Defender for Identity -entiteettitunnisteet Microsoft Defender XDR

Tässä artikkelissa kuvataan, miten voit käyttää Microsoft Defender for Identity entiteettitunnisteita luottamuksellisissa Exchange-palvelimessa tai honeytoken-tileissä.

  • Sinun on tunnistettava luottamukselliset tilit Defenderille käyttäjätietojen tunnistuksia varten, jotka ovat riippuvaisia entiteetin luottamuksellisuustilasta, esimerkiksi luottamuksellisista ryhmän muokkaustunnuksista.

    Vaikka Defender for Identity merkitsee Exchange-palvelimet automaattisesti arvokkaiksi ja luottamuksellisiksi resursseiksi, voit myös merkitä laitteita manuaalisesti Exchange-palvelimina.

  • Merkitse honeytoken-tilit asettamaan kohdistusvarat haitallisille näyttelijöille. Koska hunajatunnustilit ovat yleensä lepotilassa, kaikki hunajatunnustiliin liittyvät todennukset käynnistävät hälytyksen.

Ennakkovaatimukset

Jotta voit määrittää Defender for Identity -entiteettitunnisteet Microsoft Defender XDR, tarvitset Defender for Identityn käyttöön ympäristössäsi ja järjestelmänvalvojan tai käyttäjän Microsoft Defender XDR.

Lisätietoja on artikkelissa Microsoft Defender for Identity rooliryhmät.

Entiteettien merkitseminen manuaalisesti

Tässä osiossa kuvataan, miten voit merkitä entiteetin manuaalisesti, esimerkiksi honeytoken-tiliä varten, tai jos entiteettiä ei ole merkitty automaattisesti Luottamukselliseksi.

  1. Kirjaudu sisään Microsoft Defender XDR ja valitse Asetukset Käyttäjätiedot>.

  2. Valitse käytettävän tunnisteen tyyppi: Sensitive, Honeytoken tai Exchange Server.

    Sivulla on luettelo entiteeteistä, jotka on jo merkitty järjestelmääsi. Ne on lueteltu kunkin entiteettityypin erillisissä välilehdissä:

    • Sensitive-tunniste tukee käyttäjiä, laitteita ja ryhmiä.
    • Honeytoken-tunniste tukee käyttäjiä ja laitteita.
    • Exchange-palvelintunniste tukee vain laitteita.

  3. Jos haluat merkitä lisää entiteettejä, valitse Tunniste ... -painike, kuten Merkitse käyttäjät. Oikealle avautuu ruutu, jossa luetellaan käytettävissä olevat entiteetit, joihin voit lisätä tunnisteen.

  4. Etsi tarvittaessa entiteetti hakuruudun avulla. Valitse tunnisteet sisältävät entiteetit ja valitse sitten Lisää valinta.

    Esimerkki:

    Näyttökuva käyttäjätilien merkitsemisestä luottamuksellisiksi.

Luottamukselliset oletusentiteetit

Defender pitää seuraavan luettelon ryhmiä Luottamuksellisina käyttäjätietojen osalta. Mitä tahansa entiteettiä, joka on jonkin näiden Active Directory -ryhmien jäsen, mukaan lukien sisäkkäisten ryhmien ja niiden jäsenten, pidetään automaattisesti luottamuksellisena:

  • Järjestelmänvalvojat

  • Tehokäyttäjät

  • Tilioperaattorit

  • Palvelinoperaattorit

  • Tulostusoperaattorit

  • Varmuuskopiointioperaattorit

  • Replikaattorit

  • Verkkomääritysoperaattorit

  • Saapuvat Forest Trust -valvojat

  • Toimialueen järjestelmänvalvojat

  • Toimialueen ohjauskoneet

  • ryhmäkäytäntö sisällöntuottajien omistajat

  • Vain luku -toimialueen ohjauskoneet

  • Yrityksen vain luku -toimialueen ohjauskoneet

  • Rakenteen järjestelmänvalvojat

  • Yrityksen järjestelmänvalvojat

  • Microsoft Exchange -palvelimet

    Huomautus

    Syyskuuhun 2018 asti Defender piti myös etätyöpöytäkäyttäjiä automaattisesti luottamuksellisina käyttäjätietojen osalta. Tämän päivämäärän jälkeen lisättyjä etätyöpöydän entiteettejä tai ryhmiä ei enää merkitä automaattisesti herkiksi, kun taas tähän päivämäärään mennessä lisätyt etätyöpöydän entiteetit tai ryhmät saattavat pysyä luottamuksellisina. Tätä Arkaluontoinen-asetusta voi nyt muuttaa manuaalisesti.

Näiden ryhmien lisäksi Defender for Identity tunnistaa seuraavat suuren arvon resurssipalvelimet ja merkitsee ne automaattisesti luottamuksellisiksi:

  • Varmenteen myöntäjän palvelin
  • DHCP-palvelin
  • DNS-palvelin
  • Microsoft Exchange Server
  • Replikoimalla hakemiston muutosten käyttöoikeuksia

Defender for Identity Integrations

Microsoft Defender for Identity määrittää seuraavat roolit luottamuksellisiksi. Kaikki entiteetit, joille on määritetty jäsenyys näissä rooleissa, luokitellaan automaattisesti luottamuksellisiksi.

Okta

  • Super-järjestelmänvalvoja
  • Sovelluksen järjestelmänvalvoja
  • Ryhmän järjestelmänvalvoja
  • Ohjelmointirajapinnan käyttöoikeuksien hallinnan järjestelmänvalvoja
  • Ryhmän jäsenyyden järjestelmänvalvoja
  • Tukipalvelun järjestelmänvalvoja
  • Mobiilijärjestelmänvalvoja
  • Organisaation järjestelmänvalvoja
  • Vain luku -järjestelmänvalvoja
  • Raportin järjestelmänvalvoja

CyberArk

  • Hallintarooli
  • Pilvipalvelun perehdyttämisen Hallinta
  • Liittimien hallinnan Hallinta
  • Työnkulkujen Hallinta
  • Privilege Cloud -järjestelmänvalvojat
  • Privilege Cloud Administrators Basic
  • Privilege Cloud Administrators Lite
  • Privilege Cloud Safe Managers
  • Privilege Cloud Safe Managers Basic
  • Privilege Cloud Safe Managers Lite
  • Privilege Cloud -istunnon Hallinta
  • Privilege Cloud -istunnon riskienhallinta
  • Järjestelmänvalvoja

SailPoint

Entra tunnusroolit

  • Yleinen järjestelmänvalvoja
  • Käyttäjän järjestelmänvalvoja
  • Todennuksen järjestelmänvalvoja
  • Etuoikeutetun todennuksen järjestelmänvalvoja
  • Tukipalvelun järjestelmänvalvoja
  • Agent ID -järjestelmänvalvoja
  • Sovelluksen järjestelmänvalvoja
  • Hakemistokirjoittajat
  • Toimialueen nimen järjestelmänvalvoja
  • Salasanan järjestelmänvalvoja
  • Etuoikeutetun roolin järjestelmänvalvoja
  • Yhdistelmäkäyttäjätietojen järjestelmänvalvoja
  • Pilvisovelluksen järjestelmänvalvoja

SailPoint-roolit

  • IdentityNow-järjestelmänvalvoja

Aiheeseen liittyvä sisältö

Lisätietoja on artikkelissa Tutki Defender for Identityn suojaushälytyksiä Microsoft Defender XDR.

  • Last updated on