Implementación del sensor de Defender for Identity v3.x

Implemente el sensor de Defender for Identity v3.x en los controladores de dominio admitidos. Complete las comprobaciones de requisitos previos antes de la activación y, después, configure los valores de auditoría e identidad.

Antes de activar

Complete estas comprobaciones antes de activar el sensor.

Limitaciones de la versión del sensor

Antes de activar el sensor de Defender for Identity v3.x, tenga en cuenta que v3.x:

Requisitos de servidor

Asegúrese de que el servidor en el que está activando el sensor:

  • Tiene Defender para punto de conexión implementado en el servidor. El componente Microsoft Defender Antivirus puede estar en modo activo o pasivo. Defender para punto de conexión debe incorporarse en el servidor donde se ejecuta el sensor; La implementación solo de punto de conexión no es suficiente.
  • No tiene un sensor de Defender for Identity v2.x ya implementado.
  • Se ejecuta Windows Server 2019 o posterior.
  • Incluye la actualización acumulativa de marzo de 2026 o posterior .

Tipos de servidor admitidos

El sensor v3.x admite controladores de dominio, incluidos los controladores de dominio con estos roles de identidad:

  • Servicios de federación de Active Directory (ADFS)
  • Servicios de certificados de Active Directory (AD DS)
  • Microsoft Entra Connect

Use el sensor de Defender for Identity v2.x para servidores que no sean controladores de dominio y ejecute AD FS, AD CS o Microsoft Entra Connect.

Requisitos de licencias

La implementación de Defender for Identity requiere una de las siguientes licencias de Microsoft 365:

  • Enterprise Mobility + Security E5 (EMS E5/A5)
  • Microsoft 365 E5 (Microsoft E5/A5/G5)
  • Microsoft 365 E5/A5/G5/F5* Seguridad
  • Seguridad y cumplimiento de Microsoft 365 F5*

Ambas licencias F5 requieren Microsoft 365 F1/F3 o Office 365 F3 y Enterprise Mobility + Security E3. Compre licencias en el portal de Microsoft 365 o a través de licencias de Cloud Solution Partner (CSP). Para obtener más información, consulte Preguntas más frecuentes sobre licencias y privacidad.

Roles y permisos

  • Para crear el área de trabajo de Defender for Identity, necesita un inquilino de Microsoft Entra ID.

  • Debe ser administrador de seguridad o tener los siguientes permisos de RBAC unificados :

    • System settings (Read and manage)
    • Security settings (All permissions)

Requisitos de red

El sensor de Defender for Identity usa los mismos URI que Microsoft Defender para punto de conexión. Revise los siguientes documentos de Defender para punto de conexión, en función de la conectividad del sistema, para encontrar la lista completa de puntos de conexión de servicio necesarios.

Requisitos de memoria

En la tabla siguiente se describen los requisitos de memoria en el servidor utilizado para el sensor de Defender for Identity, en función del tipo de virtualización que use:

Máquina virtual en ejecución Descripción
Hyper-V Asegúrese de que Habilitar memoria dinámica no esté habilitado para la máquina virtual.
VMware Asegúrese de que la cantidad de memoria configurada y la memoria reservada sean iguales o seleccione la opción Reservar toda la memoria de invitado (todo bloqueado) en la configuración de la máquina virtual.
Otro host de virtualización Consulte la documentación proporcionada por el proveedor sobre cómo asegurarse de que la memoria siempre está totalmente asignada a las máquinas virtuales.

Importante

Cuando se ejecuta como una máquina virtual, asigne siempre toda la memoria a la máquina virtual.

La versión 3 del sensor impide que el sensor sobreutiliza la CPU o la memoria limitando el uso de la CPU al 30 % y el uso de memoria a 1,5 GB. Sin embargo, si cualquier otro servicio usa recursos sustanciales del sistema, es posible que el controlador de dominio siga experimentando una tensión de rendimiento.

