Pilotar e implementar Microsoft Defender for Identity
Se aplica a:
- Microsoft Defender XDR
En este artículo se proporciona un flujo de trabajo para probar e implementar Microsoft Defender for Identity en su organización. Use estas recomendaciones para incorporar Microsoft Defender for Identity como parte de una solución de un extremo a otro con Microsoft Defender XDR.
En este artículo se supone que tiene un inquilino de Producción de Microsoft 365 y que está pilotando e implementando Microsoft Defender for Identity en este entorno. Esta práctica mantendrá cualquier configuración y personalización que configure durante el piloto para la implementación completa.
Defender for Identity contribuye a una arquitectura de Confianza cero al ayudar a evitar o reducir los daños empresariales de una infracción. Para obtener más información, consulte El marco de adopción de Microsoft Confianza cero impedir o reducir los daños empresariales de un escenario empresarial de vulneración.
Implementación de un extremo a otro para Microsoft Defender XDR
Este es el artículo 2 de 6 de una serie para ayudarle a implementar los componentes de Microsoft Defender XDR, incluida la investigación y respuesta a incidentes.
Los artículos de esta serie corresponden a las siguientes fases de la implementación de un extremo a otro:
| Fase | Vínculo |
|---|---|
| R. Iniciar el piloto | Iniciar el piloto |
| B. Piloto e implementación de componentes de Microsoft Defender XDR |
-
Piloto e implementación de Defender for Identity (este artículo) - Pilotar e implementar Defender para Office 365 - Piloto e implementación de Defender para punto de conexión - Pilotar e implementar Microsoft Defender for Cloud Apps |
| C. Investigar y responder a amenazas | Práctica de la investigación y respuesta a incidentes |
Piloto e implementación del flujo de trabajo para Defender for Identity
En el diagrama siguiente se muestra un proceso común para implementar un producto o servicio en un entorno de TI.
Empiece por evaluar el producto o servicio y cómo funcionará dentro de su organización. A continuación, pilote el producto o servicio con un subconjunto adecuadamente pequeño de la infraestructura de producción para pruebas, aprendizaje y personalización. A continuación, aumente gradualmente el ámbito de la implementación hasta que se cubra toda la infraestructura o la organización.
Este es el flujo de trabajo para probar e implementar Defender for Identity en el entorno de producción.
Siga estos pasos:
- Configuración de la instancia de Defender for Identity
- Instalación y configuración de sensores
- Configuración del registro de eventos y del proxy en las máquinas con el sensor
- Permitir que Defender for Identity identifique administradores locales en otros equipos
- Probar las funcionalidades
Estos son los pasos recomendados para cada fase de implementación.
| Fase de implementación | Descripción |
|---|---|
| Calcular | Realice la evaluación de productos para Defender for Identity. |
| Piloto | Realice los pasos 1 a 5 para un subconjunto adecuado de servidores con sensores en el entorno de producción. |
| Implementación completa | Realice los pasos 2 a 4 para los servidores restantes, expandiéndose más allá del piloto para incluirlos todos. |
Protección de la organización frente a hackers
Defender for Identity proporciona una protección eficaz por sí sola. Sin embargo, cuando se combina con las otras funcionalidades de Microsoft Defender XDR, Defender for Identity proporciona datos en las señales compartidas que, juntos, ayudan a detener los ataques.
Este es un ejemplo de un ciberataque y cómo los componentes de Microsoft Defender XDR ayudan a detectarlo y mitigarlo.
Defender for Identity recopila señales de Servicios de dominio de Active Directory (AD DS) controladores de dominio y servidores que ejecutan Servicios de federación de Active Directory (AD FS) (AD FS) y Servicios de certificados de Active Directory (AD CS). Usa estas señales para proteger el entorno de identidad híbrida, incluida la protección contra los hackers que usan cuentas en peligro para moverse lateralmente entre estaciones de trabajo en el entorno local.
Microsoft Defender XDR correlaciona las señales de todos los componentes de Microsoft Defender para proporcionar la historia de ataque completa.
Arquitectura de Defender for Identity
Microsoft Defender for Identity está totalmente integrado con Microsoft Defender XDR y aprovecha las señales de las identidades de Active Directory local para ayudarle a identificar, detectar e investigar mejor las amenazas avanzadas dirigidas a su organización.
Implemente Microsoft Defender for Identity para ayudar a los equipos de Operaciones de seguridad (SecOps) a ofrecer una solución moderna de detección y respuesta de amenazas de identidad (ITDR) en entornos híbridos, entre los que se incluyen:
- Prevención de infracciones mediante evaluaciones proactivas de la posición de seguridad de identidad
- Detección de amenazas, mediante análisis en tiempo real e inteligencia de datos
- Investigación de actividades sospechosas, con información clara y procesable de incidentes
- Responder a ataques mediante la respuesta automática a identidades en peligro. Para obtener más información, consulte ¿Qué es Microsoft Defender for Identity?
Defender for Identity protege las cuentas de usuario de AD DS locales y las cuentas de usuario sincronizadas con el inquilino de Microsoft Entra ID. Para proteger un entorno formado solo por cuentas de usuario Microsoft Entra, consulte Protección de Microsoft Entra ID.
En el diagrama siguiente se muestra la arquitectura de Defender for Identity.
En esta ilustración:
- Los sensores instalados en controladores de dominio de AD DS y servidores de AD CS analizan los registros y el tráfico de red y los envían a Microsoft Defender for Identity para su análisis e informes.
