Microsoft Defender XDRの Defender for Identity エンティティ タグ

この記事では、機密性の高い、Exchange サーバー、または honeytoken アカウントMicrosoft Defender for Identityエンティティ タグを適用する方法について説明します。

  • 機密性の高いグループ変更の検出など、エンティティの秘密度の状態に依存する Defender for Identity 検出の機密性の高いアカウントにタグを付けなければなりません。

    Defender for Identity では、Exchange サーバーに価値の高い機密性の高い資産として自動的にタグが付けられますが、デバイスを Exchange サーバーとして手動でタグ付けすることもできます。

  • honeytoken アカウントにタグを付けて、悪意のあるアクターのトラップを設定します。 honeytoken アカウントは通常休止状態であるため、honeytoken アカウントに関連付けられている認証によってアラートがトリガーされます。

前提条件

Microsoft Defender XDRで Defender for Identity エンティティ タグを設定するには、環境に展開された Defender for Identity と、Microsoft Defender XDRへの管理者またはユーザー アクセスが必要です。

詳細については、「Microsoft Defender for Identity役割グループ」を参照してください。

エンティティに手動でタグを付け

このセクションでは、honeytoken アカウントの場合や、エンティティが自動的に [機密] としてタグ付けされていない場合など、エンティティに手動でタグを付ける方法について説明します。

  1. Microsoft Defender XDRにサインインし、[設定>Identities] を選択します。

  2. 適用するタグの種類 ( 機密Honeytokenまたは Exchange サーバー) を選択します。

    このページには、システムで既にタグ付けされているエンティティが一覧表示され、エンティティの種類ごとに個別のタブに一覧表示されます。

    • 機密タグは、ユーザー、デバイス、およびグループをサポートします。
    • Honeytoken タグは、ユーザーとデバイスをサポートします。
    • Exchange サーバー タグはデバイスのみをサポートします。

  3. 追加のエンティティにタグを付ける場合は、[ ユーザーのタグ付け] などの [タグ ... ] ボタンを選択 します。 右側のウィンドウが開き、タグ付けできるエンティティが一覧表示されます。

  4. 必要に応じて、検索ボックスを使用してエンティティを検索します。 タグ付けするエンティティを選択し、[ 選択範囲の追加] を選択します。

    例:

    ユーザー アカウントに機密性の高いタグを付けるスクリーンショット。

既定の機密性の高いエンティティ

次の一覧のグループは、Defender for Identity によって 機密 と見なされます。 入れ子になったグループとそのメンバーを含む、これらの Active Directory グループの 1 つのメンバーであるエンティティは、自動的に機密性が高いと見なされます。

  • 管理者

  • Power Users

  • アカウントオペレーター

  • サーバー演算子

  • 印刷演算子

  • Backup Operators

  • リプリケータ

  • ネットワーク構成オペレーター

  • 受信フォレスト信頼ビルダー

  • Domain Admins

  • ドメイン コントローラー

  • グループ ポリシー作成者の所有者

  • 読み取り専用ドメイン コントローラー

  • エンタープライズ読み取り専用ドメイン コントローラー

  • Schema Admins

  • エンタープライズの管理者

  • Microsoft Exchange サーバー

    注:

    2018 年 9 月まで、リモート デスクトップ ユーザーは Defender for Identity によって自動的に機密性が高いと見なされていました。 この日付より後に追加されたリモート デスクトップ エンティティまたはグループは機密として自動的にマークされなくなりましたが、この日付より前に追加されたリモート デスクトップ エンティティまたはグループは機密としてマークされたままになることがあります。 この機密設定を手動で変更できるようになりました。

これらのグループに加えて、Defender for Identity は次の価値の高い資産サーバーを識別し、それらを 機密として自動的にタグ付けします。

  • 証明機関サーバー
  • DHCP サーバー
  • DNS サーバー
  • Microsoft Exchange Server
  • ディレクトリの変更のアクセス許可のレプリケート

Defender for Identity Integrations

次のロールは、Microsoft Defender for Identityによって機密として指定されます。 これらのロールで割り当てられたすべてのエンティティ メンバーシップは、自動的に機密として分類されます。

Okta

  • スーパー管理者
  • アプリケーション管理者
  • グループ管理者
  • API Access Management 管理者
  • グループ メンバーシップ管理者
  • ヘルプ デスク管理者
  • モバイル管理者
  • 組織管理者
  • 読み取り専用管理者
  • レポート管理者

CyberArk

  • 管理ロール
  • クラウド オンボード 管理
  • コネクタ管理管理
  • フロー 管理
  • Privilege Cloud Administrators
  • Privilege Cloud Administrators Basic
  • Privilege Cloud Administrators Lite
  • Privilege Cloud Safe Managers
  • Privilege Cloud Safe Managers Basic
  • Privilege Cloud Safe Managers Lite
  • Privilege Cloud Session 管理
  • Privilege Cloud Session Risk Managers
  • システム管理者

SailPoint

Entra ID ロール

  • グローバル管理者
  • ユーザー管理者
  • 認証管理者
  • 特権認証管理者
  • ヘルプデスク管理者
  • エージェント ID 管理者
  • アプリケーション管理者
  • ディレクトリ製作者
  • ドメイン名管理者
  • パスワード管理者
  • 特権ロール管理者
  • ハイブリッド ID 管理者
  • クラウド アプリケーション管理者

SailPoint ロール

  • IdentityNow 管理者

関連コンテンツ

詳細については、「Microsoft Defender XDRでの Defender for Identity セキュリティ アラートの調査」を参照してください。

  • Last updated on