Se recomienda simular un comportamiento de riesgo en un entorno de prueba para desencadenar evaluaciones admitidas y comprobar que aparecen según lo esperado. Por ejemplo:

1. Desencadene una nueva recomendación Resolver configuraciones de dominio no seguras estableciendo la configuración de Active Directory en un estado no conforme y devolviéndolo a un estado conforme. Por ejemplo, ejecute los siguientes comandos:

   Para establecer un estado no compatible

   Set-ADObject -Identity ((Get-ADDomain).distinguishedname) -Replace @{"ms-DS-MachineAccountQuota"="10"}
   

   Para devolverlo a un estado conforme:

   Set-ADObject -Identity ((Get-ADDomain).distinguishedname) -Replace @{"ms-DS-MachineAccountQuota"="0"}
   

   Para comprobar la configuración local:

   Get-ADObject -Identity ((Get-ADDomain).distinguishedname) -Properties ms-DS-MachineAccountQuota
   

2. En Puntuación de seguridad de Microsoft, seleccione Acciones recomendadas para buscar una nueva recomendación Resolver configuraciones de dominio no seguras . Es posible que quiera filtrar las recomendaciones por el producto Defender for Identity .

Para obtener más información, consulte las evaluaciones de la posición de seguridad de Microsoft Defender for Identity

Funcionalidad de la alerta de prueba

Las siguientes alertas son compatibles con las funcionalidades de Defender for Identity en controladores de dominio:

• Reconocimiento de enumeración de cuentas
• Reconocimiento de atributos de Active Directory mediante LDAP
• Exchange Server ejecución remota de código (CVE-2021-26855)
• Atributos de usuario honeytoken modificados
• Honeytoken se consultó a través de LDAP
• Actividad de autenticación honeytoken
• Se ha cambiado la pertenencia a grupos honeytoken
• Intento de ejecución remota de código
• Reconocimiento de entidad de seguridad (LDAP)
• Creación de servicios sospechosos
• Sospecha de ataque de retransmisión NTLM (cuenta de Exchange)

• Modificación sospechosa del atributo delegación restringida basada en recursos por una cuenta de equipo
• Adiciones sospechosas a grupos confidenciales
• Modificación sospechosa de un atributo dNSHostName (CVE-2022-26923)
• Modificación sospechosa de un atributo sAMNameAccount (CVE-2021-42278 y CVE-2021-42287)
• Sospecha de ataque DCShadow (promoción del controlador de dominio)
• Sospecha de ataque DFSCoerce mediante el protocolo de sistema de archivos distribuido 
• Sospecha de ataque DCShadow (solicitud de replicación del controlador de dominio)
• Sospecha de adquisición de la cuenta mediante credenciales de instantánea
• Sospecha de inyección de SID-History
• Sospecha de lectura de clave DKM de AD FS

Pruebe la funcionalidad de alertas mediante la simulación de actividad de riesgo en un entorno de prueba. Por ejemplo:

• Etiquete una cuenta como una cuenta honeytoken e intente iniciar sesión en la cuenta honeytoken en el controlador de dominio activado.
• Cree un servicio sospechoso en el controlador de dominio.
• Ejecute un comando remoto en el controlador de dominio como administrador que haya iniciado sesión desde la estación de trabajo.

Para obtener más información, consulte Investigar alertas de seguridad de Defender for Identity en Microsoft Defender XDR.

Probar acciones de corrección

Pruebe las acciones de corrección en un usuario de prueba. Por ejemplo:

1. En el portal de Defender, vaya a la página de detalles del usuario de un usuario de prueba.

2. En el menú de opciones, seleccione uno o todos los siguientes elementos, de uno en uno:

   • Deshabilitación del usuario en AD
   • Habilitación del usuario en AD
   • Forzar el restablecimiento de contraseña

3. Compruebe la actividad esperada en Active Directory.

Nota:

La versión actual no recopila correctamente las marcas de Control de cuentas de usuario (UAC). Por lo tanto, los usuarios deshabilitados seguirán apareciendo como Habilitado en el portal.

Para obtener más información, vea Acciones de corrección en Microsoft Defender for Identity.

Desactivación de las funcionalidades de Defender for Identity en el controlador de dominio

Si desea desactivar las funcionalidades de Defender for Identity en el controlador de dominio, elimínelo de la página Sensores :

1. En el portal de Defender, seleccione Configuración > Sensores de identidades>.
2. Seleccione el controlador de dominio donde desea desactivar las funcionalidades de Defender for Identity, seleccione Eliminar y confirme la selección.

La desactivación de las funcionalidades de Defender for Identity del controlador de dominio no quita el controlador de dominio de Defender para punto de conexión. Para obtener más información, consulte la documentación de Defender para punto de conexión.

Pasos siguientes

Para obtener más información, consulte Administración y actualización de sensores de Microsoft Defender for Identity.