Теги сущностей Defender для удостоверений в Microsoft Defender XDR

В этой статье описывается применение Microsoft Defender для удостоверений тегов сущностей для конфиденциальных учетных записей, учетных записей Exchange Server или honeytoken.

• Вы должны пометить конфиденциальные учетные записи для обнаружения Defender для удостоверений, которые зависят от состояния конфиденциальности сущности, например обнаружение изменений конфиденциальной группы и пути бокового перемещения.

  Хотя Defender для удостоверений автоматически помечает серверы Exchange как ценные конфиденциальные ресурсы, вы также можете вручную пометить устройства как серверы Exchange.

• Добавление тегов к учетным записям honeytoken для установки ловушек для злоумышленников. Так как учетные записи honeytoken обычно неактивны, любая проверка подлинности, связанная с учетной записью honeytoken, активирует оповещение.

Предварительные условия

Чтобы задать теги сущностей Defender для удостоверений в Microsoft Defender XDR, вам потребуется развернуть Defender для удостоверений в вашей среде, а также доступ администратора или пользователя к Microsoft Defender XDR.

Дополнительные сведения см. в разделе Microsoft Defender для удостоверений групп ролей.

Добавление тегов к сущностям вручную

В этом разделе описывается, как пометить сущность вручную, например для учетной записи honeytoken, или если ваша сущность не была автоматически помечена как конфиденциальная.

1. Войдите в Microsoft Defender XDR и выберите Параметры>Удостоверения.

2. Выберите тип тега, который требуется применить: Конфиденциальный, Honeytoken или Exchange Server.

   На странице перечислены сущности, уже помеченные в системе, которые перечислены на отдельных вкладках для каждого типа сущностей:

   • Тег "Конфиденциальный" поддерживает пользователей, устройства и группы.
   • Тег Honeytoken поддерживает пользователей и устройства.
   • Тег Exchange Server поддерживает только устройства.

3. Чтобы добавить тег к дополнительным сущностям, нажмите кнопку Тег ... , например Тег пользователей. Справа откроется панель со списком доступных сущностей для тегов.

4. При необходимости используйте поле поиска, чтобы найти сущность. Выберите сущности, которые нужно пометить тегом, а затем щелкните Добавить выделение.

Например:

Конфиденциальные сущности по умолчанию

Группы в следующем списке считаются конфиденциальными в Defender для удостоверений. Любая сущность, которая входит в одну из этих групп Active Directory, включая вложенные группы и их члены, автоматически считается конфиденциальной:

• Администраторы

• Опытные пользователи

• Операторы учетных записей

• Операторы сервера

• Операторы печати

• Операторы архивации

• Репликаторы

• Операторы конфигурации сети

• Построитель доверия входящих лесов

• Администраторы домена

• Контроллеры домена

• Владельцы создателей групповая политика

• Контроллеры домена только для чтения

• Корпоративные контроллеры домена только для чтения

• Администраторы схемы

• Администраторы предприятия

• Серверы Microsoft Exchange

  Примечание.

  До сентября 2018 г. пользователи удаленных рабочих столов также автоматически считались конфиденциальными в Defender для удостоверений. Сущности или группы удаленного рабочего стола, добавленные после этой даты, больше не помечаются как конфиденциальные, а сущности или группы удаленного рабочего стола, добавленные до этой даты, могут помечаться как конфиденциальные. Этот параметр Конфиденциально теперь можно изменить вручную.

Помимо этих групп, Defender для удостоверений определяет следующие высокоценные серверы ресурсов и автоматически помеирует их как конфиденциальные:

• Сервер центра сертификации
• DHCP-сервер
• DNS-сервер
• Microsoft Exchange Server

Связанные материалы

Дополнительные сведения см. в статье Изучение оповещений системы безопасности Defender для удостоверений в Microsoft Defender XDR.