Správa citlivých účtů nebo účtů honeytokenu

Poznámka

K prostředí popsanému na této stránce je také možné přistupovat https://security.microsoft.com v rámci Microsoft 365 Defender. Podpůrné dokumenty pro nové prostředí najdete tady. Další informace o Microsoft Defender for Identity a o tom, kdy budou v Microsoft 365 Defender k dispozici další funkce, najdete v tématu Microsoft Defender for Identity Microsoft 365 Defender.

Tento článek vysvětluje, jak použít značky entit u citlivých účtů. To je důležité, protože některé detekce identity v programu Defender for Identity, jako je detekce změn citlivých skupin a cesta laterálního pohybu, spoléhají na stav citlivosti entity.

Defender for Identity také umožňuje konfiguraci účtů honeytokenu, které se používají jako pasti pro škodlivé aktéry – jakékoli ověřování přidružené k těmto účtům honeytokenu (obvykle neaktivní), aktivuje výstrahu.

Citlivé entity

Následující seznam skupin považuje Defender for Identity za citlivé . Každá entita, která je členem jedné z těchto skupin služby Active Directory (včetně vnořených skupin a jejich členů), se automaticky považuje za citlivou:

  • Administrators

  • Power Users

  • Account Operators

  • Server Operators

  • Print Operators

  • Backup Operators

  • Replicators

  • Network Configuration Operators

  • Incoming Forest Trust Builders

  • Domain Admins

  • Řadiče domény

  • Group Policy Creator Owners

  • Read-Only Domain Controllers

  • Enterprise řadiče domény jen pro čtení

  • Schema Admins

  • Enterprise Admins

  • Servery Microsoft Exchange

    Poznámka

    Do září 2018 se uživatelé vzdálené plochy také automaticky považovali za citlivé v programu Defender for Identity. Entity nebo skupiny vzdálené plochy přidané po tomto datu se už automaticky neoznačí jako citlivé, zatímco entity nebo skupiny vzdálené plochy přidané před tímto datem můžou zůstat označené jako Citlivé. Toto citlivé nastavení je teď možné změnit ručně.

Kromě těchto skupin defender for Identity identifikuje následující servery s vysokou hodnotou a automaticky je označí jako citlivé:

  • Server certifikační autority
  • Server DHCP
  • Server DNS
  • Microsoft Exchange Server

Ruční označování entit

Entity můžete také ručně označit jako citlivé nebo honeytokenové účty. Pokud ručně označíte další uživatele nebo skupiny, jako jsou členové správní rady, vedoucí pracovníci společnosti a obchodní ředitelé, bude defender for Identity považovat za citlivé.

Ruční označování entit

Pokud chcete označit entity, postupujte takto:

  1. Na portálu Defender for Identity vyberte Konfigurace.

    Defender for Identity configuration settings

  2. V části Detekce vyberte značky entit.

    Defender for Identity entity tags

  3. Pro každý účet, který chcete nakonfigurovat, udělejte toto:

    1. V části Účty Honeytoken nebo Citlivé zadejte název účtu.
    2. Klikněte na ikonu plus (+).

    Tip

    Pole citlivého nebo honeytokenového účtu je prohledávatelné a automaticky doplní entity ve vaší síti.

    Defender for Identity sensitive account sample

  4. Klikněte na Uložit.

Viz také