Administrar cuentas confidenciales o de honeytokenManage sensitive or honeytoken accounts

En este artículo se explica cómo aplicar etiquetas de entidad a cuentas confidenciales.This article explains how to apply entity tags to sensitive accounts. Esto es importante porque algunas Defender for IdentityDefender for Identity detecciones, como la detección de modificación de grupo confidencial y la ruta de desplazamiento lateral, dependen del estado de sensibilidad de una entidad.This is important because some Defender for IdentityDefender for Identity detections, such as sensitive group modification detection and lateral movement path rely on an entity's sensitivity status.

Defender for IdentityDefender for Identity también habilita la configuración de las cuentas de honeytoken, que se usan como capturas para actores malintencionados: cualquier autenticación asociada a estas cuentas de honeytoken (normalmente inactiva) desencadena una alerta.Defender for IdentityDefender for Identity also enables the configuration of honeytoken accounts, which are used as traps for malicious actors - any authentication associated with these honeytoken accounts (normally dormant), triggers an alert.

Entidades confidencialesSensitive entities

Los grupos de la siguiente lista se consideran confidenciales en Defender for IdentityDefender for Identity.The following list of groups are considered Sensitive by Defender for IdentityDefender for Identity. Cualquier entidad que sea miembro de uno de estos grupos de Azure Active Directory se considera confidencial:Any entity that is a member of one of these Azure Active Directory groups is considered sensitive:

  • AdministradoresAdministrators

  • Usuarios avanzadosPower Users

  • Operadores de cuentasAccount Operators

  • Operadores de servidoresServer Operators

  • Operadores de impresiónPrint Operators

  • Operadores de copia de seguridadBackup Operators

  • ReplicadoresReplicators

  • Operadores de configuración de redNetwork Configuration Operators

  • Creadores de confianza de bosque de entradaIncoming Forest Trust Builders

  • Admins. del dominioDomain Admins

  • Controladores de dominioDomain Controllers

  • Propietarios del creador de directivas de grupoGroup Policy Creator Owners

  • Controladores de dominio de solo lecturaRead-only Domain Controllers

  • Controladores de dominio empresariales de solo lecturaEnterprise Read-only Domain Controllers

  • Administradores de esquemaSchema Admins

  • Administradores de empresasEnterprise Admins

  • Servidores de Microsoft ExchangeMicrosoft Exchange Servers

    Nota

    Hasta septiembre de 2018, Defender for IdentityDefender for Identity también consideraba automáticamente confidenciales a los usuarios de Escritorio remoto.Until September, 2018, Remote Desktop Users were also automatically considered Sensitive by Defender for IdentityDefender for Identity. Las entidades o los grupos de escritorio remoto agregados después de esta fecha ya no se marcan automáticamente como confidenciales, mientras que las entidades o grupos de escritorio remoto agregados antes de esta fecha pueden permanecer marcados como confidenciales.Remote Desktop entities or groups added after this date are no longer automatically marked as sensitive while Remote Desktop entities or groups added before this date may remain marked as Sensitive. Ahora se puede cambiar manualmente esta configuración confidencial.This Sensitive setting can now be changed manually.

Además de estos grupos, Defender for IdentityDefender for Identity identifica los siguientes servidores de recursos de alto valor y los etiqueta automáticamente con el distintivo de Confidencial:In addition to these groups, Defender for IdentityDefender for Identity identifies the following high value asset servers and automatically tags them as Sensitive:

  • Nombre de entidad de certificaciónCertificate Authority Server
  • Servidor DHCPDHCP Server
  • Servidor DNSDNS Server
  • Microsoft Exchange ServerMicrosoft Exchange Server

Etiquetado manual de entidadesManually tagging entities

También puede etiquetar manualmente las entidades como cuentas confidenciales o honeytoken.You can also manually tag entities as sensitive or honeytoken accounts. Si etiqueta manualmente usuarios o grupos adicionales, como los miembros del panel, los ejecutivos de la empresa y los directores de ventas, Defender for IdentityDefender for Identity considerarán confidenciales.If you manually tag additional users or groups, such as board members, company executives, and sales directors, Defender for IdentityDefender for Identity will consider them sensitive.

Para etiquetar entidades manualmenteTo manually tag entities

Para etiquetar entidades, haga lo siguiente:To tag entities, do the following:

  1. En el portal de Defender for IdentityDefender for Identity, seleccione Configuración.In the Defender for IdentityDefender for Identity portal, select Configuration.

    [! INCLUDE [Product Short] (incluye/Product-Short. MD)] opciones de configuración

  2. En detección, seleccione etiquetas de entidad.Under Detection, select Entity tags.

    Etiquetas de entidad de Defender for IdentityDefender for Identity

  3. Para cada cuenta que desee configurar, haga lo siguiente:For each account that you want to configure, do the following:

    1. En cuentas de Honeytoken o confidenciales, escriba el nombre de la cuenta.Under Honeytoken accounts or Sensitive, enter the account name.
    2. Haga clic en el icono de signo más (+).Click the plus icon (+).

    Sugerencia

    Se pueden realizar búsquedas en el campo de cuenta sensible o honeytoken y se rellenará con las entidades de la red.The sensitive or honeytoken account field is searchable and will autofill with entities in your network.

    Ejemplo de cuenta confidencial de Defender for IdentityDefender for Identity

  4. Haga clic en Guardar.Click Save.

Vea tambiénSee also