Microsoft Defender for Identity requisitos previos del sensor independiente
En este artículo se enumeran los requisitos previos para implementar un sensor independiente de Microsoft Defender for Identity donde difieren de los requisitos previos de implementación principales.
Para obtener más información, consulte Planeamiento de la capacidad para la implementación de Microsoft Defender for Identity.
Importante
Los sensores independientes de Defender for Identity no admiten la recopilación de entradas de registro de Seguimiento de eventos para Windows (ETW) que proporcionan los datos para varias detecciones. Para obtener una cobertura completa del entorno, se recomienda implementar el sensor de Defender for Identity.
Requisitos adicionales del sistema para sensores independientes
Los sensores independientes difieren de los requisitos previos del sensor de Defender for Identity como se indica a continuación:
Los sensores independientes requieren un mínimo de 5 GB de espacio en disco
Los sensores independientes también se pueden instalar en servidores que están en un grupo de trabajo.
Los sensores independientes pueden admitir la supervisión de varios controladores de dominio, en función de la cantidad de tráfico de red hacia y desde los controladores de dominio.
Si trabaja con varios bosques, se debe permitir que las máquinas de sensor independientes se comuniquen con todos los controladores de dominio de bosque remoto mediante LDAP.
Para obtener información sobre el uso de máquinas virtuales con el sensor independiente de Defender for Identity, consulte Configuración de la creación de reflejo de puertos.
Adaptadores de red para sensores independientes
Los sensores independientes requieren al menos uno de los siguientes adaptadores de red:
Adaptadores de administración : se usan para las comunicaciones en la red corporativa. El sensor usa este adaptador para consultar el controlador de dominio que protege y realiza la resolución de las cuentas de equipo.
Configure adaptadores de administración con direcciones IP estáticas, incluida una puerta de enlace predeterminada, y servidores DNS preferidos y alternativos.
El sufijo DNS de esta conexión debe ser el nombre DNS del dominio para cada dominio que se va a supervisar.
Nota:
Si el sensor independiente de Defender for Identity es miembro del dominio, puede configurarse automáticamente.
Adaptador de captura : se usa para capturar el tráfico hacia y desde los controladores de dominio.
Importante
- Configure la creación de reflejo del puerto para el adaptador de captura como destino del tráfico de red del controlador de dominio. Normalmente, debe trabajar con el equipo de redes o virtualización para configurar la creación de reflejo del puerto.
- Configure una dirección IP estática no enrutable (con máscara /32) para su entorno sin puerta de enlace de sensor predeterminada y sin direcciones de servidor DNS. Por ejemplo: '10.10.0.10/32. Esta configuración garantiza que el adaptador de red de captura pueda capturar la cantidad máxima de tráfico y que el adaptador de red de administración se use para enviar y recibir el tráfico de red necesario.
Nota:
Si ejecuta Wireshark en el sensor independiente de Defender for Identity, reinicie el servicio de sensor de Defender for Identity después de detener la captura de Wireshark. Si no reinicia el servicio de sensor, el sensor deja de capturar el tráfico.
Si intenta instalar el sensor de Defender for Identity en una máquina configurada con un adaptador de formación de equipos NIC, recibirá un error de instalación. Si desea instalar el sensor de Defender for Identity en una máquina configurada con formación de equipos NIC, consulte Problema de formación de equipos nic del sensor de Defender for Identity.
Puertos para sensores independientes
En la tabla siguiente se enumeran los puertos adicionales que el sensor independiente de Defender for Identity requiere configurados en el adaptador de administración, además de los puertos enumerados para el sensor de Defender for Identity.
| Protocolo | Transport | Puerto | From | To |
|---|---|---|---|---|
| Puertos internos | ||||
| LDAP | TCP y UDP | 389 | Sensor de Defender for Identity | Controladores de dominio |
| LDAP seguro (LDAPS) | TCP | 636 | Sensor de Defender for Identity | Controladores de dominio |
| LDAP al catálogo global | TCP | 3268 | Sensor de Defender for Identity | Controladores de dominio |
| LDAPS al catálogo global | TCP | 3269 | Sensor de Defender for Identity | Controladores de dominio |
| Kerberos | TCP y UDP | 88 | Sensor de Defender for Identity | Controladores de dominio |
| Horario de Windows | UDP | 123 | Sensor de Defender for Identity | Controladores de dominio |
| Syslog (opcional) | TCP/UDP | 514, según la configuración | Servidor SIEM | Sensor de Defender for Identity |
Requisitos del registro de eventos de Windows
La detección de Defender for Identity se basa en registros de eventos de Windows específicos que el sensor analiza desde los controladores de dominio. Para que los eventos correctos se audite e incluyan en el registro de eventos de Windows, los controladores de dominio requieren una configuración precisa de la directiva de auditoría avanzada de Windows.
Para obtener más información, vea Comprobación avanzada de directivas de auditoría y Directivas de auditoría de seguridad avanzadas en la documentación de Windows.
Para asegurarse de que el servicio audita el evento 8004 de Windows según sea necesario, revise la configuración de auditoría NTLM.
Para los sensores que se ejecutan en servidores de AD FS o AD CS, configure el nivel de auditoría en Detallado. Para obtener más información, consulte Información de auditoría de eventos para AD FS e Información de auditoría de eventos para AD CS.