Uso de Microsoft Defender for Identity para detectar ataques avanzados

Uso de Microsoft Defender for Identity para detectar ataques avanzados

14/07/2024

Este artículo técnico y educativo tiene como objetivo guiar a los analistas de seguridad, administradores de TI e ingenieros de sistemas en el uso de Microsoft Defender for Identity (MDI), una solución de seguridad basada en la nube que aprovecha las señales locales de Active Directory para identificar, detectar e investigar amenazas avanzadas e identidades comprometidas. MDI es una parte integral de la suite Microsoft 365 Defender y proporciona visibilidad crítica de la actividad sospechosa en el entorno de identidad [1].

Introducción

Las identidades son el nuevo perímetro de seguridad. Los ciberataques modernos a menudo tienen como objetivo comprometer las credenciales de los usuarios y administradores para obtener acceso privilegiado, realizar movimientos laterales y filtrar datos. Las soluciones tradicionales de seguridad de red a menudo no son suficientes para detectar estas tácticas sofisticadas. Microsoft Defender for Identity llena este vacío al monitorear el tráfico de red de los controladores de dominio y los registros de eventos para identificar comportamientos anómalos que indican ataques de identidad, como Pass-the-Hash, Pass-the-Ticket, reconocimiento de red y escalada de privilegios [2].

Esta guía práctica cubrirá la configuración y el uso de MDI, desde la implementación de sensores hasta el análisis de alertas y la investigación de incidentes. Se proporcionarán instrucciones paso a paso, ejemplos de detecciones y métodos de validación para que los lectores puedan implementar y fortalecer la protección de sus identidades, reduciendo la exposición al riesgo y mejorando la capacidad de respuesta a amenazas avanzadas en su entorno de Microsoft.

¿Por qué es crucial Microsoft Defender para la identidad?

  • Detección de ataques basada en identidad: Identifica tácticas, técnicas y procedimientos (TTP) comunes utilizados en ataques de identidad, como Pass-the-Hash, Pass-the-Ticket, Golden Ticket, reconocimiento de red y escalada de privilegios.
  • Visibilidad integral: monitorea el tráfico de red desde controladores de dominio y registros de eventos para crear un perfil del comportamiento normal del usuario y detectar anomalías.
  • Integración con Microsoft 365 Defender: correlaciona las alertas de MDI con señales de otras soluciones de Defender (Endpoint, Office 365, aplicaciones en la nube) para obtener una vista unificada de los incidentes.
  • Análisis de comportamiento: utiliza aprendizaje automático y análisis de comportamiento para detectar amenazas que pasarían desapercibidas para las firmas tradicionales.
  • Reduzca los falsos positivos: la inteligencia de amenazas y los perfiles de comportamiento de Microsoft le ayudan a eliminar el ruido y centrarse en las amenazas reales.

Requisitos previos

Para implementar Microsoft Defender for Identity, necesitará los siguientes elementos:

  1. Licencia: una licencia de Microsoft 365 E5 Security, Microsoft 365 E5, Enterprise Mobility + Security E5 o una licencia independiente de Defender for Identity [3].
  2. Acceso administrativo: una cuenta con el rol de Administrador global o Administrador de seguridad en el portal de Microsoft 365 Defender (https://security.microsoft.com).
  3. Active Directory Local: un dominio de Active Directory local, con al menos un controlador de dominio.
  4. Servidor para sensor (opcional, pero recomendado): un servidor Windows Server (2012 R2 o superior) para instalar el sensor MDI independiente si no desea instalarlo directamente en los controladores de dominio. Si se instala en un controlador de dominio, el sensor utiliza recursos del DC.
  5. Conectividad de red: el servidor del sensor (o controlador de dominio) debe tener conectividad saliente a los puntos finales del servicio MDI en la nube (puerto TCP 443).

Paso a paso: configuración y uso de Microsoft Defender para la identidad

Cubriremos la implementación de sensores y el análisis de alertas.

1. Acceso al portal de Microsoft 365 Defender y configuración de MDI

  1. Abra su navegador y navegue hasta https://security.microsoft.com.
  2. Inicie sesión con una cuenta que tenga los permisos necesarios.
  3. En el panel de navegación izquierdo, seleccione Configuración > Identidades.
  4. En la página de configuración de identidades, verá el estado de su entorno MDI. Si aún no está configurado, siga las instrucciones para comenzar la configuración.

