Etiquetas de entidad de Defender for Identity en Microsoft Defender XDR
En este artículo se describe cómo aplicar etiquetas de entidad Microsoft Defender for Identity para cuentas confidenciales, de Exchange Server o honeytoken.
Debe etiquetar cuentas confidenciales para las detecciones de Defender for Identity que se basan en el estado de confidencialidad de una entidad, como las detecciones de modificación de grupos confidenciales y las rutas de desplazamiento lateral.
Aunque Defender for Identity etiqueta automáticamente los servidores de Exchange como recursos confidenciales de alto valor, también puede etiquetar manualmente los dispositivos como servidores de Exchange.
Etiquetar cuentas honeytoken para establecer capturas para actores malintencionados. Dado que las cuentas honeytoken suelen estar inactivas, cualquier autenticación asociada a una cuenta honeytoken desencadena una alerta.
Requisitos previos
Para establecer etiquetas de entidad de Defender for Identity en Microsoft Defender XDR, necesitará Defender for Identity implementado en su entorno y acceso de administrador o usuario a Microsoft Defender XDR.
Para obtener más información, consulte Microsoft Defender for Identity grupos de roles.
Etiquetar entidades manualmente
En esta sección se describe cómo etiquetar una entidad manualmente, como para una cuenta honeytoken, o si la entidad no se ha etiquetado automáticamente como Confidencial.
Inicie sesión en Microsoft Defender XDR y seleccione Identidades de configuración>.
Seleccione el tipo de etiqueta que desea aplicar: Confidencial, Honeytoken o Servidor Exchange.
En la página se enumeran las entidades ya etiquetadas en el sistema, que aparecen en pestañas independientes para cada tipo de entidad:
- La etiqueta Confidencial admite usuarios, dispositivos y grupos.
- La etiqueta Honeytoken admite usuarios y dispositivos.
- La etiqueta de servidor de Exchange solo admite dispositivos.
Para etiquetar entidades adicionales, seleccione el botón Etiquetar ... , como Etiquetar usuarios. Se abre un panel a la derecha en el que se enumeran las entidades disponibles para etiquetar.
Use el cuadro de búsqueda para buscar la entidad si es necesario. Seleccione las entidades que desea etiquetar y, a continuación, seleccione Agregar selección.
Por ejemplo:
Entidades confidenciales predeterminadas
Defender for Identity considera confidenciales los grupos de la lista siguiente. Cualquier entidad que sea miembro de uno de estos grupos de Active Directory, incluidos los grupos anidados y sus miembros, se considera automáticamente confidencial:
Administradores
Usuarios avanzados
Operadores de cuenta
Operadores de servidor
Operadores de impresión
Operadores de copia de seguridad
Replicadores
Operadores de configuración de red
Generadores de confianza de bosques entrantes
Administradores de dominio
Controladores de dominio
propietarios de creadores de directiva de grupo
Controladores de dominio de solo lectura
Controladores de dominio de solo lectura empresariales
Administradores del esquema
Administradores de la empresa
Servidores de Microsoft Exchange
Nota:
Hasta septiembre de 2018, Defender for Identity también consideró automáticamente que los usuarios de Escritorio remoto eran confidenciales. Las entidades o grupos de Escritorio remoto agregados después de esta fecha ya no se marcan automáticamente como confidenciales, mientras que las entidades o grupos de Escritorio remoto agregados antes de esta fecha pueden permanecer marcados como Confidenciales. Esta configuración confidencial ahora se puede cambiar manualmente.
Además de estos grupos, Defender for Identity identifica los siguientes servidores de recursos de alto valor y los etiqueta automáticamente como Confidenciales:
- Servidor de entidad de certificación
- Servidor DHCP
- Servidor DNS
- Microsoft Exchange Server
Contenido relacionado
Para obtener más información, consulte Investigar alertas de seguridad de Defender for Identity en Microsoft Defender XDR.