Del via

Defender for Identitet-enhetskoder i Microsoft Defender XDR

  • Artikkel

Denne artikkelen beskriver hvordan du bruker Microsoft Defender for identitet enhetskoder, for sensitive kontoer, Exchange-servere eller honeytoken-kontoer.

  • Du må merke sensitive kontoer for Defender for identitetsgjenkjenninger som er avhengige av følsomhetsstatusen til en enhet, for eksempel sensitive endringsgjenkjenninger for grupper og sidebevegelsesbaner.

    Mens Defender for Identity automatisk merker Exchange-servere som sensitive ressurser med høy verdi, kan du også manuelt merke enheter som Exchange-servere.

  • Tag honeytoken kontoer for å sette feller for ondsinnede skuespillere. Siden honeytoken-kontoer vanligvis er sovende, utløser enhver godkjenning knyttet til en honeytoken-konto et varsel.

Forutsetninger

Hvis du vil angi Enhetskoder for Defender for Identitet i Microsoft Defender XDR, må du ha Defender for Identitet distribuert i miljøet ditt, og administrator- eller brukertilgang til Microsoft Defender XDR.

Hvis du vil ha mer informasjon, kan du se Microsoft Defender for identitet rollegrupper.

Merke enheter manuelt

Denne delen beskriver hvordan du merker en enhet manuelt, for eksempel for en honeytoken-konto, eller hvis enheten ikke automatisk er merket som Sensitive.

  1. Logg på Microsoft Defender XDR, og velgInnstillinger-identiteter>.

  2. Velg hvilken type kode du vil bruke: Sensitiv, Honeytoken eller Exchange-server.

    Siden viser enhetene som allerede er merket i systemet, oppført på separate faner for hver enhetstype:

    • Sensitive-koden støtter brukere, enheter og grupper.
    • Honeytoken-koden støtter brukere og enheter.
    • Exchange-serverkoden støtter bare enheter.

  3. Hvis du vil merke flere enheter, velger du Merke ... -knappen, for eksempel Merkebrukere. En rute åpnes til høyre og viser de tilgjengelige enhetene du kan merke.

  4. Bruk søkeboksen til å finne enheten hvis du trenger det. Velg enhetene du vil merke, og velg deretter Legg til valg.

Eksempel:

Skjermbilde av merking av brukerkontoer som sensitive.

Standard sensitive enheter

Gruppene i listen nedenfor anses som Sensitive av Defender for Identity. Alle enheter som er medlem av én av disse Active Directory-gruppene, inkludert nestede grupper og deres medlemmer, betraktes automatisk som sensitive:

  • Administratorer

  • Privilegerte brukere

  • Kontooperatorer

  • Serveroperatorer

  • Utskriftsoperatorer

  • Sikkerhetskopioperatorer

  • Replikatorer

  • Nettverkskonfigurasjonsoperatorer

  • Innkommende skogklareringsbyggere

  • Domeneadministratorer

  • Domenekontrollere

  • gruppepolicy Creator-eiere

  • Skrivebeskyttede domenekontrollere

  • Skrivebeskyttede domenekontrollere for virksomheter

  • Skjemaadministratorer

  • Bedriftsadministratorer

  • Microsoft Exchange-servere

    Obs!

    Frem til september 2018 ble brukere av eksternt skrivebord også automatisk ansett som sensitive av Defender for Identity. Enheter eller grupper for eksternt skrivebord som er lagt til etter denne datoen, merkes ikke lenger automatisk som sensitive, mens enheter eller grupper for eksternt skrivebord som er lagt til før denne datoen, forblir merket som Sensitive. Denne sensitive innstillingen kan nå endres manuelt.

I tillegg til disse gruppene identifiserer Defender for Identity følgende aktivaservere med høy verdi og merker dem automatisk som sensitive:

  • Sertifiseringsinstansserver
  • DHCP-server
  • DNS-server
  • Microsoft Exchange Server

Beslektet innhold

Hvis du vil ha mer informasjon, kan du se Undersøke sikkerhetsvarsler for Defender for identitet i Microsoft Defender XDR.