Clasificaciones predefinidas
Administración de exposición de seguridad proporciona un catálogo integrado de clasificaciones de recursos críticos predefinidas para los recursos que incluyen dispositivos, identidades y recursos en la nube.
Puede revisar y clasificar los recursos críticos, activarlos y desactivarlos según sea necesario.
Para sugerir nuevas clasificaciones de recursos críticos, use el botón Comentarios .
Los tipos de recursos actuales son:
Nota:
También usamos el contexto de importancia crítica recuperado de conectores de datos externos. Este contexto se presentará como clasificaciones en la biblioteca de clasificación de administración de recursos crítica predefinida.
Dispositivo
| Clasificación | Tipo de recurso | Nivel de importancia crítica predeterminado | Descripción |
|---|---|---|---|
| Microsoft Entra ID Conectar | Dispositivo | Alto | El servidor de Microsoft Entra ID Connect (anteriormente conocido como AAD Connect) es responsable de sincronizar las contraseñas y los datos del directorio local con el inquilino de Microsoft Entra ID. |
| ADCS | Dispositivo | Alto | El servidor ADCS permite a los administradores implementar completamente una infraestructura de clave pública (PKI) y emitir certificados digitales que se pueden usar para proteger varios recursos en una red. Además, ADCS se puede usar para varias soluciones de seguridad, como el cifrado SSL, la autenticación de usuario y el correo electrónico seguro. |
| ADFS | Dispositivo | Alto | El servidor ADFS proporciona a los usuarios acceso de inicio de sesión único a sistemas y aplicaciones ubicados a través de los límites de la organización. Usa un modelo de autorización de control de acceso basado en notificaciones para mantener la seguridad de la aplicación e implementar la identidad federada. |
| Copia de seguridad | Dispositivo | Mediano | El servidor de copia de seguridad es responsable de proteger los datos a través de copias de seguridad regulares, lo que garantiza la protección de datos y la preparación para la recuperación ante desastres. |
| Dispositivo de Administración de dominio | Dispositivo | Alto | Los dispositivos de administración de dominio son dispositivos en los que uno o varios de los administradores de dominio inician sesión con frecuencia. Es probable que estos dispositivos almacenen archivos, documentos y credenciales relacionados que usan los administradores de dominio. Nota: Aplicamos una lógica para identificar los dispositivos que pertenecen a un administrador en función de varios factores, incluido el uso frecuente de herramientas administrativas. |
| Controlador de dominio | Dispositivo | Muy alto | El servidor de controlador de dominio es responsable de la autenticación de usuarios, la autorización y la administración centralizada de los recursos de red dentro de un dominio de Active Directory. |
| DNS | Dispositivo | Bajo | El servidor DNS es esencial para resolver nombres de dominio en direcciones IP, lo que permite la comunicación de red y el acceso a los recursos tanto interna como externamente. |
| Exchange | Dispositivo | Mediano | Exchange Server es responsable de todo el tráfico de correo dentro de la organización. En función de la configuración y la arquitectura, cada servidor puede contener varias bases de datos de correo que almacenan información de la organización altamente confidencial. |
| Dispositivo de ti Administración | Dispositivo | Mediano | Los dispositivos críticos que se usan para configurar, administrar y supervisar los recursos de la organización son vitales para la administración de TI y corren un alto riesgo de ciberamenazas. Requieren seguridad de nivel superior para evitar el acceso no autorizado. Nota: Aplicamos una lógica para identificar los dispositivos que pertenecen a un administrador en función de varios factores, incluido el uso frecuente de herramientas administrativas. |
| Dispositivo de Administración de red | Dispositivo | Mediano | Los dispositivos críticos que se usan para configurar, administrar y supervisar los recursos de red de la organización son vitales para la administración de la red y corren un alto riesgo de ciberamenazas. Requieren seguridad de nivel superior para evitar el acceso no autorizado. Nota: Aplicamos una lógica para identificar los dispositivos que pertenecen a un administrador en función de varios factores, incluido el uso frecuente de herramientas administrativas. |
| VMware ESXi | Dispositivo | Alto | El hipervisor VMware ESXi es esencial para ejecutar y administrar máquinas virtuales dentro de la infraestructura. Como hipervisor sin sistema operativo, proporciona la base para crear y administrar recursos virtuales. |
