Microsoft Defender for Identity preguntas más frecuentes

Defender for Identity detecta ataques y técnicas malintencionados conocidos, problemas de seguridad y riesgos en la red. Para obtener la lista completa de detecciones de Defender for Identity, consulte Alertas de seguridad de Defender for Identity.

Defender for Identity recopila y almacena información de los servidores configurados, como controladores de dominio, servidores miembros, etc. Los datos se almacenan en una base de datos específica del servicio con fines de administración, seguimiento e informes.

La información recopilada incluye:

• Tráfico de red hacia y desde controladores de dominio, como la autenticación Kerberos, la autenticación NTLM o las consultas DNS.
• Registros de seguridad, como eventos de seguridad de Windows.
• Información de Active Directory, como estructura, subredes o sitios.
• Información de entidad, como nombres, direcciones de correo electrónico y números de teléfono.

Microsoft usa estos datos para:

• Identifique de forma proactiva los indicadores de ataque (E/S/S) en su organización.
• Genere alertas si se detectó un posible ataque.
• Proporcione a las operaciones de seguridad una vista de las entidades relacionadas con las señales de amenazas de la red, lo que le permite investigar y explorar la presencia de amenazas de seguridad en la red.

Microsoft no extrae sus datos para publicidad ni para ningún otro propósito que no sea proporcionarle el servicio.

Actualmente, Defender for Identity admite la adición de hasta 30 credenciales de servicio de directorio diferentes para admitir entornos de Active Directory con bosques que no son de confianza. Si necesita más cuentas, abra una incidencia de soporte técnico.

Además de analizar el tráfico de Active Directory mediante una tecnología de inspección de paquetes profunda, Defender for Identity también recopila eventos de Windows pertinentes del controlador de dominio y crea perfiles de entidad basados en la información de Servicios de dominio de Active Directory. Defender for Identity también admite la recepción de cuentas RADIUS de registros de VPN de varios proveedores (Microsoft, Cisco, F5 y Checkpoint).

No. Defender for Identity supervisa todos los dispositivos de la red que realizan solicitudes de autenticación y autorización en Active Directory, incluidos dispositivos móviles y que no son de Windows.

Sí. Dado que las cuentas de equipo y otras entidades se pueden usar para realizar actividades malintencionadas, Defender for Identity supervisa el comportamiento de todas las cuentas de equipo y todas las demás entidades del entorno.

ATA es una solución local independiente con varios componentes, como el Centro ATA, que requiere hardware dedicado local.

Defender for Identity es una solución de seguridad basada en la nube que usa las señales de Active Directory local. La solución es altamente escalable y se actualiza con frecuencia.

La versión final de ATA está disponible con carácter general. ATA finalizó mainstream support el 12 de enero de 2021. El soporte extendido continúa hasta enero de 2026. Para obtener más información, lea nuestro blog.

A diferencia del sensor de ATA, el sensor de Defender for Identity también usa orígenes de datos, como seguimiento de eventos para Windows (ETW), lo que permite que Defender for Identity ofrezca detecciones adicionales.

Las actualizaciones frecuentes de Defender for Identity incluyen las siguientes características y funcionalidades:

• Compatibilidad con entornos de varios bosques: proporciona a las organizaciones visibilidad en los bosques de AD.

• Evaluaciones de posición de puntuación segura de Microsoft: identifica configuraciones incorrectas comunes y componentes explotables y proporciona rutas de corrección para reducir la superficie expuesta a ataques.

• Funcionalidades de UEBA: información sobre el riesgo de usuario individual mediante la puntuación de prioridad de investigación de usuarios. La puntuación puede ayudar a SecOps en sus investigaciones y ayudar a los analistas a comprender las actividades inusuales para el usuario y la organización.

• Integraciones nativas: se integra con Microsoft Defender for Cloud Apps y Protección de Microsoft Entra ID para proporcionar una vista híbrida de lo que ocurre en entornos locales e híbridos.

• Contribuye a Microsoft Defender XDR: contribuye a los datos de alertas y amenazas a Microsoft Defender XDR. Microsoft Defender XDR usa la cartera de seguridad de Microsoft 365 (identidades, puntos de conexión, datos y aplicaciones) para analizar automáticamente los datos de amenazas entre dominios, creando una imagen completa de cada ataque en un único panel.

  Con esta amplitud y profundidad de claridad, los defenders pueden centrarse en amenazas críticas y buscar infracciones sofisticadas. Los defensores pueden confiar en que la automatización eficaz de Microsoft Defender XDR detiene los ataques en cualquier lugar de la cadena de eliminación y devuelve la organización a un estado seguro.

