Udostępnij za pośrednictwem

Tagi jednostek usługi Defender for Identity w Microsoft Defender XDR

  • Artykuł

W tym artykule opisano sposób stosowania tagów jednostek Microsoft Defender for Identity w przypadku kont poufnych, serwera exchange lub kont z błędem honeytoken.

  • Należy oznaczyć poufne konta dla wykrywania tożsamości usługi Defender, które opierają się na stanie poufności jednostki, takim jak wykrywanie modyfikacji grupy wrażliwej i ścieżki ruchu bocznego.

    Usługa Defender for Identity automatycznie taguje serwery exchange jako zasoby o wysokiej wartości i poufnych elementach zawartości, ale można również ręcznie oznaczać urządzenia jako serwery programu Exchange.

  • Otaguj konta honeytoken, aby ustawić pułapki dla złośliwych aktorów. Ponieważ konta honeytoken są zwykle uśpione, każde uwierzytelnianie skojarzone z kontem z honeytoken wyzwala alert.

Wymagania wstępne

Aby ustawić tagi jednostek usługi Defender for Identity w Microsoft Defender XDR, musisz wdrożyć usługę Defender for Identity w twoim środowisku oraz dostęp administratora lub użytkownika do Microsoft Defender XDR.

Aby uzyskać więcej informacji, zobacz Microsoft Defender for Identity grupy ról.

Ręczne tagowanie jednostek

W tej sekcji opisano sposób ręcznego tagowania jednostki, na przykład w przypadku konta z honeytokenem, lub jeśli jednostka nie została automatycznie oznaczona jako Wrażliwa.

  1. Zaloguj się do Microsoft Defender XDR i wybierz pozycję Ustawienia>Tożsamości.

  2. Wybierz typ tagu, który chcesz zastosować: Sensitive, Honeytoken lub Exchange Server.

    Na stronie wymieniono jednostki już oznaczone w systemie, wymienione na oddzielnych kartach dla każdego typu jednostki:

    • Tag Poufne obsługuje użytkowników, urządzenia i grupy.
    • Tag Honeytoken obsługuje użytkowników i urządzenia.
    • Tag serwera Exchange obsługuje tylko urządzenia.

  3. Aby oznaczyć dodatkowe jednostki, wybierz przycisk Taguj ... , na przykład Taguj użytkowników. Po prawej stronie zostanie otwarte okienko z listą dostępnych jednostek do otagowania.

  4. Użyj pola wyszukiwania, aby znaleźć jednostkę, jeśli to konieczne. Wybierz jednostki, które chcesz oznaczyć tagiem, a następnie wybierz pozycję Dodaj zaznaczenie.

Przykład:

Zrzut ekranu przedstawiający oznaczanie kont użytkowników jako poufnych.

Domyślne jednostki poufne

Grupy na poniższej liście są uważane za wrażliwe przez usługę Defender for Identity. Każda jednostka należąca do jednej z tych grup usługi Active Directory, w tym grupy zagnieżdżone i ich członkowie, jest automatycznie uznawana za wrażliwą:

  • Administratorzy

  • Power Users

  • Operatory kont

  • Operatory serwera

  • Operatory drukowania

  • Operatory kopii zapasowych

  • Replikatorzy

  • Operatory konfiguracji sieci

  • Przychodzący konstruktorzy zaufania lasu

  • Domain Admins

  • Kontrolery domeny

  • właściciele twórców zasady grupy

  • Kontrolery domeny tylko do odczytu

  • Kontrolery domeny tylko do odczytu w przedsiębiorstwie

  • Schema Admins

  • Enterprise Admins

  • Microsoft Exchange Servers

    Uwaga

    Do września 2018 r. użytkownicy pulpitu zdalnego również byli automatycznie uważani za wrażliwych przez usługę Defender for Identity. Jednostki lub grupy pulpitu zdalnego dodane po tej dacie nie są już automatycznie oznaczane jako poufne, podczas gdy jednostki lub grupy pulpitu zdalnego dodane przed tą datą mogą pozostać oznaczone jako Wrażliwe. To ustawienie wrażliwe można teraz zmienić ręcznie.

Oprócz tych grup usługa Defender for Identity identyfikuje następujące serwery zasobów o wysokiej wartości i automatycznie oznacza je jako wrażliwe:

  • Serwer urzędu certyfikacji
  • DHCP Server
  • Serwer DNS
  • Microsoft Exchange Server

Zawartość pokrewna

Aby uzyskać więcej informacji, zobacz Badanie alertów zabezpieczeń usługi Defender for Identity w Microsoft Defender XDR.