Étiquettes d’identité Defender pour Identity dans Microsoft Defender XDR
Cet article explique comment appliquer Microsoft Defender pour Identity balises d’entité, pour les comptes sensibles, Exchange Server ou honeytoken.
Vous devez baliser des comptes sensibles pour les détections Defender pour Identity qui s’appuient sur l’état de confidentialité d’une entité, comme les détections de modification de groupe sensibles et les chemins de mouvement latéral.
Bien que Defender pour Identity étiquette automatiquement les serveurs Exchange comme des ressources sensibles à valeur élevée, vous pouvez également baliser manuellement des appareils en tant que serveurs Exchange.
Balisez les comptes honeytoken pour définir des pièges pour les acteurs malveillants. Étant donné que les comptes honeytoken sont généralement dormants, toute authentification associée à un compte honeytoken déclenche une alerte.
Prérequis
Pour définir des balises d’entité Defender pour Identity dans Microsoft Defender XDR, vous avez besoin de Defender pour Identity déployé dans votre environnement, et d’un administrateur ou d’un accès utilisateur à Microsoft Defender XDR.
Pour plus d’informations, consultez Groupes de rôles Microsoft Defender pour Identity.
Étiqueter manuellement les entités
Cette section explique comment étiqueter une entité manuellement, par exemple pour un compte honeytoken, ou si votre entité n’a pas été étiquetée automatiquement comme sensible.
Connectez-vous à Microsoft Defender XDR et sélectionnez Paramètres>Identités.
Sélectionnez le type d’étiquette à appliquer : Sensible, Honeytoken ou Serveur Exchange.
La page répertorie les entités déjà marquées dans votre système, répertoriées sous des onglets distincts pour chaque type d’entité :
- La balise sensible prend en charge les utilisateurs, les appareils et les groupes.
- La balise Honeytoken prend en charge les utilisateurs et les appareils.
- La balise de serveur Exchange prend uniquement en charge les appareils.
Pour étiqueter des entités supplémentaires, sélectionnez le bouton Balise ... tel que les utilisateurs de balise. Un volet s’ouvre à droite pour répertorier les entités disponibles pour que vous étiqueter.
Utilisez la zone de recherche pour rechercher votre entité si nécessaire. Sélectionnez les entités que vous souhaitez baliser, puis sélectionnez Ajouter une sélection.
Par exemple :
Entités sensibles par défaut
Les groupes de la liste suivante sont considérés comme sensibles par Defender pour Identity. Toute entité membre de l’un de ces groupes Active Directory, y compris les groupes imbriqués et leurs membres, est automatiquement considérée comme sensible :
Administrateurs
Utilisateurs avec pouvoir
Opérateurs de compte
Opérateurs de serveur
Opérateurs d’impression
Opérateurs de sauvegarde
Duplicateurs
Opérateurs de configuration réseau
Générateurs d’approbation de forêt entrante
Administrateurs du domaine
Contrôleurs de domaine
Propriétaires créateurs de la stratégie de groupe
Contrôleurs de domaine en lecture seule
Contrôleurs de domaine d’entreprise en lecture seule
Administrateurs du schéma
Administrateurs d’entreprise
Serveurs Microsoft Exchange
Remarque
Jusqu’en septembre 2018, les utilisateurs du Bureau à distance étaient également considérés automatiquement comme sensibles par Defender pour Identity. Les entités ou groupes Bureau à distance ajoutés après cette date ne sont plus automatiquement marqués comme sensibles, tandis que les entités ou groupes Bureau à distance ajoutés avant cette date peuvent rester marqués comme sensibles. Ce paramètre sensible peut maintenant être modifié manuellement.
En plus de ces groupes, Defender pour Identity identifie les serveurs de ressources à valeur élevée suivants et les étiquette automatiquement comme sensibles :
- Serveur d’autorité de certification
- Serveur DHCP
- Serveur DNS
- Microsoft Exchange Server
Contenu connexe
Pour plus d’informations, consultez Examiner les alertes de sécurité Defender pour Identity dans Microsoft Defender XDR.