标记敏感帐户
适用于:高级威胁分析版本 1.9
可以手动将组或帐户标记为敏感,以增强检测。 必须确保此操作已更新,因为一些 ATA 检测,例如敏感组修改检测和横向移动路径,取决于哪些组和帐户被视为敏感。 以前,如果 ATA 是特定组列表的成员,ATA 会自动将其视为敏感实体。 现在可以手动将其他用户或组(如董事会成员、公司高管和销售总监等)标记为敏感,ATA 也会将其视为敏感。
在 ATA 控制台中,单击菜单栏中的“配置”齿轮。
在“检测”下,单击“实体标记”。
在“敏感”部分,键入“敏感账户”和“敏感组”的名称,然后单击 + 符号添加它们。
单击“保存”。
单击实体名称转到实体配置文件页。 在这里,能够了解实体为何被视为敏感 – 无论是因为组成员身份还是由于被手动标记为敏感。
敏感组
以下列出的组被 ATA 视为“敏感”组。 属于这些组的任何实体也视为敏感实体:
- 管理员
- 超级用户
- Account Operators
- Server Operators
- 打印操作员
- 备份操作员
- 复制者
- Remote Desktop Users
- Network Configuration Operators
- Incoming Forest Trust Builders
- Domain Admins
- 域控制器
- Group Policy Creator Owners
- 只读域控制器
- 企业只读域控制器
- Schema Admins
- 企业管理员