Entiteitstags van Defender for Identity in Microsoft Defender XDR

  • Artikel

In dit artikel wordt beschreven hoe u microsoft Defender for Identity-entiteitstags toepast voor gevoelige, Exchange-server- of honeytokenaccounts.

  • U moet gevoelige accounts taggen voor Defender for Identity-detecties die afhankelijk zijn van de gevoeligheidsstatus van een entiteit, zoals detecties voor wijziging van gevoelige groepen en laterale verplaatsingspaden.

    Hoewel Defender for Identity Exchange-servers automatisch tagt als hoogwaardige, gevoelige assets, kunt u apparaten ook handmatig taggen als Exchange-servers.

  • Tag honeytoken-accounts om traps in te stellen voor kwaadwillende actoren. Omdat honeytoken-accounts meestal niet actief zijn, activeert elke verificatie die is gekoppeld aan een honeytoken-account een waarschuwing.

Vereisten

Als u Defender for Identity-entiteitstags wilt instellen in Microsoft Defender XDR, moet Defender for Identity zijn geïmplementeerd in uw omgeving en beheerders- of gebruikerstoegang tot Microsoft Defender XDR.

Zie Microsoft Defender for Identity-rollengroepen voor meer informatie.

Entiteiten handmatig taggen

In deze sectie wordt beschreven hoe u handmatig een entiteit tagt, zoals voor een honeytoken-account, of als uw entiteit niet automatisch is getagd als Gevoelig.

  1. Meld u aan bij Microsoft Defender XDR en selecteer Instellingen> Identities.

  2. Selecteer het type tag dat u wilt toepassen: Gevoelig, Honeytoken of Exchange-server.

    Op de pagina worden de entiteiten weergegeven die al in uw systeem zijn getagd, weergegeven op afzonderlijke tabbladen voor elk entiteitstype:

    • De tag Gevoelig ondersteunt gebruikers, apparaten en groepen.
    • De Honeytoken-tag ondersteunt gebruikers en apparaten.
    • De Exchange-servertag ondersteunt alleen apparaten.

  3. Als u extra entiteiten wilt taggen, selecteert u de knop Tag ... zoals Tag-gebruikers. Er wordt een deelvenster geopend aan de rechterkant met de beschikbare entiteiten die u kunt taggen.

  4. Gebruik het zoekvak om uw entiteit te vinden als dat nodig is. Selecteer de entiteiten die u wilt taggen en selecteer vervolgens Selectie toevoegen.

Bijvoorbeeld:

Screenshot of tagging user accounts as sensitive.

Standaardgevoelige entiteiten

De groepen in de volgende lijst worden beschouwd als Gevoelig door Defender for Identity. Elke entiteit die lid is van een van deze Active Directory-groepen, inclusief geneste groepen en hun leden, wordt automatisch beschouwd als gevoelig:

  • Beheerders

  • Hoofdgebruikers

  • Accountoperators

  • Serveroperators

  • Operators afdrukken

  • Back-Operators

  • Replicators

  • Network Configuration Operators

  • Binnenkomende forestvertrouwensbouwers

  • Domain Admins

  • Domeincontrollers

  • Eigenaren van groepsbeleidmaker

  • Alleen-lezen domeincontrollers

  • Alleen-lezen domeincontrollers voor ondernemingen

  • Schema Admins

  • Enterprise Admins

  • Microsoft Exchange-servers

    Notitie

    Tot september 2018 werden gebruikers van extern bureaublad ook automatisch als gevoelig beschouwd door Defender for Identity. Extern bureaublad-entiteiten of -groepen die na deze datum zijn toegevoegd, worden niet meer automatisch gemarkeerd als gevoelig terwijl extern bureaublad-entiteiten of -groepen die vóór deze datum zijn toegevoegd, mogelijk gemarkeerd blijven als gevoelig. Deze instelling Gevoelig kan nu handmatig worden gewijzigd.

Naast deze groepen identificeert Defender for Identity de volgende hoogwaardige assetservers en tagt deze automatisch als gevoelig:

  • Server van certificeringsinstantie
  • DHCP-server
  • DNS Server
  • Microsoft Exchange Server

Gerelateerde inhoud

Zie Defender for Identity Security-waarschuwingen onderzoeken in Microsoft Defender XDR voor meer informatie.