| VMware vCenter | Dispositivo | Alto | VMware vCenter Server es fundamental para administrar entornos virtuales. Proporciona administración centralizada de máquinas virtuales y hosts ESXi. Si se produce un error, podría interrumpir la administración y el control de la infraestructura virtual, incluido el aprovisionamiento, la migración, el equilibrio de carga de las máquinas virtuales y la automatización del centro de datos. Sin embargo, dado que a menudo hay servidores vCenter redundantes y configuraciones de alta disponibilidad, es posible que no se produzca la interrupción inmediata de todas las operaciones. Su error todavía podría causar inconvenientes significativos y posibles problemas de rendimiento |
| Hyper-V Server | Dispositivo | Alto | El hipervisor de Hyper-V es esencial para ejecutar y administrar máquinas virtuales dentro de la infraestructura, y sirve como plataforma principal para su creación y administración. Si se produce un error en el host de Hyper-V, puede provocar la falta de disponibilidad de las máquinas virtuales hospedadas, lo que puede provocar tiempos de inactividad e interrumpir las operaciones empresariales. Además, puede provocar una degradación significativa del rendimiento y desafíos operativos. Por lo tanto, garantizar la confiabilidad y la estabilidad de los hosts de Hyper-V es fundamental para mantener operaciones sin problemas en un entorno virtual. |
Identidad
| Clasificación | Tipo de recurso | Nivel de importancia crítica predeterminado | Descripción |
|---|---|---|---|
| Identidad con rol con privilegios | Identidad | Alto | Las siguientes identidades (usuario, grupo, entidad de servicio o identidad administrada) tienen asignado un rol RBAC de Azure integrado o con privilegios personalizados, en el ámbito de la suscripción, que contiene un recurso crítico. El rol puede incluir permisos para asignaciones de roles de Azure, modificar directivas de Azure, ejecutar scripts en una máquina virtual mediante el comando Ejecutar, acceso de lectura a cuentas de almacenamiento y almacenes de claves, etc. |
| Administrador de la aplicación | Identidad | Muy alto | Las identidades de este rol pueden crear y administrar todos los aspectos de las aplicaciones empresariales, los registros de aplicaciones y la configuración del proxy de aplicación. |
| Desarrollador de la aplicación | Identidad | Alto | Las identidades de este rol pueden crear registros de aplicaciones independientemente de la configuración "Los usuarios pueden registrar aplicaciones". |
| Administrador de autenticación | Identidad | Muy alto | Las identidades de este rol pueden establecer y restablecer el método de autenticación (incluidas las contraseñas) para los usuarios que no son administradores. |
| Operadores de copia de seguridad | Identidad | Muy alto | Las identidades de este rol pueden realizar copias de seguridad y restaurar todos los archivos de un equipo, independientemente de los permisos que protejan esos archivos. Los operadores de copia de seguridad también pueden iniciar sesión en el equipo y apagarlo y realizar operaciones de copia de seguridad y restauración en controladores de dominio. |
| Operadores de servidor | Identidad | Muy alto | Las identidades de este rol pueden administrar controladores de dominio. Los miembros del grupo Operadores de servidor pueden realizar las siguientes acciones: iniciar sesión en un servidor de forma interactiva, crear y eliminar recursos compartidos de red, iniciar y detener servicios, realizar copias de seguridad y restaurar archivos, dar formato a la unidad de disco duro del equipo y apagar el equipo. |
| Administrador del conjunto de claves de IEF de B2C | Identidad | Alto | Las identidades de este rol pueden administrar secretos para la federación y el cifrado en Identity Experience Framework (IEF). |
| Administrador de aplicaciones en la nube | Identidad | Muy alto | Las identidades de este rol pueden crear y administrar todos los aspectos de los registros de aplicaciones y las aplicaciones empresariales, excepto App Proxy. |
| Administrador de dispositivos en la nube | Identidad | Alto | Las identidades de este rol tienen acceso limitado para administrar dispositivos en Microsoft Entra ID. Pueden habilitar, deshabilitar y eliminar dispositivos en Microsoft Entra ID y leer Windows 10 claves de BitLocker (si están presentes) en el Azure Portal. |
| Administrador de acceso condicional | Identidad | Alto | Las identidades de este rol tienen la capacidad de administrar Microsoft Entra configuración de acceso condicional. |
