Entitetstaggar för Defender för identitet i Microsoft Defender XDR

  • Artikel

Den här artikeln beskriver hur du använder Entitetstaggar för Microsoft Defender för identiteter för känsliga konton, Exchange-server- eller honeytoken-konton.

  • Du måste tagga känsliga konton för Defender för identitetsidentifieringar som förlitar sig på en entitets känslighetsstatus, till exempel identifiering av känsliga gruppändringar och laterala rörelsevägar.

    Även om Defender för identitet automatiskt taggar Exchange-servrar som värdefulla, känsliga tillgångar, kan du även tagga enheter manuellt som Exchange-servrar.

  • Tagga honeytoken-konton för att ange traps för skadliga aktörer. Eftersom honeytoken-konton vanligtvis är vilande utlöser all autentisering som är associerad med ett honeytoken-konto en avisering.

Förutsättningar

Om du vill ange entitetstaggar för Defender för identitet i Microsoft Defender XDR behöver du Defender for Identity distribuerat i din miljö och administratörs- eller användaråtkomst till Microsoft Defender XDR.

Mer information finns i Rollgrupper för Microsoft Defender för identitet.

Tagga entiteter manuellt

I det här avsnittet beskrivs hur du taggar en entitet manuellt, till exempel för ett honeytoken-konto, eller om din entitet inte har taggats automatiskt som Känslig.

  1. Logga in på Microsoft Defender XDR och välj Inställningar> Identiteter.

  2. Välj den typ av tagg som du vill använda: Känslig, Honeytoken eller Exchange-server.

    Sidan visar en lista över de entiteter som redan har taggats i systemet, listade på separata flikar för varje entitetstyp:

    • Taggen Sensitive stöder användare, enheter och grupper.
    • Taggen Honeytoken stöder användare och enheter.
    • Exchange Server-taggen stöder endast enheter.

  3. Om du vill tagga ytterligare entiteter väljer du knappen Tagga ... , till exempel Tagga användare. Ett fönster öppnas till höger med en lista över tillgängliga entiteter som du kan tagga.

  4. Använd sökrutan för att hitta din entitet om du behöver. Välj de entiteter som du vill tagga och välj sedan Lägg till markering.

Till exempel:

Screenshot of tagging user accounts as sensitive.

Standardkänsliga entiteter

Grupperna i följande lista betraktas som Känsliga av Defender för identitet. Alla entiteter som är medlemmar i någon av dessa Active Directory-grupper, inklusive kapslade grupper och deras medlemmar, betraktas automatiskt som känsliga:

  • Administratörer

  • Privilegierade användare

  • Kontoansvariga

  • Serveransvariga

  • Skrivaransvariga

  • Ansvariga för säkerhetskopiering

  • Replikerare

  • Ansvariga för nätverkskonfigurering

  • Inkommande Forest Trust Builders

  • Domain Admins

  • Domänkontrollanter

  • Ägare av grupprincipskapare

  • Skrivskyddade domänkontrollanter

  • Skrivskyddade domänkontrollanter för företag

  • Schema Admins

  • Enterprise Admins

  • Microsoft Exchange-servrar

    Kommentar

    Fram till september 2018 ansågs även fjärrskrivbordsanvändare automatiskt vara känsliga av Defender för identitet. Fjärrskrivbordsentiteter eller grupper som lagts till efter det här datumet markeras inte längre automatiskt som känsliga medan Fjärrskrivbordsentiteter eller grupper som lagts till före detta datum kan förbli markerade som Känsliga. Den här inställningen Känslig kan nu ändras manuellt.

Utöver dessa grupper identifierar Defender for Identity följande tillgångsservrar med högt värde och taggar dem automatiskt som Känsliga:

  • Certifikatutfärdarserver
  • DHCP-server
  • DNS-server
  • Microsoft Exchange Server

Relaterat innehåll

Mer information finns i Undersöka Säkerhetsaviseringar för Defender för identiteter i Microsoft Defender XDR.