共用方式為


Microsoft Defender 全面偵測回應 中適用於身分識別的Defender實體標籤

本文說明如何針對敏感性、Exchange 伺服器或 honeytoken 帳戶套用 適用於身分識別的 Microsoft Defender 實體標籤。

  • 您必須針對依賴實體敏感度狀態的適用於身分識別的 Defender 偵測標記敏感性帳戶,例如敏感性群組修改偵測和橫向動作路徑。

    雖然適用於身分識別的 Defender 會自動將 Exchange 伺服器標記為高價值的敏感性資產,但您也可以手動將裝置標記為 Exchange 伺服器。

  • 標記 honeytoken 帳戶以設定惡意執行者的陷阱。 由於 honeytoken 帳戶通常為休眠狀態,因此與 honeytoken 帳戶相關聯的任何驗證都會觸發警示。

必要條件

若要在 Microsoft Defender 全面偵測回應 中設定適用於身分識別的Defender實體標籤,您需要在環境中部署適用於身分識別的Defender,以及系統管理員或使用者存取 Microsoft Defender 全面偵測回應。

如需詳細資訊,請參閱 適用於身分識別的 Microsoft Defender 角色群組

手動標記實體

本節說明如何手動標記實體,例如 honeytoken 帳戶,或您的實體未自動標記為 機密

  1. 登入 Microsoft Defender 全面偵測回應],然後選取 [設定身>分識別]

  2. 選取您要套用的標籤: [敏感]、[ Honeytoken] 或 [Exchange 伺服器]

    此頁面會列出您系統中已標記的實體,並針對每個實體類型列在個別的索引標籤上:

    • 敏感性標籤支援使用者、裝置和群組。
    • Honeytoken 標籤支援使用者和裝置。
    • Exchange 伺服器標籤僅支援裝置。
  3. 若要標記其他實體,請選取 [ 標記... ] 按鈕,例如 [標記使用者]。 右側會開啟一個窗格,列出可供您標記的可用實體。

  4. 如有需要,請使用搜尋方塊來尋找您的實體。 選取您要標記的實體,然後選取 [ 新增選取專案]

例如:

將用戶帳戶標記為敏感性的螢幕快照。

默認敏感性實體

適用於身分識別的Defender會將下列清單中的群組視為 機密 。 屬於這些 Active Directory 群組之一成員的任何實體,包括巢狀群組及其成員,都會自動視為機密:

  • 系統管理員

  • 電源使用者

  • 帳戶操作員

  • 伺服器操作員

  • 列印運算子

  • Backup Operators

  • 複寫器

  • 網路設定運算子

  • 傳入樹系信任建立器

  • Domain Admins

  • 網域控制站

  • 群組原則 建立者擁有者

  • 唯讀域控制器

  • 企業只讀域控制器

  • Schema Admins

  • Enterprise Admins

  • Microsoft Exchange Server

    注意事項

    在 2018 年 9 月之前,適用於身分識別的 Defender 也會自動將遠端桌面用戶視為敏感性。 在此日期之後新增的遠端桌面實體或群組不會再自動標示為敏感性,而在此日期之前新增的遠端桌面實體或群組可能仍會標示為機密。 此敏感性設定現在可以手動變更。

除了這些群組之外,適用於身分識別的 Defender 會識別下列高價值資產伺服器,並自動將它們標記為 敏感性

  • 證書頒發機構單位伺服器
  • DHCP 伺服器
  • DNS 伺服器
  • Microsoft Exchange Server

如需詳細資訊,請參閱在 Microsoft Defender 全面偵測回應 中調查適用於身分識別的Defender安全性警示