Activación de funcionalidades de Microsoft Defender for Identity directamente en un controlador de dominio
Microsoft Defender para punto de conexión clientes, que ya han incorporado sus controladores de dominio a Defender para punto de conexión, pueden activar las funcionalidades de Microsoft Defender for Identity directamente en un controlador de dominio en lugar de usar Microsoft Defender for Identity sensor clásico.
En este artículo se describe cómo activar y probar las funcionalidades de Microsoft Defender for Identity en el controlador de dominio.
Importante
El nuevo sensor de Defender for Identity (versión 3.x) se recomienda para los clientes que buscan implementar protecciones de identidad básicas en nuevos controladores de dominio que ejecuten Windows Server 2019 o versiones posteriores. Para el resto de la infraestructura de identidades o para los clientes que buscan implementar las protecciones de identidad más sólidas disponibles de Microsoft Defender for Identity hoy en día, se recomienda implementar el sensor clásico aquí.
Requisitos previos
Antes de activar las funcionalidades de Defender for Identity en el controlador de dominio, asegúrese de que el entorno cumple los requisitos previos de esta sección.
Conflictos del sensor de Defender for Identity
La configuración descrita en este artículo no admite la instalación en paralelo con un sensor de Defender for Identity existente y no se recomienda como reemplazo del sensor clásico de Defender for Identity.
Asegúrese de que el controlador de dominio donde planea activar las funcionalidades de Defender for Identity no tenga implementado un sensor de Defender for Identity .
Requisitos del sistema
Las funcionalidades de Direct Defender for Identity solo se admiten en controladores de dominio, con uno de los siguientes sistemas operativos:
- Windows Server 2019 o posterior
- Actualización acumulativa de marzo de 2024 o posterior
Importante
Después de instalar la actualización acumulativa de marzo de 2024, LSASS podría experimentar una pérdida de memoria en los controladores de dominio cuando las solicitudes de autenticación Kerberos del servicio de controladores de Dominio de Active Directory locales y basadas en la nube.
Este problema se soluciona en la KB5037422 de actualización fuera de banda.
Incorporación de Defender para punto de conexión
El controlador de dominio debe incorporarse a Microsoft Defender para punto de conexión.
Para obtener más información, consulte Incorporación de un servidor Windows.
Requisitos de permisos
Para acceder a la página Activación de Defender for Identity, debe ser administrador de seguridad o tener los siguientes permisos de RBAC unificados:
Authorization and settings / System settings (Read and manage)Authorization and settings / Security setting (All permissions)
Para más información, vea:
- RBAC de control de acceso basado en rol unificado
- Creación de un rol para acceder y administrar roles y permisos
Requisitos de conectividad
Las funcionalidades de Defender for Identity directamente en los controladores de dominio usan puntos de conexión url de Defender para punto de conexión para la comunicación, incluidas las direcciones URL simplificadas.
Para obtener más información, consulte Configuración del entorno de red para garantizar la conectividad con Defender para punto de conexión.
Configuración de la auditoría de Windows
Las detecciones de Defender for Identity se basan en entradas específicas del registro de eventos de Windows para mejorar las detecciones y proporcionar información adicional sobre los usuarios que realizan acciones específicas, como inicios de sesión NTLM y modificaciones de grupos de seguridad.
Configure la recopilación de eventos de Windows en el controlador de dominio para admitir detecciones de Defender for Identity. Para obtener más información, vea Recopilación de eventos con Microsoft Defender for Identity y Configuración de directivas de auditoría para registros de eventos de Windows.
Es posible que quiera usar el módulo de PowerShell de Defender for Identity para configurar los valores necesarios. Para más información, vea:
Por ejemplo, el siguiente comando define toda la configuración del dominio, crea objetos de directiva de grupo y los vincula.
Set-MDIConfiguration -Mode Domain -Configuration All
Activación de las funcionalidades de Defender for Identity
Después de asegurarse de que el entorno está completamente configurado, active las funcionalidades de Microsoft Defender for Identity en el controlador de dominio.
Active Defender for Identity desde el portal de Microsoft Defender.
Vaya a Activación deidentidades>de configuración del>sistema>.
En la página Activación se enumeran los servidores detectados en inventario de dispositivos e identificados como controladores de dominio aptos.
Seleccione el controlador de dominio donde desea activar las funcionalidades de Defender for Identity y, a continuación, seleccione Activar. Confirme la selección cuando se le solicite.
Nota:
Puede optar por activar los controladores de dominio aptos automáticamente, donde Defender for Identity los activa en cuanto se detectan o manualmente, donde selecciona controladores de dominio específicos de la lista de servidores aptos.
Una vez completada la activación, se muestra un banner de éxito verde. En el banner, seleccione Haga clic aquí para ver los servidores incorporados> para ir a la página Configuración > Sensores de identidades, donde puede comprobar el estado del sensor.
Confirmación de incorporación
Para confirmar que el sensor se ha incorporado:
Vaya a System SettingsIdentities>Sensors (Sensores de identidadesde configuración del>sistema>).
Compruebe que aparece el controlador de dominio incorporado.
Nota:
La activación no requiere un reinicio o reinicio. La primera vez que active las funcionalidades de Defender for Identity en el controlador de dominio, el primer sensor puede tardar hasta una hora en aparecer como En ejecución en la página Sensores . Las activaciones posteriores se muestran en un plazo de cinco minutos.
Probar funcionalidades activadas
La primera vez que active las funcionalidades de Defender for Identity en el controlador de dominio, el primer sensor puede tardar hasta una hora en aparecer como En ejecución en la página Sensores . Las activaciones posteriores se muestran en un plazo de cinco minutos.
