Značky entit Defenderu for Identity v XDR v programu Microsoft Defender

  • Článek

Tento článek popisuje, jak použít značky entit v programu Microsoft Defender for Identity, pro citlivé účty, exchange server nebo honeytoken.

  • Pro detekci identity v defenderu for Identity musíte označit citlivé účty, které spoléhají na stav citlivosti entity, jako jsou detekce změn citlivých skupin a cesty laterálního pohybu.

    I když Defender for Identity automaticky označí servery Exchange jako vysoce hodnotné citlivé prostředky, můžete zařízení také ručně označit jako servery Exchange.

  • Označte účty honeytoken a nastavte pasti pro škodlivé aktéry. Vzhledem k tomu, že účty honeytokenu jsou obvykle neaktivní, jakékoli ověřování přidružené k účtu honeytoken aktivuje výstrahu.

Požadavky

Pokud chcete nastavit značky entit Defenderu for Identity v XDR v programu Microsoft Defender, budete potřebovat defender for Identity nasazený ve vašem prostředí a přístup správce nebo uživatele k XDR v programu Microsoft Defender.

Další informace najdete v tématu Skupiny rolí v programu Microsoft Defender for Identity.

Ruční označení entit

Tato část popisuje, jak ručně označit entitu, například účet honeytokenu, nebo pokud nebyla entita automaticky označena jako Citlivá.

  1. Přihlaste se k XDR v programu Microsoft Defender a vyberte Nastavení> Identities.

  2. Vyberte typ značky, kterou chcete použít: Citlivé, Honeytoken nebo Exchange server.

    Na stránce jsou uvedené entity, které už jsou ve vašem systému označené, uvedené na samostatných kartách pro každý typ entity:

    • Citlivá značka podporuje uživatele, zařízení a skupiny.
    • Značka Honeytoken podporuje uživatele a zařízení.
    • Značka serveru Exchange podporuje pouze zařízení.

  3. Pokud chcete označit další entity, vyberte tlačítko Značka ... , například Označit uživatele. Otevře se podokno napravo se seznamem dostupných entit, které můžete označit.

  4. Pokud potřebujete, najděte svoji entitu pomocí vyhledávacího pole. Vyberte entity, které chcete označit, a pak vyberte Přidat výběr.

Příklad:

Screenshot of tagging user accounts as sensitive.

Výchozí citlivé entity

Skupiny v následujícím seznamu jsou v programu Defender for Identity považovány za citlivé . Každá entita, která je členem jedné z těchto skupin Služby Active Directory, včetně vnořených skupin a jejich členů, se automaticky považuje za citlivou:

  • Správci

  • Power Users

  • Account Operators

  • Server Operators

  • Print Operators

  • Backup Operators

  • Replikátory

  • Network Configuration Operators

  • Tvůrci důvěryhodnosti příchozích doménových struktur

  • Domain Admins

  • Domain Controllers

  • Vlastníci zásad skupiny

  • Read-Only Domain Controllers

  • Podnikové řadiče domény jen pro čtení

  • Schema Admins

  • Enterprise Admins

  • Servery Microsoft Exchange

    Poznámka:

    Do září 2018 se uživatelé vzdálené plochy automaticky považovali za citlivou také v programu Defender for Identity. Entity nebo skupiny vzdálené plochy přidané po tomto datu už nejsou automaticky označené jako citlivé, zatímco entity nebo skupiny vzdálené plochy přidané před tímto datem můžou zůstat označené jako Citlivé. Toto citlivé nastavení se teď dá změnit ručně.

Kromě těchto skupin defender for Identity identifikuje následující vysoce hodnotné servery prostředků a automaticky je označí jako citlivé:

  • Server certifikační autority
  • Server DHCP
  • Server DNS
  • Microsoft Exchange Server

Související obsah

Další informace najdete v tématu Zkoumání výstrah zabezpečení v programu Defender for Identity v XDR v programu Microsoft Defender.