Defender for Identity está disponible como parte de Enterprise Mobility + Security conjunto de 5 (EMS E5) y como licencia independiente. Puede adquirir una licencia directamente desde el portal de Microsoft 365 o a través del modelo de licencias de Cloud Solution Partner (CSP).

Para obtener información sobre los requisitos de licencias de Defender for Identity, consulte Guía de licencias de Defender for Identity.

Sí, los datos están aislados mediante la autenticación de acceso y la segregación lógica basada en identificadores de cliente. Cada cliente solo puede acceder a los datos recopilados de su propia organización y a los datos genéricos que proporciona Microsoft.

No. Cuando se crea el área de trabajo de Defender for Identity, se almacena automáticamente en la región de Azure más cercana a la ubicación geográfica del inquilino de Microsoft Entra. Una vez creado el área de trabajo de Defender for Identity, los datos de Defender for Identity no se pueden mover a otra región.

Los desarrolladores y administradores de Microsoft tienen, por diseño, privilegios suficientes para llevar a cabo sus tareas asignadas para operar y evolucionar el servicio. Microsoft implementa combinaciones de controles preventivos, detectives y reactivos, incluidos los siguientes mecanismos para ayudar a proteger contra la actividad administrativa o de desarrolladores no autorizados:

• Control de acceso estricto a datos confidenciales
• Combinaciones de controles que mejoran en gran medida la detección independiente de actividad malintencionada
• Varios niveles de supervisión, registro e informes

Además, Microsoft realiza comprobaciones en segundo plano sobre cierto personal de operaciones y limita el acceso a aplicaciones, sistemas e infraestructura de red en proporción al nivel de verificación en segundo plano. El personal de operaciones sigue un proceso formal cuando se le pide que acceda a la cuenta de un cliente o a la información relacionada en el cumplimiento de sus obligaciones.

Se recomienda tener un sensor de Defender for Identity o un sensor independiente para cada uno de los controladores de dominio. Para obtener más información, consulte Dimensionamiento del sensor de Defender for Identity.

Aunque los protocolos de red con tráfico cifrado, como AtSvc y WMI, no se descifran, los sensores siguen analizando el tráfico.

Defender for Identity admite la protección de Kerberos, también conocida como Túnel seguro de autenticación flexible (FAST). La excepción a esta compatibilidad es el paso excesivo de la detección de hash, que no funciona con la protección de Kerberos.

El sensor de Defender for Identity puede cubrir la mayoría de los controladores de dominio virtuales. Para obtener más información, consulte Planeamiento de capacidad de Defender for Identity.

Si el sensor de Defender for Identity no puede cubrir un controlador de dominio virtual, use un sensor independiente de Defender for Identity físico o virtual en su lugar. Para obtener más información, vea Configurar la creación de reflejo de puertos.

La manera más fácil es tener un sensor independiente de Defender for Identity virtual en cada host donde exista un controlador de dominio virtual.

Si los controladores de dominio virtual se mueven entre hosts, debe realizar uno de los pasos siguientes:

• Cuando el controlador de dominio virtual se mueva a otro host, preconfigure el sensor independiente de Defender for Identity en ese host para recibir el tráfico del controlador de dominio virtual recién movido.

• Asegúrese de afiliar el sensor independiente de Defender for Identity virtual con el controlador de dominio virtual para que, si se mueve, el sensor independiente de Defender for Identity se mueva con él.

• Hay algunos conmutadores virtuales que pueden enviar tráfico entre hosts.

Para que los controladores de dominio se comuniquen con el servicio en la nube, debe abrir: *.atp.azure.com puerto 443 en el firewall o proxy. Para obtener más información, consulte Configuración del proxy o firewall para habilitar la comunicación con sensores de Defender for Identity.

Sí, puede usar el sensor de Defender for Identity para supervisar los controladores de dominio que se encuentran en cualquier solución de IaaS.

Defender for Identity admite entornos de varios dominios y varios bosques. Para obtener más información y requisitos de confianza, consulte Compatibilidad con varios bosques.

Sí, puede ver el estado general de la implementación y cualquier problema específico relacionado con la configuración, la conectividad, etc. Se le avisará cuando estos eventos se produzcan con problemas de estado de Defender for Identity.

Microsoft Defender for Identity proporciona valor de seguridad para todas las cuentas de Active Directory, incluidas las que no están sincronizadas con Microsoft Entra ID. Las cuentas de usuario que se sincronizan con Microsoft Entra ID también se beneficiarán del valor de seguridad proporcionado por Microsoft Entra ID (en función del nivel de licencia) y de la puntuación de prioridad de investigación.

El equipo de Microsoft Defender for Identity recomienda que todos los clientes usen el controlador Npcap en lugar de los controladores WinPcap. A partir de la versión 2.184 de Defender for Identity, el paquete de instalación instala el OEM de Npcap 1.0 en lugar de los controladores WinPcap 4.1.3.

