Etiquetas de entidade do Defender para Identidade no Microsoft Defender XDR
Este artigo descreve como aplicar Microsoft Defender para Identidade etiquetas de entidade para contas confidenciais, do Exchange Server ou honeytoken.
Tem de etiquetar contas confidenciais para deteções do Defender para Identidade que dependem da confidencialidade de uma entidade status, como deteções de modificação de grupos confidenciais e caminhos de movimento lateral.
Enquanto o Defender para Identidade identifica automaticamente os servidores do Exchange como ativos confidenciais de valor elevado, também pode etiquetar manualmente os dispositivos como servidores do Exchange.
Marque contas honeytoken para definir armadilhas para atores maliciosos. Uma vez que as contas honeytoken estão normalmente inativas, qualquer autenticação associada a uma conta honeytoken aciona um alerta.
Pré-requisitos
Para definir etiquetas de entidade do Defender para Identidade no Microsoft Defender XDR, precisará do Defender para Identidade implementado no seu ambiente e de acesso de administrador ou utilizador a Microsoft Defender XDR.
Para obter mais informações, veja Microsoft Defender para Identidade grupos de funções.
Etiquetar entidades manualmente
Esta secção descreve como etiquetar uma entidade manualmente, como para uma conta honeytoken, ou se a sua entidade não tiver sido automaticamente etiquetada como Confidencial.
Inicie sessão no Microsoft Defender XDR e selecione Definições Identidades>.
Selecione o tipo de etiqueta que pretende aplicar: Sensível, Honeytoken ou Servidor Exchange.
A página lista as entidades já etiquetadas no seu sistema, listadas em separadores separados para cada tipo de entidade:
- A etiqueta Confidencial suporta utilizadores, dispositivos e grupos.
- A etiqueta Honeytoken suporta utilizadores e dispositivos.
- A etiqueta de servidor do Exchange suporta apenas dispositivos.
Para etiquetar entidades adicionais, selecione o botão Etiquetar ... como Utilizadores de etiquetas. É aberto um painel à direita a listar as entidades disponíveis para etiquetar.
Utilize a caixa de pesquisa para localizar a sua entidade, se necessário. Selecione as entidades que pretende etiquetar e, em seguida, selecione Adicionar seleção.
Por exemplo:
Entidades confidenciais predefinidas
Os grupos na lista seguinte são considerados Confidenciais pelo Defender para Identidade. Qualquer entidade que seja membro de um destes grupos do Active Directory, incluindo grupos aninhados e respetivos membros, é automaticamente considerada confidencial:
Administradores
Utilizadores Ativos
Operadores de Conta
Operadores de Servidor
Operadores de Impressão
Operadores de backup
Replicadores
Operadores de Configuração de Rede
Construtores de Fidedignidade de Floresta de Entrada
Admins de domínio
Controladores de Domínio
Proprietários do Política de Grupo Creator
Controladores de Domínio Só de Leitura
Controladores de Domínio Só de Leitura empresariais
Administradores de esquemas
Admins corporativos
Microsoft Exchange Servers
Observação
Até setembro de 2018, os Utilizadores do Ambiente de Trabalho Remoto também eram automaticamente considerados confidenciais pelo Defender para Identidade. As entidades ou grupos de Ambiente de Trabalho Remoto adicionados após esta data já não são marcados automaticamente como confidenciais, enquanto as entidades ou grupos de Ambiente de Trabalho Remoto adicionados antes desta data podem permanecer marcados como Confidenciais. Esta definição Confidencial pode agora ser alterada manualmente.
Além destes grupos, o Defender para Identidade identifica os seguintes servidores de ativos de valor elevado e identifica-os automaticamente como Confidenciais:
- Servidor de Autoridade de Certificação
- Servidor DHCP
- Servidor DNS
- Microsoft Exchange Server
Conteúdo relacionado
Para obter mais informações, veja Investigar alertas de segurança do Defender para Identidade no Microsoft Defender XDR.