- Los sensores también pueden analizar las autenticaciones de AD FS para proveedores de identidades de terceros y cuando Microsoft Entra ID está configurado para usar la autenticación federada (las líneas de puntos de la ilustración).
- Microsoft Defender for Identity comparte señales para Microsoft Defender XDR.
Los sensores de Defender for Identity se pueden instalar directamente en los siguientes servidores:
- Controladores de dominio de AD DS. El sensor supervisa directamente el tráfico del controlador de dominio, sin necesidad de un servidor dedicado ni de la configuración de la creación de reflejo del puerto.
- Servidores de AD FS o servidores de AD CS. El sensor supervisa directamente el tráfico de red y los eventos de autenticación.
Para obtener una visión más detallada de la arquitectura de Defender for Identity, consulte arquitectura de Microsoft Defender for Identity.
Paso 1: Configuración de la instancia de Defender for Identity
Inicie sesión en el portal de Defender para empezar a implementar los servicios admitidos, incluidos los Microsoft Defender for Identity. Para obtener más información, vea Empezar a usar Microsoft Defender XDR.
Paso 2: Instalación de los sensores
Defender for Identity requiere algunos requisitos previos para asegurarse de que los componentes de red e identidad local cumplen los requisitos mínimos para instalar el sensor de Defender for Identity en su entorno.
Una vez que esté seguro de la preparación del entorno, planee la capacidad y compruebe la conectividad con Defender for Identity. A continuación, cuando esté listo, descargue, instale y configure el sensor de Defender for Identity en los controladores de dominio, AD FS y los servidores de AD CS en el entorno local.
| Paso | Descripción | Más información |
|---|---|---|
| 1 | Confirme que el entorno cumple los requisitos previos de Defender for Identity. | Requisitos previos de Microsoft Defender for Identity |
| 2 | Determine cuántos sensores de Microsoft Defender for Identity necesita. | Capacidad del plan para Microsoft Defender for Identity |
| 3 | Comprobación de la conectividad con el servicio Defender for Identity | Comprobación de la actividad de red |
| 4 | Descarga e instalación del sensor de Defender for Identity | Instalación de Defender for Identity |
| 5 | Configuración del sensor | Configuración de Microsoft Defender for Identity sensor |
Paso 3: Configuración del registro de eventos y del proxy en las máquinas con el sensor
En las máquinas en las que instaló el sensor, configure la recopilación de registros de eventos de Windows para habilitar y mejorar las funcionalidades de detección.
| Paso | Descripción | Más información |
|---|---|---|
| 1 | Configuración de la recopilación de registros de eventos de Windows |
Colección de eventos con Microsoft Defender for Identity Configuración de directivas de auditoría para registros de eventos de Windows |
Paso 4: Permitir que Defender for Identity identifique administradores locales en otros equipos
Microsoft Defender for Identity detección de ruta de desplazamiento lateral (LMP) se basa en consultas que identifican administradores locales en máquinas específicas. Estas consultas se realizan con el protocolo SAM-R mediante la cuenta de Defender for Identity Service.
Para asegurarse de que los clientes y servidores de Windows permiten que la cuenta de Defender for Identity realice SAM-R, se debe realizar una modificación en directiva de grupo para agregar la cuenta de servicio de Defender for Identity además de las cuentas configuradas enumeradas en la directiva de acceso de red. Asegúrese de aplicar directivas de grupo a todos los equipos excepto a los controladores de dominio.
Para obtener instrucciones sobre cómo hacerlo, consulte Configuración de SAM-R para habilitar la detección de rutas de desplazamiento lateral en Microsoft Defender for Identity.
Paso 5: Probar funcionalidades
La documentación de Defender for Identity incluye los siguientes artículos que le guiarán por el proceso de identificación y corrección de varios tipos de ataque:
- Investigación de recursos, incluidos usuarios, grupos y dispositivos sospechosos
- Comprender e investigar los LMP con Microsoft Defender for Identity
- Descripción de las alertas de seguridad
Para más información, vea:
- Alertas de reconocimiento
- Alertas de credenciales en peligro
- Alertas de movimiento lateral
- Alertas de dominación de dominio
- Alertas de filtración
- Investigación de un usuario
- Investigación de un equipo
- Investigar rutas de movimiento lateral
- Investigar entidades
Integración de SIEM
Puede integrar Defender for Identity con Microsoft Sentinel como parte de la plataforma de operaciones de seguridad unificada de Microsoft o un servicio genérico de administración de eventos e información de seguridad (SIEM) para habilitar la supervisión centralizada de alertas y actividades desde aplicaciones conectadas. Con Microsoft Sentinel, puede analizar eventos de seguridad de forma más completa en toda la organización y crear cuadernos de estrategias para obtener una respuesta eficaz e inmediata.
Microsoft Sentinel incluye una Microsoft Defender para que el conector de datos XDR traiga todas las señales de Defender XDR, incluido Defender for Identity, a Microsoft Sentinel. Use la plataforma de operaciones de seguridad unificadas en el portal de Defender como plataforma única para operaciones de seguridad de un extremo a otro (SecOps).
Para más información, vea:
Paso siguiente
Incorpore lo siguiente en los procesos de SecOps:
- Visualización del panel de ITDR
- Visualización y administración de problemas de mantenimiento de Defender for Identity
Siguiente paso para la implementación de un extremo a otro de Microsoft Defender XDR
Continúe con la implementación de un extremo a otro de Microsoft Defender XDR con Piloto e implemente Defender para Office 365.
Sugerencia
¿Desea obtener más información? Participe con la comunidad de Seguridad de Microsoft en nuestra Tech Community: Tech Community de Microsoft Defender XDR.