Cuentas honey

Rol de usuario obligatorio: administrador en la máquina local

Una cuenta honey es una cuenta señuelo cuyo único fin es detectar a un atacante que intenta poner en riesgo la red a través de la instancia de Active Directory.

Es requisito previo que la funcionalidad de indicadores de ataque de Tenable Identity Exposure detecte intentos de explotación de Kerberoasting que buscan obtener acceso a cuentas de servicio mediante la solicitud y extracción de tickets de servicio para luego descifrar las credenciales de la cuenta de servicio sin conexión. El indicador de ataque Kerberoasting envía alertas cuando la cuenta honey recibe intentos de inicio de sesión o solicitudes de tickets.

Se asocia una cuenta honey por dominio. Las cuentas honey no se relacionan con los perfiles de seguridad.

  1. En Tenable Identity Exposure, haga clic en Sistema > Gestión de dominios.

    Aparece el panel Gestión de dominios.

  2. Pase el cursor por el dominio para el que quiere agregar una cuenta honey.

  3. Bajo Estado de configuración de la cuenta honey, haga clic en +.

    Aparece el panel Agregar una cuenta honey.

  4. En el cuadro Nombre, escriba un nombre distintivo (DN) para la cuenta de usuario que se usará como cuenta honey.

    Sugerencia: Puede escribir cualquier cadena para que Tenable Identity Exposure busque y muestre los nombres de las cuentas de usuario coincidentes en el cuadro desplegable si esa cuenta de usuario ya existe en Active Directory.

  5. En la sección Implementación, Tenable Identity Exposure genera un script con las opciones adecuadas para que lo ejecute para implementar la cuenta honey. Haga clic en para copiar este script.

  6. Haga clic en Agregar.

    Aparece un mensaje para confirmar que Tenable Identity Exposure agregó la cuenta honey. En el panel “Gestión de dominios”, el valor de Estado de configuración de la cuenta honey del dominio seleccionado aparece en naranja () para indicar que tiene que ejecutar el script de implementación de la cuenta honey para activarla.

    Nota: Si el valor de Estado de configuración de la cuenta honey aparece en rojo (), es señal de que Tenable Identity Exposure no encontró esta cuenta de usuario en Active Directory. Tiene que crear esta cuenta de usuario y continuar con el siguiente paso.

  7. En Windows PowerShell, en una máquina con el módulo de Active Directory, ejecute el script de implementación de la cuenta honey que copió.

    En el panel Gestión de dominios, el valor de Estado de configuración de la cuenta honey del dominio seleccionado aparece con un estado verde () para indicar que está activa.

    Nota: Tenable Identity Exposure puede tardar algún tiempo en procesar y activar la cuenta honey.

  1. En Tenable Identity Exposure, haga clic en Sistema > Gestión de dominios.

    Aparece el panel Gestión de dominios.

  2. Pase el cursor por el dominio para el que quiere agregar una cuenta honey.

  3. En Estado de configuración de la cuenta honey, haga clic en el ícono a la derecha.

    Aparece el panel Editar una cuenta honey.

  4. En el cuadro Nombre, modifique la cuenta de usuario según sea necesario.

  5. En la sección Implementación, haga clic en para copiar el script de implementación de la cuenta honey.

  6. Haga clic en Editar.

    Aparece un mensaje para confirmar que Tenable Identity Exposure actualizó la cuenta honey. En el panel “Gestión de dominios”, el valor de Estado de configuración de la cuenta honey del dominio seleccionado aparece en naranja () para indicar que tiene que ejecutar el script de implementación de la cuenta honey para activarla.

    Nota: Si el valor de Estado de configuración de la cuenta honey aparece en rojo (), es señal de que Tenable Identity Exposure no encontró esta cuenta de usuario en Active Directory. Tiene que crear esta cuenta de usuario y continuar con el siguiente paso.

  7. En Windows PowerShell, en una máquina con el módulo de Active Directory, ejecute el script de implementación de la cuenta honey que copió.

    En el panel Gestión de dominios, el valor de Estado de configuración de la cuenta honey del dominio seleccionado aparece con un estado verde () para indicar que está configurada.

    Nota: Tenable Identity Exposure puede tardar algún tiempo en procesar y activar la cuenta honey.

  1. En Tenable Identity Exposure, haga clic en Sistema > Gestión de dominios.

    Aparece el panel Gestión de dominios.

  2. Pase el cursor por el dominio para el que quiere agregar una cuenta honey.

  3. En Estado de configuración de la cuenta honey, haga clic en el ícono a la derecha.

    Aparece el panel Editar una cuenta honey.

  4. Haga clic en Eliminar.

    Aparece un mensaje para confirmar que Tenable Identity Exposure eliminó la cuenta honey.

Consulte también