Microsoft Defender XDR'de Kimlik için Defender varlık etiketleri

  • Makale

Bu makalede hassas, Exchange sunucusu veya honeytoken hesapları için Kimlik için Microsoft Defender varlık etiketlerinin nasıl uygulanacağı açıklanmaktadır.

  • Hassas grup değişikliği algılamaları ve yanal hareket yolları gibi bir varlığın duyarlılık durumunu kullanan Kimlik için Defender algılamaları için hassas hesapları etiketlemeniz gerekir.

    Kimlik için Defender, Exchange sunucularını yüksek değerli ve hassas varlıklar olarak otomatik olarak etiketlerken, cihazları Exchange sunucuları olarak el ile de etiketleyebilirsiniz.

  • Kötü amaçlı aktörlere tuzak kurmak için honeytoken hesaplarını etiketleyin. Honeytoken hesapları genellikle uykuda olduğundan, honeytoken hesabıyla ilişkili tüm kimlik doğrulamaları bir uyarı tetikler.

Önkoşullar

Microsoft Defender XDR'de Kimlik için Defender varlık etiketlerini ayarlamak için ortamınızda Dağıtılan Kimlik için Defender'a ve Microsoft Defender XDR'ye yönetici veya kullanıcı erişimine sahip olmanız gerekir.

Daha fazla bilgi için bkz. Kimlik için Microsoft Defender rol grupları.

Varlıkları el ile etiketleme

Bu bölümde, honeytoken hesabı gibi bir varlığı el ile etiketleme veya varlığınızın otomatik olarak Hassas olarak etiketlenmemiş olması açıklanmaktadır.

  1. Microsoft Defender XDR'deoturum açın ve Ayarlar> Id varlıklar'ı seçin.

  2. Uygulamak istediğiniz etiket türünü seçin: Hassas, Honeytoken veya Exchange sunucusu.

    Sayfada, sisteminizde zaten etiketlenmiş olan varlıklar listelenir ve her varlık türü için ayrı sekmelerde listelenir:

    • Hassas etiketi kullanıcıları, cihazları ve grupları destekler.
    • Honeytoken etiketi kullanıcıları ve cihazları destekler.
    • Exchange sunucusu etiketi yalnızca cihazları destekler.

  3. Ek varlıkları etiketlemek için Etiket kullanıcıları gibi Etiket ... düğmesini seçin. Sağ tarafta, etiketlemeniz için kullanılabilir varlıkların listelendiği bir bölme açılır.

  4. Gerekirse varlığınızı bulmak için arama kutusunu kullanın. Etiketlemek istediğiniz varlıkları seçin ve ardından Seçim ekle'yi seçin.

Örneğin:

Screenshot of tagging user accounts as sensitive.

Varsayılan hassas varlıklar

Aşağıdaki listede yer alan gruplar, Kimlik için Defender tarafından Hassas olarak kabul edilir. İç içe gruplar ve üyeleri dahil olmak üzere bu Active Directory gruplarından birinin üyesi olan tüm varlık otomatik olarak hassas olarak kabul edilir:

  • Yöneticiler

  • İleri Kullanıcılar

  • Account Operators

  • Server Operators

  • Print Operators

  • Backup Operators

  • Çoğalıcı

  • Ağ Yapılandırması İşleçleri

  • Gelen Orman Güven Oluşturucuları

  • Domain Admins

  • Domain Controllers

  • Grup İlkesi Oluşturucu Sahipleri

  • Read-only Domain Controllers

  • Kurumsal Salt Okunur Etki Alanı Denetleyicileri

  • Schema Admins

  • Enterprise Admins

  • Microsoft Exchange Sunucuları

    Dekont

    Eylül 2018'e kadar Uzak Masaüstü Kullanıcıları da Kimlik için Defender tarafından otomatik olarak hassas olarak kabul edildi. Bu tarihten sonra eklenen Uzak Masaüstü varlıkları veya grupları artık otomatik olarak hassas olarak işaretlenmezken, bu tarihten önce eklenen Uzak Masaüstü varlıkları veya grupları Hassas olarak işaretlenebilir. Bu Hassas ayar artık el ile değiştirilebilir.

Bu gruplara ek olarak, Kimlik için Defender aşağıdaki yüksek değerli varlık sunucularını tanımlar ve bunları otomatik olarak Hassas olarak etiketler:

  • Sertifika Yetkilisi Sunucusu
  • DHCP Sunucusu
  • DNS Sunucusu
  • Microsoft Exchange Server

İlgili içerik

Daha fazla bilgi için bkz . Microsoft Defender XDR'de Kimlik için Defender güvenlik uyarılarını araştırma.