Etiquetas de entidad de Defender for Identity en Microsoft Defender XDR
En este artículo se describe cómo aplicar etiquetas de entidad de Microsoft Defender for Identity, para cuentas confidenciales, de Exchange Server o honeytoken.
Debe etiquetar cuentas confidenciales para las detecciones de Defender for Identity que dependen del estado de confidencialidad de una entidad, como las detecciones de modificación de grupos confidenciales y las rutas de desplazamiento lateral.
Aunque Defender for Identity etiqueta automáticamente los servidores Exchange como recursos confidenciales de alto valor, también puede etiquetar manualmente los dispositivos como servidores Exchange.
Etiquete las cuentas honeytoken para establecer trampas para actores malintencionados. Dado que las cuentas de honeytoken suelen estar inactivas, cualquier autenticación asociada a una cuenta de honeytoken desencadena una alerta.
Requisitos previos
Para establecer etiquetas de entidad de Defender for Identity en Microsoft Defender XDR, necesitará Defender for Identity implementado en su entorno y el acceso de administrador o usuario a Microsoft Defender XDR.
Para más información, consulte Grupos de roles de Microsoft Defender for Identity.
Etiquetar entidades manualmente
En esta sección se describe cómo etiquetar manualmente una entidad, como para una cuenta de honeytoken, o si la entidad no se ha etiquetado automáticamente como Confidencial.
Inicie sesión en Microsoft Defender XDR y seleccione Configuraciones>Identidades.
Seleccione el tipo de etiqueta que desea aplicar: Confidencial, Honeytoken o Servidor Exchange.
En la página se enumeran en pestañas independientes para cada tipo de entidad las entidades que ya están etiquetadas en el sistema:
- La etiqueta Confidencial admite usuarios, dispositivos y grupos.
- La etiqueta Honeytoken admite usuarios y dispositivos.
- La etiqueta de servidor exchange solo admite dispositivos.
Para etiquetar entidades adicionales, seleccione el botón Etiquetar..., como Etiquetar usuarios. Se abre un panel a la derecha en el que se enumeran las entidades disponibles para etiquetar.
Use el cuadro de búsqueda para buscar la entidad si es necesario. Seleccione las entidades que desea etiquetar y, a continuación, seleccione Agregar selección.
Por ejemplo:
Entidades confidenciales predeterminadas
Los grupos de la siguiente lista se consideran Confidenciales por Defender for Identity. Cualquier entidad que sea miembro de uno de estos grupos de Active Directory, incluidos los grupos anidados y sus miembros, se considerará automáticamente confidencial:
Administradores
Usuarios avanzados
Operadores de cuentas
Operadores de servidores
Operadores de impresión
Operadores de copias de seguridad
Replicadores
Operadores de configuración de red
Creadores de confianza de bosque de entrada
Admins. del dominio
Controladores de dominio
Propietarios del creador de directivas de grupo
Controladores de dominio de solo lectura
Controladores de dominio empresariales de solo lectura
Administradores de esquema
Administradores de la empresa
Microsoft Exchange Servers
Nota:
Hasta septiembre de 2018, los usuarios de Escritorio remoto también fueron considerados automáticamente confidenciales por Defender for Identity. Las entidades o grupos de Escritorio remoto agregados después de esta fecha ya no se marcan automáticamente como confidenciales, mientras que las entidades o grupos de Escritorio remoto agregados antes de esta fecha pueden permanecer marcados como confidenciales. Esta configuración confidencial ahora se puede cambiar manualmente.
Además de estos grupos, Defender for Identity identifica los siguientes servidores de recursos de alto valor y los etiqueta automáticamente como Confidenciales:
- Servidor de Autoridad de certificado
- Servidor DHCP
- Servidor DNS
- Microsoft Exchange Server
Contenido relacionado
Para más información, consulte Investigación de alertas de seguridad de Defender for Identity en Microsoft Defender XDR.