Administrar cuentas confidenciales o de honeytoken

En este artículo se explica cómo aplicar etiquetas de entidad a cuentas confidenciales. Esto es importante porque algunas Defender for Identity detecciones, como la detección de modificación de grupo confidencial y la ruta de desplazamiento lateral, dependen del estado de sensibilidad de una entidad.

Defender for Identity también habilita la configuración de las cuentas de honeytoken, que se usan como capturas para actores malintencionados: cualquier autenticación asociada a estas cuentas de honeytoken (normalmente inactiva) desencadena una alerta.

Entidades confidenciales

Los grupos de la siguiente lista se consideran confidenciales en Defender for Identity. Cualquier entidad que sea miembro de uno de estos grupos de Azure Active Directory se considera confidencial:

  • Administradores

  • Usuarios avanzados

  • Operadores de cuentas

  • Operadores de servidores

  • Operadores de impresión

  • Operadores de copia de seguridad

  • Replicadores

  • Operadores de configuración de red

  • Creadores de confianza de bosque de entrada

  • Admins. del dominio

  • Controladores de dominio

  • Propietarios del creador de directivas de grupo

  • Controladores de dominio de solo lectura

  • Controladores de dominio empresariales de solo lectura

  • Administradores de esquema

  • Administradores de empresas

  • Servidores de Microsoft Exchange

    Nota

    Hasta septiembre de 2018, Defender for Identity también consideraba automáticamente confidenciales a los usuarios de Escritorio remoto. Las entidades o los grupos de escritorio remoto agregados después de esta fecha ya no se marcan automáticamente como confidenciales, mientras que las entidades o grupos de escritorio remoto agregados antes de esta fecha pueden permanecer marcados como confidenciales. Ahora se puede cambiar manualmente esta configuración confidencial.

Además de estos grupos, Defender for Identity identifica los siguientes servidores de recursos de alto valor y los etiqueta automáticamente con el distintivo de Confidencial:

  • Nombre de entidad de certificación
  • Servidor DHCP
  • Servidor DNS
  • Microsoft Exchange Server

Etiquetado manual de entidades

También puede etiquetar manualmente las entidades como cuentas confidenciales o honeytoken. Si etiqueta manualmente usuarios o grupos adicionales, como los miembros del panel, los ejecutivos de la empresa y los directores de ventas, Defender for Identity considerarán confidenciales.

Para etiquetar entidades manualmente

Para etiquetar entidades, haga lo siguiente:

  1. En el portal de Defender for Identity, seleccione Configuración.

    [! INCLUDE [Product Short] (incluye/Product-Short. MD)] opciones de configuración

  2. En detección, seleccione etiquetas de entidad.

    Etiquetas de entidad de Defender for Identity

  3. Para cada cuenta que desee configurar, haga lo siguiente:

    1. En cuentas de Honeytoken o confidenciales, escriba el nombre de la cuenta.
    2. Haga clic en el icono de signo más (+).

    Sugerencia

    Se pueden realizar búsquedas en el campo de cuenta sensible o honeytoken y se rellenará con las entidades de la red.

    Ejemplo de cuenta confidencial de Defender for Identity

  4. Haga clic en Guardar.

Vea también