Jaa

Defender for Identity -entiteettitunnisteet Microsoft Defender XDR

  • Artikkeli

Tässä artikkelissa kuvataan, miten voit käyttää Microsoft Defender for Identity entiteettitunnisteita luottamuksellisissa Exchange-palvelimessa tai honeytoken-tileissä.

  • Sinun on tunnistettava luottamukselliset tilit Defenderille käyttäjätietojen tunnistuksia varten, jotka ovat riippuvaisia entiteetin luottamuksellisuustilasta, kuten luottamukselliset ryhmämuokkaustunnukset ja sivuttaiset siirtopolut.

    Vaikka Defender for Identity merkitsee Exchange-palvelimet automaattisesti arvokkaiksi ja luottamuksellisiksi resursseiksi, voit myös merkitä laitteita manuaalisesti Exchange-palvelimina.

  • Merkitse honeytoken-tilit asettamaan kohdistusvarat haitallisille näyttelijöille. Koska hunajatunnustilit ovat yleensä lepotilassa, kaikki hunajatunnustiliin liittyvät todennukset käynnistävät hälytyksen.

Ennakkovaatimukset

Jotta voit määrittää Defender for Identity -entiteettitunnisteet Microsoft Defender XDR, tarvitset Defender for Identityn käyttöön ympäristössäsi ja järjestelmänvalvojan tai käyttäjän Microsoft Defender XDR.

Lisätietoja on artikkelissa Microsoft Defender for Identity rooliryhmät.

Entiteettien merkitseminen manuaalisesti

Tässä osiossa kuvataan, miten voit merkitä entiteetin manuaalisesti, esimerkiksi honeytoken-tiliä varten, tai jos entiteettiä ei ole merkitty automaattisesti Luottamukselliseksi.

  1. Kirjaudu sisään Microsoft Defender XDR ja valitse Asetukset Käyttäjätiedot>.

  2. Valitse käytettävän tunnisteen tyyppi: Sensitive, Honeytoken tai Exchange Server.

    Sivulla on luettelo entiteeteistä, jotka on jo merkitty järjestelmääsi. Ne on lueteltu kunkin entiteettityypin erillisissä välilehdissä:

    • Sensitive-tunniste tukee käyttäjiä, laitteita ja ryhmiä.
    • Honeytoken-tunniste tukee käyttäjiä ja laitteita.
    • Exchange-palvelintunniste tukee vain laitteita.

  3. Jos haluat merkitä lisää entiteettejä, valitse Tunniste ... -painike, kuten Merkitse käyttäjät. Oikealle avautuu ruutu, jossa luetellaan käytettävissä olevat entiteetit, joihin voit lisätä tunnisteen.

  4. Etsi tarvittaessa entiteetti hakuruudun avulla. Valitse tunnisteet sisältävät entiteetit ja valitse sitten Lisää valinta.

Esimerkki:

Näyttökuva käyttäjätilien merkitsemisestä luottamuksellisiksi.

Luottamukselliset oletusentiteetit

Defender pitää seuraavan luettelon ryhmiä Luottamuksellisina käyttäjätietojen osalta. Mitä tahansa entiteettiä, joka on jonkin näiden Active Directory -ryhmien jäsen, mukaan lukien sisäkkäisten ryhmien ja niiden jäsenten, pidetään automaattisesti luottamuksellisena:

  • Järjestelmänvalvojat

  • Tehokäyttäjät

  • Tilioperaattorit

  • Palvelinoperaattorit

  • Tulostusoperaattorit

  • Varmuuskopiointioperaattorit

  • Replikaattorit

  • Verkkomääritysoperaattorit

  • Saapuvat Forest Trust -valvojat

  • Toimialueen järjestelmänvalvojat

  • Toimialueen ohjauskoneet

  • ryhmäkäytäntö sisällöntuottajien omistajat

  • Vain luku -toimialueen ohjauskoneet

  • Yrityksen vain luku -toimialueen ohjauskoneet

  • Rakenteen järjestelmänvalvojat

  • Yrityksen järjestelmänvalvojat

  • Microsoft Exchange -palvelimet

    Huomautus

    Syyskuuhun 2018 asti Defender piti myös etätyöpöytäkäyttäjiä automaattisesti luottamuksellisina käyttäjätietojen osalta. Tämän päivämäärän jälkeen lisättyjä etätyöpöydän entiteettejä tai ryhmiä ei enää merkitä automaattisesti herkiksi, kun taas tähän päivämäärään mennessä lisätyt etätyöpöydän entiteetit tai ryhmät saattavat pysyä luottamuksellisina. Tätä Arkaluontoinen-asetusta voi nyt muuttaa manuaalisesti.

Näiden ryhmien lisäksi Defender for Identity tunnistaa seuraavat suuren arvon resurssipalvelimet ja merkitsee ne automaattisesti luottamuksellisiksi:

  • Varmenteen myöntäjän palvelin
  • DHCP-palvelin
  • DNS-palvelin
  • Microsoft Exchange Server

Aiheeseen liittyvä sisältö

Lisätietoja on artikkelissa Tutki Defender for Identityn suojaushälytyksiä Microsoft Defender XDR.