Consulte la documentación de Planeamiento de capacidad de Defender for Identity para determinar si los servidores de controlador de dominio tienen suficientes recursos para un sensor de Microsoft Defender for Identity.

Requisitos de la cuenta de servicio

El sensor v3.x usa la identidad del sistema local del servidor para las acciones de active directory y respuesta. No admite cuentas de servicio de directorio (DSA) ni cuentas de servicio administradas de grupo (gMSA). LocalSystem es la única identidad admitida para v3.x.

Si va a migrar desde el sensor v2.x y anteriormente tenía una gMSA configurada para las cuentas de acción, debe quitarla. Si gMSA permanece habilitado, las acciones de respuesta, incluida la interrupción del ataque, no funcionarán.

Importante

En entornos que usan sensores v2 y v3, use cuentas de sistema locales para todos los sensores.

Prueba de los requisitos previos

Ejecute el script deTest-MdiReadiness.ps1 para comprobar si el entorno tiene los requisitos previos necesarios.

El script deTest-MdiReadiness.ps1 también está disponible en Microsoft Defender XDR, en la página Herramientas de identidades > (versión preliminar).

Activar el sensor

Después de confirmar todos los requisitos previos, active el sensor desde el portal de Microsoft Defender.

Después de activar

Complete estos pasos de configuración después de activar y ejecutar el sensor.

Configuración de la auditoría de eventos de Windows

Defender for Identity se basa en los registros de eventos de Windows para muchas detecciones. Para los sensores v3.x en controladores de dominio, habilite la auditoría automática, que controla todos los valores de auditoría sin configuración manual.

Si la auditoría automática no está disponible o no está disponible, configure la auditoría manualmente o use PowerShell.

Configuración de la auditoría rpc

La aplicación de etiquetas de auditoría RPC a un dispositivo mejora la visibilidad de la seguridad y desbloquea más detecciones de identidad. Una vez aplicada, la configuración se aplica en todos los dispositivos existentes y futuros que coinciden con los criterios de regla. Las etiquetas están visibles en el inventario de dispositivos para obtener funcionalidades de transparencia y auditoría.

Están disponibles las siguientes etiquetas:

  • Auditoría RPC del sensor unificado: habilita la auditoría RPC mejorada para las detecciones de identidad avanzadas.
  • Auditoría de sensor extendida (versión preliminar): permite funcionalidades de auditoría rpc extendidas para detecciones de identidad avanzadas adicionales. Requiere la actualización acumulativa más reciente.

Para aplicar una etiqueta:

  1. En el portal de Microsoft Defender, vaya a: Configuración del > sistema > Microsoft Defender XDR > Administración de reglas de recursos.

  2. Seleccione Crear una nueva regla.

    Captura de pantalla que muestra cómo agregar una nueva regla.

  3. En el panel lateral:

    1. Escriba un nombre de regla y una descripción.
    2. Establezca condiciones de regla mediante Device name, Domaino Device tag para dirigirse a las máquinas deseadas. Controladores de dominio de destino con el sensor v3.x instalado.
    3. Asegúrese de que el sensor de Defender for Identity v3.x ya está implementado en los dispositivos seleccionados.

  4. Agregue la etiqueta deseada (Auditoría RPC del sensor unificado o Auditoría extendida del sensor) a los dispositivos seleccionados.

    Captura de pantalla que muestra la etiqueta Auditoría RPC del sensor unificado aplicada a un dispositivo en Asset Rule Management.

  5. Seleccione Siguiente para revisar y finalizar la creación de la regla y, a continuación, seleccione Enviar. La regla puede tardar hasta una hora en surtir efecto.

Obtenga más información sobre las reglas de administración de recursos.

  • Establezca la opción Power de la máquina que ejecuta el sensor de Defender for Identity en Alto rendimiento.
  • Sincronice la hora en los servidores y controladores de dominio en los que instala el sensor en un plazo de cinco minutos entre sí.

Paso siguiente

Activar el sensor de Microsoft Defender for Identity

  • Last updated on