Del via


Defender for Identity-enhedskoder i Microsoft Defender XDR

I denne artikel beskrives det, hvordan du anvender Microsoft Defender for Identity enhedskoder for følsomme, Exchange-server- eller honeytoken-konti.

  • Du skal mærke følsomme konti for Defender for Identity-registreringer, der er afhængige af en enheds følsomhedsstatus, f.eks. registreringer af ændringer af følsomme grupper og tværgående bevægelsesstier.

    Selvom Defender for Identity automatisk mærker Exchange-servere som følsomme aktiver med høj værdi, kan du også manuelt mærke enheder som Exchange-servere.

  • Tag honeytoken-konti for at angive fælder for ondsindede aktører. Da honeytoken-konti normalt er inaktive, udløser enhver godkendelse, der er knyttet til en honeytoken-konto, en besked.

Forudsætninger

Hvis du vil angive Defender for Identity-enhedskoder i Microsoft Defender XDR, skal du have Defender for Identity installeret i dit miljø og administrator- eller brugeradgang til Microsoft Defender XDR.

Du kan få flere oplysninger under Microsoft Defender for Identity rollegrupper.

Tag enheder manuelt

I dette afsnit beskrives det, hvordan du tagger en enhed manuelt, f.eks. for en honeytoken-konto, eller hvis din enhed ikke automatisk er mærket som Følsom.

  1. Log på Microsoft Defender XDR, og vælg Indstillinger>Identiteter.

  2. Vælg den type kode, du vil anvende: Følsom, Honeytoken eller Exchange-server.

    På siden vises de enheder, der allerede er mærket i dit system, og som er angivet under separate faner for hver objekttype:

    • Koden Følsom understøtter brugere, enheder og grupper.
    • Honeytoken-mærket understøtter brugere og enheder.
    • Exchange-serverkoden understøtter kun enheder.
  3. Hvis du vil mærke flere enheder, skal du vælge knappen Mærk ... , f.eks. Tag brugere. Der åbnes en rude til højre med en liste over de tilgængelige objekter, du kan tagge.

  4. Brug søgefeltet til at finde enheden, hvis du har brug for det. Vælg de objekter, du vil tagge, og vælg derefter Tilføj markering.

Det kan f.eks. være:

Skærmbillede af mærkning af brugerkonti som følsomme.

Følsomme standardobjekter

Grupperne på følgende liste anses for følsomme af Defender for Identity. Alle objekter, der er medlem af en af disse Active Directory-grupper, herunder indlejrede grupper og deres medlemmer, anses automatisk for at være følsomme:

  • Administratorer

  • Superbrugere

  • Kontooperatorer

  • Serveroperatorer

  • Udskriftsoperatorer

  • Sikkerhedskopieringsoperatorer

  • Replikatorer

  • Netværkskonfigurationsoperatorer

  • Incoming Forest Trust Builders

  • Domæneadministratorer

  • Domænecontrollere

  • ejere af Gruppepolitik oprettere

  • Skrivebeskyttede domænecontrollere

  • Skrivebeskyttede virksomhedsdomænecontrollere

  • Skemaadministratorer

  • Virksomhedsadministratorer

  • Microsoft Exchange-servere

    Bemærk!

    Indtil september 2018 blev brugere af Fjernskrivebord også automatisk betragtet som følsomme af Defender for Identity. Enheder eller grupper til Fjernskrivebord, der tilføjes efter denne dato, markeres ikke længere automatisk som følsomme, mens enheder eller grupper, der er tilføjet før denne dato, forbliver markeret som Følsomme. Denne følsomme indstilling kan nu ændres manuelt.

Ud over disse grupper identificerer Defender for Identity følgende ressourceservere med høj værdi og mærker dem automatisk som følsomme:

  • Nøglecenterserver
  • DHCP-server
  • DNS-server
  • Microsoft Exchange Server

Du kan få flere oplysninger under Undersøg defender for identitetssikkerhedsbeskeder i Microsoft Defender XDR.