| Cuentas de sincronización de directorios | Identidad | Muy alto | Las identidades de este rol tienen la capacidad de administrar toda la configuración de sincronización de directorios. Solo debe ser utilizado por Microsoft Entra servicio Connect. |
| Escritores de directorios | Identidad | Alto | Las identidades de este rol pueden leer y escribir información básica del directorio. Para conceder acceso a aplicaciones, no destinadas a los usuarios. |
| Administrador de dominio | Identidad | Muy alto | Las identidades de este rol están autorizadas para administrar el dominio. De forma predeterminada, el grupo Administradores de dominio es miembro del grupo Administradores en todos los equipos que se han unido a un dominio, incluidos los controladores de dominio. |
| Administrador empresarial | Identidad | Muy alto | Las identidades de este rol tienen acceso completo a la configuración de todos los controladores de dominio. Los miembros de este grupo pueden modificar la pertenencia de todos los grupos administrativos. |
| Administrador global | Identidad | Muy alto | Las identidades de este rol pueden administrar todos los aspectos de Microsoft Entra ID y servicios de Microsoft que usan identidades de Microsoft Entra. |
| Lector global | Identidad | Alto | Las identidades de este rol pueden leer todo lo que un administrador global puede, pero no actualizar nada. |
| Administrador del servicio de asistencia | Identidad | Muy alto | Las identidades de este rol pueden restablecer contraseñas para administradores no administradores y administradores del departamento de soporte técnico. |
| Administrador de identidades híbridas | Identidad | Muy alto | Las identidades de este rol pueden administrar Active Directory para Microsoft Entra aprovisionamiento en la nube, Microsoft Entra Connect, autenticación de paso a través (PTA), sincronización de hash de contraseñas (PHS), inicio de sesión único de conexión directa (SSO de conexión directa) y configuración de federación. |
| Administrador de Intune | Identidad | Muy alto | Las identidades de este rol pueden administrar todos los aspectos del producto Intune. |
| Soporte técnico de nivel 1 para asociados | Identidad | Muy alto | Las identidades de este rol pueden restablecer las contraseñas de los usuarios que no son administradores, actualizar las credenciales de las aplicaciones, crear y eliminar usuarios y crear concesiones de permisos de OAuth2. Este rol ha quedado en desuso y se quitará de Microsoft Entra ID en el futuro. No usar: no está diseñado para uso general. |
| Soporte técnico de nivel 2 para asociados | Identidad | Muy alto | Las identidades de este rol pueden restablecer las contraseñas de todos los usuarios (incluidos los administradores globales), actualizar las credenciales de las aplicaciones, crear y eliminar usuarios y crear concesiones de permisos de OAuth2. Este rol ha quedado en desuso y se quitará de Microsoft Entra ID en el futuro. No usar: no está diseñado para uso general. |
| Administrador de contraseñas | Identidad | Muy alto | Las identidades de este rol pueden restablecer contraseñas para administradores no administradores y administradores de contraseñas. |
| Administrador de autenticación con privilegios | Identidad | Muy alto | Las identidades de este rol pueden ver, establecer y restablecer la información del método de autenticación para cualquier usuario (administrador o no administrador). |
| Administrador de roles con privilegios | Identidad | Muy alto | Las identidades de este rol pueden administrar las asignaciones de roles en Microsoft Entra ID y todos los aspectos de Privileged Identity Management. |
| Administrador de seguridad | Identidad | Alto | Las identidades de este rol pueden leer la información de seguridad y los informes, y administrar la configuración en Microsoft Entra ID y Office 365. |
| Operador de seguridad | Identidad | Alto | Las identidades de este rol pueden crear y administrar eventos de seguridad. |
| Lector de seguridad | Identidad | Alto | Las identidades de este rol pueden leer información de seguridad e informes en Microsoft Entra ID y Office 365. |
| Administrador de usuarios | Identidad | Muy alto | Las identidades de este rol pueden administrar todos los aspectos de los usuarios y grupos, incluido el restablecimiento de contraseñas para administradores limitados. |
| Administrador de Exchange | Identidad | Alto | Las identidades de este rol pueden administrar todos los aspectos del producto de Exchange. |
| Administrador de SharePoint | Identidad | Alto | Las identidades de este rol pueden administrar todos los aspectos del servicio de SharePoint. |
