Balises d’entité Defender pour Identity dans Microsoft 365 Defender

  • Article
  • 3 minutes de lecture

Notes

L’expérience décrite dans cette page est accessible à l’adresse https://security.microsoft.com dans le cadre de Microsoft 365 Defender.

Cet article explique comment appliquer des balises d’entité à des comptes sensibles. Cela est important, car certaines détections Defender pour Identity, telles que la détection des modifications de groupe sensible et le chemin de mouvement latéral, reposent sur l’état de sensibilité d’une entité.

Defender pour Identity active également la configuration des comptes honeytoken, qui sont utilisés comme pièges pour les acteurs malveillants . Toute authentification associée à ces comptes honeytoken (normalement dormants) déclenche une alerte.

Balises d’entité

Dans Microsoft 365 Defender, vous pouvez définir trois types de balises d’entité Defender pour Identity : balises sensibles, balises Honeytoken et balises serveur Exchange.

Pour définir ces balises, dans Microsoft 365 Defender, accédez à Paramètres, puis Identités.

Accédez à Paramètres, puis Identités.

Les paramètres de balise s’affichent sous Balises d’entité.

Types de paramètres de balise.

Pour définir chaque type de balise, suivez les instructions ci-dessous.

Balises sensibles

La balise Sensible est utilisée pour identifier les ressources de valeur élevée. Le chemin de mouvement latéral s’appuie également sur l’état de sensibilité d’une entité. Certaines entités sont considérées comme sensibles automatiquement par Defender pour Identity, tandis que d’autres peuvent être ajoutées manuellement.

Entités sensibles

Les groupes de la liste suivante sont considérés comme sensibles par Defender pour Identity. Toute entité membre de l’un de ces groupes Active Directory (y compris les groupes imbriqués et leurs membres) est automatiquement considérée comme sensible :

  • Administrateurs

  • Utilisateurs avec pouvoir

  • Opérateurs de compte

  • Opérateurs de serveur

  • Opérateurs d'impression

  • Opérateurs de sauvegarde

  • Duplicateurs

  • Opérateurs de configuration réseau

  • Générateurs d’approbation de forêt entrante

  • Administrateurs du domaine

  • Contrôleurs de domaine

  • Propriétaires créateurs de la stratégie de groupe

  • Contrôleurs de domaine en lecture seule

  • Contrôleurs de domaine d’entreprise en lecture seule

  • Administrateurs du schéma

  • Administrateurs de l’entreprise

  • Serveurs Microsoft Exchange

    Notes

    Jusqu’en septembre 2018, les utilisateurs du Bureau à distance étaient également automatiquement considérés comme sensibles par Defender pour Identity. Les entités ou les groupes Bureau à distance ajoutés après cette date ne sont plus automatiquement marqués comme sensibles, contrairement aux entités ou groupes Bureau à distance ajoutés avant cette date, qui peuvent rester marqués comme sensibles. Ce paramètre Sensible peut désormais être modifié manuellement.

En plus de ces groupes, Defender pour Identity identifie les serveurs de ressources de valeur élevée suivants et les étiquette automatiquement comme sensibles :

  • Serveur de l’autorité de certification
  • Serveur DHCP
  • Serveur DNS
  • Microsoft Exchange Server

Marquer manuellement comme sensible

Vous pouvez également étiqueter manuellement des utilisateurs, des appareils ou des groupes comme sensibles.

  1. Sélectionnez Sensible. Vous verrez ensuite les utilisateurs, appareils et groupes sensibles existants.

    Entités sensibles.

  2. Sous chaque catégorie, sélectionnez Balise... pour baliser ce type d’entité. Par exemple, sous Groupes, sélectionnez Groupes de balises. Un volet s’ouvre avec les groupes que vous pouvez choisir de baliser. Pour rechercher un groupe, entrez son nom dans la zone de recherche.

    Ajouter des groupes.

  3. Sélectionnez votre groupe, puis sélectionnez Ajouter une sélection.

    Ajouter une sélection.

Étiquettes Honeytoken

Les entités Honeytoken sont utilisées comme pièges pour les acteurs malveillants. Toute authentification associée à ces entités honeytoken déclenche une alerte.

Vous pouvez étiqueter des utilisateurs ou des appareils avec la balise Honeytoken de la même façon que vous étiquetez des comptes sensibles.

  1. Sélectionnez Honeytoken. Vous verrez ensuite les utilisateurs et les appareils honeytoken existants.

    Entités Honeytoken.

  2. Sous chaque catégorie, sélectionnez Balise... pour baliser ce type d’entité. Par exemple, sous Utilisateurs, sélectionnez Baliser les utilisateurs. Un volet s’ouvre avec les groupes que vous pouvez choisir de baliser. Pour rechercher un groupe, entrez son nom dans la zone de recherche.

    Ajouter des utilisateurs.

  3. Sélectionnez votre utilisateur, puis Sélectionnez Ajouter une sélection.

    Ajouter l’utilisateur sélectionné.

Balises de serveur Exchange

Defender pour Identity considère les serveurs Exchange comme des ressources de grande valeur et les étiquette automatiquement comme sensibles. Vous pouvez également étiqueter manuellement les appareils en tant que serveurs Exchange.

  1. Sélectionnez Serveur Exchange. Vous verrez ensuite les appareils existants étiquetés avec la balise serveur Exchange .

    Serveurs Exchange.

  2. Pour étiqueter un appareil en tant que serveur Exchange, sélectionnez Étiqueter des appareils. Un volet s’ouvre avec les appareils que vous pouvez choisir de baliser. Pour rechercher un appareil, entrez son nom dans la zone de recherche.

    Ajouter des appareils.

  3. Sélectionnez votre appareil, puis sélectionnez Ajouter une sélection.

    Sélectionnez appareil.

Voir aussi