Tag di entità defender per identità in Microsoft Defender XDR

Questo articolo descrive come applicare Microsoft Defender per identità tag di entità, per account sensibili, server Exchange o honeytoken.

  • È necessario contrassegnarvi gli account sensibili per i rilevamenti di Defender per identità che si basano sullo stato di riservatezza di un'entità, ad esempio i rilevamenti delle modifiche dei gruppi sensibili.

    Mentre Defender per identità contrassegna automaticamente i server Exchange come asset sensibili di valore elevato, è anche possibile contrassegnare manualmente i dispositivi come server Exchange.

  • Contrassegnare gli account honeytoken per impostare trappole per gli attori malintenzionati. Poiché gli account honeytoken sono in genere inattivi, qualsiasi autenticazione associata a un account honeytoken attiva un avviso.

Prerequisiti

Per impostare i tag dell'entità Defender for Identity in Microsoft Defender XDR, è necessario distribuire Defender per identità nell'ambiente e l'accesso dell'amministratore o dell'utente a Microsoft Defender XDR.

Per altre informazioni, vedere Microsoft Defender per identità gruppi di ruoli.

Contrassegna manualmente le entità

Questa sezione descrive come contrassegnare manualmente un'entità, ad esempio per un account honeytoken, o se l'entità non è stata contrassegnata automaticamente come Sensibile.

  1. Accedere Microsoft Defender XDR e selezionare Identità delle impostazioni>.

  2. Selezionare il tipo di tag da applicare: Sensitive, Honeytoken o Exchange Server.

    La pagina elenca le entità già contrassegnate nel sistema, elencate in schede separate per ogni tipo di entità:

    • Il tag Sensitive supporta utenti, dispositivi e gruppi.
    • Il tag Honeytoken supporta utenti e dispositivi.
    • Il tag del server Exchange supporta solo i dispositivi.

  3. Per contrassegnare entità aggiuntive, selezionare il pulsante Tag ... , ad esempio Contrassegna utenti. Viene visualizzato un riquadro a destra che elenca le entità disponibili da contrassegnare.

  4. Usare la casella di ricerca per trovare l'entità, se necessario. Selezionare le entità da contrassegnare e quindi selezionare Aggiungi selezione.

    Ad esempio:

    Screenshot dell'assegnazione di tag agli account utente come sensibili.

Entità sensibili predefinite

I gruppi nell'elenco seguente sono considerati sensibili da Defender per identità. Qualsiasi entità membro di uno di questi gruppi di Active Directory, inclusi i gruppi annidati e i relativi membri, viene considerata automaticamente sensibile:

  • Amministratori

  • Utenti di Power

  • Operatori account

  • Operatori server

  • Operatori di stampa

  • Backup Operators

  • Replicatori

  • Operatori di configurazione di rete

  • Generatore di attendibilità foresta in ingresso

  • Domain Admins

  • Controller di dominio

  • proprietari di Criteri di gruppo Creator

  • Controller di dominio di sola lettura

  • Controller di dominio di sola lettura enterprise

  • Amministratori schema

  • Amministratori Enterprise

  • Server di Microsoft Exchange

    Nota

    Fino a settembre 2018, anche gli utenti di Desktop remoto sono stati automaticamente considerati sensibili da Defender per identità. Le entità o i gruppi di Desktop remoto aggiunti dopo questa data non vengono più contrassegnati automaticamente come sensibili, mentre le entità o i gruppi di Desktop remoto aggiunti prima di questa data possono rimanere contrassegnati come sensibili. Questa impostazione Sensibile può ora essere modificata manualmente.

Oltre a questi gruppi, Defender per identità identifica i seguenti server asset di valore elevato e li contrassegna automaticamente come Sensibili:

  • Server autorità di certificazione
  • Server DHCP
  • Server DNS.
  • Microsoft Exchange Server
  • Replica delle autorizzazioni per le modifiche alla directory

Integrazioni di Defender per identità

I ruoli seguenti sono designati come sensibili da Microsoft Defender per identità. Tutte le entità assegnate a questi ruoli vengono classificate automaticamente come sensibili.

Okta

  • Amministratore con privilegi avanzati
  • Amministratore dell'applicazione
  • Amministratore del gruppo
  • Amministratore gestione accessi API
  • Amministratore appartenenza a gruppi
  • Amministratore help desk
  • Amministratore per dispositivi mobili
  • Organization Administrator
  • Amministratore di sola lettura
  • Amministratore report

CyberArk

  • Ruolo di amministrazione
  • Amministrazione di onboarding cloud
  • Amministrazione di gestione dei connettori
  • Flussi Amministrazione
  • Privilege Cloud Administrators
  • Privilege Cloud Administrators Basic
  • Privilege Cloud Administrators Lite
  • Privilege Cloud Safe Manager
  • Privilege Cloud Safe Managers Basic
  • Privilege Cloud Safe Managers Lite
  • Privilege Cloud Session Amministrazione
  • Privilege Cloud Session Risk Manager
  • Amministratore di sistema

SailPoint

ruoli ID Entra

  • Amministratore globale
  • Amministratore utente
  • Amministratore dell'autenticazione
  • Amministratore dell'autenticazione con privilegi
  • Amministratore supporto tecnico
  • Amministratore ID agente
  • Amministratore dell'applicazione
  • Ruoli con autorizzazioni di scrittura nella directory
  • Amministratore del nome di dominio
  • Amministratore password
  • Amministratore ruolo con privilegi
  • Amministratore identità ibrido
  • Amministratore applicazione cloud

Ruoli di SailPoint

  • Amministratore di IdentityNow

Contenuto correlato

Per altre informazioni, vedere Analizzare gli avvisi di sicurezza di Defender per identità in Microsoft Defender XDR.

  • Last updated on