Describir Microsoft Defender for Identity

Completado

Microsoft Defender for Identity es una solución de seguridad basada en la nube que usa señales de los servidores de infraestructura de identidades locales para detectar amenazas, como la elevación de privilegios o el movimiento lateral de alto riesgo, e informa sobre problemas de identidad fácilmente explotados.

En un nivel alto, la forma en que funciona Microsoft Defender for Identity es la siguiente:

  • Microsoft Defender for Identity usa sensores basados en software instalados en los servidores de infraestructura de identidad locales (controladores de dominio y servidores que ejecutan Servicios federados de Active Directory y Servicios de certificados de Active Directory).

  • El sensor de Defender for Identity accede a los registros de eventos que requiere directamente desde los servidores. Después de que el sensor analice los registros y el tráfico de red, Defender for Identity envía únicamente la información analizada al servicio en la nube de Defender for Identity. El servicio en la nube de Defender for Identity usa los datos o señales obtenidos para ofrecer una solución de detección y respuesta de amenazas de identidad (IDTR). Microsoft Defender for Identity ayuda a los profesionales de seguridad, a administrar un entorno híbrido, a la funcionalidad para:

    • Evite las infracciones mediante la evaluación proactiva de la posición de identidad.
    • Detecte amenazas mediante análisis en tiempo real e inteligencia de datos.
    • Investigue actividades sospechosas, con información de incidente clara y accionable.
    • Responder a ataques mediante la respuesta automática a identidades en peligro.
  • La configuración del servicio y las señales e información generadas por el servicio Microsoft Defender for Identity se exponen a través del portal de Microsoft Defender que proporciona a los equipos de seguridad una experiencia unificada para investigar y responder a ataques.

Diagrama de Defender for Identity. El diagrama muestra un controlador de dominio y un envío de AD FS y señales a Defender for Identity. Defender for Identity envía y recibe señales de XDR de Microsoft Defender, que obtiene señales de puntos de conexión, Office 365 y aplicaciones en la nube.

Evaluación proactiva de la posición de identidad

Defender for Identity le proporciona una vista clara de su posición de seguridad de identidad, lo que le ayuda a identificar y resolver problemas de seguridad antes de que los atacantes puedan aprovecharlos. Por ejemplo, Microsoft Defender for Identity supervisa continuamente su entorno para identificar cuentas confidenciales con las rutas de desplazamiento lateral más arriesgadas que exponen un riesgo de seguridad e informa sobre estas cuentas para ayudarle a administrar su entorno. Las evaluaciones de seguridad de Defender for Identity, disponibles en la Puntuación de seguridad de Microsoft, proporcionan información adicional para mejorar la posición y las directivas de seguridad de la organización.

Detectar amenazas, utilizando análisis en tiempo real e inteligencia de datos

Defender for Identity supervisa y analiza las actividades de los usuarios y la información en su red, incluidos los permisos y la pertenencia a grupos, y crea una línea de base de comportamiento para cada usuario. Defender for Identity identifica a continuación anomalías con inteligencia integrada adaptable. Brinda información sobre actividades y eventos sospechosos, revelando las amenazas avanzadas, los usuarios comprometidos y las amenazas internas que enfrenta su organización. Defender for Identity identifica estas amenazas avanzadas en el origen a lo largo de toda la cadena de eliminación del ciberataque:

  • Reconocimiento: identifique los intentos de usuarios maliciosos y atacantes de obtener información.
  • Credenciales en peligro: identifique los intentos de poner en peligro las credenciales de usuario mediante ataques por fuerza bruta, autenticaciones erróneas, cambios en la pertenencia a un grupo de usuarios y otros métodos.
  • Movimientos laterales: detecte los intentos de moverse lateralmente dentro de la red para obtener un mayor control de los usuarios confidenciales.
  • Dominación de dominio: vea el comportamiento del atacante si los actores de amenazas obtienen control sobre Active Directory, denominado dominación de dominio, a través de la ejecución remota de código en el controlador de dominio u otros métodos.

Investigar alertas y actividades de los usuarios

Defender for Identity está diseñado para reducir el ruido general de las alertas, y proporcionar solo las alertas de seguridad pertinentes e importantes en una escala de tiempo de ataque organizativa, simple y en tiempo real.

Utilice la vista de la línea de tiempo del ataque de Defender for Identity y la inteligencia de los análisis inteligentes para mantenerse enfocado en lo que importa. Además, puede utilizar Defender for Identity para investigar rápidamente las amenazas y obtener información sobre los usuarios, los dispositivos y los recursos de red de toda la organización.

Microsoft Defender for Identity protege su organización frente a identidades en peligro, amenazas avanzadas y acciones de Insider malintencionadas.

Acciones de corrección

Microsoft Defender for Identity admite acciones de corrección que se realizarán directamente en las identidades locales. Algunos ejemplos son:

  • Deshabilitar usuario en Active Directory: Esto impedirá temporalmente que un usuario inicie sesión en la red local. Esto puede ayudar a evitar que los usuarios en peligro se muevan lateralmente e intenten filtrar datos o poner en peligro aún más la red.

  • Restablecer contraseña de usuario: se le pedirá al usuario que cambie su contraseña en el siguiente inicio de sesión, asegurándose de que esta cuenta no se puede usar para realizar más intentos de suplantación.

En función de los roles de Microsoft Entra ID, es posible que vea acciones adicionales de Microsoft Entra ID, como requerir que los usuarios inicien sesión de nuevo y confirmen que un usuario está en peligro.

Microsoft Defender for Identity en el portal de Microsoft Defender

Microsoft Defender for Identity se experimenta a través del portal de Microsoft Defender. El portal de Defender es el hogar de la supervisión y administración de la seguridad en las identidades, los datos, los dispositivos, las aplicaciones y la infraestructura de Microsoft, lo que permite a los administradores de seguridad realizar sus tareas de seguridad, en una sola ubicación.

El nodo Identidades del panel de navegación izquierdo del portal de Microsoft Defender incluye lo siguiente:

  • El panel de Microsoft Defender for Identity proporciona información crítica y datos en tiempo real sobre la detección y respuesta de amenazas de identidad (ITDR).

  • En la página Problemas de mantenimiento se enumeran los problemas de mantenimiento actuales de la implementación y los sensores de Defender for Identity, que le avisan de los problemas de la implementación de Defender for Identity.

  • En la página herramientas se muestra información adicional para ayudar a administrar el entorno de Microsoft Defender for Identity. Algunos ejemplos incluyen un script de preparación que puede ejecutar para determinar si se cumplen todos los requisitos previos de Microsoft Defender for Identity, un módulo de PowerShell con una colección de funciones diseñadas para ayudarle a configurar y validar el entorno para trabajar con Microsoft Defender for Identity, etc.

La configuración, los permisos, los incidentes y las alertas, los informes y otras características también están disponibles a través del portal de Microsoft Defender. En la unidad "Describir el portal de Microsoft Defender", incluida en este módulo, se presenta más información.