2. Descarga e instalación de Microsoft Defender para Identity Sensor

El sensor MDI se puede instalar directamente en los controladores dominium o en un servidor dedicado (sensor independiente).

  1. En el portal de Microsoft 365 Defender, vaya a Configuración > Identidades > Sensores.
  2. Haga clic en Agregar sensor.

  3. Copie la "Clave de acceso" y descargue el "Paquete de instalación del sensor".

  4. En el servidor (controlador de dominio o servidor dedicado) donde desea instalar el sensor:

    • Ejecute el paquete de instalación (Azure Advanced Threat Protection Sensor Setup.exe).
    • Sigue las instrucciones del asistente. Pegue la "Clave de acceso" cuando se le solicite.
    • Nota para el sensor independiente: si está instalando un sensor independiente, asegúrese de que la duplicación de puertos esté configurada en sus conmutadores de red para enviar el tráfico de red desde los controladores de dominio a la interfaz de red del sensor independiente.

  5. Después de la instalación, el sensor debería aparecer como "En ejecución" en la página Sensores del portal MDI.

3. Configuración de los ajustes del sensor

Es importante configurar los ajustes del sensor para garantizar una detección óptima.

  1. En el portal de Microsoft 365 Defender, vaya a Configuración > Identidades > Sensores.
  2. Haga clic en un sensor para editar su configuración.
  3. Verifique y configure:
    • Controladores de dominio: asegúrese de que todos los controladores de dominio relevantes estén enumerados.
    • Cuentas de sincronización: si tiene varios bosques de Active Directory, configure cuentas de sincronización para cada bosque.
    • Exclusiones: (Con precaución) Configure exclusiones para entidades o actividades que sepa que son legítimas y generan falsos positivos.

4. Análisis de alertas de seguridad

MDI genera alertas cuando detecta actividad sospechosa o maliciosa. Estas alertas son visibles en el portal de Microsoft 365 Defender.

  1. En el panel de navegación izquierdo del portal de Microsoft 365 Defender, seleccione Incidentes y alertas > Alertas.
  2. Filtre las alertas por Servicio = Microsoft Defender for Identity.
  3. Haga clic en una alerta para ver detalles, que incluyen:
    • Descripción: Explica la naturaleza del ataque.
    • Entidades afectadas: Usuarios, equipos y recursos involucrados.
    • Cronología del ataque: una representación visual de la secuencia de eventos.
    • Acciones recomendadas: Pasos para investigar y solucionar la alerta.

5. Investigación de incidentes

MDI correlaciona alertas relacionadas entre incidentes, proporcionando una vista unificada de un ataque.

  1. En el panel de navegación izquierdo del portal de Microsoft 365 Defender, seleccione Incidentes y alertas > Incidentes.
  2. Haga clic en un incidente para ver todas las alertas y entidades relacionadas, así como el historial completo de ataques.
  3. Utilice herramientas de investigación para profundizar el análisis, como la "búsqueda avanzada" para consultas KQL (Kusto Query Language) personalizadas.

Validación y pruebas

Validar el MDI es esencial para garantizar que detecta amenazas y genera alertas correctamente.

1. Simulación de un ataque Pass-the-Hash (PtH)

Para simular un ataque PtH, necesitará un entorno de prueba con un controlador de dominio y una computadora cliente. Esta prueba debe realizarse con extrema precaución y sólo en ambientes controlados.

  1. En una computadora cliente, use una herramienta como Mimikatz para extraer el hash NTLM para un usuario privilegiado (por ejemplo, "Administrador").
    • Comando (por ejemplo, requiere privilegios elevados): cmd privilegio::depurar sekurlsa::contraseñas de inicio de sesión
  2. Utilice el hash obtenido para intentar autenticarse en otra computadora de la red sin la contraseña real.
    • Comando (por ejemplo, requiere privilegios elevados): cmd sekurlsa::pth /usuario:Administrador /dominio:midominio.com /ntlm:HASH_DO_ADMIN /ejecutar:cmd.exe
  3. Espere unos minutos.
  4. Consulte el portal de Microsoft 365 Defender para ver si hay un "Movimiento lateral sospechoso (Pass-the-Hash)" o una alerta similar de Microsoft Defender para identidad.

