Home Blog Productos Autor Contacto

Microsoft Defender for Identity

azure ciberseguridad defender xdr entra microsoft 365 seguridad Jun 18, 2024
Microsoft Defender for Identity

Complementando el artículo de protección de Identidades en Microsoft 365 y Azure, en esta entrada nos enfocamos en el caso particular de entornos híbridos.

Microsoft Defender for Identity (MDI) es una solución de seguridad en la nube diseñada específicamente para entornos híbridos con Active Directory. Su propósito es identificar, detectar e investigar amenazas avanzadas, cuentas comprometidas y actividades maliciosas internas.

Para qué sirve Microsoft Defender for Identity?

Defender for Identity monitorea y analiza las actividades de los usuarios, generando una línea base de lo que sería el comportamiento normal. Si se detecta un comportamiento anómalo, el sistema genera una alerta y proporciona una línea de tiempo detallada del posible ataque. Esta función es fundamental para identificar y responder rápidamente a incidentes de seguridad.

Como se puede ver en la imagen a continuación Defender for Identity cuenta con capacidades de detección a lo largo de toda la cadena de ataque:

Microsoft Defender for Identity monitorea controladores de dominio, captura y analiza el tráfico de red y eventos de Windows directamente desde los servidores de infraestructura de identidad, lo que también incluye servidores de federacion (ADFS) y entidad certificadora (ADCS). Los sensores instalados (agentes de MDI) capturan el tráfico y eventos necesarios con el objetivo de enviar información relevante al servicio en la nube de Defender for Identity para su análisis y reporte. Para asegurarse de capturar los eventes necesarios en general es necesario hacer ajustes a la configuración de la política de auditoría avanzada (Advanced Audit Policy Settings), en caso contrario podriamos estar dejando elementos fuera de cobertura limitando la visibilidad de lo que sucede en la red.

Beneficios de Microsoft Defender for Identity

  • Monitoreo Continuo: Analiza continuamente las actividades de los usuarios para establecer una línea base de comportamiento normal y detectar comportamientos anómalos rapidamente.
  • Detección de Amenazas Internas: Identifica y detecta amenazas avanzadas y actividades maliciosas internas proporcionando información detallada para la respuesta a incidentes.
  • Integración con Identity Protection: Complementa las capacidades de Identity Protection automatizando la detección y remediación de riesgos asociados a identidades, facilitando la investigación y respuesta frente incidentes.

Licenciamiento de Defender for Identity

Defender for Identity puede ser licenciado de varias formas, destacando las siguientes:

  • Enterprise Mobility + Security E5 (EMS E5/A5)
  • Microsoft 365 E5 (Microsoft E5/A5/G5)
  • Defender for Identity Stand alone

Zero Trust con Defender for Identity

Defender for Identity es un componente fundamental dentro de la estrategia de Zero Trust de Microsoft y el primer elemento recomendado en la implementación de Defender XDR.

Integrar Microsoft Defender for Identity en la estrategia de seguridad de la organización habilita una protección holística y una detección más precisa de amenazas relacionadas con identidades híbridas, lo que es fundamental para Zero Trust.

Siguiendo con el orden recomendado por Microsoft para la implementación de Defender XDR, en el próximo artículo entramos en el tema de Defender for Office 365.

 

Artículos en la serie

 

CAPITULO I - CONCEPTOS DE SEGURIDAD Y DESAFIOS EN LA NUBE

1. Microsoft 365: El problema de seguridad
2. Desafíos de seguridad en Microsoft 365
3. Responsabilidad Compartida en Microsoft 365 y Azure
 

 

CAPITULO II - ZERO TRUST

 4. Zero Trust con Microsoft 365

 

 

CAPITULO III - IDENTIDADES Y MANEJO DE DISPOSITIVOS

5. Protección de identidades en Microsoft 365 y Azure
6. Tipos de Identidades en Entra ID (Azure AD)
7. Manejo de dispositivos con Microsoft Intune

 

 

CAPITULO IV - MICROSOFT DEFENDER XDR

8. Microsoft Defender XDR
9. Microsoft Defender for Identity
10. Antispam y Phishing con Defender for Office 365
11. Protección de dispositivos con Microsoft Defender for Endpoint
12. Shadow IT y visibilidad con Microsoft Defender for Cloud Apps
13. Microsoft Defender for Cloud

 

 

CAPITULO V - MICROSOFT SENTINEL

14. SIEM y SOAR con Microsoft Sentinel

 

 

BONUS - TALLER DE FUNDAMENTOS DE CIBERSEGURIDAD CON MICROSOFT 365

15. TALLER DE FUNDAMENTOS DE CIBERSEGURIDAD CON MICROSOFT 365

 

 

Daniel Núñez Banega

Autor del sitio

Hola! Bienvenido a Black Phoenix Cybersecurity, soy Daniel Núñez Banega, autor del sitio y trabajo en IT hace más de 20 años, especializado en tecnologías Microsoft y con particular foco en el área de Ciberseguridad. Mi misión con Black Phoenix Cybersecurity es ayudarte a transformar tu carrera en IT aprovechando las oportunidades que surgen en el área de la ciberseguridad.