Compartir vía


Etiquetas de entidad de Defender for Identity en Microsoft Defender XDR

En este artículo se describe cómo aplicar etiquetas de entidad de Microsoft Defender for Identity, para cuentas confidenciales, de Exchange Server o honeytoken.

  • Debe etiquetar cuentas confidenciales para las detecciones de Defender for Identity que dependen del estado de confidencialidad de una entidad, como las detecciones de modificación de grupos confidenciales y las rutas de desplazamiento lateral.

    Aunque Defender for Identity etiqueta automáticamente los servidores Exchange como recursos confidenciales de alto valor, también puede etiquetar manualmente los dispositivos como servidores Exchange.

  • Etiquete las cuentas honeytoken para establecer trampas para actores malintencionados. Dado que las cuentas de honeytoken suelen estar inactivas, cualquier autenticación asociada a una cuenta de honeytoken desencadena una alerta.

Requisitos previos

Para establecer etiquetas de entidad de Defender for Identity en Microsoft Defender XDR, necesitará Defender for Identity implementado en su entorno y el acceso de administrador o usuario a Microsoft Defender XDR.

Para más información, consulte Grupos de roles de Microsoft Defender for Identity.

Etiquetar entidades manualmente

En esta sección se describe cómo etiquetar manualmente una entidad, como para una cuenta de honeytoken, o si la entidad no se ha etiquetado automáticamente como Confidencial.

  1. Inicie sesión en Microsoft Defender XDR y seleccione Configuraciones>Identidades.

  2. Seleccione el tipo de etiqueta que desea aplicar: Confidencial, Honeytoken o Servidor Exchange.

    En la página se enumeran en pestañas independientes para cada tipo de entidad las entidades que ya están etiquetadas en el sistema:

    • La etiqueta Confidencial admite usuarios, dispositivos y grupos.
    • La etiqueta Honeytoken admite usuarios y dispositivos.
    • La etiqueta de servidor exchange solo admite dispositivos.
  3. Para etiquetar entidades adicionales, seleccione el botón Etiquetar..., como Etiquetar usuarios. Se abre un panel a la derecha en el que se enumeran las entidades disponibles para etiquetar.

  4. Use el cuadro de búsqueda para buscar la entidad si es necesario. Seleccione las entidades que desea etiquetar y, a continuación, seleccione Agregar selección.

Por ejemplo:

Screenshot of tagging user accounts as sensitive.

Entidades confidenciales predeterminadas

Los grupos de la siguiente lista se consideran Confidenciales por Defender for Identity. Cualquier entidad que sea miembro de uno de estos grupos de Active Directory, incluidos los grupos anidados y sus miembros, se considerará automáticamente confidencial:

  • Administradores

  • Usuarios avanzados

  • Operadores de cuentas

  • Operadores de servidores

  • Operadores de impresión

  • Operadores de copias de seguridad

  • Replicadores

  • Operadores de configuración de red

  • Creadores de confianza de bosque de entrada

  • Admins. del dominio

  • Controladores de dominio

  • Propietarios del creador de directivas de grupo

  • Controladores de dominio de solo lectura

  • Controladores de dominio empresariales de solo lectura

  • Administradores de esquema

  • Administradores de la empresa

  • Microsoft Exchange Servers

    Nota:

    Hasta septiembre de 2018, los usuarios de Escritorio remoto también fueron considerados automáticamente confidenciales por Defender for Identity. Las entidades o grupos de Escritorio remoto agregados después de esta fecha ya no se marcan automáticamente como confidenciales, mientras que las entidades o grupos de Escritorio remoto agregados antes de esta fecha pueden permanecer marcados como confidenciales. Esta configuración confidencial ahora se puede cambiar manualmente.

Además de estos grupos, Defender for Identity identifica los siguientes servidores de recursos de alto valor y los etiqueta automáticamente como Confidenciales:

  • Servidor de Autoridad de certificado
  • Servidor DHCP
  • Servidor DNS
  • Microsoft Exchange Server

Para más información, consulte Investigación de alertas de seguridad de Defender for Identity en Microsoft Defender XDR.