Microsoft Defender 全面偵測回應 中適用於身分識別的Defender實體標籤
本文說明如何針對敏感性、Exchange 伺服器或 honeytoken 帳戶套用 適用於身分識別的 Microsoft Defender 實體標籤。
您必須針對依賴實體敏感度狀態的適用於身分識別的 Defender 偵測標記敏感性帳戶,例如敏感性群組修改偵測和橫向動作路徑。
雖然適用於身分識別的 Defender 會自動將 Exchange 伺服器標記為高價值的敏感性資產,但您也可以手動將裝置標記為 Exchange 伺服器。
標記 honeytoken 帳戶以設定惡意執行者的陷阱。 由於 honeytoken 帳戶通常為休眠狀態,因此與 honeytoken 帳戶相關聯的任何驗證都會觸發警示。
必要條件
若要在 Microsoft Defender 全面偵測回應 中設定適用於身分識別的Defender實體標籤,您需要在環境中部署適用於身分識別的Defender,以及系統管理員或使用者存取 Microsoft Defender 全面偵測回應。
如需詳細資訊,請參閱 適用於身分識別的 Microsoft Defender 角色群組。
手動標記實體
本節說明如何手動標記實體,例如 honeytoken 帳戶,或您的實體未自動標記為 機密。
登入 Microsoft Defender 全面偵測回應],然後選取 [設定身>分識別]。
選取您要套用的標籤: [敏感]、[ Honeytoken] 或 [Exchange 伺服器]。
此頁面會列出您系統中已標記的實體,並針對每個實體類型列在個別的索引標籤上:
- 敏感性標籤支援使用者、裝置和群組。
- Honeytoken 標籤支援使用者和裝置。
- Exchange 伺服器標籤僅支援裝置。
若要標記其他實體,請選取 [ 標記... ] 按鈕,例如 [標記使用者]。 右側會開啟一個窗格,列出可供您標記的可用實體。
如有需要,請使用搜尋方塊來尋找您的實體。 選取您要標記的實體,然後選取 [ 新增選取專案]。
例如:
默認敏感性實體
適用於身分識別的Defender會將下列清單中的群組視為 機密 。 屬於這些 Active Directory 群組之一成員的任何實體,包括巢狀群組及其成員,都會自動視為機密:
系統管理員
電源使用者
帳戶操作員
伺服器操作員
列印運算子
Backup Operators
複寫器
網路設定運算子
傳入樹系信任建立器
Domain Admins
網域控制站
群組原則 建立者擁有者
唯讀域控制器
企業只讀域控制器
Schema Admins
Enterprise Admins
Microsoft Exchange Server
注意事項
在 2018 年 9 月之前,適用於身分識別的 Defender 也會自動將遠端桌面用戶視為敏感性。 在此日期之後新增的遠端桌面實體或群組不會再自動標示為敏感性,而在此日期之前新增的遠端桌面實體或群組可能仍會標示為機密。 此敏感性設定現在可以手動變更。
除了這些群組之外,適用於身分識別的 Defender 會識別下列高價值資產伺服器,並自動將它們標記為 敏感性:
- 證書頒發機構單位伺服器
- DHCP 伺服器
- DNS 伺服器
- Microsoft Exchange Server
相關內容
如需詳細資訊,請參閱在 Microsoft Defender 全面偵測回應 中調查適用於身分識別的Defender安全性警示。