Balises d’entité Defender pour Identity dans Microsoft 365 Defender

Notes

L’expérience décrite dans cette page est accessible https://security.microsoft.com dans le cadre de Microsoft 365 Defender.

Cet article explique comment appliquer des balises d’entité à des comptes sensibles. Cela est important, car certaines détections Defender pour Identity, telles que la détection de modification de groupe sensible et le chemin de mouvement latéral, reposent sur l’état de confidentialité d’une entité.

Defender pour Identity active également la configuration des comptes honeytoken, qui sont utilisés comme pièges pour les acteurs malveillants , toute authentification associée à ces comptes honeytoken (normalement dormant), déclenche une alerte.

Balises d’entité

Dans Microsoft 365 Defender, vous pouvez définir trois types de balises d’entité Defender pour Identity : balises sensibles, balises Honeytoken et balises serveur Exchange.

Pour définir ces balises, dans Microsoft 365 Defender, accédez à Paramètres, puis Identités.

Accédez à Paramètres, puis Identités.

Les paramètres de balise s’affichent sous Balises d’entité.

Types de paramètres d’étiquette.

Pour définir chaque type de balise, suivez les instructions ci-dessous.

Balises sensibles

La balise Sensible est utilisée pour identifier les ressources à valeur élevée. Le chemin de mouvement latéral s’appuie également sur l’état de sensibilité d’une entité. Certaines entités sont considérées comme sensibles automatiquement par Defender pour Identity, et d’autres peuvent être ajoutées manuellement.

Entités sensibles

Les groupes de la liste suivante sont considérés comme sensibles par Defender pour Identity. Toute entité membre de l’un de ces groupes Active Directory (y compris les groupes imbriqués et leurs membres) est automatiquement considérée comme sensible :

  • Administrateurs

  • Utilisateurs avec pouvoir

  • Opérateurs de compte

  • Opérateurs de serveur

  • Opérateurs d'impression

  • Opérateurs de sauvegarde

  • Duplicateurs

  • Opérateurs de configuration réseau

  • Générateurs d’approbation de forêt entrante

  • Administrateurs du domaine

  • Contrôleurs de domaine

  • Propriétaires créateurs de la stratégie de groupe

  • Contrôleurs de domaine en lecture seule

  • Contrôleurs de domaine d’entreprise en lecture seule

  • Administrateurs du schéma

  • Administrateurs de l’entreprise

  • Serveurs Microsoft Exchange

    Notes

    Jusqu’en septembre 2018, les utilisateurs bureau à distance étaient également considérés comme sensibles automatiquement par Defender pour Identity. Les entités ou les groupes Bureau à distance ajoutés après cette date ne sont plus automatiquement marqués comme sensibles, contrairement aux entités ou groupes Bureau à distance ajoutés avant cette date, qui peuvent rester marqués comme sensibles. Ce paramètre Sensible peut désormais être modifié manuellement.

En plus de ces groupes, Defender pour Identity identifie les serveurs de ressources à valeur élevée suivants et les marque automatiquement comme sensibles :

  • Serveur de l’autorité de certification
  • Serveur DHCP
  • Serveur DNS
  • Microsoft Exchange Server

Marquer manuellement comme sensible

Vous pouvez également marquer manuellement les utilisateurs, les appareils ou les groupes comme sensibles.

  1. Sélectionnez Sensible. Vous verrez ensuite les utilisateurs, appareils et groupes sensibles existants.

    Entités sensibles.

  2. Sous chaque catégorie, sélectionnez Balise... pour baliser ce type d’entité. Par exemple, sous Groupes, sélectionnez Groupes d’étiquettes. Un volet s’ouvre avec les groupes que vous pouvez sélectionner pour baliser. Pour rechercher un groupe, entrez son nom dans la zone de recherche.

    Ajoutez des groupes.

  3. Sélectionnez votre groupe, puis sélectionnez Ajouter une sélection.

    Ajouter une sélection.

Balises Honeytoken

Les entités Honeytoken sont utilisées comme pièges pour les acteurs malveillants. Toute authentification associée à ces entités honeytoken déclenche une alerte.

Vous pouvez étiqueter des utilisateurs ou des appareils avec la balise Honeytoken de la même façon que vous étiquetez des comptes sensibles.

  1. Sélectionnez Honeytoken. Vous verrez ensuite les utilisateurs et appareils honeytoken existants.

    Entités Honeytoken.

  2. Sous chaque catégorie, sélectionnez Balise... pour baliser ce type d’entité. Par exemple, sous Utilisateurs, sélectionnez Baliser les utilisateurs. Un volet s’ouvre avec les groupes que vous pouvez sélectionner pour baliser. Pour rechercher un groupe, entrez son nom dans la zone de recherche.

    Ajouter des utilisateurs.

  3. Sélectionnez votre utilisateur, puis sélectionnez Ajouter une sélection.

    Ajouter un utilisateur sélectionné.

Balises du serveur Exchange

Defender pour Identity considère les serveurs Exchange comme des ressources à valeur élevée et les étiquette automatiquement comme sensibles. Vous pouvez également étiqueter manuellement les appareils en tant que serveurs Exchange.

  1. Sélectionnez Serveur Exchange. Vous verrez ensuite les appareils existants étiquetés avec la balise de serveur Exchange .

    Serveurs Exchange.

  2. Pour étiqueter un appareil en tant que serveur Exchange, sélectionnez Baliser les appareils. Un volet s’ouvre avec les appareils que vous pouvez sélectionner pour baliser. Pour rechercher un appareil, entrez son nom dans la zone de recherche.

    Ajouter des appareils.

  3. Sélectionnez votre appareil, puis sélectionnez Ajouter une sélection.

    Sélectionnez l’appareil.

Voir aussi