Delen via

Defender for Identity-entiteitstags in Microsoft Defender XDR

  • Artikel

In dit artikel wordt beschreven hoe u Microsoft Defender for Identity entiteitstags toepast voor gevoelige, Exchange-server- of honeytoken-accounts.

  • U moet gevoelige accounts taggen voor Defender for Identity-detecties die afhankelijk zijn van de gevoeligheidsstatus van een entiteit, zoals detecties van gevoelige groepswijziging en laterale verplaatsingspaden.

    Hoewel Defender voor Identity Exchange-servers automatisch tagt als waardevolle, gevoelige assets, kunt u apparaten ook handmatig taggen als Exchange-servers.

  • Tag honeytoken-accounts om traps in te stellen voor kwaadwillende actoren. Omdat honeytoken-accounts meestal inactief zijn, activeert elke verificatie die is gekoppeld aan een honeytoken-account een waarschuwing.

Vereisten

Als u Defender for Identity-entiteitstags in Microsoft Defender XDR wilt instellen, moet Defender for Identity zijn geïmplementeerd in uw omgeving en moet u beheerders- of gebruikerstoegang tot Microsoft Defender XDR.

Zie Microsoft Defender for Identity rolgroepen voor meer informatie.

Entiteiten handmatig taggen

In deze sectie wordt beschreven hoe u een entiteit handmatig kunt taggen, bijvoorbeeld voor een honeytoken-account, of als uw entiteit niet automatisch is getagd als Gevoelig.

  1. Meld u aan bij Microsoft Defender XDR en selecteer Instellingen>Identiteiten.

  2. Selecteer het type tag dat u wilt toepassen: Gevoelig, Honeytoken of Exchange-server.

    De pagina bevat de entiteiten die al in uw systeem zijn getagd, op afzonderlijke tabbladen voor elk entiteitstype:

    • De tag Vertrouwelijk ondersteunt gebruikers, apparaten en groepen.
    • De Honeytoken-tag ondersteunt gebruikers en apparaten.
    • De Exchange-servertag ondersteunt alleen apparaten.

  3. Als u extra entiteiten wilt taggen, selecteert u de knop Tag... zoals Gebruikers taggen. Aan de rechterkant wordt een deelvenster geopend met de beschikbare entiteiten die u kunt taggen.

  4. Gebruik het zoekvak om uw entiteit te vinden als dat nodig is. Selecteer de entiteiten die u wilt taggen en selecteer vervolgens Selectie toevoegen.

Bijvoorbeeld:

Schermopname van het taggen van gebruikersaccounts als gevoelig.

Standaard gevoelige entiteiten

De groepen in de volgende lijst worden beschouwd als gevoelig door Defender for Identity. Elke entiteit die lid is van een van deze Active Directory-groepen, inclusief geneste groepen en hun leden, wordt automatisch als gevoelig beschouwd:

  • Beheerders

  • Power Users

  • Accountoperators

  • Serveroperators

  • Afdrukoperators

  • Back-upoperators

  • Replicators

  • Netwerkconfiguratieoperators

  • Binnenkomende Forest Trust Builders

  • Domain Admins

  • Domeincontrollers

  • eigenaren van groepsbeleid creator

  • Alleen-lezen domeincontrollers

  • Alleen-lezen domeincontrollers voor ondernemingen

  • Schema Admins

  • Enterprise Admins

  • Microsoft Exchange-servers

    Opmerking

    Tot september 2018 werden gebruikers van extern bureaublad ook automatisch als gevoelig beschouwd door Defender for Identity. Extern bureaublad-entiteiten of -groepen die na deze datum zijn toegevoegd, worden niet meer automatisch gemarkeerd als gevoelig, terwijl Extern bureaublad-entiteiten of -groepen die vóór deze datum zijn toegevoegd, mogelijk als Gevoelig blijven gemarkeerd. Deze gevoelige instelling kan nu handmatig worden gewijzigd.

Naast deze groepen identificeert Defender for Identity de volgende waardevolle assetservers en tagt deze automatisch als Gevoelig:

  • Certificeringsinstantieserver
  • DHCP-server
  • DNS-server
  • Microsoft Exchange Server

Verwante onderwerpen

Zie Defender for Identity-beveiligingswaarschuwingen onderzoeken in Microsoft Defender XDR voor meer informatie.