Tagi jednostek usługi Defender for Identity w usłudze Microsoft Defender XDR
W tym artykule opisano sposób stosowania tagów jednostek usługi Microsoft Defender for Identity w przypadku kont poufnych, serwera Exchange lub wystawionych jako przynęta.
Należy oznaczyć poufne konta wykrywania tożsamości usługi Defender for Identity, które opierają się na stanie poufności jednostki, takich jak wykrywanie modyfikacji poufnych grup i ścieżki przenoszenia bocznego.
Usługa Defender for Identity automatycznie oznacza serwery exchange jako zasoby o wysokiej wartości, ale poufne zasoby można również ręcznie oznaczać urządzenia jako serwery programu Exchange.
Tagowanie kont wystawionych jako przynęta w celu ustawienia pułapek dla złośliwych podmiotów. Ponieważ konta wystawione jako przynęta są zwykle nieaktywne, każde uwierzytelnianie skojarzone z kontem wystawionym jako przynęta wyzwala alert.
Wymagania wstępne
Aby ustawić tagi jednostek usługi Defender for Identity w usłudze Microsoft Defender XDR, musisz wdrożyć usługę Defender for Identity w środowisku oraz dostęp administratora lub użytkownika do usługi Microsoft Defender XDR.
Aby uzyskać więcej informacji, zobacz Grupy ról usługi Microsoft Defender for Identity.
Ręczne tagowanie jednostek
W tej sekcji opisano sposób ręcznego tagowania jednostki, na przykład dla konta wystawionego jako przynęta lub jeśli jednostka nie została automatycznie oznaczona jako Poufne.
Zaloguj się do usługi Microsoft Defender XDR i wybierz pozycję Ustawienia> Identities.
Wybierz typ tagu, który chcesz zastosować: poufne, wystawione jako przynęta lub serwer Exchange.
Na stronie znajduje się lista jednostek, które zostały już oznaczone w systemie, na osobnych kartach dla każdego typu jednostki:
- Tag Poufny obsługuje użytkowników, urządzenia i grupy.
- Tag Honeytoken obsługuje użytkowników i urządzenia.
- Tag serwera Exchange obsługuje tylko urządzenia.
Aby oznaczyć dodatkowe jednostki, wybierz przycisk Tag ... (Taguj użytkowników), na przykład Tag users (Taguj użytkowników). Po prawej stronie zostanie otwarte okienko zawierające listę dostępnych jednostek do tagowania.
Jeśli chcesz, użyj pola wyszukiwania, aby znaleźć jednostkę. Wybierz jednostki, które chcesz oznaczyć, a następnie wybierz pozycję Dodaj zaznaczenie.
Na przykład:
Domyślne jednostki poufne
Grupy na poniższej liście są uznawane za poufne przez usługę Defender for Identity. Każda jednostka, która jest członkiem jednej z tych grup usługi Active Directory, w tym grup zagnieżdżonych i ich członków, jest automatycznie uważana za wrażliwą:
Administratorzy
Użytkownicy zaawansowani
Operatorzy kont
Operatorzy serwerów
Operatorzy drukowania
Operatorzy kopii zapasowych
Replikatory
Operatorzy konfiguracji sieci
Konstruktorzy zaufania lasu przychodzącego
Domain Admins
Kontrolery domeny
Właściciele twórców zasad grupy
Kontrolery domeny tylko do odczytu
Kontrolery domeny tylko do odczytu przedsiębiorstwa
Schema Admins
Enterprise Admins
Serwery Microsoft Exchange
Uwaga
Do września 2018 r. użytkownicy pulpitu zdalnego również byli automatycznie traktowani jako wrażliwi przez usługę Defender for Identity. Jednostki lub grupy pulpitu zdalnego dodane po tej dacie nie są już automatycznie oznaczone jako poufne, podczas gdy jednostki pulpitu zdalnego lub grupy dodane przed tą datą mogą pozostać oznaczone jako Poufne. To ustawienie poufne można teraz zmienić ręcznie.
Oprócz tych grup usługa Defender for Identity identyfikuje następujące serwery zasobów o wysokiej wartości i automatycznie taguje je jako poufne:
- Serwer urzędu certyfikacji
- Serwer DHCP
- Serwer DNS
- Microsoft Exchange Server
Powiązana zawartość
Aby uzyskać więcej informacji, zobacz Badanie alertów zabezpieczeń usługi Defender for Identity w usłudze Microsoft Defender XDR.