Sdílet prostřednictvím

Značky entit služby Defender for Identity v Microsoft Defender XDR

  • Článek

Tento článek popisuje, jak použít Microsoft Defender for Identity značky entit pro citlivé účty, exchange server nebo účty honeytoken.

  • Musíte označit citlivé účty pro detekce Defenderu for Identity, které závisí na stavu citlivosti entity, jako jsou detekce citlivých změn skupin a cesty laterálního pohybu.

    I když Defender for Identity automaticky označí servery Exchange jako vysoce hodnotné a citlivé prostředky, zařízení můžete označit také ručně jako servery Exchange.

  • Označte účty honeytokenu a nastavte pasti pro škodlivé aktéry. Vzhledem k tomu, že účty honeytokenu jsou obvykle neaktivní, jakékoli ověřování přidružené k účtu honeytoken aktivuje upozornění.

Požadavky

Pokud chcete nastavit značky entit Defenderu for Identity v Microsoft Defender XDR, budete potřebovat Defender for Identity nasazený ve vašem prostředí a přístup správce nebo uživatele k Microsoft Defender XDR.

Další informace najdete v tématu Microsoft Defender for Identity skupin rolí.

Ruční označení entit

Tato část popisuje, jak ručně označit entitu, například pro účet honeytokenu, nebo jestli vaše entita není automaticky označená jako citlivá.

  1. Přihlaste se k Microsoft Defender XDR a vyberte Identity nastavení>.

  2. Vyberte typ značky, kterou chcete použít: Citlivý server, Honeytoken nebo Server Exchange.

    Stránka obsahuje seznam entit, které už jsou ve vašem systému označené a jsou uvedené na samostatných kartách pro každý typ entity:

    • Značka Citlivé podporuje uživatele, zařízení a skupiny.
    • Značka Honeytoken podporuje uživatele a zařízení.
    • Značka serveru Exchange podporuje pouze zařízení.

  3. Pokud chcete označit další entity, vyberte tlačítko Značka ... , například Označit uživatele. Vpravo se otevře podokno se seznamem dostupných entit, které můžete označit.

  4. Pokud potřebujete, vyhledejte entitu pomocí vyhledávacího pole. Vyberte entity, které chcete označit, a pak vyberte Přidat výběr.

Příklady:

Snímek obrazovky s označováním uživatelských účtů jako citlivých

Výchozí citlivé entity

Skupiny v následujícím seznamu považuje Defender for Identity za citlivé . Každá entita, která je členem jedné z těchto skupin Active Directory, včetně vnořených skupin a jejich členů, se automaticky považuje za citlivou:

  • Správci

  • Power Users

  • Operátory účtů

  • Serverové operátory

  • Operátory tisku

  • Backup Operators

  • Replikátory

  • Operátory konfigurace sítě

  • Příchozí tvůrci důvěryhodnosti doménové struktury

  • Správci domény

  • Řadiče domény

  • Zásady skupiny Creator Owners

  • Řadiče domény jen pro čtení

  • Podnikové řadiče domény jen pro čtení

  • Správci schématu

  • Podnikoví správci

  • Servery Microsoft Exchange

    Poznámka

    Až do září 2018 byli uživatelé vzdálené plochy automaticky považováni za citlivé také Defender for Identity. Entity nebo skupiny Vzdálené plochy přidané po tomto datu už nejsou automaticky označené jako citlivé, zatímco entity nebo skupiny vzdálené plochy přidané před tímto datem můžou zůstat označené jako citlivé. Toto citlivé nastavení je teď možné změnit ručně.

Kromě těchto skupin defender for Identity identifikuje následující servery prostředků s vysokou hodnotou a automaticky je označí jako citlivé:

  • Server certifikační autority
  • DHCP Server
  • DNS Server
  • Microsoft Exchange Server

Související obsah

Další informace najdete v tématu Zkoumání výstrah zabezpečení služby Defender for Identity v Microsoft Defender XDR.