Tagi jednostek usługi Defender for Identity w usłudze Microsoft Defender XDR

  • Artykuł

W tym artykule opisano sposób stosowania tagów jednostek usługi Microsoft Defender for Identity w przypadku kont poufnych, serwera Exchange lub wystawionych jako przynęta.

  • Należy oznaczyć poufne konta wykrywania tożsamości usługi Defender for Identity, które opierają się na stanie poufności jednostki, takich jak wykrywanie modyfikacji poufnych grup i ścieżki przenoszenia bocznego.

    Usługa Defender for Identity automatycznie oznacza serwery exchange jako zasoby o wysokiej wartości, ale poufne zasoby można również ręcznie oznaczać urządzenia jako serwery programu Exchange.

  • Tagowanie kont wystawionych jako przynęta w celu ustawienia pułapek dla złośliwych podmiotów. Ponieważ konta wystawione jako przynęta są zwykle nieaktywne, każde uwierzytelnianie skojarzone z kontem wystawionym jako przynęta wyzwala alert.

Wymagania wstępne

Aby ustawić tagi jednostek usługi Defender for Identity w usłudze Microsoft Defender XDR, musisz wdrożyć usługę Defender for Identity w środowisku oraz dostęp administratora lub użytkownika do usługi Microsoft Defender XDR.

Aby uzyskać więcej informacji, zobacz Grupy ról usługi Microsoft Defender for Identity.

Ręczne tagowanie jednostek

W tej sekcji opisano sposób ręcznego tagowania jednostki, na przykład dla konta wystawionego jako przynęta lub jeśli jednostka nie została automatycznie oznaczona jako Poufne.

  1. Zaloguj się do usługi Microsoft Defender XDR i wybierz pozycję Ustawienia> Identities.

  2. Wybierz typ tagu, który chcesz zastosować: poufne, wystawione jako przynęta lub serwer Exchange.

    Na stronie znajduje się lista jednostek, które zostały już oznaczone w systemie, na osobnych kartach dla każdego typu jednostki:

    • Tag Poufny obsługuje użytkowników, urządzenia i grupy.
    • Tag Honeytoken obsługuje użytkowników i urządzenia.
    • Tag serwera Exchange obsługuje tylko urządzenia.

  3. Aby oznaczyć dodatkowe jednostki, wybierz przycisk Tag ... (Taguj użytkowników), na przykład Tag users (Taguj użytkowników). Po prawej stronie zostanie otwarte okienko zawierające listę dostępnych jednostek do tagowania.

  4. Jeśli chcesz, użyj pola wyszukiwania, aby znaleźć jednostkę. Wybierz jednostki, które chcesz oznaczyć, a następnie wybierz pozycję Dodaj zaznaczenie.

Na przykład:

Screenshot of tagging user accounts as sensitive.

Domyślne jednostki poufne

Grupy na poniższej liście są uznawane za poufne przez usługę Defender for Identity. Każda jednostka, która jest członkiem jednej z tych grup usługi Active Directory, w tym grup zagnieżdżonych i ich członków, jest automatycznie uważana za wrażliwą:

  • Administratorzy

  • Użytkownicy zaawansowani

  • Operatorzy kont

  • Operatorzy serwerów

  • Operatorzy drukowania

  • Operatorzy kopii zapasowych

  • Replikatory

  • Operatorzy konfiguracji sieci

  • Konstruktorzy zaufania lasu przychodzącego

  • Domain Admins

  • Kontrolery domeny

  • Właściciele twórców zasad grupy

  • Kontrolery domeny tylko do odczytu

  • Kontrolery domeny tylko do odczytu przedsiębiorstwa

  • Schema Admins

  • Enterprise Admins

  • Serwery Microsoft Exchange

    Uwaga

    Do września 2018 r. użytkownicy pulpitu zdalnego również byli automatycznie traktowani jako wrażliwi przez usługę Defender for Identity. Jednostki lub grupy pulpitu zdalnego dodane po tej dacie nie są już automatycznie oznaczone jako poufne, podczas gdy jednostki pulpitu zdalnego lub grupy dodane przed tą datą mogą pozostać oznaczone jako Poufne. To ustawienie poufne można teraz zmienić ręcznie.

Oprócz tych grup usługa Defender for Identity identyfikuje następujące serwery zasobów o wysokiej wartości i automatycznie taguje je jako poufne:

  • Serwer urzędu certyfikacji
  • Serwer DHCP
  • Serwer DNS
  • Microsoft Exchange Server

Powiązana zawartość

Aby uzyskać więcej informacji, zobacz Badanie alertów zabezpieczeń usługi Defender for Identity w usłudze Microsoft Defender XDR.