Dela via

Entitetstaggar för Defender for Identity i Microsoft Defender XDR

  • Artikel

Den här artikeln beskriver hur du använder Microsoft Defender for Identity entitetstaggar för känsliga konton, Exchange-servrar eller honeytoken-konton.

  • Du måste tagga känsliga konton för Defender for Identity-identifieringar som förlitar sig på en entitets känslighetsstatus, till exempel identifiering av ändringar i känsliga grupper och laterala rörelsevägar.

    Även om Defender för identitet automatiskt taggar Exchange-servrar som värdefulla, känsliga tillgångar, kan du även tagga enheter manuellt som Exchange-servrar.

  • Tagga honeytoken-konton för att ställa in traps för skadliga aktörer. Eftersom honeytoken-konton vanligtvis är vilande utlöser alla autentiseringar som är associerade med ett honeytoken-konto en avisering.

Förhandskrav

Om du vill ange entitetstaggar för Defender for Identity i Microsoft Defender XDR behöver du Defender for Identity distribuerat i din miljö och administratörs- eller användaråtkomst till Microsoft Defender XDR.

Mer information finns i Microsoft Defender for Identity rollgrupper.

Tagga entiteter manuellt

I det här avsnittet beskrivs hur du taggar en entitet manuellt, till exempel för ett honeytoken-konto eller om din entitet inte har taggats automatiskt som Känslig.

  1. Logga in på Microsoft Defender XDR och välj Inställningar>Identiteter.

  2. Välj den typ av tagg som du vill använda: Känslig, Honeytoken eller Exchange-server.

    På sidan visas de entiteter som redan har taggats i systemet, som visas på separata flikar för varje entitetstyp:

    • Taggen Sensitive stöder användare, enheter och grupper.
    • Honeytoken-taggen stöder användare och enheter.
    • Exchange-servertaggen stöder endast enheter.

  3. Om du vill tagga ytterligare entiteter väljer du knappen Tagga ... , till exempel Tagga användare. Ett fönster öppnas till höger med en lista över tillgängliga entiteter som du kan tagga.

  4. Använd sökrutan för att hitta entiteten om du behöver det. Välj de entiteter som du vill tagga och välj sedan Lägg till markering.

Till exempel:

Skärmbild av att tagga användarkonton som känsliga.

Standardkänsliga entiteter

Grupperna i följande lista betraktas som känsliga av Defender för identitet. Alla entiteter som är medlemmar i någon av dessa Active Directory-grupper, inklusive kapslade grupper och deras medlemmar, betraktas automatiskt som känsliga:

  • Administratörer

  • Power-användare

  • Kontoansvariga

  • Serveroperatorer

  • Utskriftsoperatorer

  • Operatorer för säkerhetskopiering

  • Replikerare

  • Nätverkskonfigurationsoperatorer

  • Inkommande forest trust builders

  • Domain Admins

  • Domänkontrollant

  • grupprincip skapare

  • Skrivskyddade domänkontrollanter

  • Skrivskyddade domänkontrollanter för företag

  • Schema Admins

  • Enterprise Admins

  • Microsoft Exchange-servrar

    Obs!

    Fram till september 2018 betraktades även fjärrskrivbordsanvändare automatiskt som känsliga av Defender för identitet. Fjärrskrivbordsentiteter eller grupper som lagts till efter detta datum markeras inte längre automatiskt som känsliga medan Fjärrskrivbordsentiteter eller grupper som lagts till före detta datum kan förbli markerade som Känsliga. Den här inställningen Känslig kan nu ändras manuellt.

Förutom dessa grupper identifierar Defender for Identity följande högvärdesservrar och taggar dem automatiskt som Känsliga:

  • Certifikatutfärdarserver
  • DHCP-server
  • DNS-server
  • Microsoft Exchange Server

Relaterat innehåll

Mer information finns i Undersöka säkerhetsaviseringar för Defender för identiteter i Microsoft Defender XDR.