管理敏感或蜜标帐户

备注

此页面中描述的体验也可以作为 Microsoft 365 Defender 的一部分在 https://security.microsoft.com 中访问。 有关新体验的支持文档,可在此处找到。 有关 Microsoft Defender for Identity 以及 Microsoft 365 Defender 中其他功能何时可用的详细信息,请参阅 Microsoft 365 Defender 中的 Microsoft Defender for Identity

本文介绍如何将实体标记应用于敏感帐户。 这一点很重要,因为 Defender for Identity 某些检测(例如敏感组修改检测和横向移动路径)依赖于实体的敏感度状态。

Defender for Identity 还启用蜜元帐户的配置,这些帐户用作恶意参与者的陷阱 - 与这些蜜蜜帐户关联的任何身份验证 (通常休眠) 触发警报。

敏感实体

以下组列表被 Defender for Identity 视为敏感。 属于这些 Active Directory 组之一的任何实体 (嵌套组及其成员) 被视为敏感:

  • Administrators

  • Power Users

  • Account Operators

  • Server Operators

  • 打印操作员

  • Backup Operators

  • Replicators

  • Network Configuration Operators

  • Incoming Forest Trust Builders

  • Domain Admins

  • 域控制器

  • Group Policy Creator Owners

  • 只读域控制器

  • 企业只读域控制器

  • Schema Admins

  • Enterprise Admins

  • Microsoft Exchange 服务器

    备注

    在 2018 年 9 月之前,远程桌面用户也自动被视为敏感 Defender for Identity 用户。 在此日期之后添加的远程桌面实体或组不再自动标记为敏感,而在此日期之前添加的远程桌面实体或组可能仍标记为敏感。 现在可以手动更改此敏感设置。

除了这些组以外,Defender for Identity 还识别以下高价值资产服务器,并自动将其标记为“敏感”:

  • 证书颁发机构服务器
  • DHCP 服务器
  • DNS 服务器
  • Microsoft Exchange Server

手动标记实体

还可以手动将实体标记为敏感帐户或蜜标帐户。 如果手动标记其他用户或组(如板成员、公司主管和销售总监)会 Defender for Identity 将它们视为敏感用户或组。

手动标记实体

若要标记实体,请执行下列操作:

  1. 在 Defender for Identity 门户中,选择“配置”。

    [!INCLUDE [Product short.] (包括/product-short.md) ] 配置设置

  2. "检测" 下,选择 "实体标记"。

    Defender for Identity 实体标记

  3. 对于要配置的每个帐户,执行以下操作:

    1. 在 **"蜜元帐户"**或"敏感"下,输入帐户名称。
    2. 单击加号图标 (+) 。

    提示

    敏感或蜜蜜帐户字段是可搜索的,并自动填充网络中的实体。

    [!INCLUDE [Product short.] (包括/product-short.md) ] 敏感帐户示例

  4. 单击 “保存”

另请参阅