Správa citlivých účtů nebo účtů honeytokenu
Poznámka
K prostředí popsanému na této stránce je také možné přistupovat https://security.microsoft.com v rámci Microsoft 365 Defender. Podpůrné dokumenty pro nové prostředí najdete tady. Další informace o Microsoft Defender for Identity a o tom, kdy budou v Microsoft 365 Defender k dispozici další funkce, najdete v tématu Microsoft Defender for Identity Microsoft 365 Defender.
Tento článek vysvětluje, jak použít značky entit u citlivých účtů. To je důležité, protože některé detekce identity v programu Defender for Identity, jako je detekce změn citlivých skupin a cesta laterálního pohybu, spoléhají na stav citlivosti entity.
Defender for Identity také umožňuje konfiguraci účtů honeytokenu, které se používají jako pasti pro škodlivé aktéry – jakékoli ověřování přidružené k těmto účtům honeytokenu (obvykle neaktivní), aktivuje výstrahu.
Citlivé entity
Následující seznam skupin považuje Defender for Identity za citlivé . Každá entita, která je členem jedné z těchto skupin služby Active Directory (včetně vnořených skupin a jejich členů), se automaticky považuje za citlivou:
Administrators
Power Users
Account Operators
Server Operators
Print Operators
Backup Operators
Replicators
Network Configuration Operators
Incoming Forest Trust Builders
Domain Admins
Řadiče domény
Group Policy Creator Owners
Read-Only Domain Controllers
Enterprise řadiče domény jen pro čtení
Schema Admins
Enterprise Admins
Servery Microsoft Exchange
Poznámka
Do září 2018 se uživatelé vzdálené plochy také automaticky považovali za citlivé v programu Defender for Identity. Entity nebo skupiny vzdálené plochy přidané po tomto datu se už automaticky neoznačí jako citlivé, zatímco entity nebo skupiny vzdálené plochy přidané před tímto datem můžou zůstat označené jako Citlivé. Toto citlivé nastavení je teď možné změnit ručně.
Kromě těchto skupin defender for Identity identifikuje následující servery s vysokou hodnotou a automaticky je označí jako citlivé:
- Server certifikační autority
- Server DHCP
- Server DNS
- Microsoft Exchange Server
Ruční označování entit
Entity můžete také ručně označit jako citlivé nebo honeytokenové účty. Pokud ručně označíte další uživatele nebo skupiny, jako jsou členové správní rady, vedoucí pracovníci společnosti a obchodní ředitelé, bude defender for Identity považovat za citlivé.
Ruční označování entit
Pokud chcete označit entity, postupujte takto:
Na portálu Defender for Identity vyberte Konfigurace.
V části Detekce vyberte značky entit.
Pro každý účet, který chcete nakonfigurovat, udělejte toto:
- V části Účty Honeytoken nebo Citlivé zadejte název účtu.
- Klikněte na ikonu plus (+).
Tip
Pole citlivého nebo honeytokenového účtu je prohledávatelné a automaticky doplní entity ve vaší síti.
Klikněte na Uložit.