Etiquetas de entidade do Defender para Identidade no Microsoft Defender XDR
Este artigo descreve como aplicar Microsoft Defender para Identidade etiquetas de entidade para contas confidenciais, do Exchange Server ou honeytoken.
Tem de etiquetar contas confidenciais para deteções do Defender para Identidade que dependem do estado de confidencialidade de uma entidade, como deteções de modificação de grupos confidenciais e caminhos de movimento lateral.
Enquanto o Defender para Identidade identifica automaticamente os servidores do Exchange como ativos confidenciais de valor elevado, também pode etiquetar manualmente os dispositivos como servidores do Exchange.
Marque contas honeytoken para definir armadilhas para atores maliciosos. Uma vez que as contas honeytoken estão normalmente inativas, qualquer autenticação associada a uma conta honeytoken aciona um alerta.
Pré-requisitos
Para definir etiquetas de entidade do Defender para Identidade no Microsoft Defender XDR, precisará do Defender para Identidade implementado no seu ambiente e de acesso de administrador ou utilizador a Microsoft Defender XDR.
Para obter mais informações, veja Microsoft Defender para Identidade grupos de funções.
Etiquetar entidades manualmente
Esta secção descreve como etiquetar uma entidade manualmente, como para uma conta honeytoken, ou se a sua entidade não tiver sido automaticamente etiquetada como Confidencial.
Inicie sessão no Microsoft Defender XDR e selecione Definições Identidades>.
Selecione o tipo de etiqueta que pretende aplicar: Sensível, Honeytoken ou Servidor Exchange.
A página lista as entidades já etiquetadas no seu sistema, listadas em separadores separados para cada tipo de entidade:
- A etiqueta Confidencial suporta utilizadores, dispositivos e grupos.
- A etiqueta Honeytoken suporta utilizadores e dispositivos.
- A etiqueta de servidor do Exchange suporta apenas dispositivos.
Para etiquetar entidades adicionais, selecione o botão Etiquetar ... como Utilizadores de etiquetas. É aberto um painel à direita a listar as entidades disponíveis para etiquetar.
Utilize a caixa de pesquisa para localizar a sua entidade, se necessário. Selecione as entidades que pretende etiquetar e, em seguida, selecione Adicionar seleção.
Por exemplo:
Entidades confidenciais predefinidas
Os grupos na lista seguinte são considerados Confidenciais pelo Defender para Identidade. Qualquer entidade que seja membro de um destes grupos do Active Directory, incluindo grupos aninhados e respetivos membros, é automaticamente considerada confidencial:
Administradores
Utilizadores Ativos
Operadores de Conta
Operadores de Servidor
Operadores de Impressão
Operadores de Cópia de Segurança
Replicadores
Operadores de Configuração de Rede
Construtores de Fidedignidade de Floresta de Entrada
Administradores de Domínio
Controladores de Domínio
Proprietários do Política de Grupo Creator
Controladores de Domínio Só de Leitura
Controladores de Domínio Só de Leitura empresariais
Administradores de Esquema
Administradores empresariais
Microsoft Exchange Servers
Nota
Até setembro de 2018, os Utilizadores do Ambiente de Trabalho Remoto também eram automaticamente considerados confidenciais pelo Defender para Identidade. As entidades ou grupos de Ambiente de Trabalho Remoto adicionados após esta data já não são marcados automaticamente como confidenciais, enquanto as entidades ou grupos de Ambiente de Trabalho Remoto adicionados antes desta data podem permanecer marcados como Confidenciais. Esta definição Confidencial pode agora ser alterada manualmente.
Além destes grupos, o Defender para Identidade identifica os seguintes servidores de ativos de valor elevado e identifica-os automaticamente como Confidenciais:
- Servidor de Autoridade de Certificação
- Servidor DHCP
- Servidor DNS
- Microsoft Exchange Server
Conteúdos relacionados
Para obter mais informações, veja Investigar alertas de segurança do Defender para Identidade no Microsoft Defender XDR.