| Administrador de cumplimiento | Identidad | Alto | Las identidades de este rol pueden leer y administrar configuraciones e informes de cumplimiento en Microsoft Entra ID y Microsoft 365. |
| Administrador de Grupos | Identidad | Alto | Las identidades de este rol pueden crear o administrar grupos y configuraciones de grupo, como directivas de nomenclatura y expiración, y ver informes de auditoría y actividad de grupo. |
| Administrador del proveedor de identidades externo | Identidad | Muy alto | Las identidades de este rol pueden configurar proveedores de identidades para su uso en la federación directa. |
| Administrador de nombres de dominio | Identidad | Muy alto | Las identidades de este rol pueden administrar los nombres de dominio en la nube y en el entorno local. |
| Administrador de Administración de permisos | Identidad | Muy alto | Las identidades de este rol pueden administrar todos los aspectos de Administración de permisos de Microsoft Entra (EPM). |
| Administrador de facturación | Identidad | Alto | Las identidades de este rol pueden realizar tareas comunes relacionadas con la facturación, como actualizar la información de pago. |
| Administrador de licencias | Identidad | Alto | Las identidades de este rol pueden administrar licencias de productos en usuarios y grupos. |
| Administrador de Teams | Identidad | Alto | Las identidades de este rol pueden administrar el servicio Microsoft Teams. |
| administrador de flujo de usuario de Id. externa | Identidad | Alto | Las identidades de este rol pueden crear y administrar todos los aspectos de los flujos de usuario. |
| Id. externa administrador de atributos de flujo de usuario | Identidad | Alto | Las identidades de este rol pueden crear y administrar el esquema de atributo disponible para todos los flujos de usuario. |
| Administrador de directivas de IEF B2C | Identidad | Alto | Las identidades de este rol pueden crear y administrar directivas de marco de confianza en Identity Experience Framework (IEF). |
| Administrador de datos de cumplimiento | Identidad | Alto | Las identidades de este rol pueden crear y administrar contenido de cumplimiento. |
| Administrador de directivas de autenticación | Identidad | Alto | Las identidades de este rol pueden crear y administrar la directiva de métodos de autenticación, la configuración de MFA para todo el inquilino, la directiva de protección con contraseña y las credenciales verificables. |
| Administrador de información | Identidad | Alto | Las identidades de este rol pueden configurar el conocimiento, el aprendizaje y otras características inteligentes. |
| Responsable del conocimiento | Identidad | Alto | Las identidades de este rol pueden organizar, crear, administrar y promover temas y conocimientos. |
| Administrador de definición de atributos | Identidad | Alto | Las identidades de este rol pueden definir y administrar la definición de atributos de seguridad personalizados. |
| Administrador de asignación de atributos | Identidad | Alto | Las identidades de este rol pueden asignar claves y valores de atributos de seguridad personalizados a objetos Microsoft Entra admitidos. |
| Administrador de gobernanza de identidades | Identidad | Alto | Las identidades de este rol pueden administrar el acceso mediante Microsoft Entra ID para escenarios de gobernanza de identidades. |
| Administrador de Cloud App Security | Identidad | Alto | Las identidades de este rol pueden administrar todos los aspectos del producto Defender for Cloud Apps. |
| Administrador de Windows 365 | Identidad | Alto | Las identidades de este rol pueden aprovisionar y administrar todos los aspectos de los equipos en la nube. |
| Administrador de Yammer | Identidad | Alto | Las identidades de este rol pueden administrar todos los aspectos del servicio Yammer. |
| Administrador de extensibilidad de autenticación | Identidad | Alto | Las identidades de este rol pueden personalizar las experiencias de inicio de sesión y registro de los usuarios mediante la creación y administración de extensiones de autenticación personalizadas. |
| Administrador de flujos de trabajo de ciclo de vida | Identidad | Alto | Las identidades de este rol crean y administran todos los aspectos de los flujos de trabajo y las tareas asociados a los flujos de trabajo del ciclo de vida en Microsoft Entra ID. |
Recurso en la nube
| Clasificación | Tipo de recurso | Nivel de importancia crítica predeterminado | Descripción |
|---|---|---|---|
| Bases de datos con datos confidenciales | Recurso en la nube | Alto | Se trata de un almacén de datos que contiene datos confidenciales. La confidencialidad de los datos puede ir desde secretos, documentos confidenciales, información de identificación personal, etc. |