2. Simulación de un reconocimiento de red

  1. En una máquina de prueba, ejecute un comando de descubrimiento de red que MDI pueda detectar.
    • Comando (ejemplo de consulta LDAP para todos los usuarios): cmd nltest/domain_trusts o cmd usuario dsquery -límite 0
  2. Espere unos minutos.
  3. Consulta el portal de Microsoft 36.5 Defienda una alerta de "Conocimiento de red (enumeración de usuarios/grupos)" o similar de Microsoft Defender for Identity.

Consejos de seguridad y mejores prácticas

  • Cobertura completa del controlador de dominio: Instale sensores MDI en todos los controladores de dominio para garantizar una cobertura completa del tráfico y los registros de autenticación.
  • Duplicación de puertos adecuada: para sensores independientes, asegúrese de que la duplicación de puertos esté configurada correctamente para capturar todo el tráfico relevante.
  • Monitoreo continuo de alertas: supervise activamente las alertas generadas por MDI en el portal de Microsoft 365 Defender e investiguelas rápidamente.
  • Integración SIEM/SOAR: Integre alertas MDI con su SIEM (por ejemplo, Microsoft Sentinel) o SOAR para la automatización de la respuesta a incidentes y la correlación con otros datos de seguridad.
  • Higiene de Active Directory: Mantenga Active Directory limpio y seguro eliminando cuentas inactivas, aplicando el principio de privilegio mínimo y protegiendo las cuentas privilegiadas.
  • Protección de cuentas privilegiadas: implemente PIM (Administración de identidades privilegiadas) junto con MDI para proteger aún más las cuentas privilegiadas.
  • Parches y actualizaciones: mantenga actualizados los controladores de dominio y los servidores que alojan sensores MDI con los últimos parches de seguridad.

Solución de problemas comunes

  • El sensor no aparece como "En ejecución": Verifique la conectividad de red del sensor con el servicio MDI en la nube (puerto 443). Verifique los registros de eventos en el servidor del sensor para detectar errores de instalación o comunicación. Reinicie el servicio del sensor.
  • No se genera alerta: Verifique si el sensor está "En funcionamiento". Asegúrese de que el tráfico de red de los controladores de dominio se refleje correctamente en el sensor independiente (si corresponde). Verifique las exclusiones configuradas que puedan estar impidiendo la detección.
  • Alertas de falsos positivos: investigue los detalles de la alerta. Es posible que necesites ajustar exclusiones o configuraciones para reducir el ruido, pero hazlo con precaución para no ignorar amenazas reales.
  • Problemas de rendimiento del controlador de dominio: si el sensor MDI está instalado directamente en un controlador de dominio y hay problemas de rendimiento, verifique los requisitos de hardware y considere instalar un sensor independiente en un servidor dedicado.
  • Problemas de sincronización de dominio: asegúrese de que las cuentas de sincronización para cada bosque de AD estén configuradas correctamente en la configuración de MDI.

Conclusión

Microsoft Defender for Identity es una herramienta esencial para defenderse contra ataques avanzados dirigidos a la infraestructura de identidad de una organización. Al proporcionar una visibilidad profunda de Active Directory y detectar comportamientos anómalos en tiempo real, MDI permite a los equipos de seguridad identificar y responder rápidamente a amenazas como el movimiento lateral, la escalada de privilegios y el compromiso de credenciales. La implementación cuidadosa de MDI, combinada con las mejores prácticas de seguridad de identidad y la integración con otras soluciones de Microsoft 365 Defender, fortalece significativamente la postura de seguridad general. Con esta guía práctica, los profesionales de la seguridad podrán utilizar Microsoft Defender for Identity para proteger sus identidades más valiosas, garantizando un entorno más seguro y resistente contra las tácticas más sofisticadas de los atacantes.

Referencias:

[1] Microsoft aprende. ¿Qué es Microsoft Defender para identidad?. Disponible en: https://learn.microsoft.com/pt-br/defender-for-identity/what-is [2] Microsoft aprende. Descripción general de la implementación de Microsoft Defender para identidad. Disponible en: https://learn.microsoft.com/pt-br/defender-for-identity/deploy/deploy-defender-identity [3] Microsoft aprende. Requisitos de licencia de Microsoft Defender for Identity. Disponible en: https://learn.microsoft.com/pt-br/defender-for-identity/what-is#licensing-requirements