Implementación de Microsoft Defender for Identity con Microsoft Defender XDR
En este artículo se proporciona información general sobre el proceso de implementación completo para Microsoft Defender for Identity, incluidos los pasos para la preparación, la implementación y los pasos adicionales para escenarios específicos.
Defender for Identity es un componente principal de una estrategia de Confianza cero y la implementación de detección y respuesta de amenazas de identidad (ITDR) o de detección y respuesta extendida (XDR) con Microsoft Defender XDR. Defender for Identity usa señales de los servidores de infraestructura de identidad, como controladores de dominio, AD FS/AD CS y servidores Entra Connect para detectar amenazas como la elevación de privilegios o el movimiento lateral de alto riesgo, e informa sobre problemas de identidad fácilmente explotados, como la delegación de Kerberos sin restricciones, para su corrección por parte del equipo de seguridad.
Para obtener un conjunto rápido de aspectos destacados de la implementación, consulte guía de instalación rápida.
Requisitos previos
Antes de empezar, asegúrese de que tiene acceso a Microsoft Defender XDR al menos como administrador de seguridad y que tiene una de las siguientes licencias:
- Enterprise Mobility + Security E5 (EMS E5/A5)
- Microsoft 365 E5 (Microsoft E5/A5/G5)
- Microsoft 365 E5/A5/G5/F5* Seguridad
- Cumplimiento + Seguridad de Microsoft 365 F5*
- Una licencia independiente de Defender for Identity
* Ambas licencias F5 requieren Microsoft 365 F1/F3 o Office 365 F3 y Enterprise Mobility + Security E3.
Adquiera licencias directamente a través del portal de Microsoft 365 o use el modelo de licencias de Cloud Solution Partner (CSP).
Para obtener más información, consulte Preguntas más frecuentes sobre licencias y privacidad y ¿Qué son los roles y permisos de Defender for Identity?
Empezar a usar Microsoft Defender XDR
En esta sección se describe cómo empezar a incorporar a Defender for Identity.
- Inicie sesión en el portal de Microsoft Defender.
- En el menú de navegación, seleccione cualquier elemento, como Incidentes & alertas, Búsqueda, Centro de acciones o Análisis de amenazas para iniciar el proceso de incorporación.
A continuación, se le dará la opción de implementar los servicios admitidos, incluidos los Microsoft Defender for Identity. Los componentes en la nube necesarios para Defender for Identity se agregan automáticamente al abrir la página configuración de Defender for Identity.
Para más información, vea:
- Microsoft Defender for Identity en Microsoft Defender XDR
- Introducción a Microsoft Defender XDR
- Activar Microsoft Defender XDR
- Implementación de servicios compatibles
- Preguntas más frecuentes al activar Microsoft Defender XDR
Importante
Actualmente, los centros de datos de Defender for Identity se implementan en Europa, Reino Unido, Suiza, Norteamérica/América Central/Caribe, Este de Australia, Asia e India. El área de trabajo (instancia) se crea automáticamente en la región de Azure más cercana a la ubicación geográfica del inquilino de Microsoft Entra. Una vez creadas, las áreas de trabajo de Defender for Identity no se pueden mover.
Planear y preparar
Siga estos pasos para preparar la implementación de Defender for Identity:
Asegúrese de que tiene todos los requisitos previos necesarios.
Sugerencia
Se recomienda ejecutar el script deTest-MdiReadiness.ps1 para probar y ver si el entorno tiene los requisitos previos necesarios.
El vínculo al script deTest-MdiReadiness.ps1 también está disponible en Microsoft Defender XDR, en la página Herramientas de identidades > (versión preliminar).
Implementación de Defender for Identity
Después de preparar el sistema, siga estos pasos para implementar Defender for Identity:
- Compruebe la conectividad con el servicio Defender for Identity.
- Descargue el sensor de Defender for Identity.
- Instale el sensor de Defender for Identity.
- Configure el sensor de Defender for Identity para empezar a recibir datos.
Configuración posterior a la implementación
Los procedimientos siguientes le ayudan a completar el proceso de implementación:
Configurar la colección de eventos de Windows. Para obtener más información, vea Recopilación de eventos con Microsoft Defender for Identity y Configuración de directivas de auditoría para registros de eventos de Windows.
Habilite y configure el control de acceso basado en rol unificado (RBAC) para Defender for Identity.
Configure una cuenta de servicio de directorio (DSA) para su uso con Defender for Identity. Aunque una DSA es opcional en algunos escenarios, se recomienda configurar una DSA para Defender for Identity para una cobertura de seguridad completa. Por ejemplo, cuando tiene una DSA configurada, la DSA se usa para conectarse al controlador de dominio en el inicio. También se puede usar un DSA para consultar al controlador de dominio los datos de las entidades que se ven en el tráfico de red, los eventos supervisados y las actividades de ETW supervisadas.
Configure las llamadas remotas a SAM según sea necesario. Aunque este paso es opcional, se recomienda configurar llamadas remotas a SAM-R para la detección de rutas de desplazamiento lateral con Defender for Identity.
Sugerencia
De forma predeterminada, los sensores de Defender for Identity consultan el directorio mediante LDAP en los puertos 389 y 3268. Para cambiar a LDAPS en los puertos 636 y 3269, abra un caso de soporte técnico. Para obtener más información, consulte Microsoft Defender for Identity soporte técnico.
Importante
La instalación de un sensor de Defender for Identity en un servidor AD FS/AD CS y Entra Connect requiere pasos adicionales. Para obtener más información, consulte Configuración de sensores para AD FS, AD CS y Entra Connect.