| Máquina virtual de Azure confidencial | Recurso en la nube | Alto | Esta regla se aplica a las máquinas virtuales confidenciales de Azure. Las máquinas virtuales confidenciales proporcionan un mayor aislamiento, privacidad y cifrado, y se usan para cargas de trabajo y datos críticos o altamente confidenciales. |
| Máquina virtual de Azure bloqueada | Recurso en la nube | Mediano | Se trata de una máquina virtual protegida por un bloqueo. Los bloqueos se usan para proteger los recursos frente a eliminaciones y modificaciones. Normalmente, los administradores usan bloqueos para proteger los recursos críticos de la nube en su entorno y para protegerlos de la eliminación accidental y las modificaciones no autorizadas. |
| Máquina virtual de Azure con alta disponibilidad y rendimiento | Recurso en la nube | Bajo | Esta regla se aplica a las máquinas virtuales de Azure que usan Azure Storage premium y están configuradas con un conjunto de disponibilidad. Premium Storage se usa para máquinas con requisitos de alto rendimiento, como cargas de trabajo de producción. Los conjuntos de disponibilidad mejoran la resistencia y a menudo se indican para las máquinas virtuales críticas para la empresa que necesitan alta disponibilidad. |
| Azure Storage inmutable | Recurso en la nube | Mediano | Esta regla se aplica a las cuentas de almacenamiento de Azure que tienen habilitada la compatibilidad con inmutabilidad. La inmutabilidad almacena los datos empresariales en un estado de escritura una vez leídos muchos (WORM) y, por lo general, indica que la cuenta de almacenamiento contiene datos críticos o confidenciales que deben protegerse de la modificación. |
| Azure Storage inmutable y bloqueado | Recurso en la nube | Alto | Esta regla se aplica a las cuentas de almacenamiento de Azure que tienen habilitada la compatibilidad con inmutabilidad con una directiva bloqueada. La inmutabilidad almacena los datos empresariales en una escritura una vez leídos muchos (WORM). La protección de datos aumenta con una directiva bloqueada para garantizar que los datos no se puedan eliminar o que se acorte su tiempo de retención. Esta configuración suele indicar que la cuenta de almacenamiento contiene datos críticos o confidenciales que deben protegerse frente a modificaciones o eliminaciones. Es posible que los datos también necesiten alinearse con las directivas de cumplimiento para la protección de datos. |
| Máquina virtual de Azure con un usuario crítico que ha iniciado sesión | Recurso en la nube | Alto | Esta regla se aplica a las máquinas virtuales protegidas por Defender para punto de conexión, donde un usuario con un nivel de crítica alto o muy alto ha iniciado sesión. El usuario que ha iniciado sesión puede ser a través de un dispositivo unido o registrado, una sesión activa del explorador u otros medios. |
| Azure Key Vaults con muchas identidades conectadas | Recurso en la nube | Alto | Esta regla identifica los almacenes de claves a los que se puede acceder mediante un gran número de identidades, en comparación con otros almacenes de claves. Esto suele indicar que las cargas de trabajo críticas usan la Key Vault, como los servicios de producción. |
| Clúster de Azure Kubernetes Service bloqueado | Recurso en la nube | Bajo | Se trata de un clúster de Azure Kubernetes Service que se protege mediante un bloqueo. Los bloqueos se usan para proteger los recursos frente a eliminaciones y modificaciones. Normalmente, los administradores usan bloqueos para proteger los recursos críticos de la nube en su entorno y para protegerlos de la eliminación accidental y las modificaciones no autorizadas. |
| Nivel Premium Azure Kubernetes Service clúster | Recurso en la nube | Alto | Esta regla se aplica a los clústeres de Azure Kubernetes Service con administración de clústeres de nivel Premium. Los niveles Premium se recomiendan para ejecutar cargas de trabajo de producción o críticas que necesitan alta disponibilidad y confiabilidad. |
| Azure Kubernetes Service clúster con varios nodos | Recurso en la nube | Alto | Esta regla se aplica a Azure Kubernetes Service clústeres con un gran número de nodos. Esto a menudo indica que el clúster se usa para cargas de trabajo críticas, como cargas de trabajo de producción. |
| Clúster de Kubernetes de Azure Arc con varios nodos | Recurso en la nube | Alto | Esta regla se aplica a los clústeres de Kubernetes de Azure Arc con un gran número de nodos. Esto a menudo indica que el clúster se usa para cargas de trabajo críticas, como cargas de trabajo de producción. |