Microsoft Defender XDR의 Defender for Identity 엔터티 태그

이 문서에서는 중요한 Exchange 서버 또는 허니토켄 계정에 대해 Microsoft Defender for Identity 엔터티 태그를 적용하는 방법을 설명합니다.

중요한 그룹 수정 검색 및 횡적 이동 경로와 같이 엔터티의 민감도 상태 사용하는 Defender for Identity 검색에 대한 중요한 계정에 태그를 지정해야 합니다.

Defender for Identity는 Exchange 서버에 고부가가치 중요한 자산으로 자동으로 태그를 지정하지만 수동으로 디바이스에 Exchange 서버로 태그를 지정할 수도 있습니다.
허니토켄 계정에 태그를 지정하여 악의적인 행위자의 트랩을 설정합니다. honeytoken 계정은 일반적으로 휴면 상태이므로 honeytoken 계정과 연결된 모든 인증은 경고를 트리거합니다.

필수 조건

Microsoft Defender XDR에서 Defender for Identity 엔터티 태그를 설정하려면 사용자 환경에 배포된 Defender for Identity와 Microsoft Defender XDR에 대한 관리자 또는 사용자 액세스 권한이 필요합니다.

자세한 내용은 Microsoft Defender for Identity 역할 그룹을 참조 하세요.

이 섹션에서는 허니토켄 계정과 같이 엔터티에 수동으로 태그를 지정하거나 엔터티에 자동으로 중요한 태그가 지정되지 않은 경우를 설명합니다.

Microsoft Defender XDR에 로그인하고 설정> Identities를 선택합니다.
적용 할 태그 유형(중요, 허니토켄 또는 Exchange 서버)을 선택합니다.

페이지에는 시스템에 이미 태그가 지정된 엔터티가 나열되어 있으며 각 엔터티 유형에 대한 별도의 탭에 나열됩니다.
- 중요한 태그는 사용자, 디바이스 및 그룹을 지원합니다.
- Honeytoken 태그는 사용자 및 디바이스를 지원합니다.
- Exchange 서버 태그는 디바이스만 지원합니다.
추가 엔터티에 태그를 지정하려면 태그 사용자와 같은 태그 ... 단추를 선택합니다. 오른쪽에 태그를 지정할 수 있는 엔터티가 나열된 창이 열립니다.
필요한 경우 검색 상자를 사용하여 엔터티를 찾습니다. 태그를 지정할 엔터티를 선택한 다음 선택 항목 추가를 선택합니다.

예시:

다음 목록의 그룹은 Defender for Identity에서 중요한 것으로 간주됩니다. 중첩된 그룹 및 해당 멤버를 포함하여 이러한 Active Directory 그룹 중 하나의 멤버인 모든 엔터티는 자동으로 중요한 것으로 간주됩니다.

관리자
고급 사용자
Account Operators
Server Operators
Print Operators
Backup Operators
Replicators
Network Configuration Operators
들어오는 포리스트 트러스트 작성기
Domain Admins
도메인 컨트롤러 하나 이상
Group Policy Creator Owners
Read-only Domain Controllers
Enterprise 읽기 전용 Do기본 컨트롤러
Schema Admins
Enterprise Admins
Microsoft Exchange Server

참고 항목

2018년 9월까지 원격 데스크톱 사용자는 Defender for Identity에서도 자동으로 중요한 것으로 간주되었습니다. 이 날짜 이후에 추가된 원격 데스크톱 엔터티 또는 그룹은 더 이상 자동으로 중요한 것으로 표시되지 않지만 이 날짜 이전에 추가된 원격 데스크톱 엔터티 또는 그룹은 다시 중요한 것으로 표시되어 기본. 이제 이 중요한 설정을 수동으로 변경할 수 있습니다.

이러한 그룹 외에도 Defender for Identity는 다음과 같은 고부가가치 자산 서버를 식별하고 자동으로 중요한 것으로 태그를 지정합니다.