Defender for Identity entitáscímkék a Microsoft Defender XDR-ben

  • Cikk

Ez a cikk azt ismerteti, hogyan alkalmazhatja a Microsoft Defender for Identity entitáscímkéket bizalmas, Exchange-kiszolgáló vagy honeytoken-fiókok esetében.

  • Olyan bizalmas fiókokat kell címkéznie a Defender identitásészlelésekhez, amelyek egy entitás bizalmassági állapotára támaszkodnak, például a bizalmas csoportmódosítás-észlelésekre és az oldalirányú mozgási útvonalakra.

    Bár a Defender for Identity automatikusan nagy értékű, bizalmas objektumként címkézi az Exchange-kiszolgálókat, manuálisan is megjelölheti az eszközöket Exchange-kiszolgálóként.

  • A honeytoken-fiókok címkézése a rosszindulatú szereplők trapjeinek beállításához. Mivel a honeytoken-fiókok általában alvó állapotban vannak, a honeytoken-fiókhoz társított hitelesítések riasztást aktiválnak.

Előfeltételek

A Defender for Identity entitáscímkék Microsoft Defender XDR-ben való beállításához telepítenie kell a Defender for Identity-t a környezetben, valamint rendszergazdai vagy felhasználói hozzáférést a Microsoft Defender XDR-hez.

További információ: Microsoft Defender for Identity szerepkörcsoportok.

Entitások manuális címkézése

Ez a szakasz azt ismerteti, hogyan címkézhet meg manuálisan egy entitást, például egy honeytoken-fiókhoz, vagy ha az entitás nem lett automatikusan bizalmasként megjelölve.

  1. Jelentkezzen be a Microsoft Defender XDR-be, és válassza a Gépház> Adentitások lehetőséget.

  2. Válassza ki az alkalmazni kívánt címke típusát: Bizalmas, Honeytoken vagy Exchange-kiszolgáló.

    Az oldal felsorolja a rendszerben már címkézett entitásokat, amelyek minden entitástípushoz külön lapon jelennek meg:

    • A Bizalmas címke támogatja a felhasználókat, az eszközöket és a csoportokat.
    • A Honeytoken címke támogatja a felhasználókat és az eszközöket.
    • Az Exchange-kiszolgáló címkéje csak az eszközöket támogatja.

  3. További entitások címkézéséhez válassza a Címke ... gombot, például a Címkék felhasználóit. A jobb oldalon megnyílik egy panel, amelyen a címkézni kívánt entitások láthatók.

  4. Ha szükséges, a keresőmezővel megkeresheti az entitást. Jelölje ki a címkézni kívánt entitásokat, majd válassza a Kijelölés hozzáadása lehetőséget.

Például:

Screenshot of tagging user accounts as sensitive.

Alapértelmezett bizalmas entitások

Az alábbi listában szereplő csoportokat a Defender for Identity bizalmasnak tekinti. Minden olyan entitás, amely ezen Active Directory-csoportok egyikének tagja, beleértve a beágyazott csoportokat és azok tagjait, automatikusan bizalmasnak minősül:

  • Rendszergazdák

  • Kiemelt felhasználók

  • Fiókfelelősök

  • Kiszolgálófelelősök

  • Nyomtatófelelősök

  • Biztonságimásolat-felelősök

  • Replikátorok

  • Hálózatbeállítási felelősök

  • Bejövő erdőmegbízhatóság-készítők

  • Tartományi rendszergazdák

  • Tartományvezérlők

  • Csoportházirend létrehozójának tulajdonosai

  • Írásvédett tartományvezérlők

  • Csak olvasható vállalati tartományvezérlők

  • Sémagazdák

  • Vállalati rendszergazdák

  • Microsoft Exchange-kiszolgálók

    Megjegyzés:

    2018 szeptemberéig a Távoli asztali felhasználókat is automatikusan bizalmasnak tekintette a Defender for Identity. A dátum után hozzáadott távoli asztali entitások vagy csoportok többé nem lesznek automatikusan bizalmasként megjelölve, míg a dátum előtt hozzáadott távoli asztali entitások vagy csoportok bizalmasként maradhatnak megjelölve. Ez a bizalmas beállítás mostantól manuálisan is módosítható.

Ezeken a csoportokon kívül a Defender for Identity azonosítja a következő nagy értékű eszközkiszolgálót, és automatikusan bizalmasként címkézi őket:

  • Hitelesítésszolgáltatói kiszolgáló
  • DHCP-kiszolgáló
  • DNS-kiszolgáló
  • Microsoft Exchange Server

Kapcsolódó tartalom

További információ: A Microsoft Defender XDR identitásbiztonsági riasztásainak vizsgálata.