WinPcap ya no se admite y, dado que ya no se está desarrollando, el controlador ya no se puede optimizar para el sensor de Defender for Identity. Además, si hay un problema en el futuro con el controlador WinPcap, no hay opciones para una corrección.

Se admite Npcap, mientras que WinPcap ya no es un producto compatible.

El sensor MDI requiere Npcap 1.0 o posterior. El paquete de instalación sensor instalará la versión 1.0 si no hay ninguna otra versión de Npcap instalada. Si ya tiene Npcap instalado (debido a otros requisitos de software o cualquier otro motivo), es importante asegurarse de que es la versión 1.0 o posterior y que se ha instalado con la configuración necesaria para MDI.

Sí. Es necesario quitar manualmente el sensor para quitar los controladores WinPcap. La reinstalación con el paquete más reciente instalará los controladores npcap.

Puede ver que "Npcap OEM" está instalado a través de los programas Add/Remove (appwiz.cpl) y, si se produjo un problema de mantenimiento abierto para esto, se cerrará automáticamente.

No, Npcap tiene una exención del límite habitual de cinco instalaciones. Puede instalarlo en sistemas ilimitados en los que solo se usa con el sensor de Defender for Identity.

Consulte el contrato de licencia de Npcap aquí y busque Microsoft Defender for Identity.

No, solo el sensor de Microsoft Defender for Identity admite la versión 1.00 de Npcap.

No, no es necesario comprar la versión oem. Descargue el paquete de instalación del sensor versión 2.156 y posteriores desde la consola de Defender for Identity, que incluye la versión OEM de Npcap.

• Para obtener los archivos ejecutables de Npcap, descargue el paquete de implementación más reciente del sensor de Defender for Identity.

• Si aún no ha instalado el sensor, instale el sensor con la versión 2.184 o posterior.

• Si ya ha instalado el sensor con WinPcap y necesita actualizar para usar Npcap:

  1. Desinstale el sensor. Use Agregar o quitar programas desde el panel de control de Windows (appwiz.cpl) o ejecute el siguiente comando de desinstalación: ".\Azure ATP Sensor Setup.exe" /uninstall /quiet

  2. Desinstale WinPcap si es necesario. Este paso solo es relevante si WinPcap se instaló manualmente antes de la instalación del sensor. En este caso, tendría que quitar manualmente WinPcap.

  3. Vuelva a instalar el sensor con la versión 2.184 o posterior.

• Si desea instalar manualmente Npcap: Instale Npcap con las siguientes opciones:

  • Si usa el instalador de GUI, desactive la opción de compatibilidad con bucle invertido y seleccione Modo WinPcap . Asegúrese de que la opción Restringir el acceso del controlador Npcap a los administradores solo está desactivada.
  • Si usa la línea de comandos, ejecute: npcap-1.00-oem.exe /loopback_support=no /winpcap_mode=yes /admin_only=no /S

• Si desea actualizar manualmente Npcap:

  1. Detenga los servicios de sensor de Defender for Identity, AATPSensorUpdater y AATPSensor. Ejecute: Stop-Service -Name AATPSensorUpdater -Force; Stop-Service -Name AATPSensor -Force

  2. Quite Npcap mediante agregar o quitar programas en el panel de control de Windows (appwiz.cpl).

  3. Instale Npcap con las siguientes opciones:

     • Si usa el instalador de GUI, desactive la opción de compatibilidad con bucle invertido y seleccione Modo WinPcap . Asegúrese de que la opción Restringir el acceso del controlador Npcap a los administradores solo está desactivada.

     • Si usa la línea de comandos, ejecute: npcap-1.00-oem.exe /loopback_support=no /winpcap_mode=yes /admin_only=no /S

  4. Inicie los servicios de sensor de Defender for Identity, AATPSensorUpdater y AATPSensor. Ejecute: Start-Service -Name AATPSensorUpdater; Start-Service -Name AATPSensor

Defender for Identity se puede configurar para enviar una alerta de Syslog a cualquier servidor SIEM con el formato CEF, para problemas de mantenimiento y cuando se detecta una alerta de seguridad. Para obtener más información, consulte la referencia del registro SIEM.

Las cuentas se consideran confidenciales cuando una cuenta es miembro de grupos que se designan como confidenciales (por ejemplo, "Administradores de dominio").

Para comprender por qué una cuenta es confidencial, puede revisar su pertenencia a grupos para comprender a qué grupos confidenciales pertenece. El grupo al que pertenece también puede ser confidencial debido a otro grupo, por lo que se debe realizar el mismo proceso hasta que se encuentre el grupo confidencial de nivel más alto. Como alternativa, etiquete manualmente las cuentas como confidenciales.

