Partager via


Étiquettes d’identité Defender pour Identity dans Microsoft Defender XDR

Cet article explique comment appliquer Microsoft Defender pour Identity balises d’entité, pour les comptes sensibles, Exchange Server ou honeytoken.

  • Vous devez baliser des comptes sensibles pour les détections Defender pour Identity qui s’appuient sur l’état de confidentialité d’une entité, comme les détections de modification de groupe sensibles et les chemins de mouvement latéral.

    Bien que Defender pour Identity étiquette automatiquement les serveurs Exchange comme des ressources sensibles à valeur élevée, vous pouvez également baliser manuellement des appareils en tant que serveurs Exchange.

  • Balisez les comptes honeytoken pour définir des pièges pour les acteurs malveillants. Étant donné que les comptes honeytoken sont généralement dormants, toute authentification associée à un compte honeytoken déclenche une alerte.

Prérequis

Pour définir des balises d’entité Defender pour Identity dans Microsoft Defender XDR, vous avez besoin de Defender pour Identity déployé dans votre environnement, et d’un administrateur ou d’un accès utilisateur à Microsoft Defender XDR.

Pour plus d’informations, consultez Groupes de rôles Microsoft Defender pour Identity.

Étiqueter manuellement les entités

Cette section explique comment étiqueter une entité manuellement, par exemple pour un compte honeytoken, ou si votre entité n’a pas été étiquetée automatiquement comme sensible.

  1. Connectez-vous à Microsoft Defender XDR et sélectionnez Paramètres>Identités.

  2. Sélectionnez le type d’étiquette à appliquer : Sensible, Honeytoken ou Serveur Exchange.

    La page répertorie les entités déjà marquées dans votre système, répertoriées sous des onglets distincts pour chaque type d’entité :

    • La balise sensible prend en charge les utilisateurs, les appareils et les groupes.
    • La balise Honeytoken prend en charge les utilisateurs et les appareils.
    • La balise de serveur Exchange prend uniquement en charge les appareils.
  3. Pour étiqueter des entités supplémentaires, sélectionnez le bouton Balise ... tel que les utilisateurs de balise. Un volet s’ouvre à droite pour répertorier les entités disponibles pour que vous étiqueter.

  4. Utilisez la zone de recherche pour rechercher votre entité si nécessaire. Sélectionnez les entités que vous souhaitez baliser, puis sélectionnez Ajouter une sélection.

Par exemple :

Screenshot of tagging user accounts as sensitive.

Entités sensibles par défaut

Les groupes de la liste suivante sont considérés comme sensibles par Defender pour Identity. Toute entité membre de l’un de ces groupes Active Directory, y compris les groupes imbriqués et leurs membres, est automatiquement considérée comme sensible :

  • Administrateurs

  • Utilisateurs avec pouvoir

  • Opérateurs de compte

  • Opérateurs de serveur

  • Opérateurs d’impression

  • Opérateurs de sauvegarde

  • Duplicateurs

  • Opérateurs de configuration réseau

  • Générateurs d’approbation de forêt entrante

  • Administrateurs du domaine

  • Contrôleurs de domaine

  • Propriétaires créateurs de la stratégie de groupe

  • Contrôleurs de domaine en lecture seule

  • Contrôleurs de domaine d’entreprise en lecture seule

  • Administrateurs du schéma

  • Administrateurs d’entreprise

  • Serveurs Microsoft Exchange

    Remarque

    Jusqu’en septembre 2018, les utilisateurs du Bureau à distance étaient également considérés automatiquement comme sensibles par Defender pour Identity. Les entités ou groupes Bureau à distance ajoutés après cette date ne sont plus automatiquement marqués comme sensibles, tandis que les entités ou groupes Bureau à distance ajoutés avant cette date peuvent rester marqués comme sensibles. Ce paramètre sensible peut maintenant être modifié manuellement.

En plus de ces groupes, Defender pour Identity identifie les serveurs de ressources à valeur élevée suivants et les étiquette automatiquement comme sensibles :

  • Serveur d’autorité de certification
  • Serveur DHCP
  • Serveur DNS
  • Microsoft Exchange Server

Pour plus d’informations, consultez Examiner les alertes de sécurité Defender pour Identity dans Microsoft Defender XDR.