Tagi jednostek usługi Defender for Identity w Microsoft Defender XDR
W tym artykule opisano sposób stosowania tagów jednostek Microsoft Defender for Identity w przypadku kont poufnych, serwera exchange lub kont z błędem honeytoken.
Należy oznaczyć poufne konta dla wykrywania tożsamości usługi Defender, które opierają się na stanie poufności jednostki, takim jak wykrywanie modyfikacji grupy wrażliwej i ścieżki ruchu bocznego.
Usługa Defender for Identity automatycznie taguje serwery exchange jako zasoby o wysokiej wartości i poufnych elementach zawartości, ale można również ręcznie oznaczać urządzenia jako serwery programu Exchange.
Otaguj konta honeytoken, aby ustawić pułapki dla złośliwych aktorów. Ponieważ konta honeytoken są zwykle uśpione, każde uwierzytelnianie skojarzone z kontem z honeytoken wyzwala alert.
Wymagania wstępne
Aby ustawić tagi jednostek usługi Defender for Identity w Microsoft Defender XDR, musisz wdrożyć usługę Defender for Identity w twoim środowisku oraz dostęp administratora lub użytkownika do Microsoft Defender XDR.
Aby uzyskać więcej informacji, zobacz Microsoft Defender for Identity grupy ról.
Ręczne tagowanie jednostek
W tej sekcji opisano sposób ręcznego tagowania jednostki, na przykład w przypadku konta z honeytokenem, lub jeśli jednostka nie została automatycznie oznaczona jako Wrażliwa.
Zaloguj się do Microsoft Defender XDR i wybierz pozycję Ustawienia>Tożsamości.
Wybierz typ tagu, który chcesz zastosować: Sensitive, Honeytoken lub Exchange Server.
Na stronie wymieniono jednostki już oznaczone w systemie, wymienione na oddzielnych kartach dla każdego typu jednostki:
- Tag Poufne obsługuje użytkowników, urządzenia i grupy.
- Tag Honeytoken obsługuje użytkowników i urządzenia.
- Tag serwera Exchange obsługuje tylko urządzenia.
Aby oznaczyć dodatkowe jednostki, wybierz przycisk Taguj ... , na przykład Taguj użytkowników. Po prawej stronie zostanie otwarte okienko z listą dostępnych jednostek do otagowania.
Użyj pola wyszukiwania, aby znaleźć jednostkę, jeśli to konieczne. Wybierz jednostki, które chcesz oznaczyć tagiem, a następnie wybierz pozycję Dodaj zaznaczenie.
Przykład:
Domyślne jednostki poufne
Grupy na poniższej liście są uważane za wrażliwe przez usługę Defender for Identity. Każda jednostka należąca do jednej z tych grup usługi Active Directory, w tym grupy zagnieżdżone i ich członkowie, jest automatycznie uznawana za wrażliwą:
Administratorzy
Power Users
Operatory kont
Operatory serwera
Operatory drukowania
Operatory kopii zapasowych
Replikatorzy
Operatory konfiguracji sieci
Przychodzący konstruktorzy zaufania lasu
Domain Admins
Kontrolery domeny
właściciele twórców zasady grupy
Kontrolery domeny tylko do odczytu
Kontrolery domeny tylko do odczytu w przedsiębiorstwie
Schema Admins
Enterprise Admins
Microsoft Exchange Servers
Uwaga
Do września 2018 r. użytkownicy pulpitu zdalnego również byli automatycznie uważani za wrażliwych przez usługę Defender for Identity. Jednostki lub grupy pulpitu zdalnego dodane po tej dacie nie są już automatycznie oznaczane jako poufne, podczas gdy jednostki lub grupy pulpitu zdalnego dodane przed tą datą mogą pozostać oznaczone jako Wrażliwe. To ustawienie wrażliwe można teraz zmienić ręcznie.
Oprócz tych grup usługa Defender for Identity identyfikuje następujące serwery zasobów o wysokiej wartości i automatycznie oznacza je jako wrażliwe:
- Serwer urzędu certyfikacji
- DHCP Server
- Serwer DNS
- Microsoft Exchange Server
Zawartość pokrewna
Aby uzyskać więcej informacji, zobacz Badanie alertów zabezpieczeń usługi Defender for Identity w Microsoft Defender XDR.