Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Microsoft Defender for Identity ayuda a las organizaciones a detectar, investigar y responder a ataques basados en identidades en entornos locales, en la nube e híbridos. Los atacantes suelen dirigirse a identidades como usuarios, aplicaciones y cuentas de servicio para obtener acceso, escalar privilegios y mantener la persistencia.
Defender for Identity supervisa las señales de identidad de Active Directory local y Microsoft Entra ID, otras soluciones de IAM (por ejemplo, Okta). Analiza estas señales mediante análisis de comportamiento, inteligencia de amenazas y patrones de ataque conocidos para detectar actividad sospechosa a lo largo del ciclo de vida completo de ataques de identidad. Las alertas incluyen contexto de investigación en el portal de Microsoft Defender, lo que ayuda a los equipos de seguridad a comprender lo que ha ocurrido, por qué importa y cómo responder.
Seguridad de identidad
Microsoft Defender for Identity es un componente básico de Microsoft Identity Security. Identity Security se centra en la protección de identidades proporcionando visibilidad sobre la cobertura y la posición de identidad, la detección de amenazas basadas en identidades y la habilitación de la investigación y la respuesta entre sistemas de identidad, aplicaciones e infraestructura.
Defender for Identity transmite señales de identidad al portal de Microsoft Defender, donde se correlacionan con datos de puntos de conexión, correo electrónico, aplicaciones SaaS, cargas de trabajo en la nube y otros orígenes de seguridad. Esta correlación ayuda a los equipos de seguridad a identificar un comportamiento anómalo, realizar un seguimiento del movimiento del atacante y responder a través de incidentes unificados que reflejan el ámbito completo de un ataque en lugar de alertas aisladas.
Funcionalidades de Defender for Identity
Defender for Identity ofrece una solución moderna de detección de amenazas de identidad con:
- Evaluaciones proactivas de la posición de seguridad de identidad
- Detección de amenazas en tiempo real mediante análisis e inteligencia de comportamiento
- Investigación de actividades sospechosas con un contexto de incidente claro y accionable
- Acciones de corrección para identidades en peligro
Prevención de infracciones con evaluaciones proactivas de la posición de seguridad de identidad
Defender for Identity ayuda a las organizaciones a reducir proactivamente su superficie expuesta a ataques de identidad. Evalúa las configuraciones de identidad y resalta las debilidades de seguridad que los atacantes suelen aprovechar, lo que permite a los equipos abordar los riesgos antes de que se abusen de ellos.
Entre las funcionalidades clave de la posición se incluyen:
- Evaluaciones de la posición de seguridad de identidad disponibles a través de La puntuación de seguridad de Microsoft
- Identificación de configuraciones y exposiciones de riesgo
- Análisis de rutas de desplazamiento lateral que revelan cómo un atacante podría atravesar el entorno
Estas conclusiones ayudan a las organizaciones a reforzar la resistencia de la identidad y a reducir la probabilidad de que se ponga en peligro el éxito.
Detección de amenazas basadas en identidades
Defender for Identity está diseñado para detectar amenazas destinadas específicamente a identidades, incluidas identidades humanas y no uman, como cuentas de servicio, cuentas de sincronización y aplicaciones. La detección se basa en el análisis de comportamiento y la correlación de señales en lugar de en eventos únicos.
Defender for Identity supervisa y analiza la actividad de identidad, como:
- Comportamiento de autenticación y autorización
- Abuso de credenciales e inicios de sesión de riesgo
- Escalado de privilegios y cambios sospechosos de pertenencia a grupos o roles
- Intentos de movimiento lateral dentro del entorno
- Comportamiento anómalo relacionado con las cuentas de servicio y otras identidades no humanas
En la tabla siguiente se muestra cómo se alinean las detecciones de Defender for Identity con las fases clave de un ataque basado en identidades:
| Fase de ataque | Detecciones de Defender for Identity |
|---|---|
| Reconocimiento | Identifica la actividad de detección sospechosa, como los intentos de enumerar nombres de usuario, pertenencia a grupos, direcciones IP y recursos. |
| Credenciales en peligro | Detecta intentos de poner en peligro las credenciales mediante técnicas como la fuerza bruta, las autenticaciones con errores repetidas y los cambios sospechosos en la pertenencia a grupos de usuarios. |
| Movimiento lateral | Detecta los intentos de moverse lateralmente y expandir el control de identidades confidenciales y en distintos entornos. |
| Dominio de AD | Resalta el comportamiento asociado con el riesgo de dominio completo, como la ejecución remota de código en controladores de dominio, DCShadow, replicación malintencionada del controlador de dominio y actividad de Golden Ticket. |
Los atacantes suelen comenzar con cualquier identidad accesible y, a continuación, moverse lateralmente hacia destinos de alto valor, como cuentas con privilegios, como administradores de dominio, administradores globales, administradores de aplicaciones y datos confidenciales. Defender for Identity ayuda a identificar estos comportamientos al principio mediante la creación de perfiles de comportamiento para usuarios, dispositivos y cuentas y la detección de desviaciones que indican la actividad del atacante.
Investigación de amenazas de identidad
Defender for Identity genera alertas enriquecidas con contexto como identidades afectadas, actividad relacionada y técnicas de atacante. Los analistas pueden usar este contexto para validar el comportamiento sospechoso y comprender lo que ha ocurrido.
Defender for Identity también admite flujos de trabajo de investigación y búsqueda de identidades. Las entidades de identidad y la actividad de autenticación están disponibles en el portal de Microsoft Defender, lo que permite que los equipos de seguridad investiguen los patrones de actividad y busquen amenazas adicionales basadas en identidad en la nube, en el entorno local y en los usuarios híbridos.
Respuesta a ataques basados en identidades
Defender for Identity admite la respuesta mediante:
- Correlación de alertas de identidad en incidentes unificados en Microsoft Defender
- Proporcionar contexto de identidad (usuarios, cuentas, roles e indicadores de movimiento lateral) para limitar el impacto y priorizar las acciones
- Habilitación de acciones de corrección en el portal de Microsoft Defender para identidades afectadas y entidades relacionadas
experiencia del portal de Microsoft Defender
El portal de Microsoft Defender proporciona una experiencia unificada para supervisar, investigar y responder a amenazas de identidad. Desde el portal, los equipos de seguridad pueden:
- Visualización de alertas basadas en identidad e incidentes correlacionados
- Investigación de usuarios, dispositivos y relaciones de identidad
- Seguimiento de las recomendaciones de corrección y posición de seguridad de identidad
- Realizar acciones de respuesta en identidades en peligro
Al contribuir a un contexto de identidad enriquecido en incidentes unificados, Defender for Identity ayuda a los equipos de seguridad a comprender el comportamiento de los atacantes, priorizar el riesgo y tomar medidas para interrumpir los ataques basados en identidades en toda la organización.
Introducción a la arquitectura
Microsoft Defender for Identity usa sensores ligeros, conectores de API y un servicio de análisis basado en la nube administrado en el portal de Microsoft Defender.
Los sensores se ejecutan en la infraestructura de identidad, capturando y analizando el tráfico de red pertinente y los eventos de Windows localmente. Los conectores de API integran sistemas externos de Identity and Access Management (IAM) para proporcionar una protección de identidad completa.
Solo se envían las señales necesarias al servicio en la nube de Defender for Identity, lo que minimiza el impacto en el rendimiento y evita cambios complejos en la red.
El servicio en la nube analiza las señales de identidad e las integra con otras cargas de trabajo de Microsoft Defender, lo que contribuye a la inteligencia de identidad a alertas e incidentes correlacionados en Microsoft Defender XDR.