Con Defender for Identity, no es necesario crear reglas, umbrales o líneas base y, a continuación, ajustar. Defender for Identity analiza los comportamientos entre usuarios, dispositivos y recursos, así como su relación entre sí, y puede detectar rápidamente actividades sospechosas y ataques conocidos. Tres semanas después de la implementación, Defender for Identity comienza a detectar actividades sospechosas de comportamiento. Por otro lado, Defender for Identity comenzará a detectar ataques malintencionados conocidos y problemas de seguridad inmediatamente después de la implementación.

Defender for Identity genera tráfico desde controladores de dominio a equipos de la organización en uno de los tres escenarios:

• Resolución de nombres de red Defender for Identity captura el tráfico y los eventos, el aprendizaje y la generación de perfiles de usuarios y actividades de equipo en la red. Para aprender y generar perfiles de actividades según los equipos de la organización, Defender for Identity debe resolver las direcciones IP en las cuentas de equipo. Para resolver direcciones IP en nombres de equipo Sensores de Defender for Identity, solicite la dirección IP del nombre del equipo detrás de la dirección IP.

  Las solicitudes se realizan mediante uno de los cuatro métodos siguientes:

  • NTLM sobre RPC (puerto TCP 135)
  • NetBIOS (puerto UDP 137)
  • RDP (puerto TCP 3389)
  • Consultar el servidor DNS mediante la búsqueda dns inversa de la dirección IP (UDP 53)

  Después de obtener el nombre del equipo, los sensores de Defender for Identity comprueban los detalles de Active Directory para ver si hay un objeto de equipo correlacionado con el mismo nombre de equipo. Si se encuentra una coincidencia, se establece una asociación entre la dirección IP y el objeto de equipo coincidente.

• Ruta de desplazamiento lateral (LMP) Para crear posibles LMP para usuarios confidenciales, Defender for Identity requiere información sobre los administradores locales en los equipos. En este escenario, el sensor de Defender for Identity usa SAM-R (TCP 445) para consultar la dirección IP identificada en el tráfico de red, con el fin de determinar los administradores locales del equipo. Para más información sobre Defender for Identity y SAM-R, consulte Configuración de permisos necesarios de SAM-R.

• La consulta de Active Directory mediante LDAP para los sensores de Entity Data Defender for Identity consulta el controlador de dominio desde el dominio al que pertenece la entidad. Puede ser el mismo sensor u otro controlador de dominio de ese dominio.

Defender for Identity captura actividades a través de muchos protocolos diferentes. En algunos casos, Defender for Identity no recibe los datos del usuario de origen en el tráfico. Defender for Identity intenta correlacionar la sesión del usuario con la actividad y, cuando el intento se realiza correctamente, se muestra el usuario de origen de la actividad. Cuando se produce un error en los intentos de correlación del usuario, solo se muestra el equipo de origen.

El sensor de Defender for Identity podría desencadenar una llamada DNS a "aatp.dns.detection.local" en respuesta a determinadas actividades dns entrantes en la máquina supervisada por MDI.

Los datos de usuario personales de Defender for Identity se derivan del objeto del usuario en Active Directory de la organización y no se pueden actualizar directamente en Defender for Identity.

Puede exportar datos personales de Defender for Identity con el mismo método que exportar la información de alertas de seguridad. Para obtener más información, consulte Revisión de alertas de seguridad.

Use la barra de búsqueda del portal de Microsoft Defender para buscar datos personales identificables, como un usuario o equipo específico. Para obtener más información, consulte Investigación de recursos.

Defender for Identity implementa la auditoría de los cambios de datos personales, incluida la eliminación y exportación de registros de datos personales. El tiempo de retención de seguimiento de auditoría es de 90 días. La auditoría en Defender for Identity es una característica de back-end y no es accesible para los clientes.

Después de eliminar un usuario de Active Directory de la organización, Defender for Identity elimina automáticamente el perfil de usuario y cualquier actividad de red relacionada en alineación con la directiva general de retención de datos de Defender for Identity, a menos que los datos formen parte de un incidente activo. Se recomienda agregar permisos de solo lectura en el contenedor Objetos eliminados . Para obtener más información, consulte Concesión de permisos DSA necesarios.

Examine el error más reciente en el registro de errores actual (donde Defender for Identity está instalado en la carpeta "Registros").

Contenido relacionado

• Requisitos previos de Defender for Identity
• Planeamiento de capacidad de Defender for Identity
• Configuración de la colección de eventos
• Configuración del reenvío de eventos de Windows
• Solución de problemas
• Consulte el foro de Defender for Identity.