Compartir a través de

Resolución de nombres de red en Microsoft Defender for Identity

  • Artículo

La resolución de nombres de red (NNR) es un componente principal de Microsoft Defender for Identity funcionalidad. Defender for Identity captura actividades basadas en el tráfico de red, eventos de Windows y ETW: estas actividades normalmente contienen datos IP.

Con NNR, Defender for Identity puede correlacionarse entre las actividades sin procesar (que contienen direcciones IP) y los equipos pertinentes implicados en cada actividad. En función de las actividades sin procesar, Defender for Identity perfila entidades, incluidos los equipos, y genera alertas de seguridad para actividades sospechosas.

Para resolver las direcciones IP en nombres de equipo, los sensores de Defender for Identity buscan las direcciones IP mediante los métodos siguientes:

Métodos principales:

  • NTLM sobre RPC (puerto TCP 135)
  • NetBIOS (puerto UDP 137)
  • RDP (puerto TCP 3389): solo el primer paquete de hello de cliente

Método secundario:

  • Consulta el servidor DNS mediante la búsqueda dns inversa de la dirección IP (UDP 53)

Para obtener los mejores resultados, se recomienda usar al menos uno de los métodos principales. La búsqueda inversa de DNS de la dirección IP solo se realiza cuando:

  • No hay ninguna respuesta de ninguno de los métodos principales.
  • Hay un conflicto en la respuesta recibida de dos o más métodos principales.

Nota:

No se realiza ninguna autenticación en ninguno de los puertos.

Defender for Identity evalúa y determina el sistema operativo del dispositivo en función del tráfico de red. Después de recuperar el nombre del equipo, el sensor de Defender for Identity comprueba Active Directory y usa huellas digitales TCP para ver si hay un objeto de equipo correlacionado con el mismo nombre de equipo. El uso de huellas digitales TCP ayuda a identificar dispositivos no registrados y que no son de Windows, lo que ayuda en el proceso de investigación. Cuando el sensor de Defender for Identity encuentra la correlación, el sensor asocia la dirección IP al objeto de equipo.

En los casos en los que no se recupera ningún nombre, se crea un perfil de equipo sin resolver por IP con la dirección IP y la actividad detectada pertinente.

Los datos de NNR son fundamentales para detectar las siguientes amenazas:

  • Sospecha de robo de identidad (pass-the-ticket)
  • Sospecha de ataque DCSync (replicación de servicios de directorio)
  • Reconocimiento de asignación de red (DNS)

Para mejorar la capacidad de determinar si una alerta es un verdadero positivo (TP) o falso positivo (FP), Defender for Identity incluye el grado de certeza de la resolución de nombres de equipos en la evidencia de cada alerta de seguridad.

Por ejemplo, cuando los nombres de equipo se resuelven con alta certeza , aumenta la confianza en la alerta de seguridad resultante como verdadero positivo o TP.

La evidencia incluye el tiempo, la dirección IP y el nombre del equipo en el que se resolvió la dirección IP. Cuando la certeza de resolución sea baja, use esta información para investigar y comprobar qué dispositivo era el verdadero origen de la dirección IP en este momento. Después de confirmar el dispositivo, puede determinar si la alerta es Un falso positivo o FP, similar a los ejemplos siguientes:

  • Sospecha de robo de identidad (pass-the-ticket): la alerta se desencadenó para el mismo equipo.

  • Sospecha de ataque DCSync (replicación de servicios de directorio): la alerta se desencadenó desde un controlador de dominio.

  • Reconocimiento de asignación de red (DNS): la alerta se desencadenó desde un servidor DNS.

    Certidumbre de pruebas.

Recomendaciones de configuración

  • NTLM sobre RPC:

    • Compruebe que el puerto TCP 135 está abierto para la comunicación entrante desde los sensores de Defender for Identity en todos los equipos del entorno.
    • Compruebe toda la configuración de red (firewalls), ya que esto puede impedir la comunicación con los puertos pertinentes.

  • NetBIOS:

    • Compruebe que el puerto UDP 137 está abierto para la comunicación entrante desde los sensores de Defender for Identity en todos los equipos del entorno.
    • Compruebe toda la configuración de red (firewalls), ya que esto puede impedir la comunicación con los puertos pertinentes.

  • RDP:

    • Compruebe que el puerto TCP 3389 está abierto para la comunicación entrante desde los sensores de Defender for Identity en todos los equipos del entorno.
    • Compruebe toda la configuración de red (firewalls), ya que esto puede impedir la comunicación con los puertos pertinentes.

    Nota:

    • Solo se requiere uno de estos protocolos, pero se recomienda usarlos todos.
    • No se admiten puertos RDP personalizados.

  • DNS inverso:

    • Compruebe que el sensor puede llegar al servidor DNS y que las zonas de búsqueda inversa están habilitadas.

Problemas de mantenimiento

Para asegurarse de que Defender for Identity funciona de forma ideal y que el entorno está configurado correctamente, Defender for Identity comprueba el estado de resolución de cada sensor y emite una alerta de estado por método, lo que proporciona una lista de los sensores de Defender for Identity con una baja tasa de éxito de resolución de nombres activos mediante cada método.

Nota:

Para deshabilitar un método NNR opcional en Defender for Identity para satisfacer las necesidades de su entorno, abra un caso de soporte técnico.

Cada alerta de estado proporciona detalles específicos del método, los sensores, la directiva problemática y las recomendaciones de configuración. Para obtener más información acerca de los problemas de mantenimiento, consulte Microsoft Defender for Identity problemas de estado del sensor.

Consulta también