Las funcionalidades de Defender for Identity en controladores de dominio admiten actualmente la siguiente funcionalidad de Defender for Identity:
- Características de investigación en el panel de ITDR, el inventario de identidades y los datos de búsqueda avanzada de identidades
- Recomendaciones de posición de seguridad especificadas
- Detecciones de alertas especificadas
- Acciones de corrección
- Interrupción automática de ataques
Use los procedimientos siguientes para probar el entorno para las funcionalidades de Defender for Identity en un controlador de dominio.
Comprobación del panel de ITDR
En el portal de Defender, seleccione Panel de identidades> y revise los detalles que se muestran y compruebe los resultados esperados del entorno.
Para obtener más información, consulte Trabajar con el panel de ITDR de Defender for Identity.
Confirmación de los detalles de la página de entidad
Confirme que las entidades, como controladores de dominio, usuarios y grupos, se rellenan según lo esperado.
En el portal de Defender, compruebe los detalles siguientes:
Entidades de dispositivo: seleccione Dispositivos activos >y seleccione la máquina para el nuevo sensor. Los eventos de Defender for Identity se muestran en la escala de tiempo del dispositivo.
Entidades de usuario: seleccione Activos > Usuarios y busque usuarios de un dominio recién incorporado. Como alternativa, use la opción búsqueda global para buscar usuarios específicos. Las páginas de detalles del usuario deben incluir información general, observada en la organización y datos de escala de tiempo .
Entidades de grupo: use el búsqueda global para buscar un grupo de usuarios o dinamizar desde una página de detalles de usuario o dispositivo donde se muestran los detalles del grupo. Compruebe si hay detalles de pertenencia a grupos, visualización de usuarios del grupo y datos de escala de tiempo de grupo.
Si no se encuentra ningún dato de evento en la escala de tiempo del grupo, es posible que tenga que crear algunos manualmente. Por ejemplo, para ello, agregue y quite usuarios del grupo en Active Directory.
Para obtener más información, consulte Investigación de recursos.
Prueba de tablas de búsqueda avanzadas
En la página Búsqueda avanzada del portal de Defender, use las siguientes consultas de ejemplo para comprobar que los datos aparecen en las tablas pertinentes según lo esperado para su entorno:
IdentityDirectoryEvents
| where TargetDeviceName contains "DC_FQDN" // insert domain controller FQDN
IdentityInfo
| where AccountDomain contains "domain" // insert domain
IdentityQueryEvents
| where DeviceName contains "DC_FQDN" // insert domain controller FQDN
Para obtener más información, vea Búsqueda avanzada en el portal de Microsoft Defender.
Recomendaciones de administración de posturas de seguridad de identidad (ISPM) de prueba
Se recomienda simular un comportamiento de riesgo en un entorno de prueba para desencadenar evaluaciones admitidas y comprobar que aparecen según lo esperado. Por ejemplo:
Desencadene una nueva recomendación Resolver configuraciones de dominio no seguras estableciendo la configuración de Active Directory en un estado no conforme y devolviéndolo a un estado conforme. Por ejemplo, ejecute los siguientes comandos:
Para establecer un estado no compatible
Set-ADObject -Identity ((Get-ADDomain).distinguishedname) -Replace @{"ms-DS-MachineAccountQuota"="10"}Para devolverlo a un estado conforme:
Set-ADObject -Identity ((Get-ADDomain).distinguishedname) -Replace @{"ms-DS-MachineAccountQuota"="0"}Para comprobar la configuración local:
Get-ADObject -Identity ((Get-ADDomain).distinguishedname) -Properties ms-DS-MachineAccountQuotaEn Puntuación de seguridad de Microsoft, seleccione Acciones recomendadas para buscar una nueva recomendación Resolver configuraciones de dominio no seguras . Es posible que quiera filtrar las recomendaciones por el producto Defender for Identity .
Para obtener más información, consulte las evaluaciones de la posición de seguridad de Microsoft Defender for Identity
Funcionalidad de la alerta de prueba
Pruebe la funcionalidad de alertas mediante la simulación de actividad de riesgo en un entorno de prueba. Por ejemplo:
- Etiquete una cuenta como una cuenta honeytoken e intente iniciar sesión en la cuenta honeytoken en el controlador de dominio activado.
- Cree un servicio sospechoso en el controlador de dominio.
- Ejecute un comando remoto en el controlador de dominio como administrador que haya iniciado sesión desde la estación de trabajo.
Para obtener más información, consulte Investigar alertas de seguridad de Defender for Identity en Microsoft Defender XDR.
Probar acciones de corrección
Pruebe las acciones de corrección en un usuario de prueba. Por ejemplo:
En el portal de Defender, vaya a la página de detalles del usuario de un usuario de prueba.
En el menú Opciones , seleccione cualquiera de las acciones de corrección disponibles.
Compruebe la actividad esperada en Active Directory.
Para obtener más información, vea Acciones de corrección en Microsoft Defender for Identity.
Desactivación de las funcionalidades de Defender for Identity en el controlador de dominio
Si desea desactivar las funcionalidades de Defender for Identity en el controlador de dominio, elimínelo de la página Sensores :
En el portal de Defender, seleccione Configuración>Sensores de identidades>.
Seleccione el controlador de dominio donde desea desactivar las funcionalidades de Defender for Identity, seleccione Eliminar y confirme la selección.
La desactivación de las funcionalidades de Defender for Identity del controlador de dominio no quita el controlador de dominio de Defender para punto de conexión. Para obtener más información, consulte la documentación de Defender para punto de conexión.
Pasos siguientes
Para obtener más información, consulte Administración y actualización de sensores de Microsoft Defender for Identity.