Implementación de Microsoft Defender for Identity con Microsoft Defender XDR

En este artículo se proporciona información general sobre el proceso de implementación completo de Microsoft Defender for Identity, incluidos los pasos para la preparación, la implementación y los pasos adicionales para escenarios específicos.

Defender for Identity es un componente principal de la estrategia de Confianza cero y la detección y respuesta de amenazas de identidad (ITDR) o la implementación extendida de detección y respuesta (XDR) con Microsoft Defender XDR. Defender for Identity usa señales de los servidores de infraestructura de identidad, como controladores de dominio y servidores de AD FS /AD CS y Entra Connect para detectar amenazas como la escalada de privilegios o el movimiento lateral de alto riesgo, e informa sobre problemas de identidad fácilmente explotados, como la delegación kerberos sin restricciones, para su corrección por parte del equipo de seguridad.

Para obtener un conjunto rápido de aspectos destacados de la implementación, consulte Guía de instalación rápida.

Requisitos previos

Antes de empezar, asegúrese de que tiene acceso a Microsoft Defender XDR al menos como administrador de seguridad y que tiene una de las siguientes licencias:

  • Enterprise Mobility + Security E5 (EMS E5/A5)
  • Microsoft 365 E5 (Microsoft E5/A5/G5)
  • Seguridad de* Microsoft 365 E5/A5/G5/F5
  • Seguridad y cumplimiento de Microsoft 365 F5*
  • Licencias de Defender for Identity independientes

* Ambas licencias de F5 requieren Microsoft 365 F1/F3 u Office 365 F3 y Enterprise Mobility + Security E3.

Adquiera una licencia directamente a través del portal de Microsoft 365 o mediante el modelo de licencias de Cloud Solution Partner (CSP).

Para obtener más información, consulte Preguntas más frecuentes sobre licencias y privacidad y ¿Qué son los roles y permisos de Defender for Identity?

Empezar a usar Microsoft Defender XDR

En esta sección se describe cómo iniciar la incorporación a Defender for Identity.

  1. Inicie sesión al portal de Microsoft Defender.
  2. En el menú de navegación, seleccione cualquier elemento, como Incidentes y alertas, Búsqueda, Centro de actividades o Análisis de amenazas para iniciar el proceso de incorporación.

A continuación, se le dará la opción de implementar los servicios admitidos, incluido Microsoft Defender for Identity. Los componentes en la nube necesarios para Defender for Identity se agregan automáticamente al abrir la página de configuración de Defender for Identity.

Para más información, vea:

Importante

Actualmente, se implementan centros de datos de Defender for Identity en Europa, Reino Unido, Suiza, Norteamérica, Centroamérica, el Caribe, Este de Australia, Asia e India. El área de trabajo (instancia) se crea automáticamente en la región de Azure más cercana a la ubicación geográfica de la cuenta empresarial de Microsoft Entra. Una vez creadas, los espacios de trabajo de Defender for Identity no se pueden mover.

Planificación y preparación

Siga estos pasos para preparar la implementación de Defender for Identity:

  1. Asegúrese de que cumple todos los requisitos previos necesarios.

  2. Planificación de su capacidad de Defender for Identity.

Sugerencia

Se recomienda ejecutar el script Test-MdiReadiness.ps1 para probar y ver si el entorno tiene los requisitos previos necesarios.

El vínculo al script Test-MdiReadiness.ps1 también está disponible en Microsoft Defender XDR, en la página Identidades > Herramientas (versión preliminar).

Implementar Defender for Identity

Después de preparar el sistema, siga estos pasos para implementar Defender for Identity:

  1. Compruebe la conectividad con el servicio Defender for Identity.
  2. Descargue el sensor de Defender for Identity.
  3. Instale el sensor de Defender for Identity.
  4. Configure el sensor de Defender for Identity para empezar a recibir datos.

Configuración posterior a la implementación

Los procedimientos siguientes le ayudarán a completar el proceso de implementación:

Sugerencia

De forma predeterminada, los sensores de Defender for Identity consultan el directorio mediante LDAP en los puertos 389 y 3268. Para cambiar a LDAPS en los puertos 636 y 3269, abra un caso de asistencia técnica. Para más información, consulte Asistencia de Microsoft Defender for Identity.

Importante

La instalación de un sensor de Defender for Identity en servidores de AD FS/AD CS y Entra Connect requiere pasos adicionales. Para obtener más información, vea Configurar los sensores de AD FS, AD CS y Entra Connect.

Paso siguiente