Balises d’entité Defender pour Identity dans Microsoft 365 Defender
Notes
L’expérience décrite dans cette page est accessible à l’adresse https://security.microsoft.com dans le cadre de Microsoft 365 Defender.
Cet article explique comment appliquer des balises d’entité à des comptes sensibles. Cela est important, car certaines détections Defender pour Identity, telles que la détection des modifications de groupe sensible et le chemin de mouvement latéral, reposent sur l’état de sensibilité d’une entité.
Defender pour Identity active également la configuration des comptes honeytoken, qui sont utilisés comme pièges pour les acteurs malveillants . Toute authentification associée à ces comptes honeytoken (normalement dormants) déclenche une alerte.
Balises d’entité
Dans Microsoft 365 Defender, vous pouvez définir trois types de balises d’entité Defender pour Identity : balises sensibles, balises Honeytoken et balises serveur Exchange.
Pour définir ces balises, dans Microsoft 365 Defender, accédez à Paramètres, puis Identités.
Les paramètres de balise s’affichent sous Balises d’entité.
Pour définir chaque type de balise, suivez les instructions ci-dessous.
Balises sensibles
La balise Sensible est utilisée pour identifier les ressources de valeur élevée. Le chemin de mouvement latéral s’appuie également sur l’état de sensibilité d’une entité. Certaines entités sont considérées comme sensibles automatiquement par Defender pour Identity, tandis que d’autres peuvent être ajoutées manuellement.
Entités sensibles
Les groupes de la liste suivante sont considérés comme sensibles par Defender pour Identity. Toute entité membre de l’un de ces groupes Active Directory (y compris les groupes imbriqués et leurs membres) est automatiquement considérée comme sensible :
Administrateurs
Utilisateurs avec pouvoir
Opérateurs de compte
Opérateurs de serveur
Opérateurs d'impression
Opérateurs de sauvegarde
Duplicateurs
Opérateurs de configuration réseau
Générateurs d’approbation de forêt entrante
Administrateurs du domaine
Contrôleurs de domaine
Propriétaires créateurs de la stratégie de groupe
Contrôleurs de domaine en lecture seule
Contrôleurs de domaine d’entreprise en lecture seule
Administrateurs du schéma
Administrateurs de l’entreprise
Serveurs Microsoft Exchange
Notes
Jusqu’en septembre 2018, les utilisateurs du Bureau à distance étaient également automatiquement considérés comme sensibles par Defender pour Identity. Les entités ou les groupes Bureau à distance ajoutés après cette date ne sont plus automatiquement marqués comme sensibles, contrairement aux entités ou groupes Bureau à distance ajoutés avant cette date, qui peuvent rester marqués comme sensibles. Ce paramètre Sensible peut désormais être modifié manuellement.
En plus de ces groupes, Defender pour Identity identifie les serveurs de ressources de valeur élevée suivants et les étiquette automatiquement comme sensibles :
- Serveur de l’autorité de certification
- Serveur DHCP
- Serveur DNS
- Microsoft Exchange Server
Marquer manuellement comme sensible
Vous pouvez également étiqueter manuellement des utilisateurs, des appareils ou des groupes comme sensibles.
Sélectionnez Sensible. Vous verrez ensuite les utilisateurs, appareils et groupes sensibles existants.
Sous chaque catégorie, sélectionnez Balise... pour baliser ce type d’entité. Par exemple, sous Groupes, sélectionnez Groupes de balises. Un volet s’ouvre avec les groupes que vous pouvez choisir de baliser. Pour rechercher un groupe, entrez son nom dans la zone de recherche.
Sélectionnez votre groupe, puis sélectionnez Ajouter une sélection.
Étiquettes Honeytoken
Les entités Honeytoken sont utilisées comme pièges pour les acteurs malveillants. Toute authentification associée à ces entités honeytoken déclenche une alerte.
Vous pouvez étiqueter des utilisateurs ou des appareils avec la balise Honeytoken de la même façon que vous étiquetez des comptes sensibles.
Sélectionnez Honeytoken. Vous verrez ensuite les utilisateurs et les appareils honeytoken existants.
Sous chaque catégorie, sélectionnez Balise... pour baliser ce type d’entité. Par exemple, sous Utilisateurs, sélectionnez Baliser les utilisateurs. Un volet s’ouvre avec les groupes que vous pouvez choisir de baliser. Pour rechercher un groupe, entrez son nom dans la zone de recherche.
Sélectionnez votre utilisateur, puis Sélectionnez Ajouter une sélection.
Balises de serveur Exchange
Defender pour Identity considère les serveurs Exchange comme des ressources de grande valeur et les étiquette automatiquement comme sensibles. Vous pouvez également étiqueter manuellement les appareils en tant que serveurs Exchange.
Sélectionnez Serveur Exchange. Vous verrez ensuite les appareils existants étiquetés avec la balise serveur Exchange .
Pour étiqueter un appareil en tant que serveur Exchange, sélectionnez Étiqueter des appareils. Un volet s’ouvre avec les appareils que vous pouvez choisir de baliser. Pour rechercher un appareil, entrez son nom dans la zone de recherche.
Sélectionnez votre appareil, puis sélectionnez Ajouter une sélection.